Chức Năng Của Tường Lửa / TOP 6 # Xem Nhiều Nhất & Mới Nhất 6/2023 # Top View

Tường lửa là gì? Chức năng và nhiệm vụ của nó như thế nào?. Cùng tìm hiểu khái niệm tổng quan và các tính năng cơ bản của tường lửa, sẽ giúp bạn có thêm kiến thức để tìm hiểu sâu hơn phần mềm – phần cứng FireWall.

Tường lửa (Firewall) là một thệ thống bảo mật giám sát và kiểm soát lưu lượng mạng đến và đi dựa trên các quy tắc bảo mật đã được xác định từ trước. Một tường lửa thiết lập một rào chắn giữa mạng nội bộ (local network) với một mạng khác (chẳng hạn như internet).

Chức năng và nhiệm vụ của tường lửa là gì?

Như đã đề cập ở phần khái niệm, chức năng chính của Tường Lửa là kiểm soát luồng thông tin giữa môi trường intranet và internet. Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong và mạng internet.

Cụ thể một số chức năng chính như:

Cho phép hoăc cấm các dịch vụ truy cập ra ngoài.

Cho phép hoặc cấm các dịch vụ từ ngoài truy cập vào trong.

Theo dõi luồng dữ liệu giữ môi trường intranet và internet .

Kiểm soát địa chỉ truy cập, cấm hoăc cho phép địa chỉ được truy nhập.

Kiểm soát người dùng và việc truy cập của người dùng.

Kiềm soát nội dung thông tin , gói tin lưu chuyển trên hệ thống mạng.

Lọc các gói tin dựa vào địa chỉ nguồn, địa chỉ đích và số cổng ( port), giao thức

Có thể sử dụng để ghi lại tất cả các sự cố gắng truy nhập vào mạng và báo cáo cho người quản tri.

Cách thức hoạt động của tường lửa(FireWall):

Tường lửa (FireWall) cơ bản là một tấm chắn giữa máy tính của bạn và internet.

Firewall cơ bản là tấm lá chắn giữa máy tính của bạn (hoặc một mạng) và Internet. Firewall có thể được so sánh như một nhân viên bảo vệ của một tòa nhà nào đó, và nhân viên này có thể cho phép hoặc từ chối bất kỳ ai đi vào tòa nhà này. Tương tự, Firewall có thể là chương trình phần mềm, hoặc thiết bị phần cứng mà nó lọc gói tin đi từ Internet tới máy tính của bạn hoặc mạng máy tính.

Firewalls-WorkFirewall có thể từ chối hoặc cho phép lưu lượng mạng giữa các thiết bị dựa trên các nguyên tắc mà nó đã được cấu hình hoặc cài đặt bởi một người quản trị tường lửa. Rất nhiều firewall cá nhân như Windows firewall hoạt động trên một tập hợp các thiết lập đã được cài đặt sẵn mà nó có thể ngăn ngừa các hiểm họa thông thường, người sử dụng không cần lo lắng về việc phải cấu hình firewall như thế nào.

Personal firewall rất dễ dàng để cài đặt và sử dụng. Tuy nhiên, ở trong một mạng lớn hoặc một công ty, việc cấu hình firewall là cực kỳ quan trọng để tránh khỏi các hiểm họa có thể có xảy ra trên mạng.

Ví dụ, một công ty có thể cấu hình khác nhau cho FPT server, Web server… Thêm nữa, công ty cũng có thể kiểm soát nhân viên việc truy cập Internet bằng cách khóa truy cập tới một số website nhất định.

Các loại tường lửa(FireWall):

Truyền thông được thực hiện giữa một nút đơn và mạng, hay giữa một số mạng.

Truyền thông được chặn tại tầng mạng, hay tại tầng ứng dụng.

Tường lửa có theo dõi trạng thái của truyền thông hay không.

Phân loại theo phạm vi của các truyền thông được lọc, có các loại sau:

Tường lửa cá nhân hay tường lửa máy tính, một ứng dụng phần mềm với chức năng thông thường là lọc dữ liệu ra vào một máy tính đơn.

Tường lửa mạng, thường chạy trên một thiết bị mạng hay máy tính chuyên dụng đặt tại ranh giới của hai hay nhiều mạng hoặc các khu phi quân sự (mạng con trung gian nằm giữa mạng nội bộ và mạng bên ngoài). Một tường lửa thuộc loại này lọc tất cả truyền thông dữ liệu vào hoặc ra các mạng được kết nối qua nó.

Loại tường lửa mạng tương ứng với ý nghĩa truyền thống của thuật ngữ “tường lửa” trong ngành mạng máy tính.

Khi phân loại theo các tầng giao thức nơi giao thông dữ liệu có thể bị chặn, có ba loại tường lửa chính:

Tường lửa tầng mạng. Ví dụ iptables.

Tường lửa tầng ứng dụng. Ví dụ TCP Wrappers.

