Firewall

Nếu bạn là người làm việc trên Internet trong một thời gian dài , nhất là nếu bạn làm việc trong một công ty lớn và lướt Web trong khi đang làm việc , bạn có thể nghe thấy khái niệm Firewall hay được sử dụng .

Firewall làm việc như thế nào ?

             Nếu bạn là người làm việc trên Internet trong một thời gian dài , nhất là nếu bạn làm việc trong một công ty lớn và lướt Web trong khi đang làm việc , bạn có thể nghe thấy khái niệm Firewall hay được sử dụng . Ví dụ , bạn có thể nghe thấy ai đó trong công ty nói “ Tôi không thể dùng được trang này bởi vì Firewall không cho phép qua “  hoặc đại loại như vậy .

             Nếu bạn có kết nối Internet tốc độ cao ở nhà thì bạn cũng có thể biết về Firewall ngay bản thân trong hệ điều hành có sẵn . Bạn có thể dùng Firewall này để bảo vệ hệ thống mạng máy tính ở nhà từ những cuộc tấn công những Website và những nguy hiểm tiềm tàng từ những tay Hacker

\"/\"

 

Điều cơ bản Firewall là một tấm chắn để ngăn chặn sự phá huỷ máy tính của bạn , hoặc một sự xâm nhập trái phép . Thực tế tại sao gọi là Firewall . Nó là một công việc tương tự như một bức tường lửa được dựng lên để ngăn không cho lửa lan tới một vùng tiếp theo .

 Trong hệ điều hành Windows XP2 có tích hợp sẵn Firewall trong phần Control Panel

 

\"/\"

Việc của nó là gì

 Firewall đơn giản là một phần mềm hoặc thiết bị phần cứng mà lọc những thông tin qua kết nối Internet đi vào hệ thống mạng riêng hoặc hệ thống máy tính của bạn . Nếu gói dữ liệu chứa thông tin yêu cầu lọc thì nó không thể đi qua .

             Bạn có thể đọc bài “ Những máy chủ Web làm việc như thế nào “ để biết thêm xem dữ liệu được chuyển trên mạng Internet và bạn có thể dễ dàng xem Firewall bảo vệ hệ thống máy tính như thế nào . Ở đây chúng ta nói đến hệ thống máytính của 500 người làm việc . Trong công ty lúc đó có hàng trăm máy vi tính và chúng có card mạng kết nối với nhau . Thêm vào đó trong công ty cũng có một hoặc nhiều kết nối Internet thông qua đường truyền T1 hoặc T3 .

Không có Firewall tất cả hàng trăm máy vi tính truy cập trực tiếp tới mọi nơi trên Internet . Một người nào đó biết rằng ai đó đang trên mạng Internet , họ sẽ dùng kết nối FTP để nối tới máy tính và dùng kết nối Telnet tới chúng và cứ như vậy . Nếu một người nào đó bị lỗi và để những lỗ hổng bên trong máy tính , những Hacker sẽ truy cập tới máy tính đó thông qua lỗ hổng để truy cập tới những máy tính khác , hậu quả không thể lường hết .

Nếu có Firewall thì hình ảnh sẽ khác nhiều . Công ty sẽ đặt Firewall mọi kết nối với Internet ( Ví dụ : đường T1 đi vào trong công ty ) . Firewall có thể thực hiện những nguyên tắc an toàn . Ví dụ một trong những mức an ninh của Firewall là : “ Trong 500 máy tính bên trong công ty chỉ có 01 máy tính trong số đó cho phép nhận giao thức FTP . Cho phép kết nối FTP chỉ một máy tính và ngăn chặn những máy tính khác “

Công ty có thể thiết lập những nguyên tắc như cho : FTP Server, Web Server, Telnet Server và cứ như vậy . Thêm nữa công ty có thể điều khiển những người khác kết nối những trang Web như thế nào , những file như thế nào thì được truyền đi trên mạng và cứ như vậy . Firewall cũng điều khiển nhiều hơn nữa cho những người dùng mạng Internet .

 Firewall dùng một trong ba phương pháp để điều khiển luồng dữ liệu vào và ra trên mạng :

 

·        Lọc gói : Những gói dữ liệu được phân tích theo thiết lập của bộ lọc . Những gói được đi qua Firewall được gửi tới hệ thống yêu cầu và những gói khác thì loại bỏ .

