Sự khác biệt giữa tường lửa của lớp Session và lớp ứng dụng

Trước đây con người đã sử dụng cây và các khúc gỗ làm hàng rào bảo vệ vật nuôi của họ bên trong làng tránh các mối đe dọa tiềm tàng như sư tử và các bộ lạc bên ngoài luôn đe dọa
Nội dung trích xuất từ tài liệu:
Sự khác biệt giữa tường lửa của lớp Session và lớp ứng dụngSự khác biệt giữa tường lửa của lớp Session và lớp ứng dụngNguồn:quantrimang.com Ricky M. MagalhaesTrước đây con người đã sử dụng cây và các khúc gỗ làm hàng rào bảo vệvật nuôi của họ bên trong làng tránh các mối đe dọa tiềm tàng như sư tửvà các bộ lạc bên ngoài luôn đe dọa. Khi công nghệ được ngày càng đượcphát triển, những người dân du cư trở thành chủ trang trại và các hàng ràođược xây dựng bằng đá, những hàng rào này không chỉ bảo vệ tốt hơn vớihàng rào bằng gỗ mà còn bền vững hơn các hàng rào kia. Toàn bộ làngđược nằm trong trung tâm của một pháo đài, với tường bảo vệ cao, hàosâu để giữ vật nuôi và sự an toàn cho dân chúng.Thời kỳ bắt đầuTường lửa cũng có các giai đoạn phát triển tương tự như vậy; thời kỳ mới bắtđầu, chỉ có các router với danh sách những thứ được truy cập, vì đó là tất cảnhững thứ cần thiết trong việc định tuyến. Việc quản lý một mạng chỉ được thựchiện bằng cách sử dụng các danh sách điều khiển truy cập và lọc một cách cơbản cũng đủ để bảo vệ chống lại sự thâm nhập của người dùng không xác thực.Điều này là vì các router được đặt tại trung tâm của mỗi mạng và đặc biệt nữa làcác thiết bị này được sử dụng để định tuyến lưu lượng đến và đi trong các kếtnối WAN giống như các văn phòng chi nhánh và Internet.Thực tế thì những thay đổi có liên quan tới các router là rất ít trừ một số sự thayđổi không đáng kể trong việc lọc lưu lượng và các tổ chức sản xuất ra thiết bịnày đã tập trung vào việc tăng độ bảo mật vào lớp mà các thiết bị có khả năngthực hiện nằm ở đó. Chúng ta đang nói về cái gì? Một bức tường được xâydựng bằng các khúc gỗ sẽ luôn là một bức tường bằng gỗ chứ không phải làtường đá.Tường lửa của lớp Session cũng được biết đến như các tường lửa ở lớp Circuithoặc circuit gateway. Tường lửa lớp này có các tính năng sau: chúng hoạt độngtrong lớp TCP của mô hình OSI. Về cơ bản, các tường lửa này sử dụng NAT(Network Address Translation) để bảo vệ mạng bên trong và các gateway nàychỉ có một chút hoặc không kết nối với lớp ứng dụng, chính vì vậy không thể lọccác kết nối phức tạp hơn. Các tường lửa này chỉ có thể bảo vệ lưu lượng theonguyên lý cơ bản.Thế hệ kế tiếp Khi công nghệ được phát triển, nhu cầu quản lý truy cập đối với các mạng gửi đi được đặt ra và cần phải thực thi. Người dùng có thể duyệt Internet và lợi dụng được điểm yếu của bức tường xây dựng bằng gỗ vì chúng có thể vòng tránh qua hàng rào bằng cách giả bộ tính xác thực trong khi đó lại là những mối nguy hiểm tiềm tàng cho vấn đề an ninh bảo mật.Điều này có nghĩa rằng người dùng có thể dễ dàng tránh các biện pháp canhphòng bảo mật ở lớp thứ 5 bằng cách telnet (dùng chương trình để tiến hànhthâm nhập từ xa thông qua giao thức TCP/IP) đến một cổng để tiếp nhận dữ liệugửi đến nhưng không phải là cổng telnet (từ cổng 23 đến cổng 80). Router vớicác danh sách truy cập sẽ cho phép người dùng kết nối tới cổng mặc dù cổngnày không phải là cổng telnet mà lại là một cổng cho dịch vụ khác. Ở các cổngnày router chỉ thực hiện một hành động thanh tra đơn giản, nếu nó không pháthiện ra vấn đề gì thì dữ liệu này hoàn toàn có thể đi qua. Chính vì vậy những kẻác tâm có thể dễ dàng xâm nhập qua các cổng này. Công nghệ này được thựcthi theo cả hai hướng, và những năm 90 có thể nói là những năm của tường lửa.Vào cuối những năm 90, các máy chủ proxy dòng chủ đạo đã được giới thiệutrong hoàn cảnh kết hợp chặt chẽ công nghệ tường lửa cơ bản. “Proxy firewall”này có thể chặn lưu lượng giữa nguồn và đích, chủ thể và khách thể và vì “proxyfirewall” nằm ở phần giữa nên nó có khả năng kiểm tra các gói theo các nguyêntắc đã được định nghĩa trước để hạn chế một số thành phần nguy hiểm.Về công nghệCác tường lửa lớp Session hoạt động tại lớp 5 trong mô hình 7 lớp OSI. Trướcđây, cách thức bảo vệ này hoàn toàn đáp ứng được đối với những mạng ở thậpkỷ 90, nhưng khi các tấn công được khai thác theo mức ứng dụng và sự lớnmạnh của Internet cũng như tính chất phức tạp trong cách viết mã tạo ra nó đãcũng phát triển, các tường lửa lớp session không còn đủ tin cậy để bảo vệ chomạng nữa. Một tường lửa mà không có cơ chế bảo vệ lớp ứng dụng sẽ thiếu sựan toàn và các lỗ hổng hệ điều hành có thể trực tiếp phơi bày trên Internet bởitất cả các tường lửa lớp session đều có thể cung cấp một bảng định tuyến vàdanh sách điều khiển truy cập với một mức bảo vệ cơ bản.Những cải tiến nhỏ trong các tường lửa lớp session cho phép tường lửa này cóthể kiểm tra ở mức độ sâu hơn đối với các giao thức phổ biến, tuy nhiên các ...