Rate this post

Firewalls có thể hoạt động như một bộ lọc gói. Nó có thể hoạt động như một bộ lọc tích cực, chỉ cho phép chuyển các gói đáp ứng các tiêu chí cụ thể hoặc như một bộ lọc tiêu cực, từ chối bất kỳ gói nào đáp ứng các tiêu chí nhất định. Tùy thuộc vào loại Firewalls, nó có thể kiểm tra một hoặc nhiều tiêu đề giao thức trong mỗi gói, tải trọng của mỗi gói, hoặc bảo mật được tạo ra bởi một chuỗi các gói. Trong phần này, chúng ta xem xét các loại Firewalls chính.

Các bài viết liên quan:

Packet Filtering Firewall 

Một gói lọc Firewalls áp dụng một tập hợp các quy tắc cho mỗi IP đến và đi và sau đó chuyển tiếp hoặc loại bỏ gói (Hình 22.1b). Firewalls được cấu hình điển hình để lọc các gói đi theo cả hai hướng (từ và đến mạng nội bộ). Quy tắc lọc dựa trên thông tin có trong gói mạng:

  • Source IP address: Địa chỉ IP của hệ thống tạo ra gói IP (ví dụ: 192.178.1.1)
  • Destination IP address: Địa chỉ IP của hệ thống mà gói IP đang cố gắng truy cập (ví dụ: 192.168.1.2)
  • Source and destination transport-level address: Cấp vận chuyển (ví dụ: TCP hoặc UDP) số cổng, xác định các ứng dụng như SNMP hoặc TELNET
  • IP protocol field: Xác định giao thức truyền tải
  • Interface: Đối với Firewalls có ba cổng trở lên, gói tin đến từ giao diện Firewalls nào hoặc giao diện Firewalls mà gói tin được mô tả

Bộ lọc gói thường được thiết lập như một danh sách các quy tắc dựa trên các kết quả phù hợp với các trường trong tiêu đề IP hoặc TCP. Nếu có sự trùng khớp với một trong các quy tắc, quy tắc đó sẽ được gọi để xác định xem chuyển tiếp hay loại bỏ gói tin. Nếu không có kết quả phù hợp với bất kỳquy tắc, sau đó một hành động mặc định được thực hiện. Có thể có hai chính sách mặc định:

  • Default = discard: Điều đó không được cho phép một cách rõ ràng sẽ bị cấm.
  • Default = forward: Điều đó không bị cấm rõ ràng được cho phép.

Chính sách loại bỏ mặc định là thận trọng hơn. Ban đầu, mọi thứ đều bị chặn và các dịch vụ phải được thêm vào tùy từng trường hợp. Chính sách này hiển thị nhiều hơn với người dùng, những người có nhiều khả năng coi Firewalls là một trở ngại. Tuy nhiên, đây là chính sách có thể được các doanh nghiệp và các cơ quan chính phủ ưa thích hơn. Hơn nữa, khả năng hiển thị đối với người dùng giảm dần khi các quy tắc được tạo ra. Chính sách forward mặc định làm tăng tính dễ sử dụng cho người dùng cuối nhưng giảm tính bảo mật; về bản chất, quản trị viên bảo mật phải phản ứng với mỗi mối đe dọa bảo mật mới khi nó được biết đến. Chính sách này có thể được sử dụng bởi các tổ chức cởi mở hơn, chẳng hạn như các trường đại học.

Xem thêm Danh sách các pakage R

Từ [BELL94b], đưa ra một số ví dụ về bộ quy tắc lọc gói. Trong mỗi bộ, các quy tắc được áp dụng từ trên xuống dưới. Dấu “*” trong một trường là một ký tự đại diện

Bảng 22.1 Packet-Filtering Examples 

người chỉ định phù hợp với mọi thứ. Chúng tôi giả định rằng giá trị mặc định = chính sách loại bỏ đang có hiệu lực.

