Tường lửa cho giáo dục. Tường lửa hoặc tường lửa

Số lượng các sự cố liên quan đến an toàn thông tin, theo các cơ quan phân tích hàng đầu, không ngừng gia tăng. Các chuyên gia chịu trách nhiệm về bảo mật thông tin lưu ý hoạt động ngày càng tăng của những kẻ tấn công bên ngoài bằng cách sử dụng những phát triển mới nhất trong lĩnh vực tấn công, cố gắng xâm nhập vào mạng công ty để thực hiện các hành động “bẩn” của chúng.

Số lượng các sự cố liên quan đến an toàn thông tin, theo các cơ quan phân tích hàng đầu, không ngừng gia tăng. Các chuyên gia chịu trách nhiệm về bảo mật thông tin lưu ý hoạt động ngày càng tăng của những kẻ tấn công bên ngoài bằng cách sử dụng những phát triển mới nhất trong lĩnh vực tấn công, cố gắng xâm nhập vào mạng công ty để thực hiện các hành động “bẩn” của chúng. Chúng không bị giới hạn trong việc đánh cắp thông tin hoặc vô hiệu hóa các nút mạng. Việc các mạng bị tấn công được sử dụng để khởi động các cuộc tấn công mới không phải là điều hiếm gặp. Vì vậy, bảo vệ vành đai của hệ thống thông tin là yếu tố bắt buộc trong hệ thống bảo mật thông tin của tổ chức.

Đồng thời, để xác định thành phần của các thành phần bảo vệ vành đai mang lại mức độ bảo mật thông tin tối thiểu (ban đầu), cần phân tích các mối đe dọa phổ biến nhất đối với tài nguyên thông tin của tổ chức:
các cuộc tấn công mạng nhằm mục đích làm cho tài nguyên thông tin không khả dụng (ví dụ: máy chủ web, dịch vụ email, v.v.) - các cuộc tấn công DoS và DDoS;
xâm phạm tài nguyên thông tin và leo thang đặc quyền của cả người trong cuộc và kẻ tấn công bên ngoài, nhằm mục đích sử dụng tài nguyên của bạn và nhằm mục đích gây thiệt hại;
hành động của mã phần mềm độc hại (vi-rút, sâu mạng, Trojan, phần mềm gián điệp, v.v.);
rò rỉ thông tin bí mật và đánh cắp dữ liệu qua mạng (e-mail, FTP, web, v.v.) và qua phương tiện bên ngoài;
các cuộc tấn công mạng khác nhau vào các ứng dụng.

Để giảm thiểu các mối đe dọa bảo mật thông tin, cần triển khai tường lửa ở các cấp độ khác nhau của mô hình OSI, như được trình bày trong bảng.

Bàn. Tường lửa và mô hình OSI

Hoạt động của tất cả các tường lửa đều dựa trên việc sử dụng thông tin từ các cấp độ khác nhau của mô hình OSI (bảng). Mô hình OSI, do Tổ chức Tiêu chuẩn hóa Quốc tế phát triển, xác định bảy lớp mà tại đó các hệ thống máy tính tương tác với nhau, từ cấp độ phương tiện truyền dẫn vật lý đến cấp độ chương trình ứng dụng được sử dụng để liên lạc. Nói chung, cấp độ của mô hình OSI mà tường lửa lọc các gói càng cao thì mức độ bảo vệ mà nó cung cấp càng cao.

Có thể chọn các phương pháp giám sát lưu lượng sau đây giữa mạng cục bộ và mạng bên ngoài:
1. Lọc gói- dựa trên việc thiết lập một bộ bộ lọc. Tùy thuộc vào việc gói đến có thỏa mãn các điều kiện được chỉ định trong bộ lọc hay không, nó sẽ được chuyển vào mạng hoặc bị loại bỏ.
2. Lớp bộ định tuyến này là trình dịch kết nối TCP. Cổng chấp nhận yêu cầu của khách hàng được ủy quyền đối với các dịch vụ cụ thể và sau khi xác minh rằng phiên được yêu cầu là hợp lệ, sẽ thiết lập kết nối đến đích (máy chủ bên ngoài). Sau đó, cổng sao chép các gói theo cả hai hướng mà không lọc chúng. Theo quy định, đích đến được chỉ định trước, trong khi có thể có nhiều nguồn. Sử dụng các cổng khác nhau, bạn có thể tạo nhiều cấu hình kết nối khác nhau. Loại cổng này cho phép bạn tạo trình dịch kết nối TCP cho bất kỳ dịch vụ dựa trên TCP nào do người dùng xác định, kiểm soát quyền truy cập vào dịch vụ này và thu thập số liệu thống kê về việc sử dụng nó.
3. Máy chủ proxy- một thiết bị máy chủ proxy bổ sung được cài đặt giữa mạng cục bộ và mạng bên ngoài, đóng vai trò như một “cổng” mà qua đó tất cả lưu lượng truy cập vào và ra phải đi qua. Kiểm tra nhà nước- kiểm tra lưu lượng truy cập đến là một trong những cách tiên tiến nhất để triển khai tường lửa. Kiểm tra có nghĩa là không phân tích toàn bộ gói mà chỉ phân tích phần khóa đặc biệt của nó và so sánh nó với các giá trị đã biết trước đó từ cơ sở dữ liệu về các tài nguyên được phép. Phương pháp này cung cấp hiệu suất tường lửa cao nhất và độ trễ thấp nhất.

Nguyên lý hoạt động của tường lửa dựa trên việc kiểm soát lưu lượng truy cập đến từ bên ngoài.

Tường lửa có thể được triển khai bằng phần cứng hoặc phần mềm. Việc triển khai cụ thể phụ thuộc vào quy mô của mạng, lưu lượng truy cập và các tác vụ được yêu cầu. Loại tường lửa phổ biến nhất là phần mềm. Trong trường hợp này, nó được triển khai dưới dạng một chương trình chạy trên PC cuối hoặc thiết bị mạng biên, chẳng hạn như bộ định tuyến. Trong trường hợp triển khai phần cứng, tường lửa là một thành phần mạng riêng biệt, thường có khả năng hoạt động cao hơn nhưng thực hiện các tác vụ tương tự.

Tường lửa cho phép bạn định cấu hình các bộ lọc chịu trách nhiệm truyền lưu lượng truy cập theo các tiêu chí sau:
1. Địa chỉ IP. Như bạn đã biết, mọi thiết bị đầu cuối hoạt động qua giao thức IP đều phải có một địa chỉ duy nhất. Bằng cách chỉ định một địa chỉ nhất định hoặc một phạm vi nhất định, bạn có thể cấm nhận các gói từ chúng hoặc ngược lại, chỉ cho phép truy cập từ các địa chỉ IP này.
2. Tên miền. Như bạn đã biết, một trang web trên Internet, hay đúng hơn là địa chỉ IP của nó, có thể được gán một tên gồm chữ và số, dễ nhớ hơn nhiều so với một tập hợp số. Do đó, bộ lọc có thể được cấu hình để chỉ cho phép lưu lượng truy cập đến/từ một trong các tài nguyên hoặc từ chối quyền truy cập vào tài nguyên đó.
3. Hải cảng. Chúng ta đang nói về các cổng phần mềm, tức là. các điểm truy cập ứng dụng tới các dịch vụ mạng. Ví dụ: ftp sử dụng cổng 21 và các ứng dụng xem trang web sử dụng cổng 80. Điều này cho phép bạn từ chối quyền truy cập từ các dịch vụ và ứng dụng mạng không mong muốn hoặc ngược lại, chỉ cho phép truy cập vào chúng.
4. Giao thức. Tường lửa có thể được cấu hình để cho phép dữ liệu từ chỉ một giao thức đi qua hoặc từ chối quyền truy cập bằng cách sử dụng nó. Thông thường, loại giao thức có thể chỉ ra các tác vụ được thực hiện bởi ứng dụng mà nó sử dụng và tập hợp các tham số bảo mật. Bằng cách này, quyền truy cập có thể được cấu hình để chỉ chạy một ứng dụng cụ thể và ngăn chặn quyền truy cập nguy hiểm tiềm tàng bằng cách sử dụng tất cả các giao thức khác.

Được liệt kê ở trên chỉ là các thông số chính có thể được cấu hình. Các cài đặt bộ lọc dành riêng cho mạng khác cũng có thể được áp dụng, tùy thuộc vào tác vụ được thực hiện trên mạng đó.

Do đó, tường lửa cung cấp một bộ nhiệm vụ toàn diện để ngăn chặn truy cập trái phép, làm hỏng hoặc đánh cắp dữ liệu hoặc các tác động tiêu cực khác có thể ảnh hưởng đến chức năng của mạng. Thông thường, tường lửa được sử dụng cùng với các công cụ bảo mật khác, chẳng hạn như phần mềm chống vi-rút.

Tạo chính sách lọc cho tường lửa
Có hai cách chính để tạo bộ quy tắc tường lửa: "bao gồm" và "độc quyền". Tường lửa loại trừ cho phép tất cả lưu lượng truy cập đi qua, ngoại trừ lưu lượng truy cập phù hợp với một bộ quy tắc. Tường lửa bao gồm thực hiện điều ngược lại. Nó chỉ cho phép lưu lượng truy cập phù hợp với quy tắc và chặn mọi thứ khác.

