Bạn đang tìm kiếm thiết lập tường lửa phù hợp để bảo vệ doanh nghiệp của mình khỏi các mối đe dọa tiềm ẩn? Hiểu cách hoạt động của tường lửa giúp bạn quyết định giải pháp tốt nhất. Bài viết này Viettelco sẽ giải thích các loại tường lửa, từ đó sẽ giúp bạn đưa ra lựa chọn phù hợp cho hệ thống của mình.
Firewall là gì?
Tường lửa là một thiết bị bảo mật giám sát lưu lượng mạng. Nó bảo vệ mạng nội bộ bằng cách lọc lưu lượng đến và đi dựa trên một tập hợp các quy tắc đã thiết lập. Thiết lập tường lửa là cách đơn giản nhất để thêm một lớp bảo mật giữa hệ thống và các cuộc tấn công độc hại.
Firewall hoạt động như thế nào?
Tường lửa được đặt ở cấp phần cứng hoặc phần mềm của hệ thống để bảo vệ nó khỏi lưu lượng độc hại. Tùy thuộc vào thiết lập, nó có thể bảo vệ một máy hoặc toàn bộ mạng máy tính. Thiết bị kiểm tra lưu lượng đến và đi theo các quy tắc được xác định trước.
Giao tiếp qua Internet được thực hiện bằng cách yêu cầu và truyền dữ liệu từ người gửi đến người nhận. Vì dữ liệu không thể được gửi đi toàn bộ, nó được chia thành các gói dữ liệu có thể quản lý được tạo nên thực thể được truyền ban đầu. Vai trò của tường lửa là kiểm tra các gói dữ liệu di chuyển đến và đi từ máy chủ.
Tường lửa kiểm tra cái gì? Mỗi gói dữ liệu bao gồm một tiêu đề (thông tin điều khiển) và tải trọng (dữ liệu thực tế). Tiêu đề cung cấp thông tin về người gửi và người nhận. Trước khi gói tin có thể xâm nhập vào mạng nội bộ thông qua cổng được xác định, nó phải vượt qua tường lửa. Việc chuyển này phụ thuộc vào thông tin mà nó mang theo và cách nó tương ứng với các quy tắc được xác định trước.
Ví dụ: tường lửa có thể có quy tắc loại trừ lưu lượng truy cập đến từ một địa chỉ IP được chỉ định. Nếu nó nhận được các gói dữ liệu có địa chỉ IP đó trong tiêu đề, thì tường lửa sẽ từ chối quyền truy cập. Tương tự, tường lửa có thể từ chối quyền truy cập của bất kỳ ai ngoại trừ các nguồn đáng tin cậy đã xác định. Có nhiều cách để cấu hình thiết bị bảo mật này. Mức độ nó bảo vệ hệ thống trong tầm tay phụ thuộc vào loại tường lửa.
Các loại tường lửa
Mặc dù tất cả đều phục vụ để ngăn chặn truy cập trái phép, nhưng các phương pháp hoạt động và cấu trúc tổng thể của tường lửa có thể khá đa dạng. Theo cấu trúc của chúng, có ba loại tường lửa – tường lửa phần mềm, tường lửa phần cứng hoặc cả hai. Các loại tường lửa còn lại được chỉ định trong danh sách này là các kỹ thuật tường lửa có thể được thiết lập dưới dạng phần mềm hoặc phần cứng.
Tường lửa phần mềm
Tường lửa phần mềm được cài đặt trên thiết bị chủ. Theo đó, loại tường lửa này còn được gọi là Host Firewall. Vì nó được gắn vào một thiết bị cụ thể, nó phải sử dụng tài nguyên của nó để hoạt động. Do đó, việc nó sử dụng hết một số RAM và CPU của hệ thống là điều không thể tránh khỏi.
