Thiết kế trang web giúp tư vấn khách hàng lựa chọn sản phẩm và đặt hàng trực tuyến và công ty có thể quản lý được hệ thống này

được một hệ thống dễ dàng tấn công hệ thống khác. 2.1.3. Các mức bảo vệ an toàn mạng: Không thể có một giải pháp bảo vệ mạng tuyệt đối nên sẽ sử dụng đồng thời nhiều mức bảo vệ khác nhau, tạo nhiều lớp rào chắn đối với các hoạt động xâm phạm. Việc bảo mật thông tin trong mạng chủ yếu là bảo vệ thông tin cất giữ trong các máy tính, máy chủ của mạng. Vì vậy, các phương pháp nhằm chống thất thoát thông tin trên đường truyền, sẽ được xây dựng bằng các mức chắn từ ngoài vào trong cho các hệ thống kết nối vào mạng theo mô hình sau: Quyền truy nhập (Acess Right): kiểm soát việc truy nhập tài nguyên mạng và quyền hạn trên tài nguyên đó. Việc quản lý được tiến hành ở mức truy nhập file. Việc xác lập các quyền được quyết định bởi người quản lý mạng (Supervisor). Đăng ký tên/ mật khẩu (Login/ Password): mỗi người sử dụng muốn được sử dụng mạng phải đăng ký tên/ mật khẩu để người ngoài không biết tên/ mật khẩu không thể truy nhập mạng. Phương pháp này không mấy hiệu quả với những người quá hiểu biết về hệ thống. Mã hoá dữ liệu (Data Encryption): biến đổi dữ liệu từ dạng nhận thức sang dạng không nhận thức được theo một thuật toán nào đó và sẽ biến đổi ngược lại tại bên nhận. Lớp bảo vệ vật lý (Physical Protection): ngăn cản các truy nhập vật lý bất hợp pháp vào hệ thống. Firewall: nhằm bảo vệ an toàn cho một máy tính hoặc một mạng nội bộ, ngăn chặn các xâm nhập trái phép và có thể lọc bỏ các thông tin mà ta không muốn gửi đi hay nhận về vì những lý do nào đó. Mã hoá dữ liệu Đăng ký tên/ mật khẩu Quyền truy nhập Thông tin Lớp bảo vệ vật lý Firewall 2.2. Giới thiệu về Firewall. 2.2.1. Các khái niệm chung: 2.2.1.1 Firewall là gì? Như trên, Firewall là lớp rào chắn ngoài cùng của hệ thống bảo mật mạng. Nó là thiết bị (thường là router) bảo vệ mạng khỏi sự thâm nhập không mong muốn từ phía bên ngoài cũng như kiểm soát sự truy cập của người sử dụng bên trong mạng vào các nguồn tài nguyên. Firewall sẽ không có tác dụng đảm bảo an toàn mạng khi nó đứng một mình mà nó phải đi cùng để bảo về website và hệ thống mạng. Để firewall làm việc có hiệu quả cao nhất ta cần xác định quy mô của mạng, nhiệm vụ chính của firewall là gì rồi mới cấu hình firewall cho phù hợp. Firewall tăng cường tính bảo mật và giảm thiểu sự rủi ro cho mạng bằng cách chọn lọc các dịch vụ, giao thức sử dụng trong mạng. Hầu hết các router được sử dụng như Firewall để lọc các datagram dựa vào địa chỉ nguồn, đích hoặc nhờ các giao thức ở tầng cao hơn hay theo các chính sách an ninh của mỗi mạng. Các loại Firewall tinh vi hơn thì sử dụng dịch vụ uỷ quyền (Proxy Server) hay còn được gọi là Bastion Host. Dịch vụ này có nhiệm vụ ngăn chặn các truy nhập trực tiếp của người sử dụng trong mạng ra bên ngoài. Do đó, người quản trị mạng có thể kiểm soát được các quyền trao đổi thông tin giữa bên trong và bên ngoài mạng. 2.2.1.2. Mục đích của việc xây dựng Firewall. Mục đích của Firewall là làm việc như một cổng bảo an, cấp quyền điều khiển cho các thành phần bên trong mạng; cho phép ai đó được quyền