Tường lửa bao gồm cung cấp mức độ kiểm soát cao hơn nhiều đối với lưu lượng đi. Do đó, tường lửa kích hoạt là lựa chọn tốt nhất cho các hệ thống cung cấp dịch vụ trên Internet. Nó cũng kiểm soát loại lưu lượng được tạo ra bên ngoài và hướng đến mạng riêng của bạn. Lưu lượng truy cập không tuân theo quy tắc sẽ bị chặn và các mục nhập thích hợp sẽ được thực hiện trong tệp giao thức. Tường lửa toàn diện thường an toàn hơn tường lửa độc quyền vì chúng làm giảm đáng kể nguy cơ tường lửa cho phép lưu lượng truy cập không mong muốn đi qua.

Bảo mật có thể được tăng cường hơn nữa bằng cách sử dụng "tường lửa trạng thái". Tường lửa như vậy lưu trữ thông tin về các kết nối mở và chỉ cho phép lưu lượng truy cập thông qua các kết nối mở hoặc mở các kết nối mới. Nhược điểm của tường lửa trạng thái là nó có thể dễ bị tấn công Từ chối dịch vụ (DoS) nếu nhiều kết nối mới được mở rất nhanh. Hầu hết các tường lửa cho phép kết hợp hành vi có trạng thái và không có trạng thái, cho phép bạn tạo cấu hình tối ưu cho từng hệ thống cụ thể.

Ví dụ: hãy xem xét việc tạo quy tắc lọc trong bộ lọc gói đơn giản. Có một số tùy chọn khả thi khi lọc gói. Đơn giản nhất là lọc địa chỉ; nó bao gồm việc so sánh các địa chỉ trong gói với các địa chỉ được chỉ định trong các quy tắc. Nếu địa chỉ trùng khớp, gói sẽ được chuyển. Sự so sánh này được thực hiện như sau:

1. Bạn có thể xem xét quy tắc sau: tất cả các máy chủ trên mạng 10.1.x.x có thể giao tiếp với các máy chủ trên mạng 10.2.x.x. Quy tắc này được viết như sau:

10.1.0.0 & 255.255.0.0 — 10.2.0.0 & 255.255.0.0
--- Điểm đến gốc --

Bây giờ bạn có thể áp dụng quy tắc cho gói được gửi từ máy chủ 10.1.1.2 đến máy chủ 10.3.7.7. Hãy áp dụng mặt nạ cho cả hai địa chỉ - địa chỉ trong quy tắc và địa chỉ trong gói. Sau đó nó sẽ kiểm tra xem địa chỉ nguồn và đích có giống nhau không. Kết quả là chúng ta sẽ có:

Đối với địa chỉ nguồn:

10.1.0.0 & 255.255.0.0 = 10.1.0.0 (đối với quy tắc)
10.1.1.2 & 255.255.0.0 = 10.1.0.0 (đối với gói)

Sau khi áp dụng mặt nạ, cả hai địa chỉ đều trùng khớp. Bây giờ hãy kiểm tra địa chỉ đích:

10.2.0.0 & 255.255.0.0 = 10.2.0.0 (đối với quy tắc)
10.3.7.7 & 255.255.0.0 = 10.3.0.0 (đối với gói)

Vì địa chỉ đích của gói và quy tắc không khớp nhau sau khi áp dụng mặt nạ nên không nên áp dụng quy tắc này cho gói này.

Hoạt động này được thực hiện trên toàn bộ danh sách địa chỉ nguồn và đích cũng như mặt nạ cho đến khi kết thúc danh sách hoặc cho đến khi gói khớp với một trong các quy tắc. Danh sách các quy tắc có định dạng sau:

10.1.1.2 & 255.255.255.255 — 10.2.0.0 & 255.255.0.0
10.3.3.2 & 255.255.255.255 — 10.1.2.1 & 255.255.255.255
10.1.1.0 & 255.0.0.0 — 10.2.3.0 & 255.255.255.0
10.1.0.0 & 255.255.0.0 — 10.2.0.0 & 255.255.0.0

Ngoài địa chỉ nguồn và đích, mỗi gói IP còn chứa thông tin về giao thức và dịch vụ được sử dụng. Nó có thể được sử dụng như một tham số lọc bổ sung.

Ví dụ: các dịch vụ trong giao thức TCP luôn được liên kết với một cổng. Kết quả là bạn có thể khớp danh sách các cổng với địa chỉ.

Hãy sử dụng hai dịch vụ nổi tiếng làm ví dụ - POP3 và HTTP. POP3 sử dụng cổng 110 và HTTP sử dụng cổng 80. Do đó, chúng ta có thể thêm các cổng này vào mô tả quy tắc. Kết quả là chúng tôi nhận được:

10.1.0.0 & 255.255.0.0 — 10.2.0.0 & 255.255.0.0 TCP 80 110
--- Nguồn ---------- Đích --- Giao thức – Cổng —

Quy tắc này cho phép mọi gói di chuyển từ mạng 10.1.x.x đến mạng 10.2.x.x sử dụng dịch vụ HTTP và POP3 đều đi qua tường lửa.

Đầu tiên, các địa chỉ từ quy tắc được so sánh với các địa chỉ gói. Nếu sau khi áp dụng mặt nạ, cả hai địa chỉ đều khớp nhau thì giao thức và cổng đích trong gói sẽ được so sánh với giao thức và danh sách các cổng được mô tả trong quy tắc. Nếu giao thức khớp và cổng trong quy tắc giống với cổng của gói thì gói đó thỏa mãn quy tắc. Nếu không, việc tìm kiếm sẽ tiếp tục trong danh sách quy tắc.

Với thông tin mới này, bộ quy tắc sẽ có định dạng sau:

10.1.1.2 & 255.255.255.255 — 10.2.0.0 & 255.255.0.0 UDP 53
10.3.3.2 & 255.255.255.255 — 10.1.2.1 & 255.255.255.255 TCP 80
10.1.1.0 & 255.0.0.0 — 10.2.3.0 & 255.255.255.0 TCP 21 20 113
10.1.0.0 & 255.255.0.0 — 10.2.0.0 & 255.255.0.0 ICMP 0 8

Ngoài các thông số lọc cơ bản này, bạn có thể thêm một số thông số khác. Một trong số đó là giao diện mạng nguồn; Sử dụng tên giao diện mạng làm tham số lọc, bạn có thể cho phép các gói có địa chỉ cụ thể chỉ đi qua từ một giao diện nhất định.

Mục đích của quy trình này là để chặn một cuộc tấn công được gọi là giả mạo IP, bản chất của nó là một gói có địa chỉ nguồn sai (từ mạng nội bộ) được gửi đến mạng nội bộ. Bằng cách sử dụng tên giao diện mạng làm tham số, kiểu tấn công này có thể dễ dàng bị chặn. Ví dụ: nếu mạng nội bộ giao tiếp với tường lửa thông qua giao diện de0, thì bạn chỉ cần đặt quy tắc rằng các gói có địa chỉ nguồn từ mạng nội bộ chỉ được chấp nhận nếu chúng đến từ giao diện này; trong tất cả các trường hợp khác chúng sẽ bị loại bỏ.

ở Odnoklassniki

Mục 5. Câu hỏi 8. (53) Tường lửa.

Tường lửa (Firewall) - Đây là một công cụ cục bộ (một thành phần) hoặc phần mềm (phần cứng và phần mềm) được phân phối theo chức năng (phức hợp) thực hiện kiểm soát thông tin đi vào AS và/hoặc rời khỏi AS. ME cung cấp khả năng bảo vệ AS bằng cách lọc thông tin, tức là phân tích của nó theo một bộ tiêu chí và đưa ra quyết định về việc phân phối nó đến (từ) AS dựa trên các quy tắc nhất định, do đó phân định quyền truy cập của các chủ thể từ một AS này đến các đối tượng của AS khác. Mỗi quy tắc cấm hoặc cho phép chuyển thông tin thuộc một loại nhất định giữa chủ thể và đối tượng. Kết quả là, các chủ thể từ một AS chỉ nhận được quyền truy cập vào các đối tượng thông tin được phép từ một AS khác. Việc diễn giải một bộ quy tắc được thực hiện bởi một chuỗi các bộ lọc cho phép hoặc từ chối việc truyền dữ liệu (gói) đến cấp độ bộ lọc hoặc giao thức tiếp theo.

(định nghĩa từ RD ME)

Tường lửa - phần mềm hoặc phần cứng phức tạp cho phép bạn kiểm soát số lượng và chất lượng của các gói mạng đi qua nó ở mức độ bảo mật thích hợp. Tường lửa phân tích lưu lượng truy cập mạng dựa trên một bộ quy tắc cụ thể, theo đó tất cả dữ liệu sẽ được lọc.

