Firewall

Từ Thuatngu.vn - Từ điển thuật ngữ CNTT

Bức tường lửa

Bức tường lửa làm màn chắn điều khiển luồng lưu thông giữa các mạng, thường là giữa mạng và Internet, và giữa các mạng con trong công ty. Khi thảo luận về việc bảo vệ mạng người ta thường tập trung mối đe dọa từ Internet, nhưng người dùng nội bộ cũng là mối đe dọa. Thật vậy, người ta thấy rằng đa số các hoạt động không được phép là do người dùng nội bộ gây ra. Ngoài ra, các công ty nối với các bạn hàng qua mạng dùng riêng rất dễ bị tấn công. Người dùng trên mạng của bạn hàng có thể khai thác các kết nối để ăn cắp thông tin có giá trị. Ghi chú: thảo luận nầy tập trung vào các mạng TCP/IP Chiến lược phòng vệ

Firewall thường được mô tả như là hệ phỏng thủ bao quanh, với các “chốt” để kiểm soát tất cả các luồng lưu thông nhập và xuất. Giống như hệ phòng thủ xung quanh các lâu đài thời trung cổ, xem hình F-10. Các hào và tường tạo nên hệ phòng thủ, còn các phòng gác ở cổng và các cầu kéo là các “chốt”, ở đó mọi người phải đi qua khi vào và ra khỏi lâu đài. Có thể theo dõi và khóa truy cập tại các chốt nầy. Các mạng dùng riêng nối với Internet thường bị đe dọa bởi những kẻ tấn công. Để bảo vệ hệ dữ liệu bên trong, người ta đề nghị hệ thống phòng thủ gồm dây thép, hào, dầu nóng và những thứ khác để đẩy lùi những kẻ phá rối. Nhưng mối đe dọa thật sự là những điệp viên đi qua các bức tường vào ban đêm và qua được mọi vật cản để đến đích tấn công.

Nếu bức tường lửa giống như lâu đài, người dùng được hợp thức hóa để truy cập ở mức độ nào, và họ được làm gì một khi vào được bên trong? Dĩ nhiên mọi bức tường lửa đều cần tìm cách nào đó để cho phép người dùng hợp lệ đi qua và chặn lại những người dùng bất hợp lệ. Dưới thời trung cổ, những thị dân và thương gia được phép vào sân chợ trong lâu đài tương đối dễ dàng để có thể mua bán hàng hóa. Vào ban đêm, cổng được khóa và hàng hóa được cất trong lâu đài - thường sau khi tuần tra. Trong khi hầu như mọi người đều có thể vào sân chợ, chỉ có những người được ủy thác và có thư ủy nhiệm mới được vào vòng bên trong lâu đài. Trong vòng các bức tường nầy có lực lượng tăng cường là mức bảo vệ cuối cùng chống kẻ tấn công. Tương tự như thế, các máy chủ web và FTP của bạn nằm ở “sân chợ”, nơi được kết nối vào Internet để cho phép truy cập công cộng. Đằng sau hệ thống nầy là mạng dùng riêng của bạn, cần phải bảo vệ bằng bức tường lửa.

Giống như hệ phòng thủ nhiều vòng của lâu đài, bạn có thể cài đặt nhiều thiết bị bức tường lửa để ngăn chặn những kẻ tấn công vào mạng. Các thiết bị “kẽm gai” sẽ báo trước khi nào có kẻ gián điệp nhảy qua đường hào và leo lên tường. Đây là nơi mà các bộ định tuyến kiểm tra (screening router) được dùng cùng với bức tường lửa của bạn.

Trong thời hòa bình, người cai trị lâu đài gặp gỡ thị dân, thương gia, và những chức sắc đến từ vùng khác. Mọi cuộc gặp với nhà vua hoặc hoàng hậu đều phải qua khám xét tận đáy (strip search). Nhưng nếu tình hình chính trị căng thẳng, người cai trị muốn tránh các cuộc gặp trực tiếp với khách. Trong trường hợp nầy, người ta chọn giải pháp cho những người khách gặp người đại diện của vua hoặc hoàng hậu, và người nầy chuyển tin qua lại giữa hai bên. Người đại diện làm dịch vụ ủy thác (proxy service).

Firewall được thiết kế theo hai tiếp cận nầy. Firewall lọc gói (packet-filtering) dùng phương pháp khám xét tận đáy (strip search). Các gói dữ liệu trước hết được kiểm tra, sau đó được trả lại hoặc cho phép đi vào theo một số điều kiện nhất định. Một dịch vụ ủy thác (proxy service) hoạt động như là người đại diện cho những người dùng cần truy cập hệ thống ở phía bên kia bức tường lửa. Còn một phương pháp thứ ba gọi là giám sát trạng thái (stateful inspection). Phương pháp nầy tương tự như người giữ cổng, nhớ các đặc trưng của bất cứ người nào rời khỏi lâu đài và chỉ cho phép quay trở lại theo những đặc trưng nầy.

Phân loại bức tường lửa

Bất cứ thiết bị nào điều khiển luồng dữ liệu trên mạng vì lý do an toàn đều được gọi là bức tường lửa, và thuật ngữ nầy được sử dụng một cách tổng quát. Tuy vậy, có ba loại bức tường lửa dùng các chiến lược khác nhau để bảo vệ tài nguyên trên mạng. Thiết bị bức tường lửa cơ bản nhất được xây dựng trên các bộ định tuyến và làm việc ở các tầng thấp hơn trong ngăn xếp giao thức mạng. Chúng lọc các gói dữ liệu và thường được gọi là bộ định tuyến kiểm tra (screening router). Các cổng proxy server ở đầu cuối trên (high-end) vận hành ở mức cao hơn trong ngăn xếp giao thức. Bức tường lửa loại ba dùng kỹ thuật giám sát trạng thái.

Các bộ định tuyến thường được dùng cùng với các gateway để tạo nên hệ thống phòng thủ nhiều tầng, mặc dù nhiều sản phẩm bức tường lửa thương mại có thể cung cấp tất cả các chức năng tùy theo nhu cầu.