Công ty Tư vấn đầu tư và
Phát triển công nghệ - AIC
Đưa cơng nghệ vào cuộc sống

Tường lửa
Trần Đình Tuấn


Khái niệm về Tường lửa?


Tường lửa được coi là hệ thống phòng thủ cơ bản nhất đối
với một mạng máy tính



Tường lửa có thể là ứng dụng phần cứng hoặc phần mềm
đặt ở vị trí vành đai có vai trị như một người gác cửa kiểm
soát luồng ra và vào của mạng.



Một tường lửa xây dựng bên trong nó một thống lọc (luật)
mà có thể ngăn chặn những truy cập không được cấp phép
hoặc những thành phần đặc biệt nguy hiểm cố tình truy cập
vào hệ thống ngay từ cửa vào.



Một tính năng quan trọng khơng thể thiếu của tường
lửa là ghi chép lại mọi yêu cầu truy cập

Firewall


Network Firewall


Một tường lửa mạng là một
hệ thống hoặc cụm các hệ
thống được sử dụng để
điều khiển việc truy cập
giữa 2 mạng -- một mạng
tin tưởng (trusted network )
và một mạng không tin
tưởng (untrusted network)
-- sử dụng các luật hoặc bộ
lọc được cấu hình trước.

Firewall


 Các

tường lửa có thể được tạo ra do một hoặc
nhiều router, một hoặc nhiều hệ thống máy chủ
đang chạy ứng dụng Firewall, hoặc là các thiết bị
phần cứng có cung cấp dịch vụ Firewall hoặc là một
sự kết hợp của các bộ phận ấy. Có nhiều cách
khác nhau trong thiết kế hệ thống tường lửa phụ
thuộc vào tính năng, kiến trúc và giá cả.


 Do

đó để có được một giải pháp tường lửa hoạt
động hiệu quả trong một tổ chức thì việc quan trọng
là phải hiểu các giải pháp tường lửa khác nhau có
thể hoặc khơng thể làm gì.
Firewall


Công ty Tư vấn đầu tư và
Phát triển công nghệ - AIC
Đưa cơng nghệ vào cuộc sống

Tường lửa có thể làm gì?


Tích cực


Khi được cài đặt đúng thì tường lửa điều khiển truy cập của cà luồng ra
và vào mạng. Chúng có thể được cấu hình để ngăn cho nhưng người
sử dụng khơng được cấp phép cố tình truy cập vào mạng bên trong hay
mạng riêng và sủ dụng các dịch vụ của mạng đó. Chúng cũng có thể
được cấu hình để ngăn cản những người bên trong cố tình truy cập vào
những vùng và dịch vụ không được phép của mạng bên ngồi. Có
nhiều tường lửa trong một đơn vị dung để ngăn cản việc truy cập từ
vùng này sang vùng khác.




Xác thực người dùng (User authentication). Tường lửa có thể được
cấu hình để xác thực người dùng. ĐIều này cho phép Người quản trị
mạng điều khiển truy cập đối với những người sử dụng nhất định tới một
tài nguyên và dịch vụ nhất định. Việc xác thực cũng cho phép người
quản trị mạng tìm ra người sử dụng đã có hành vi cố tình truy cập vào
các vùng khơng được phép của mạng.

Firewall


Tích cực


Kiểm tra và ghi nhật ký (Auditing and logging). Tường
lửa có thể cung cấp các khả năng kiểm tra và ghi nhật ký.
Bằng việc cấu hình một tường lửa ghi nhật ký và các hoạt
động thì các thơng tin đó có thể được giữ lại và sử dụng để
phân tích khi cần thiết. Đây là một tính năng rất hiệu quả
trong việc đưa ra các chính sách, quyết định cho an ninh hệ
thống.



An ninh (Security). Một số chức năng của tường lửa có thể
che dấu hệ thống mạng tin tưởng đối với mạng không tin
tưởng. Điều này giúp chống việc quét thông tin không mong
muốn đối với hệ thống.




Tường lửa cũng có thể là trung tâm của việc tổ chức bảo
mật. Điều này có thể rất có ích đối với các tổ chức có tài
nguyên con người và tài chính hạn hẹp.
Firewall


 Ngăn

chặn những thành phần không được cấp
phép dựa trên các luật.

 Kiểm
 Ghi

soát hoạt động vào ra mạng máy tính

chép nhật ký các hoạt động mạng

Firewall


Tiêu cực


Mặc dù có nhiều điểm tích cực song tường lửa cũng có một số yếu điểm



Hiệu ứng nút cổ chai (Traffic bottlenecks). Việc này xảy ra khi mà
toàn bộ việc giao dịch mạng đều phải qua tường lửa, sẽ dễ dẫn đến tắc

nghẽn.



Điểm không truy cập được (Single point of failure). Trong cấu hình
của mình, tường lửa chủ yếu kiểm sốt các liên kết mạng. Nêu bị cấu
hình sai thì sẽ khơng thể truy cập được.



