Loading...

ĐỊNH NGHĨA VÀ PHÂN LOẠI FIREWALL

1. Định nghĩa:

1.1. Giới thiệu về Firewall:

Firewall là một thiết bị – hay một hệ thống – điều khiển truy cập mạng, nó có thể là phần cứng hoặc phần mềm hoặc kết hợp cả hai.

Firewall thường được đặt tại mạng vành đai để đóng vai trò như cổng nối (gateway) bảo mật giữa một mạng tin cậy và mạng không tin cậy, có thể giữa Intranet và Internet hoặc giữa mạng của doanh nghiệp chủ với mạng của đối tác.

Firewall được thiết kế để ngăn chặn tất cả các lưu lượng không được phép và cho phép các lưu lượng được phép đi qua nó.

Vì thế, thiết bị firewall thường bao gồm hai giao tiếp mạng (network interface): Một nối với mạng bên trong (vd: intranet: mạng cần bảo vệ); Một nối với mạng bên ngoài (vd: Internet: mạng không tin cậy).

Ở đây cần phân biệt rõ, về vài trò gateway, giữa router và firewall: Như đã biết, router là thiết bị mạng, thường được sử dụng cho mục tiêu định tuyến lưu lượng mạng (có thể từ chối lưu lượng nào đó). Trong khi đó, firewall là thiết bị bảo mật, có nhiệm vụ giám sát và điều khiển lưu lượng mạng (chỉ cho phép lưu lượng thích hợp đi qua). Trong thực tế, nếu được cấu hình hợp lệ thì router có thể thực hiện một vài chức năng của firewall, nhưng điều ngược lại là khó có thể.  

Ngoài ra, firewall cung cấp một cơ chế cấu hình linh hoạt hơn, nó có thể được cấu hình để cho phép/cấm (allow/deny) các lưu lượng dựa trên dịch vụ, địa chỉ IP của nguồn hoặc đích, hoặc ID của người yêu cầu sử dụng dịch vụ. Nó cũng có thể được cấu hình để ghi lại (log) tất cả các lưu lượng qua nó.

Người quản trị an ninh của hệ thống cũng có thể cấu hình để firewall thực hiện chức năng như là một trung tâm quản lý bảo mật. Tức là, firewall sẽ đóng vai trò cổng nối bảo mật tại mạng vành đai của mạng Tổ chức. Khi đó mọi lưu lượng từ bên ngoài muốn đến tất cả các hệ thống trong phạm vi mạng của một Tổ chức đều phải thông qua firewall.

1.2. Mục tiêu thiết kế một firewall:

  • Tất cả lưu lượng từ mạng bên trong ra bên ngoài hoặc ngược lại phải đi qua firewall. Để đạt được mục tiêu này ta phải khóa tất cả “con đường” vào mạng bên trong, ngoại trừ thông qua firewall.
  • Chỉ có lưu lượng được cho phép, được định nghĩa bởi chính sách bảo mật cục bộ (local security policy), mới được phép đi qua firewall. Nhiều loại firewall khác nhau có thể được sử dụng để cài đặt các loại chính sách bảo mật khác nhau.
  • Bản thân firewall phải có khả năng tránh được sự xâm nhập bất hợp pháp. Để đạt được mục tiêu này cần phải thiết kế một hệ thống tin cậy.

Người quản trị an ninh hệ thống phải luôn hoàn thiện các đặc tính và cấu hình hệ thống, điều này giúp loại bỏ một số rủi ro có thể xảy ra với hệ thống. Nếu hệ thống không được cấu hình hợp lệ thì sẽ tạo điều kiện cho hacker tấn công vào mạng thông qua cácdịch vụ không hợp lệ đó.

1.3. Đặc tính của Firewall:

Sau đây là các kỹ thuật chung nhất mà các firewall sử dụng để điều khiển truy cập và làm cho chính sách bảo mật của site có hiệu lực. Trước đây firewall chỉ tập trung vào điều khiển dịch vụ, nhưng hiện nay chúng có thể thực hiện bốn chức năng cụ thể sau:

