Loading...

PHÂN LOẠI FIREWALL:

FIREWALL TẦNG ỨNG DỤNG & FIREWALL LỌC GÓI:

Nếu dựa vào nguyên lý hoạt động của firewall thì ta có thể chia nó thành hai loại chính: Firewall tầng ứng dụng và Firewall lọc gói tin.

Mặc dầu hoạt động theo hai nguyên lý khác nhau, nhưng với cấu hình phù hợp thì cả hai đều có thể thực hiện các chức năng bảo mật mạng, bằng việc ngăn chặn lưu lượng/gói tin không được phép đi qua nó.

Ngoài ra, có thể xem: Circuite-level Gateway; Stateful Inspection Firewall; Bastion Host là một trong các loại firewall khác.

Sau đây chúng ta sẽ xem xét, làm thế nào để các chính sách bảo mật có hiệu lực trên các loại firewall này.

Firewall tầng ứng dụng (Application Level firewalls)

Firewall tầng ứng dụng, cũng có thể gọi là Proxy, là các gói phần mềm hoạt động trên các hệ điều hành đa năng – như hệ điều hành Windown NT hoặc Unix, hoặc trên các thiết bị firewall.

Loại này có thể có nhiều giao diện (interface) mạng – ít nhất là 2 giao diện, mỗi giao diện được dùng để nối với một mạng được kết nối với nó. Một tập các luật chính sách được định nghĩa, để chỉ ra lưu lượng nào là được phép chuyển từ mạng này sang các mạng khác – hay từ giao diện này qua giao diện khác. Nếu một luật chỉ ra là không cho phép lưu lượng đi qua, thì firewall sẽ từ chối hoặc hủy bỏ các gói tin trong lưu lượng đó .

Tập luật chính sách sẽ có hiệu lực thông qua việc sử dụng các proxy trên firewall. Trên các firewall tầng ứng dụng, mỗi giao thức “được phép” phải có một proxy riêng của nó.

Một proxy tốt là một proxy được xây dựng một cách cụ thể cho một giao thức cụ thể. Ví dụ, proxy FTP hiểu giao thức FTP và chỉ có thể quyết định, cho phép đi qua hoặc bị chặn lại, với các lưu lượng được mang bởi giao thức này, tất nhiên là phải dựa trên các tập luật chính sách đã được định nghĩa.

Với firewall tầng ứng dụng, tất cả các kết nối đều kết thúc trên firewall. Xem hình sau:

Hình này cho thấy, một kết nối bắt đầu ở hệ thống Client và đi tới giao diện bên trong của firewall. Firewall chấp nhận kết nối này, phân tích nội dung của gói và giao thức được sử dụng, và nếu tập luật chính sách cho phép lưu lượng đi qua thì firewall sẽ khởi tạo một kết nối mới từ giao diện bên ngoài của nó đến hệ thống Server.

            Firewall tầng ứng dụng cũng sử dụng các proxy để kiểm soát các kết nối đi vào. Trong trường hợp này, proxy trên firewall sẽ nhận các kết nối đi vào và thực hiện các xử lý cần thiết trước khi lưu lượng được gửi tới hệ thống đích. Nhờ đó mà firewall có thể bảo vệ hệ thống mạng bên trong, ngăn chặn các tấn công được khởi tạo thông qua các ứng dụng.

            Đa số các Firewall tầng ứng dụng đều thiết kế các proxy cho các giao thức thường được sử dụng trong các dịch vụ Internet hiện nay, như là HTTP, SMTP, FTP,Telnet,… Theo đó, chỉ những gói tin được mang bởi các giao thức này mới được xem xét, được đi qua hay bị chặn lại, qua khi đi qua Proxy. Tất nhiên, các gói tin được mang bởi các giao thức khác sẽ không được đi qua Proxy này.

            Firewall tầng ứng dụng cũng “ẩn” địa chỉ IP của các hệ thống phía sau nó. Bởi vì, tất cả kết nối đều khởi tạo và kết thúc trên các giao diện của firewall, các hệ thống bên trong (internal) không “hiện” trực tiếp ra bên ngoài và nhờ đó mà lược đồ địa chỉ IP của mạng bên trong được “ẩn” với thế giới Internet bên ngoài.

Firewall lọc gói (IP Packet Filter Firewalls)

Firewall lọc gói (tin) cũng có thể là các gói phần mềm hoạt động trên các hệ điều hành đa năng – như Windows NT hoặc Unix, hoặc trên các thiết bị firewall.