Tường lửa ứng dụng. Ví dụ: hạn chế các dịch vụ ftp bằng việc định cấu hình tại tệp /etc/ftpaccess.

Các loại tường lửa tầng mạng và tường lửa tầng ứng dụng thường trùm lên nhau, mặc dù tường lửa cá nhân không phục vụ mạng, nhưng một số hệ thống đơn đã cài đặt chung cả hai.

Cuối cùng, nếu phân loại theo tiêu chí rằng tường lửa theo dõi trạng thái của các kết nối mạng hay chỉ quan tâm đến từng gói tin một cách riêng rẽ, có hai loại tường lửa:

Tường lửa có trạng thái (Stateful firewall)

Tường lửa phi trạng thái (Stateless firewall).

Một số điểm còn hạn chế của tường lửa:

Tuy FireWall có nhiều tính năng hữu ích giúp bảo vệ người dùng, song nó còn có một số nhược điểm sau:

Tường lửa sẽ không bảo vệ các mối nguy hiểm từ bên trong nội bộ. Chính vì vậy, nếu một ai ở cùng sử dụng hệ thống mạng nội bộ và có ý đồ xấu, muốn phá hoại thì Firewall cũng đành bó tay.

Tường lửa không đủ thông minh để có thể đọc và hiểu từng loại thông tin và tất nhiên là nó không thể biết được đâu là nội dung tốt và đâu là nội dung xấu. Mà đơn thuần nó chỉ hỗ trợ chúng ta ngăn chặn sự xâm nhập của những nguồn tin không mong muốn nhưng phải xác định rõ các thông số địa chỉ.

Tường lửa không thể ngăn chặn các cuộc tấn công bằng dữ liệu. Khi có một số ứng dụng hay phần mềm.. được chuyển qua thư điện tử, nó có thể vượt qua Firewall vào trong mạng được bảo vệ.

Tường lửa không làm nhiệm vụ ra quét Virus trên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các Virus mới và do có rất nhiều cách để mã hóa dữ liệu có thể thoát khỏi khả năng kiểm soát của Firewall.

Tuy nhiên, chúng ta không thể phủ nhận một điều rằng Firewall vẫn là giải pháp hữu hiệu đư­ợc áp dụng khá rộng rãi hiện nay.

Tắt tường lửa có sao không?

Tường lửa(Firewall) giúp bảo mật thông tin của người dùng tốt hơn. Chính vì vậy, nếu thực sự không quá cần thiết thì chúng tôi khuyên bạn không nên tắt tường lửa.

Nó chỉ phù hợp khi, chúng ta thực hiện các phương pháp Crack các phần mềm.

Cách tắt tường lửa trên máy tính:

Để bật hoặc tắt tường lửa trên máy tính, bạn thực hiện các bước như sau:

Chọn cấu hình mạng.

Trong Tường lửa của Bộ bảo vệ Microsoft, chuyển cài đặt thành Bật. Nếu thiết bị của bạn kết nối mạng, cài đặt chính sách mạng có thể ngăn không cho bạn hoàn tất các bước này. Để biết thêm thông tin, hãy liên hệ người quản trị của bạn.

Để tắt tính năng này, hãy chuyển đổi thiết đặt thành Tắt.

Việc tắt Tường lửa của Bộ bảo vệ Windows có thể làm cho thiết bị của bạn (và mạng, nếu có) dễ bị truy nhập trái phép hơn. Nếu một ứng dụng bạn cần sử dụng bị chặn, bạn có thể cho phép ứng dụng đó vượt qua tường lửa, thay vì tắt tường lửa.

Các tính năng cơ bản của tường lửa và khái niệm tổng quan nhất, sẽ giúp bạn có thêm kiến thức để tìm hiểu sâu hơn phần mềm – phần cứng FireWall. Đọc Nhé.

Bài viết này sẻ giới thiệu những kiến thức cần thiết về Tường lửa , giúp các bạn có thể nhanh chóng nắm bắt được một vài kiến thức như : khái niệm về Tường Lửa ( Firewall) ,chức năng nhiệm vụ và hoạt động của Firewall …….

Tường lửa ( firewall ) là gì ?

Tường lửa là thuật ngữ chuyên ngành mạng máy tính nó thể hiện một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập của một số truy cập không mong muốn vào hệ thống của các cá nhân, tố chức, doanh nghiệp , cơ quan chính phủ

Tường lửa là một thiết bị phần cứng , phần mềm hoặc là cả 2 kết hợp với nhau , và hoạt động trong môi trường mạng nội bộ làm 1 rào chắn để ngăn chặn một số liên lạc bị cấm bởi các chính sách .

Với sự phát triển của internet, chúng ta có thể truy xuất thông tin mọi lúc , mọi nơi.Người dùng đầu cuối chỉ cần ngồi trước máy tinh của mình vẫn có thể cập nhật được các tin tức, tìm kiếm dữ liệu và download phần mêm, .Nhưng chính sự rộng rãi của internet sẽ là nơi phát tán nhiều virus , trojan và các chương trình phần mềm độc hại .

