1.2.GIẢI PHÁP AN TOÀN – AN NINH MẠNG VỚI FIREWALL
1.2.5.Kỹ thuật Firewall
hình OSI, có thể lọc, kiểm tra được mức bit và nội dung của khung tin. Trong tầng này các khung dữ liệu không tin cậy sẽ bị từ chối ngay khi vào mạng.
Lọc gói tin (Packet Filtering): Kiểu Firewall chung nhất là kiểu dựa trên tầng mạng của mô hình OSI. Lọc gói cho phép hay từ chối gói tin mà nó nhận được. Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thỏa mãn một trong số các quy định của lọc gói tin hay không. Các quy tắc lọc gói tin dựa vào các thông tin trong phần mào đầu của gói tin.
Nếu quy tắc lọc gói tin được thỏa mãn thì gói tin được chuyển qua Firewall. Nếu không sẽ bị bỏ đi. Như vậy Firewall có thể ngăn cản các kết nối vào hệ thống hoặc khóa việc truy nhập vào hệ thống nội bộ từ những địa chỉ không cho phép.
Một số Firewall hoạt động ở tầng mạng thường cho phép tốc độ xử lý nhanh vì chỉ kiểm tra địa chỉ IP nguồn mà không thực hiện lệnh trên router, không xác định địa chỉ sai hay bị cấm. Nó sử dụng địa chỉ IP nguồn làm chỉ thị, nếu một gói tin mang địa chỉ nguồn là địa chỉ giả thì nó sẽ chiếm được quyền truy nhập vào hệ thống. Tuy nhiên có nhiều biện pháp kỹ thuật có thể được áp dụng cho việc lọc gói tin nhằm khắc phục nhược điểm trên, ngoài trường địa chỉ IP được kiểm tra còn có các thông tin khác được kiểm tra với quy tắc được tạo ra trên Firewall, các thông tin này có thể là thời gian truy nhập, giao thức sử dụng, cổng.
Firewall kiểu Packet Filtering có hai loại:
- Packet filtering Firewall: Hoạt động tại tầng mạng của mô hình OSI. Kiểu Firewall này không quản lý được giao dịch trên mạng.
- Circuilt level gateway: Hoạt động tại tầng phiên của mô hình OSI. Là loại Firewall xử lý bảo mật giao dịch giữa hệ thống và người dùng cuối (VD: kiểm tra ID, mật khẩu), loại Firewall cho phép lưu vết trạng thái của người truy nhập.
1.2.6. Những hạn chế của Firewall