Nếu bạn là người làm việc trên Internet trong một thời gian dài , nhất là nếu bạn làm việc trong một công ty lớn và lướt Web trong khi đang làm việc , bạn có thể nghe thấy khái niệm Firewall hay được sử dụng . Ví dụ , bạn có thể nghe thấy ai đó trong công ty nói “ Tôi không thể dùng được trang này bởi vì Firewall không cho phép qua “ hoặc đại loại như vậy .
Nếu bạn có kết nối Internet tốc độ cao ở nhà thì bạn cũng có thể biết về Firewall ngay bản thân trong hệ điều hành có sẵn . Bạn có thể dùng Firewall này để bảo vệ hệ thống mạng máy tính ở nhà từ những cuộc tấn công những Website và những nguy hiểm tiềm tàng từ những tay Hacker
Điều cơ bản Firewall là một tấm chắn để ngăn chặn sự phá huỷ máy tính của bạn , hoặc một sự xâm nhập trái phép . Thực tế tại sao gọi là Firewall . Nó là một công việc tương tự như một bức tường lửa được dựng lên để ngăn không cho lửa lan tới một vùng tiếp theo .
Trong hệ điều hành Windows XP2 có tích hợp sẵn Firewall trong phần Control Panel
Việc của nó là gì
Firewall đơn giản là một phần mềm hoặc thiết bị phần cứng mà lọc những thông tin qua kết nối Internet đi vào hệ thống mạng riêng hoặc hệ thống máy tính của bạn . Nếu gói dữ liệu chứa thông tin yêu cầu lọc thì nó không thể đi qua .
Bạn có thể đọc bài “ Những máy chủ Web làm việc như thế nào “ để biết thêm xem dữ liệu được chuyển trên mạng Internet và bạn có thể dễ dàng xem Firewall bảo vệ hệ thống máy tính như thế nào . Ở đây chúng ta nói đến hệ thống máytính của 500 người làm việc . Trong công ty lúc đó có hàng trăm máy vi tính và chúng có card mạng kết nối với nhau . Thêm vào đó trong công ty cũng có một hoặc nhiều kết nối Internet thông qua đường truyền T1 hoặc T3 .
Không có Firewall tất cả hàng trăm máy vi tính truy cập trực tiếp tới mọi nơi trên Internet . Một người nào đó biết rằng ai đó đang trên mạng Internet , họ sẽ dùng kết nối FTP để nối tới máy tính và dùng kết nối Telnet tới chúng và cứ như vậy . Nếu một người nào đó bị lỗi và để những lỗ hổng bên trong máy tính , những Hacker sẽ truy cập tới máy tính đó thông qua lỗ hổng để truy cập tới những máy tính khác , hậu quả không thể lường hết .
Nếu có Firewall thì hình ảnh sẽ khác nhiều . Công ty sẽ đặt Firewall mọi kết nối với Internet ( Ví dụ : đường T1 đi vào trong công ty ) . Firewall có thể thực hiện những nguyên tắc an toàn . Ví dụ một trong những mức an ninh của Firewall là : “ Trong 500 máy tính bên trong công ty chỉ có 01 máy tính trong số đó cho phép nhận giao thức FTP . Cho phép kết nối FTP chỉ một máy tính và ngăn chặn những máy tính khác “
Công ty có thể thiết lập những nguyên tắc như cho : FTP Server, Web Server, Telnet Server và cứ như vậy . Thêm nữa công ty có thể điều khiển những người khác kết nối những trang Web như thế nào , những file như thế nào thì được truyền đi trên mạng và cứ như vậy . Firewall cũng điều khiển nhiều hơn nữa cho những người dùng mạng Internet .
Firewall dùng một trong ba phương pháp để điều khiển luồng dữ liệu vào và ra trên mạng :
· Lọc gói : Những gói dữ liệu được phân tích theo thiết lập của bộ lọc . Những gói được đi qua Firewall được gửi tới hệ thống yêu cầu và những gói khác thì loại bỏ .
· Dịch vụ Proxy : Thông tin từ Internet được lấy ra từ Firewall và sau đó gửi tới hệ thống yêu cầu và ngược lại .