(một định nghĩa đơn giản cho việc ghi nhớ, Habr)

Như vậy, nhiệm vụ chính của tường lửa (tường lửa, tường lửa, tường lửa) làbảo vệ các nút tự trị hoặc mạng máy tính dùng chung khỏi sự truy cập trái phép của bên thứ ba, những bên có thể sử dụng dữ liệu cho mục đích riêng của họ hoặc gây ra tác hại không thể khắc phục được cho chủ sở hữu mạng. Đó là lý do tại sao tường lửa còn được gọi là bộ lọc, không cho phép các gói dữ liệu không đáp ứng tiêu chí được chỉ định trong cấu hình đi qua. Lọc lưu lượng mạng có thể được thực hiện ở bất kỳ cấp độ nào của mô hình OSI. Thông tin từ các cấp độ khác nhau có thể được sử dụng làm tiêu chí: số cổng, nội dung trường dữ liệu, địa chỉ người gửi/người nhận.

Cơ quan kiểm soát công nghệ thông tin nhà nước xác định tường lửa cụ thể hơn là một thành phần của hệ thống bảo mật thông tin rộng rãi bao gồm một số tính năng bổ sung để đảm bảo hoạt động hiệu quả của nó. Chủ sở hữu mạng không bắt buộc phải mua tường lửa. Mặc dù thực tế là anh ta hoàn toàn chịu trách nhiệm về sự an toàn của thông tin bí mật, nhưng hiện tại, hệ thống bảo vệ như vậy ở Liên bang Nga chưa được phổ biến ở mức độ phù hợp. Lý tưởng nhất là nó nên được triển khai trong mọi mạng nội bộ để giám sát các luồng thông tin đến/đi suốt ngày đêm. Hệ thống giám sát an ninh thông tin ở một mức độ nào đó hiện đang thay thế các công cụ bảo mật mạng bổ sung, nhưng điều này là chưa đủ để định nghĩa hệ thống bảo mật cá nhân là một bộ phần cứng cấp cao.

(Habr)

Đối với những người tò mò, nó được viết rất hay về các vấn đề chứng nhậnhttp://habrahabr.ru/post/246193/

Bức tường lửa(ME) thực hiện chức năng phân định các luồng thông tin ở ranh giới của hệ thống tự động được bảo vệ. Điều này cho phép:

Tăng tính bảo mật cho các đối tượng trong môi trường bên trong bằng cách bỏ qua các yêu cầu trái phép từ môi trường bên ngoài;

Kiểm soát các luồng thông tin ra môi trường bên ngoài;

Đảm bảo đăng ký quá trình trao đổi thông tin.

Các luồng thông tin được kiểm soát thông qualọc thông tin, I E. phân tích nó dựa trên một bộ tiêu chí và đưa ra quyết định về lan rộng đến hoặc từ AC.

Tùy thuộc vào nguyên tắc hoạt động, có một sốlớp tường lửa. Đặc điểm phân loại chính là mức độ Mô hình ISO/OSI mà ME vận hành.

1. Bộ lọc gói.

Lớp tường lửa đơn giản nhất hoạt động ở cấp độ mạng và truyền tải của mô hình ISO/OSI. Việc lọc gói thường được thực hiện theo các tiêu chí sau:

Nguồn Địa chỉ IP;

Địa chỉ IP của người nhận;

Cổng nguồn;

Cổng người nhận;

Các thông số cụ thể của tiêu đề gói mạng.

Quá trình lọc được thực hiện bằng cách so sánh các tham số được liệt kê của tiêu đề gói mạng với cơ sở các quy tắc lọc.

Tường lửa lọc gói cũng có thể là các gói phần mềm dựa trên các hệ điều hành có mục đích chung (như Windows NT và Unix) hoặc trên nền tảng tường lửa phần cứng. Tường lửa có một số giao diện, mỗi giao diện dành cho mỗi mạng mà tường lửa được kết nối. Tương tự như tường lửa lớp ứng dụng, việc phân phối lưu lượng từ mạng này sang mạng khác được xác định bởi

một tập hợp các quy tắc chính sách. Nếu một quy tắc không cho phép rõ ràng một số lưu lượng nhất định thì các gói tương ứng sẽ bị tường lửa từ chối hoặc loại bỏ. Các quy tắc chính sách được tăng cường bởi

bằng cách sử dụng các bộ lọc gói. Bộ lọc kiểm tra các gói và xác định xem lưu lượng có được phép theo

quy tắc chính sách và trạng thái giao thức (kiểm tra trạng thái). Nếu giao thức ứng dụng đang chạy

thông qua TCP, việc xác định trạng thái tương đối đơn giản vì bản thân TCP cũng hỗ trợ các trạng thái. Nó có nghĩa là,

rằng khi một giao thức ở một trạng thái nhất định, chỉ một số gói nhất định mới được phép truyền đi.

Hãy xem trình tự thiết lập kết nối làm ví dụ. Gói đầu tiên được mong đợi là gói SYN. Tường lửa phát hiện gói này và đặt kết nối vào trạng thái SYN. Ở trạng thái này, dự kiến ​​sẽ có một trong hai gói - SYN ACK (nhận dạng gói và cho phép kết nối) hoặc gói RST (đặt lại kết nối do người nhận từ chối kết nối). Nếu các gói khác xuất hiện trên một kết nối nhất định, tường lửa sẽ loại bỏ hoặc từ chối chúng vì chúng không phù hợp với trạng thái kết nối nhất định, ngay cả khi kết nối được bộ quy tắc cho phép. Nếu giao thức kết nối là UDP, tường lửa lọc gói không thể sử dụng trạng thái vốn có của giao thức và thay vào đó giám sát trạng thái lưu lượng UDP. Thông thường, tường lửa nhận gói UDP bên ngoài và đợi gói đến từ người nhận khớp với gói gốc theo địa chỉ và cổng trong một thời gian nhất định. Nếu gói được nhận trong khoảng thời gian này, việc truyền gói sẽ được phép. Mặt khác, tường lửa xác định rằng lưu lượng UDP không phản hồi yêu cầu và loại bỏ nó. Khi sử dụng tường lửa lọc gói, các kết nối không bị chấm dứt ở tường lửa mà được định tuyến trực tiếp đến hệ thống cuối. Khi các gói đến, tường lửa sẽ xác định xem gói và trạng thái kết nối có được các quy tắc chính sách cho phép hay không. Nếu vậy, gói sẽ được gửi dọc theo tuyến đường của nó. Nếu không, gói hàng sẽ bị từ chối hoặc hủy bỏ.

Tường lửa lọc gói không sử dụng các mô-đun truy cập cho mỗi

giao thức và do đó có thể được sử dụng với bất kỳ giao thức nào chạy trên IP. Một số giao thức yêu cầu tường lửa nhận ra các hành động mà chúng thực hiện. Ví dụ: FTP sẽ sử dụng một kết nối để đăng nhập và ra lệnh lần đầu, còn một kết nối khác để truyền tệp. Các kết nối được sử dụng để truyền tệp được thiết lập như một phần của kết nối FTP và do đó tường lửa phải có khả năng đọc lưu lượng và xác định các cổng sẽ được kết nối mới sử dụng. Nếu tường lửa của bạn không hỗ trợ điều này

chức năng, việc truyền tập tin là không thể. Tường lửa lọc gói có khả năng hỗ trợ nhiều lưu lượng truy cập hơn vì chúng không phải chịu gánh nặng về cấu hình và tính toán bổ sung xảy ra trong các mô-đun truy cập phần mềm. Tường lửa chỉ hoạt động thông qua lọc gói không sử dụng mô-đun truy cập và do đó lưu lượng được gửi trực tiếp từ máy khách đến máy chủ. Nếu máy chủ bị tấn công thông qua một dịch vụ mở được các quy tắc chính sách tường lửa cho phép,

tường lửa sẽ không phản ứng với cuộc tấn công. Tường lửa lọc gói cũng cho phép khả năng hiển thị bên ngoài vào cấu trúc địa chỉ bên trong. Không cần phải ẩn địa chỉ nội bộ vì các kết nối không bị gián đoạn bởi tường lửa.

2. Cổng cấp phiên

Các tường lửa này hoạt động ở cấp phiên của mô hình ISO/OSI. Không giống như các bộ lọc gói, chúng có thể kiểm soát tính hợp lệ của phiên giao tiếp bằng cách phân tích các tham số của các giao thức lớp phiên. Do đó, các cổng cấp phiên bao gồm các bộ lọc không thể được xác định bằng các lớp mạng, truyền tải hoặc ứng dụng. Bộ lọc cấp phiên có nhiều loại tùy thuộc vào tính năng chức năng của chúng, nhưng sự phân loại này khá tùy tiện vì khả năng của chúng phần lớn trùng lặp. Cần nhớ rằng tường lửa bao gồm tất cả hoặc hầu hết các loại cổng lớp phiên.

Kiểm soát các bit SYN và ACK. Một số bộ lọc cho phép bạn giám sát các bit SYN và ACK trong các gói TCP. Tất cả chúng đều được thiết kế để chống lại các cuộc tấn công tràn ngập SYN (xem thanh bên “Tấn công tràn ngập SYN”), nhưng chúng sử dụng các cách tiếp cận khác nhau. Bộ lọc đơn giản nhất cấm truyền các gói TCP có bit SYN, nhưng không có bit ACK, từ mạng công cộng đến các máy tính trong mạng nội bộ, trừ khi máy chủ sau được khai báo rõ ràng cho mạng bên ngoài (hoặc ít nhất là đối với một mạng cụ thể). nhóm máy tính trên mạng bên ngoài). Thật không may, bộ lọc như vậy không giúp chống lại các cuộc tấn công tràn ngập SYN trên các máy là máy chủ cho mạng bên ngoài nhưng nằm trên mạng nội bộ.