  1. Thư đến được phép (cổng 25 dành cho SMTP đến), nhưng chỉ với một máy chủ lưu trữ cổng. Tuy nhiên, các gói từ một máy chủ bên ngoài cụ thể, SPIGOT, bị chặn vì máy chủ đó có lịch sử gửi các tệp lớn trong các thư e-mail.
  2. Đây là một tuyên bố rõ ràng về chính sách mặc định. Tất cả các bộ quy tắc bao gồm quy tắc này một cách ngầm định là quy tắc cuối cùng.
  3. Bộ quy tắc này nhằm chỉ định mà bất kỳ máy chủ bên trong nào cũng có thể gửi thư đến bên ngoài. Một gói TCP có cổng đích là 25 được chuyển đến máy chủ SMTP trên máy đích. Vấn đề với quy tắc này là việc sử dụng cổng 25 để nhận SMTP chỉ là mặc định; Một máy bên ngoài có thể được cấu hình để có một số ứng dụng khác được liên kết với cổng 25. Như quy tắc này được viết, kẻ tấn công có thể truy cập vào các máy bên trong bằng cách gửi các gói có số cổng nguồn TCP là 25.
  4. Bộ quy tắc này đạt được kết quả dự kiến ​​mà không đạt được trong C. Các quy tắc này tận dụng lợi thế của một tính năng của kết nối TCP. Khi kết nối được thiết lập, cờ ACK của phân đoạn TCP được đặt để xác nhận các phân đoạn được gửi từ phía bên kia. Do đó, bộ quy tắc này tuyên bố rằng nó cho phép các gói IP mà địa chỉ IP nguồn là một trong danh sách các máy chủ nội bộ được chỉ định và số cổng TCP đích là 25. Nó cũng cho phép các gói đến có số cổng nguồn là 25 bao gồm cờ ACK trong phân đoạn TCP. Lưu ý rằng chúng tôi chỉ định rõ ràng các hệ thống nguồn và đích để xác định các quy tắc này một cách rõ ràng.
  5. Bộ quy tắc này là một cách tiếp cận để xử lý các kết nối FTP. Với FTP, hai TCP kết nối được sử dụng: kết nối điều khiển để thiết lập truyền tệp và dữ liệu kết nối để truyền tệp thực tế. Kết nối dữ liệu sử dụng một số cổng khác được chỉ định động để truyền. Hầu hết các máy chủ và do đó hầu hết các mục tiêu tấn công đều sử dụng các cổng được đánh số thấp; hầu hết các cuộc gọi đi có xu hướng sử dụng cổng được đánh số cao hơn, thường là trên 1023. Do đó, bộ quy tắc này cho phép
    • Các gói bắt nguồn từ bên trong
    • Trả lời các gói tới một kết nối do máy bên trong khởi tạo
    • Các gói dành cho một cổng được đánh số cao trên một máy bên trong

Lược đồ này yêu cầu hệ thống phải được cấu hình để chỉ sử dụng số cổng thích hợp.

Bộ quy tắc E chỉ ra khó khăn trong việc xử lý các ứng dụng ở cấp độ lọc gói. Một cách khác để xử lý FTP và các ứng dụng tương tự là trạng thái-các bộ lọc gói tối ưu hoặc một cổng cấp ứng dụng, cả hai đều được mô tả sau đó trong phần này.

Một ưu điểm của Firewalls lọc gói là tính đơn giản của nó. Ngoài ra, các bộ lọc gói thường minh bạch đối với người dùng và rất nhanh. [WACK02] liệt kê các điểm yếu sau của Firewalls lọc gói:

  • Bởi vì Firewalls bộ lọc gói không kiểm tra dữ liệu lớp trên, chúng không thể ngăn chặn các cuộc tấn công sử dụng các lỗ hổng hoặc chức năng dành riêng cho ứng dụng. Ví dụ: Firewalls bộ lọc gói không thể chặn các lệnh ứng dụng cụ thể; nếu Firewalls bộ lọc gói cho phép một ứng dụng nhất định, tất cả các chức năng có sẵn trong ứng dụng đó sẽ được phép.
  • Do thông tin hạn chế có sẵn cho Firewalls, tính năng ghi nhật ký hiện có trong Firewalls lọc gói bị hạn chế. Nhật ký bộ lọc gói thường chứa cùng một thông tin được sử dụng để đưa ra quyết định kiểm soát truy cập (địa chỉ nguồn, địa chỉ đích và loại lưu lượng).
  • Hầu hết các Firewalls lọc gói không hỗ trợ các lược đồ xác thực người dùng nâng cao. Một lần nữa, hạn chế này chủ yếu là do Firewalls thiếu chức năng lớp trên.
  • Firewalls bộ lọc gói thường dễ bị tấn công và khai thác lợi thế của các vấn đề trong đặc tả TCP / IP và ngăn xếp giao thức, chẳng hạn như giả mạo địa chỉ lớp mạng. Nhiều Firewalls lọc gói không thể phát hiện một gói mạng trong đó thông tin đánh địa chỉ Lớp 3 của OSI đã bị thay đổi. Các cuộc tấn công giả mạo thường được những kẻ xâm nhập sử dụng để vượt qua các kiểm soát bảo mật được thực hiện trong nền tảng Firewalls.
  • Cuối cùng, do số lượng biến nhỏ được sử dụng trong các quyết định kiểm soát truy cập, Firewalls bộ lọc gói dễ bị vi phạm bảo mật do cấu hình không đúng. Nói cách khác, rất dễ vô tình cấu hình một gói