· Kiểm duyệt toàn bộ : Phương pháp mới mà không kiểm tra nội dung mỗi gói mà thay thế bằng cách so sánh những phần từ khoá nào đó của gói dữ liệu với cơ sở dữ liệu của những thông tin cho trước .
Firewall là tuỳ biến , có nghĩa là bạn có thể thêm hoặc loại bớt những bộ lọc cơ bản dựa trên một vài điều kiện như :
Công ty có thể thiết lập chỉ một hoặc hai máy được điều khiển những giao thức nào đó và cấm giao thức này trên các máy tính khác .
Một vài hệ điều hành đã tích hợp sẵn Firewall như Windows XP SP2 . Còn có cách khác là dùng phần mềm Firewall cài đặt trên máy tính mà có kết nối Internet . Những máy tính có kết nối Internet như vậy gọi là Gateway bới vì nó cung cấp chỉ có một điểm kết nối giữa Internet với hệ thống máy tính bên trong .
Cũng có những phần cứng dùng Firewall như : LinkSys Cable/DSL Router . Nó có sẵn Card mạng và Hub . Những máy tính trong hệ thống mạng nối tới Router và nối tới Modem DSL . Bạn thiết lập Router cùng với giao diện Web thông qua chương trình Browser có ngay trong máy tính của bạn
Nó bảo vệ cho bạn từ cái gì ?
Có nhiều cách mà những người không có đạo đức truy cập với một mục đích bất lương tới những máy tính không bảo vệ :
· Truy nhập từ xa – Khi một ai đó có thể kết nối với máy tính của bạn và điều khiển nó trong một vài hình thức . Như thế có thể xem hoặc truy nhập những file thậm trí những chương trình đang chạy trên máy tính của bạn .
· Dùng cửa sau – Backdoor : Có một vài chương trình có tính năng đặc biệt cho phép truy cập từ xa , nó tạo những Backdoor hoặc bí mật truy cập mà cung cấp vài mức điều khiển chương trình .
· Chiếm giao dịch SMTP – SMTP là phương pháp chung để gửi Email lên mạng Internet . Chiếm lấy SMTP và truy cập vào danh sách địa chỉ Email một người nào đó có thể gửi những bức thư không được yêu cầu ( spam ) tới hàng ngàn người khác . Công việc này làm một cách bí mật mà người sử dụng không biết nó định hướng lại Email qua máy chủ SMTP của những Host khả nghi và liên tục gửi Spam và rất khó tìm dấu vết .
· Tạo những “con bọ” trong hệ điều hành : như là những chương trình ứng dụng , một vài hệ điều hành có Backdoor . Một vài chương trình khác cung cấp truy cập từ xa với những điều khiển có mức độ bảo mật khác nhau hoặc có những “con bọ” mà những Hacker có kinh nghiệm có thể sử dụng dễ dàng .
· Từ chối dịch vụ - Denial of service (DOS) : Bạn có thể nghe thấy cụm từ này được dùng trong mục tin tức về một cuộc tấn công trên một trang Web nào đó . Kiểu tấn công này không thể đếm được . Sự việc xảy ra khi Hacker gửi những yêu cầu để máy chủ chứa trang Web kết nối với nó . Khi máy chủ trả lời cùng với hành động của yêu cầu và cố gắng thiết lập phiên giao dịch với yêu cầu nhưng nó lại không tìm thấy hệ thống nào đưa ra yêu cầu đó . Bằng phương thức tràn ngập những yêu cầu tới máy chủ cùng với những giao dịch không thể trả lời được , Hacker sẽ làm cho máy chủ bị chậm và thậm trí bị sụp đổ hệ thống .
· Bom thư : Bom thư thông thường do một người tấn công . Ai đó gửi cho bạn hàng trăm , thậm trí hàng nghìn thư một lúc khiến cho hệ thống Email không thể chấp nhận nổi nhiều thông tin như vậy .
· Macro : nhiều chương trình ứng dụng cho phép bạn tạo ra những đoạn mã lệnh mà chương trình có thể chạy . Những đoạn mã như vậy gọi là Macro . Những Hacker dựa vào đó để tạo một Macro riêng cho mình có thể phá huỷ dữ liệu của bạn hoặc phá hỏng hệ thống máy tính của bạn .