truy xuất vào tài nguyên nào của mạng cũng như cho ai được quyền truy xuất ra ngoài mạng. Nó còn đựơc sử dụng để kiểm soát các kết nối giữa mạng nội bộ và mạng bên ngoài. Ví dụ, ta có thể sử dụng Firewall để ghi những điểm cuối và lượng dữ liệu gửi qua mọi kết nối TCP/ IP giữa tổ chức và thế giới bên ngoài. Thậm chí, Firewall còn được sử dụng để nghe trộm và ghi lại tất cả các cuộc hội thoại giữa mạng nội bộ và thế giới bên ngoài. Nếu tổ chức có hơn một vị trí và ta có Firewal cho mỗi vị trí đó, ta có thể lập trình cho các Firewall này để mã hoá gói tin được gửi qua mạng giữa các vị trí một cách tự động. Trong trường hợp này, ta có thể sử dụng Internet như một mạng diện rộng riêng của chính mình mà không gây tổn hại dữ liệu; cơ chế này thường được dựa vào để tạo một mạng riêng ảo (Virtual Private Network) hoặc VPN. 2.2.1.3. Chức năng của Firewall: Firewall hỗ trợ cho hệ thống bảo mật của toàn mạng, phải linh hoạt, dễ dàng chỉnh sửa cho phù hợp với nhu cầu của hệ thống. Firewall phải từ chối thực hiện tất cả các dịch vụ ngoại trừ các dịch vụ đặc biệt được người quản trị cho phép. Firewall có khả năng mở rộng, nâng cấp hoặc có khả năng thẩm định quyền cao cấp. Nó phải thực hiện được các kỹ thuật lọc để cho phép hay không cho phép các dịch vụ tới các hệ thống máy chủ đã chỉ định theo nhu cầu. Firewall phải sử dụng các Proxy Server cho các dịch vụ như FTP (File Transfer Protocol) thì phạm vi thẩm định quyền cao cấp mới có thể tập trung và thực hiện tại Firewall. Nếu như mạng có sử dụng các dịch vụ như NNTP (Network News Transport Protocol), HTTP (HyperText Transfer Protocol) hay Gopher thì Firewall phải có các dịch vụ uỷ quyền tương ứng. Firewall phải có khả năng tập trung truy nhập SMTP (Simple Mail Transfer Protocol) để làm tăng các kết nối trực tiếp giữa máy tính đến hệ thống ở xa. Nếu sử dụng một hệ điều hành mở như UNIX, NT, thì các phiên bản bảo mật của các hệ điều hành này cũng phảI là một phần của Firewall cũng như các công cụ bảo mật khác, có như thế mới bảo đảm có một Firewall toàn vẹn, chắc chắn. Firewall phải được phát triển theo hướng kiểm soát được sức mạnh và độ chính xác của nó. Firewall và hệ điều hành sử dụng trên nó phải luôn được nâng cấp và bảo dưỡng. 2.2.2. Các thành phần và sự hoạt động của Firewall: 2.2.2.1. Các thành phần của Firewall: Firewall gồm các phần cơ bản như sau: Chính sách bảo mật mạng (Network Security Policy). Thiết bị thẩm định quyền (Advanced Authentication). Bộ lọc gói tin (Packet Filtering). Trình ứng dụng (Application Gateway). Chính sách bảo mật mạng: Chức năng cơ bản của Firewall là giới hạn luồng thông tin lưu thông giữa hai mạng: mạng nội bộ (Internal Network) và mạng bên ngoài (External Network), như là mạng Internet. Để thiết lập Firewall, cần phải xác định rõ loại dữ liệu nào được qua và loại nào không được qua. Công việc này chính là việc xây dựng một chính sách bảo mật mạng. Sau khi đã xác định rõ chính sách, ta cần tạo các kỹ thuật thực tế để thực hiện chính sách. Có hai chiến lược cơ bản để xây dựng chính sách: Chấp nhận mặc định (Default Permit): tạo cho Firewall một tập các điều kiện xác định dữ liệu bị khoá. Bất