CHƯƠNG 1.

CÔNG NGHỆ FIREWALL VÀ CÁC GIẢI

PHÁP

1.1. Định nghĩa firewall, chức năng, cấu trúc và phân loại:
1.1.1. Định nghĩa firewall:
Firewall là một phần của hệ thống hay mạng máy tính được thiết kế để
điều khiển truy nhập giữa các mạng bằng cách ngăn chặn các truy cập không
được phép trong khi cho phép các truyền thông hợp lệ. Nó cũng là một hay một
nhóm các thiết bị được cấu hình để cho phép, ngăn cản, mã hóa, giải mã hay
proxy lưu lượng trao đổi của các máy tính giữa các miền bảo mật khác nhau dựa
trên một bộ các luật (rule) hay tiêu chuẩn nào khác.

1.1.2. Chức năng của firewall:

Chức năng chính của firewall là kiểm soát lưu lượng giữa hai hay nhiều
mạng có mức độ tin cậy khác nhau để từ đó thiết lập cơ chế điều khiển luồng
thông tin giữa chúng. Cụ thể là:
 Cho phép hoặc ngăn cản truy nhập vào ra giữa các mạng.
 Theo dõi luồng dữ liệu trao đổi giữa các mạng.
 Kiểm soát người sử dụng và việc truy nhập của người sử dụng.
 Kiểm soát nội dung thông tin lưu chuyển trên mạng.

1.1.3. Cấu trúc firewall:

Không hoàn toàn giống nhau giữa các sản phẩm được thiết kế bởi các
hãng bảo mật, tuy nhiên có những thành phần cơ bản sau trong cấu trúc của một
firewall nói chung (mà một số trong đó sẽ được tìm hiểu rõ hơn trong phần 2.2
về các công nghệ firewall):
 Bộ lọc gói (packet filtering).
 Application gateways / Proxy server.
 Circuit level gateway.
  Các chính sách mạng (network policy).
 Các cơ chế xác thực nâng cao (advanced authentication
mechanisms).
 Thống kê và phát hiện các hoạt động bất thường (logging and
detection of suspicious activity).

1.1.4. Phân loại firewall:

Có rất nhiều tiêu chí có thể được sử dụng phân loại các sản phẩm firewall,
ví dụ như cách chia ra thành firewall cứng (thiết bị được thiết kế chuyên dụng
hoạt động trên hệ điều hành dành riêng cùng một số xử lý trên các mạch điện tử
tích hợp) và firewall mềm (phần mềm firewall được cài đặt trên máy tính thông
thường)…Nhưng có lẽ việc phân loại firewall thông qua công nghệ của sản
phẩm firewall đó được xem là phổ biến và chính xác hơn tất cả.

1.2. Các giải pháp firewall:

Khái niệm về firewall đã ra đời từ rất lâu, cùng với sự phát triển đa dạng
của các sản phẩm firewall khác nhau trên thị trường thì công nghệ firewall cũng
ngày một đổi mới với những xử lý phức tạp và cao cấp hơn. Phần sau xin trình
bày khái quát về quá trình phát triển của công nghệ firewall.

Một số giải pháp firewall tiêu biểu dành cho doanh nghiệp
Không có đủ tài chính để trang bị các thiết bị bảo mật đắt tiền cũng như
thuê các chuyên gia bảo mật chăm sóc cho mạng doanh nghiệp, điều đó không
có nghĩa là thị trường bảo mật của các doanh nghiệp thiếu đi những tiềm năng
trong cơ hội kinh doanh. Bản thân các doanh nghiệp cũng có những nhận thức
ban đầu về các mối lo ngại bảo mật, và họ sẵn sàng bỏ tiền ra để trang bị các
thiết bị bảo mật cho mình, tất nhiên giá cả của thiết bị đó phải ở mức chấp nhận
được. Các nhà cung cấp dịch vụ bảo mật đã bắt tay vào để tạo ra các sản phẩm
cung cấp hệ thống an toàn “ tất cả-trong-một” (all-in-one) cho một công ty, tổ
chức. Các giải pháp đó có thể là phần cứng cũng như phần mềm nhưng đặc điểm
nổi trội của nó là được tạo nên hướng tới nhu cầu trong hoạt động kinh doanh
của các doanh nghiệp. Được tối ưu cho mục đích sử dụng , các doanh nghiệp
không cần đến một hệ thống phức tạp với độ an toàn cao, họ chỉ cần một hệ
thống có thể bảo vệ họ vừa đủ trước các mối an ninh bên ngoài, đồng thời họ
cũng muốn tích hợp nhiều tính năng để có thể khai thác từ các sản phẩm bảo mật
đó. Bằng cách điểm qua một số sản phẩm hiện tại, có thể từ đó đưa ra các nhận
định hữu ích từ các chuyên gia bảo mật mạng đối với vấn đề an ninh mạng cho
các doanh nghiệp.

