Tường lửa (Firewall) là gì? Những kiến thức tổng quan về Firewall

Mặc dù Internet là mỏ thông tin và giao tiếp xã hội quý giá, nhưng không phải lúc nào nó cũng thân thiện. Thay vào đó, có rất nhiều kẻ xấu rình rập trên mạng với mưu đồ xâm nhập vào những máy tính kết nối với Internet.

Sau hàng loạt những vụ tấn công mạng quy mô lớn diễn ra gần đây, vấn đề bảo mật trên máy tính trở nên nóng hơn bao giờ hết. Bên cạnh những phần mềm diệt virus, các cổng giao tiếp trong hệ thống, bạn còn cần chú ý đến một yếu tố nữa đó là tường lửa - firewall.

Hàng phòng vệ đầu tiên chống lại những kẻ hay đi xâm nhập trộm là firewall: một tập hợp những thủ thuật chuyên môn có thể giúp ngăn chặn ý đồ xâm nhập xấu vào máy tính và hạn chế những gì đi ra khỏi máy. Windows cũng bao gồm một firewall riêng và router (giúp kết nối máy tính với Internet) cũng có router riêng.

Vậy tường lửa là gì hay firewall là gì? Tường lửa hoạt động như thế nào? Chỉ sử dụng tường lửa tích hợp sẵn trên máy tính có an toàn không? Bạn sẽ có câu trả lời cho tất cả các vấn đề về tường lửa trong bài viết này.

Tường lửa Firewall là gì?

Tường lửa Firewall là gì?

Tường lửa (Firewall) là một hệ thống an ninh mạng, có thể dựa trên phần cứng hoặc phần mềm, sử dụng các quy tắc để kiểm soát traffic vào, ra khỏi hệ thống. Tường lửa hoạt động như một rào chắn giữa mạng an toàn và mạng không an toàn. Nó kiểm soát các truy cập đến nguồn lực của mạng thông qua một mô hình kiểm soát chủ động. Nghĩa là, chỉ những traffic phù hợp với chính sách được định nghĩa trong tường lửa mới được truy cập vào mạng, mọi traffic khác đều bị từ chối.

Bất kì máy tính nào kết nối tới Internet cũng cần có firewall, giúp quản lý những gì được phép vào mạng và những gì được phép ra khỏi mạng. Việc có một “người gác cổng” như vậy để giám sát mọi việc xảy ra rất quan trọng bởi 2 lý do:

Thứ nhất, bất kì máy tính kết nối mạng nào thường kết nối vĩnh viễn với Internet. Thứ 2, mỗi máy tính trực tuyến lại có một chữ ký điện tử riêng, được gọi là Internet Protocol address (hay còn gọi là địa chỉ IP): Nếu không có firewall hỗ trợ, nó chẳng khác gì chuyện bạn bật tất cả đèn lên và mở rộng cửa để đón trộm vào.

Một firewall được cấu hình chính xác sẽ ngăn chặn điều này xảy ra và giúp máy tính “ẩn” một cách hiệu quả, cho phép người dùng thoải mái thưởng thức những gì thế giới trực tuyến mang lại. Firewall không giống chương trình diệt virus. Thay vào đó, nó làm việc cùng với những công cụ này nhằm đảm bảo rằng máy tính được bảo vệ từ hầu hết các mối tấn công nguy hại phổ biến.

Windows XP, Vista và 7 bao gồm một firewall, gọi là Windows Firewall, được kích hoạt theo mặc định. Hãy cùng kiểm tra firewall của bạn bằng cách: Người dùng XP nên kích vào Start Control Panel, sau đó kích vào đường link Switch to Classic View trước khi kích đúp vào icon của Windows Firewall: kiểm tra xem nút On đã được kích hoạt hay chưa.

Người dùng Windows Vista hoặc Windows 7 sẽ phải kích vào Start Control Panel System and Security (hoặc Security trong Windows Vista). Sau đó, tìm dòng Windows Firewall và kích vào nó (trong Vista) hoặc kích vào Check firewall status (đối với Windows 7).

Firewall hoạt động như thế nào?

Công việc của một firewall khá khó khăn, bởi có rất nhiều dữ liệu hợp pháp cần được cấp phép cho ra hoặc vào máy tính kết nối mạng. Ví dụ, khi chúng ta truy cập vào trang web Quantrimang.com, đọc tin tức, tips công nghệ mới thì thông tin và dữ liệu của trang web cần được truyền từ và tới máy thông qua mạng để hoàn thành quá trình này.

