Link: http://forum.saobacdau-acad.vn/showthread.php?t=964
1.Định Nghĩa
Khi máy tính kết nối với Internet hay trong một môi trường mạng cục bộ, khi đó tất cả các giao tiếp của mạng nội bộ với thế giới bên ngoài coi như là bỏ ngỏ, mọi thông tin dữ liệu trên máy tính của mạng nội bộ không có sự bảo vệ. Điều này được ví như nhà không có khóa cửa, khi đó mọi đồ đạc trong nhà? Dĩ nhiên không ai nói trước được điều này. Nếu khu vực sống là một môi trường lành mạnh, ở đó không có sự “nhòm ngó” thì đồ đạc vẫn nguyên, còn ngược lại tất nhiên là chúng đã bị lấy cắp và điều này trong xã hội hiện nay là đương nhiên khi không có sự phòng vệ thích đáng.
Dữ liệu trong máy tính cũng như thế, nếu người dùng không bảo vệ chúng, không có khóa bảo vệ, không có những chính sách bảo mật, cơ hội bị mất hay thất thoát là điều không thể tránh khỏi. Để hạn chế tình trạng này và cũng là để góp phần làm tăng khả năng bảo mật thì việc xây dựng hệ thống tường lửa FireWall là điều kiện không thể thiếu. Vậy FireWall là gì?
Thuật ngữ FireWall theo như trong tài liệu kỹ thuật thiết kế xây dựng: là bức tường để ngăn chặn, hạn chế hoả hoạn từ bên trong ra bên ngoài và ngược lại, nó góp phần đảm bảo an toàn cho kiến trúc công trình, cho nội thất bên trong.
Trong Tin học, FireWall là một kỹ thuật được tích hợp vào hệ thống mạng để chống lại sự truy cập trái phép nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ thông của một số hacker hay gián điệp.
FireWall được miêu tả như là hệ phòng thủ bao quanh với các “chốt” kết nối để kiểm soát tất cả các luồng thông tin nhập xuất. FireWall có thể theo dõi và khóa truy cập tại các chốt này.
Các mạng riêng nối với Internet thường bị đe dọa bởi những kẻ tấn công. Để bảo vệ dữ liệu bên trong người ta thường dùng FireWall. FireWall cho phép người dùng hợp lệ đi qua và chặn lại những người dùng không hợp lệ.
FireWall có thể là thiết bị phần cứng hoặc chương trình phần mềm hoặc kết hợp cả hai. Trong mọi trường hợp, nó phải có ít nhất hai giao tiếp mạng, một cho mạng mà nó bảo vệ, một cho mạng bên ngoài. FireWall có thể là gateway hoặc điểm nối liền giữa hai mạng, thường là một mạng riêng và một mạng công cộng như là Internet. Các FireWall đầu tiên là các router đơn giản.
Firewall mền
2. Chức Năng
Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet và Internet. Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và mạng Internet.
Cụ thể là: Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet). Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet vào Intranet). Theo dõi luồng dữ liệu mạng giữa Internet và Intranet. Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập. Kiểm soát người sử dụng và việc truy nhập của ng¬ời sử dụng. Kiểm soát nội dung thông tin thông tin chuyển trên mạng.
3 Kỹ thuật hoạt động
Tường lửa hoạt động dựa trên ba kỹ thuật sau:
• Packet Filtering: Để giới hạn thông tin đi vào một mạng hoặc thông tin di chuyển từ một đoạn mạng này sang một đoạn mạng khác. Packet filtering sử dụng danh sách điều khiển truy cập(ACLs), nó cho phép một tường lửa xác nhận(permit) hay phủ định(deny) việc truy cập dựa trên kiểu của gói tin và các biến khác.
Phương pháp này có hiệu quả khi một mạng được bảo vệ nhận gói tin từ mạng không được bảo vệ. Bất kỳ gói tin nào được gửi đến một mạng đã được bảo vệ và không đúng với các tiêu chuẩn được định nghĩa vởi ACLs thì đều bị hủy(drop).
Một số vấn đề với Packet Filtering:
- Các gói tin bất kỳ có thể được gửi đi mà nó phù hợp với các tiêu chuẩn của ACL thì sẽ đi qua được bộ lọc.