Đối với những mục đích này, các bộ lọc chuyên dụng với thứ tự nhiều giai đoạn để thiết lập kết nối được sử dụng. Ví dụ: bộ lọc SYNDefender Gateway từ tường lửa FireWall-1 của Check Point hoạt động như sau. Giả sử máy tính bên ngoài Z đang cố gắng thiết lập kết nối với máy chủ nội bộ A thông qua tường lửa Tường lửa. Quy trình thiết lập kết nối được hiển thị trong Hình 2. Khi tường lửa nhận gói SYN từ máy tính Z (bước 1), gói này sẽ được truyền đến máy chủ A (bước 2). Đáp lại, máy chủ A gửi gói SYN/ACK đến máy tính Z, nhưng tường lửa chặn nó (bước 3). Tiếp theo, ME chuyển tiếp gói đã nhận đến máy tính Z; ngoài ra, ME thay mặt máy tính Z gửi gói ACK đến máy chủ A (bước 4). Do phản hồi nhanh với máy chủ A, bộ nhớ máy chủ được phân bổ để thiết lập kết nối mới sẽ không bao giờ đầy và cuộc tấn công tràn ngập SYN sẽ không hoạt động.

Điều gì xảy ra tiếp theo tùy thuộc vào việc máy tính Z có thực sự bắt đầu kết nối với máy chủ A hay không. Nếu vậy, máy tính Z sẽ gửi gói ACK đến máy chủ A, gói này đi qua tường lửa (bước 5a). Máy chủ A sẽ bỏ qua gói ACK thứ hai. Khi đó tường lửa sẽ tự do chuyển các gói tin giữa máy tính A và Z. Nếu tường lửa không nhận được gói ACK hoặc hết thời gian chờ thiết lập kết nối, nó sẽ gửi gói RST đến máy chủ A, hủy kết nối (bước 5b).

Bộ lọc để theo dõi trạng thái của kênh liên lạc.

Các bộ lọc để theo dõi trạng thái của kênh liên lạc thường bao gồm các bộ lọc mạng (cấp mạng) với các khả năng nâng cao.

Lọc động trong bộ lọc mạng. Không giống như lọc tĩnh tiêu chuẩn trong các bộ lọc mạng, lọc động (trạng thái) cho phép bạn chỉ gán một quy tắc cho mỗi kênh liên lạc thay vì một số quy tắc lọc. Trong trường hợp này, bộ lọc động tự giám sát trình tự trao đổi gói dữ liệu giữa máy khách và máy chủ, bao gồm địa chỉ IP, giao thức lớp vận chuyển, số cổng người gửi và người nhận và đôi khi là số thứ tự của gói. Rõ ràng là việc lọc như vậy đòi hỏi phải có thêm RAM. Về hiệu suất, bộ lọc động có phần kém hơn bộ lọc tĩnh.

Lọc các gói bị phân mảnh. Khi được truyền qua các mạng có MTU khác nhau, các gói IP có thể được chia thành các đoạn riêng biệt, chỉ đoạn đầu tiên luôn chứa tiêu đề gói lớp vận chuyển hoàn chỉnh, bao gồm cả thông tin cổng phần mềm. Các bộ lọc mạng thông thường không thể kiểm tra các đoạn khác ngoài đoạn đầu tiên và cho phép chúng vượt qua (nếu đáp ứng các tiêu chí về địa chỉ IP và giao thức được sử dụng). Do đó, kẻ tấn công có thể tổ chức các cuộc tấn công từ chối dịch vụ nguy hiểm bằng cách cố tình tạo ra một số lượng lớn các phân đoạn và từ đó chặn hoạt động của máy tính nhận gói. Bộ lọc gói bị phân mảnh không cho phép các phân đoạn đi qua nếu gói đầu tiên không đăng ký được.

3. Cổng ứng dụng

Tường lửa của lớp này cho phép bạn lọc một số loại lệnh hoặc bộ dữ liệu nhất định trong các giao thức cấp ứng dụng. Với mục đích này chúng được sử dụngdịch vụ proxy- các chương trình có mục đích đặc biệt quản lý lưu lượng truy cập thông qua tường lửa cho một số giao thức cấp cao nhất định (http, ftp, telnet, v.v.).

Nếu không sử dụng dịch vụ proxy, kết nối mạng được thiết lập giữa các bên tương tácMỘT Và Btrực tiếp, thì trong trường hợp sử dụng dịch vụ proxy, một bên trung gian sẽ xuất hiện -máy chủ proxy, tương tác độc lập với người tham gia thứ hai trong quá trình trao đổi thông tin. Lược đồ này cho phép bạn kiểm soát khả năng chấp nhận sử dụng các lệnh giao thức cấp cao riêng lẻ, cũng như lọc dữ liệu mà máy chủ proxy nhận được từ bên ngoài; trong trường hợp này, máy chủ proxy, dựa trên các chính sách đã thiết lập, có thể quyết định khả năng hoặc không thể chuyển dữ liệu này cho máy kháchMỘT.

Tường lửa lớp ứng dụng hoặc tường lửa proxy là các gói phần mềm dựa trên các hệ điều hành có mục đích chung (chẳng hạn như Windows NT và Unix) hoặc trên nền tảng phần cứng tường lửa.

Trong tường lửa lớp ứng dụng, mỗi giao thức được phép phải có mô-đun truy cập riêng. Các mô-đun truy cập tốt nhất là những mô-đun được xây dựng riêng cho giao thức đang được giải quyết. Ví dụ: mô-đun truy cập FTP nhắm mục tiêu vào giao thức FTP và có thể xác định xem lưu lượng truy cập có phù hợp với giao thức đó hay không và liệu lưu lượng đó có được phép theo các quy tắc chính sách bảo mật hay không.

Tường lửa chấp nhận kết nối, phân tích nội dung của gói và giao thức được sử dụng, đồng thời xác định xem lưu lượng có tuân thủ các quy tắc chính sách bảo mật hay không. Nếu có sự trùng khớp, tường lửa sẽ khởi tạo một kết nối mới giữa giao diện bên ngoài và hệ thống máy chủ.

Mô-đun truy cập của tường lửa chấp nhận các kết nối đến và xử lý các lệnh trước khi gửi lưu lượng truy cập đến người nhận, từ đó bảo vệ hệ thống khỏi các cuộc tấn công dựa trên ứng dụng.

Tường lửa lớp ứng dụng chứa các mô-đun truy cập cho các giao thức được sử dụng phổ biến nhất như HTTP, SMTP, FTP và telnet. Một số mô-đun truy cập có thể bị thiếu, ngăn cản việc sử dụng một giao thức cụ thể để liên lạc qua tường lửa.

4. Tường lửa cấp chuyên gia.

Tường lửa phức tạp nhất, kết hợp các yếu tố của cả ba loại trên. Thay vì dịch vụ proxy, những màn hình như vậy sử dụng thuật toán để nhận dạng và xử lý dữ liệu ở cấp ứng dụng. Hầu hết các tường lửa hiện đang được sử dụng đều được phân loại là tường lửa chuyên nghiệp. ME nổi tiếng và phổ biến nhất làCISCO PIX Và CheckPoint FireWall-1. Các nhà sản xuất tường lửa cấp ứng dụng, do sự phát triển nhanh chóng của công nghệ CNTT, đã đi đến kết luận rằng cần phải phát triển một phương pháp hỗ trợ các giao thức không có mô-đun truy cập cụ thể. Đây là cách xuất hiện công nghệ mô-đun truy cập Proxy dịch vụ chung (GSP), được thiết kế để hỗ trợ các mô-đun truy cập cấp ứng dụng với các giao thức khác mà hệ thống bảo mật và công việc của quản trị viên mạng yêu cầu. GSP cho phép tường lửa lớp ứng dụng hoạt động như tường lửa lọc gói. Nhiều tường lửa lọc gói đã có sẵn mô-đun truy cập SMTP. Ở thời điểm hiện tại, hầu như không thể tìm thấy tường lửa có hoạt động chỉ được xây dựng trên lớp ứng dụng hoặc lọc gói, vì nó cho phép quản trị viên chịu trách nhiệm bảo mật định cấu hình thiết bị để hoạt động trong các điều kiện cụ thể.

(nguồn Câu trả lời từ năm ngoái)

Văn bản quy định chínhtheo ME là “Tài liệu hướng dẫn. Cơ sở máy tính. Tường lửa. Bảo vệ chống truy cập trái phép vào thông tin. Các chỉ số an ninh chống truy cập thông tin trái phép" (Được Ủy ban Kỹ thuật Nhà nước phê duyệt ngày 25/7/1997)

Theo đó, ME là một công cụ cục bộ (một thành phần) hoặc được phân phối theo chức năng (phức hợp), thực hiện kiểm soát thông tin đi vào AS và/hoặc ra khỏi AS và đảm bảo bảo vệ AS bằng cách lọc thông tin, tức là. phân tích của nó theo một bộ tiêu chí và đưa ra quyết định về việc phân phối nó đến (từ) AS.

Năm lớp bảo mật ME được thiết lập.