lọc Firewalls để cho phép các loại lưu lượng, nguồn và đích nên bị từ chối dựa trên chính sách bảo mật thông tin của tổ chức.

Một số cuộc tấn công có thể được thực hiện trên Firewalls lọc gói và các biện pháp đối phó thích hợp như sau:

  • IP address spoofing: Kẻ xâm nhập truyền các gói từ bên ngoài với trường địa chỉ IP nguồn chứa địa chỉ của máy chủ nội bộ. Kẻ tấn công hy vọng rằng việc sử dụng một địa chỉ giả mạo sẽ cho phép xâm nhập vào các hệ thống sử dụng bảo mật địa chỉ nguồn đơn giản, trong đó các gói từ các máy chủ nội bộ đáng tin cậy cụ thể được chấp nhận. Biện pháp đối phó là loại bỏ các gói có địa chỉ nguồn bên trong nếu gói đến một giao diện bên ngoài. Trên thực tế, biện pháp đối phó này thường được thực hiện ở bộ định tuyến bên ngoài Firewalls.
  • Source routing attacks: Trạm nguồn chỉ định tuyến đường mà một gói tin nên thực hiện khi nó đi qua Internet, với hy vọng rằng điều này sẽ bỏ qua các biện pháp bảo mật không phân tích thông tin định tuyến nguồn. Biện pháp đối phó là loại bỏ tất cả các gói sử dụng tùy chọn này.
  • Tiny fragment attacks: Kẻ xâm nhập sử dụng phân mảnh IP tùy chọn để tạo các đoạn cực nhỏ và buộc thông tin tiêu đề TCP thành một tệp riêng tỷ lệ phân mảnh gói. Cuộc tấn công này được thiết kế để phá vỡ các quy tắc lọc phụ thuộc vào thông tin tiêu đề TCP. Thông thường, một bộ lọc gói sẽ đưa ra quyết định lọc trên đoạn đầu tiên của gói. Tất cả các đoạn tiếp theo của gói tin đó được lọc ra chỉ dựa trên cơ sở rằng chúng là một phần của gói tin có đoạn đầu tiên bị từ chối. Kẻ tấn công hy vọng rằng Firewalls lọc chỉ kiểm tra đoạn đầu tiên và các đoạn còn lại được chuyển qua. Một cuộc tấn công phân mảnh nhỏ có thể bị đánh bại bằng cách thực thi một quy tắc rằng phân đoạn đầu tiên của gói phải chứa một lượng tối thiểu được xác định trước của tiêu đề truyền tải. Nếu phân đoạn đầu tiên bị từ chối, bộ lọc có thể nhớ gói tin và loại bỏ tất cả các phân đoạn tiếp theo.

Stateful Inspection Firewalls 

Bộ lọc gói truyền thống đưa ra quyết định lọc trên cơ sở từng gói riêng lẻ và không tính đến bất kỳ ngữ cảnh lớp cao hơn nào. Để hiểu ngữ cảnh nghĩa là gì và tại sao bộ lọc gói truyền thống bị giới hạn đối với văn bản, cần có một chút kiến ​​thức nền tảng. Hầu hết các ứng dụng chuẩn hóa chạy trên TCP đều tuân theo mô hình máy khách / máy chủ. Ví dụ, đối với Giao thức truyền thư đơn giản (SMTP), e-mail được truyền từ hệ thống máy khách đến hệ thống máy chủ. Hệ thống khách hàng tạo ra các thông điệp e-mail mới, thường là từ thông tin nhập của người dùng. Hệ thống máy chủ chấp nhận các thư e-mail đến và đặt chúng vào các hộp thư người dùng thích hợp. SMTP hoạt động bằng cách thiết lập kết nối TCP giữa máy khách và máy chủ, trong đó số cổng máy chủ TCP, xác định ứng dụng máy chủ SMTP, là 25.