Nếu có nhiều thiết bị, bạn cần cài đặt phần mềm trên mỗi thiết bị. Vì nó cần phải tương thích với máy chủ, nó yêu cầu cấu hình riêng cho từng máy. Do đó, bất lợi chính là thời gian và kiến thức cần thiết để quản trị và quản lý tường lửa cho mỗi thiết bị.
Mặt khác, ưu điểm của tường lửa phần mềm là chúng có thể phân biệt giữa các chương trình trong khi lọc lưu lượng đến và đi. Do đó, họ có thể từ chối quyền truy cập vào một chương trình trong khi vẫn cho phép truy cập vào một chương trình khác.
Tường lửa phần cứng
Như tên cho thấy, tường lửa phần cứng là thiết bị bảo mật đại diện cho một phần cứng riêng biệt được đặt giữa mạng bên trong và bên ngoài (Internet). Loại này còn được gọi là Tường lửa thiết bị.
Không giống như tường lửa phần mềm, tường lửa phần cứng có tài nguyên của nó và không tiêu thụ bất kỳ CPU hoặc RAM nào từ các thiết bị chủ. Nó là một thiết bị vật lý đóng vai trò như một cổng cho lưu lượng truy cập đến và đi từ một mạng nội bộ.
Chúng được sử dụng bởi các tổ chức vừa và lớn có nhiều máy tính hoạt động trong cùng một mạng. Sử dụng tường lửa phần cứng trong những trường hợp như vậy thực tế hơn là cài đặt phần mềm riêng lẻ trên từng thiết bị. Việc định cấu hình và quản lý tường lửa phần cứng đòi hỏi kiến thức và kỹ năng, vì vậy hãy đảm bảo có một đội ngũ lành nghề đảm nhận trách nhiệm này.
Tường lửa lọc gói
Khi nói đến các loại tường lửa dựa trên phương pháp hoạt động của chúng, loại cơ bản nhất là tường lửa lọc gói. Nó hoạt động như một điểm kiểm tra an ninh nội tuyến được gắn vào bộ định tuyến hoặc bộ chuyển mạch. Như tên cho thấy, nó giám sát lưu lượng mạng bằng cách lọc các gói đến theo thông tin mà chúng mang theo.
Như đã giải thích ở trên, mỗi gói dữ liệu bao gồm một tiêu đề và dữ liệu mà nó truyền đi. Loại tường lửa này quyết định một gói được cho phép hay bị từ chối truy cập dựa trên thông tin tiêu đề. Để làm như vậy, nó sẽ kiểm tra giao thức, địa chỉ IP nguồn, IP đích, cổng nguồn và cổng đích. Tùy thuộc vào cách các con số khớp với danh sách kiểm soát truy cập (các quy tắc xác định lưu lượng truy cập mong muốn / không mong muốn), các gói được truyền hoặc loại bỏ.
Nếu một gói dữ liệu không phù hợp với tất cả các quy tắc bắt buộc, nó sẽ không được phép truy cập vào hệ thống.
Tường lửa lọc gói là một giải pháp nhanh chóng mà không cần nhiều tài nguyên. Tuy nhiên, nó không phải là an toàn nhất. Mặc dù nó kiểm tra thông tin tiêu đề, nó không kiểm tra dữ liệu (tải trọng) chính nó. Vì phần mềm độc hại cũng có thể được tìm thấy trong phần này của gói dữ liệu, tường lửa lọc gói không phải là lựa chọn tốt nhất để bảo mật hệ thống mạnh mẽ.
TƯỜNG LỬA LỌC GÓI | |||
Ưu điểm | Nhược điểm | Mức độ bảo vệ | Nó dành cho ai: |
– Nhanh chóng và hiệu quả để lọc tiêu đề.
– Không sử dụng nhiều tài nguyên. – Giá thấp. |
– Không kiểm tra trọng tải.