Mỗi lớp được đặc trưng bởi một bộ yêu cầu tối thiểu nhất định để bảo vệ thông tin.

Lớp bảo mật thấp nhất là lớp thứ năm, được sử dụng để tương tác an toàn giữa loa lớp 1D với môi trường bên ngoài, lớp thứ tư - dành cho 1G, lớp thứ ba - 1B, lớp thứ hai - 1B, cao nhất là lớp đầu tiên, được sử dụng cho lớp bảo mật an toàn của loa lớp 1A với môi trường bên ngoài.

Các yêu cầu đối với ME không loại trừ các yêu cầu đối với thiết bị máy tính (CT) và AS theo hướng dẫn của “Thiết bị máy tính” của Ủy ban Kỹ thuật Nhà nước Nga. Bảo vệ chống truy cập trái phép vào thông tin. Các chỉ số bảo mật chống truy cập thông tin trái phép” và “Hệ thống tự động. Bảo vệ chống truy cập trái phép vào thông tin. Phân loại hệ thống tự động và yêu cầu bảo vệ thông tin.”

Khi ME được bao gồm trong AS của một lớp bảo mật nhất định thì lớp bảo mật của tổng AS thu được từ AS ban đầu bằng cách thêm ME vào nó sẽ không bị giảm.

Đối với loa loại 3B, 2B, phải sử dụng ME ít nhất là loại 5.

Đối với người nói loại 3A, 2A, tùy theo tầm quan trọng của thông tin được xử lý, nên sử dụng ME của các loại sau:

Khi xử lý thông tin được phân loại là “bí mật” - không thấp hơn loại 3;

Khi xử lý thông tin được phân loại là “tuyệt mật” - không thấp hơn loại 2;

Khi xử lý thông tin được phân loại là “tầm quan trọng đặc biệt” - không thấp hơn loại 1.

Yêu cầu về tường lửa

(nguồn RD ME)

Tường lửa là một phần tử phần cứng-phần mềm hoặc phần mềm kiểm soát lưu lượng mạng dựa trên các tham số đã chỉ định và lọc nó nếu cần. Cũng có thể được gọi là tường lửa hoặc tường lửa.

Mục đích của tường lửa

Tường lửa được sử dụng để bảo vệ các phân đoạn mạng hoặc máy chủ riêng lẻ khỏi sự xâm nhập trái phép có thể xảy ra thông qua các lỗ hổng trong phần mềm được cài đặt trên PC hoặc các giao thức mạng. Công việc của tường lửa là so sánh các đặc điểm của lưu lượng truy cập đi qua nó với các mẫu mã độc đã được biết đến.

Thông thường, tường lửa được cài đặt ở chu vi của mạng cục bộ, nơi nó bảo vệ các nút bên trong. Tuy nhiên, các cuộc tấn công có thể được bắt đầu từ bên trong, vì vậy nếu một cuộc tấn công được thực hiện trên một máy chủ trên cùng một mạng, tường lửa sẽ không coi đó là một mối đe dọa. Đây là lý do tại sao tường lửa bắt đầu được cài đặt không chỉ ở rìa mạng mà còn giữa các phân đoạn của nó, điều này làm tăng đáng kể mức độ bảo mật mạng.

Lịch sử sáng tạo

Tường lửa bắt đầu lịch sử vào cuối những năm tám mươi của thế kỷ trước, khi Internet vẫn chưa trở thành vật dụng hàng ngày đối với hầu hết mọi người. Chức năng của chúng được thực hiện bởi các bộ định tuyến phân tích lưu lượng truy cập dựa trên dữ liệu từ giao thức lớp mạng. Sau đó, với sự phát triển của công nghệ mạng, các thiết bị này có thể sử dụng dữ liệu ở cấp độ truyền tải. Trên thực tế, bộ định tuyến là thiết bị triển khai tường lửa phần cứng-phần mềm đầu tiên trên thế giới.

Tường lửa phần mềm xuất hiện muộn hơn nhiều. Do đó, Netfilter/iptables, tường lửa cho Linux, chỉ được tạo ra vào năm 1998. Điều này là do trước đây chức năng tường lửa đã được thực hiện và khá thành công bởi các chương trình chống vi-rút, nhưng kể từ cuối những năm 90, vi-rút đã trở nên phức tạp hơn và sự xuất hiện của tường lửa đã trở nên cần thiết.

Lọc lưu lượng truy cập

Lưu lượng truy cập được lọc dựa trên các quy tắc được chỉ định – Ruleset. Về bản chất, tường lửa là một chuỗi các bộ lọc phân tích và xử lý lưu lượng truy cập theo một gói cấu hình nhất định. Mỗi bộ lọc đều có mục đích riêng; Hơn nữa, trình tự các quy tắc có thể ảnh hưởng đáng kể đến hiệu suất của màn hình. Ví dụ: khi phân tích lưu lượng truy cập, hầu hết tường lửa sẽ so sánh tuần tự nó với các mẫu đã biết từ một danh sách - rõ ràng, các loại phổ biến nhất phải được đặt ở vị trí càng cao càng tốt.

Có hai nguyên tắc xử lý lưu lượng truy cập đến. Theo quy định đầu tiên, mọi gói dữ liệu đều được phép, ngoại trừ những gói dữ liệu bị cấm, vì vậy nếu nó không thuộc bất kỳ hạn chế nào trong danh sách cấu hình, nó sẽ được truyền tiếp. Theo nguyên tắc thứ hai, chỉ những dữ liệu không bị cấm mới được phép - phương pháp này cung cấp mức độ bảo mật cao nhất, nhưng gây gánh nặng đáng kể cho quản trị viên.

Tường lửa thực hiện hai chức năng: từ chối, cấm dữ liệu và cho phép, cho phép truyền gói tiếp theo. Một số tường lửa cũng có khả năng thực hiện thao tác từ chối - từ chối lưu lượng nhưng thông báo cho người gửi rằng dịch vụ không khả dụng, điều này không xảy ra khi thực hiện thao tác từ chối, do đó mang lại sự bảo vệ tốt hơn cho máy chủ.

Các loại tường lửa (Firewall)

Thông thường, tường lửa được phân loại theo mức độ hỗ trợ của mô hình mạng OSI. Có:

• Công tắc được quản lý;
• Bộ lọc hàng loạt;
• Cổng cấp phiên;
• Trung gian lớp ứng dụng;
• Thanh tra tình trạng.

Công tắc được quản lý

Chúng thường được phân loại là tường lửa, nhưng chúng thực hiện chức năng của mình ở cấp liên kết dữ liệu và do đó không thể xử lý lưu lượng truy cập bên ngoài.

Một số nhà sản xuất (ZyXEL, Cisco) đã thêm vào sản phẩm của họ khả năng xử lý dữ liệu dựa trên địa chỉ MAC có trong tiêu đề khung. Tuy nhiên, ngay cả phương pháp này cũng không phải lúc nào cũng mang lại kết quả như mong đợi, vì địa chỉ Mac có thể dễ dàng thay đổi bằng các chương trình đặc biệt. Về vấn đề này, ngày nay, các thiết bị chuyển mạch thường tập trung vào các chỉ báo khác, cụ thể là Vlan ID.

Mạng cục bộ ảo cho phép bạn tổ chức các nhóm máy chủ trong đó dữ liệu được cách ly hoàn toàn với các máy chủ mạng bên ngoài.

Trong các mạng công ty, các thiết bị chuyển mạch được quản lý có thể là một giải pháp rất hiệu quả và tương đối rẻ tiền. Nhược điểm chính của chúng là không có khả năng xử lý các giao thức cấp cao hơn.

Bộ lọc hàng loạt

Bộ lọc gói được sử dụng ở lớp mạng để kiểm soát lưu lượng dựa trên thông tin tiêu đề gói. Thông thường, chúng cũng có khả năng xử lý các tiêu đề của giao thức và cấp độ cao hơn - bộ lọc gói (UDP, TCP) đã trở thành tường lửa đầu tiên và vẫn phổ biến nhất hiện nay. Khi nhận lưu lượng truy cập đến, dữ liệu như IP người nhận và người gửi, loại giao thức, cổng người nhận và nguồn, tiêu đề dịch vụ của mạng và giao thức truyền tải sẽ được phân tích.

Lỗ hổng của bộ lọc gói là chúng có thể bỏ sót mã độc nếu nó được chia thành các phân đoạn: các gói giả vờ là một phần của nội dung được ủy quyền khác. Giải pháp cho vấn đề này là chặn dữ liệu bị phân mảnh, một số màn hình còn có thể chống phân mảnh dữ liệu đó tại cổng riêng của chúng - trước khi gửi đến nút mạng chính. Tuy nhiên, ngay cả trong trường hợp này, tường lửa vẫn có thể trở thành nạn nhân của cuộc tấn công DDos.

Bộ lọc gói được triển khai dưới dạng các thành phần hệ điều hành, bộ định tuyến biên hoặc tường lửa cá nhân.

Bộ lọc gói được đặc trưng bởi tốc độ phân tích gói cao và thực hiện các chức năng của chúng một cách hoàn hảo ở ranh giới của các mạng có độ tin cậy thấp. Tuy nhiên, chúng không thể phân tích các giao thức cấp độ cao và có thể dễ dàng trở thành nạn nhân của các cuộc tấn công giả mạo địa chỉ mạng.

