TƯỜNG LỬA THẾ HỆ MỚI

Một phần của tài liệu Đề tài tìm hiểu về khái niệm, cơ chế, cách hoạt Động của tường lửa (Trang 22 - 27)

Tường lửa thế hệ mới (NGFW) ra đời vào năm 2009 bởi Gartner, ban đầu giống với UTM nhưng đã phát triển thành một sản phẩm phức tạp và hiện đại hơn.

NGFW kết hợp các tính năng của tường lửa truyền thống như lọc gói, kiểm tra trạng thái, và dịch địa chỉ mạng (NAT), cùng với các tính năng tiên tiến như hệ thống ngăn chặn xâm nhập (IPS), kiểm tra gói tin sâu (DPI) và nhận diện người dùng.

NGFW có khả năng nhận diện và kiểm soát lưu lượng ở cấp ứng dụng bằng cách kiểm tra sâu nội dung (payload) của gói tin, thay vì chỉ kiểm tra tiêu đề như tường lửa truyền thống.

3.2. Điểm khác biệt của NGFW

Mặc dù UTM và NGFW có nhiều điểm tương đồng, NGFW đã phát triển với hiệu năng cao hơn, phù hợp với các môi trường doanh nghiệp lớn. NGFW kiểm tra toàn bộ các lớp của mô hình OSI, trong khi UTM chủ yếu nhắm vào các môi trường nhỏ hơn với hiệu suất thấp hơn.

So với tường lửa ứng dụng web (WAF), NGFW không chỉ tập trung vào các ứng dụng web mà còn bảo vệ toàn bộ hệ thống mạng. NGFW cung cấp khả năng bảo vệ toàn diện hơn.

3.3. Các tính năng chính của NGFW

Nhận diện ứng dụng: NGFW có khả năng nhận diện ứng dụng thông qua việc kiểm tra kỹ lưỡng các gói tin, vượt qua các chiến thuật né tránh như port-hopping và mã hóa SSL. Điều này giúp ngăn chặn các ứng dụng độc hại hoặc không rõ ràng.

Kiểm tra nội dung và phân tích hành vi (heuristics analysis): NGFW cung cấp kiểm tra nội dung của gói tin và sử dụng phân tích hành vi để phát hiện các ứng dụng phức tạp hoặc sử dụng thuật toán mã hóa riêng biệt, như chia sẻ tập tin P2P hay ứng dụng VoIP. Ngoài ra, lọc URL và lọc tệp tin giúp kiểm tra sâu và ngăn chặn các tấn công nhắm vào lớp ứng dụng.

Nhận diện người dùng: NGFW có khả năng liên kết thông tin người dùng với gói tin thông qua việc kết nối với các thư mục LDAP như Active Directory (AD).

Điều này cho phép quản lý lưu lượng theo danh tính người dùng, từ đó giúp dễ dàng quản lý và xử lý sự cố mạng.

3.4. Lợi ích của NGFW

Hiệu suất: NGFW mang lại sự cải thiện đáng kể về hiệu suất qua nhiều khía cạnh của các lớp phòng thủ, đặc biệt là trong giám sát lưu lượng và so khớp chữ ký mối đe dọa.

Giám sát lưu lượng với quét gói tin dựa trên luồng (stream-based scanning): NGFW sử dụng phương pháp quét gói tin ngay khi chúng đến thay vì chờ toàn bộ tệp tin được tải vào bộ nhớ như tường lửa truyền thống.

Phương pháp này giúp giảm độ trễ và tăng thông lượng mạng. Bằng cách bắt đầu quá trình quét gói sớm hơn, NGFW có thể giảm thiểu thời gian xử lý, từ đó nâng cao hiệu suất tổng thể.

