ĐỊNH NGHĨA HỆ THỐNG BẢO VỆ & NGĂN CHẶN XÂM NHẬP (THIẾT BỊ FIREWALL, THIẾT BỊ IDS, THIẾT BỊ IPS)

Các giải pháp phát hiện, bảo vệ và ngăn chặn xâm nhập như: Giải pháp tường lửa, giải pháp phát hiện xâm nhập (IDS) và giải pháp ngăn chặn xâm nhập (IPS).

Định nghĩa Firewall:

• Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hoả hoạn. Trong công nghệ mạng thông tin, Firewall là một kỹ thuật đ­ược tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống. Cũng có thể hiểu Firewall là một cơ chế (mechanism) để bảo vệ mạng tin tư­ởng (Trusted network) khỏi các mạng không tin t­ưởng (Untrusted network).
• Thông thư­ờng Firewall đ­ợc đặt giữa mạng bên trong (Intranet) của một công ty, tổ chức, ngành hay một quốc gia, và Internet. Vai trò chính là bảo mật thông tin, ngăn chặn sự truy nhập không mong muốn từ bên ngoài (Internet) và cấm truy nhập từ bên trong (Intranet) tới một số địa chỉ nhất định trên Internet.
• Mọi Firewall đều phải có ít nhất hai giao tiếp mạng, một đầu ra nối với hệ thống mạng cần bảo vệ, một đầu vào nối với hệ thống mạng bên ngoài. Nó có thế ở gateway, bridge.
• Network firewall được thiết kế để bảo vệ các host trong mạng trước sự tấn công. Một số ví dụ về appliance-based network firewalls như Cisco PIX, Cisco ASA, Juniper NetScreen firewall, Nokia firewalls, Symantec’s Enterprise Firewall. Và một số ví dụ về software-base firewalls include Check Point’s Firewall, Microsoft ISA Server, Linux-based IPTables, Sophos UTM (trước đây là Astaro Secure Gateway).
• REPORT THIS AD
• Hầu hết các firewall thương mại đều được tích hợp các tính năng thêm như VPN, phát hiện xâm nhập và khả năng kiểm tra sâu bên trong gói tin. Trong khi đó, các firewall mã nguồn mở chỉ tập trung vào việc lọc các gói tin mà không tích hợp thêm các chứng năng khác và nhường chổ các chức năng này cho các phần mềm khác.

Thiết bị Firewall được phân chia làm theo nhiều tiêu chí:

• Tường lửa cá nhân và tưởng lửa hệ thống
• Lọc tại tầng mạng hay tầng ứng dụng
• Thiết bị firewall cứng và firewall mềm

Software firewalls

• Software firewalls – firewall mềm – là những firewall được cài đặt trên một hệ điều hành. Firewall mềm bao gồm các sản phẩm như SunScreen firewall, IPF, Microsoft ISA server, Check Point NG, Linux’s IPTables …Firewall mềm thường đảm nhận nhiều vai trò hơn firewall cứng, nó có thể đóng vai trò như một DNS server hay một DHCP server.
• Một nhược điểm của firewall mềm là nó được cài đặt trên một hệ điều hành và do đó khả năng có lỗ hổng trên hệ điều hành này là có thể xẩy ra. Khi lỗ hổng được phát hiện và được cập nhật bản vá lỗi, rất có thể sau khi cập nhật bản vá lỗi cho hệ điều hành thì firewall không hoạt động bình thường như trước, do đó cần tiến hành cập nhật bản vá cho firewall từ nhà cung cấp sản phẩm firewall.

REPORT THIS AD

• Một ưu điểm nổi trội của firewall mềm là việc thay đổi và nâng cấp thiết bị phần cứng là tương đối dễ dàng và nhanh chóng.
• Do hệ điều hành mà firewall mềm chạy trên nó không được thiết kế tối ưu cho firewall nên firewall mềm có hiệu suất thấp hơn firewall cứng.