Nói chung, khi một ứng dụng sử dụng TCP tạo một phiên với một máy chủ từ xa, nó sẽ tạo một kết nối TCP trong đó số cổng TCP cho máy chủ từ xa ứng dụng (máy chủ) là một số nhỏ hơn 1024 và số cổng TCP cho cục bộ ứng dụng (máy khách) là một số từ 1024 đến 65535. Các số nhỏ hơn 1024 là số cổng “nổi tiếng” và được gán vĩnh viễn cho các ứng dụng cụ thể (ví dụ: 25 cho SMTP máy chủ). Các số từ 1024 đến 65535 được tạo động và chỉ có ý nghĩa tạm thời đối với thời gian tồn tại của kết nối TCP.

Firewalls lọc gói đơn giản phải cho phép lưu lượng mạng gửi đến trên tất cả các cổng được đánh số cao này để lưu lượng truy cập dựa trên TCP xảy ra. Điều này tạo ra một lỗ hổng bảo mật có thể bị khai thác bởi những người dùng trái phép.

Firewalls gói kiểm tra trạng thái thắt chặt các quy tắc cho lưu lượng TCP bằng cách tạo một thư mục các kết nối TCP gửi đi, như thể hiện trong Bảng 22.2. Cómột mục nhập cho mỗi kết nối hiện được thiết lập. Bộ lọc gói bây giờ sẽ chỉ cho phép lưu lượng đến các cổng được đánh số cao đối với những gói phù hợp với cấu hình của một trong các mục trong thư mục này.

Firewalls kiểm tra gói tin có trạng thái xem xét thông tin gói tương tự như Firewalls lọc gói, nhưng cũng ghi lại thông tin về các kết nối TCP (Hình 22.1c). Một số Firewalls trạng thái cũng theo dõi các số thứ tự TCP để ngăn chặn các cuộc tấn công phụ thuộc vào số thứ tự, chẳng hạn như chiếm quyền điều khiển phiên. Một số thậm chí còn kiểm tra lượng dữ liệu ứng dụng hạn chế đối với một số giao thức nổi tiếng như lệnh FTP, IM và SIPS, để xác định và theo dõi các kết nối liên quan.

Application-Level Gateway 

Một cổng cấp ứng dụng, còn được gọi là proxy ứng dụng, hoạt động như một chuyển tiếp của lưu lượng cấp ứng dụng (Hình 22.1d). Người dùng liên hệ với cổng bằng TCP / IP ứng dụng, chẳng hạn như Telnet hoặc FTP, và cổng yêu cầu người dùng cho tên của máy chủ lưu trữ từ xa sẽ được truy cập. Khi người dùng phản hồi và cung cấp thông tin xác thực và ID người dùng hợp lệ, cổng kết nối với ứng dụng trên máy chủ từ xa và chuyển tiếp các phân đoạn TCP chứa dữ liệu ứng dụng giữa hai điểm cuối. Nếu cổng không triển khai mã proxy cho một ứng dụng cụ thể, dịch vụ không được hỗ trợ và không thể chuyển tiếp qua Firewalls. Hơn nữa, cổng có thể được định cấu hình để chỉ hỗ trợ các tính năng cụ thể của

Bảng 22.2 Ví dụ về Bảng trạng thái kết nối Firewalls có trạng thái [WACK02]

một ứng dụng mà quản trị viên mạng cho là có thể chấp nhận được trong khi từ chối tất cả các tính năng khác.

Các cổng cấp ứng dụng có xu hướng an toàn hơn các bộ lọc gói. Thay vì cố gắng đối phó với vô số kết hợp có thể được phép và bị cấm ở cấp TCP và IP, cổng cấp ứng dụng chỉ cần xem xét kỹ lưỡng một vài ứng dụng được phép. Ngoài ra, có thể dễ dàng đăng nhập và kiểm tra tất cả lưu lượng đến ở cấp ứng dụng.

Một nhược điểm chính của loại cổng này là chi phí xử lý bổ sung trên mỗi kết nối. Trên thực tế, có hai kết nối nối giữa những người dùng cuối, với cổng ở điểm nối và cổng phải kiểm tra và chuyển tiếp tất cả lưu lượng truy cập theo cả hai hướng.