cứ một máy chủ hoặc thủ tục nào không bị kiểm soát bởi chính sách sẽ được qua vì đã được xác lập mặc định. Từ chối mặc định (Derfalt Deny): mô tả những thủ tục đặc biệt được cho phép qua Firewall và các máy chủ đặc biệt có thể cho dữ liệu đi qua và được quyền liên lạc. Những thứ còn lại sẽ bị từ chối. Một ví dụ về cấu trúc của Firewall. Ưu điểm của chiến lược chấp nhận mặc định là khiến dễ dàng định rõ, phác ra các thủ tục được xem là quá nguy hiểm và dựa vào kiến thức của mình để khoá các thủ tục mới vì chúng luôn thay đổi và được phát hiện ra. Với chiến lược từ chối mặc định, dễ cài đặt các thủ tục được người sử dụng và nhà quản lý đòi hỏi. Bất cứ một thủ tục nào mà tổ chức không sử dụng sẽ dễ dàng bị ngăn chặn. Việc cài đặt Firewall bị ảnh hưởng trực tiếp bởi hai mức chính sách mạng: Chính sách bảo mật mạng xác định các dịch vụ được phép truy cập hay nhất định bị từ chối được gọi là chính sách bậc cao. Chính sách này cũng xác định các dịch vụ đó được sử dụng như thế nào. Chính sách bậc thấp xác định Firewall sẽ giới hạn việc truy cập và lọc các dịch vụ bị từ chối ở chính sách bậc cao như thế nào. Các chính sách này phải mềm dẻo và linh hoạt vì: Mạng Internet thay đổi hàng ngày với một tốc độ rất nhanh, các dịch vụ dùng trên internet cũng thay đổi theo. Vì vậy, nhu cầu của các công ty cũng sẽ thay đổi nên mạng sẽ phải bị chỉnh sửa để có thể thích nghi cho phù hợp với những sự thay đổi đó, nhưng không được gây vấn đề gì làm tổn hại đến công việc bảo mật. Chính sách bảo mật sẽ hầu như không bao giờ thay đổi nhưng các thủ tục sẽ luôn được xem xét, chỉnh sửa lại. Chính sách đề ra phải dự đoán được các rủi ro và sự thay đổi của chúng để có thể chỉnh sửa, có các phương pháp bảo mật phù hợp vì những rủi ro gặp phải trên Internet sẽ không ngừng biến đổi. Chính sách phải tạo được một sự cân bằng giữa việc bảo vệ mạng với việc cấp quyền cho người sử dụng truy cập đến tài nguyên của mạng. Khi thiết lập một chính sách tạo Firewall, phải hiểu rõ khả năng và giới hạn của Firewall cũng như nắm rõ các mối đe doạ và nguy cơ. Phải nhớ, Firewall thường thực hiện các chính sách sau: Firewall cho phép các máy con sử dụng tất cả các dịch vụ đã mặc định, ngoại trừ một số dịch vụ được xác định rõ là không được phép. Cũng bằng cách này, Firewall sẽ từ chối thực hiện tất cả các dịch vụ theo mặc định, nhưng sau đó sẽ cho phép thực hiện các dịch vụ này khi chúng được xác định rõ là được phép sử dụng. Thiết bị thẩm định quyền (Advanced Authentication): Là các SmartCard như ID card hay các loại card được mã hoá bằng từ và một số phần mềm. Các thiết bị này là những sự lựa chọn để đối phó với việc có nhiều password bị bẻ gãy. Nếu chọn một trong các thiết bị trên, các hacker sẽ không thể dùng lại password đã bị giám sát trong quá trình kết nối. Thiết bị thẩm định quyền được sử dụng khá phổ biến hiện nay là hệ thống password một lần (One-time Password System). Nó làm việc chung với phần mềm hoặc phần cứng. Các password nếu có bị giám sát cũng chỉ có thể sử dụng được một lần. Hệ thống thẩm định quyền của Firewall cần phải được đặt trong Firewall vì nó chịu trách nhiệm kiểm soát và điều khiển