Khi các mối đe dọa mạng ngày càng phức tạp và nguy hiểm, bảo vệ hệ thống trở thành một thách thức lớn đối với các tổ chức. Đây là lúc Firewall đóng vai trò quan trọng. Bài viết này sẽ giúp bạn hiểu về chức năng, kiến trúc và nguyên tắc hoạt động của Firewall – công cụ bảo vệ không thể thiếu giúp ngăn chặn các cuộc tấn công, đảm bảo an toàn cho dữ liệu và hệ thống của bạn.
Xem thêm:
1. Chức năng của Firewall
1.1 Kiểm soát truy cập
Tường lửa có chức năng kiểm soát và quản lý truy cập mạng bằng cách xác định và kiểm tra lưu lượng vào và ra dựa trên các quy tắc bảo mật sẵn có. Nó chỉ cho phép các lưu lượng hợp lệ, ngăn chặn các mối đe dọa tiềm ẩn từ bên ngoài. Ngoài ra, tường lửa quản lý băng thông hiệu quả, phân bổ hợp lý cho các ứng dụng và dịch vụ, và kiểm soát việc truy cập ứng dụng, đảm bảo chỉ các ứng dụng đáng tin cậy được phép hoạt động.
Chẳng hạn trong một công ty, tường lửa được cấu hình để chặn truy cập vào các trang web giải trí như Youtube và các dịch vụ email cá nhân. Khi nhân viên cố gắng truy cập Youtube trong giờ làm việc, tường lửa sẽ nhận diện URL của trang web và so sánh với các quy tắc bảo mật đã thiết lập. Nếu URL bị cấm, tường lửa sẽ ngăn chặn kết nối này, thông báo cho người dùng rằng truy cập bị từ chối. Điều này giúp công ty đảm bảo nhân viên tập trung vào công việc và giảm thiểu rủi ro bảo mật từ các trang web không đáng tin cậy.
1.2 Quản lý xác thực
Chức năng ngăn chặn truy cập trái phép vào hệ thống mạng nội bộ rất quan trọng, đặc biệt đối với các hệ thống mạng lớn với nhiều người dùng. Các hệ điều hành quản lý mạng thường không kiểm soát chặt chẽ tên người dùng và mật khẩu đã đăng ký, dẫn đến rủi ro khi người dùng vô tình để lộ thông tin đăng nhập.
Hiện nay, có hai giao thức chuẩn thông dụng nhất để kết hợp làm việc với mạng LAN:
- RADIUS (Remote Authentication Dial-In User Service): Giao thức này cung cấp cơ chế xác thực tập trung cho người dùng từ xa, đặc biệt hữu ích trong các mạng lớn.
- TACAS+ (Terminal Access Controller Access Control System Extended): Giao thức này cung cấp khả năng kiểm soát truy cập linh hoạt và mạnh mẽ hơn, với sự phân quyền và xác thực chi tiết.
Chức năng xác thực (authentication) thường được thực hiện với sự kết hợp của phần cứng hoặc phần mềm tích hợp sẵn bên trong các hệ thống quản lý. Khi người dùng cố gắng truy cập vào mạng, hệ thống sẽ kiểm tra tên đăng nhập và mật khẩu. Sau đó, một chuỗi ký tự gọi là “Challenge” sẽ được gửi đến máy tính của người dùng. Người dùng nhập chuỗi Challenge vào thiết bị Token của mình và nhận lại một chuỗi ký tự mới gọi là PIN (Personal Identification Number – số nhận dạng cá nhân). Nhờ PIN này, người dùng có thể truy cập vào hệ thống mạng. Điều đặc biệt là cả Challenge và PIN đều thay đổi liên tục, thường là mỗi phút một lần. Các Token có thể được thiết lập và thay đổi khóa mã hóa (Cryptor Key) tùy thuộc vào người sử dụng, đảm bảo mức độ bảo mật gần như tuyệt đối.
