Tìm hiểu tường lửa (firewall)

Tườnglửalàgì?Mộtcáchvắntắt,tườnglửa(firewall)làhệthốngngănchặnviệctruynhậptráiphéptừbênngoàivàomạng.Tườnglửathựchiệnviệclọcbỏnhữngđịachỉkhônghợplệdựatheocácquytắchaychỉtiêuđịnhtrước.Tườnglửacóthểlàhệthốngphầncứng,phầnmềmhoặckếthợpcảhai.Nếulàphầncứng,nóchỉbaogồmduynhấtbộđịnhtuyến(router).Bộđịnhtuyếncócáctínhnăngbảomậtcaocấp,trongđócókhảnăngkiểmsoátđịachỉIP(IPAddressốlàsơđồđịachỉhoáđểđịnhnghĩacáctrạm(host)trongliênmạng).QuytrìnhkiểmsoátchophépbạnđịnhranhữngđịachỉIPcóthểkếtnốivớimạngcủabạnvàngượclại.TínhchấtchungcủacáctườnglửalàphânbiệtđịachỉIPhaytừchốiviệctruynhậpkhônghợpphápcăncứtrênđịachỉnguồn....
Nội dung trích xuất từ tài liệu:
Tìm hiểu tường lửa (firewall)Tìmhiểuvềtườnglửa(firewall)trangnàyđãđượcđọc lầnTườnglửalàgì?Mộtcáchvắntắt,tườnglửa(firewall)làhệthốngngănchặnviệctruynhậptráiphéptừbênngoàivàomạng.Tườnglửathựchiệnviệclọcbỏnhữngđịachỉkhônghợplệdựatheocácquytắchaychỉtiêuđịnhtrước.Tườnglửacóthểlàhệthốngphầncứng,phầnmềmhoặckếthợpcảhai.Nếulàphầncứng,nóchỉbaogồmduynhấtbộđịnhtuyến(router).Bộđịnhtuyếncócáctínhnăngbảomậtcaocấp,trongđócókhảnăngkiểmsoátđịachỉIP(IPAddressốlàsơđồđịachỉhoáđểđịnhnghĩacáctrạm(host)trongliênmạng).QuytrìnhkiểmsoátchophépbạnđịnhranhữngđịachỉIPcóthểkếtnốivớimạngcủabạnvàngượclại.TínhchấtchungcủacáctườnglửalàphânbiệtđịachỉIPhaytừchốiviệctruynhậpkhônghợpphápcăncứtrênđịachỉnguồn.CácdạngtườnglửaMỗidạngtườnglửakhácnhaucónhữngthuậnlợivàhạnchếriêng.Dạngphổbiếnnhấtlàtườnglửamứcmạng(Networklevelfirewall).Loạitườnglửanàythườngdựatrênbộđịnhtuyến,vìvậycácquytắcquyđịnhtínhhợpphápchoviệctruynhậpđượcthiếtlậpngaytrênbộđịnhtuyến.Môhìnhtườnglửanàysửdụngkỹthuậtlọcgóitin(packetfilteringtechnique)ốđólàtiếntrìnhkiểmsoátcácgóitinquabộđịnhtuyến.Khihoạtđộng,tườnglửasẽdựatrênbộđịnhtuyếnmàkiểmtrađịachỉnguồn(sourceaddress)hayđịachỉxuấtphátcủagóitin.Saukhinhậndiệnxong,mỗiđịachỉnguồnIPsẽđượckiểmtratheocácquytắcdongườiquảntrịmạngđịnhtrước.Tườnglửadựatrênbộđịnhtuyếnlàmviệcrấtnhanhdonóchỉkiểmtralướttrêncácđịachỉnguồnmàkhônghềcóyêucầuthựcsựnàođốivớibộđịnhtuyến,khôngtốnthờigianxửlýnhữngđịachỉsaihaykhônghợplệ.Tuynhiên,bạnphảitrảgiá:ngoạitrừnhữngđiềukhiểnchốngtruynhập,cácgóitinmangđịachỉgiảmạovẫncóthểthâmnhậpởmộtmứcnàođótrênmáychủcủabạn.Mộtsốkỹthuậtlọcgóitincóthểđượcsửdụngkếthợpvớitườnglửađểkhắcphụcnhượcđiểmnóitrên.