Cổng phiên

Việc sử dụng tường lửa cho phép bạn loại trừ sự tương tác trực tiếp giữa máy chủ bên ngoài và máy chủ - trong trường hợp này, nó đóng vai trò trung gian, được gọi là proxy. Nó kiểm tra mọi gói tin đến, không chuyển những gói không thuộc kết nối được thiết lập trước đó. Những gói giả vờ là gói từ một kết nối đã hoàn thành sẽ bị loại bỏ.

Cổng cấp phiên là liên kết kết nối duy nhất giữa mạng bên ngoài và mạng nội bộ. Do đó, việc xác định cấu trúc liên kết mạng mà cổng cấp phiên bảo vệ trở nên khó khăn, điều này làm tăng đáng kể khả năng bảo vệ của nó khỏi các cuộc tấn công DoS.

Tuy nhiên, ngay cả giải pháp này cũng có một nhược điểm đáng kể: do thiếu khả năng xác minh nội dung của trường dữ liệu, tin tặc có thể tương đối dễ dàng truyền Trojan đến mạng được bảo vệ.

Nhà môi giới lớp ứng dụng

Giống như các cổng cấp phiên, tường lửa cấp ứng dụng làm trung gian giữa hai nút, nhưng có một lợi thế đáng kể - khả năng phân tích bối cảnh của dữ liệu được truyền. Loại tường lửa này có thể phát hiện và chặn các chuỗi lệnh không mong muốn và không tồn tại (điều này thường có nghĩa là một cuộc tấn công DOS) đồng thời cũng cấm hoàn toàn một số chuỗi lệnh đó.

Các trung gian của lớp ứng dụng cũng xác định loại thông tin được truyền đi—một ví dụ điển hình là các dịch vụ email cấm truyền các tệp thực thi. Ngoài ra, họ có thể xác thực người dùng và đảm bảo rằng chứng chỉ SSL có chữ ký từ một trung tâm cụ thể.

Nhược điểm chính của loại tường lửa này là thời gian phân tích gói tin rất dài, đòi hỏi một lượng thời gian đáng kể. Ngoài ra, các nhà môi giới lớp ứng dụng không tự động kích hoạt hỗ trợ cho các giao thức và ứng dụng mạng mới.

Thanh tra Nhà nước

Những người tạo ra thanh tra y tế bắt đầu kết hợp lợi ích của từng loại tường lửa trên, từ đó có được một tường lửa có thể xử lý lưu lượng truy cập ở cả cấp độ mạng và ứng dụng.

Giám sát thanh tra tình trạng:

• tất cả các phiên - dựa trên bảng trạng thái,
• của tất cả các gói dữ liệu được truyền - dựa trên một bảng quy tắc nhất định,
• tất cả các ứng dụng dựa trên các trung gian phát triển.

Lọc lưu lượng State Inspector diễn ra theo cách tương tự như các cổng lớp phiên, khiến nó hoạt động tốt hơn nhiều so với các nhà môi giới lớp ứng dụng. Trình kiểm tra trạng thái có giao diện thuận tiện và trực quan, cấu hình dễ dàng và có thể mở rộng rộng rãi.

Triển khai tường lửa

Tường lửa có thể là phần cứng hoặc phần mềm. Cái trước có thể được triển khai dưới dạng một mô-đun riêng biệt trong bộ định tuyến hoặc bộ chuyển mạch hoặc dưới dạng một thiết bị đặc biệt.

Thông thường, người dùng chỉ chọn tường lửa phần mềm độc quyền - vì lý do là để sử dụng chúng, họ chỉ cần cài đặt phần mềm đặc biệt. Tuy nhiên, trong các tổ chức thường khó tìm được một chiếc máy tính miễn phí cho một mục đích nhất định - hơn nữa, một chiếc đáp ứng mọi yêu cầu kỹ thuật, thường khá cao.

Đó là lý do tại sao các công ty lớn thích cài đặt các hệ thống phần cứng và phần mềm chuyên dụng, được gọi là “thiết bị bảo mật”. Chúng thường hoạt động trên hệ thống Linux hoặc FreeBSD, bị hạn chế về chức năng để thực hiện một chức năng nhất định.

Giải pháp này có những ưu điểm sau:

• Quản lý dễ dàng và đơn giản: việc kiểm soát hoạt động của tổ hợp phần cứng và phần mềm được thực hiện bằng bất kỳ giao thức chuẩn nào (Telnet, SNMP) - hoặc bảo mật (SSL, SSH).
• Hiệu suất cao: hoạt động của hệ điều hành nhằm vào một chức năng duy nhất và mọi dịch vụ bên ngoài đều bị loại trừ khỏi chức năng đó.
• Khả năng chịu lỗi: hệ thống phần cứng và phần mềm thực hiện nhiệm vụ của mình một cách hiệu quả, khả năng xảy ra lỗi hầu như bị loại bỏ.

Hạn chế tường lửa

Tường lửa không lọc dữ liệu mà nó không thể giải thích được. Người dùng tự cấu hình những việc cần làm với dữ liệu không được nhận dạng - trong tệp cấu hình, theo đó lưu lượng truy cập đó được xử lý. Các gói dữ liệu như vậy bao gồm lưu lượng truy cập từ các giao thức SRTP, IPsec, SSH, TLS, sử dụng mật mã để ẩn nội dung, các giao thức mã hóa dữ liệu cấp ứng dụng (S/MIME và OpenPGP). Cũng không thể lọc lưu lượng đường hầm nếu cơ chế đường hầm không rõ ràng đối với tường lửa. Một phần đáng kể những thiếu sót của tường lửa được khắc phục trong các hệ thống UTM - Unified Threat Management, đôi khi chúng còn được gọi là NextGen Tường lửa.

Phân loại tường lửa

Một trong những cơ chế hiệu quả để đảm bảo an ninh thông tin của mạng máy tính phân tán là che chắn, thực hiện chức năng phân định các luồng thông tin ở ranh giới của mạng được bảo vệ.

Tường lửa làm tăng tính bảo mật của các đối tượng mạng nội bộ bằng cách bỏ qua các yêu cầu trái phép từ môi trường bên ngoài, từ đó đảm bảo mọi thành phần bảo mật thông tin. Ngoài các chức năng kiểm soát truy cập, việc che chắn còn đảm bảo đăng ký trao đổi thông tin.

Chức năng che chắn được thực hiện bởi bức tường lửa hoặc tường lửa, được hiểu là hệ thống phần mềm hoặc phần cứng-phần mềm có chức năng kiểm soát các luồng thông tin vào và/hoặc ra khỏi hệ thống thông tin và đảm bảo bảo vệ hệ thống thông tin bằng cách lọc thông tin. Lọc thông tin bao gồm việc phân tích thông tin dựa trên một bộ tiêu chí và đưa ra quyết định về việc tiếp nhận và/hoặc truyền tải thông tin đó.

Tường lửa được phân loại theo các tiêu chí sau:

· Theo vị trí trong mạng – bên ngoài và bên trong, cung cấp sự bảo vệ tương ứng từ mạng bên ngoài hoặc bảo vệ giữa các phân đoạn mạng;

· theo mức lọc tương ứng với mô hình tham chiếu OSI/ISO.

Tường lửa bên ngoài thường chỉ hoạt động với giao thức TCP/IP của Internet toàn cầu. Tường lửa nội bộ có thể hỗ trợ nhiều giao thức, ví dụ: khi sử dụng hệ điều hành mạng Novell Netware, cần tính đến giao thức SPX/IPX.

Đặc điểm của tường lửa

Hoạt động của tất cả các tường lửa đều dựa trên việc sử dụng thông tin từ các lớp khác nhau của mô hình OSI. Nói chung, cấp độ của mô hình OSI mà tường lửa lọc các gói càng cao thì mức độ bảo vệ mà nó cung cấp càng cao.

Tường lửa được chia thành bốn loại:

· cổng cấp phiên;

cổng cấp ứng dụng;

Bảng 4.5.1. Các loại tường lửa và các cấp độ mô hình ISO OSI

Tường lửa lọc gói là các bộ định tuyến hoặc chương trình chạy trên máy chủ được cấu hình để lọc các gói đến và đi. Vì vậy, những màn hình như vậy đôi khi được gọi là bộ lọc gói. Việc lọc được thực hiện bằng cách phân tích địa chỉ IP nguồn và đích, cũng như các cổng của các gói TCP và UDP đến và so sánh chúng với bảng quy tắc đã định cấu hình. Những tường lửa này dễ sử dụng, rẻ tiền và có tác động tối thiểu đến hiệu suất hệ thống máy tính. Nhược điểm chính của chúng là dễ bị giả mạo địa chỉ IP. Ngoài ra, việc cấu hình chúng rất phức tạp: việc cài đặt chúng đòi hỏi kiến ​​thức về các giao thức mạng, truyền tải và ứng dụng.