1.2.1. Phần mềm mã nguồn mở OPNSense Firewall:

Là một trong số các sản phẩm firewall nguồn mở được đánh giá cao hiện
nay có thể so sanh ngang với cả Pfsense, nó hoàn toàn miễn phí. Được tách ra từ
dự án xây dựng sản phẩm m0n0wall cho các hệ thống nhúng, OPNSense được
tập trung hướng tới việc cài đặt và chạy ổn định trên các máy tính thông thường.
Bản thân OPNSense là một phần mềm độc lập riêng biệt với hệ điều hành
FreeBSD nhỏ gọn được thiết kế riêng và đóng gói cùng, điều này cho phép
OPNSense cài đặt và chạy trực tiếp lên các máy tính thông thường mà không
cần phải cài đặt trước một hệ điều hành nền nào khác. Kế thừa các tính năng từ
m0n0wall, OPNSense đã phát triển để trở thành một firewall mạnh mẽ với đầy
đủ các tính năng đáp ứng được nhu cầu từ những mạng gia đình, doanh nghiệp
nhỏ cho đến các hệ thống lớn với hàng ngàn thiết bị kết nối mạng. Để có được
thành công đó là sự phát triển vượt trội khi chỉ từ nền tảng lọc gói và định tuyến
thuần túy, một danh sách dài các tính năng liên quan và các gói cài đặt hữu ích
được bổ sung tạo nên một hệ thống linh hoạt và vững chắc.
OPNsense có hầu hết các tính năng có trên các tường lửa thương mại đắt
tiền và nhiều tính năng khác theo từng trường hợp. Ta có thể kể đến một số tính
năng như:
 Traffic Shaper
 Two-factor Authentication throughout the system
  Captive portal
 Forward Caching Proxy (transparent) with Blacklist support
 Virtual Private Network (site to site & road warrior, IPsec,
OpenVPN & legacy PPTP support)
 High Availability & Hardware Failover ( with configuration
synchronization & synchronized state tables)
 Intrusion Detection and Prevention
 Build-in reporting and monitoring tools including RRD Graphs
 Netflow Exporter
 Network Flow Monitoring
 Support for plugins
 DNS Server & DNS Forwarder
 DHCP Server and Relay
 Dynamic DNS
 Encrypted configuration backup to Google Drive
 Stateful inspection firewall
 Granular control over state table
 802.1Q VLAN support

1.2.2. Phần mềm nguồn mở IPCop firewall:

Cùng với pfSense firewall, IPCop firewall cũng là sản phẩm được đánh
giá cao và sử dụng phổ biến hiện nay trong thế giới nguồn mở. IPCop là một
phần được tách ra từ Linux, bắt nguồn từ SmoothWall và phát triển thành một
dự án riêng. Bản thân IPCop cũng tương tự như pfSense firewall là một phần
mềm độc lập riêng biệt với hệ điều hành nhỏ gọn trên nền RedHat’s Enterprise
được thiết kế và đóng gói cùng, điều này cho phép IPCop được cài đặt và vận
hành riêng biệt trực tiếp lên các máy tính thông thường mà không có bất kì một
đòi hỏi nào khác, hay nói chính xác nó là một hệ điều hành hoàn chỉnh với tính
năng firewall. Kế thừa từ SmoothWall nhưng mã của IPCop đã được thay đổi để
chạy trên file system là ext3, thêm vào độ tin cậy cho sản phẩm, ngoài ra nó
cũng được bổ sung vào các tính năng tối ưu của phiên bản SmoothWall như hỗ
trợ ADSL. Hầu hết các ứng dụng trên phiên bản SmoothWall hiện nay đều có
trên IPCop, hơn thế nó còn được cung cấp tốt và hỗ trợ nhiều dịch vụ hơn. Nếu
muốn chạy phiên bản SmoothWall ta phải có sản phẩm được phân phối từ nhà
sản xuất và không miễn phí, trong khi đó IPCop là phần mềm có bản quyền và
được cung cấp hoàn toàn miễn phí từ GPL. Được sử dụng chính như một
firewall, internet gateway cho các doanh nghiệp vừa và nhỏ, IPCop có các đặc
trưng và tính năng chính sau:
 Tính năng firewall dựa trên IPTable/IPChains
 Mở rộng các cổng giao tiếp hỗ trợ: Analog modem, ISDN modem,
hay ADSL modem, và có thể hỗ trợ các kết nối PPP hay PPPoE
ADSL tới mạng Ethernet.
 Hỗ trợ DMZ (sử dụng tối đa 4 giao diện mạng)
 Quản trị thông qua giao diện web
 Truy nhập từ xa thông qua dịch vụ SSH server cung cấp
 DHCP server
 Caching DNS
 TCP/UDP port forwarding
 Hệ thống phát hiện xâm nhập Snort
 Hỗ trợ IPSec VPN
 …