Để ngăn những truy cập trái phép cũng như các chương trình độc hại thâm nhập, ngoài việc cài đặt một chương trình Anti – Virus đủ mạnh cho máy tinh của bạn còn phải có một hệ thống có khả năng quản lý tất cả các truy cập từ bên trong máy tính ra internet và từ internet vào máy tính. Hệ thống đó gọi là Tường Lửa ( Firewall)

Chức năng chính của Tường Lửa ( Firewall) là kiểm soát luồng thông tin giữa môi trường intranet và internet. Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong và mạng internet.

Cho phép hoăc cấm các dịch vụ truy cập ra ngoài.

Cho phép hoặc cấm các dịch vụ từ ngoài truy cập vào trong.

Theo dõi luồng dữ liệu giữ môi trường intranet và internet .

Kiểm soát địa chỉ truy cập, cấm hoăc cho phép địa chỉ được truy nhập.

Kiểm soát người dùng và việc truy cập của người dùng.

Kiềm soát nội dung thông tin , gói tin lưu chuyển trên hệ thống mạng.

Lọc các gói tin dựa vào địa chỉ nguồn, địa chỉ đích và số cổng ( port), giao thức

Có thể sử dụng để ghi lại tất cả các sự cố gắng truy nhập vào mạng và báo cáo cho người quản tri

Một số Firewall có chức năng cao cấp như : đánh lừa hacker làm cho hacker đã nhầm tưởng mình đã hack thành công vào hệ thống , nhưng thật chất là ngầm theo dõi và ghi lại sự hoạt động đó.

Nhiệm vụ của Firewall

Bảo vệ thông tin : bảo vệ các dữ liệu quan trọng trong hệ thống mạng nội bộ , tài nguyên hệ thống. Giúp cho doanh nghiệp, tổ chức an toàn thông tin .

Phòng thủ các cuôc tấn công: Ngoài việc bảo vệ các thông tin từ bên trong hệ thống ,Firewall còn có thể chống lại các cuộc tấn công từ bên ngoài như :

Hacker thường sử dụng một số chương trình có khả năng dò tìm các thông tin về hệ thống nhằm phát hiện lỗi của hệ thống và dó tìm tài khoản và password của người quản trị . Firewall có khả năng phát hiện và ngăn chặn kịp thời các tấn công trên.

Sniff là một chương trình có khả năng bắt gói tin khi nó truyền tải trên hệ thống mạng thì firewall có khả năng phát hiện và ngăn chặn các chương trinh đó.