Cổng phiên kiểm soát sự chấp nhận của phiên giao tiếp. Họ giám sát quá trình bắt tay giữa máy khách được ủy quyền và máy chủ bên ngoài (và ngược lại), xác định xem phiên liên lạc được yêu cầu có hợp lệ hay không. Khi lọc các gói, cổng lớp phiên dựa vào thông tin có trong các tiêu đề gói của lớp phiên TCP, tức là, nó hoạt động hai lớp cao hơn tường lửa lọc gói. Ngoài ra, các hệ thống này thường có chức năng dịch địa chỉ mạng giúp ẩn các địa chỉ IP nội bộ, từ đó ngăn chặn việc giả mạo địa chỉ IP. Tuy nhiên, các tường lửa như vậy thiếu quyền kiểm soát nội dung của các gói được tạo bởi các dịch vụ khác nhau. Để loại bỏ nhược điểm này, các cổng cấp ứng dụng được sử dụng.

Cổng ứng dụng kiểm tra nội dung của mọi gói đi qua cổng và có thể lọc các loại lệnh hoặc thông tin cụ thể trong các giao thức lớp ứng dụng mà chúng được giao nhiệm vụ phục vụ. Đây là loại tường lửa tiên tiến và đáng tin cậy hơn sử dụng proxy hoặc tác nhân lớp ứng dụng. Các tác nhân được biên dịch cho các dịch vụ Internet cụ thể (HTTP, FTP, Telnet, v.v.) và được sử dụng để kiểm tra các gói mạng xem có dữ liệu đáng tin cậy hay không.

Cổng cấp ứng dụng làm giảm mức hiệu suất hệ thống do xử lý lại trong chương trình proxy. Điều này không đáng chú ý khi làm việc trên Internet khi làm việc trên các kênh tốc độ thấp, nhưng rất đáng chú ý khi làm việc trên mạng nội bộ.

Tường lửa cấp chuyên gia kết hợp các yếu tố của cả ba loại được mô tả ở trên. Giống như tường lửa lọc gói, chúng hoạt động ở lớp mạng của mô hình OSI, lọc các gói đến và đi dựa trên việc kiểm tra địa chỉ IP và số cổng. Tường lửa cấp chuyên gia cũng hoạt động như một cổng cấp phiên, xác định xem các gói có thuộc phiên thích hợp hay không. Cuối cùng, tường lửa chuyên gia đảm nhận vai trò cổng ứng dụng, đánh giá nội dung của từng gói theo chính sách bảo mật của tổ chức.

Thay vì sử dụng các chương trình trung gian dành riêng cho ứng dụng, tường lửa chuyên nghiệp sử dụng các thuật toán chuyên dụng để nhận dạng và xử lý dữ liệu ở cấp ứng dụng. Các thuật toán này so sánh các gói với các mẫu dữ liệu đã biết, về mặt lý thuyết sẽ cung cấp khả năng lọc gói hiệu quả hơn.

Kết luận về chủ đề

1. Tường lửa làm tăng tính bảo mật cho các đối tượng mạng nội bộ bằng cách bỏ qua các yêu cầu trái phép từ môi trường bên ngoài, từ đó đảm bảo mọi thành phần bảo mật thông tin. Ngoài các chức năng kiểm soát truy cập, việc che chắn còn cung cấp việc đăng ký trao đổi thông tin.

2. Chức năng che chắn được thực hiện bởi tường lửa hoặc tường lửa, được hiểu là hệ thống phần mềm hoặc phần cứng-phần mềm có chức năng kiểm soát các luồng thông tin vào, ra khỏi hệ thống thông tin và đảm bảo bảo vệ hệ thống thông tin bằng cách lọc thông tin.

3. Tường lửa được phân loại theo các tiêu chí sau: theo vị trí trên mạng và theo mức độ lọc tương ứng với mô hình tham chiếu OSI/ISO.

4. Tường lửa bên ngoài thường chỉ hoạt động với giao thức TCP/IP của Internet toàn cầu. Tường lửa nội bộ có thể hỗ trợ nhiều giao thức.

5. Tường lửa được chia thành bốn loại:

· tường lửa có tính năng lọc gói;

· cổng cấp phiên;

cổng cấp ứng dụng;

· Tường lửa cấp chuyên gia.

6. Giải pháp toàn diện nhất cho vấn đề che chắn là tường lửa cấp chuyên gia, kết hợp các yếu tố của tất cả các loại tường lửa.

Câu hỏi để tự kiểm soát

1. Cơ chế tường lửa là gì?

2. Xác định tường lửa.

3. Nguyên lý hoạt động của tường lửa có lọc gói tin.

4. Cổng cấp phiên hoạt động ở cấp độ giao thức nào?

5. Tường lửa cấp chuyên gia có gì đặc biệt?

Mục đích của bài viết này là so sánh các tường lửa được chứng nhận có thể được sử dụng để bảo vệ IPDN. Việc đánh giá chỉ xem xét các sản phẩm phần mềm được chứng nhận, danh sách được tổng hợp từ sổ đăng ký FSTEC của Nga.

Chọn tường lửa để bảo vệ dữ liệu cá nhân ở mức độ nhất định

Bảng 1. Danh sách tường lửa được FSTEC chứng nhận

Để đảm bảo bảo mật dữ liệu cá nhân cấp độ 3, tường lửa ít nhất là loại 3 (hoặc loại 4, nếu có mối đe dọa loại 3 và không có sự tương tác giữa hệ thống thông tin và Internet) là phù hợp. Và để đảm bảo bảo mật cấp 4, tường lửa đơn giản nhất là phù hợp - ít nhất là lớp 5. Tuy nhiên, những thứ này hiện chưa được đăng ký trong sổ đăng ký FSTEC. Trên thực tế, mỗi tường lửa được trình bày trong Bảng 1 có thể được sử dụng để cung cấp 1-3 cấp độ bảo mật, miễn là không có mối đe dọa Loại 3 và không có tương tác với Internet. Nếu có kết nối Internet thì bạn cần có tường lửa ít nhất là loại 3.

So sánh tường lửa

Ngoài ra, tất cả các tường lửa được đánh giá đều hỗ trợ NAT. Nhưng có những chức năng khá cụ thể (nhưng không kém phần hữu ích), ví dụ như che cổng, điều chỉnh tải, chế độ vận hành nhiều người dùng, kiểm soát tính toàn vẹn, triển khai chương trình trong ActiveDirectory và quản trị từ xa từ bên ngoài. Bạn thấy đấy, nó khá tiện lợi khi một chương trình hỗ trợ triển khai trong ActiveDirectory - bạn không cần phải cài đặt thủ công nó trên mọi máy tính trên mạng. Cũng thuận tiện nếu tường lửa hỗ trợ quản trị từ xa từ bên ngoài - bạn có thể quản trị mạng mà không cần rời khỏi nhà, điều này rất quan trọng đối với những quản trị viên đã quen với việc thực hiện các chức năng của họ từ xa.

Người đọc có thể ngạc nhiên rằng nhiều tường lửa được liệt kê trong Bảng 1 không hỗ trợ triển khai ActiveDirectory và điều tương tự cũng có thể xảy ra đối với các tính năng khác như điều chỉnh tải và giả mạo cổng. Để không mô tả tường lửa nào hỗ trợ chức năng này hay chức năng kia, chúng tôi đã hệ thống hóa các đặc điểm của chúng trong Bảng 2.

Bảng 2. Khả năng của tường lửa

Chúng ta sẽ so sánh tường lửa như thế nào?

1. thời gian bảo vệ. Ở đây rõ ràng là càng nhanh thì càng tốt.
2. Dễ sử dụng. Không phải tất cả tường lửa đều thuận tiện như nhau, như sẽ được trình bày trong phần đánh giá.
3. Giá. Thông thường mặt tài chính là yếu tố quyết định.
4. Thời gian giao hàng. Thông thường, thời gian giao hàng không được như mong muốn và dữ liệu cần được bảo vệ ngay bây giờ.

Tất cả các tường lửa đều có mức độ bảo mật gần như giống nhau, nếu không chúng sẽ không có chứng chỉ.

Tường lửa đang được xem xét

Thời gian bảo vệ ISPD

Cả ba tường lửa đều được phân phối dưới dạng gói MSI, nghĩa là bạn có thể sử dụng các công cụ triển khai ActiveDirectory để cài đặt chúng một cách tập trung. Có vẻ như mọi thứ đều đơn giản. Nhưng trong thực tế hóa ra không phải như vậy.

Một doanh nghiệp thường sử dụng quản lý tường lửa tập trung. Điều này có nghĩa là máy chủ quản lý tường lửa được cài đặt trên một máy tính và các chương trình hoặc tác nhân máy khách, như chúng còn được gọi, được cài đặt trên phần còn lại. Toàn bộ vấn đề là khi cài đặt tác nhân, bạn cần đặt một số tham số nhất định - ít nhất là địa chỉ IP của máy chủ quản lý và có thể cả mật khẩu, v.v.
Do đó, ngay cả khi triển khai các tệp MSI cho tất cả các máy tính trên mạng, bạn vẫn sẽ phải cấu hình chúng theo cách thủ công. Và điều này sẽ không được mong muốn lắm vì mạng lưới rất lớn. Ngay cả khi bạn chỉ có 50 máy tính, hãy nghĩ về điều đó - đến từng PC và cấu hình nó.