Chẳng hạn, trong một công ty lớn, khi một nhân viên muốn truy cập vào mạng nội bộ, họ sẽ nhập tên đăng nhập và mật khẩu của mình. Sau khi xác thực ban đầu thành công, hệ thống sẽ gửi một chuỗi ký tự Challenge đến máy tính của họ. Nhân viên sẽ nhập chuỗi Challenge này vào thiết bị Token cá nhân và nhận lại một chuỗi ký tự mới, tức là PIN. Sử dụng PIN này, nhân viên có thể truy cập vào mạng nội bộ một cách an toàn. Mỗi lần truy cập, Challenge và PIN sẽ thay đổi, giúp ngăn chặn truy cập trái phép và đảm bảo tính bảo mật cao cho hệ thống mạng của công ty.
1.3 Kiểm tra và cảnh báo
Chức năng kiểm tra sẽ ghi lại và phân tích các hoạt động mạng để bảo vệ hệ thống. Thông qua việc ghi chép vào các tập tin nhật ký (log files), tường lửa lưu trữ các thông tin như thời gian bắt đầu và kết thúc của các phiên kết nối, địa chỉ IP của máy chủ nguồn và đích, loại giao thức sử dụng (TCP hay UDP), cổng mở trên máy chủ đích, kết quả của việc kết nối (thành công hay từ chối), cùng với tên người sử dụng nếu xác thực được sử dụng. Các thông tin này cũng bao gồm số lượng gói tin được truyền và số lần lặp lại của kết nối đó.
Việc lưu giữ và phân tích các thông tin này giúp tường lửa nhận biết các hoạt động mạng bất thường và các mối đe dọa tiềm ẩn. Ví dụ, nếu có nhiều lần thất bại trong việc đăng nhập từ cùng một địa chỉ IP, thông tin từ log file có thể cho thấy một cuộc tấn công từ mật khẩu đang diễn ra, giúp hành động phòng ngừa kịp thời.
Thông tin từ các log file cũng hỗ trợ trong việc điều tra sự cố và phục hồi hệ thống sau các sự cố bảo mật. Điều này làm cho việc quản lý mạng hiệu quả hơn và giảm thiểu rủi ro bảo mật cho tổ chức.
Chức năng cảnh báo cũng được chú trọng đặc biệt với người quản trị. Tường lửa có khả năng phát hiện các hoạt động đáng ngờ hoặc không bình thường trên mạng. Khi phát hiện các sự cố này, nó có thể kích hoạt cảnh báo để thông báo cho nhà quản trị hệ thống hay nhóm an ninh mạng can thiệp kịp thời.
Chẳng hạn, tường lửa phát hiện một lượng lớn các yêu cầu kết nối đến cổng mạng từ một địa chỉ IP nào đó trong một khoảng thời gian ngắn. Đây có thể là dấu hiệu của một cuộc tấn công từ chối dịch vụ (DoS). Tường lửa có thể tự động phát hiện và gửi cảnh báo đến nhóm an ninh mạng. Nhóm này có thể xử lý vấn đề bằng cách chặn các kết nối từ IP tấn công hoặc triển khai các biện pháp bảo vệ khác nhằm bảo vệ hệ thống mạng khỏi các cuộc tấn công tiềm ẩn. Chức năng cảnh báo giúp tăng cường khả năng phản ứng nhanh chóng và hiệu quả trước các mối đe dọa mạng, từ đó bảo vệ và duy trì an toàn cho hệ thống mạng trong môi trường công nghiệp và doanh nghiệp.
2. Kiến trúc cơ bản của Firewall
2.1 Kiến trúc Dual-homed host
Dual-homed host là một hệ thống firewall sử dụng một máy chủ có hai giao diện mạng (network interface cards – NICs). Một giao diện kết nối với mạng nội bộ (internal network) và giao diện còn lại kết nối với mạng bên ngoài (external network, thường là Internet). Máy chủ này thường được cấu hình để không cho phép chuyển tiếp gói tin giữa hai mạng, nhằm cô lập mạng nội bộ khỏi mạng bên ngoài.
