Một số firewall phổ biến chạy trên windows

Tường lửa là nền tảng của bảo mật trong mạng máy tính và I.T nói chung. Trong bài viết này, tôi đã nói nhiều về tường lửa Fortigate, Cisco ASA, SonicWall… đây là một ví dụ điển hình về tường lửa cứng.

Một số loại tường lửa khác được sử dụng trong các doanh nghiệp lớn, SMB hoặc thậm chí mạng gia đình. Một số loại tường lửa rất phổ biến và một số loại hiếm khi gặp phải bởi các chuyên gia.

Lý do chính để triển khai thiết bị tường lửa hoặc phần mềm tường lửa trong mạng là kiểm soát luồng lưu lượng, cho phép hoặc chặn lưu lượng giữa các máy chủ, hạn chế quyền truy cập vào các ứng dụng, kiểm tra các gói để tìm các mẫu độc hại, v.v.

Những điều trên có thể được thực hiện trong các Lớp khác nhau của mô hình OSI, bắt đầu từ Lớp 3 đến Lớp 7(lớp ứng dụng).

Hãy cùng xem các kiến trúc và loại tường lửa khác nhau mà bạn có thể tìm thấy trong sự nghiệp chuyên môn của mình.

1) Tường lửa phần cứng (Hardware Firewall)

Đây là loại tường lửa phổ biến nhất. Nó được sử dụng rộng rãi trong các mạng hiện đại hoặc là thiết bị biên (nghĩa là để tách biệt và bảo vệ mạng LAN nội bộ khỏi Internet hoặc các mạng không đáng tin cậy khác) hoặc để phân đoạn và bảo vệ các mạng nội bộ trong các doanh nghiệp lớn.

​

Tường lửa phần cứng thường có nhiều giao diện mạng vật lý có thể được sử dụng để tạo các “vùng bảo mật” khác nhau, về cơ bản là các mạng con Lớp 3 khác nhau. Mỗi giao diện vật lý có thể được chia nhỏ hơn trong “các giao diện con” có thể mở rộng thêm các vùng bảo vệ.

Bởi vì tường lửa đang chạy trên thiết bị phần cứng chuyên dụng của riêng nó, nó có thể xử lý khối lượng lớn các gói, hàng nghìn hoặc hàng triệu kết nối và nói chung chúng là các thiết bị hiệu suất cao.

Một số thương hiệu phổ biến của tường lửa phần cứng bao gồm Cisco ASA, Fortigate, Juniper, Checkpoint, Palo Alto, SonicWall, v.v.

2) Tường lửa phần mềm (Software Firewall)

Một ví dụ về tường lửa phần mềm là Tường lửa của Windows được cài đặt theo mặc định trên tất cả các hệ điều hành Microsoft Windows. Nó là một tường lửa dựa trên máy chủ lưu trữ và kiểm soát lưu lượng và ứng dụng trên các máy trạm hoặc máy chủ của người dùng cuối.

Một số ví dụ khác về tường lửa phần mềm là những tường lửa được tìm thấy trên các máy Linux như IPTABLES, CSF, v.v.

Tường lửa phần mềm không chỉ dựa trên máy chủ. Có một số tường lửa Phần mềm nguồn mở (chẳng hạn như pfSense, OPNSense, ClearOS, v.v.) có thể được cài đặt trên phần cứng chuyên dụng (máy chủ, Linux boxes, v.v.) và do đó tạo ra một thiết bị tường lửa phần cứng chuyên dụng.

Hai loại đầu tiên được đề cập ở trên là hai loại tường lửa lớn. Bây giờ chúng ta hãy xem một số loại khác dựa trên kiến trúc của chúng, cách chúng xử lý lưu lượng truy cập và chúng hoạt động trên Lớp nào của mô hình OSI.

3) Tường lửa kiểm tra trạng thái (Stateful Inspection Firewalls)

Hầu hết tất cả các tường lửa mạng hiện đại đều kết hợp kiến trúc “kiểm tra trạng thái”. Hãy mô tả chính xác điều đó có nghĩa là gì bằng cách sử dụng giao tiếp mẫu bên dưới:

​

Trong giao tiếp TCP giữa máy khách và máy chủ (ví dụ: người dùng có trình duyệt web giao tiếp với máy chủ web như hình trên), trình duyệt máy khách bắt đầu giao tiếp HTTP tại cổng 80 với máy chủ web Internet.