Một firewall cần biết được sự khác biệt giữa lưu lượng hợp pháp như trên với những loại dữ liệu gây hại khác.

Firewall sử dụng rule hoặc ngoại lệ để làm việc với những kết nối tốt và loại bỏ những kết nối xấu. Nhìn chung, quá trình này được thực hiện ẩn, người dùng không thấy được hoặc không cần tương tác gì cả.

Để xem cách Windows XP thực hiện như thế nào, kích vào Start Control Panel và kích đúp vào icon Windows Firewall. Khi có hộp thoại xuất hiện, kích vào thẻ Exceptions ở top trên cùng để xem những phần mềm được phép nhận kết nối tới – nó giống như bao gồm những thứ như phần mềm diệt virus và dịch vụ lưu trữ trực tuyến, ví như Dropbox.

Người dùng Windows Vista và Windows 7 sẽ phải kích vào Start Control Panel System and Security (hoặc Security trong Vista) → Windows Firewall. Khi có cửa sổ xuất hiện, kích vào đường link Allow a program or feature through Windows Firewall trong danh sách bên trái (Vista là Allow a program through Windows Firewall) để xem những phần mềm được phép giao tiếp qua firewall.

Tường lửa được bật trong Windows

Nhìn chung, Windows tự động theo dõi những rule và ngoại lệ này, nhưng đây chính là nơi bạn cần đến mỗi khi muốn thay đổi điều gì đó.

Có những loại tường lửa nào?

Có 5 loại tường lửa, tùy thuộc vào phương thức hoạt động và tính năng của chúng. Chúng bao gồm bộ lọc gói, cổng vòng (circuit gateway), cổng ứng dụng (application-level gateway), tường lửa kiểm tra trạng thái và tường lửa thế hệ tiếp theo.

1. Bộ lọc gói

Tường lửa ban đầu chỉ đọc dữ liệu tiêu đề gói, như địa chỉ nguồn và địa chỉ đích. Một hành động sau đó có thể được thực hiện dựa trên thông tin thu được. Điều này hiệu quả và nhanh chóng nhưng có thể dễ bị tấn công theo một số cách.

Ví dụ, các cuộc tấn công giả mạo có thể rất hiệu quả đối với bộ lọc gói. Các phiên bản nâng cao của tường lửa lọc gói giữ dữ liệu về các gói trong bộ nhớ và có thể thay đổi hành vi của chúng dựa trên những sự kiện mạng. Chúng tương ứng được gọi là tường lửa "trạng thái" và "động".

2. Cổng vòng (circuit gateway)

Cổng vòng không chỉ xử lý dữ liệu tiêu đề gói. Chúng cũng cố gắng đảm bảo rằng một gói chuyển tiếp kết nối là hợp lệ. Để làm điều này, cổng vòng chú ý đến dữ liệu gói và tìm kiếm các thay đổi, chẳng hạn như địa chỉ IP nguồn bất thường hoặc cổng đích. Nếu một kết nối được xác định là không hợp lệ, nó có thể bị đóng. Các tường lửa này cũng tự động từ chối thông tin không được người dùng yêu cầu cụ thể bên trong tường lửa.

3. Cổng ứng dụng (ALG)

Những tường lửa này có cùng các thuộc tính giống như cổng vòng. Tuy nhiên, chúng nghiên cứu sâu hơn về thông tin được gửi qua tường lửa và xem nó liên quan như thế nào đến các ứng dụng, dịch vụ và trang web cụ thể. Ví dụ, một cổng ứng dụng có thể xem xét các gói mang lưu lượng truy cập web và xác định lưu lượng truy cập đến từ những trang nào. Tường lửa sau đó có thể chặn dữ liệu từ các trang web nhất định nếu người quản trị muốn.

4. Tường lửa kiểm tra trạng thái

Tường lửa kiểm tra trạng thái giám sát trạng thái của kết nối mạng đang hoạt động và lưu lượng truy cập qua một mạng cụ thể. Nó cũng phân tích các gói dữ liệu đến, nguồn, địa chỉ IP và cổng của chúng để tìm các mối đe dọa và rủi ro trên không gian mạng

5. Tường lửa thế hệ tiếp theo (NGFW)

Loại tường lửa mới nhất, tường lửa thế hệ tiếp theo, kết hợp tất cả các tính năng của những loại tường lửa trước đó để tạo ra một tường lửa toàn diện giám sát tất cả lưu lượng mạng và bảo vệ khỏi những cuộc tấn công bên trong và bên ngoài.