Hình 10. Stream-based scanning(NGFW) vs. File-based scanning(Traditional FW)

So khớp chữ ký mối đe dọa nhanh hơn: NGFW sử dụng định dạng chữ ký thống nhất cho tất cả các loại mối đe dọa (virus, spyware, worms, trojan, adware,...), giúp tránh phải dùng nhiều công cụ quét riêng lẻ. Điều này cho phép NGFW phát hiện các mối đe dọa trong một lần quét duy nhất, làm tăng tốc độ xử lý.

thủ lần lượt, như lọc gói tin, hệ thống phòng chống xâm nhập (IPS), và chống virus, tạo ra độ trễ lớn.

Hình 11. Traditional multi-pass architectures

Kiến trúc quét đơn lẻ trong NGFW: NGFW được thiết kế với kiến trúc quét đơn lẻ (single-pass architecture), cho phép các thành phần phòng thủ làm việc song song. Các bản sao của gói tin được phân phối đến các mô-đun quét đồng thời, giúp loại bỏ việc xử lý gói tin lặp lại, giảm thời gian chờ đợi và tối ưu hóa hiệu suất.

Hình 12. NGFW - single-pass architecture

Bảo mật: NGFW cung cấp khả năng bảo vệ sâu rộng hơn tường lửa truyền thống, hoạt động trên nhiều lớp của mô hình OSI, với các cơ chế như giải mã giao thức, phát hiện dị thường, phân tích hành vi, và tích hợp sandbox.

Đơn giản hóa: NGFW giảm bớt độ phức tạp trong quản lý tường lửa nhờ giao diện đồ họa (GUI), giúp doanh nghiệp dễ dàng theo dõi và kiểm soát, tập trung vào các yếu tố quan trọng như tên người dùng hay ứng dụng thay vì địa chỉ IP hay cổng mạng.

3.5. Ứng dụng của tường lửa thế hệ mới 3.5.1. Học máy và NGFW

Hệ thống ngăn chặn xâm nhập (IPS) trong NGFW sử dụng hai phương pháp phát hiện mối đe dọa mạng: dựa trên chữ ký và dựa trên hành vi. Việc phát hiện các đặc điểm và hành vi đe dọa do con người thực hiện có chi phí cao. Sự phát triển của học máy đã giúp cải thiện quá trình này bằng cách sử dụng khai thác dữ liệu và kỹ thuật học máy để học cách nhận diện các hành vi của tệp tin độc hại. Ví dụ, Cisco đã phát triển một mạng nơron phát hiện kỹ thuật né tránh nâng cao (AETs), qua đó nhận diện được các gói tin nguy hiểm ẩn dưới dạng lưu lượng hợp

Sự phát triển nhanh chóng của IoT đã dẫn đến việc nhiều thiết bị kết nối mạng, từ TV, camera, tủ lạnh cho đến máy điều hòa. Các tường lửa truyền thống không đủ khả năng bảo vệ lớp ứng dụng, nơi dễ bị tấn công bởi các cuộc tấn công vào thiết bị IoT như worm và side-channel attacks.

Theo nghiên cứu được trình bày trong tờ "Next generation firewall for improving security in company and iot network" năm 2019, được IEEE xuất bản, họ đã tạo ra hai mạng IoT riêng biệt: một mạng được bảo vệ bởi tường lửa truyền thống (IBM ISS Proventia) và mạng kia được bảo vệ bởi tường lửa thế hệ mới (NGFW) (Checkpoint). Các cuộc tấn công như phishing, DDoS, và SQL injection đã được tiến hành trên cả hai mạng này.

Kết luận từ nghiên cứu này chỉ ra rằng mạng IoT được bảo vệ bởi tường lửa truyền thống chỉ an toàn trước các cuộc tấn công ở lớp 3 đến lớp 4, trong khi NGFW có thể bảo vệ toàn diện từ lớp 3 đến lớp 7.

Một phần của tài liệu Đề tài tìm hiểu về khái niệm, cơ chế, cách hoạt Động của tường lửa (Trang 22 - 27)

Tải bản đầy đủ (PDF)

(44 trang)