Tweet
Tường lửa – Lớp “cổng gác” của hệ thống mạng
Hãy tưởng tượng hệ thống mạng của bạn là một tòa nhà văn phòng cao tầng. Bên ngoài là hàng ngàn người qua lại mỗi ngày, bên trong là nhân viên, phòng họp và tài liệu quan trọng. Nếu không có “cổng gác” kiểm tra người ra vào, bất kỳ ai cũng có thể xông thẳng vào. Trong thế giới mạng, tường lửa (firewall) chính là “cổng gác” đó — nó kiểm soát mọi luồng dữ liệu ra vào giữa các vùng bảo mật.
1. Khái niệm & vai trò cơ bản
Tường lửa là hệ thống thực thi chính sách kiểm soát truy cập giữa hai hoặc nhiều vùng bảo mật (security zones). Mọi kết nối phải tuân theo “luật” mà tường lửa đặt ra.
Ba nguyên tắc cơ bản mọi tường lửa đều phải đáp ứng:
2. Các loại tường lửa phổ biến
a. Bộ lọc gói tin (Packet Filter)
💡 Ví dụ thực tế: Người dùng trong LAN truy cập web bên ngoài, tường lửa sẽ ghi nhận trạng thái và cho phép gói tin trả về. Nếu một máy bên ngoài cố mở kết nối vào thẳng máy nội bộ mà không có phiên trước đó, tường lửa sẽ chặn.
3. Vị trí triển khai
4. Dịch vụ bổ sung
Nhiều tường lửa còn hỗ trợ:
5. Tường lửa hiện đại (Next-Generation Firewall – NGFW)
Ngày nay, mạng không còn “biên giới” rõ ràng. Do đó, tường lửa phải tích hợp nhiều lớp bảo vệ:
💡 Ví dụ: Cisco Secure Firewall (trước đây là Cisco NGFW) vừa lọc gói tin, vừa chặn tấn công SQL injection vào ứng dụng web, vừa cảnh báo SOC nếu phát hiện mã độc đang “nói chuyện” với C2 server bên ngoài.
6. Câu hỏi ôn tập
Câu: Câu nào sau đây đúng về tường lửa truyền thống?
A. Có thể triển khai dưới dạng thiết bị phần cứng hoặc thiết bị ảo
B. Có khả năng lọc URL
C. Có thể thực thi chính sách dựa trên loại ứng dụng
D. Có thể xác định hoạt động phần mềm độc hại
✅ Đáp án đúng: A – Tường lửa truyền thống có thể là phần cứng hoặc ảo, nhưng không có các tính năng nâng cao như NGFW.
Hãy tưởng tượng hệ thống mạng của bạn là một tòa nhà văn phòng cao tầng. Bên ngoài là hàng ngàn người qua lại mỗi ngày, bên trong là nhân viên, phòng họp và tài liệu quan trọng. Nếu không có “cổng gác” kiểm tra người ra vào, bất kỳ ai cũng có thể xông thẳng vào. Trong thế giới mạng, tường lửa (firewall) chính là “cổng gác” đó — nó kiểm soát mọi luồng dữ liệu ra vào giữa các vùng bảo mật.
1. Khái niệm & vai trò cơ bản
Tường lửa là hệ thống thực thi chính sách kiểm soát truy cập giữa hai hoặc nhiều vùng bảo mật (security zones). Mọi kết nối phải tuân theo “luật” mà tường lửa đặt ra.
Ba nguyên tắc cơ bản mọi tường lửa đều phải đáp ứng:
- Tự bảo vệ – Bản thân tường lửa phải chống chịu được tấn công. Nếu tường lửa bị chiếm quyền, toàn bộ hệ thống sẽ bị mở toang.
- Buộc mọi lưu lượng đi qua tường lửa – Tránh các đường “vòng” (backdoor) có thể bypass chính sách bảo mật.
- Có khả năng lọc lưu lượng – Quyết định cho phép hay chặn dựa trên tiêu chí cấu hình.
2. Các loại tường lửa phổ biến
a. Bộ lọc gói tin (Packet Filter)
- Hoạt động ở mức cơ bản nhất.
- Xem xét từng gói tin riêng lẻ (không theo dõi toàn bộ phiên).
- Quyết định dựa trên thông tin header như IP nguồn/đích, cổng (port), protocol.
- Ví dụ: Cho phép HTTP (TCP/80) nhưng chặn Telnet (TCP/23).
- Theo dõi trạng thái của phiên kết nối.
- Mặc định chỉ cho lưu lượng từ ngoài vào nếu đó là phản hồi của kết nối được khởi tạo từ bên trong.
- Bảo mật hơn packet filter vì hiểu được ngữ cảnh phiên.
💡 Ví dụ thực tế: Người dùng trong LAN truy cập web bên ngoài, tường lửa sẽ ghi nhận trạng thái và cho phép gói tin trả về. Nếu một máy bên ngoài cố mở kết nối vào thẳng máy nội bộ mà không có phiên trước đó, tường lửa sẽ chặn.
3. Vị trí triển khai
- Rìa Internet (Internet Edge) – Lớp bảo vệ đầu tiên chống lại các mối đe dọa bên ngoài.
- Trung tâm dữ liệu (Data Center) – Bảo vệ ứng dụng và dữ liệu trọng yếu, chống cả đe dọa nội bộ.
- Thiết bị đầu cuối (Endpoint) – Firewall phần mềm trên máy người dùng.
4. Dịch vụ bổ sung
Nhiều tường lửa còn hỗ trợ:
- NAT (Network Address Translation)
🔹 Lưu ý: NAT không phải là tính năng bảo mật, chỉ là tác dụng phụ giúp chặn gói tin “vô danh” từ ngoài. - Phân chia nhiều vùng bảo mật (multi-zone security)
- Kết thúc VPN – Giúp người dùng từ xa truy cập an toàn.
5. Tường lửa hiện đại (Next-Generation Firewall – NGFW)
Ngày nay, mạng không còn “biên giới” rõ ràng. Do đó, tường lửa phải tích hợp nhiều lớp bảo vệ:
- Nhận diện và áp dụng chính sách theo ứng dụng, không chỉ IP/port.
- Lọc URL, kiểm soát nội dung web.
- Phát hiện & ngăn chặn phần mềm độc hại (malware).
- Cung cấp chỉ báo xâm nhập (IoC) để hỗ trợ điều tra sự cố.
- Quan sát toàn diện hoạt động mạng.
- Tích hợp với các giải pháp bảo mật khác như IPS, AMP, Threat Intelligence.
💡 Ví dụ: Cisco Secure Firewall (trước đây là Cisco NGFW) vừa lọc gói tin, vừa chặn tấn công SQL injection vào ứng dụng web, vừa cảnh báo SOC nếu phát hiện mã độc đang “nói chuyện” với C2 server bên ngoài.
6. Câu hỏi ôn tập
Câu: Câu nào sau đây đúng về tường lửa truyền thống?
A. Có thể triển khai dưới dạng thiết bị phần cứng hoặc thiết bị ảo
B. Có khả năng lọc URL
C. Có thể thực thi chính sách dựa trên loại ứng dụng
D. Có thể xác định hoạt động phần mềm độc hại
✅ Đáp án đúng: A – Tường lửa truyền thống có thể là phần cứng hoặc ảo, nhưng không có các tính năng nâng cao như NGFW.
Attached Files