việc truy cập tới các máy con. Tất cả các kết nối bắt đầu từ Internet tới hệ thống máy trạm sẽ phải chịu sự thẩm định quyền trước khi sự cho phép được chấp nhận. Password có thể vẫn cần thiết phải sử dụng nhưng trước khi truy cập được cho phép thì những Password này đã được bảo vệ cho dù chúng đã bị giám sát. Bộ lọc gói tin (Packet Filtering): Việc lọc các gói tin IP thường được thực hiện bằng việc sử dụng router. Các router này có thể lọc các gói tin IP dựa vào các trường sau: Địa chỉ IP nguồn Địa chỉ IP đích Cổng TCP/ UDP nguồn Cổng TCP/ UDP đích. Trong việc chặn đứng các kết nối ra hay vào mạng, việc chọn lọc được thực hiện bằng nhiều cách, bao gồm cả việc chặn các kết nối tới các cổng cụ thể. Ví dụ, có thể quyết định ngăn chặn những kết nối từ các địa chỉ hoặc các máy con những địa chỉ mà cảm thấy không đáng tin cậy, hoặc có thể quyết định ngăn kết nối từ các từ tất cả các địa chỉ ở bên ngoài mạng. Tất cả những việc đó đều có thể thực hiện được bằng việc lọc bỏ. Mặc dù, bộ lọc gói tin làm nhiệm vụ rất hiệu quả, làm tăng độ bảo mật mạng nhưng nó vẫn có một số nhược điểm. Các quy luật của nó phức tạp khiến cho việc xác định và kiểm tra gặp khó khăn. Bởi vì khi có vấn đề thì chỉ có thể hoặc phải kiểm tra bằng tay mọi khả năng hoặc phải phán đoán để tìm ra chỗ thuận lợi để có thể kiểm tra tính chính xác các quy luật của nó. Mặt khác, trong các router không có chức năng khoá. Nếu router không có khả năng khoá thì nếu có các gói tin nguy hiểm thâm nhập thì sẽ không thể phát hiện hoặc khi phát hiện thì đã quá muộn. Cạnh đó, việc cho phép các loại truy cập xác định (những truy cập bình thường bị chặn) đi qua, sẽ phải tạo một sự ngoại lệ đối với các quy tắc. Những sự ngoại lệ này sẽ tạo các quy luật lọc rất khác nhau, thậm chí khó kiểm soát. Một số Firewall còn sử dụng dịch vụ uỷ quyền (Proxy Server), còn gọi là pháo đài bảo vệ (Bastion Host) để tăng độ bảo mật cho mạng. Mạng Internet (outside) Mạng nội bộ (Inside) Bastion Host Dịch vụ uỷ quyền (proxy service) có thể “biểu diễn” người dùng trong mạng trên Internet bằng cách thay đổi địa chỉ IP của khách trong các gói dữ liệu sang địa chỉ IP của riêng nó. Kỹ thuật này về cơ bản che dấu hệ thống mạng nội bộ và bảo đảm rằng những người dùng trong mạng không kết nối trực tiếp với hệ thống bên ngoài. Proxy server có thể đánh giá và lọc tốt cả các gói dữ liệu đến hoặc ngăn các gói dữ liệu đi ra. Một số proxy server được thiết kế để cho phép chỉ những ngừơi dùng trong mạng truy cập Internet và không cho phép bất cứ người dùng bên ngoài nào trong mạng. Vì mọi yêu cầu đến Internet server đều tạo ra phản hồi, proxy server phải cho phép lượng giao thông quay về, nhưng nó thực hiện điều này bằng cách chỉ cho phép lượng lưu thông là một phản hồi nào đó của người dùng trong mạng. Các loại proxy server khác cung cấp dịch vụ chuyển tiếp an toàn theo cả hai chiều. Proxy server còn có thể cung cấp dịch vụ cache cho ngưòi dùng trong mạng. Nó lưu trữ thông tin về các nơi (site) để người dùng truy cập nhanh hơn. Khi người dùng truy cập đến những nơi nầy, thông tin được lấy từ vùng cache đã lưu trữ trước đó. Có hai loại proxy server: Proxy server mức – mạng: Loại proxy server này cung cấp kết nối (có điều khiển) giữa các hệ thống bên trong và ngoài. Có một mạch ảo giữa người dùng bên trong và proxy server. Các yêu cầu Internet đi qua mạch này đến proxy server, và proxy server chuyển giao yêu cầu này đến Internet sau khi thay đổi địa chỉ IP. Người dùng ngoài chỉ thấy địa chỉ IP của proxy server. Các phản hồi được proxy server nhận và gởi đến người dùng thông qua mạch ảo. Mặc dù lượng lưu thông được phép đi qua, các hệ thống ngoài không bao giờ thấy được hệ thống bên trong. Loại kết nối này thường được dùng để kết nối người dùng trong mạng “được ủy thác” với Internet. Proxy server mức – ứng dụng: cung cấp tất cả các chức năng cơ bản của proxy server và còn phân tích các gói dữ liệu. Khi các gói từ bên ngoài đến cổng này, chúng được kiểm tra và đánh giá để xác định chính sách an toàn có cho phép gói này đi vào mạng nội bộ hay không. Proxy server không chỉ đánh giá địa chỉ IP, nó còn nhìn vào dữ liệu trong gói để ngăn những kẻ đột nhập cất dấu thông tin trong đó. Để ý rằng có “một khoảng trống” ảo tồn tại trong bức tường lửa giữa mạng nội bộ và mạng bên ngoài, và các khoảng trống này được nối bằng các phần tử đại diện cho người dùng nội bộ hoặc ngoài. Phải cài đặt từng proxy riêng lẻ cho mỗi dịch vụ mức ứng dụng. Với các proxy server, các chính sách an toàn mạnh hơn và mềm dẻo hơn nhiều vì tất cả thông tin trong các gói được người điều hành sử dụng đã ghi các luật xác định cách xử lý các gói. Có thể giám sát dễ dàng mọi việc xảy ra trên proxy server. Cũng có thể bỏ các tên máy tính để che dấu hệ thống bên trong, và có thể đánh giá nội dung của các gói dữ liệu vì mục đích hợp lý và an toàn. Tính “hợp lý” là một tùy chọn thú vị. Có thể thiết lập bộ lọc để loại bỏ mọi bản tin điện tử có nội dung xấu. Một trong những vấn đề với proxy server là nó phải đánh giá một lượng lớn thông tin trong một lượng lớn các gói dữ liệu. Ngoài ra, phải cài đặt từng proxy cho mỗi ứng dụng. Điều này ảnh hưởng đến hiệu suất và làm tăng chi phí. Với kỹ thuật kiểm tra trạng thái, các mẫu bit của gói dữ liệu được so sánh với các gói “tin cậy” đã biết. Ví dụ, nếu truy cập một dịch vụ bên ngoài, proxy server sẽ nhớ mọi thứ và yêu cầu ban đầu, như số hiệu cổng, địa chỉ nguồn và đích. Cách “nhớ” này được gọi là lưu trạng thái. Khi hệ thống bên ngoài phản hồi yêu cầu của người sử dụng, firewall sẽ so sánh các gói nhận được với trạng thái đã lưu để xác định chúng được phép vào hay không. Proxy server mức ứng dụng cung cấp các proxy điều khiển truy cập qua bức tường lửa theo một cách duy nhất. Chúng hiểu rõ các giao thức của ứng dụng được phép vận hành qua lại thông qua gateway, và quản lý toàn bộ luợng lưu thông vào và ra, trong trường hợp không thể dùng bộ định tuyến kiểm tra. 2.2.2.2 Cơ chế hoạt động của Firewall: Firewall thường được mô tả như là hệ phòng thủ bao quanh, với các “chốt” để kiểm soát tất cả các luồng lưu thông nhập và xuất. Giống như hệ phòng thủ xung quanh các lâu đài thời trung cổ. Các hào và tường tạo nên hệ phòng thủ, còn các phòng gác ở cổng và các cửa kéo là các “chốt”, ở đó mọi người phải đi qua khi vào