ĐịachỉIPkhôngphảilàthànhphầnduynhấtcủagóitincóthểmắcbẫybộđịnhtuyến.Ngườiquảntrịnênápdụngđồngthờicácquytắc,sửdụngthôngtinđịnhdanhkèmtheogóitinnhưthờigian,giaothức,cổng...đểtăngcườngđiềukiệnlọc.Tuynhiên,sựyếukémtrongkỹthuậtlọcgóitincủatườnglửadựatrênbộđịnhtuyếnkhôngchỉcóvậy.Mộtsốdịchvụgọithủtụctừxa(RemoteProcedureCallRPC)rấtkhólọcmộtcáchhiệuquảdocácserverliênkếtphụthuộcvàocáccổngđượcgánngẫunhiênkhikhởiđộnghệthống.Dịchvụgọilàánhxạcổng(portmapper)sẽánhxạcáclờigọitớidịchvụRPCthànhsốdịchvụgánsẵn,tuynhiên,dokhôngcósựtươngứnggiữasốdịchvụvớibộđịnhtuyếnlọcgóitin,nênbộđịnhtuyếnkhôngnhậnbiếtđượcdịchvụnàodùngcổngnào,vìthếnókhôngthểngănchặnhoàntoàncácdịchvụnày,trừkhibộđịnhtuyếnngăntoànbộcácgóitinUDP(cácdịchvụRPCchủyếusửdụnggiaothứcUDPốUserDatagramProtocol).ViệcngănchặntấtcảcácgóitinUDPcũngsẽngănluôncảcácdịchvụcầnthiết,vídụnhưDNS(DomainNameServiceốdịchvụđặttênvùng).Vìthế,dẫnđếntìnhtrạngtiếnthoáilưỡngnan.Tườnglửadựatrênứngdụng/cửakhẩuứngdụngMộtdạngphổbiếnkháclàtườnglửadựatrênứngdụng(applicationproxy).Loạinàyhoạtđộnghơikhácvớitườnglửadựatrênbộđịnhtuyếnlọcgóitin.Cửakhẩuứngdụng(applicationgateway)dựatrêncơsởphầnmềm.Khimộtngườidùngkhôngxácđịnhkếtnốitừxavàomạngchạycửakhẩuứngdụng,cửakhẩusẽngănchặnkếtnốitừxanày.Thayvìnốithông,cửakhẩusẽkiểmtracácthànhphầncủakếtnốitheonhữngquytắcđịnhtrước.Nếuthoảmãncácquytắc,cửakhẩusẽtạocầunối(bridge)giữatrạmnguồnvàtrạmđích.Cầunốiđóngvaitròtrunggiangiữahaigiaothức.Vídụ,trongmộtmôhìnhcửakhẩuđặctrưng,góitintheogiaothứcIPkhôngđượcchuyểntiếptớimạngcụcbộ,lúcđósẽhìnhthànhquátrìnhdịchmàcửakhẩuđóngvaitròbộphiêndịch.ƯuđiểmcủatườnglửacửakhẩuứngdụnglàkhôngphảichuyểntiếpIP.Quantrọnghơn,cácđiềukhiểnthựchiệnngaytrênkếtnối.Saucùng,mỗicôngcụđềucungcấpnhữngtínhnăngthuậntiệnchoviệctruynhậpmạng.Dosựlưuchuyểncủacácgóitinđềuđượcchấpnhận,xemxét,dịchvàchuyểnlạinêntườnglửaloạinàybịhạnchếvềtốcđộ.QuátrìnhchuyểntiếpIPdiễnrakhimộtservernhậnđượctínhiệutừbênngoàiyêucầuchuyểntiếpthôngtintheođịnhdạngIPvàomạngnộibộ.ViệcchophépchuyểntiếpIPlàlỗikhôngtránhkhỏi,khiđó,cracker(kẻbẻkhoá)cóthểthâmnhậpvàotrạmlàmviệctrênmạngcủabạn.Hạnchếkháccủamôhìnhtườnglửanàylàmỗiứngdụngbảomật(proxyapplication)phảiđượctạorachotừngdịchvụmạng.NhưvậymộtứngdụngdùngchoTelnet,ứngdụngkhácdùngchoHTTP,v.v..DokhôngthôngquaquátrìnhchuyểndịchIPnêngóitinIPtừđịachỉ ...