Ưu điểm của kiến trúc Dual-homed host
- Cài đặt dễ dàng, không yêu cầu phần cứng hoặc phần mềm đặc biệt.
- Dual-homed host chỉ yêu cầu cấm khả năng chuyển các gói tin, do đó trên hệ điều hành linux chỉ cần cấu hình lại nhân của hệ điều hành.
Nhược điểm của kiến trúc Dual-homed host
- Hiệu suất có thể bị giới hạn bởi máy chủ Dual-Homed.
- Thiếu khả năng mở rộng và linh hoạt so với các kiến trúc firewall phức tạp hơn.
- Không có khả năng chống đỡ những cuộc tấn công nhằm vào chính bản thân của dual-homed host, và khi dual-homed host bị đột nhập nó sẽ trở thành nơi lý tưởng để tấn công vào mạng nội bộ, người tấn công (attacker) sẽ thấy được toàn bộ lưu lượng trên mạng.
2.2 Kiến trúc Screened host
Kiến trúc Screened Host là một mô hình bảo mật mạng sử dụng một bộ lọc gói (packet-filtering router) kết hợp với một máy chủ bảo mật nội bộ (bastion host).
Trong đó, packet-filtering router sẽ đặt giữa mạng bên ngoài và máy chủ bảo mật nội bộ. Thiết bị này thực hiện việc lọc lưu lượng cơ bản dựa trên các thuộc tính như địa chỉ IP, cổng và giao thức. Còn bastion host đóng vai trò như là một máy chủ đặc biệt được bảo mật kỹ lưỡng, nằm trong một mạng con riêng biệt được bảo vệ (screened subnet). Máy chủ này thực hiện các kiểm tra bảo mật chi tiết hơn như kiểm tra ở mức ứng dụng và xác thực người dùng.
Mục đích chính của mô hình này là tăng cường bảo mật bằng cách phân chia trách nhiệm kiểm tra và lọc lưu lượng giữa hai lớp bảo mật khác nhau.
Ưu điểm của kiến trúc screened host
- Kết hợp hai lớp bảo mật, giúp phát hiện và ngăn chặn nhiều loại tấn công khác nhau. Bộ lọc gói xử lý các kiểm tra cơ bản, trong khi máy chủ bảo mật nội bộ thực hiện kiểm tra chi tiết.
- Bastion host có thể áp dụng các chính sách bảo mật và kiểm tra ở mức ứng dụng, cho phép kiểm soát chi tiết lưu lượng mạng.
- An toàn hơn kiến trúc dual-homed host do đã tách chức năng lọc các gói IP và các proxy server ở hai máy riêng biệt. Packet filtering chỉ giữ chức năng lọc gói nên có thể kiểm soát, ít có khả năng chịu lỗi. Proxy server được đặt ở máy khác nên khả năng phục vụ tương đối cao.
Nhược điểm của kiến trúc screened host
- Đòi hỏi đầu tư vào nhiều thiết bị và công nghệ, tăng chi phí triển khai và bảo trì.
- Có thể gặp vấn đề về hiệu suất nếu không được cấu hình và quản lý đúng cách, do cần xử lý lưu lượng qua hai lớp bảo mật.
- Cũng tương tự như dual-homed host khi mà packet filtering system cũng như bastion host chứa các proxy server bị đột nhập, khi đó lưu lượng mạng của mạng nội bộ sẽ bị những kẻ tấn công nhìn thấy.