·        Dịch vụ Proxy : Thông tin từ Internet được lấy ra từ Firewall và sau đó gửi tới hệ thống yêu cầu và ngược lại .

·        Kiểm duyệt toàn bộ : Phương pháp mới mà không kiểm tra nội dung mỗi gói mà thay thế bằng cách so sánh những phần từ khoá nào đó của gói dữ liệu với cơ sở dữ liệu của những thông tin cho trước .

 Firewall tuỳ biến , có nghĩa là bạn có thể thêm hoặc loại bớt những bộ lọc cơ bản dựa trên một vài điều kiện như :

 

  • Địa chỉ IP : Mỗi một máy trên mạng Internet được gán một địa chỉ duy nhất gọi là địa chỉ IP . Địa chỉ IP là một số 32-bit gọi là 04 octet , nó kiểu như : 202.134.18.28 . Ví dụ : nếu một địa chỉ IP nào đó bên ngoài công ty đang đọc quá nhiều từ máy chủ , Firewall có thể ngăn chặn tất cả sự qua lại tới hoặc từ địa chỉ IP đó .
  • Những tên Domain : Bới vì quá khó khăn khi nhớ tên chuỗi số tạo thành địa chỉ IP , cũng bới vì địa chỉ IP cũng có thể thay đổi nên tất cả những máy chủ trên Internet cũng có một tên mà con người chúng ta dễ đọc gọi là Domain Name . Ví dụ chúng ta dễ nhớ tên www.tuvantinhoc1088.com hơn là 202.134.18.28 . Công ty có thể chặn tất cả mọi truy cập từ Domain Name nào đó hoặc cho phép truy cập   những Domain Name được chỉ rõ ràng .
  • Giao thức ( Protocol ) : Giao thức là cách được xác đinh từ trước để một ai đó muốn dùng dịch vụ nói chuyện cùng với dịch vụ đó . Một ai đó có thể là một cá nhân nhưng thông thường là một chương trình máy tính như Web Browser . Những giao thức thường là Text và mô tả đơn giản làmthế nào để máy trạm và máy chủ nói chuyện được với nhau . HTTP là một giao thức của Web . Một vài giao thức chung mà bạn có thể thiết lập với những bộ lọc của Firewall bao gồm :
      • IP (Internet Protocol) - hệ thống truyền chính cho những thông tin trên mạng Internet .
      • TCP (Transmission Control Protocol) – dùng để tách và thiết lập lại thông tin được truyền trên mạng Internet .
      • HTTP (Hyper Text Transfer Protocol) – dùng cho trang Web
      • FTP (File Transfer Protocol) – dùng để Download hoặc Upload các file.
      • UDP (User Datagram Protocol) – dùng cho thông tin mà không yêu cầu phản hồi như luồng tín hiệu âm thanh hoặc Video .
      • ICMP (Internet Control Message Protocol) – dùng cho Router để trao đổi thông tin vớicác Router khác .
      • SMTP (Simple Mail Transport Protocol) – dùng để gửi những thông tin dựa trên Text ( Email ).
      • SNMP (Simple Network Management Protocol) – dùng để lấy thông tin hệ thống từ một máy tính từ xa .
      • Telnet - dùng để thực hiện những lệnh trên một máy tính điều khiển từ xa .

 Công ty có thể thiết lập chỉ một hoặc hai máy được điều khiển những giao thức nào đó và cấm giao thức này trên các máy tính khác .

 

  • Port - Cổng : Bất kì máy chủ đều thông qua những Port để thực hiện những dịch vụ có sẵn trên Internet , mỗi một dịch vụ được tương ứng với một cổng . Ví dụ : nếu máy chủ chạy Web Server và FTP Server thì Web Server thông thường dùng cổng 80 và FTP Server dùng cổng 21 . Công ty có thể chặn cổng 21 truy cập tất cả các máy tính ngoại trừ một máy bên trong công ty .
  • Những từ cụ thể và những cụm từ :  điều này có thể làm mọi thứ . Firewall sẽ kiểm tra mỗi gói của thông tin để so sánh với danh sách những từ khoá cụ thể trong bộ lọc . Ví dụ , bạn có thể thiết lập Firewall chặn những từ khoá trong gói dữ liệu có từ “Tài chính” . Firewall sẽ kiểm tra những gói dữ liệu , gói nào có từ khoá “Tài chính” thì không cho phép đi qua .