- Các gói tin có thể đi qua được bộ lọc theo từng đoạn.
- ACL phức tạp là rất khó thực thi và duy trì một cách đúng đắn.
- Một số service không thể lọc được.
• Proxy Server: Một Proxy server là một thiết bị tường lửa mà nó quyết định một gói tin tại lớp cao hơn của mô hình OSI. Thiết bị này có giá trị ẩn dữ liệu bằng cách yêu cầu người sử dụng giao tiếp với một hệ thống bảo mật có nghĩa là một Proxy. Người sử dụng dành quyền truy cập đến một mạng bằng cách đi qua một tiến trình, tiến trình sẽ thiết lập một trạng thái phiên, chứng thực người dùng và chính sách cấp quyền. Điều này có nghĩa là người sử dụng kết nối đến các dịch vụ bên ngoài thông qua chương trình ứng dụng (Proxies) đang chạy trên cổng dùng để kết nối đến vùng không được bảo vệ phía ngoài.
Tuy nhiên cũng có những vấn đề với Proxy Server:
- Tạo một cùng lỗ chung, nó có nghĩa là nếu cổng vào mạng bị sập thì sau đó toàn bộ mạng cũng bị sập.
- Nó rất khó để thêm các dịch vụ mới vào firewall.
- Thực thi chậm.
• Stateful Packet Filtering: Kết hợp tốt nhất giữa hai kỹ thuật Packet Filtering và Proxy Server.
Hiệu quả của kỹ thuật này:
- Làm việc trên các gói tin và cổng kết nối.
- Nó hoạt động ở mức cao hơn so với hai kỹ thuật trước.
- Nó ghi dữ liệu trong một bảng cho mỗi kết nối. Bảng này như là một điểm tham chiếu để xác định gói tin có thuộc về một kết nối đang tồn tại hay không hoặc từ một nguồn trái phép.
Đầy là một phần nhỏ trong CHuyên đề của mình...Rất mong cùng mọi người thảo luận....
Khi máy tính kết nối với Internet hay trong một môi trường mạng cục bộ, khi đó tất cả các giao tiếp của mạng nội bộ với thế giới bên ngoài coi như là bỏ ngỏ, mọi thông tin dữ liệu trên máy tính của mạng nội bộ không có sự bảo vệ. Điều này được ví như nhà không có khóa cửa, khi đó mọi đồ đạc trong nhà? Dĩ nhiên không ai nói trước được điều này. Nếu khu vực sống là một môi trường lành mạnh, ở đó không có sự “nhòm ngó” thì đồ đạc vẫn nguyên, còn ngược lại tất nhiên là chúng đã bị lấy cắp và điều này trong xã hội hiện nay là đương nhiên khi không có sự phòng vệ thích đáng.
Dữ liệu trong máy tính cũng như thế, nếu người dùng không bảo vệ chúng, không có khóa bảo vệ, không có những chính sách bảo mật, cơ hội bị mất hay thất thoát là điều không thể tránh khỏi. Để hạn chế tình trạng này và cũng là để góp phần làm tăng khả năng bảo mật thì việc xây dựng hệ thống tường lửa FireWall là điều kiện không thể thiếu. Vậy FireWall là gì?
Thuật ngữ FireWall theo như trong tài liệu kỹ thuật thiết kế xây dựng: là bức tường để ngăn chặn, hạn chế hoả hoạn từ bên trong ra bên ngoài và ngược lại, nó góp phần đảm bảo an toàn cho kiến trúc công trình, cho nội thất bên trong.
Trong Tin học, FireWall là một kỹ thuật được tích hợp vào hệ thống mạng để chống lại sự truy cập trái phép nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ thông của một số hacker hay gián điệp.
FireWall được miêu tả như là hệ phòng thủ bao quanh với các “chốt” kết nối để kiểm soát tất cả các luồng thông tin nhập xuất. FireWall có thể theo dõi và khóa truy cập tại các chốt này.