  • Điều khiển dịch vụ (service control): Xác định các loại dịch vụ Internet có thể được truy cập, đi ra hoặc đi vào. Firewall có thể lọc lưu lượng dựa vào địa chỉ IP và số hiệu cổng TCP; Có thể cung cấp phần mềm proxy, mà có thể tiếp nhận và phiên dịch mỗi yêu cầu dịch vụ trước khi chuyển tiếp nó; Hoặc tự nó quản lý các phần mềm server như các dịch vụ Web hoặc Mail.
  • Điều khiển hướng (direction control): Xác định hướng mà mỗi dịch vụ cụ thể yêu cầu, là có thể được khởi tạo và được phép thông qua firewall.
  • Điều khiển người sử dụng (user control): Điều khiển truy cập đến một dịch vụ, mà người sử dụng đang cố gắng truy cập đến nó. Đặc trưng này thường được áp dụng cho những người sử dụng bên trong firewall vành đai (người sử dụng cục bộ). Nó cũng có thể được áp dụng cho lưu lượng đi vào, từ những người sử dụng bên ngoài.
  • Điề khiển hành vi (Behaviour Control): Điều khiển các dịch vụ đặc biệt được sử dụng như thế nào. Ví dụ: firewall có thể lọc e-mail để hạn chế thư rác, hoặc nó có thể cho phép truy cập bên ngoài đến duy nhất một phần thông tin trên một server Web cục bộ.

1.4. Thuận lợi và hạn chế của Firewall:

Thuận lợi:

  • Firewall định nghĩa một “choke point” đơn, làm cho người sử dụng bất hợp pháp không tiếp cận được mạng được bảo vệ, giúp bảo vệ mạng chống lại các tấn công theo kiểu spoofing IP và routing IP. Việc sử dụng “choke point” đơn làm cho việc quản lý bảo mật trở nên đơn giản hơn, vì những khả năng bảo mật được kết hợp trên một hệ thống đơn hoặc một tập các hệ thống.
  • Firewall cung cấp một vị trí để giám sát các sự kiện liên quan đến bảo mật. Việc kiểm toán (audit) và cảnh báo (alarm) cũng có thể được cài đặt trên hệ thống firewall.
  • Firewall là một hệ nền tiện lợi cho nhiều chức năng Internet không liên quan đến bảo mật, bao gồm, chức năng NAT (network address translator): ánh xạ địa chỉ mạng cục bộ thành địa chỉ Internet, và chức năng quản trị mạng: kiểm toán và ghi lại các thông tin liên quan đến việc sử dụng Internet.
  • Firewall có thể phục vụ như là một hệ nền cho IPSec. Khi chế độ đường hầm được triển khai, firewall có thể được sử dụng để cài đặt các mạng riêng ảo.

Hạn chế:

  • Firewall không thể bảo vệ để chống lại các tấn công không đi qua firewall. Các hệ thống nội bộ có thể có khả năng dial-out để kết nối với một ISP. Một LAN nội bộ có thể hỗ trợ một modem pool, mà nó cung cấp khả năng dial-in cho nhân viên lưu động.
  • Firewall không thể chống lại các nguy cơ tấn công từ chính bên trong mạng nội bộ mà nó bảo vệ, nhất là khi có một người sử dụng từ bên trong hợp tác với kẻ tấn công bên ngoài.
  • Firewall không thể bảo vệ chống lại việc chuyển các chương trình hoặc file có virus đi qua nó.

2. Phân loại ffirewall:

An ninh mang

Từ khóa:

Ý kiến của bạn

Mã bảo vệ
Làm mới

Hãy đăng quảng cáo trên TuHocAnNinhMang.com

Bài xem nhiều nhất

Tự học lập trình C - Bài 1: Một số khái niệm cơ bản

Khái niệm tên rất quan trọng trong quá trình lập trình, ...

Tự học lập trình JAVA – Bài 1: Bước đầu với Java

Một chương trình java có thể được định nghĩa như là một ...

Tự học lập trình C - Bài 10: Mảng một chiều

Mảng 1 chiều là tập hợp các phần tử có cùng kiểu dữ ...

MySQL – Bài 8: Khóa chính (primary key) và khóa ngoại (foreign key) của table

Với ràng buộc này thì, việc người sử dụng vô tình hay cố ...

Hướng dẫn in ấn trong Word 2007/2010 – Step by Step

[Tự học] - Tiêu đề đầu trang (Header)/tiêu đề cuối ...

Tự học lập trình C - Bài 2: Cấu trúc chương trình C

Một chương trình bao gồm một hoặc nhiều hàm, mỗi hàm ...

Tự học lập trình Assembly - Bài 1: Bước đầu với lập trình Assembly trên vi xử lý Intel 8086/8088

Như đã biết, lệnh ngôn ngữ máy là một dãy các con số 0, ...

Hãy đăng quảng cáo trên TuHocAnNinhMang.com

Về đầu trang Hỏi - Đáp