 

Một vài hệ điều hành đã tích hợp sẵn Firewall như Windows XP SP2 . Còn có cách khác là dùng phần mềm Firewall cài đặt trên máy tính mà có kết nối Internet . Những máy tính có kết nối Internet như vậy gọi là Gateway bới vì nó cung cấp chỉ có một điểm kết nối giữa Internet với hệ thống máy tính bên trong .

 

\"/\"

Cũng có những phần cứng dùng Firewall như : LinkSys Cable/DSL Router . Nó có sẵn Card mạng và Hub . Những máy tính trong hệ thống mạng nối tới Router và nối tới Modem DSL . Bạn thiết lập Router cùng với giao diện Web thông qua chương trình Browser có ngay trong máy tính của bạn

\"/\"

 

Nó bảo vệ cho bạn từ cái gì ? 

Có nhiều cách mà những người không có đạo đức truy cập với một mục đích bất lương tới những máy tính không bảo vệ :

 

·        Truy nhập từ xa – Khi một ai đó có thể kết nối với máy tính của bạn và điều khiển nó trong một vài hình thức . Như thế có thể xem hoặc truy nhập những file thậm trí những chương trình đang chạy trên máy tính của bạn .

·        Dùng cửa sau – Backdoor : Có một vài chương trình có tính năng đặc biệt cho phép truy cập từ xa , nó tạo những Backdoor hoặc bí mật truy cập mà cung cấp vài mức điều khiển chương trình .

·        Chiếm giao dịch SMTP – SMTP là phương pháp chung để gửi Email lên mạng Internet . Chiếm lấy SMTP và truy cập vào danh sách địa chỉ Email một người nào đó có thể gửi những bức thư không được yêu cầu ( spam ) tới hàng ngàn người khác . Công việc này làm một cách bí mật mà người sử dụng không biết nó định hướng lại Email qua máy chủ SMTP của những Host khả nghi và liên tục gửi Spam và rất khó tìm dấu vết .

·        Tạo những “con bọ” trong hệ điều hành : như là những chương trình ứng dụng , một vài hệ điều hành có Backdoor . Một vài chương trình khác cung cấp truy cập từ xa với những điều khiển có mức độ bảo mật khác nhau hoặc có những “con bọ” mà những Hacker có kinh nghiệm có thể sử dụng dễ dàng .

·        Từ chối dịch vụ - Denial of service (DOS) : Bạn có thể nghe thấy cụm từ này được dùng trong mục tin tức về một cuộc tấn công trên một trang Web nào đó . Kiểu tấn công này không thể đếm được . Sự việc xảy ra khi Hacker gửi những yêu cầu để máy chủ chứa trang Web kết nối với nó . Khi máy chủ trả lời cùng với hành động của yêu cầu và cố gắng thiết lập phiên giao dịch với yêu cầu nhưng nó lại không tìm thấy hệ thống nào đưa ra yêu cầu đó . Bằng phương thức tràn ngập những yêu cầu tới máy chủ cùng với những giao dịch không thể trả lời được , Hacker sẽ làm cho máy chủ bị chậm và thậm trí bị sụp đổ hệ thống .

·        Bom thư : Bom thư thông thường do một người tấn công . Ai đó gửi cho bạn hàng trăm , thậm trí hàng nghìn thư một lúc khiến cho hệ thống Email không thể chấp nhận nổi nhiều thông tin như vậy .

·        Macro : nhiều chương trình ứng dụng cho phép bạn tạo ra những đoạn mã lệnh mà chương trình có thể chạy . Những đoạn mã như vậy gọi là Macro . Những Hacker dựa vào đó để tạo một Macro riêng cho mình có thể phá huỷ dữ liệu của bạn hoặc phá hỏng hệ thống máy tính của bạn .

·        Virus : hầu hết chúng ta đều biết đến sự đe doạ của Virus máy tính . Nó là một chương trình nhỏ mà có thể tự Copy tới một máy tính khác . Với cách như thế nó có thể phát tán nhanh chóng từ một hệ thống tới một hệ thống khác . Virus có thể chỉ là những thông tin vô hại hoặc xoá tất cả dữ liệu của chúng ta .