Các mạng riêng nối với Internet thường bị đe dọa bởi những kẻ tấn công. Để bảo vệ dữ liệu bên trong người ta thường dùng FireWall. FireWall cho phép người dùng hợp lệ đi qua và chặn lại những người dùng không hợp lệ.
FireWall có thể là thiết bị phần cứng hoặc chương trình phần mềm hoặc kết hợp cả hai. Trong mọi trường hợp, nó phải có ít nhất hai giao tiếp mạng, một cho mạng mà nó bảo vệ, một cho mạng bên ngoài. FireWall có thể là gateway hoặc điểm nối liền giữa hai mạng, thường là một mạng riêng và một mạng công cộng như là Internet. Các FireWall đầu tiên là các router đơn giản.
 | This image has been resized. Click this bar to view the full image. The original image is sized 662x98. |
Firewall cứng
Firewall mền
2. Chức Năng
Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet và Internet. Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và mạng Internet.
Cụ thể là: Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet). Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet vào Intranet). Theo dõi luồng dữ liệu mạng giữa Internet và Intranet. Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập. Kiểm soát người sử dụng và việc truy nhập của ng¬ời sử dụng. Kiểm soát nội dung thông tin thông tin chuyển trên mạng.
3 Kỹ thuật hoạt động
Tường lửa hoạt động dựa trên ba kỹ thuật sau:
• Packet Filtering: Để giới hạn thông tin đi vào một mạng hoặc thông tin di chuyển từ một đoạn mạng này sang một đoạn mạng khác. Packet filtering sử dụng danh sách điều khiển truy cập(ACLs), nó cho phép một tường lửa xác nhận(permit) hay phủ định(deny) việc truy cập dựa trên kiểu của gói tin và các biến khác.
Phương pháp này có hiệu quả khi một mạng được bảo vệ nhận gói tin từ mạng không được bảo vệ. Bất kỳ gói tin nào được gửi đến một mạng đã được bảo vệ và không đúng với các tiêu chuẩn được định nghĩa vởi ACLs thì đều bị hủy(drop).
Một số vấn đề với Packet Filtering:
- Các gói tin bất kỳ có thể được gửi đi mà nó phù hợp với các tiêu chuẩn của ACL thì sẽ đi qua được bộ lọc.
- Các gói tin có thể đi qua được bộ lọc theo từng đoạn.
- ACL phức tạp là rất khó thực thi và duy trì một cách đúng đắn.
- Một số service không thể lọc được.
• Proxy Server: Một Proxy server là một thiết bị tường lửa mà nó quyết định một gói tin tại lớp cao hơn của mô hình OSI. Thiết bị này có giá trị ẩn dữ liệu bằng cách yêu cầu người sử dụng giao tiếp với một hệ thống bảo mật có nghĩa là một Proxy. Người sử dụng dành quyền truy cập đến một mạng bằng cách đi qua một tiến trình, tiến trình sẽ thiết lập một trạng thái phiên, chứng thực người dùng và chính sách cấp quyền. Điều này có nghĩa là người sử dụng kết nối đến các dịch vụ bên ngoài thông qua chương trình ứng dụng (Proxies) đang chạy trên cổng dùng để kết nối đến vùng không được bảo vệ phía ngoài.
Tuy nhiên cũng có những vấn đề với Proxy Server:
- Tạo một cùng lỗ chung, nó có nghĩa là nếu cổng vào mạng bị sập thì sau đó toàn bộ mạng cũng bị sập.
- Nó rất khó để thêm các dịch vụ mới vào firewall.
- Thực thi chậm.
• Stateful Packet Filtering: Kết hợp tốt nhất giữa hai kỹ thuật Packet Filtering và Proxy Server.
Hiệu quả của kỹ thuật này:
- Làm việc trên các gói tin và cổng kết nối.
- Nó hoạt động ở mức cao hơn so với hai kỹ thuật trước.
- Nó ghi dữ liệu trong một bảng cho mỗi kết nối. Bảng này như là một điểm tham chiếu để xác định gói tin có thuộc về một kết nối đang tồn tại hay không hoặc từ một nguồn trái phép.
Đầy là một phần nhỏ trong CHuyên đề của mình...Rất mong cùng mọi người thảo luận....
