Tổng quan Firewall (Phần 2): Phân loại Firewall

Firewall có thể được phân loại theo hai loại sau:

  • Personal firewall
  • Network firewall

Sự khác biệt chính giữa hai loại trên chính là số lượng host được firewall bảo vệ. Trong khi Personal firewall chỉ bảo vệ cho một máy duy nhất thì Network firewall lại bảo vệ cho một hệ thống mạng, trong Network firewall nó lại được chia thành các nhóm chính như sau:

  • Packet-filtering firewalls (stateful và nonstateful)
  • Circuit-level gateways
  • Application-level gateways.

Hình dưới đây sẽ mô tả các kiểu firewall chính hiện có trong hai loại Personal firewall và Network firewall.

Personal Firewalls

Personal firewalls được thiết kế để bảo vệ một máy trước những truy cập trái phép. Trong quá trình phát triển, personal firewall đã được tích hợp thêm nhiều chức năng bổ sung như theo dõi phần mềm chống virus, phần mềm phát hiện xâm nhập để bảo vệ thiết bị. Một số personal firewalls phổ biến như Cisco Security Agent, Microsoft Internet connection firewall, Symantec personal firewall…

Personal firewall rất hữu ích đối với người dùng gia đình và cá nhân bởi vì họ đơn giản chỉ cần bảo vệ từng máy tính riêng rẻ của họ nhưng đối với doanh nghiệp điều này lại gây bất tiện, khi số lượng host quá lớn thì chi phí cho việc thiết lập, cấu hình và vận hành personal firewall là một điều cần phải xem xét.

Network Firewalls

Network firewall được thiết kế để bảo vệ các host trong mạng trước sự tấn công. Một số ví dụ về appliance-based network firewalls như Cisco PIX, Cisco ASA, Juniper NetScreen firewall, Nokia firewalls, Symantec’s Enterprise Firewall. Và một số ví dụ về software-base firewalls include Check Point’s Firewall, Microsoft ISA Server, Linux-based IPTables.

Cùng với sự phát triển của công nghệ, firewall dần được tích hợp nhiều tính năng mới như phát hiện xâm nhập, thiết lập kết nối VPN cũng như nhiều sản phẩm firewall mới ra đời.

1. Các sản phẩm firewall

Software firewalls

– Software firewalls – firewall mềm – là những firewall được cài đặt trên một hệ điều hành. Firewall mềm bao gồm các sản phẩm như SunScreen firewall, IPF, Microsoft ISA server, Check Point NG, Linux’s IPTables …Firewall mềm thường đảm nhận nhiều vai trò hơn firewall cứng, nó có thể đóng vai trò như một DNS server hay một DHCP server.

– Một nhược điểm của firewall mềm là nó được cài đặt trên một hệ điều hành và do đó khả năng có lỗ hổng trên hệ điều hành này là có thể xẩy ra. Khi lỗ hổng được phát hiện và được cập nhật bản vá lỗi, rất có thể sau khi cập nhật bản vá lỗi cho hệ điều hành thì firewall không hoạt động bình thường như trước, do đó cần tiến hành cập nhật bản vá cho firewall từ nhà cung cấp sản phẩm firewall.

– Một ưu điểm nổi trội của firewall mềm là việc thay đổi và nâng cấp thiết bị phần cứng là tương đối dễ dàng và nhanh chóng.

– Do hệ điều hành mà firewall mềm chạy trên nó không được thiết kế tối ưu cho firewall nên firewall mềm có hiệu suất thấp hơn firewall cứng.

Appliance firewalls

– Appliance firewalls – firewall cứng – là những firewall được tích hợp sẵn trên các phần cứng chuyên dụng, thiết kế dành riêng cho firewall. Các sản phẩm firewall cứng đáng chú ý như Cisco PIX, NetScreen firewall, SonicWall Appliaces, WatchGuard Fireboxes, Nokia firewall…

– Trong nhiều trường hợp firewall cứng cung cấp hiệu suất tốt hơn so firewall mềm vì hệ điều hành của firewall cứng được thiết kế để tối ưu cho firewall.

– Lợi ích điển hình khi sử dụng firewall cứng là hiệu suất tổng thể tốt hơn firewall mềm, tính bảo mật được nâng cao, tổng chi phí thấp hơn so với firewall mềm.

– Firewall cứng không được linh hoạt như firewall mềm ( không thể thêm chức năng, thêm các quy tắc như trên firewall mềm)

– Hạn chế của firewall cứng là khả năng tích hợp thêm các chức năng bổ sung khó khăn hơn firewall mềm, chẳng hạn như chức năng kiểm soát thư rác đối với firewall mềm chỉ cần cài đặt chức năng này như một ứng dụng còn đối với firewall cứng phải có thiết bị phần cứng hỗ trợ cho chức năng này.

Integrated firewalls

– Integrated firewalls – firewall tích hợp – ngoài chức năng cơ bản của firewall thì nó còn đảm nhận các chức năng khác như VPN, phát hiện phòng chống xâm nhập, lọc thư rác, chống virus. Lợi ích của việc dùng firewall tích hợp là đơn giản hóa thiết kế mạng bằng cách giảm lượng thiết bị mạng cũng như giảm chi phí quản lý, giảm gánh nặng cho các chuyên viên quản trị, ngoài ra nó còn tiết kiệm chi phí hơn so với việc dùng nhiều thiết bị cho nhiều mục đích khác nhau.

