Firewall là một thiết bị bảo mật mạng giám sát lưu lượng mạng đến (incoming) và đi (outgoing) và cho phép hoặc chặn (allow) các gói dữ liệu (packet) dựa trên một bộ quy tắc (rules) bảo mật.
Mục đích của nó là thiết lập một lớp lọc mạng nội bộ của bạn và lưu lượng truy cập đến từ các nguồn bên ngoài (như internet). Để chặn lưu lượng độc hại như vi rút và tin tặc.
Firewall hoạt động như thế nào?
Hoạt động của firewall là gì? Nó phân tích một cách tỉ mỉ lưu lượng truy cập dựa trên các quy tắc được thiết lập sẵn và lọc (filter) lưu lượng truy cập đến từ các nguồn không chắc chắn hoặc đáng ngờ để ngăn chặn các cuộc tấn công. Firewall bảo vệ lưu lượng tại đầu vào của máy tính, được gọi là port, đó là nơi thông tin được trao đổi với các thiết bị bên ngoài. Ví dụ: “địa chỉ Nguồn 172.18.1.1 được phép đến đích 172.18.2.1 qua cổng 22. “
Hãy coi địa chỉ IP là nhà ở và port là phòng trong nhà. Chỉ những người đáng tin cậy (địa chỉ nguồn) mới được phép vào nhà (địa chỉ đích) tại tất cả các khu vực. Sau đó nó được lọc thêm để mọi người trong nhà chỉ được phép truy cập vào một số phòng nhất định (cổng đích). Tùy thuộc vào việc họ có phải là chủ sở hữu không, một đứa trẻ, hoặc một vị khách. Chủ sở hữu được phép vào bất kỳ phòng nào (bất kỳ cổng nào). Trong khi trẻ em và khách được phép vào một bộ phòng nhất định (cổng cụ thể).
firewall
Các loại firewall là gì?
Firewall có thể là phần mềm hoặc phần cứng, mặc dù tốt nhất là cả hai. Firewall phần mềm là một chương trình được cài đặt trên mỗi máy tính và điều chỉnh lưu lượng thông qua số cổng và ứng dụng. Trong khi firewall vật lý là một phần của thiết bị được cài đặt giữa mạng và máy tính của bạn.
Packet Filtering Firewall
Firewall lọc gói tin (Packet Filtering Firewall) là loại firewall phổ biến nhất. Kiểm tra các packet và cấm chúng đi qua. Nếu chúng không khớp (match) với bộ quy tắc bảo mật đã thiết lập. Loại firewall này kiểm tra các địa chỉ IP nguồn (source IP) và đích (destination IP) của packet. Nếu các packet phù hợp với các rule được cho phép trên tường lửa thì nó được tin tưởng để vào mạng.
Packet Filtering Firewall được chia thành hai loại: Stateful và Stateless. Firewall stateless kiểm tra các packet độc lập với nhau và thiếu context khiến chúng trở thành mục tiêu dễ dàng cho tin tặc. Ngược lại, Stateful firewall ghi nhớ thông tin về các packet được truyền trước đó và được coi là an toàn hơn nhiều.
Mặc dù Packet Filtering Firewall có thể có hiệu quả nhưng cuối cùng chúng cung cấp sự bảo vệ rất cơ bản và có thể rất hạn chế. Chẳng hạn, nó không thể xác định xem nội dung của yêu cầu được gửi có ảnh hưởng xấu đến ứng dụng mà nó được truyền tới hay không. Nếu một yêu cầu độc hại được cho phép từ một địa chỉ nguồn đáng tin cậy sẽ dẫn đến việc xóa cơ sở dữ liệu. Firewall sẽ không có cách nào để biết điều đó. Firewall thế hệ tiếp theo (NextGen Firewall) và firewall proxy được trang bị nhiều tính năng hơn để phát hiện các mối đe dọa như vậy.
Firewall thế hệ tiếp theo (NGFW)
Nó kết hợp công nghệ firewall truyền thống với các chức năng bổ sung. Chẳng hạn như kiểm tra lưu lượng được mã hóa, hệ thống ngăn chặn xâm nhập (IDS), chống vi rút, v.v. Đáng chú ý nhất, nó bao gồm kiểm tra gói tin một cách chi tiết (Deep Packet Inspection). Trong khi firewall cơ bản chỉ xem xét các header packet. DPI sẽ kiểm tra dữ liệu bên trong chính packet đó. Cho phép người dùng xác định, phân loại hoặc dừng các packet có dữ liệu độc hại hiệu quả hơn.
Firewall proxy
Firewall proxy lọc lưu lượng mạng ở cấp ứng dụng. Không giống như firewall cơ bản, proxy đóng vai trò trung gian giữa hai hệ thống đầu cuối. Máy khách phải gửi yêu cầu đến tường lửa. Ở đó nó được đánh giá theo một bộ quy tắc bảo mật và sau đó được phép hoặc chặn. Đáng chú ý nhất là firewall proxy giám sát lưu lượng cho các giao thức lớp 7 như HTTP và FTP, sử dụng cả kiểm tra stateful packet và Deep Packet Inspection để phát hiện lưu lượng độc hại.
Firewall biên dịch địa chỉ mạng (NAT)
Firewall biên dịch địa chỉ mạng (NAT) cho phép nhiều thiết bị có địa chỉ mạng độc lập kết nối với internet bằng một địa chỉ IP duy nhất, ẩn các địa chỉ IP riêng lẻ. Do đó, những kẻ tấn công quét mạng để tìm địa chỉ IP nhưng không thể nắm bắt được các thông tin cụ thể. Firewall NAT tương tự như firewall proxy ở chỗ chúng hoạt động như một trung gian giữa một nhóm máy tính và traffic bên ngoài.
Firewall kiểm tra nhiều lớp
(SMLI) lọc các gói dữ liệu tại mạng, vận chuyển và các lớp ứng dụng, so sánh chúng với các packet tin cậy đã biết. Giống như firewall NGFW, SMLI cũng kiểm tra toàn bộ packet và chỉ cho phép chúng vượt qua nếu chúng vượt qua từng lớp riêng lẻ. Các firewall này kiểm tra các packet để xác định trạng thái của kết nối để đảm bảo tất cả các kết nối được bắt đầu chỉ diễn ra với các nguồn đáng tin cậy.
Theo forcepoint