Windows Firewall thôi có đủ không?

Đối với người dùng XP, Windows Firewall có thể vẫn không đủ bởi nó không chặn những kết nối từ bên ngoài. Vậy nên, nếu có malware nào đó tìm được cách xâm nhập vào máy tính, chẳng có cách nào để ngăn chặn hoạt động phá hoại của nó. Chúng tôi khuyên người dùng nên download phần mềm firewall miễn phí nào đó và cài đặt nó để sử dụng song song cùng firewall của Windows XP.

Firewall của Windows Vista và Windows 7 không chịu những vấn đề tương tự. Ngay cả như vậy, chúng tôi vẫn khuyến cáo người dùng kích hoạt firewall phần cứng được tích hợp sẵn trong router – thiết bị được dùng để kết nối với Internet. Firewall phần cứng được thiết kế nhằm cách ly những mối nguy hại ở bên ngoài và bảo vệ tất cả các thiết bị, máy tính kết nối tới mạng gia đình.

Tùy thuộc vào từng loại router, nhưng hầu hết chúng đều được quản lý qua một màn hình cấu hình dựa trên trình duyệt web. Tìm địa chỉ bằng cách kiểm tra sách hướng dẫn. Ví dụ, với BT Infinity Home Hub, gõ http://bthomehub.home vào thanh địa chỉ của trình duyệt, hoặc sử dụng địa chỉ IP như http://192.168.1.1).

Đăng nhập vào bảng quản lý của router với tên và mật khẩu đã tạo ở lần thiết lập đầu tiên. Tiếp theo, tham khảo file hỗ trợ của router để tìm kiếm cài đặt firewall: đối với một BT Home Hub, dưới mục Settings Advanced Settings Port Forwarding.

Ở mẫu thử của chúng tôi, hardware firewall được thiết lập để cho phép các kết nối đi ra và chặn tất cả các lưu lượng đến không hợp pháp. Kích vào Supported Applications sẽ hiển thị nó được thiết lập tự động để quản lý những phần mềm và trò chơi cần truy cập Internet để có thể làm việc.

Những tùy chọn triển khai tường lửa

Những tiến bộ trong công nghệ tường lửa đã tạo ra các tùy chọn triển khai tường lửa trong thập kỷ qua. Có nhiều tùy chọn cho người dùng cuối, chúng bao gồm những tùy chọn sau:

Tường lửa có trạng thái (Stateful firewall)

Khi tường lửa được tạo ra lần đầu tiên, chúng không có trạng thái, nghĩa là phần cứng mà lưu lượng truy cập đi qua trong khi được kiểm tra sẽ theo dõi từng gói lưu lượng mạng riêng và chặn hoặc cho phép nó.

Bắt đầu từ giữa đến cuối những năm 1990, những tiến bộ đầu tiên về tường lửa đã được ra đời. Tường lửa có trạng thái kiểm tra lưu lượng truy cập, liên quan đến trạng thái hoạt động và đặc điểm kết nối mạng để cung cấp tường lửa toàn diện hơn. Việc duy trì trạng thái này cho phép tường lửa cho lưu lượng nhất định truy cập đến người dùng cụ thể trong khi chặn lượng truy cập tương tự đến người dùng khác.

Tường lửa thế hệ tiếp theo (Next-generation firewalls - NGFW)

Qua nhiều năm tường lửa đã bổ sung thêm vô số tính năng mới, bao gồm phân tích sâu các gói (Deep Packet Inspection - DPI), phát hiện xâm nhập, ngăn và kiểm tra lưu lượng được mã hóa. Tường lửa thế hệ tiếp theo đề cập đến tường lửa được tích hợp nhưng tính năng tiên tiến này.

Tường lửa dựa trên proxy (Proxy-based firewall)

Các tường lửa này hoạt động như một cổng nối giữa những người dùng cuối yêu cầu dữ liệu và nguồn của dữ liệu đó. Tất cả lưu lượng truy cập được lọc qua proxy này trước khi được chuyển cho người dùng cuối. Điều này nhằm bảo vệ máy khách khỏi tiếp xúc với các mối đe dọa bằng cách che giấu danh tính của người yêu cầu thông tin ban đầu.