· Virus : hầu hết chúng ta đều biết đến sự đe doạ của Virus máy tính . Nó là một chương trình nhỏ mà có thể tự Copy tới một máy tính khác . Với cách như thế nó có thể phát tán nhanh chóng từ một hệ thống tới một hệ thống khác . Virus có thể chỉ là những thông tin vô hại hoặc xoá tất cả dữ liệu của chúng ta .
· Spam : thông thường là vô hại nhưng lại làm phiền người khác , nó là những thư linh tinh . Spam có thể nguy hiểm , nội dung của nó có thể là những liên kết tới một trang Web nào đó . Rất cẩn thận khi bấm vào đường Link này bởi vì bạn có thể chấp nhận ngẫu nhiên Cookie mà cung cấp Backdoor tới máy tính của mình .
· Bom định hướng lại đường truyền : Những Hacker có thể dùng ICMP ( Internet Control Message Protocol – nó là giao thức TCP/IP được dùng để gửi lỗi và những tin tức điều khiển . Ví dụ : Router dùng ICMP để thông báo cho người gửi là điểm đích chưa sẵn sàng ) để thay đổi thông tin đường dẫn bằng cách gửi nó tới một Router khác . Đó là một trong những cách tấn công Từ chối dịch vụ được thiết lập .
· ....
Một vài mục liệt kê trên là rất khó nhưng nếu không nói là không thể dùng Firewall để lọc hết được . Một vài Firewall được chào để bảo vệ chống Virus , nó thực sự là những chương trình chống Virus được cài trên máy tính . Thậm trí nhiều Spam vẫn đi qua Firewall và bạn phải chấp nhận nó .
Mức độ an ninh được thiết lập sẽ hạn chế bớt những đe doạ tiềm tàng trên mạng Internet và nó bị ngăn chặn bởi Firewall . Mức độ an ninh cao nhất là đơn giản ngăn chặn mọi thứ . Một nguyên tắc chung là đầu tiên hãy chặn mọi thứ , sau đó bắt đầu chọn những kiểu mà bạn sẽ cần dùng đến nó . Bạn có thể giới hạn việc qua lại Firewall và cho phép những kiểu nào mà bạn chắc chắn biết về nó như : Email . Nguyên tắc tốt nhất cho kinh doanh là bạn nên có chuyên gia nhiều kinh nghiệm về mạng và họ biết chắc bạn cần cái gì . đối với hầu hết chúng ta nên để thiết lập cấu hình ngầm định sẵn trong Firewall và chỉ thay đổi nó với mức độ hiểu biết rõ ràng .
Một điều tốt nhất về Firewall và không cho phép mọi sự truy cập từ bên ngoài vào hệ thống mạng của bạn .
Proxy Server và DMZ
Chức năng thường kết hợp với Firewall là Proxy Server . Proxy Server được dùng để truy cập trang Web bằng một máy tính khác . Khi một máy tính khác yêu cầu một trang Web , nó được Proxy Server tìm kiếm và gửi tới máy tính yêu cầu .
Proxy Server có thể cho phép bạn truy cập Internet với nhiều hiệu quả hơn . Nếu bạn truy cập một trang Web , nó sẽ lưu trữ ( Cache ) trên Proxy Server . Có nghĩa là khi lần tiếp theo bạn quay trở lại trang Web nó sẽ không cần tải từ trang Web về mà thay thế bằng việc tải ngay lập tức từ Proxy Server.
Có nhiều lần bạn có thể muốn điều khiển người sử dụng bằng cách truy cập những mục trong hệ thống mạng máy tính , ví dụ như :
Trong trường hợp như thế nếu muốn bạn tạo DMZ (Demilitarized Zone)
Nó là một vùng nằm ngoài Firewall . Bạn có thể nghĩ một cách đơn giản DMZ là một phía trước hàng rào ngôi nhà của bạn . Nó thuộc quyền sở hữu của bạn và bạn có thể đặt bất cứ gì trong đó , nhưng bạn nên đặt những thứ có giá trị bên trong ngôi nhà mà ở đó được bảo đảm an toàn .
Thiết lập DMZ rất dễ dàng . Nếu bạn có nhiều máy tính , bạn có thể chọn những máy tính giữa kết nối Internet và Firewall.
Đối với một số Router có Firewall bạn có thể thiết lập được DMZ dễ dàng