ĐỊNH NGHĨA VÀ PHÂN LOẠI FIREWALL
Định nghĩa
Giới thiệu về Firewall
Firewall là một thiết bị – hay một hệ thống – điều khiển truy cập mạng, nó có thể là phần cứng hoặc phần mềm hoặc kết hợp cả hai.
Firewall thường được đặt tại mạng vành đai để đóng vai trò như cổng nối (gateway) bảo mật giữa một mạng tin cậy và mạng không tin cậy, có thể giữa Intranet và Internet hoặc giữa mạng của doanh nghiệp chủ với mạng của đối tác.
Firewall được thiết kế để ngăn chặn tất cả các lưu lượng không được phép và cho phép các lưu lượng được phép đi qua nó.
Vì thế, thiết bị firewall thường bao gồm hai giao tiếp mạng (network interface): Một nối với mạng bên trong (vd: intranet: mạng cần bảo vệ); Một nối với mạng bên ngoài (vd: Internet: mạng không tin cậy).
Ở đây cần phân biệt rõ, về vài trò gateway, giữa router và firewall: Như đã biết, router là thiết bị mạng, thường được sử dụng cho mục tiêu định tuyến lưu lượng mạng (có thể từ chối lưu lượng nào đó). Trong khi đó, firewall là thiết bị bảo mật, có nhiệm vụ giám sát và điều khiển lưu lượng mạng (chỉ cho phép lưu lượng thích hợp đi qua). Trong thực tế, nếu được cấu hình hợp lệ thì router có thể thực hiện một vài chức năng của firewall, nhưng điều ngược lại là khó có thể.
Ngoài ra, firewall cung cấp một cơ chế cấu hình linh hoạt hơn, nó có thể được cấu hình để cho phép/cấm (allow/deny) các lưu lượng dựa trên dịch vụ, địa chỉ IP của nguồn hoặc đích, hoặc ID của người yêu cầu sử dụng dịch vụ. Nó cũng có thể được cấu hình để ghi lại (log) tất cả các lưu lượng qua nó.
Người quản trị an ninh của hệ thống cũng có thể cấu hình để firewall thực hiện chức năng như là một trung tâm quản lý bảo mật. Tức là, firewall sẽ đóng vai trò cổng nối bảo mật tại mạng vành đai của mạng Tổ chức. Khi đó mọi lưu lượng từ bên ngoài muốn đến tất cả các hệ thống trong phạm vi mạng của một Tổ chức đều phải thôMục tiêu thiết kế một firewall:ng qua firewall.
Mục tiêu thiết kế một firewall
- Tất cả lưu lượng từ mạng bên trong ra bên ngoài hoặc ngược lại phải đi qua firewall. Để đạt được mục tiêu này ta phải khóa tất cả “con đường” vào mạng bên trong, ngoại trừ thông qua firewall.
- Chỉ có lưu lượng được cho phép, được định nghĩa bởi chính sách bảo mật cục bộ (local security policy), mới được phép đi qua firewall. Nhiều loại firewall khác nhau có thể được sử dụng để cài đặt các loại chính sách bảo mật khác nhau.
- Bản thân firewall phải có khả năng tránh được sự xâm nhập bất hợp pháp. Để đạt được mục tiêu này cần phải thiết kế một hệ thống tin cậy.
Người quản trị an ninh hệ thống phải luôn hoàn thiện các đặc tính và cấu hình hệ thống, điều này giúp loại bỏ một số rủi ro có thể xảy ra với hệ thống. Nếu hệ thống không được cấu hình hợp lệ thì sẽ tạo điều kiện cho hacker tấn công vào mạng thông qua cácdịch vụ không hợp lệ đó.
Đặc tính của Firewall
Sau đây là các kỹ thuật chung nhất mà các firewall sử dụng để điều khiển truy cập và làm cho chính sách bảo mật của site có hiệu lực. Trước đây firewall chỉ tập trung vào điều khiển dịch vụ, nhưng hiện nay chúng có thể thực hiện bốn chức năng cụ thể sau:
- Firewall định nghĩa một “choke point” đơn, làm cho người sử dụng bất hợp pháp không tiếp cận được mạng được bảo vệ, giúp bảo vệ mạng chống lại các tấn công theo kiểu spoofing IP và routing IP. Việc sử dụng “choke point” đơn làm cho việc quản lý bảo mật trở nên đơn giản hơn, vì những khả năng bảo mật được kết hợp trên một hệ thống đơn hoặc một tập các hệ thống.
- Firewall cung cấp một vị trí để giám sát các sự kiện liên quan đến bảo mật. Việc kiểm toán (audit) và cảnh báo (alarm) cũng có thể được cài đặt trên hệ thống firewall.