1.2.3. Phần mềm Firewall Check Point Technologies’ Safe@Office:

Check Point Software Technologies’ Safe@Office (giá $299 ) sử dụng
công nghệ INSPECT cung cấp một cho doanh nghiệp một bức tường lửa chắc
chắn, kiểm soát các truy nhập ra vào mạng của công ty. Các công cụ
Safe@Office 500 và Safe@Office 500W Unified Threat Management được dựa
trên các phần mềm Firewall-1 và VPN-1 của Check Point, được sửa lại cho hợp
với các thiết bị nhúng. Các thành phần được thiết kế để cài đặt tại doanh nghiệp,
do nhân viên tại văn phòng hoặc nhà cung cấp hay bán lại dịch vụ quản lí. Tổng
giám đốc Liran Eshel của SofaWare cho biết, các sản phẩm Safe@Office đã
thỏa mãn được những yêu cầu dễ sử dụng và có thể thuê người ngoài quản lí là
các yếu tố quan trọng cho các doanh nghiệp. Các công cụ trong Safe@Office
được thiết kế để giải quyết nhưng chức năng bảo mật sau:
 Tổ chức thông báo rộng rãi các chính sách đến toàn thể nhân viên
công ty. Đồng thời tổ chức các buổi tập huấn, đào tạo nhân viên
nhằm áp dụng triệt để các quy định về khai thác tài nguyên công ty.
 Quét virus khi trao đổi e-mail, tải file về, duyệt nội dung web hay
trên bất cứ dịch vụ có cổng do người dùng định nghĩa nào (user-
defined port) với thông tin đặc tả cập nhật từ Check Point.
 Ngăn ngừa xâm nhập với khả năng không cho phép một ứng dụng
nào đó như các hệ thống chia sẻ file ngang hàng (peer-to-peer file-
sharing systems) đặc trưng.
 Kiểm soát lưu lượng giao thông mạng (traffic monitoring) và công
cụ xử lí sự cố (troubleshooting tools) có thể dùng để gán nhiều
băng thông hơn cho các ứng dụng quan trọng.
 Các tính năng mạng riêng ảo VPN (virtual private network) để đảm
bảo an toàn cho kết nối với các văn phòng chi nhánh.
 Khả năng tạo ra các điểm truy cập không dây với WPA2 (Wi-Fi
Protected Access) và IPSec (Internet Protocol Security).

Giá khởi điểm của Safe@Office 500 là 299 USD cho thiết bị/ 5 người dùng.
Thiết bị 500W giá 449 USD/ 5 người dùng. Cả hai sản phẩm đều có thể cấp
phép cho 25 hoặc vô hạn người dùng. Những người đăng kí cập nhật tường lửa
và chống virus sẽ phải trả ít nhất 10 USD/tháng.
1.2.4. Phần mềm FortiGate Antivirus Firewall:
Phần mềm FortiGate Antivirus Firewall (có giá khoảng $340 ) bao gồm
chức năng chống virus dựa trên công nghệ mạng, công cụ lọc nội dung internet
và email, tường lửa, mạng riêng ảo và hệ thống phát hiện, ngăn chặn xâm nhập.
Phần mềm này có thể cài đặt một cách dễ dàng và tự động cập nhật từ
FortiProtect. Phần mềm này có thể được cấu hình theo nhiều cách khác nhau,
thậm chí có thể cấu hình cho doanh nghiệp với 10 người dùng. Một số tính năng
có thể kể đến:
 Ngăn chặn virus
 Lọc nội dung lưu lượng web
 Lọc spam
 Chức năng tường lửa
 Chế độ NAT hoặc định tuyến
 Chế độ trong suốt
 VLANvà các domain ảo
 Hệ thống ngăn chặn xâm nhập
 Mạng riêng ảo (VPN)
 Tính năng dự phòng
 Quản lý qua giao diện web
 Hỗ trợ giao diện dòng lệnh
 Thống kê và báo cáo