Firewall
Chức năng chính của việc sử dụng tường lửa để bảo vệ mạng công ty là cách ly. Nó ngăn kết nối trực tiếp mạng LAN nội bộ với internet hoặc thế giới bên ngoài. Sự cô lập này có thể được thực hiện theo nhiều cách nhưng không giới hạn ở:
- Thiết bị Layer 3 sử dụng Danh sách truy cập để hạn chế loại lưu lượng truy cập cụ thể trên bất kỳ giao diện nào của nó
- Thiết bị Layer 2 sử dụng khái niệm VLAN hoặc PVLAN để tách lưu lượng của hai hoặc nhiều mạng
- Thiết bị chủ chuyên dụng để cài đặt phần mềm trên đó. Thiết bị này cũng hoạt động như một proxy, lọc lưu lượng mong muốn và cho phép lưu lượng còn lại
Mặc dù các tính năng trên cung cấp sự cách ly theo một số nghĩa nào đó, Sau đây là một số lý do khiến thiết bị tường lửa chuyên dụng (cả phần cứng hoặc phần mềm) được ưu tiên trong môi trường sản xuất:
Rủi ro | Sự bảo vệ của tường lửa |
---|---|
Quyền truy cập không đáng tin cậy | Tường lửa cố gắng phân loại mạng thành các phần khác nhau. Một phần được coi là phần đáng tin cậy của mạng LAN nội bộ. Internet công cộng và các giao diện được kết nối với được coi là một phần không đáng tin cậy. Tương tự, các máy chủ được truy cập bởi các thực thể không đáng tin cậy được đặt trong một phân đoạn đặc biệt được gọi là khu phi quân sự (DMZ). Bằng cách chỉ cho phép truy cập cụ thể vào các máy chủ này, như cổng 90 của máy chủ web, tường lửa ẩn chức năng của thiết bị mạng khiến kẻ tấn công khó hiểu cấu trúc liên kết vật lý của mạng. |
Kiểm tra gói sâu và khai thác các giao thức | Một trong những tính năng thú vị của tường lửa chuyên dụng là khả năng kiểm tra lưu lượng truy cập không chỉ IP và cấp độ cổng. Bằng cách sử dụng chứng chỉ kỹ thuật số, Tường lửa thế hệ tiếp theo hiện có thể kiểm tra lưu lượng lên đến tầng 7. Tường lửa cũng có thể giới hạn số lượng kết nối mới cũng như half-open TCP/UDP để giảm thiểu các cuộc tấn công DDoS. |
Kiểm soát truy cập | Bằng cách triển khai AAA cục bộ hoặc sử dụng máy chủ ACS/ISE, tường lửa có thể cho phép lưu lượng truy cập dựa trên chính sách AAA. |
Antivirus và bảo vệ dữ liệu | Bằng cách tích hợp với các mô-đun IPS/IDP, dữ liệu độc hại có thể được phát hiện và lọc ra trước khi đến với người dùng cuối. |
Hạn chế
Mặc dù tường lửa cung cấp các tính năng bảo mật tuyệt vời nhưng bất kỳ cấu hình sai hoặc thiết kế sai sót đều có thể dẫn đến hậu quả nghiêm trọng.
Cấu hình sai và hậu quả
Chức năng chính của tường lửa là bảo vệ cơ sở hạ tầng mạng theo cách thanh lịch hơn so với các thiết bị layer 3/2 truyền thống. Tùy thuộc vào các nhà cung cấp và kỹ thuật khác nhau, nhiều tính năng cần được cấu hình để tường lửa hoạt động bình thường. Một số tính năng như Dịch địa chỉ mạng (NAT), Danh sách truy cập (ACL), chính sách cơ sở AAA, v.v.
Việc định cấu hình sai bất kỳ tính năng nào có thể dẫn đến rò rỉ tài nguyên và ảnh hưởng đến tài chính đối với hoạt động kinh doanh. Tóm lại, các thiết bị phức tạp như tường lửa cũng đòi hỏi kiến thức sâu sắc về thiết bị cùng với cách tiếp cận chung để triển khai.
