Hình 13. Tổng quan cơ chế hoạt động của tường lửa 4.1. Các phương pháp chính của tường lửa
Tường lửa, dù là phần cứng hay phần mềm, hoạt động dựa trên ba phương pháp chính:
gói cho phép cơ chế lọc lưu lượng dựa trên các yếu tố như địa chỉ IP nguồn và đích, hoặc thậm chí loại dịch vụ.
• Dịch vụ Proxy (Proxy Service): Tại đây, tường lửa proxy hoạt động như một trung gian. Thay vì cho phép giao tiếp trực tiếp của các gói dữ liệu giữa người dùng và internet, proxy sẽ lấy dữ liệu cho người dùng và sau đó chuyển tiếp nó, ngăn chặn việc truy cập trực tiếp vào hệ thống.
• Kiểm tra trạng thái (Stateful Inspection): Các tường lửa kiểm tra trạng thái theo dõi các gói gửi đi và so sánh các phản hồi đến với cơ sở dữ liệu của các phiên hoạt động đang hoạt động. Chúng chỉ chấp nhận những gói khớp với gói outbound hợp lệ tương ứng.
4.2. Tiêu chí cấu hình tường lửa
Cấu hình liên quan đến việc định nghĩa các quy tắc dựa trên các tham số cụ thể để kiểm soát việc trao đổi dữ liệu nội bộ và bên ngoài. Các tiêu chí cấu hình bao gồm:
• Địa chỉ IP: Mỗi thiết bị kết nối với internet có một định danh duy nhất gọi là địa chỉ IP. Các địa chỉ số 32-bit này thường xuất hiện dưới dạng một dãy bốn số thập phân. Nếu tường lửa nhận diện một địa chỉ IP bên ngoài là mối đe dọa tiềm ẩn hoặc nếu nó có vẻ như truy cập quá nhiều dữ liệu, nó có thể chặn tất cả các liên lạc từ địa chỉ đó.
• Tên miền (Domain Names): Các giao thức xác định các quy tắc giao tiếp giữa hai thiết bị hoặc ứng dụng. Các giao thức thường được sử dụng bao gồm IP, TCP, HTTP, FTP, UDP, ICMP, SMTP, SNMP và Telnet. Các tổ chức có thể quyết định chỉ cho phép các giao thức cụ thể được truy cập trên mạng của họ.
• Cổng (Ports): Các máy chủ cung cấp dịch vụ thông qua các số cổng. Ví dụ, HTTP, giao thức mà các trình duyệt web sử dụng, thường hoạt động qua cổng 80. Các tổ chức có thể chặn hoặc cho phép lưu lượng dựa trên các số cổng này, đảm bảo kiểm soát chặt chẽ hơn đối với các dịch vụ có thể truy cập.
• Từ và Cụm từ cụ thể (Specific Words and Phrases): Các giải pháp nâng cao có thể quét các gói dữ liệu để tìm kiếm các từ khóa cụ thể, chặn bất kỳ gói nào chứa các thuật ngữ đã được đánh dấu.
4.3. Quy trình của tường lửa
Hình 14. Quy trình hoạt động của tường lửa
Quy trình của tường lửa bao gồm kiểm tra quy tắc, áp dụng phương pháp, phân tích nội dung, ra quyết định, ghi chép, và cập nhật quy tắc liên tục.
Quá trình cấu trúc mà tường lửa thực hiện khi một gói dữ liệu cố gắng đi qua nó xảy ra theo các bước sau:
• Kiểm tra Quy tắc (Rule Examination): Mỗi gói dữ liệu bắt đầu hành trình của mình bằng việc được đánh giá theo các quy tắc đã được thiết lập.
Mỗi quy tắc quy định một tiêu chí cụ thể, và nếu gói không tuân thủ, nó sẽ ngay lập tức bị loại bỏ.
• Áp dụng Phương pháp (Methodology Application): Loại giải pháp xác định phương pháp chính nào (Lọc gói, Dịch vụ Proxy, hoặc Kiểm tra trạng thái) xử lý gói dữ liệu.
• Phân tích Nội dung (nếu có) (Content Analysis): Một số tường lửa có thể kiểm tra nội dung của các gói dữ liệu. Chúng tìm kiếm các từ hoặc cụm
• Ra Quyết định (Decision Execution): Sau các đánh giá liên quan, tường lửa sẽ cho phép gói dữ liệu đi qua nếu nó đáp ứng tất cả các yêu cầu hoặc loại bỏ nó nếu không đáp ứng được yêu cầu nào đó.
• Ghi Chép (Logging): Tường lửa thường duy trì một nhật ký các hành động của nó. Điều này bao gồm chi tiết về các gói dữ liệu được chấp nhận và bị từ chối, cung cấp cho các quản trị viên cái nhìn về các mẫu lưu lượng và các mối đe dọa tiềm ẩn.
• Cập nhật Quy tắc Liên tục (Continuous Rule Update): Tường lửa không hoạt động theo các quy tắc tĩnh. Dựa trên các mối đe dọa mới nổi và yêu cầu mạng thay đổi, các quản trị viên thường xuyên cập nhật và tinh chỉnh các quy tắc này để duy trì bảo mật mạng tối ưu..
Các giải pháp hiện đại như NGFW thường hoạt động kết hợp với các tính năng nâng cao như ngăn chặn xâm nhập, phần mềm chống virus, kiểm tra gói dữ liệu sâu, và nhiều hơn nữa để cung cấp một chiến lược phòng thủ đa lớp.