Firewall Có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn và hạn chế hỏa hoạn. Trong công nghệ mạng, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng nhằm ngăn chặn việc truy cập dữ liệu trái phép, nhằm bảo vệ nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống. Cũng có thể hiểu FireWall là một cơ chế bảo vệ trust network (mạng nội bộ) khỏi các Untrust Network (mạng internet). 1. Phân loại – Chức năng – Cấu trúc  Phân Loại: Tường lửa được chia làm 2 loại, firewall cứng và firewall mềm Firewall cứng Là loại firewall được tích hợp trực tiếp lên phần cứng (như Router Cisco, Check point , Fortinet, Juniper…). Đặc điểm : – Không được linh hoạt như firewall mềm vì hầu như các firewall cứng đều hướng theo xu hướng tích hợp tất cả trong một( ví dụ : không thể thêm quy tắc hay chức năng ngoài những chức năng đã được tích hợp sẵn…) đối với những firewall cứng trước kia.Hiện tại xuất hiện xu hướng mới của firewall cứng mà đi đầu là dòng sản phẩm PIX ASA 5500 của Cisco. Tuy là firewall cứng nhưng có khả năng tích hợp những module khác ngoài module có sẵn. Cấu trúc chính của loại firewall này bao gồm : – Adaptive tích hợp cơ bản hầu hết các tính năng chính của 1 firewall như DHCP, HTTPS, VPNs, hỗ trợ DMZ, PAT, NAT…và các interface trên nó. Một Adaptive có thể hoạt động độc lập mà không cần bất kỳ module nào khác. Adaptive hỗ trợ nhiều cách cấu hình : Cấu hình thông qua giao diện web hoặc cấu hình qua cổng consol … – Các module riêng lẻ : mỗi module thực hiện một chức năng chuyên biệt và kết nối trực tiếp với Adaptive thông qua cable. Nếu thiết bị đầu cuối nào muốn sử dụng thêm chức năng của module nào thì sẽ được kết nối trực tiếp với module đó.Có nhiều loại module thực hiện nhiều chức năng khác nhau : cung cấp các giao tiếp đến các thiết bị có giao tiếp đặc biệt, cung cấp hệ thống cảnh báo cao cấp IPS,… – Có khả năng hoạt động ở mọi lớp với tốc độ cao nhưng giá cả rất cao.  Firewall mềm Là những phần mềm được cài đặt trên máy tính đóng vai trò làm firewall. Có 2 loại là Stateful Firewall (Tường lửa có trạng thái) và Stateless Firewall (Tường lửa không trạng thái). Đặc điểm : – Có tính linh hoạt cao :có thể thêm bớt các luật hoặc các chức năng vì bản chất nó chỉ là 1 phần mềm. – Hoạt động ở tầng ứng dụng ( layer 7). – Có khả năng kiểm tra nội dung của các gói tin thông qua các từ khóa được quy định trong chương trình. Chức Năng : Chức năng chính của firewall là kiểm soát luồng dữ liệu qua nó ra vào giữa intranet và internet. Nó thiết lập cơ chế điều khiển dòng thông tin lưu thông giữa intranet và internet. Cụ thể là : – Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet). – Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet vào Intranet). – Theo dõi luồng dữ liệu mạng giữa Internet và Intranet. – Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập. – Kiểm soát ng¬ười sử dụng và việc truy nhập của ng¬ười sử dụng. – Kiểm soát nội dung thông tin thông tin l¬uân chuyển trên mạng.  Cấu Trúc : Tường lửa chuẩn bao gồm một hay nhiều các thành phần sau đây: – Bộ lọc gói tin (packet-filtering router). – Cổng ứng dụng (application-level gateway hay proxy server). – Cổng mạch (circuite level gateway). 2. Ưu – nhược điểm của firewall: a. Ưu điểm : -Firewall do con người cấu hình có thể che dấu mạng nội bộ bên trong, lọc dữ liệu và nội dung của dữ liệu để ngăn chặn được các ý đồ xấu từ bên ngoài như : muốn đánh cắp thông tin mật, muốn gây thiệt tê liệt hệ thống đối thủ của mình để gây thiệt hại về kinh tế … – Firewall có thể ngăn chặn các cuộc tấn công vào các server gây tổn thất lớn cho các doanh nghiệp . – Ngoài ra firewall còn có khả năng quét virus, chống spam … khi được tích hợp những công cụ cần thiết. b. Nhược điểm : – Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại thông tin và phân tích nội dung tốt hay xấu của nó. Firewall chỉ có thể ngăn chặn sự xâm nhập của những nguồn thông tin không mong muốn nhưng phải xác định rõ các thông số địa chỉ. – Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không “đi qua” nó. Một cách cụ thể, firewall không thể chống lại một cuộc tấn công từ một line dial-up, hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa mềm. – Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data-driven attack). – Khi có một số chương trình được chuyển theo thư điện tử, vượt qua firewall vào trong trust network và bắt đầu hoạt động ở đây. Một ví dụ là các virus máy tính. Firewall có thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua nó. Nhưng do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có rất nhiều cách để mã hóa dữ liệu… Virus vẫn thoát khỏi khả năng rà quét của firewall. 