2.3 Kiến trúc Screened subnet host (DMZ)
Kiến trúc Screened subnet host (còn gọi là DMZ – Demilitarized Zone) là một mô hình bảo mật mạng, trong đó một vùng mạng trung gian (subnet) được tạo ra giữa mạng nội bộ (internal network) và mạng bên ngoài (external network). Với kiến trúc này, hệ thống sẽ bao gồm hai packet-filtering router và một bastion host. Kiến trúc này được coi là kiến trúc có mức độ an toàn cao nhất vì nó cung cấp cả mức bảo mật: network và application trong khi định nghĩa một mạng perimeter network. Mạng trung gian (DMZ) đóng vai trò như một mạng nhỏ, cô lập giữa internet và mạng nội bộ. Một mạng trung gian được cấu hình sao cho hệ thống trên internet và mạng nội bộ chỉ có thể truy nhập được một số giới hạn các hệ thống trên mạng DMZ và sự truyền trực tiếp qua mạng trung gian này là không thể được.
Với những thông tin đến, bộ định tuyến ngoài sẽ ngăn chặn các cuộc tấn công như giả mạo địa chỉ IP và điều khiển truy nhập đến DMZ. Nó chỉ cho phép hệ thống bên ngoài truy nhập đến máy chủ. Bộ định tuyến trong sẽ cung cấp sự bảo vệ thứ hai bằng cách điều khiển DMZ truy cập mạng nội bộ chỉ với những thông tin được truyền từ bastion host.
Với những thông tin đi, bộ định tuyến trong điều khiển mạng nội bộ truy nhập đến DMZ. Nó cho phép các hệ thống bên trong truy nhập bastion host. Các quy luật filtering trên bộ định tuyến ngoài yêu cầu sử dụng dịch vụ proxy bằng cách chỉ cho phép thông tin ra bắt nguồn từ bastion host.
2.4 So sánh giữa screened host và screened subnet host
| Đặc điểm | Screened host | Screened subnet host |
| Cấu trúc | Gồm một packet-filtering router và một bastion host | Gồm hai packet-filtering routers và một bastion host |
| Vị trí bastion host | Nằm sau packet-filtering router | Nằm trong DMZ, giữa hai packet-filtering routers |
| Bảo mật | Cung cấp bảo mật cơ bản với một lớp lọc và một bastion host | Cung cấp bảo mật cao hơn với hai lớp lọc và một DMZ |
| Chức năng của Packet-Filtering Router | Kiểm tra và lọc lưu lượng mạng, chuyển tiếp hợp lệ đến bastion host | Kiểm tra và lọc lưu lượng mạng, kiểm soát truy cập vào và ra khỏi DMZ |
| Kiểm soát truy cập | Truy cập từ bên ngoài đến bastion host được kiểm soát | Truy cập từ bên ngoài đến DMZ và từ DMZ đến mạng nội bộ đều được kiểm soát |
| Chi phí | Thấp hơn, dễ quản lý hơn | Cao hơn, phức tạp hơn, yêu cầu nhiều thiết bị hơn |
| Mức độ cô lập | Thấp hơn, chỉ có một lớp cô lập | Cao hơn, có hai lớp cô lập giữa internet và mạng nội bộ |
3. Nguyên tắc hoạt động của Firewall
Tường lửa (firewall) hoạt động dựa trên các nguyên tắc cơ bản để giám sát, kiểm soát và bảo vệ luồng dữ liệu ra vào trong mạng máy tính. Đầu tiên, tường lửa áp dụng bộ lọc gói tin (packet filtering), kiểm tra từng gói tin dựa trên các thông tin như địa chỉ IP nguồn, địa chỉ IP đích, cổng nguồn, cổng đích và giao thức. Dựa vào các quy tắc đã được thiết lập, tường lửa quyết định cho phép hoặc chặn các gói tin.
Tiếp theo, việc kiểm soát truy cập giúp đảm bảo rằng chỉ những người dùng và thiết bị đã được xác thực mới có thể truy cập vào tài nguyên mạng. Ngoài ra, một số chính sách bảo mật được thiết lập rõ ràng để chỉ cho phép các luồng dữ liệu hợp lệ.
Tường lửa cũng có khả năng giám sát và ghi log (monitoring and logging), ghi lại các sự kiện quan trọng để quản trị viên theo dõi và phân tích, từ đó phát hiện các hành vi bất thường hoặc cuộc tấn công.