Gây kho khăn cho người sử dụng (User frustration). Tường lửa có
thể ngăn người sử dụng truy cập vào một dịch vụ, tài nguyên nào đó,
hoặc khi truy cập học phải đăng nhập điều nàu dẫm đếm có thể quên
mật khẩu…



Tăng trách nhiệm quản lý (Increased management responsibilities).
Một tường lửa ln địi hỏi phải thêm trách nhiệm quản trị tường lửa,
đồng thời có tường lửa hệ thống mạng cũng sẽ phức tạp hơn điều này
làm cho có nhiều rủi ro hơn. Đồng thời phải truy trì việc bảo hành, cập
nhật, các bản vá an ninh….
Firewall


Công ty Tư vấn đầu tư và
Phát triển công nghệ - AIC
Đưa công nghệ vào cuộc sống

Tường lửa không thể làm gì?





Một quan niệm sai lầm là tường lửa sẽ đảm bảo hệ thống an ninh cho
mạng một cách tuyệt đối. Thực ra thì nó khơng thể làm điều đó. Để tăng
độ an ninh thì cần phải phối hợp với các giải pháp an ninh khác nữa.
Ngay cả thế thì hệ thống cũng khơng thể 100% an tồn.



Tường lửa thì khơng thể ngăn được các cuộc tấn công từ bên trong vì
người bên trong mạng tin tưởng phải được truy cập qua tường lửa.
Ngày nay các nguy cơ an ninh phần lớn xuất phát từ bên trong.



Tường lửa cũng không thể ngăn chặc việc truy cập bất hợp pháp thông
qua cổng hậu. Cổng hậu chủ yếu được tạo ra do những người sử dụng
bên trọng (đã chui được vào trong). Điều này cũng có thể do sự vơ ý
của ngưởi sử dụng mạng bên trong đã vơ tình tạo cổng hậu.



Phần lớn thì tường lửa khơng ngăn được virus, mã xấu



Cuối cùng thì tường lửa khơng thể bảo vệ và phát hiện ra những chính
sách an ninh bị cấu hình sai hoặc lỏng lẻo. Nhiều khi các lỗ hổng an

ninh xảy ra do người sử dụng vơ tình làm mất mật khẩu hoặc quên thực
thi các chính sách an ninh đã đề ra.
Firewall


Công ty Tư vấn đầu tư và
Phát triển công nghệ - AIC
Đưa công nghệ vào cuộc sống

Tường lửa tổ chức như thế nào?


2 cách tiếp cận tổ chức
 Mọi

cái không bị cấm thì được phép

 Mọi

cái khơng được phép thì bị cấm

 Everything

not specifically permitted is denied.

 Everything

not specifically denied is permitted.

Firewall



Công ty Tư vấn đầu tư và
Phát triển công nghệ - AIC
Đưa công nghệ vào cuộc sống

Các kiểu tường lửa


Các loại tường lửa

Firewall


Lọc gói tin (Packet filtering)

Firewall


Các tham số quan tâm của gói tin
 Source

IP address

 Destination
 Protocol
 Source

IP address


type (TCP/UDP)

port

 Destination

port

Firewall


Firewall


Điểm mạnh


Nhanh hơn các giải pháp khác vì nó làm việc ở tầng rất thấp do đó thời
gian để sử lý gói tin rất it. Packet filtering khơng làm ảnh hưởng nhiều
đến khả năng hoạt động của hệ thống mạng.



Packet filtering firewalls hoạt động một cách trong suốt, chúng không
yêu cầu phải thêm các cấu hình cho client. Người sử dụng chỉ không
được truy cập vào các vùng đã bị khố.



Packet filtering firewalls thơng thường là ít tốn kém hơn.Nhiều thiết bị

hoặc phần mềm an ninh thường có thêm tính năng này. Đối với loại FW
này thì chỉ cần cấu hình luật lọc chứ ko cần thêm gì.



Packet filtering firewalls làm nền an ninh tốt hơn cho các loại khác vì nó
hoạt động ở tâng thấp và các phần mềm khác có thể sử dụng kết quả
của nó.



Packet filtering firewalls hoạt động một cách độc lập. Các quyết định của
nó dựa trên các thơng tin của phần header của gói tin và nó khơng quan
tâm đến dữ liệu của gói tin.
Firewall


Điểm yếu


Packet filtering firewalls cho phép 1 kết nối trực tiếp có thể được tạo ra
bởi hai đầu. Mặc dù kiểu kiểm sốt gói tin này được cấu hình để cho
phép hoặc từ chối một kết nối giữa 2 mạng, mơ hình client/server vấn
được sử dụng.



Packet filtering firewalls nhanh và không can thiệp nhiều vào khả năng
thực thi của mạng nhưng nó ln có cách tiếp cận là tất cả hoặc khơng
gì cả. Nếu một cổng được mở, nó sẽ cho qua hết các kết nối qua cổng

đó, đó chính là một lỗ hổng an ninh.



Việc định nghĩa các luật và bộ lọc trên tường lửa loại này là phúc tạp và
đỏi hỏi nhiều thao tác. Người quản trị mạng phải có một sự am hiểu tốt
về các dịch vụ và giao thức mạng để có thể chuyển các yêu cầu an ninh
của đơn vị sang các luật của tường lửa. Trong một số trường hợp là
không thể. Việc tạo ra một danh sách luật dài có thể ảnh hưởng đến
hiệu năng xử lý dẫn đến lỗi. Danh sách luật dài làm cho việc kiểm tra sẽ
diến ra lâu hơn.
Firewall