Giả sử rằng Tường lửa kiểm tra trạng thái (Stateful Inspection Firewall) ở giữa cho phép lưu lượng HTTP gửi đi này đi qua. Do đó, các gói sẽ đến được Máy chủ Web, máy chủ sẽ trả lời lại máy khách (như xảy ra với mọi giao tiếp TCP).

Bây giờ, Tường lửa trạng thái (Stateful Inspection Firewall) bên dưới sẽ lưu các chi tiết của kết nối bắt đầu từ máy khách đến máy chủ trong một “bảng trạng thái”. Bảng này sẽ bao gồm các chi tiết như IP nguồn và cổng nguồn, IP đích và cổng đích, cờ TCP, số thứ tự TCP, v.v.

Do đó, bất kỳ gói trả lời nào đến từ máy chủ web bên ngoài khớp với kết nối ban đầu bắt đầu từ máy khách, sẽ vượt qua tường lửa và đến máy khách mà không cần bất kỳ cấu hình bổ sung nào.

Điều này làm cho việc cấu hình dễ dàng hơn vì người quản trị không cần phải cấu hình bất kỳ quy tắc nào trên tường lửa để cho phép các gói trả về / trả lời từ bên ngoài vào bên trong. Các gói này sẽ được cho phép tự động nếu chúng thuộc một kết nối đã được thiết lập từ máy khách đến máy chủ.

Tường lửa trạng thái (stateful firewall) có hiệu quả vì ba lý do.

• Nó hoạt động cả trên các gói và trên các kết nối.
• Nó hoạt động ở mức hiệu suất cao hơn so với lọc gói hoặc sử dụng máy chủ proxy.
• Nó ghi lại dữ liệu trong một bảng cho mọi kết nối và giao dịch không kết nối. Bảng này phục vụ như một điểm tham chiếu để xác định xem các gói thuộc về một kết nối hiện có hay đến từ một nguồn trái phép.

4) Tường lửa lọc gói (Packet Filtering Firewall)

Tường lửa lọc gói (packet filtering firewall) hoạt động ở Lớp 3 và 4 của mô hình OSI (nghĩa là Lớp IP Internet và Lớp Truyền tải).

Phải nói rằng, loại tường lửa này chỉ lọc lưu lượng truy cập tĩnh bằng địa chỉ IP và số cổng. Không có trạng thái nào được tường lửa lưu giữ về mỗi kết nối (giống như tường lửa trạng thái mà chúng tôi đã mô tả ở phần 3).

Thiết bị lọc gói chỉ kiểm tra những điều sau:

• IP nguồn và cổng
• IP đích và cổng

Lọc gói còn được gọi là “tường lửa không trạng thái- stateless firewall”. Trong các thiết bị Cisco, ví dụ, một Danh sách Kiểm soát Truy cập (ACL) được cấu hình trên một bộ định tuyến hoạt động như một bức tường lửa lọc gói.

Một nhược điểm chính của tường lửa lọc gói là bạn cần phải cấu hình các quy tắc để cho phép các gói trả lời đang quay trở lại từ máy chủ đích. Điều này là do tường lửa không giữ một "bảng trạng thái" như tường lửa trạng thái mà chúng ta đã thảo luận ở trên.

Lọc gói phần lớn được thực hiện trên Bộ định tuyến hoặc thiết bị chuyển mạch Lớp 3 và là một cách “nhanh chóng và hiệu quả” để chặn một số lưu lượng truy cập từ một mạng không đáng tin cậy đến một mạng được bảo vệ / tin cậy.

5) Tường lửa ứng dụng (Application Firewall)

Tường lửa kiểu này hoạt động ở Lớp 7 (ứng dụng) của mô hình OSI. Nó kiểm tra và kiểm soát các gói ở cấp ứng dụng.

