1) Lịch sử hình thành

+ Ý tưởng để hình thành từ năm 1980

+ Năm 1988 Jeff Mogul phát triển hệ thống tường lửa lọc gói tin
+ Từ năm 1980 đến 1990 hệ thống tường lửa thứ 2 và 3 lần lượt ra
đời
+ Năm 1992 Bob Braden và Annette DeSchon đã phát triển hệ thống
tường lửa thế hệ 4 “Visas”
+ Năm 1994 Firewall-1 ra đời dựa trên công nghệ Kernel Proxy
2) Khái niệm Firewall
+ Là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy
nhập trái phép
+ Là ứng dụng chạy giữa mạng cá nhân và Internet
3) Mục đích
+ Tăng khả năng bảo mật thông tin
+ Tránh những cuộc tấn công phá hoại thông tin
4) Phân loại Firewall
+ Firewall phần cứng : Là những firewall được tích hợp trên bộ định
tuyến
- Hiệu quả trong việc bảo vệ nhiều máy tính mà vẫn có tính bảo
mật cao cho 1 máy tính đơn
- Không được linh hoạt như firewall phần mềm( không thể thêm
chức năng, quy tắc…)
- Hoạt động ở tầng thấp hơn so với firewall phần mềm
- Không kiểm tra được nội dung gói

+ Firewall phần mềm: Được cài đặt trên máy chủ(server)

- Tính linh hoạt cao, có thể thêm bớt chức năng
- Có thể kiểm tra nội dung gói tin
5) Chức năng chính
+ Kiểm soát luồng thông tin từ giữa intranet và internet
+ Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên
trong(intranet) và internet
6) Mô hình và nguyên lý hoạt động
Firewall gồm 3 phần:
+ Bộ lọc packet (packet- filtering router)
- Firewall hoạt động chặt chẽ với giao thức TCI/IP, chúng chia
nhỏ dữ liệu nhân được thành các gói dữ liệu
 - Mỗi gói được so sánh với tập hợp các tiêu chí trước khi được
chuyển tiếp
- Những bức tường này thường chứa ACL
- Ưu điểm: Chi phí thấp, không yêu cầu sự huấn luyện đặc biệt
nào
- Nhược điểm: Việc định nghĩa các chế độ lọc package là 1 việc
khá phức tạp, bộ lọc packet không kiểm soát được nội dụng
thông tin packet
+ Cổng ứng dụng( application- level getway)
Được thiết kế như 1 pháo đài với các biện pháp bảo vệ an ninh
- Luôn chạy các version an toàn của các phần mềm hệ thống
- Chỉ những dịch vụ mà người quản trị cho là cần thiết mới được
cài đặt trên bastion host
- Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau
- Mỗi proxy được đặt cấu hình để cho phép truy nhập chỉ 1 số
các máy chủ nhất định
- Mỗi proxy duy trì 1 quyển nhật ký
- Mỗi proxy đều độc lập với các proxies khác trên bastion host
- Ưu điểm:
Cho phép người quản trị điều khiển từng dịch vụ trên mạng

Cho phép kiểm tra độ xác thực rất tốt

Luật lệ lọc filtering dễ dàng cấu hình và dễ kiểm tra

- Nhược điểm:
Yêu cầu các User thay đổi thao tác, hoặc thay đổi phần mềm
đã cài đặt trên máy client cho truy nhập vào các dịch vụ
proxy
+ Cổng vòng(circuit-level gateway)
- Là 1 chức năng đặc biệt có thể thực hiện bởi 1 cổng ứng dụng
- Chuyển tiếp các kết nối tcp mà không thực hiên bất kì 1 hành
động xử lý hay lọc packet
- Cổng vòng thường được sử dụng cho những kết nối ra ngoài
- 1 bastion host có thể được cấu hình như 1 hỗn hợp cung cấp
cổng ứng dụng cho những kết nối đến, và cổng vòng cho các kết
nối đi
7) Kiến trúc của firewall
 - Kiến trúc Dual-homed host :
* Hình thức xuất hiện đầu tiên để bảo vệ mạng nội bộ
* Là 1 máy tính có 2 giao tiếp mạng
* Để làm việc được với một máy trên Internet, người dùng ở
mạng cục bộ trước hết phải login vào Dual– homed Host, và từ
đó bắt đầu phiên làm việc
* Ưu điểm: Cài đặt dễ dàng
* Nhược điểm: Không đáp ứng các yêu cầu phức tạp, Không
có khả năng chống đỡ những cuộc tấn công vào chính bản than nó
- Kiến trúc Screen Host
* Kết hợp 2 kỹ thuật đó là Packet Filtering và Proxy
Services.
* Kiến trúc screened host hay hơn kiến trúc dual– homed
host khi đã tách chức năng lọc các gói IP và các Proxy Server ở hai
máy riêng biệt
* Cũng tương tự như kiến trúc Dual–Homed Host khi mà
Packet Filtering system cũng như Bastion Host chứa các Proxy
Server bị đột nhập vào thì lưu thông của internal network bị người
tấn công thấy.

- Kiến trúc screened subnet host

* Độ an toàn cao nhất
* An toàn cho nhiều người sử dụng
* Có nhiều tầng bảo vệ
* Router trong chỉ quảng cáo DMZ Network tới mạng nội
bộ, các hệ thống trong mạng nội bộ không thể truy nhập trực tiếp vào Internet
* Router ngoài chỉ quảng bá DMZ Network tới Internet, hệ
thống mạng nội bộ là không thể nhìn thấy
8) Nhược điểm của Firewall
* Không thế ngăn chặn sự xâm nhập của những nguồn thông tin không mong
muốn nếu không được xác định rõ các thông số địa chỉ
* Không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không “đi
qua” nó
* Không thể chống lại các cuộc tấn công bằng dữ liệu (data-driven attack)
* Firewall không thể làm nhiệm vụ và quét virus trên các dữ liệu được chuyền
qua nó
* Có thể làm chậm kết nối khi xử lý các thông tin
* Chỉ hữu hiệu đối với những người không thành thạo kĩ thuật vượt firewall
9) Một số phần mềm firewall hiện nay
- Comodo firewall
- ESET Smart security
- ZoneAlarm