Tweet
1. Mô hình và kiến trúc chung của một Firewall
Kiến trúc của hệ thống sử dụng Firewall được thể hiện như hình dưới đây
- Screening Router: là chặng kiểm soát đầu tiên cho LAN.
- DMZ: là vùng có nguy cơ bị tấn công từ internet.
- Gateway Host: là cổng ra vào giữa mạng LAN và DMZ, kiểm soát mọi liên lạc, thực thi các cơ chế bảo mật.
- IF1 (Interface 1): là card giao tiếp với vùng DMZ.
- IF2 (Interface 2): là card giao tiếp với vùng mạng LAN.
- FTP Gateway: Kiểm soát truy cập FTP giữa LAN và vùng FTP từ mạng LAN ra internet là tự do. Các truy cập FTP vào LAN đòi hỏi xác thực thông qua Authentication server.
- Telnet gateway: Kiểm soát truy cập telnet tương tự như FTP, người dùng có thể telnet ra ngoài tự do, các telnet từ ngoài vào yêu cầu phải xác thực thông qua Authentication server.
- Authentication server: là nơi xác thực quyền truy cập dùng các kỹ thuật xác thực mạnh như one-time password/token (mật khẩu sử dụng một lần).
2. Phân loại Firewall
2.1. Firewall phần cứng
Về tổng thể, Firewall phần cứng cung cấp mức độ bảo vệ cao hơn so với Firewall phần mềm và dễ bảo trì hơn. Firewall phần cứng cũng có một ưu điểm khác là không chiếm dụng tài nguyên hệ thống trên máy tính như Firewall phần mềm. Firewall phần cứng là một lựa chọn rất tốt đối với các doanh nghiệp nhỏ, đặc biệt cho những công ty có chia sẻ kết nối Internet.
Có thể kết hợp Firewall và một bộ định tuyến trên cùng một hệ thống phần cứng và sử dụng hệ thống này để bảo vệ cho toàn bộ mạng. Firewall phần cứng có thể là một lựa chọn đỡ tốn chi phí hơn so với Firewall phần mềm thường phải cài trên mọi máy tính cá nhân trong mạng. Trong số các công ty cung cấp Firewall phần cứng có thể kể tới Linksys, NetGear, Cisco. Tính năng Firewall phần cứng do các công ty này cung cấp thường được tích hợp sẵn trong các bộ định tuyến dùng cho mạng của các doanh nghiệp nhỏ và mạng gia đình.
2.2. Firewall phần mềm
Nếu không muốn tốn tiền mua Firewall phần cứng thì bạn có thể sử dụng Firewall phần mềm. Về giá cả, Firewall phần mềm thường không đắt bằng firewall phần cứng, thậm chí một số còn miễn phí và bạn có thể tải về từ mạng Internet. So với Firewall phần cứng, Firewall phần mềm cho phép linh động hơn, nhất là khi cần đặt lại các thiết lập cho phù hợp hơn với nhu cầu riêng của từng công ty. Chúng có thể hoạt động tốt trên nhiều hệ thống khác nhau, khác với Firewall phần cứng tích hợp với bộ định tuyến chỉ làm việc tốt trong mạng có qui mô nhỏ. Firewall phần mềm cũng là một lựa chọn phù hợp đối với máy tính xách tay vì máy tính sẽ vẫn được bảo vệ cho dù mang máy tính đi bất kỳ nơi nào.
Kiến trúc của hệ thống sử dụng Firewall được thể hiện như hình dưới đây
Kiến trúc của hệ thống sử dụng Firewall
Các hệ thống Firewall đều có điểm chung ở các cấu trúc cụ thể như sauCấu trúc chung của một hệ thống Firewall
Trong đó:- Screening Router: là chặng kiểm soát đầu tiên cho LAN.
- DMZ: là vùng có nguy cơ bị tấn công từ internet.
- Gateway Host: là cổng ra vào giữa mạng LAN và DMZ, kiểm soát mọi liên lạc, thực thi các cơ chế bảo mật.
- IF1 (Interface 1): là card giao tiếp với vùng DMZ.
- IF2 (Interface 2): là card giao tiếp với vùng mạng LAN.
- FTP Gateway: Kiểm soát truy cập FTP giữa LAN và vùng FTP từ mạng LAN ra internet là tự do. Các truy cập FTP vào LAN đòi hỏi xác thực thông qua Authentication server.
- Telnet gateway: Kiểm soát truy cập telnet tương tự như FTP, người dùng có thể telnet ra ngoài tự do, các telnet từ ngoài vào yêu cầu phải xác thực thông qua Authentication server.
- Authentication server: là nơi xác thực quyền truy cập dùng các kỹ thuật xác thực mạnh như one-time password/token (mật khẩu sử dụng một lần).
2. Phân loại Firewall
2.1. Firewall phần cứng
Về tổng thể, Firewall phần cứng cung cấp mức độ bảo vệ cao hơn so với Firewall phần mềm và dễ bảo trì hơn. Firewall phần cứng cũng có một ưu điểm khác là không chiếm dụng tài nguyên hệ thống trên máy tính như Firewall phần mềm. Firewall phần cứng là một lựa chọn rất tốt đối với các doanh nghiệp nhỏ, đặc biệt cho những công ty có chia sẻ kết nối Internet.
Có thể kết hợp Firewall và một bộ định tuyến trên cùng một hệ thống phần cứng và sử dụng hệ thống này để bảo vệ cho toàn bộ mạng. Firewall phần cứng có thể là một lựa chọn đỡ tốn chi phí hơn so với Firewall phần mềm thường phải cài trên mọi máy tính cá nhân trong mạng. Trong số các công ty cung cấp Firewall phần cứng có thể kể tới Linksys, NetGear, Cisco. Tính năng Firewall phần cứng do các công ty này cung cấp thường được tích hợp sẵn trong các bộ định tuyến dùng cho mạng của các doanh nghiệp nhỏ và mạng gia đình.
2.2. Firewall phần mềm
Nếu không muốn tốn tiền mua Firewall phần cứng thì bạn có thể sử dụng Firewall phần mềm. Về giá cả, Firewall phần mềm thường không đắt bằng firewall phần cứng, thậm chí một số còn miễn phí và bạn có thể tải về từ mạng Internet. So với Firewall phần cứng, Firewall phần mềm cho phép linh động hơn, nhất là khi cần đặt lại các thiết lập cho phù hợp hơn với nhu cầu riêng của từng công ty. Chúng có thể hoạt động tốt trên nhiều hệ thống khác nhau, khác với Firewall phần cứng tích hợp với bộ định tuyến chỉ làm việc tốt trong mạng có qui mô nhỏ. Firewall phần mềm cũng là một lựa chọn phù hợp đối với máy tính xách tay vì máy tính sẽ vẫn được bảo vệ cho dù mang máy tính đi bất kỳ nơi nào.