Ứng dụng và dịch vụ hỗ trợ
Hầu hết các tường lửa sử dụng các kỹ thuật khác nhau để giảm thiểu các cuộc tấn công nâng cao. Ví dụ, NAT là một trong những tính năng được sử dụng phổ biến nhất trong tường lửa và được sử dụng để giảm thiểu các cuộc tấn công do thám. Trong các tình huống mà cơ sở hạ tầng mạng được sử dụng để hỗ trợ các ứng dụng tùy chỉnh, có thể phải viết lại toàn bộ ứng dụng để hoạt động bình thường dưới các thay đổi mạng mới.
Độ trễ
Cũng giống như việc triển khai NAT trên một tuyến đường có độ trễ từ đầu đến cuối, tường lửa cùng với các tính năng đòi hỏi xử lý nặng sẽ tạo thêm độ trễ đáng chú ý trên mạng. Các ứng dụng như Voice Over IP (VOIP) có thể yêu cầu cấu hình đặc biệt để xử lý nó.
Một yếu tố quan trọng khác cần được xem xét trong khi thiết kế các chính sách bảo mật của cơ sở hạ tầng mạng sử dụng cách tiếp cận phân lớp thay vì dựa vào một yếu tố duy nhất. Ví dụ, hãy xem xét tình huống sau:
Trên là một kịch bản điển hình của SOHO và môi trường doanh nghiệp quy mô vừa, nơi toàn bộ cơ sở hạ tầng mạng được hỗ trợ bởi một vài bộ định tuyến và chuyển mạch. Nếu tường lửa biên được coi là tâm triển khai bảo mật, thì bất kỳ cấu hình sai nào đều có thể dẫn đến các cuộc tấn công quy mô lớn. Nói chung, một lớp tiếp cận bảo mật được tuân theo và gói tin đi qua nhiều lần kiểm tra bảo mật trước khi đến đích.
Giá trị của tường lửa khác nhau trong các bản thiết kế khác nhau. Trong một số thiết kế, nó được đặt trên bộ định tuyến chu vi của tập đoàn, trong khi trong một số thiết kế nó được đặt ở rìa của mạng. Không liên quan đến vị trí, bạn nên triển khai lớp bảo mật có tính năng như chuyển tiếp đường dẫn ngược unicast, danh sách truy cập, v.v. được bật trên bộ định tuyến chu vi. Các tính năng như kiểm tra gói tin, chữ ký điện tử được khớp trên tường lửa. Nếu mọi thứ có vẻ ổn, gói tin được phép đến địa chỉ đích.
Network layer firewalls
Tường lửa lớp mạng cho phép hoặc giảm lưu lượng IP dựa trên thông tin Lớp 3 và 4. Một bộ định tuyến với danh sách truy cập được định cấu hình trên các giao diện của nó là một ví dụ phổ biến của tường lửa lớp mạng. Mặc dù hoạt động rất nhanh nhưng nó không thực hiện các kỹ thuật kiểm tra gói tin sâu và phát hiện bất kỳ hoạt động độc hại nào.
Ngoài việc đóng vai trò là tuyến phòng thủ đầu tiên, tường lửa lớp mạng cũng được triển khai trong các phân đoạn mạng LAN nội bộ để tăng cường khả năng bảo mật và cách ly theo lớp.
Cấu trúc tường lửa
Bastion Host
Bastion Host là một hệ thống máy tính được đặt giữa mạng công cộng và mạng riêng. Nó được thiết kế để trở thành điểm giao nhau, nơi tất cả các giao thông đi qua. Máy chủ lưu trữ Bastion có hai giao diện, một giao diện được kết nối với mạng công cộng trong khi một giao diện khác được kết nối với mạng riêng.
Screened Subnet
Mạng con được sàng lọc có thể được thiết lập bằng tường lửa với ba giao diện. Ba giao diện này được kết nối với mạng riêng nội bộ, mạng Công cộng và Khu phi quân sự (DMZ). Trong kiến trúc này, mỗi vùng được ngăn cách bởi một vùng khác do đó sự thỏa hiệp của một vùng sẽ không ảnh hưởng đến vùng khác.
Multi-homed Firewall
Tường lửa đa giao diện đề cập đến hai hoặc nhiều mạng mà mỗi giao diện được kết nối với mạng của nó. Nó làm tăng hiệu quả và độ tin cậy của mạng. Tường lửa có hai hoặc nhiều giao diện cho phép chia nhỏ hơn.