3. Cơ chế – nguyên lý hoạt động và ưu nhược điểm của từng nguyên lý : Có 2 nguyên lý cơ bản a. Firewall được xây dựng dựa trên Bộ lọc dữ liệu (Packet Filter) Packet filter cho phép hay từ chối mỗi packet mà nó nhận được. Nó kiểm tra toàn bộ packet để quyết định xem packet đó có thoả mãn một trong số các luật lệ (rule) của packet filtering hay không. Các rule của packet filter này là dựa trên các thông tin ở đầu mỗi gói tin (packet header), dùng để cho phép truyền các gói tin đó ở trên mạng. Đó là các thông tin như: – Địa chỉ IP nơi xuất phát ( IP Source address). – Địa chỉ IP nơi nhận (IP Destination address). – Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel). – Cổng TCP/UDP nơi xuất phát (TCP/UDP source port). – Cổng TCP/UDP nơi nhận (TCP/UDP destination port). – Dạng thông báo ICMP ( ICMP message type). – Giao diện gói tin đến ( incomming interface of packet). – Giao diện gói tin đi ( outcomming interface of packet) Nếu luật lệ lọc gói tin được thoả mãn thì gói tin được thông qua. Nếu không gói tin sẽ bị bỏ đi. Nhờ vậy mà Tường lửa có thể ngăn cản được các kết nối vào các máy chủ hoặc mạng nào đó được xác định, hoặc khoá việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép. Hơn nữa, việc kiểm soát các cổng làm cho Tường lửa có khả năng chỉ cho phép một số loại kết nối nhất định vào các loại máy chủ nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP…) được phép mới chạy được trên hệ thống mạng cục bộ.  Ưu điểm: – Đa số các hệ thống firewall đều sử dụng bộ lọc packet. Một trong những ưu điểm của phương pháp dùng bộ lọc packet là chi phí thấp vì cơ chế lọc packet đã được tích hợp sẵn trong mỗi phần mềm router. – Ngoài ra, bộ lọc packet là trong suốt đối với người sử dụng và các ứng dụng, vì vậy nó không yêu cầu sự huấn luyện đặc biệt nào cả.  Nhược điểm: – Việc định nghĩa các chế độ lọc package là một việc khá phức tạp; đòi hỏi ng¬ười quản trị mạng cần có hiểu biết chi tiết về các dịch vụ Internet, các dạng packet header, và các giá trị cụ thể có thể nhận trên mỗi tr¬ường. Khi đòi hỏi vể sự lọc càng lớn, các rule về lọc càng trở nên dài và phức tạp, rất khó để quản lý và điều khiển. – Do làm việc dựa trên header của các packet, rõ ràng là bộ lọc packet không kiểm soát đ¬ợc nôi dung thông tin của packet. Các packet chuyển qua vẫn có thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu. b. Firewall được xây dựng dựa vào Cổng ứng dụng(Application-Level-Gateway) Đây là một loại Tường lửa được thiết kế để tăng cường chức năng kiểm soát các loại dịch vụ, các giao thức được cho phép truy cập vào hệ thống mạng. Cơ chế hoạt động của nó dựa trên cách thức gọi là Proxy service. Proxy service là các bộ mã đặc biệt cài đặt trên gateway cho từng ứng dụng. Nếu người quản trị mạng không cài đặt proxy code cho một ứng dụng nào đó, dịch vụ tương ứng sẽ không được cung cấp và do đó không thể chuyển thông tin qua firewall. Ngoài ra, proxy code có thể được định cấu hình để hỗ trợ chỉ một số đặc điểm trong ứng dụng mà người quản trị mạng cho là chấp nhận được trong khi từ chối những đặc điểm khác. Một cổng ứng dụng thường được coi như là một pháo đài (bastion host), bởi vì nó được thiết kế đặt biệt để chống lại sự tấn công từ bên ngoài. Những biện pháp đảm bảo an ninh của một bastion host là: – Bastion host luôn chạy các version an toàn (secure version) của các phần mềm hệ thống (Operating system). Các version an toàn này được thiết kế chuyên cho mục đích chống lại sự tấn công vào Operating System, cũng như là đảm bảo sự tích hợp firewall. – Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài đặt trên bastion host, đơn giản chỉ vì nếu một dịch vụ không đ¬ợc cài đặt, nó không thể bị tấn công. Thông thường, chỉ một số giới hạn các ứng dụng cho các dịch vụ Telnet, DNS, FTP, SMTP và xác thực user là đ¬ược cài đặt trên bastion host. + Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau, ví dụ như user password hay smart card. Mỗi proxy được đặt cấu hình để cho phép truy nhập chỉ một sồ các máy chủ nhất định. Điều này có nghĩa rằng bộ lệnh và đặc điểm thiết lập cho mỗi proxy chỉ đúng với một số máy chủ trên toàn hệ thống. Mỗi proxy duy trì một quyển nhật ký (logs) ghi chép lại toàn bộ chi tiết của giao thông qua nó, mỗi sự kết nối, khoảng thời gian kết nối. Nhật ký này rất có ích trong việc tìm theo dấu vết hay ngăn chặn kẻ phá hoại. Mỗi proxy đều độc lập với các proxies khác trên bastion host. Điều này cho phép dễ dàng quá trình cài đặt một proxy mới, hay tháo gỡ môt proxy đang có vấn đề. * Ưu điểm :  – Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ trên mạng, bởi vì ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủ nào có thể truy nhập được bởi các dịch vụ.  – Cho phép người quản trị mạng hoàn toàn điều khiển được những dịch vụ nào cho phép, bởi vì sự vắng mặt của các proxy cho các dịch vụ tương ứng có nghĩa là các dịch vụ ấy bị khoá.  – Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt, và nó có các logs ghi chép lại thông tin về truy nhập hệ thống.  – Luật lệ lọc cho cổng ứng dụng là dễ dàng cấu hình và kiểm tra hơn so với bộ lọc packet * Nhược điểm :  Yêu cầu các người dùng(users) phải thay đổi thao tác, hoặc thay đổi phần mềm đã cài đặt trên máy khách (client) cho truy nhập vào các dịch vụ proxy. Chẳng hạn, Telnet truy nhập qua cổng ứng dụng đòi hỏi hai bước để nối với máy chủ chứ không phải là một bước như thông thường. Tuy nhiên, cũng đã có một số phần mềm client cho phép ứng dụng trên cổng ứng dụng là trong suốt, bằng cách cho phép user chỉ ra máy đích chứ không phải cổng ứng dụng ví dụ trên lệnh Telnet. Chủ yếu sử dụng Cổng vòng (circuit-Level Gateway) để làm trong suốt proxy.  Cổng vòng là một chức năng đặc biệt có thể thực hiện được bởi một cổng ứng dụng. Cổng vòng đơn giản chỉ chuyển tiếp (relay) các kết nối TCP mà không thực hiện bất kỳ một hành động xử lý hay lọc packet nào. Cổng vòng thường được sử dụng cho những kết nối ra ngoài, nơi mà các nhà quản trị mạng thật sự tin tưởng những người dùng bên trong. 4. Một số firewall thông dụng : a. Check Point (Giới thiệu Check Point Next Generation) Là sản phẩm cung cấp một sự kết hợp các công cụ hàng đầu và các ứng dụng trong việc bảo mật hệ thống mạng sử dụng kiến trúc SVN (Secure Vitual Network) cho phép Check Point đưa ra những công cụ bảo đảm sự an toàn cho dữ liệu. VPN-1/Firewall-1 là một phần của NG cung cấp việc bảo mật mạng và hệ thống mạng ảo riêng VPN(Vitual Private Network). Để thực hiện VPN ta cần Secure Remote và Secure Client. Secure Remote – chứng thực người dùng và mã hóa dữ liệu, Secure Client – thêm một personal firewall vào hệ thống. Mặc dù VPN-1/Firewall-1 là một bản bảo mật cơ bản nhưng nó cung cấp nhiều cách bảo vệ hệ thống mạng, VPN và các nhận dạng trên kỹ thuật SVN. Check Point phát triển siêu IP để cung cấp việc quản lý DNS, dịch vụ DHCP. Quản lý và chia sẻ các tài khoản và chứng thực thông tin cho các tài khoản truy cập để sử dụng tài nguyên. Để cho việc quản lý các tài khoản dễ dàng hơn hệ thống cung cấp thêm 2 công cụ : Account Management (LDAP – sắp xếp các tài khoản và kết hợp các thông tin) và User Authority (cho phép truy cập đến các tài khoản đặc quyền). GUI (Graphical User Interface) có khả năng quản lý từ xa Security Policy và cung cấp giao diện chính cho NG. GUI client là công cụ để tạo Security Policy và được sắp xếp trên Management Server. Công cụ Management Module của Management Server không chỉ sắp xếp Security Policy mà còn tạo và phân phát ACLs giống như Routers và Switches. Nói tóm lại Check Point Next Generation bao gồm các tính năng sau : – Firewall : hỗ trợ các dịch vụ NAT, điều khiển truy cập (ACLs), logging, bảo mật nội dung, và chứng thực phiên làm việc. – Mã hóa và hỗ trợ kết nối mạng riêng ảo VPNs (với hai kiểu site-to-site và client-to-site dựa trên hai phương thức FWZ và IKE) – LDAP Account Management có thể chạy tách rời ứng dụng hoặc kết hợp với Security Dashboard để quản lý LDAP(Lightweight Directory Access Protocol) – sắp xếp cơ sở dữ liệu tài khoản người dùng rất dễ dàng. – Cung cấp cơ chế chứng thực, mã hóa cho sự thiết lập và duy trì kết nối mạng riêng ảo(VPNs). – OPSEC (Open Platform for Security) – ứng dụng nền cho việc bảo mật của Check Point. Lọc nội dung gói tin HTTP, SMTP, FTP và URL filtering. – Check Point High Availability tạo ra nhóm firewalls làm giảm thời gian chết cho hệ thống. – Cung cấp Quality of Service dành ưu tiên cho lưu lượng trên mạng. – Siêu IP cung cấp các dịch vụ DNS, DHCP. Ngoài ra còn có các công cụ như Secure DHCP để chứng thực người dùng. – User Authority mở rộng quyền hạn chứng thực thông tin người dùng thu từ VPN-1/FireWall-1 để giảm bớt tải cho ứng dụng thứ 3. – Mạng DMZ để cấu hình cho các services trong hệ thống : SMTP, FTP, HTTP hoặc HTTPs – Cơ chế xử lý sự cố. b. ISA ISA Server 2004 được thiết kế để bảo vệ Network, chống các xâm nhập từ bên ngoài lẫn kiểm soát các truy cập từ bên trong Nội bộ Network của một Tổ chức. ISA Server 2004 Firewall làm điều này thông qua cơ chế điều khiển những gì có thể được phép qua Firewall và những gì sẽ bị ngăn chặn. Chúng ta hình dung đơn giản như sau: Có một quy tắc được áp đặt trên Firewall cho phép thông tin được truyền qua Firewall, sau đó những thông tin này sẽ được “Pass” qua, và ngược lại nếu không có bất kì quy tắc nào cho phép những thông tin ấy truyền qua, những thông tin này sẽ bị Firewall chặn lại. ISA Server Firewall chứa nhiều tính năng mà các Security Admin có thể dùng để đảm bảo an toàn cho việc truy cập Internet, và cũng bảo đảm an ninh cho các tài nguyên trong Nội bộ Network Các Network Services và những tính năng trên ISA Server sẽ được cài đặt và cấu hình gồm: – Cài đặt và cấu hình Microsoft Certificate Services : Dịch vụ cung cấp các chứng từ kĩ thuật số phục vụ nhận dạng an toàn khi giao dịch trên mạng. – Cài đặt và cấu hình Microsoft Internet Authentication Services (RADIUS) : Dịch vụ xác thực an toàn cho các truy cập từ xa thông qua các remote connections (Dial-up hoặc VPN) – Cài đặt và cấu hình Microsoft