- Firewall là một hệ nền tiện lợi cho nhiều chức năng Internet không liên quan đến bảo mật, bao gồm, chức năng NAT (network address translator): ánh xạ địa chỉ mạng cục bộ thành địa chỉ Internet, và chức năng quản trị mạng: kiểm toán và ghi lại các thông tin liên quan đến việc sử dụng Internet.
- Firewall có thể phục vụ như là một hệ nền cho IPSec. Khi chế độ đường hầm được triển khai, firewall có thể được sử dụng để cài đặt các mạng riêng ảo.
Thuận lợi và hạn chế của Firewall
Thuận lợi:
- Firewall định nghĩa một “choke point” đơn, làm cho người sử dụng bất hợp pháp không tiếp cận được mạng được bảo vệ, giúp bảo vệ mạng chống lại các tấn công theo kiểu spoofing IP và routing IP. Việc sử dụng “choke point” đơn làm cho việc quản lý bảo mật trở nên đơn giản hơn, vì những khả năng bảo mật được kết hợp trên một hệ thống đơn hoặc một tập các hệ thống.
- Firewall cung cấp một vị trí để giám sát các sự kiện liên quan đến bảo mật. Việc kiểm toán (audit) và cảnh báo (alarm) cũng có thể được cài đặt trên hệ thống firewall.
- Firewall là một hệ nền tiện lợi cho nhiều chức năng Internet không liên quan đến bảo mật, bao gồm, chức năng NAT (network address translator): ánh xạ địa chỉ mạng cục bộ thành địa chỉ Internet, và chức năng quản trị mạng: kiểm toán và ghi lại các thông tin liên quan đến việc sử dụng Internet.
- Firewall có thể phục vụ như là một hệ nền cho IPSec. Khi chế độ đường hầm được triển khai, firewall có thể được sử dụng để cài đặt các mạng riêng ảo.
Hạn chế:
- Firewall không thể bảo vệ để chống lại các tấn công không đi qua firewall. Các hệ thống nội bộ có thể có khả năng dial-out để kết nối với một ISP. Một LAN nội bộ có thể hỗ trợ một modem pool, mà nó cung cấp khả năng dial-in cho nhân viên lưu động.
- Firewall không thể chống lại các nguy cơ tấn công từ chính bên trong mạng nội bộ mà nó bảo vệ, nhất là khi có một người sử dụng từ bên trong hợp tác với kẻ tấn công bên ngoài.
- Firewall không thể bảo vệ chống lại việc chuyển các chương trình hoặc file có virus đi qua nó.
Phân loại Firewall
Firewall tầng ứng dụng & Firewall lọc gói
Nếu dựa vào nguyên lý hoạt động của firewall thì ta có thể chia nó thành hai loại chính: Firewall tầng ứng dụng và Firewall lọc gói tin.
Mặc dù hoạt động theo hai nguyên lý khác nhau, nhưng với cấu hình phù hợp thì cả hai đều có thể thực hiện các chức năng bảo mật mạng, bằng việc ngăn chặn lưu lượng/gói tin không được phép đi qua nó.
Ngoài ra, có thể xem: Circuite-level Gateway; Stateful Inspection Firewall; Bastion Host là một trong các loại firewall khác.
Sau đây chúng ta sẽ xem xét, làm thế nào để các chính sách bảo mật có hiệu lực trên các loại firewall này.
Firewall tầng ứng dụng (Application Level firewalls)
Firewall tầng ứng dụng, cũng có thể gọi là Proxy, là các gói phần mềm hoạt động trên các hệ điều hành đa năng – như hệ điều hành Windown NT hoặc Unix, hoặc trên các thiết bị firewall.
Loại này có thể có nhiều giao diện (interface) mạng – ít nhất là 2 giao diện, mỗi giao diện được dùng để nối với một mạng được kết nối với nó. Một tập các luật chính sách được định nghĩa, để chỉ ra lưu lượng nào là được phép chuyển từ mạng này sang các mạng khác – hay từ giao diện này qua giao diện khác. Nếu một luật chỉ ra là không cho phép lưu lượng đi qua, thì firewall sẽ từ chối hoặc hủy bỏ các gói tin trong lưu lượng đó.
Tập luật chính sách sẽ có hiệu lực thông qua việc sử dụng các proxy trên firewall. Trên các firewall tầng ứng dụng, mỗi giao thức “được phép” phải có một proxy riêng của nó.
Một proxy tốt là một proxy được xây dựng một cách cụ thể cho một giao thức cụ thể. Ví dụ, proxy FTP hiểu giao thức FTP và chỉ có thể quyết định, cho phép đi qua hoặc bị chặn lại, với các lưu lượng được mang bởi giao thức này, tất nhiên là phải dựa trên các tập luật chính sách đã được định nghĩa.