Tường lửa ứng dụng web (Web application firewall - WAF)

Các tường lửa được sử dụng cho các ứng dụng cụ thể thay vì được đặt trên một điểm vào hoặc ra của một mạng lưới rộng hơn. Trong khi các tường lửa dựa trên proxy thường bảo vệ máy khách người dùng cuối, thì tường lửa ứng dụng web bảo vệ máy chủ ứng dụng.

Phần cứng tường lửa

Phần cứng tường lửa thường là một máy chủ đơn giản có thể hoạt động như một router lọc lưu lượng truy cập và chạy phần mềm tường lửa. Những thiết bị này được đặt ở trong mạng công ty, giữa router và điểm kết nối của nhà cung cấp dịch vụ Internet. Một doanh nghiệp có thể triển khai hàng chục tường lửa vật lý trong một trung tâm dữ liệu. Người dùng cần xác định dung lượng thông qua mà họ cần tường lửa hỗ trợ dựa trên kích thước cơ sở người dùng và tốc độ kết nối Internet.

Phần mềm tường lửa

Thông thường người dùng cuối triển khai nhiều điểm cuối phần cứng tường lửa và hệ thống phần mềm tường lửa trung tâm để quản lý việc triển khai. Hệ thống trung tâm này là nơi các chính sách và tính năng được cấu hình, nơi có thể thực hiện phân tích và phản hồi lại các mối đe dọa.

Kiểm tra trạng thái

Đây là chức năng tường lửa cơ bản trong đó thiết bị chặn lưu lượng truy cập không mong muốn đã biết.

Diệt virus

Nhờ vào các bản cập nhật các mối đe dọa mới nhất mà tường lửa có thể phát hiện virus, lỗ hổng đã biết trong lưu lượng mạng, từ đó bảo vệ chúng khỏi những mối nguy hại này.

Hệ thống phòng chống xâm nhập (Intrusion Prevention Systems - IPS)

Lớp bảo mật này có thể được triển khai như một sản phẩm độc lập hoặc được tích hợp vào tường lửa thế hệ tiếp theo. Trong khi công nghệ tường lửa cơ bản xác định và chặn các loại lưu lượng mạng nhất định, hệ thống IPS sử dụng nhiều biện pháp bảo mật chi tiết hơn như truy tìm chữ ký, phát hiện bất thường để ngăn chặn các mối đe dọa không mong muốn xâm nhập vào mạng công ty.

Phân tích sâu các gói (DPI)

DPI có thể là một phần hoặc được sử dụng kết hợp với hệ thống IPS, nhưng nó trở thành một tính năng quan trọng của tường lửa thế hệ tiếp theo vì khả năng phân tích lưu lượng truy cập chi tiết, đặc biệt là các tiêu đề của các gói và dữ liệu lưu lượng. DPI cũng có thể được sử dụng để theo dõi lưu lượng gửi đi để đảm bảo thông tin nhạy cảm không rời khỏi mạng công ty, một công nghệ được gọi là ngăn chặn mất dữ liệu (Data Loss Prevention - DLP).

Kiểm tra SSL

Kiểm tra tầng ổ bảo mật (SSL) được sử dụng để kiểm tra lưu lượng được mã hóa xem có các mối đe dọa không. Khi ngày càng nhiều lưu lượng được mã hóa, kiểm tra SSL trở thành một phần quan trọng của công nghệ DPI đang được triển khai trong tường lửa thế hệ mới. Kiểm tra SSL hoạt động như một buffer giải mã hóa lưu lượng trước khi nó được chuyển đến địa điểm cuối để kiểm tra.

Sandboxing

Sandboxing là một trong những tính năng mới được triển khai trong tường lửa thế hệ tiếp theo, đề cập đến khả năng của tường lửa để nhận lưu lượng hoặc mã không xác định nhất định và chạy nó trong môi trường thử nghiệm để xác định xem nó có vấn đề gì hay không.

Lời kết

Nhìn chung, người dùng Windows 7, 8/8.1, 10 và Vista có thể bớt lo lắng đôi chút bởi đã có firewall tích hợp sẵn thực hiện công việc. Tuy nhiên, như đã đề cập bên trên, người dùng Windows XP được khuyến cáo nên cài đặt phần mềm diệt virus thay thế. Trong tất cả các trường hợp, người dùng nên thường xuyên kiểm tra “hàng phòng ngự” của mình để đảm bảo chúng luôn làm việc tốt.

Xem thêm:

Thứ Bảy, 29/06/2024 08:28
3,741 👨 119.560
0 Bình luận
Sắp xếp theo
    ❖ Kiến thức cơ bản