– Dễ bị giả mạo IP. – Không thể lọc các giao thức lớp ứng dụng. – Không xác thực người dùng. |
– Không an toàn lắm vì nó không kiểm tra tải trọng gói. | – Một giải pháp tiết kiệm chi phí để bảo vệ các thiết bị trong mạng nội bộ.
– Phương tiện cách ly giao thông nội bộ giữa các bộ phận khác nhau. |
Cổng cấp mạch
Các cổng cấp mạch là một loại tường lửa hoạt động ở lớp phiên của mô hình OSI, quan sát các kết nối và phiên giao thức TCP (Transmission Control Protocol). Chức năng chính của chúng là đảm bảo các kết nối được thiết lập được an toàn.
Trong hầu hết các trường hợp, tường lửa cấp mạch được tích hợp trong một số loại phần mềm hoặc tường lửa đã có sẵn.
Giống như tường lửa lọc bỏ túi, chúng không kiểm tra dữ liệu thực tế mà là thông tin về giao dịch. Ngoài ra, các cổng cấp mạch rất thiết thực, dễ thiết lập và không yêu cầu máy chủ proxy riêng.
GATEWAY CẤP MẠCH | |||
Ưu điểm | Nhược điểm | Mức độ bảo vệ | Nó dành cho ai: |
– Hiệu quả về nguồn lực và chi phí.
– Cung cấp tính năng ẩn dữ liệu và bảo vệ chống lộ địa chỉ. – Kiểm tra bắt tay TCP. |
– Không lọc nội dung.
– Không có bảo mật lớp ứng dụng. – Yêu cầu sửa đổi phần mềm. |
– Mức độ bảo vệ vừa phải (cao hơn lọc gói, nhưng không hoàn toàn hiệu quả vì không có lọc nội dung). | – Không nên sử dụng chúng như một giải pháp độc lập.
– Chúng thường được sử dụng với các cổng lớp ứng dụng. |
Tường lửa kiểm tra trạng thái
Tường lửa kiểm tra trạng thái theo dõi trạng thái của kết nối bằng cách giám sát quá trình bắt tay 3 chiều TCP. Điều này cho phép nó theo dõi toàn bộ kết nối – từ đầu đến cuối – chỉ cho phép lưu lượng trở lại dự kiến vào.
Khi bắt đầu kết nối và yêu cầu dữ liệu, việc kiểm tra trạng thái sẽ xây dựng cơ sở dữ liệu (bảng trạng thái) và lưu trữ thông tin kết nối. Trong bảng trạng thái, nó ghi chú IP nguồn, cổng nguồn, IP đích và cổng đích cho mỗi kết nối. Sử dụng phương pháp kiểm tra trạng thái, nó tự động tạo ra các quy tắc tường lửa để cho phép lưu lượng truy cập dự kiến.
Loại tường lửa này được sử dụng làm bảo mật bổ sung. Nó thực thi nhiều kiểm tra hơn và an toàn hơn so với các bộ lọc không trạng thái. Tuy nhiên, không giống như lọc gói / không trạng thái, tường lửa trạng thái kiểm tra dữ liệu thực tế được truyền qua nhiều gói thay vì chỉ tiêu đề. Do đó, chúng cũng yêu cầu nhiều tài nguyên hệ thống hơn.
Ưu điểm | Nhược điểm | Mức độ bảo vệ | Nó dành cho ai: |
– Theo dõi toàn bộ phiên làm việc.
– Kiểm tra tiêu đề và tải trọng gói. – Cung cấp nhiều quyền kiểm soát hơn. – Hoạt động với ít cổng mở hơn. |
– Không hiệu quả về chi phí vì chúng đòi hỏi nhiều tài nguyên hơn.
– Không hỗ trợ xác thực. – Dễ bị tấn công DDoS. – Có thể làm chậm hiệu suất do yêu cầu tài nguyên cao. |
– Cung cấp bảo mật nâng cao hơn vì nó kiểm tra toàn bộ gói dữ liệu trong khi chặn các bức tường lửa khai thác các lỗ hổng giao thức.