·        Spam : thông thường là vô hại nhưng lại làm phiền người khác , nó là những thư linh tinh . Spam có thể nguy hiểm , nội dung của nó có thể là những liên kết tới một trang Web nào đó . Rất cẩn thận khi bấm vào đường Link này bởi vì bạn có thể chấp nhận ngẫu nhiên Cookie mà cung cấp Backdoor tới máy tính của mình .

·        Bom định hướng lại đường truyền : Những Hacker có thể dùng ICMP ( Internet Control Message Protocol – nó là giao thức TCP/IP được dùng để gửi lỗi và những tin tức điều khiển . Ví dụ : Router dùng ICMP để thông báo cho người gửi là điểm đích chưa sẵn sàng ) để thay đổi thông tin đường dẫn bằng cách gửi nó tới một Router khác . Đó là một trong những cách tấn công Từ chối dịch vụ được thiết lập .

·        ....

 Một vài mục liệt kê trên là rất khó nhưng nếu không nói là không thể dùng Firewall để lọc hết được  . Một vài Firewall được chào để bảo vệ chống Virus , nó thực sự là những chương trình chống Virus được cài trên máy tính . Thậm trí nhiều Spam vẫn đi qua Firewall và bạn phải chấp nhận nó .

 Mức độ an ninh được thiết lập sẽ hạn chế bớt những đe doạ tiềm tàng trên mạng Internet và nó bị ngăn chặn bởi Firewall . Mức độ an ninh cao nhất là đơn giản ngăn chặn mọi thứ . Một nguyên tắc chung là đầu tiên hãy chặn mọi thứ , sau đó bắt đầu chọn những kiểu mà bạn sẽ cần dùng đến nó . Bạn có thể giới hạn việc qua lại Firewall và cho phép những kiểu nào mà bạn chắc chắn biết về nó như : Email . Nguyên tắc tốt nhất cho kinh doanh là bạn nên có chuyên gia nhiều kinh nghiệm về mạng và họ biết chắc bạn cần cái gì . đối với hầu hết chúng ta nên để thiết lập cấu hình ngầm định sẵn trong Firewall và chỉ thay đổi nó với mức độ hiểu biết rõ ràng .

 Một điều tốt nhất về Firewall và không cho phép mọi sự truy cập từ bên ngoài vào hệ thống mạng của bạn .

 Proxy Server và DMZ

 Chức năng thường kết hợp với Firewall là Proxy Server . Proxy Server được dùng để truy cập trang Web bằng một máy tính khác . Khi một máy tính khác yêu cầu một trang Web , nó được Proxy Server tìm kiếm và gửi tới máy tính yêu cầu .

 

\"/\"

Proxy Server có thể cho phép bạn truy cập Internet với nhiều hiệu quả hơn . Nếu bạn truy cập một trang Web , nó sẽ lưu trữ ( Cache ) trên Proxy Server . Có nghĩa là khi lần tiếp theo bạn quay trở lại trang Web nó sẽ không cần tải từ trang Web về mà thay thế bằng việc tải ngay lập tức từ Proxy Server.

 

\"/\"

 

Có nhiều lần bạn có thể muốn điều khiển người sử dụng bằng cách truy cập những mục trong hệ thống mạng máy tính , ví dụ như :

 

  • Trang Web.
  • Kinh doanh trực tuyến .
  • Download và Upload FTP .

 

Trong trường hợp như thế nếu muốn bạn tạo DMZ (Demilitarized Zone)

\"/\"

Nó là một vùng nằm ngoài Firewall . Bạn có thể nghĩ một cách đơn giản DMZ là một phía trước hàng rào ngôi nhà của bạn . Nó thuộc quyền sở hữu của bạn và bạn có thể đặt bất cứ gì trong đó , nhưng bạn nên đặt những thứ có giá trị bên trong ngôi nhà mà ở đó được bảo đảm an toàn .

 Thiết lập DMZ rất dễ dàng . Nếu bạn có nhiều máy tính , bạn có thể chọn những máy tính giữa kết nối Internet và Firewall.

\"/\"

Đối với một số Router có Firewall bạn có thể thiết lập được DMZ dễ dàng

\"/\"