• Năm 1980 công nghệ tường • Firewall là một kỹ thuật
lửa hoạt động được tích hợp vào hệ thống • Năm 1988 Jeff Mogul thuộc mạng để chống lại sự truy cập Digital Equipment Corp phát triển trái phép hệ thống tường lửa lọc gói tin • nhằm bảo vệ các nguồn • Từ năm 1980 tới 1990 hệ thống thông tin nội bộ cũng như hạn tường lửa thứ 2 và thứ 3 lần lượt chế sự xâm nhập vào hệ thống ra đời của một số thông tin khác • Năm 1992 Bob Braden và không mong muốn. Annette DeSchon đã phát triển hệ • Firewall là một ứng dụng chạy thống tường lửa gói lọc tin thế hệ giữa mạng cá nhân và Internet. thứ tư “Visas” • Năm 1994, FireWall-1 ra đời. Một thế hệ thứ hai của các tường lửa proxy đã được dựa trên công nghệ Kernel Proxy. Mục đích của • firewall Để tránh gây thiệt hại trên hệ thống mạng • Tránh những cuộc tấn công trộm cắp phá hoại thông tin • Gây suy yếu hoàn toàn hệ thống, các dữ liệu bị xóa, thông tin bị rò rỉ, sự riêng tư bị xâm phạm, hệ thống tê ệ
Sử dụng nhiều Firewall nhằm tăng khả năng
bảo mật Các lựa chọn firewall Firewall phần cứng Đặc điểm: Là những firewall được tích hợp trên bộ • Sử dụng có hiệu quả trong định tuyến việc bảo vệ nhiều máy tính mà vẫn có mức bảo mật cao cho một máy tính đơn. • Không được linh hoạt như firewall phần mềm (Không thể thêm chức năng, thêm quy tắc như firewall phần mềm). • Firewall phần cứng hoạt động ở tầng thấp hơn firewall phần mềm (Tầng network và tầng transport ). • Firewall phần cứng không thể kiểm tra được nội dung của gói tin. Các lựa chọn firewall Đặc điểm: Firewall phần mềm • Tính linh hoạt cao: có thể Là những firewall được cài thêm bớt các chức năng đặt trên máy chủ (server) • Hoạt động ở tầng cao hơn firewall phần cứng • Có thể kiểm tra được nội dung các gói tin Những gì Firewall làm Chức năng chính của Firewall: • Là kiểm soát luồng thông tin từ giữa Intranet và Internet. • Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và mạng Internet Firewall bảo vệ những vấn đề gì: • Bảo vệ dữ liệu • Bảo vệ tài nguyên hệ thống • Danh tiếng của các công ty sở hữu các thông tin cần bảo vệ Firewall bảo vệ chống lại những vấn đề gì • Chống lại việc Hacking • Chống lại việc sửa đổi mã • Từ chối các dịch vụ đính kèm • Tấn công trực tiếp • Nghe trộm • Vô hiệu hoá các chức năng của hệ thống (Deny service) • Lỗi người quản trị hệ thống • Yếu tố con người Mô hình và nguyên lí hoạt động của firewall Các thành phần của firewall + Bộ lọc packet ( packet- filtering router ). + Cổng ứng dụng ( Application-level gateway hay proxy server ). + Cổng mạch ( Circuite level gateway ). Bộ lọc paket ( Paket filtering router )
• Firewall hoạt động chặt chẽ với
giao thức TCI/IP ,chúng chia nhỏ các dữ liệu nhận được thành các gói dữ liệu • Mỗi gói được so sánh với tập hợp các tiêu chí trước khi được chuyển riếp • Những bức tường này thường Applicatio chứa ACL n Presentation Ưu điểm Nhược điểm Session • Chi phí thấp • Việc định • Không yêu cầu sự nghĩa các chế độ transport huấn luyện đặc lọc package là biệt nào một việc khá Network phức tạp • bộ lọc packet không kiểm soát Data Link được nôi dung thông tin của PHY Cổng ứng dụng ( application-level getway ) Cổng ứng dụng được thiết kế như một pháo đài với những biện pháp đảm bảo an ninh : • luôn chạy các version an toàn (secure version) của các phần mềm hệ thống • Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài đặt trên bastion host • Ưu điểm • Nhược điểm • Bastion host có thể yêu cầu • Cho phép người quản • Yêu cầu các users thay nhiều mức độ xác thực khác trị mạng điều khiển đổi thao tác, hoặc thay nhau được từng dịch vụ trên đổi phần mềm đã cài • Mỗi proxy được đặt cấu hình để mạng đặt trên máy client • cho phép kiểm tra độ cho truy nhập vào các cho phép truy nhập chỉ một sồ xác thực rất tốt dịch vụ proxy. các máy chủ nhất định • Luật lệ lọc filltering dễ • Mỗi proxy duy trì một quyển dàng cấu hình và kiểm nhật ký tra hơn so với bộ lọc • Mỗi proxy đều độc lập với các packet proxies khác trên bastion host Cổng vòng ( circuit-Level Gateway ) • Là một chức năng đặc biệt có thể thực hiện được bởi một cổng ứng dụng • chuyển tiếp các kết nối TCP mà không thực hiện bất kỳ một hành động xử lý hay lọc packet • Cổng vòng thường được sử dụng cho những kết nối ra ngoài, nơi mà các quản trị mạng thật sự tin tưởng những người dùng bên trong • Một bastion host có thể được cấu hình như là một hỗn hợp cung cấp cổng ứng dụng cho những kết nối đến, và cổng vòng cho các kết nối đi. Kiến trúc của Firewall Contain: • Kiến trúc Dual – homed Host • Kiến trúc Screened Host • Kiến trúc Screened Subnet Host Kiến trúc Dual – homed Host
• Là hình thức xuất hiện
đầu tiên trong cuộc đấu để bảo vệ mạng nội bộ • Là một máy tính có hai giao tiếp mạng • Để làm việc được với một máy trên Internet, người dùng ở mạng cục bộ trước hết phải login vào Dual– homed Host, và từ đó bắt đầu phiên làm việc. Kiến trúc Dual - homed Những đánh giá về kiến trúc dual- Host homed host : • Để cung cấp dịch vụ cho những người Ưu điểm: sử dụng internal network • Cài đặt dễ dàng, • Cấp các account cho user trên máy dual– không yêu cầu phần homed host này-> gây phiền phức cho user cứng hoặc phần mềm • Kết hợp với các Proxy Server cung cấp đặc biệt. những Proxy Service -> khó có thể cung • Chỉ yêu cầu cấm cấp khả năng chuyển các gói tin • Dễ bị tấn công nên chỉ thích hợp khi Nhược điểm: dùng với mạng nhỏ. • Không đáp ứng được những yêu cầu bảo mật ngày càng phức tạp, cũng như những hệ phần mềm mới được tung ra thị trường. • Không có khả năng chống đỡ những cuộc tấn công nhằm vào chính bản thân nó Kiến trúc Screened Host
• Kết hợp 2 kỹ thuật đó là
Packet Filtering và Proxy Services. • Kiến trúc screened host hay hơn kiến trúc dual– homed host khi đã tách chức năng lọc các gói IP và các Proxy Server ở hai máy riêng biệt • Cũng tương tự như kiến trúc Dual–Homed Host khi mà Packet Filtering system cũng như Bastion Host chứa các Proxy Server bị đột nhập vào thì lưu thông của internal network bị người tấn công thấy. Kiến trúc Screened subnet host • Độ an toàn cao nhất vì nó cung cấp cả mức bảo mật: Network và Application • Hợp đối với những hệ thống yêu cầu cung cấp dịch vụ nhanh, an toàn cho nhiều người sử dụng • Kẻ tấn công cần phá vỡ ba tầng bảo vệ: Router ngoài, Bastion Host và Router trong. • Router trong chỉ quảng cáo DMZ Network tới mạng nội bộ, các hệ thống trong mạng nội bộ không thể truy nhập trực tiếp vào Internet • Router ngoài chỉ quảng bá DMZ Network tới Internet, hệ thống mạng nội bộ là không thể nhìn thấy • Không thế ngăn chặn sự xâm nhập của những nguồn thông tin không mong muốn nếu không được xác định rõ các thông số địa chỉ • Không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không “đi qua” nó • Không thể chống lại các cuộc tấn công bằng dữ liệu (data-driven attack) • Firewall không thể làm nhiệm vụ và quét virus trên các dữ liệu được chuyền qua nó • Có thể làm chậm kết nối khi xử lý các thông tin • Chỉ hữu hiệu đối với những người Lựa chọn Firewall • Cấu hình cho firewall là sự áp dụng chính sách an toàn thông tin cho mạng máy tính của bạn • Tính năng của một firewall là tham số cho hình cho firewall là sự áp dụng chính sách an toàn thông tin cho mạng máy tính của bạn
Chính sách chính là chìa khoá để
quản trị firewall Firewall có thể bị phá không?
Câu trả lời là có.
Quá trình phá firewall gồm 2 giai đoạn: 1. Đầu tiên phải tìm ra dạng firewall mà mạng sử dụng cùng các loại dịch vụ hoạt động phía sau nó ,tiếp theo là phát hiện khe hở trên firewall 2. Hacker sẽ tìm cách để nhận được một thông điệp từ bên trong hệ thống ,khi đó đường đi được kiểm tra và có thể tìm ra những manh mối về cấu trúc hệ thống.
Bên cạnh firewall, bạn nên
tăng cường các biện pháp bảo vệ khác MỘT SỐ PHẦN MỀM FIREWALL Comodo Firewall HIỆN NAY • Khả năng bảo vệ toàn diện hệ thống khỏi các Hacker, Spyware, Trojans và các đối tượng gây hại chưa xác định khác • Cảnh báo những ứng dụng cài đặt trái phép • Khả năng quét Malware trong bản Comodo Firewall Pro sẽ giúp tăng cường sự “miễn dịch” của hệ thống trước các viruses, spyware and Trojans • Miễn phí ESET Smart Security • Đa tính năng: tường lửa (Firewall), chống virus (Antivirus), Chống thư rác (Antispam) • Bảo vệ toàn diện • Chiếm ít tài nguyên hệ thống ZoneAlarm
• ZoneAlarm sẽ bảo vệ máy tính của bạn khỏi các Rootkit
• Tính năng Firewall Hệ Điều Hành (OSFirewall™) giúp ngăn chặn những spyware khó diệt và những đe dọa bên sâu khỏi xâm nhập vào PC của bạn Kết luận Không có cánh cửa bảo vệ nào có thể chống được hoàn toàn kẻ trộm lọt vào nhà cả, nhưng nếu cánh cửa đó có khoá tốt, ngôi nhà đó có tường cao bao quanh và chủ nhà nuôi nhiều chó dữ, kẻ trộm sẽ khó lòng lọt vào hơn. Firewall chỉ là một công cụ bảo vệ hệ thống mạng máy tính, nó phải được kèm theo với rất nhiều biện pháp an toàn khác. Và điều cần nhớ nữa là người ta không thể cất một viên kim cương quý giá chỉ trong một cái tủ gỗ có khoá bình thường thay vì một cái két sắt kiên cố, hãy đầu tư cho firewall một cách hợp lý.