Tường lửa này có kiến thức về lưu lượng ứng dụng an toàn hoặc bình thường và lưu lượng ứng dụng độc hại là gì.

Ví dụ: tường lửa ứng dụng bảo vệ máy chủ web, biết về các cuộc tấn công HTTP liên quan đến web (ví dụ: SQL injection, Cross Site scripting, v.v.) và bảo vệ ứng dụng khỏi những cuộc tấn công này bằng cách xem xét lưu lượng ứng dụng HTTP.

Một số ví dụ về tường lửa ứng dụng (application firewalls) bao gồm:

• WAF (Web Application Firewall -Tường lửa ứng dụng web): Bảo vệ các trang web / máy chủ web
• Tường lửa DB (Database - Cơ sở dữ liệu): Bảo vệ các Cơ sở dữ liệu như Oracle, MSSQL, v.v.
• Proxy Firewall: Kiểm tra và bảo vệ lưu lượng truy cập từ người dùng vào Internet. Nó cũng có thể cung cấp tính năng lọc web URL / Tên miền. Người dùng có quyền truy cập vào mạng bằng cách trải qua một quy trình thiết lập trạng thái phiên, xác thực người dùng và chính sách ủy quyền.

6) Tường lửa thế hệ tiếp theo (NGFW)

Đây chủ yếu là một thuật ngữ tiếp thị gần đây đã phổ biến trong các nhà sản xuất tường lửa. Về cơ bản, một NGFW kết hợp gần như tất cả các loại mà chúng ta đã thảo luận ở trên vào một box. Nó là một tường lửa phần cứng trạng thái, cung cấp khả năng bảo vệ và kiểm tra mức ứng dụng.

Loại này cung cấp khả năng kiểm tra gói sâu và có khả năng xác định lưu lượng độc hại trong tất cả các Lớp của mô hình OSI (lên đến lớp ứng dụng).

Một NGFW thường cung cấp tính năng phát hiện / ngăn chặn xâm nhập nâng cao, chống vi-rút, kiểm soát ứng dụng, v.v. Chúng thường được cấp phép riêng và khách hàng phải trả thêm phí để bật một số / tất cả các biện pháp bảo vệ.

Một số NGFW giao tiếp với dịch vụ bảo mật đám mây của nhà sản xuất (ví dụ: Cisco Talos, Fortinet FortiGuard, v.v.) để nhận thông tin về mối đe dọa từ đám mây.

7) Tường lửa liên quan đến điện thoại (Telephony Related Firewalls)

Có một loại tường lửa hiếm gặp thường không có trong các mạng doanh nghiệp thông thường ngoại trừ một số trường hợp chuyên biệt.

Đây là những bức tường lửa đặc biệt liên quan đến dịch vụ điện thoại và VoIP và được sử dụng để bảo vệ hệ thống khỏi các cuộc tấn công liên lạc qua điện thoại.

Một số ví dụ bao gồm:

• Tường lửa SIP- SIP firewalls (để bảo vệ hệ thống điện thoại VoIP).
• Tường lửa SMS- SMS firewalls (dành cho mạng di động GSM để bảo vệ thuê bao khỏi các cuộc tấn công gian lận SMS).
• Tường lửa SS7- SS7 firewalls (để bảo vệ các nhà khai thác điện thoại di động).

Công nghệ tường lửa (Firewall) là gì

Tường lửa được sử dụng để bảo vệ mạng máy tính khỏi sự xâm nhập không mong muốn. Tường lửa phần cứng tách các mạng nội bộ đáng tin cậy (ví dụ: Mạng LAN nội bộ của công ty) với các mạng không đáng tin cậy bên ngoài (ví dụ: Internet hoặc WAN không đáng tin cậy).

Mục tiêu chính của tường lửa là kiểm tra tất cả lưu lượng truy cập vào và ra để xem liệu nó có đáp ứng các tiêu chí cụ thể hay không (quy tắc chính sách tường lửa). Nếu lưu lượng tuân thủ chính sách tường lửa thì nó được cho phép, nếu không, nó sẽ bị loại bỏ.

Hy vọng các bạn có lựa chọn Firewall phù hợp!