Circuit-Level Gateway 

Loại Firewalls thứ tư là cổng cấp mạch hoặc proxy cấp mạch (Hình 22.1e). Đây có thể là một hệ thống độc lập hoặc nó có thể là một chức năng chuyên biệt được thực hiện bởi một cổng cấp ứng dụng cho một số ứng dụng nhất định. Như với cổng ứng dụng, cổng cấp mạch không cho phép kết nối TCP đầu cuối; đúng hơn, cổng kết nối thiết lập hai kết nối TCP, một kết nối giữa chính nó và người dùng TCP trên máy chủ bên trong và một giữa chính nó với người dùng TCP trên máy chủ bên ngoài. Khi hai kết nối được thiết lập, cổng thường chuyển tiếp các phân đoạn TCP từ kết nối này sang kết nối kia mà không cần kiểm tra các nội dung. Chức năng bảo mật bao gồm việc xác định kết nối nào sẽ được phép.

Một cách sử dụng điển hình của các cổng cấp mạch là một tình huống trong đó người quản trị hệ thống tin tưởng người dùng nội bộ. Cổng có thể được định cấu hình để hỗ trợ dịch vụ cấp ứng dụng hoặc proxy trên các kết nối gửi đến và các chức năng cấp mạch cho các kết nối đi. Trong cấu hình này, cổng có thể chịu chi phí xử lý trong việc kiểm tra dữ liệu ứng dụng đến cho các chức năng bị cấm nhưng không phải chịu chi phí đó đối với dữ liệu đi.

Một ví dụ về triển khai cổng cấp mạch là gói SOCKS [KOBL92]; phiên bản 5 của SOCKS được chỉ định trong RFC 1928. RFC định nghĩa SOCKS theo cách sau:

Giao thức được mô tả ở đây được thiết kế để cung cấp một khuôn khổ cho ứng dụng khách-máy chủ trong cả hai miền TCP và UDP để sử dụng thuận tiện và an toàn các dịch vụ của Firewalls mạng. Về mặt khái niệm, giao thức là “lớp đệm” giữa ứng dụng lớp và lớp truyền tải, và như vậy không cung cấp các dịch vụ cổng của lớp mạng, chẳng hạn như chuyển tiếp các bản tin ICMP.

SOCKS bao gồm các thành phần sau:

  • Máy chủ SOCKS, thường chạy trên Firewalls dựa trên UNIX. SOCKS cũng được triển khai trên hệ thống Windows.
  • Thư viện máy khách SOCKS, chạy trên các máy chủ nội bộ được bảo vệ bởi Firewalls.
  • SOCKS-ified phiên bản của một số chương trình khách tiêu chuẩn như FTP và TELNET. Việc triển khai giao thức SOCKS thường liên quan đến việc biên dịch lại hoặc liên kết lại các ứng dụng khách dựa trên TCP hoặc sử dụng các thư viện được tải động thay thế, để sử dụng các quy trình đóng gói thích hợp trong thư viện SOCKS.

Khi một máy khách dựa trên TCP muốn thiết lập kết nối đến một đối tượng chỉ có thể truy cập được thông qua Firewalls (việc xác định như vậy tùy thuộc vào người triển khai), nó phải mở một kết nối TCP tới cổng SOCKS thích hợp trên hệ thống máy chủ SOCKS . Dịch vụ SOCKS nằm trên cổng TCP 1080. Nếu yêu cầu kết nối thành công, máy khách tham gia thương lượng để sử dụng phương thức xác thực, xác thực với phương thức đã chọn, sau đó gửi yêu cầu chuyển tiếp. Máy chủ SOCKS đánh giá yêu cầu và thiết lập kết nối thích hợp hoặc từ chối nó. Trao đổi UDP được xử lý trong một fashion tương tự. Về bản chất, một kết nối TCP được mở để xác thực người dùng gửi và nhận các phân đoạn UDP, và các phân đoạn UDP được chuyển tiếp miễn là kết nối TCP mở.

Bastion Host 

Người ta thường đặt tường lửa trên một máy độc lập chạy một hệ thống hoạt động chung, chẳng hạn như UNIX hoặc Linux. Chức năng tường lửa cũng có thể được sử dụng như một mô-đun phần mềm trong bộ định tuyến hoặc bộ chuyển mạch LAN. Trong phần này, chúng tôi xem xét một số cân nhắc bổ sung về cơ sở tường lửa.

Máy chủ pháo đài là một hệ thống được quản trị viên tường lửa xác định là hệ thống mạnh quan trọng chỉ ra tính bảo mật của mạng. Thông thường, máy chủ pháo đài đóng vai trò là nền tảng cho cổng cấp ứng dụng hoặc cấp mạch. Các đặc điểm chung của vật chủ pháo đài như sau:

  • Nền tảng phần cứng của máy chủ pháo đài thực thi một phiên bản an toàn của hệ điều hành của nó, làm cho nó trở thành một hệ thống cứng.
  • Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài đặt trên máy chủ pháo đài. Chúng có thể bao gồm các ứng dụng proxy cho DNS, FTP, HTTP và SMTP.
  • Máy chủ pháo đài có thể yêu cầu xác thực bổ sung trước khi người dùng được phép truy cập vào các dịch vụ proxy. Ngoài ra, mỗi dịch vụ proxy có thể yêu cầu xác thực riêng trước khi cấp quyền truy cập của người dùng.
  • Mỗi proxy được cấu hình để chỉ hỗ trợ một tập hợp con của tập lệnh của ứng dụng tiêu chuẩn.
  • Mỗi proxy được cấu hình để chỉ cho phép truy cập vào các hệ thống máy chủ lưu trữ cụ thể. Cái nàycó nghĩa là bộ lệnh / tính năng giới hạn chỉ có thể được áp dụng cho một tập hợp con các hệ thống trên mạng được bảo vệ.
  • Mỗi proxy duy trì thông tin kiểm tra chi tiết bằng cách ghi lại tất cả lưu lượng truy cập, mỗi kết nối và thời lượng của mỗi kết nối. Nhật ký kiểm tra là một công cụ cần thiết để phát hiện và chấm dứt các cuộc tấn công của kẻ xâm nhập.
  • Mỗi mô-đun proxy là một gói phần mềm rất nhỏ được thiết kế đặc biệt cho bảo mật mạng. Do tính đơn giản tương đối của nó, việc kiểm tra các mô-đun như vậy để tìm các lỗi bảo mật sẽ dễ dàng hơn. Ví dụ: một ứng dụng thư UNIX điển hình có thể chứa hơn 20.000 dòng mã, trong khi proxy thư có thể chứa ít hơn 1000.
  • Mỗi proxy độc lập với các proxy khác trên máy chủ pháo đài. Nếu có vấn đề với hoạt động của bất kỳ proxy nào hoặc nếu một lỗ hổng trong tương lai được phát hiện, nó có thể được gỡ cài đặt mà không ảnh hưởng đến hoạt động của các ứng dụng proxy khác. Ngoài ra, nếu dân số người dùng yêu cầu hỗ trợ dịch vụ mới, quản trị viên mạng có thể dễ dàng cài đặt proxy được yêu cầu trên máy chủ pháo đài.
  • Một proxy thường không thực hiện quyền truy cập đĩa nào ngoài việc đọc tệp cấu hình ban đầu của nó. Do đó, các phần của hệ thống tệp chứa mã thực thi chỉ có thể được đọc. Điều này gây khó khăn cho kẻ xâm nhập trong việc cài đặt trình đánh hơi ngựa Trojan hoặc các tệp nguy hiểm khác trên máy chủ pháo đài.
  • Mỗi proxy chạy như một người dùng không có đặc quyền trong một thư mục riêng tư và bảo mật trên máy chủ pháo đài.

Host-Based Firewalls 

MỘT tường lửa dựa trên máy chủ lưu trữ là một mô-đun phần mềm được sử dụng để bảo mật một máy chủ lưu trữ riêng lẻ. Các mô-đun như vậy có sẵn trong nhiều hệ điều hành hoặc có thể được cung cấp dưới dạng gói bổ trợ. Giống như tường lửa độc lập thông thường, tường lửa máy chủ lưu trữ lọc và hạn chế luồng gói tin. Một vị trí phổ biến cho các bức tường lửa như vậy là một máy chủ. Có một số lợi thế khi sử dụng tường lửa dựa trên máy chủ hoặc dựa trên máy trạm:

  • Các quy tắc lọc có thể được điều chỉnh cho phù hợp với môi trường máy chủ. Các chính sách bảo mật cụ thể của công ty cho các máy chủ có thể được thực hiện, với các bộ lọc khác nhau cho các máy chủ được sử dụng cho các ứng dụng khác nhau.
  • Bảo vệ được cung cấp độc lập với cấu trúc liên kết. Do đó, cả tấn công nội bộ và tấn công bên ngoài đều phải vượt qua tường lửa.
  • Được sử dụng cùng với tường lửa độc lập, tường lửa dựa trên máy chủ lưu trữ cung cấp thêm một lớp bảo vệ. Một loại máy chủ mới có thể được thêm vào mạng, với tường lửa của riêng nó, mà không cần thay đổi cấu hình tường lửa công việc của mạng.

Personal Firewall 

Tường lửa cá nhân kiểm soát lưu lượng giữa một bên là máy tính cá nhân hoặc máy trạm và Internet hoặc mạng doanh nghiệp ở bên kia. Chức năng tường lửa cá nhân có thể được sử dụng trong môi trường gia đình và trên các mạng nội bộ của công ty. Thông thường, tường lửa cá nhân là một mô-đun phần mềm trên máy tính cá nhân. Trong một môi trường gia đình với nhiều máy tính được kết nối Internet, chức năng tường lửa cũng có thể được đặt trong một bộ định tuyến kết nối tất cả các máy tính gia đình với DSL, modem cáp hoặc giao diện Internet khác.

Xem thêm Encapsulating trong IP SEC

Tường lửa cá nhân thường ít phức tạp hơn nhiều so với tường lửa dựa trên máy chủ tường lửa hoặc tường lửa độc lập. Vai trò chính của tường lửa cá nhân là từ chối truy cập trái phép từ xa vào máy tính. Tường lửa cũng có thể giám sát hoạt động gửi đi nhằm phát hiện và chặn sâu cũng như các phần mềm độc hại khác.

Một ví dụ về tường lửa cá nhân là khả năng được tích hợp sẵn trong hệ điều hành Mac OS X. Khi người dùng bật tường lửa cá nhân trong Mac OS X, tất cả các kết nối đến đều bị từ chối ngoại trừ những kết nối mà người dùng cho phép rõ ràng. Hình 22.2 cho thấy giao diện đơn giản này. Danh sách các dịch vụ đến có thể được bật lại một cách có chọn lọc, với số cổng của chúng, bao gồm:

  • Chia sẻ tệp cá nhân (548, 427)
  • Chia sẻ Windows (139)
  • Chia sẻ web cá nhân (80, 427)
  • Đăng nhập từ xa – SSH (22)
  • Truy cập FTP (20-21, 1024-64535 từ 20-21)
  • Sự kiện Apple từ xa (3031)
  • Chia sẻ máy in (631, 515)
  • Tôi trò chuyện Điểm hẹn (5297, 5298)
  • ITunes Music Sharing (3869)
  • CVS (2401)

Hình 22.2 Ví dụ về giao diện tường lửa cá nhân

  • Gnutella / Limewire (6346)
  • ICQ (4000)
  • IRC (194)
  • MSN Messenger (6891-6900)
  • Network Time (123)
  • Retrospect (497)
  • SMB (không có netbios-445)
  • Timbuktu (407)
  • VNC (5900-5902)
  • Quản trị viên WebSTAR (1080, 1443)

Khi quyền truy cập FTP được kích hoạt, các cổng 20 và 21 trên máy cục bộ sẽ được mở cho FTP; nếu những người khác kết nối với máy tính này từ cổng 20 hoặc 21, các cổng 1024 đến 64535 sẽ mở.

Để tăng cường bảo vệ, các tính năng tường lửa nâng cao có sẵn thông qua các hộp kiểm dễ định cấu hình. Chế độ ẩn giấu máy Mac trên Internet bằng cách thả các gói thông tin liên lạc không được yêu cầu, làm cho nó có vẻ như không có máy Mac. Các gói UDP có thể bị chặn, hạn chế lưu lượng mạng tới các gói TCP chỉ dành cho các cổng mở. Tường lửa cũng hỗ trợ ghi nhật ký, một công cụ quan trọng để kiểm tra hoạt động không mong muốn.

Xem thêm Tấn công bẻ khóa wifi chuẩn WEP

Leave a Reply

Call now
%d bloggers like this: