Trong Công nghệ mạng thông tin, firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống lại sự truy cập trái phép nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ thống của một số thông tin khác không mong muốn.
Internet Firewall là một tập hợp thiết bị (bao gồm phần cứng và phần mềm) được đặt giữa mạng của một tổ chức, một công ty, hay một quốc gia (Intranet) và Internet.
Firewall được chia làm hai loại: gồm Firewall cứng và Firewall mềm. - Firewall cứng: là những firewall được tích hợp trên Router.
- Firewall mềm: là những firewall được cài đặt trêm server.
Chức năng chính của firewall
Chức năng chính của firewall là kiểm soát luồng thông tin từ giữa intranet và internet. Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (intranet) và mạng internet. Cụ thể là:
- Cho phép hoặc cấm những dịch vụ truy cập ra ngoài (từ intranet ra internet) - Cho phép hoặc cấm những dịch vụ trái phép truy nhập vào trong (từ internet
vào intranet
- Theo dõi luồng dữ liệu mạng giữa internet và intrenet. - Kiểm soát địa chỉ truy nhập, cầm địa chỉ truy nhập.
- Kiểm soát người sử dụng và việc truy nhập của người sử dụng - Kiểm soát nội dung thông tin lưu chuyển trên mạng
Cấu trúc của firewall
Firewall bao gồm:
- Một hoặc nhiều hệ thống máy chủ kết nối với các bộ định tuyến (router) hoặc có chức năng router.
- Các phần mềm quản lý an ninh chạy trên hệ thống máy chủ. Thông thường là các hệ quản trị xác thực (authentication), cấp quyền (authorization) và kế toán (accounting).
Các thành phần của firewall
Một firewall bao gồm một hay nhiều thành phần sau: - Bộ lọc packet (packet-filtering router)
- Cổng ứng dụng (application-level gateway hay proxy server) - Cổng mạch (circuite level gateway)
Nhiệm vụ của firewall
- Firewall bảo vệ những vấn đề sau:
o Dữ liệu: Những thông tin cần được bảo vệ do những yêu cầu sau Bảo mật
Tính toàn vẹn Tính kịp thời
o Tài nguyên hệ thống
o Danh tiếng của công ty sở hữu các thông tin cần bảo vệ - Firewall bảo vệ chống lại những sự tấn công từ bên ngoài
3.2.4.2 Giải pháp tường lửa cho website vatgia.com
Hiện nay, hệ thống máy tính của doanh nghiệp đang sử dụng giải pháp tường lửa Comodo firewall phiên bản 5.3.Comodo firewall được đánh giá khá cao trong việc bảo vệ hệ thống khỏi các hacker,spyware… Tuy nhiên, khả năng như vậy là chưa đủ đối với sự phát triển thực tế của doanh nghiệp thương mại điện tử như vatgia.com.
Ưu điểm của Comodo firewall 5.3:
- Phiên bản miễn phí
- Bảo vệ kết hợp chống lại các nguy cơ từ internet
- Chống lại các đợt tấn công của hacker, bảo vệ hệ thống khỏi spyware… - Công nghệ chống virus hàng đầu
Nhược điểm của Comodo firewall 5.3:
- Đôi khi phần mềm này cũng chặn mất một số phần mềm không nguy hiểm - Khả năng an toàn trong giao dịch điện tử còn hạn chế
Giải pháp tường lửa cho vatgia.com
Để đảm bảo an toàn hiệu quả nhất cho vatgia.com, em đề xuất triển khai bảo mật website dựa trên ba mức bảo mật như sau:
Mức 1. Sử dụng thiết bị an ninh tích hợp (Check Point UTM-1): thành phần tường lửa trong thiết bị sẽ ngăn chặn các tấn công mức mạng, các tấn công dò quét. Thành phần IPS ngăn chặn các tấn công khai thác điểm yếu của các hệ điều hành, điểm yếu của phần mềm web, phần mềm cơ sở dữ liệu. Thành phần VPN cho phép thiết lập kênh riêng ảo với các chi nhánh, phòng giao dịch và các người dùng từ xa.
Mức 2. Sử dụng thiết bị tường lửa chuyên dụng cho ứng dụng web (NetContinuum) tạo thành lớp bảo vệ thứ hai.
o Thành phần Application Firewall kiểm soát mọi luồng dữ liệu đi đến mỗi máy chủ ứng dụng và thành phần Dynamic Application Protection (DAP) cho qua các yêu cầu hợp lệ và ngăn chặn mọi yêu cầu không hợp lệ. Các chính sách bảo mật được thiết lập cho từng phần của ứng dụng web với danh sách điều khiển truy cập web (Access Control Lists – ACL) có thể thiếp lập luật cho từng trang web (URL), các tham số, thiết lập kiểm soát dữ liệu trên các trường của form nhập liệu và cho phép mã hóa các trường có thông tin quan trọng như trường nhập thông tin tài khoản, thông tin thẻ tín dụng…
o Cũng giống như các tường lửa lớp mạng được thiết kế để chống lại tấn công từ chối dịch vụ tại tầng mạng để bảo vệ tài nguyên mạng thì NetContinuum đưa ra giải pháp (Application Level Denial of Service – AppDos) để chống lại tấn công từ chối dịch vụ tại tầng ứng dụng để bảo vệ tài nguyên tầng ứng dụng web
o Thành phần Website Cloaking: làm giảm các nguy cơ tấn công bằng cách che giấu toàn bộ tài nguyên của ứng dụng web đằng sau nó. Sau khi che giấu trang web, hệ thống tự động kiểm tra để đảm bảo ứng dụng hoạt động theo đúng ý đồ của người phát triển ứng dụng web. (Thông tin chi tiết tham khảo tại website: Http://www.netcontinuum.com)
Mức 3. Có thể thiếp lập thêm một mức bảo vệ thứ ba với thiết bị an ninh tích hợp (Check Point UTM-1) để phân tách mạng thành nhiều vùng mạng (zone) với các mức bảo mật khác nhau khi truy cập đến hệ thống máy chủ cơ sở dữ liệu và các máy chủ ứng dụng web, chính sách trên thiết bị an ninh tích hợp này được siết chặt hơn so với thiết bị Mức 1. Đồng thời tại Mức 3 này cũng có thể sử dụng một thiết bị ngăn chặn xâm nhập (IPS) chuyên dụng để loại bỏ các tấn công vào ứng trong trường hợp chúng vượt qua lớp bảo vệ thứ nhất và thứ hai hoặc các tấn công có nguồn gốc trong mạng