DHCP Services (Dịch vụ cung cấp các xác lập TCP/IP cho các node trên và) và WINS Services (dịch vụ cung cấp giải pháp truy vấn NETBIOS name của các máy tính trên mạng) – Cấu hình các WPAD entries trong DNS để hỗ trợ chức năng Autodiscovery (tự động khám phá) và Autoconfiguration (tự động cấu hình) cho Web Proxy và Firewall clients. Thuận lợi cho các ISA Clients (Web và Firewall clients) trong một Tổ chức khi họ phải mang máy tính từ một mạng (có một ISA Server) đến mạng khác (có ISA Server khác) mà vẫn tự động phát hiện và làm việc được với Web Proxy Service và Firewall Service trên ISA Server này. – DNS : Cài đặt Microsoft DNS server trên Perimeter Network server (Mạng chứa các máy chủ cung cấp trực tuyến cho các máy khách bên ngoài, nằm sau Firewall, nhưng cũng tách biệt với LAN) – Back up và phục hồi thông tin cấu hình của ISA Server Firewall – Tạo các chính sách truy cập (Access Policy) trên ISA Server Firewall – Publish Web Server trên một Perimeter Network . – Dùng ISA Server Firewall đóng vai trò một Spam filtering SMTP relay (trạm trung chuyển e-mails, có chức năng ngăn chặn Spam mails). Publish Microsoft Exchange Server services (hệ thống Mail và làm việc cộng tác của Microsoft, tương tự Lotus Notes của IBM) – VPN : Cấu hình ISA Server Firewall đóng vai trò một VPN server, tạo kết nối VPN theo kiểu site-to-site giữa hai Networks c. IPCop – Firewall :Tích hợp IPTable một firewall mạnh của Linux Netfilter. – Mở rộng cổng giao tiếp hỗ trợ : Analog modem, an ISDN modem, an ADSL modem, hỗ trợ giao thức PPTP(point-to-point-tunneling-protocol) trong dịch vụ SSH… – Hỗ trợ một card mạng riêng cho phân vùng DMZ để cấu hình cho các services trong hệ thống nếu có. – Hỗ trợ truy xuất từ xa qua SSH server. – Tích hợp DHCP Server. – Caching DNS. – TCP/UDP port forwarding. – Hỗ trợ IDS(Intrusion detection system) của Snort :Hệ thống dò tìm và phát hiện xâm nhập trái phép nổi tiếng của Snort. – Hỗ trợ Free S/WAN IPSec cho phép chúng ta xây dựng các máy chủ VPN cung cấp truy cập tài nguyên nội bộ cho người dùng từ xa thông qua các phiên truyền được mã hóa và chứng thực chặt chẽ. – Hỗ trợ Squid – Web Proxy: chương trình kiểm soát và tăng tốc truy cập internet được nhiều người yêu thích và áp dụng, giúp tiết kiệm đường truyền. – Cho phép backup và restore các thông tin cấu hình của IPCop một cách nhanh chóng và dễ dàng do giao diện thao tác là giao diện web. – Có cơ chế tự vá lỗi và cập nhật các chính sách bảo mật một cách tự động. e. Bảng so sánh chức năng Chức năng Check Point ISA IPCop Filtering Lọc nội dung, URL Lọc nội dung, URL Lọc nội dung, URL VPN Site-to-site, client-to-site Site-to-site, client-to-site Site-to-site, client-to-site DNS – Tự động khám phá,tự động cấu hình + DHCP Secure DHCP-chứng thực người dùng DHCP request, DHCP reply + IDS + + Sử dụng Snort LDAP + + + OPSEC + – – QoS + + – DMZ + + + Authentication + + + Encrypt-decrypt + + + WINS Services + + + Proxy + + + Backup & restore + + + Spam filtering – + – SMTP + + – SSH + + + Port forwarding + + + Qua các firewall vừa trình bày ở trên, chúng ta đưa ra nhận xét sau : – Nhiều người cho rằng ISA Server Firewall quả thật là mạnh mẽ trong vấn đề bảo vệ hệ thống cũng như quản lý người dùng ngoại trừ chi phí bản quyền quá cao. Thời gian, chi phí và hiệu quả là 3 yếu tố hàng đầu được các doanh nghiệp và tổ chức quan tâm khi ứng dụng các sản phẩm, giải pháp công nghệ thông tin cho hệ thống của mình. Chúng ta nghĩ đến việc việc xây dựng 1 firewall cũng mạnh mẽ không kém, đầy đủ chức năng nhưng không đòi hỏi cấu hình máy tính phải mạnh mẽ và hoàn toàn miễn phí. – Để thực hiện điều này, chúng ta có thể sử dụng các thiết bị phần cứng của hãng bảo mật nổi tiếng Juniper, Cisco, CheckPoint hoặc các thiết bị phần mềm như ISA Server của Microsoft. Mỗi sản phẩm có những mặt mạnh, yếu riêng. Tuy nhiên, tất cả đều là những sản phẩm thương mại có giá trị bản quyền cao và đòi hỏi yêu cầu phần cứng mạnh mẽ. Vì vậy, đối với các công ty muốn tiết kiệm chi phí chúng ta có thể dùng một sản phẩm mã nguồn mở thay thế là IPCop Firewall, hoặc IPTables hoặc Endian một giải pháp tối ưu cho viêc tiết kiệm băng thông và tăng cường bảo mật, giúp xóa tan những lo âu về vấn đề chi phí bản quyền khi Việt Nam gia nhập TPP . Căn cứ vào bảng so sánh trên chúng ta dễ dàng nhận thấy IPCop Firewall/Router (một công cụ tích hợp điển hình của dòng sản phẩm open source) có nhiều tính năng mạnh mẽ mà ngay cả những sản phẩm tường lửa thương mại hàng đầu như ISA Server cũng không có được như hệ thống phân phối các địa chỉ IP động để client có thể dễ dàng, nhanh chóng truy cập internet. Đặt các giới hạn download/upload. Bên cạnh đó IPCop còn có khả năng phát hiện dò tìm xâm nhập bất hợp pháp hay các chương trình khả nghi trên mạng như ettercap, dsniff thông qua hệ thống SNORT Network IDS, tự động cập nhất các chính sách, quy tắc bảo mật .v.v…  