và ra khỏi lâu đài. Có thể theo dõi và khóa truy cập tại các chột này. Các mạng dùng riêng nối với Internet thường bị đe dọa bởi những kẻ tấn công. Để bảo vệ hệ dữ liệu bên trong, người ta xây dựng hệ thống phòng thủ gồm dây thép, hào, dầu nóng và những thứ khác để đẩy lùi những kẻ phá rối. Nhưng mối đe dọa thật sự là những kẻ đi qua các bức tường vào ban đêm và qua được mọi vật cản để đến đích tấn công. Nếu bức tường lửa giống như lâu đài, người dùng được hợp thức hóa để truy cập ở mức độ nào, và họ được làm gì một khi vào được bên trong? Dĩ nhiên mọi bức tường lửa đều cần tìm cách nào đó để cho phép người dùng hợp lệ đi qua và chặn lại những người dùng bất hợp lệ. Dưới thời trung cổ, những thị dân và thương gia được phép vào sân chợ trong lâu đài tương đối dễ dàng để có thể mua bán hàng hóa. Vào ban đêm, cổng được khóa và hàng hóa được cất trong lâu đài – thường có đội tuần tra. Trong khi hầu như mọi người đều có thể vào sân chợ nhưng chỉ có những người được ủy thác và có thư ủy nhiệm mới được vào vùng bên trong lâu đài. Trong vùng các bức tường này có lực lượng tăng cường là mức bảo vệ cuối cùng chống kẻ tấn công. Tương tự như thế, các máy chủ web và FTP của bạn nằm ở “sân chợ”, nơi được kết nối vào Internet để cho phép truy cập công cộng. Đằng sau hệ thống này là mạng dùng riêng, cần phải bảo vệ. Giống như hệ phòng thủ nhiều vòng của lâu đài, có thể cài đặt nhiều thiết bị bức tường lửa để ngăn chặn những kẻ tấn công vào mạng. Các thiết bị “kẽm gai” sẽ báo trước khi có kẻ gian nhảy qua đường hào và leo lên tường. Đây là nơi mà các router được dùng cùng với bức tường lửa của bạn. Trong thời bình, trước khi được gặp gỡ người cai trị lâu đài, thị dân, thương gia, và những chức sắc đến từ vùng khác đều phải qua những cuộc khám xét gắt gao. Nếu tình hình chính trị căng thẳng, người cai trị không muốn gặp trực tiếp khách, người ta chọn cho những người khách gặp người đại diện và người này chuyển tin qua lại giữa hai bên. Firewall cũng tiến hành lọc gói (packet-filtering) bằng phương pháp khám xét tận đáy (strip search). Các gói dữ liệu trước hết được kiểm tra, sau đó được trả lại hoặc cho phép đi vào theo một số điều kiện nhất định. Một dịch vụ ủy thác (proxy service) hoạt động như là người đại diện cho những người dùng cần truy cập hệ thống ở bên kia bức tường lửa. nhớ các đặc trưng của bất cứ gói tin nào ra khỏi mạng và chỉ cho phép quay trở lại theo những đặc trưng này. 2.2.3. Phân loại Firewall và cách lựa chọn Firewall: 2.2.3.1. Phân loại Firewall: Firewall có thể được phân thành bốn loại như sau: Lọc gói tin: Loại Firewall này cho phép việc điều khiển truy cập tại lớp IP và hoặc chấp nhận, từ chối hoặc loại bỏ các gói tin dựa trên một nguồn chính, những địa chỉ của mạng đích và các loại chương trình ứng dụng. Loại Firewall này cung cấp độ bảo mật ở mức đơn giản với giá thành tương đối rẻ. Những Firewall loại này cũng cung cấp sự thực thi ở mức cao và thường rõ ràng đối với người sử dụng. Nhược điểm của Firewall lọc gói tin: Dễ bị làm hại khi những kẻ tấn công nhắm vào những thủ tục ở mức cao hơn thủ tục mức mạng, là những thủ tục chúng hiểu. Vì không phải