Appliance firewalls

• Appliance firewalls – firewall cứng – là những firewall được tích hợp sẵn trên các phần cứng chuyên dụng, thiết kế dành riêng cho firewall. Các sản phẩm firewall cứng đáng chú ý như Cisco PIX, NetScreen firewall, SonicWall Appliaces, WatchGuard Fireboxes, Nokia firewall…
• Trong nhiều trường hợp firewall cứng cung cấp hiệu suất tốt hơn so firewall mềm vì hệ điều hành của firewall cứng được thiết kế để tối ưu cho firewall.
• Lợi ích điển hình khi sử dụng firewall cứng là hiệu suất tổng thể tốt hơn firewall mềm, tính bảo mật được nâng cao, tổng chi phí thấp hơn so với firewall mềm.
• Firewall cứng không được linh hoạt như firewall mềm (không thể thêm chức năng, thêm các quy tắc như trên firewall mềm)
• Hạn chế của firewall cứng là khả năng tích hợp thêm các chức năng bổ sung khó khăn hơn firewall mềm, chẳng hạn như chức năng kiểm soát thư rác đối với firewall mềm chỉ cần cài đặt chức năng này như một ứng dụng còn đối với firewall cứng phải có thiết bị phần cứng hỗ trợ cho chức năng này.

REPORT THIS AD

Integrated firewalls

• Integrated firewalls – firewall tích hợp – ngoài chức năng cơ bản của firewall thì nó còn đảm nhận các chức năng khác như VPN, phát hiện phòng chống xâm nhập, lọc thư rác, chống virus. Lợi ích của việc dùng firewall tích hợp là đơn giản hóa thiết kế mạng bằng cách giảm lượng thiết bị mạng cũng như giảm chi phí quản lý, giảm gánh nặng cho các chuyên viên quản trị, ngoài ra nó còn tiết kiệm chi phí hơn so với việc dùng nhiều thiết bị cho nhiều mục đích khác nhau.
• Tuy nhiên việc tích hợp nhiều chức năng trên cùng một thiết bị dẫn đến khó khăn trong khắc phục sự cố vì tính phức tạp của hệ thống khi tích hợp.

1, Linux IPtables – Firewall mềm/mã nguồn mở.

• Iptables Linux firewall được sử dụng để theo dõi lưu lượng truy cập đến và đi ở một máy chủ và lọc nó dựa trên các rules do người dùng định nghĩa trước đó để ngăn chặn bất cứ ai truy cập vào hệ thống. Sử dụng Iptables, bạn có thể định nghĩa các rules chỉ cho phép lưu lượng được chọn lọc trên máy chủ của bạn. Trong bài hướng dẫn này, bạn sẽ học được cách làm thế nào để bảo vệ ứng dụng web bằng cách sử dụng Iptables.
• Tất cả các dữ liệu được gửi đi trong các gói tin được định dạng qua internet. Linux kernel cung cấp một giao diện để lọc cả các gói tin đi vào và ra sử dụng một bảng các bộ lọc gói tin. Iptables là một ứng dụng dòng lệnh và là một bức tường lửa Linux mà bạn có thể sử dụng để thiết lập, duy trì và kiểm tra các bảng này. Bạn có thể thiết lập nhiều bảng khác nhau, mỗi bảng có thể chứa nhiều chuỗi, mỗi một chuỗi là một bộ quy tắc. Mỗi quy tắc định nghĩa phải làm gì với gói tin nếu nó phù hợp với gói đó. Khi một gói tin được xác định, nó sẽ đưa ra một TARGET. Một target (mục tiêu) có thể là một chuỗi khác để khớp với một trong các giá trị đặc biệt sau đây:

-  ACCEPT: gói tin sẽ được phép đi qua.

-  DROP: gói tin sẽ không được phép đi qua.

-  RETURN: bỏ qua chuỗi hiện tại và quay trở lại quy tắc tiếp theo từ chuỗi mà nó được gọi.

Trong phạm vi của bài hướng dẫn iptables này, chúng ta sẽ làm việc với một trong những bảng mặc định được gọi là bộ lọc. Bảng bộ lọc có ba chuỗi bộ quy tắc.

-  INPUT: được sử dụng để điều khiển các gói tin đến tới máy chủ. Bạn có thể chặn hoặc cho phép kết nối dựa trên cổng, giao thức hoặc địa chỉ IP nguồn.