Công ty cổ phần chứng khoán Phú Gia hoạt động trong lĩnh vực Chứng Khoán có tên miền chúng tôi cung cấp các dịch vụ giao dịch trực tuyến qua internet cho phép khách hàng có thể đặt lệnh tại bất kì thời điểm nào. Ngoài ra công ty còn cung cấp các dịch vụ hỗ trợ quản lý tà khoàn giao dịch, bản tin chứng khoán, bản phân tích chứng khoán …Tổng công ty chứng khoán Phú Gia có trụ sở chính tại Q.1 Tp. HCM và một chi nhánh tại Q.5 Tp .HCM.

Hạ tầng mạng Tổng công ty gồm có

Các máy chủ chuyên dụng:

File Server chứa toàn bộ dữ liệu của công ty.

FTP Server chia sẻ dữ liệu cho nhân viên.

Mail Server dùng để trao đổi mail trong hệ thống mạng nội bộ.

Web Server chứa website nội bộ của công ty.

Domain Controller quản trị tập trung hệ thống mạng của công ty Phú Gia với domain là chúng tôi Tất cả máy tính của nhân viên trong công ty đều gia nhập vào domain.

Các phòng ban:

Phòng Giám đốc : 5 PC và 3 Laptop.

Phòng Kinh doanh: 50 PC.

Phòng Kế toán: 20 PC.

Phòng Nhân sự: 20 PC.

Phòng Khách hàng: dành cho khách hàng sử dụng laptop truy cập mạng không dây của công ty.

Hạ tầng mạng tại chi nhánh Q.5 gồm có:

Phòng Tư vấn : 10 PC.

Phòng Kinh Doanh : 20 PC.

Phòng Kế Toán : 10 PC

Phòng Quản lý : 2 PC, 4 Laptop.

Mục Đích Đề Tài

Tìm hiểu và ứng dụng giải pháp tường lửa (firewall) để quản lý hệ thống mạng.

Nâng cao khả năng bảo mật phòng chống những truy cập bất hợp pháp vào hệ thống mạng doanh nghiệp.

Phân tích và thiết kế hệ thống Firewall ISA Server 2006 cho doanh nghiệp.

Triển khai bảo mật các dịch vụ (DNS,MAIL, WEB…) cho người dùng bên ngoài Internet.

Triển khai bảo mật mạng cho DN dựa trên mạng riêng ảo.

Xây dựng hoàn chỉnh hệ thống firewall đảm bảo tính an toàn cho hệ thống mạng doanh nghiệp.

Giám sát và theo dõi hoạt động của hệ thống bảo mật mạng.

Quản lý băng thông và sử dụng đường truyền Internet hiệu quả.

Lập bảng khảo sát yêu cầu triển khai hệ thống bảo mật mạng của công ty Phú Gia.

Phân tích thiết kế mô hình logic hệ thống mạng tổng thể cho công ty Phú Gia.

Triển khai và cấu hình hệ thống firewall dựa trên MS ISA 2006 yêu cầu của DN.

Xây dựng hệ thống cân bằng tải cho tường lửa tại tổng công ty đảm bảo hệ thống luôn luôn hoạt động tốt.

Triển khai truyền thông dữ liệu trên Internet an toàn với VPN của MS Windows 2003 Server/MS ISA 2006 Server.

Triển khai quảng bá các dịch vụ Web, Mail của công ty ra bên ngoài Internet với đầy đủ những tính năng bảo mật và chứng thực cho hệ thống Web và Mail.

Lập tài liệu hướng dẫn vận hành hệ thống firewall của DN.