Tường lửa cho hệ thống mạng – Các khái niệm cơ bản

06/05/2013 17:53

Để hệ thống mạng được an toàn, đòi hỏi bạn phải có một hệ thống tường lửa bằng phần cứng hay phần mềm mạnh mẽ, uyển chuyển.

Tường lửa là gì?

Tường lửa (Firewall) là một thuật ngữ dùng mô tả những thiết bị hay phần mềm có nhiệm vụ lọc những thông tin đi vào hay đi ra một hệ thống mạng hay máy tính theo những quy định đã được cài đặt trước đó. Mục tiêu của việc sử dụng tường lửa là tạo ra những kết nối an toàn từ vùng mạng bên trong ra bên ngoài hệ thống, cũng như đảm bảo không có những truy cập trái phép từ bên ngoài vào những máy chủ và thiết bị bên trong hệ thống mạng. Để có một tường lửa tốt trong hệ thống, đòi hỏi bạn phải có một hệ thống tường lửa bằng phần cứng hay phần mềm mạnh mẽ, uyển chuyển, cùng với những kỹ năng và kiến thức chuyên sâu để kiểm soát chúng.

Phân loại tường lửa

Có khá nhiều cách để phân loại tường lửa, tùy theo cách chọn lựa tiêu chí đánh giá:

Tường lửa cá nhân hay tường lửa hệ thống:

Tường lửa cá nhân được cài đặt trên các máy chủ và máy tính cá nhân, chủ yếu ngăn chặn các truy cập trái phép từ máy tính này vào máy tính khác trong cùng một mạng. Bạn có thể dùng chức năng tường lửa có sẵn trong Windows, Linux hay cài thêm các phần mềm của các hãng bảo mật như Comodo, Symantec Endpoint Protection, Kaspersky Internet Security...Tường lửa hệ thống ngăn chặn việc truy cập trái phép giữa các phân vùng mạng trong hệ thống như LAN, WAN, DMZ.

Tường lửa dựa trên nền phần mềm hay phần cứng:

Tường lửa có thể được xây dựng trên nền một phần mềm cài trên một máy chủ như ISA của Microsoft hay FireWall-1 của CheckPoint. Tường lửa cũng có thể được tích hợp vào một phần cứng chuyên dụng như ASA của Cisco , hay NetScreen của Juniper.

Lọc tại tầng mạng hay tầng ứng dụng:

Tường lửa thường được thiết kế để hoạt động ở tại một trong hai tầng 3 (Network) và tầng 7 (Application). Nếu hoạt động ở tầng Network, tường lửa sẽ lọc các gói tin ở tầng này, được gọi là các packet dựa trên các địa chỉ mạng gửi đi hay đích đến mà không quan tâm đến việc nó thuộc ứng dụng gì. Tường lửa hoạt động ở lớp 7 thì có thể ngăn các ứng dụng cụ thể gửi thông tin vào hay ra khỏi hệ thống mạng.

Tường lửa dùng công nghệ lọc gói hay dò trạng thái

Tường lửa cũng được đánh giá và phân loại theo cách hoạt động của chúng. Những tường lửa hoạt động theo cách lọc gói (Packet filtering) sẽ sẽ phải phân tích từng gói tin một khi chúng đi xuyên qua. Tùy theo việc cấu hình chính sách, gói tin nào được phép sẽ được đi qua, còn ngược lại sẽ bị hủy.

Kỹ thuật dò trạng thái (Stateful inspection) là một kỹ thuật cao cấp trong việc xây dựng tường lửa. Nó chỉ tiến hành lọc gói dữ liệu lần đầu và tạo dấu hiệu nhận dạng gói tin để đưa vào một cơ sở dữ liệu. Các gói tin về sau sẽ được dò tìm dấu hiệu nhận dạng này và cho phép hoặc cấm đi qua tường lửa. Những tường lửa hoạt động theo kỹ thuật dò trạng thái sẽ làm việc với một hiệu suất cao hơn nhiều so với tường lửa hoạt động theo dạng lọc gói.

Vị trí lắp đặt của Firewall trong hệ thống

Tường lửa luôn được lắp đặt ở vùng biên giới của hệ thống mạng hay hệ thống máy tính. Tường lửa cá nhân sau khi được cài đặt sẽ chiếm giữ việc quản lý các thông tin đi vào hay đi ra cổng giao tiếp mạng của máy tính. Tường lửa hệ thống sẽ được lắp đặt ngay sau thiết bị kết nối WAN, như Router sử dụng đường kênh thuê riêng (leased-line), hay Router ADSL.

Các phân vùng mạng kết nối vào Firewall

Tường lửa là thiết bị lọc và bảo vệ các phân vùng mạng, nên hầu hết các phân vùng mạng đều phải kết nối vào một cổng giao tiếp nào đó của tường lửa. Các phân vùng chính, có ở hầu hết các hệ thống mạng và tường lửa là:

LAN hay Internal: là vùng mạng chỉ gồm máy tính của người dùng cuối, người quản trị... Vùng này thường được xem là vùng an toàn. Việc kết nối từ vùng này ra bên ngoài thường được tường lửa chấp nhận.

WAN hay External: là vùng mạng kết nối ra bên ngoài, ví dụ như kết nối đến các điểm mạng khác, hay kết nối ra Internet. Vùng này được xem là vùng nguy hiểm. Việc kết nối từ vùng này vào mạng LAN hay Internal mặc định bị tường lửa cấm.

