8. Xây dựng hệ Linux Firewall
8.1.2.Các công nghệ FW
8.1.2.1.Packet filtering
Hạn chế thông tin đi vào mạng dựa trên thông tin tiêu để tĩnh của gói - static packet header information
i. Làm đông cứng luồng hoặc các thăm dò từ thế giới bên ngoài - Bằng cách dùng địa chỉ IP
- bằng cổng đích (cho phép chỉ một số dịch vụ cụ thể, nhưng ngoại trừ tất cả) - Bằng kiểu protocol
ii. Hạn chế truy nhập đến Internet từ các host cụ thể
iii. NAT: dùng chung một điạ chỉ Internet đơn với nhiều host từ trong mạng LAN iv. Lái (redirecting) các yêu cầu đi vào mạng đến host cụ thể bên trong
…
8.1.2.2.Proxy server
Thực hiện các yêu cầu kết nối giữa một client trong mạng sau FW và Internet
Một proxy server là một thiết bị tường lửa mà kiểm tra các gói tại các tầng cao trong mô hình OSI. Thiết bị này ẩn phần dữ liệu có giá trị bằng cách đòi hỏi người dùng kết nối đến một hệ an toàn bằng phương tiện đại diện. Người dùng có được sự truy nhập đến mạng bằng cách đi qua một tiến trình mà tiến trình này thiết lập trạng thái phiên làm việc (session state ), xác thực người dùng (user authentication), …Điều này có nghĩa là người dùng kết nối đến các dịch vụ bên ngoài qua các chương trình ứng dụng (proxies) chạy trên gateway đang kết nối đến các vùng chưa được bảo vệ bên ngoài
8.1.2.3. Stateful packet filtering
Hạn chế thông tin vào mạng dựa không chỉ dựa vào địa chỉ nguồn và đích, mà còn trên nội dung dữ liệu của gói.
Công nghệ này duy trì hoàn toàn trạng thái phiên làm việc (session state). Mỗi lần một kết nối TCP/UDP được thiết lập cho các kết nối inbound và outbound, thông tin được ghi nhật ký (log) vào bảng luồng các phiên đủ trạng thái (stateful session flow table)
Stateful session flow table chứa địa chỉ nguồn và đích, số hiệu cổng, thông tin TCP sequencing và các cờ (flag) bổ sung cho mỗi kết nối TCP/UDP liên quan đến phiên cụ thể đó. Thông tin này tạo ra connection object và đảo lại, tất cả các gói inbound và outbound được so sánh với luồng các phiên trong stateful session flow table . Dữ liệu được cho phép qua FW chỉ khi có một kết nối đang tồn tại để kiểm tra tính hợp lệ (validate) đọan dữ liệu của nó