Làm thế nào để giải quyết một vấn đề? Và vấn đề có thể được giải quyết bằng cách tạo một tệp chuyển đổi (tệp MST), còn được gọi là tệp phản hồi, cho tệp MSI. Nhưng cả VipNet Office Tường lửa và TrustAccess đều không thể làm được điều này. Nhân tiện, đây là lý do tại sao Bảng 2 chỉ ra rằng không có hỗ trợ cho việc triển khai Active Directory. Có thể triển khai các chương trình này trong một miền, nhưng cần phải có quản trị viên thực hiện thao tác thủ công.

Tất nhiên, quản trị viên có thể sử dụng các trình soạn thảo như Orca để tạo tệp MST.

Cơm. 1. Biên tập viên Orca. Đang cố gắng tạo tệp MST cho TrustAccess.Agent.1.3.msi

Nhưng bạn có thực sự nghĩ rằng mọi thứ đều đơn giản như vậy? Đã mở tệp MSI trong Orca, điều chỉnh một số tham số và có tệp câu trả lời được tạo sẵn? Không phải vậy! Thứ nhất, bản thân Orca không được cài đặt đơn giản. Bạn cần tải xuống Windows Installer SDK, trích xuất orca.msi từ nó bằng 7-Zip và cài đặt nó. Bạn có biết về điều này? Nếu không, hãy cân nhắc rằng bạn đã dành khoảng 15 phút để tìm kiếm thông tin cần thiết, tải xuống phần mềm và cài đặt trình chỉnh sửa. Nhưng mọi dằn vặt không dừng lại ở đó. Tệp MSI có nhiều tùy chọn. Nhìn vào hình. 1 - đây chỉ là các tham số của nhóm Thuộc tính. Tôi nên thay đổi cái nào để chỉ ra địa chỉ IP của máy chủ? Bạn biết? Nếu không, bạn có hai tùy chọn: định cấu hình thủ công từng máy tính hoặc liên hệ với nhà phát triển, chờ phản hồi, v.v. Xét rằng các nhà phát triển đôi khi mất khá nhiều thời gian để phản hồi, thời gian triển khai thực tế của chương trình chỉ phụ thuộc vào tốc độ di chuyển của bạn giữa các máy tính. Thật tốt nếu bạn đã cài đặt trước một công cụ quản lý từ xa - khi đó quá trình triển khai sẽ diễn ra nhanh hơn.

Tường lửa an toàn mạng tự động tạo tệp MST; bạn chỉ cần cài đặt nó trên một máy tính, lấy tệp MST mong muốn và chỉ định nó trong Chính sách nhóm. Bạn có thể đọc về cách thực hiện việc này trong bài viết “Tách hệ thống thông tin khi bảo vệ dữ liệu cá nhân”. Chỉ trong nửa giờ (hoặc thậm chí ít hơn), bạn có thể triển khai tường lửa trên tất cả các máy tính trên mạng.

Đó là lý do tại sao Tường lửa an toàn mạng nhận được xếp hạng 5 và các đối thủ cạnh tranh của nó - 3 (cảm ơn, ít nhất các trình cài đặt có định dạng MSI chứ không phải .exe).

Dễ sử dụng

Chà, hãy xem tường lửa được đề cập tiện lợi như thế nào trong quá trình tạo và bảo vệ ISDN.

Chúng tôi sẽ bắt đầu với Tường lửa văn phòng VipNet, theo ý kiến ​​​​của chúng tôi, tường lửa này không thuận tiện lắm. Bạn chỉ có thể chọn máy tính thành nhóm theo địa chỉ IP (Hình 2). Nói cách khác, có một ràng buộc đối với các địa chỉ IP và bạn cần phân bổ các ISPD khác nhau cho các mạng con khác nhau hoặc chia một mạng con thành các dải địa chỉ IP. Ví dụ: có ba ISPD: Quản lý, Kế toán, CNTT. Bạn cần cấu hình DHCP server để các máy tính trong nhóm Management được “phân bổ” các địa chỉ IP từ dãy 192.168.1.10 - 192.168.1.20, Accounting 192.168.1.21 - 192.168.1.31, v.v. Điều này không thuận tiện lắm. Vì điều này mà Tường lửa văn phòng VipNet sẽ bị trừ một điểm.

Cơm. 2. Khi tạo nhóm máy tính, có sự ràng buộc rõ ràng về địa chỉ IP

Ngược lại, trong tường lửa Cybersafe, không có ràng buộc nào về địa chỉ IP. Các máy tính là một phần của một nhóm có thể được đặt ở các mạng con khác nhau, trong các phạm vi khác nhau của cùng một mạng con và thậm chí nằm bên ngoài mạng. Nhìn vào hình. 3. Các chi nhánh của công ty được đặt tại các thành phố khác nhau (Rostov, Novorossiysk, v.v.). Việc tạo nhóm rất đơn giản - chỉ cần kéo tên các máy tính vào nhóm mong muốn và nhấp vào nút Áp dụng. Sau đó, bạn có thể nhấp vào nút Đặt quy tắcđể hình thành các quy tắc cụ thể cho từng nhóm.

Cơm. 3. Quản lý nhóm trong Tường lửa an toàn mạng

Đối với TrustAccess, cần lưu ý rằng nó được tích hợp chặt chẽ với chính hệ thống. Các nhóm người dùng và máy tính hệ thống đã tạo sẽ được nhập vào cấu hình tường lửa, giúp quản lý tường lửa trong môi trường ActiveDirectory dễ dàng hơn. Bạn không cần phải tạo ISDN trong tường lửa mà hãy sử dụng các nhóm máy tính hiện có trong miền Active Directory.

Cơm. 4. Nhóm người dùng và máy tính (TrustAccess)

Cả ba tường lửa đều cho phép bạn tạo cái gọi là lịch trình, nhờ đó quản trị viên có thể định cấu hình việc truyền các gói theo lịch trình, chẳng hạn như từ chối truy cập Internet ngoài giờ làm việc. Trong Tường lửa văn phòng VipNet, lịch trình được tạo trong phần Lịch trình(Hình 5) và trong Tường lửa an toàn mạng, thời gian vận hành quy tắc được đặt khi xác định chính quy tắc đó (Hình 6).

Cơm. 5. Lịch trình trong Tường lửa văn phòng VipNet

Cơm. 6. Quy tắc thời gian hoạt động trong Cybersafe Tường lửa

Cơm. 7. Lên lịch trong TrustAccess

Cả ba tường lửa đều cung cấp các công cụ rất thuận tiện để tự tạo quy tắc. TrustAccess cũng cung cấp trình hướng dẫn tạo quy tắc thuận tiện.

Cơm. 8. Tạo quy tắc trong TrustAccess

Chúng ta hãy xem xét một tính năng khác - công cụ nhận báo cáo (tạp chí, nhật ký). Trong TrustAccess, để thu thập báo cáo và thông tin về các sự kiện, bạn cần cài đặt máy chủ sự kiện (EventServer) và máy chủ báo cáo (ReportServer). Đây không phải là một thiếu sót mà là một tính năng (“tính năng”, như Bill Gates đã nói) của bức tường lửa này. Đối với tường lửa Cybersafe và VipNet Office, cả hai tường lửa đều cung cấp các công cụ thuận tiện để xem nhật ký gói IP. Điểm khác biệt duy nhất là Tường lửa an toàn mạng trước tiên hiển thị tất cả các gói và bạn có thể lọc ra những gói mình cần bằng cách sử dụng khả năng lọc được tích hợp trong tiêu đề bảng (Hình 9). Và trong Tường lửa văn phòng VipNet, trước tiên bạn cần cài đặt các bộ lọc, sau đó xem kết quả.

Cơm. 9. Quản lý nhật ký gói tin IP trong Cybersafe Tường lửa

Cơm. 10. Quản lý nhật ký gói tin IP trong VipNet Office Tường lửa

Tường lửa Cybersafe phải bị trừ 0,5 điểm vì thiếu chức năng xuất nhật ký sang Excel hoặc HTML. Chức năng này không quá quan trọng, nhưng đôi khi nó rất hữu ích khi xuất một số dòng từ nhật ký một cách đơn giản và nhanh chóng, chẳng hạn như để “báo cáo”.

Vì vậy, kết quả của phần này:

Giá

Hãy nhớ hai con số này: 15.710 rúp. cho một PC (mỗi năm) và 23.925 chà. cho 1 máy chủ và 5 PC (mỗi năm). Và bây giờ hãy chú ý: với số tiền này, bạn có thể mua giấy phép cho 25 nút Tường lửa an toàn mạng (15.178 rúp) hoặc thêm một chút và sẽ khá đủ cho giấy phép cho 50 nút (24.025 rúp). Nhưng điều quan trọng nhất của sản phẩm này không phải là giá thành. Điều quan trọng nhất là thời hạn hiệu lực của giấy phép và hỗ trợ kỹ thuật. Giấy phép cho Tường lửa an toàn mạng không có ngày hết hạn cũng như hỗ trợ kỹ thuật. Tức là bạn thanh toán một lần và nhận được sản phẩm phần mềm có giấy phép trọn đời và hỗ trợ kỹ thuật.

Thời gian giao hàng

Đối với sản phẩm phần mềm Tường lửa CyberSafe, nhà sản xuất đảm bảo giao phiên bản điện tử trong vòng 15 phút sau khi thanh toán.

Chọn cái gì?

Đánh giá được thực hiện bởi các chuyên gia
công ty tích hợp DORF LLC