DMZ (Demilitarized zone): được xem là một vùng trung gian, và chỉ có trong tường lửa hệ thống. Vùng này thường để đặt các máy chủ cung cấp các dịch vụ mạng. Người dùng có thể truy cập vào các máy chủ ở vùng này khi đi xuyên qua và chịu sự kiểm soát của tường lửa. Người dùng từ mạng LAN muốn truy cập vào vùng này cũng cần được sự cho phép của tường lửa. Cách sử dụng phân vùng mạng này giúp cho phép mạng bên ngoài có thể truy cập vào các máy chủ dịch vụ cần thiết của hệ thống một cách giới hạn, mà vẫn không xâm phạm được vào hệ thống LAN bên trong. Nó cũng đảm bảo rằng người dùng xấu trong mạng LAN không thực hiện được các “tấn công ngược” vào khu vực các máy chủ.

Các tính năng mở rộng thường được tích hợp vào tường lửa

Các nhà sản xuất thường kết hợp thêm một vài tính năng mở rộng vào các sản phẩm tường lửa. Những tính năng đó bổ trợ và làm tăng khả năng bảo mật của tường lửa cũng như tính tiện dụng của chúng như:

Phát hiện và chống tấn công: tính năng này thường mệnh danh là hệ phát hiện tấn công (IDS-Intrusion Detection Systems), hệ bảo vệ chống tấn công (IPS - Intrusion Protection Systems), hay hệ phát hiện và ngăn ngừa tấn công (IDP - Intrusion Detection and Prevention). Những hệ này quan sát, phân tích toàn bộ các gói tin vào ra hệ thống mạng và phát hiện cũng như tìm cách chống trả lại các tấn công. Do cần phải đọc toàn bộ các gói tin, nên vị trí lắp đặt hệ thống này là trùng lắp với vị trí tường lửa. Vì thế, tích hợp tính năng này vào thiết bị tường lửa là hoàn toàn hợp lý.

Mạng riêng ảo (VPN): Tường lửa nằm ở vị trí kết nối với mạng WAN, nên nó cũng phù hợp với vị trí của thiết bị máy chủ nhận kết nối mạng riêng ảo từ bên ngoài vào hệ thống. Sau khi hoàn tất kết nối, tường lửa cũng sẽ kiểm soát người dùng VPN được phép truy cập vào phân vùng mạng nào, cũng như cấm xâm nhập vào các phân vùng mạng khác.

Bộ đệm web (Proxy):các tường lửa dạng phần mềm, và sử dụng kỹ thuật dò trạng thái (Stateful inspection) như ISA chẳng hạn, thường tích hợp thêm tính năng bộ đệm nội dung web. Như vậy, ngoài khả năng lọc dữ liệu theo từng ứng dụng, nó còn hỗ trợ thêm việc làm bộ đệm và lọc nội dung web đối với người dùng trong mạng LAN.

Nguy cơ khi sử dụng tường lửa

Hai nguy cơ chính mà bạn thường gặp khi sử dụng tường lửa trong hệ thống mạng là cấu hình sai và lỗi phần mềm. Do chưa nắm vững kỹ thuật cấu hình, đưa ra các chính sách bảo mật không phù hợp hoặc sai lầm trong quá trình thực hiện, tường lửa có thể khóa cứng hệ thống hoặc trở nên mất tác dụng bảo vệ hệ thống, để cho bất kỳ ai từ ngoài Internet cũng có thể truy cập vào các phân vùng mạng bên trong.

Nguy cơ thứ hai, khó tránh hơn, là các lỗi Zero-day xảy ra với phần mềm tường lửa, kể cả với thiết bị phần cứng. Các lỗi Zero-day là các lỗi đã được giới hacker phát hiện ra, nhưng các nhà sản xuất chưa biết hoặc chưa kịp đưa ra giải pháp để khắc phục, sửa lỗi hay thông báo với người dùng.

Để khắc phục phần nào các nguy cơ này, người quản trị tường lửa cần có kiến thức tốt về sản phẩm của mình đang sử dụng, cẩn thận khi thực hiện việc cấu hình, và thường xuyên cập nhật các bản vá lỗi sản phẩm.

Giải pháp tường lửa nâng cao

Việc sử dụng một tường lửa duy nhất trong hệ thống có khá nhiều yếu điểm và nguy cơ như đã nói ở trên. Nguyên nhân là hệ thống thông tin của công ty chỉ có một bộ lọc duy nhất với các mối nguy hại từ bên ngoài. Nếu tấn công và đi xuyên qua được bức tường lửa duy nhất này, hacker sẽ có thể xâm nhập vào bất cứ phân vùng mạng nào trong hệ thống.

Giải pháp là sử dụng hai lớp tường lửa, mặc dù chi phí sẽ cao hơn, nhưng đây có thể được xem như một giải pháp cực kỳ an toàn cho hệ thống mạng bên trong.

Bạn có thể tăng cường tính bảo mật hơn nữa bằng cách triển khai hai hệ thống tường lửa của hai nhà sản xuất khác nhau. Một kẻ tấn công phải sử dụng hai phương pháp khác nhau để xâm nhập vào hệ thống, và đó chính là thời gian để chúng ta có thể phát hiện và khắc phục sự cố. Trường hợp một trong hai loại tường lửa bị sự cố lỗi Zero-day, thì tường lửa thứ hai chính là tấm lá chắn còn lại trước sự tấn công của các hacker. Giải pháp này cũng làm giảm khả năng chịu tải trên hai tường lửa được sử dụng, thiết bị phía ngoài sẽ ngăn chặn và lọc bớt các tấn công từ Internet trước khi chúng vào đến tường lửa bên trong. Ngược lại, tường lửa bên trong lại là bộ lọc các luồng dữ liệu không cần thiết từ bên trong trước khi chúng ra được đến thiết bị bên ngoài giao tiếp với mạng WAN.

THANH DUY - TUYẾT PHONG

Ý kiến bạn đọc (0)
Tên   Email

Lên đầu trang