Với firewall tầng ứng dụng, tất cả các kết nối đều kết thúc trên firewall. Xem hình sau:
Hình này cho thấy, một kết nối bắt đầu ở hệ thống Client và đi tới giao diện bên trong của firewall. Firewall chấp nhận kết nối này, phân tích nội dung của gói và giao thức được sử dụng, và nếu tập luật chính sách cho phép lưu lượng đi qua thì firewall sẽ khởi tạo một kết nối mới từ giao diện bên ngoài của nó đến hệ thống Server.
Trong trường hợp này, proxy trên firewall sẽ nhận các kết nối đi vào và thực hiện các xử lý cần thiết trước khi lưu lượng được gửi tới hệ thống đích. Nhờ đó mà firewall có thể bảo vệ hệ thống mạng bên trong, ngăn chặn các tấn công được khởi tạo thông qua các ứng dụng.
Đa số các Firewall tầng ứng dụng đều thiết kế các proxy cho các giao thức thường được sử dụng trong các dịch vụ Internet hiện nay, như là HTTP, SMTP, FTP,Telnet,… Theo đó, chỉ những gói tin được mang bởi các giao thức này mới được xem xét, được đi qua hay bị chặn lại, qua khi đi qua Proxy. Tất nhiên, các gói tin được mang bởi các giao thức khác sẽ không được đi qua Proxy này.
Firewall tầng ứng dụng cũng “ẩn” địa chỉ IP của các hệ thống phía sau nó. Bởi vì, tất cả kết nối đều khởi tạo và kết thúc trên các giao diện của firewall, các hệ thống bên trong (internal) không “hiện” trực tiếp ra bên ngoài và nhờ đó mà lược đồ địa chỉ IP của mạng bên trong được “ẩn” với thế giới Internet bên ngoài.
Firewall lọc gói (IP Packet Filter Firewalls)
Firewall lọc gói (tin) cũng có thể là các gói phần mềm hoạt động trên các hệ điều hành đa năng – như Windows NT hoặc Unix, hoặc trên các thiết bị firewall.
Firewall loại này có thể có nhiều giao diện mạng – ít nhất là hai giao diện, mỗi giao diện được dùng để nối với một mạng được kết nối với nó. Cũng như các firewall tầng ứng dụng, một tập các luật chính sách được định nghĩa, chỉ ra lưu lượng nào là được phép chuyển từ mạng này sang các mạng khác nào đó. Nếu một luật chỉ ra là không cho phép lưu lượng đi qua, thì firewall sẽ từ chối hoặc hủy bỏ các gói tin trong lưu lượng đó .
Với Firewall lọc gói, các kết nối không kết thúc trên firewall, xem hình sau, nó đi trực tiếp đến hệ thống đích. Khi các gói tin được gửi đến firewall, firewall sẽ kiểm tra xem gói và trạng thái kết nối có được cho phép bởi các luật chính sách đã được định nghĩa hay không. Nếu được phép, gói tin sẽ được gửi đi theo đúng hướng truyền của nó. Nếu không, thì gói sẽ bị từ chối hoặc bị hủy bỏ.
Các firewall lọc gói không dựa vào proxy cho mỗi giao thức, vì thế nó có thể được sử dụng với bất kỳ giao thức nào chạy trên IP. Một số giao thức yêu cầu firewall phải hiểu được chúng đang làm gì.
Ví dụ, FPT sử dụng một kết nối cho khởi tạo logon và một số lệnh nào đó, trong khi một kết nối khác được sử dụng để truyền các file. Kết nối được sử dụng để truyền file được xem như là một phần của kết nối FTP và vì thế firewall phải có khả năng đọc lưu lượng và hiểu các cổng kết nối mới sẽ được sử dụng. Nếu firewall không thể làm được điều này, chuyển giao file sẽ thất bại.
Chú ý: Một cách tương đối: các firewall lọc gói có khả năng xử lý một lượng lưu lượng lớn hơn các firewall ứng dụng.
Firewall lọc gói hoàn toàn không sử dụng các proxy, tức là lưu lượng từ Client được gửi truyền trực tiếp đến Server. Trong trường hợp này, nếu một hacker thực hiện cuộc tấn công chống lại Server trên một dịch vụ mở nào đó, mà dịch vụ này được cho phép bởi các luật chính sách firewall, thì firewall sẽ không cản trở hacker. Firewall lọc gói cũng có thể cho phép lược đồ địa chỉ bên trong được nhìn thấy từ bên ngoài. Địa chỉ bên trong không cần ẩn vì các kết nối không kết thúc trên firewall.
Các luật chính sách có hiệu lực khi sử dụng các bộ lọc kiểm tra gói. Các bộ lọc sẽ kiểm tra các gói và quyết định lưu lượng có được phép đi qua hay không, dựa trên các luật chính sách và trạng thái kết nối hiện tại của giao thức.