-  FORWARD: được sử dụng để lọc các gói dữ liệu đến máy chủ nhưng sẽ được chuyển tiếp ở một nơi khác.

-  OUTPUT: được sử dụng để lọc các gói tin đi ra từ máy chủ của bạn.

2, Firewall Juniper SSG-350M-SH – Firewall cứng (tích hợp)/mã nguồn đóng

• Firewall Juniper SSG-350M-SH là dòng sản phẩm thế hệ tiếp theo hỗ trợ phù hợp cho các doanh nghiệp vừa và nhỏ hoặc các chi nhánh với chi phí hiệu quả đáp ứng nhu cầu an ninh định tuyến.

Tính năng cơ bản:

• Kiểm soát truy cập (Access Control)
• Bảo vệ phần mềm độc hại (Malware Protection)
• Phân đoạn vùng bảo mật (Security Zone Segmentation)
• Quét Worm (Worm Scanning)
• Trojan Horse
• Phát hiện tấn công mạng (Network Attack Detection)
• Từ chối Dịch vụ (DoS)
• Distributed Denial of Service (DDoS)
• Tập hợp lại TCP để bảo vệ gói tin phân mảnh (TCP Reassembly for Fragmented Packet Protection)
• Giảm nhẹ tấn công Brute Force Attack (Brute Force Attack Mitigation)
• Giả mạo IP (IP Spoofing)
• Tấn công gói không hợp lệ (Malformed Packet Attack)
• Phòng chống tấn công Replay (Replay Attack Prevention)

3, Firewall Cisco ASA 5508-X – Firewall cứng (tích hợp)/mã nguồn đóng.

4, Firewall FortiGate 100D – Firewall cứng (tích hợp)/mã nguồn đóng

• Tường lửa FortiGate 100D là một giải pháp an ninh lý tưởng cho các doanh nghiệp vừa và nhỏ hoặc các văn phòng chi nhánh từ xa kết nối tới trung tâm. Nó kết hợp tường lửa, IPSec và SSL VPN, kiểm soát ứng dụng, phòng chống xâm nhập, chống virus, malware, antispam, an ninh P2P, và web lọc vào một thiết bị duy nhất.
• Để phù hợp với pháp luật và đảm bảo các dữ liệu có giá trị đi qua mạng, doanh nghiệp vừa và nhỏ và các văn phòng chi nhánh ở xa cần một giải pháp bảo mật tích hợp nhiều công nghệ nhận dạng tấn công vào một thiết bị duy nhất.

Tính năng cơ bản:

• Stateful Firewall: ngăn chặn các truy cập trái phép, phân vùng truy cập.
• IPsec & SSL VPN: cung cấp các kết nối bảo mật đến những tài nguyên đặc biệt.
• Phòng chống xâm nhập tường lửa ứng dụng (Intrusion Prevention Application Firewall): ngăn chặn việc khai thác các lỗ hổng bảo mật; thấu hiểu các giao thức, kiểm soát tốt hơn các ứng dụng.
• Xác thực VPN (VPN Authentication)
• Xác thực Firewall (Firewall Authentication)
• Bảo vệ phần mềm độc hại (Malware Protection)
• Chặn P2P (P2P Blocking)
• Antivirus/ Antispyware: ngăn các nội dung độc hại lan truyền trong mạng.
• Lọc nội dung Web (Web Content Filtering): ngăn cấm truy xuất đến những địa chỉ đáng ngờ, lừa đảo, spam hoặc chứa nội dung độc hại hoặc chứa các nội dung vi phạm chính sách bảo mật của tổ chức.
• Đánh giá tổn thương (Vulnerability Assessment)
• Chống thư rác (Anti-spam): lọc và loại bỏ các thư rác.
• Chống lừa đảo (Anti-phishing)
• Bảo vệ tấn công đa luồng (Multivector Attack Protection)
• FortiGate kiểm soát các hiểm họa trong mạng bằng một tập khai báo gọi là UTM profiles. Thật ra UTM profiles là tập hợp các profiles cho từng hiểm họa hoặc đối tượng mà FortiGate cần kiểm soát, ví dụ như DoS, các tấn công xâm nhập, Antispam, ứng dụng …