quản trị viên nào cũng có những hiểu biết chi tiết về kỹ thuật của thủ tục ở mức mạng nên Firewall loại này thường quá khó để định hình và kiểm tra. Đây là thứ làm tăng rủi ro cho hệ thống. Không thể che dấu cấu trúc của mạng cá nhân, vì vậy, mạng cá nhân sẽ bị phơi bày với thế giới bên ngoài. Loại này có khả năng kiểm định rất giới hạn, và như ta đã biết, việc kiểm định chính là lỗ hổng chính trong chính sách bảo mật mạng. Không phải tất cả các chương trình ứng dụng trên mạng Internet được Firewall loại này hỗ trợ. Firewall loại này không luôn hỗ trợ cho một số điều khoản của chính sách bảo mật như việc thẩm định quyền và điều khiển truy cập giới hạn thời gian trong ngày. Firewall mức ứng dụng: Firewall loại này cho phép điều khiển truy cập tại lớp ứng dụng. Vì vậy, có hoạt động như những Gateway mức ứng dụng giữa hai mạng. Vì nó thực hiện các chức năng tại lớp ứng dụng nên chúng có khả năng kiểm tra sự lưu thông một cách chi tiết, khiến chúng an toàn hơn so với Firewall lọc gói tin. Loại này thường chậm hơn loại Firewall lọc gói tin vì chính sự khảo sát kỹ lưỡng việc lưu thông của chúng. Vì vậy, để đạt được những mục đích của chính sách, chúng giới hạn và yêu cầu người sử dụng bình thường hoặc thay đổi nhu cầu sử dụng hoặc sử dụng những phần mềm đặc biệt. Firewall loại này không dễ hiểu đối với người sử dụng. Ưu điểm: Vì chúng hiểu được thủ tục ở lớp mạng nên chúng có thể chống lại tất cả những kẻ tấn công. Thường dễ dàng hơn rất nhiều khi định hình so với Firewall loại lọc gói tin, vì không đòi ta phảI biết chi tiết về thủ tục của những mức dưói. Chê dấu được cấu hình mạng cá nhân. Có đầy đủ điều kiện để thẩm định cùng các công cụ nhằm kiểm soát sự lưu thông và vận dụng những file chứa thông tin như địa chỉ mạng nguồn và đích, loại chương trình ứng dụng, xác minh người sử dụng và password, bắt đầu và kết thúc thời gian truy cập, số byte thông tin được truyền đi. Chúng có thể hỡ trợ hơn cho chính sách bảo mật bao gồm sự thẩm định người sử dụng có quyền ở mức nào và điều khiển truy cập giới hạn thời gian trong ngày. Hybrid Firewall: Vì nhận ra được một số nhược điểm của hai loại Firewall trên, một số nhà cung cấp đã giới thiệu Firewall Hybrid, loại này chứa những kỹ thuật của cả hai loại trên. Chúng khắc phục được gần hết các nhược điểm ở trên nhưng vì vẫn tin và dùng phương pháp lọc gói tin để hỗ trợ những ứng dụng nhất định nên Firewall loại này có chung những nhược điểm bảo mật. Firewall mức ứng dụng thế hệ thứ hai: Vẫn là Firewall mức ứng dụng, chỉ khác là loại này dễ dàng giải quyết vấn đề của phiên bản trước mà không làm ảnh hưởng tới khả năng thực thi. Những ưu điểm của Firewall loại này: Có thể sử dụng như một firewall cho mạng Intranet vì khả năng thực thi dễ dàng và tổng quát hơn của chúng. Có thể cung cấp đầy đủ địa chỉ mạng cần chuyển dữ liệu tới, thêm vào đố là cấu hình mạng được che dấu. Có thể hỗ trợ những phương pháp thẩm định mức người sử dụng có quyền tiên tiến hơn. 2.2.3.2. Lựa chọn Firewall: Trước khi lựa chọn sử dụng các sản phẩm của Firewall, cần phát triển chính sách bảo mật chung, rồi sau đó lựa chọn Firewall có thể sử dụng để thực hiện