– Không hiệu quả khi khai thác các giao thức không trạng thái. |
– Được coi là bảo vệ mạng tiêu chuẩn cho các trường hợp cần cân bằng giữa lọc gói và proxy ứng dụng. |
Tường lửa proxy
Tường lửa proxy đóng vai trò như một thiết bị trung gian giữa các hệ thống bên trong và bên ngoài giao tiếp qua Internet. Nó bảo vệ một mạng bằng cách chuyển tiếp các yêu cầu từ máy khách ban đầu và che nó làm mạng của chính nó. Proxy có nghĩa là đóng vai trò thay thế và theo đó, đó là vai trò của nó. Nó thay thế cho khách hàng đang gửi yêu cầu.
Khi một máy khách gửi yêu cầu truy cập một trang web, thông báo sẽ được giao bởi máy chủ proxy. Proxy chuyển tiếp tin nhắn đến máy chủ web, giả vờ là máy khách. Làm như vậy sẽ ẩn nhận dạng và định vị địa lý của khách hàng, bảo vệ nó khỏi mọi hạn chế và các cuộc tấn công tiềm ẩn. Sau đó, máy chủ web phản hồi và cung cấp cho proxy thông tin được yêu cầu, thông tin này được chuyển cho máy khách.
Ưu điểm | Nhược điểm | Mức độ bảo vệ | Nó dành cho ai: |
– Bảo vệ hệ thống bằng cách ngăn chặn sự tiếp xúc với các mạng khác.
– Đảm bảo tính ẩn danh của người dùng. – Mở khóa các hạn chế vị trí địa lý. |
– Có thể làm giảm hiệu suất.
– Cần cấu hình bổ sung để đảm bảo mã hóa tổng thể. – Không tương thích với tất cả các giao thức mạng. |
– Cung cấp khả năng bảo vệ mạng tốt nếu được cấu hình tốt. | – Được sử dụng cho các ứng dụng web để bảo mật máy chủ khỏi người dùng độc hại.
– Được người dùng sử dụng để đảm bảo ẩn danh mạng và bỏ qua các hạn chế trực tuyến. |
Tường lửa thế hệ tiếp theo
Tường lửa thế hệ tiếp theo là một thiết bị bảo mật kết hợp một số chức năng của các tường lửa khác. Nó kết hợp kiểm tra gói tin, trạng thái và gói tin sâu. Nói một cách đơn giản, NGFW kiểm tra tải trọng thực tế của gói tin thay vì chỉ tập trung vào thông tin tiêu đề.
Không giống như các tường lửa truyền thống, tường lửa thế hệ tiếp theo kiểm tra toàn bộ giao dịch dữ liệu, bao gồm cả quá trình bắt tay TCP, cấp độ bề mặt và kiểm tra gói tin sâu.
Sử dụng NGFW được bảo vệ đầy đủ khỏi các cuộc tấn công của phần mềm độc hại, các mối đe dọa bên ngoài và xâm nhập. Các thiết bị này khá linh hoạt và không có định nghĩa rõ ràng về các chức năng mà chúng cung cấp. Do đó, hãy đảm bảo khám phá những gì từng tùy chọn cụ thể cung cấp.
TƯỜNG LỬA THẾ HỆ TIẾP THEO | |||
Ưu điểm | Nhược điểm | Mức độ bảo vệ | Nó dành cho ai: |
– Tích hợp kiểm tra sâu, chống vi-rút, lọc thư rác và kiểm soát ứng dụng.
– Nâng cấp tự động. – Giám sát lưu lượng mạng từ Lớp 2 đến Lớp 7. |
– Tốn kém so với các giải pháp khác.
– Có thể yêu cầu cấu hình bổ sung để tích hợp với quản lý bảo mật hiện có.
|
– Bảo mật cao. | – Thích hợp cho các doanh nghiệp yêu cầu tuân thủ PCI hoặc HIPAA.