Firewall loại này có thể có nhiều giao diện mạng – ít nhất là hai giao diện, mỗi giao diện được dùng để nối với một mạng được kết nối với nó. Cũng như các firewall tầng ứng dụng, một tập các luật chính sách được định nghĩa, chỉ ra lưu lượng nào là được phép chuyển từ mạng này sang các mạng khác nào đó. Nếu một luật chỉ ra là không cho phép lưu lượng đi qua, thì firewall sẽ từ chối hoặc hủy bỏ các gói tin trong lưu lượng đó .

Với Firewall lọc gói, các kết nối không kết thúc trên firewall, xem hình sau, nó đi trực tiếp đến hệ thống đích. Khi các gói tin được gửi đến firewall, firewall sẽ kiểm tra xem gói và trạng thái kết nối có được cho phép bởi các luật chính sách đã được định nghĩa hay không. Nếu được phép, gói tin sẽ được gửi đi theo đúng hướng truyền của nó. Nếu không, thì gói sẽ bị từ chối hoặc bị hủy bỏ.

Các firewall lọc gói không dựa vào proxy cho mỗi giao thức, vì thế nó có thể được sử dụng với bất kỳ giao thức nào chạy trên IP. Một số giao thức yêu cầu firewall phải hiểu được chúng đang làm gì.

Ví dụ, FPT sử dụng một kết nối cho khởi tạo logon và một số lệnh nào đó, trong khi một kết nối khác được sử dụng để truyền các file. Kết nối được sử dụng để truyền file được xem như là một phần của kết nối FTP và vì thế firewall phải có khả năng đọc lưu lượng và hiểu các cổng kết nối mới sẽ được sử dụng. Nếu firewall không thể làm được điều này, chuyển giao file sẽ thất bại.

Chú ý: Một cách tương đối: các firewall lọc gói có khả năng xử lý một lượng lưu lượng lớn hơn các firewall ứng dụng.

Firewall lọc gói hoàn toàn không sử dụng các proxy, tức là lưu lượng từ Client được gửi truyền trực tiếp đến Server. Trong trường hợp này, nếu một hacker thực hiện cuộc tấn công chống lại Server trên một dịch vụ mở nào đó, mà dịch vụ này được cho phép bởi các luật chính sách firewall, thì firewall sẽ không cản trở hacker. Firewall lọc gói cũng có thể cho phép lược đồ địa chỉ bên trong được nhìn thấy từ bên ngoài. Địa chỉ bên trong không cần ẩn vì các kết nối không kết thúc trên firewall.

Các luật chính sách có hiệu lực khi sử dụng các bộ lọc kiểm tra gói. Các bộ lọc sẽ kiểm tra các gói và quyết định lưu lượng có được phép đi qua hay không, dựa trên các luật chính sách và trạng thái kết nối hiện tại của giao thức.

An ninh mạng

Ý kiến của bạn

Mã bảo vệ
Làm mới

Hãy đăng quảng cáo trên TuHocAnNinhMang.com

Bài xem nhiều nhất

Tự học lập trình C - Bài 1: Một số khái niệm cơ bản

Khái niệm tên rất quan trọng trong quá trình lập trình, ...

Tự học lập trình JAVA – Bài 1: Bước đầu với Java

Một chương trình java có thể được định nghĩa như là một ...

MySQL – Bài 8: Khóa chính (primary key) và khóa ngoại (foreign key) của table

Với ràng buộc này thì, việc người sử dụng vô tình hay cố ...

Tự học lập trình C - Bài 10: Mảng một chiều

Mảng 1 chiều là tập hợp các phần tử có cùng kiểu dữ ...

Hướng dẫn in ấn trong Word 2007/2010 – Step by Step

[Tự học] - Tiêu đề đầu trang (Header)/tiêu đề cuối ...

Tự học lập trình C - Bài 2: Cấu trúc chương trình C

Một chương trình bao gồm một hoặc nhiều hàm, mỗi hàm ...

Tự học lập trình Assembly - Bài 1: Bước đầu với lập trình Assembly trên vi xử lý Intel 8086/8088

Như đã biết, lệnh ngôn ngữ máy là một dãy các con số 0, ...

Hãy đăng quảng cáo trên TuHocAnNinhMang.com

Về đầu trang Hỏi - Đáp