chính sách đã chọn. Cần cẩn thận khi đánh giá các Firewall, phải hiểu kỹ thuật cơ bản đã sử dụng trong Firewall vì một số kỹ thuật Firewall có độ bảo mật kém hươn các loại khác. Khái niệm về Firewall sẽ không đổi nên cần đánh giá Firewall dựa trên mức bảo mật và việc thi hành các chức năng được yêu cầu. Khi nói đến những chức năng bảo mật thì nghĩa là đang nói về khả năng mà sản phẩm firewall này có để chia sự bảo mật đến đâu và có phù hợp với các mục tiêu và chính sách bảo mật. Một số đặc điểm cần tìm hiểu ở Firewall: Sự đảm bảo an toàn. Đặc quyền: mức độ để hạn chế những cái mà sản phẩm có thể áp đặt người sử dụng truy cập. Sự thẩm định: loại điều khiển truy cập nào sản phẩm cung cấp? Nó có hỗ trợ việc cấp quyền? Đó là những kỹ thuật thẩm định. Những kỹ thuật này bao gồm những chức năng bảo mật như thẩm định việc truy cập mạng máy tính nguồn/ đích, thẩm định password, những cạc điều khiển truy cập, và các thiết bị kiểm tra vân tay. Kiểm định các khả năng: Khả năng của sản phẩm để kiểm soát sự lưu thông mạng, bao gồm những cố gắng truy cập không hợp lệ, nhứng thâm nhập phát sinh và cung cấp những thông báo và những tín hiệu thống kê. Những đặc điểm mà một sản phẩm Firewall tốt cần đạt: Linh hoạt: Firewall cần được mở rộng đủ để phù hợp với chính sách bảo mật, cũng như cho phép thay đổi những chức năng. Hãy nhớ là, chính sách bảo mật hiếm khi thay đổi nhưng các thủ tục bảo mật luôn được xem xét lại, đặc biệt khi có những chương trình ứng dụng mới của mạng Internet và Web – centric. Khả năng thực thi: Firewall cần đủ nhanh để người sử dụng không cảm thấy sự hiển thị các gói tin. Khối lượng dữ liệu đưa vào và tốc độ truyền được kết hợp với sản phẩm phải đủ hợp lý, phù hợp với giảI thông trên Internet. Khả năng phân cấp: Firewall có thể phân cấp không? Sản phẩm sẽ cho phép sửa lại cho hợp với nhiều nấc và nhiều khoảng cách trong phạm vi mạng được bảo vệ. Điều này gồm Oss, các thiết bị và cấu hình bảo mật. Những thứ người sử dụng cần. Dễ sử dụng: sản phẩm Firewall cần có giao diện người – máy đồ hoạ làm đơn giản công việc khởi động, cấu hình và quản lý. Rõ ràng: nếu ta sử dụng một cấu hình lộn xộn, những người sử dụng sẽ phản đối nó và không sử dụng nữa. Ngược lại, một Firewall rõ ràng và thân thiện với người sử dụng sẽ hỗ trợ ta rất nhiều trong việc sử dụng nó một cách thích hợp. Hỗ trợ khách hàng: hỗ trợ về cài đặt, sử dụng và bảo dưỡng. Tổ chức các lớp hướng dẫn giúp người sử dụng thành thạo các kỹ thuật. 2.2.4. Những hạn chế của Firewall Bên cạnh những lợi ích của firewall, vẫn có những bất lợi chẳng hạn như firewall không có khả năng bảo vệ mạng khỏi sự tấn công từ bên trong (back-doors treats), dễ bị tấn công bởi các hacker ở trong mạng, hạn chế một số truy cập. 2.5.1. Hạn chế truy cập: Firewall sẽ dường như cấm truy nhập tới một số dịch vụ nhất định mà người dùng có nhu cầu như Telnet, FTP, NFS, . Hạn chế này không phảI chỉ do mình Firewall gây ra, mà là do các sự truy cập còn bị ngăn chặn tại các lớp máy chủ do các chính sách bảo mật tại các máy trạm. 2.5.2. Back-Door Challenges: Mối đe doạ của modem Khi sử dụng Modem, ta thường nối trực tiếp với internet và