– Đối với các doanh nghiệp muốn có một thiết bị bảo mật thỏa thuận trọn gói. |
Tường lửa đám mây
Tường lửa đám mây hoặc tường lửa dưới dạng dịch vụ (Faas) là một giải pháp đám mây để bảo vệ mạng. Giống như các giải pháp đám mây khác, nó được duy trì và chạy trên Internet bởi các nhà cung cấp bên thứ ba.
Khách hàng thường sử dụng tường lửa đám mây làm máy chủ proxy, nhưng cấu hình có thể thay đổi tùy theo nhu cầu. Lợi thế chính của họ là khả năng mở rộng. Chúng độc lập với tài nguyên vật lý, cho phép mở rộng dung lượng tường lửa theo tải lưu lượng.
Các doanh nghiệp sử dụng giải pháp này để bảo vệ mạng nội bộ hoặc các cơ sở hạ tầng đám mây khác (Iaas / Paas).
ĐÁM MÂY LỬA | |||
Ưu điểm | Nhược điểm | Mức độ bảo vệ | Nó dành cho ai: |
– Khả dụng.
– Khả năng mở rộng giúp tăng băng thông và bảo vệ trang web mới. – Không yêu cầu phần cứng. – Tiết kiệm chi phí quản lý và bảo trì thiết bị. |
– Mức giá đa dạng tùy theo dịch vụ cung cấp.
– Nguy cơ mất kiểm soát đối với tài sản bảo đảm. – Các khó khăn về khả năng tương thích có thể xảy ra nếu chuyển sang nhà cung cấp đám mây mới. |
– Cung cấp sự bảo vệ tốt trong điều kiện tính sẵn sàng cao và có đội ngũ nhân viên chuyên nghiệp chăm sóc thiết lập.
|
– Một giải pháp phù hợp cho các doanh nghiệp lớn hơn không có đội ngũ bảo vệ bên trong để duy trì và quản lý các thiết bị an ninh tại chỗ. |
Kiến trúc tường lửa nào phù hợp với hệ thống của bạn?
Khi quyết định chọn tường lửa nào, không cần phải nói rõ ràng. Sử dụng nhiều hơn một loại tường lửa cung cấp nhiều lớp bảo vệ.
Ngoài ra, hãy xem xét các yếu tố sau:
- Quy mô của tổ chức. Mạng nội bộ lớn như thế nào? Bạn có thể quản lý tường lửa trên từng thiết bị hay bạn cần tường lửa giám sát mạng nội bộ? Những câu hỏi này rất quan trọng để trả lời khi quyết định giữa phần mềm và phần cứng tường lửa. Ngoài ra, quyết định giữa hai bên phần lớn sẽ phụ thuộc vào khả năng của nhóm công nghệ được giao quản lý thiết lập.
- Các tài nguyên có sẵn. Bạn có đủ khả năng để tách tường lửa khỏi mạng nội bộ bằng cách đặt nó trên một phần cứng riêng biệt hoặc thậm chí trên đám mây không? Lưu lượng tải mà tường lửa cần phải lọc và liệu nó có nhất quán hay không cũng đóng một vai trò quan trọng.
- Mức độ bảo vệ cần thiết. Số lượng và loại tường lửa phải phản ánh các biện pháp bảo mật mà mạng nội bộ yêu cầu. Một doanh nghiệp xử lý thông tin khách hàng nhạy cảm cần đảm bảo rằng dữ liệu được bảo vệ khỏi tin tặc bằng cách thắt chặt bảo vệ tường lửa.
Xây dựng thiết lập tường lửa phù hợp với các yêu cầu xem xét các yếu tố này. Sử dụng khả năng phân lớp nhiều hơn một thiết bị bảo mật và định cấu hình mạng nội bộ để lọc bất kỳ lưu lượng nào đến với nó.