– Tuy nhiên việc tích hợp nhiều chức năng trên cùng một thiết bị dẫn đến khó khăn trong khắc phục sự cố vì tính phức tạp của hệ thống khi tích hợp.

2. Các công nghệ firewall

Dựa vào công nghệ sử dụng trong firewall người ta chia firewall thành các loại như sau:

  • Personal firewalls
  • Packet filters
  • Network Address Translations (NAT) firewalls
  • Circuit-level firewalls
  • Proxy firewalls
  • Stateful firewalls
  • Transparent firewall
  • Virtual firewalls

Personal firewalls: Được thiết kế để bảo vệ một host duy nhất, thường được tích hợp sẵn trong các laptop, desktop…

Packet filters: Là thiết bị được thiết kế để lọc gói tin dựa trên những đặc điểm đơn giản của gói tin. Packet filters tiêu biểu cho dạng statless vì nó không giữ bảng trạng thái các kết nối và không kiểm tra trạng thái các kết nối.

Simple Access List Sample Network

access-list 101 permit icmp any 192.168.185.0 0.0.0.255 echo-reply
access-list 101 permit icmp any 192.168.185.0 0.0.0.255 ttl-exceeded
access-list 101 permit tcp any 192.168.185.0 0.0.0.255 established
access-list 101 permit udp any host 192.168.185.100 eq 53
access-list 101 permit udp any eq 123 192.168.185.0 0.0.0.255

Simple Access List

Packet filtering firewall

Network Address Translations (NAT) firewalls: Thực hiện chức năng chuyển đổi địa chỉ IP public thành địa IP private và ngược lại, nó cung cấp cơ chế che dấu IP các host bên trong.

NAT Firewall

Circuit-level firewalls: Hoạt động tại lớp session của mô hình OSI, nó giám sát các gói tin “handshaking” đi qua firewall, gói tin được chỉnh sửa sao cho nó xuất phát từ circuit-level firewall, điều này giúp che dấu thông tin của mạng được bảo vệ.

Circuit-Level Firewall

Proxy firewalls: Hoạt động tại lớp ứng dụng của mô hình OSI, nó đóng vai trò như người trung gian giữa hai thiết bị đầu cuối. Khi người dùng truy cập dịch vụ ngoài internet, proxy đảm nhận việc yêu cầu thay cho client và nhận trả lời từ server trên internet và trả lời lại cho người dùng bên trong.

Proxy Firewall

Stateful firewalls: Được kết hợp với các firewall khác như NAT firewall, circuit-level firewall, proxy firewall thành một hệ thống firewall, nó không những kiểm tra các đặc điểm của gói tin mà lưu giữ và kiểm tra trạng thái của các gói tin đi qua firewall, một ví dụ cho statefull firewall là sản phẩm PIX firewall của Cisco.

Statefull Firewall

Transparent firewall: Hoạt động ở layer 2 của mô hình OSI, nó hỗ trợ khả năng lọc các gói tin IP (bao gồm IP, TCP, UDP và ICMP). Transparent firewall thực chất chỉ là tính năng layer 2 brigde kết hợp với tính năng filter trên nền IP bằng cách sử dụng tính năng Context Based Access Control. Vì nó hoạt động ở layer 2 nên ta không cần cấu hình IP cũng như thay đổi IP của các thiết bị được nó bảo vệ.

Virtual firewalls: Bao gồm nhiều logical firewall hoạt động trên một thiết bị thật. Một trong những ứng dụng của nó hiện nay là dùng trong việc quản lý các máy ảo trong vmware hay hyper-v.

3. Firewall mã nguồn mở và firewall mã nguồn đóng

Có nhiều loại firewall trên thị trường hiện nay, một loại là mã nguồn mở như Linux IPTables, OpenDSD pf, Solaris IPF firewalls, và một loại khác là mã nguồn đóng như Cisco PIX, ASA firewall, Juniper ScreenOS, Check Point’s firewall. Sự khác biệt đáng chú ý nhất đối với hai loại firewall này là khả năng thương mại hóa của các firewall.

Hầu hết các firewall thương mại đều được tích hợp các tính năng thêm như VPN, phát hiện xâm nhập và khả năng kiểm tra sâu bên trong gói tin. Trong khi đó, các firewall mã nguồn mở chỉ tập trung vào việc lọc các gói tin mà không tích hợp thêm các chứng năng khác và nhường chổ các chức năng này cho các phần mềm khác.

Advertisements

About Argron Nguyen's Blog

Vietnamese. Photographer. Writer. Illustrator. IT-er. All to some extent.

Posted on 23.09.2012, in Network Security and tagged , , , , . Bookmark the permalink. Để lại phản hồi.

Trả lời

Mời bạn điền thông tin vào ô dưới đây hoặc kích vào một biểu tượng để đăng nhập:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Log Out / Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Log Out / Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Log Out / Thay đổi )

Google+ photo

Bạn đang bình luận bằng tài khoản Google+ Log Out / Thay đổi )

Connecting to %s

%d bloggers like this: