Firewall - Các khái niệm, tính chất, nguyên lý và sử dụng firewall

Firewall - Các khái niệm, tính chất, nguyên lý và sử dụng firewall.Firewall là gì ?Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hoả hoạn. Trong công nghệ mạng thông tin, Firewall là một kỹ thuật đợc tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống. Cũng có thể hiểu Firewall là một cơ chế (mechanism) để bảo vệ mạng tin tởng (Trusted...
Nội dung trích xuất từ tài liệu:
Firewall - Các khái niệm, tính chất, nguyên lý và sử dụng firewallFirewall - Các khái niệm, tính chất, nguyên lý và sử dụng firewallFirewall là gì ?Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng đểngăn chặn, hạn chế hoả hoạn. Trong công nghệ mạng thông tin, Firewall làmột kỹ thuật đợc tích hợp vào hệ thống mạng để chống sự truy cập trái phép,nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập khôngmong muốn vào hệ thống. Cũng có thể hiểu Firewall là một cơ chế(mechanism) để bảo vệ mạng tin tởng (Trusted network) khỏi các mạngkhông tin tởng (Untrusted network).Thông thờng Firewall đợc đặt giữa mạng bên trong (Intranet) của một côngty, tổ chức, ngành hay một quốc gia, và Internet. Vai trò chính là bảo mậtthông tin, ngăn chặn sự truy nhập không mong muốn từ bên ngoài (Internet)và cấm truy nhập từ bên trong (Intranet) tới một số địa chỉ nhất định trênInternet.Chức năng chínhChức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet vàInternet. Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong(Intranet) và mạng Internet. Cụ thể là:Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet raInternet).Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet vàoIntranet).Theo dõi luồng dữ liệu mạng giữa Internet và Intranet.Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập.Kiểm soát ngời sử dụng và việc truy nhập của ngời sử dụng.Kiểm soát nội dung thông tin thông tin lu chuyển trên mạng.Các thành phầnFirewall chuẩn bao gồm một hay nhiều các thành phần sau đây:Bộ lọc packet (packet-filtering router)Cổng ứng dụng (application-level gateway hay proxy server)Cổng mạch (circuite level gateway)Bộ lọc paket (Paket filtering router)Nguyên lýKhi nói đến việc lu thông dữ liệu giữa các mạng với nhau thông qua Firewallthì điều đó có nghĩa rằng Firewall hoạt động chặt chẽ với giao thức TCI/IP.Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận đợc từcác ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên cácgiao thức (Telnet, SMTP, DNS, SMNP, NFS...) thành các gói dữ liệu (datapakets) rồi gán cho các paket này những địa chỉ để có thể nhận dạng, tái lậplại ở đích cần gửi đến, do đó các loại Firewall cũng liên quan rất nhiều đếncác packet và những con số địa chỉ của chúng.Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận đợc. Nó kiểm tratoàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoả mãn mộttrong số các luật lệ của lọc packet hay không. Các luật lệ lọc packet này làdựa trên các thông tin ở đầu mỗi packet (packet header), dùng để cho phéptruyền các packet đó ở trên mạng. Đó là:Địa chỉ IP nơi xuất phát ( IP Source address)Địa chỉ IP nơi nhận (IP Destination address)Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel)Cổng TCP/UDP nơi xuất phát (TCP/UDP source port)Cổng TCP/UDP nơi nhận (TCP/UDP destination port)Dạng thông báo ICMP ( ICMP message type)Giao diện packet đến ( incomming interface of packet)Giao diện packet đi ( outcomming interface of packet)Nếu luật lệ lọc packet đợc thoả mãn thì packet đợc chuyển qua firewall. Nếukhông packet sẽ bị bỏ đi. Nhờ vậy mà Firewall có thể ngăn cản đợc các kếtnối vào các máy chủ hoặc mạng nào đó đợc xác định, hoặc khoá việc truy cậpvào hệ thống mạng nội bộ từ những địa chỉ không cho phép. Hơn nữa, việckiểm soát các cổng làm cho Firewall có khả năng chỉ cho phép một số loạikết nối nhất định vào các loại máy chủ nào đó, hoặc chỉ có những dịch vụ nàođó (Telnet, SMTP, FTP...) đợc phép mới chạy đợc trên hệ thống mạng cụcbộ.Ưu điểmĐa số các hệ thống firewall đều sử dụng bộ lọc packet. Một trong những uđiểm của phơng pháp dùng bộ lọc packet là chi phí thấp vì cơ chế lọc packetđã đợc bao gồm trong mỗi phần mềm router.Ngoài ra, bộ lọc packet là trong suốt đối với ngời sử dụng và các ứng dụng,vì vậy nó không yêu cầu sự huấn luyện đặc biệt nào cả.Hạn chếViệc định nghĩa các chế độlọc package là một việc khá phức tạp; đòi hỏi ngờiquản trị mạng cần có hiểu biết chi tiết vể các dịch vụ Internet, các dạngpacket header, và các giá trị cụ thể có thể nhận trên mỗi trờng. Khi đòi hỏi vểsự lọc càng lớn, các luật lệ vể lọc càng trở nên dài và phức tạp, rất khó đểquản lý và điều khiển.Do làm việc dựa trên header của các packet, rõ ràng là bộ lọc packet khôngkiểm soát đợc nôi dung thông tin của packet. Các packet chuyển qua vẫn cóthể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại củakẻ xấu.Cổng ứng dụng (application-level getway)Nguyên lýĐây là một loại Firewall đợc thiết kế để tăng cờng chức năng kiểm soát cácloại dịch vụ, giao thức đợc cho phép truy cập vào hệ thống mạng. Cơ chếhoạt động của nó dựa trên cách thức gọi là Proxy service. Proxy service làcác bộ code đặc biệt cài đặt trên gateway cho từng ứng dụng. Nếu ngờ ...