Firewall (tường lửa) là một thiết bị giám sát bảo mật mạng và lọc lưu lượng mạng đến và đi dựa trên các chính sách bảo mật đã thiết lập trước đó. Về cơ bản, tường lửa là rào cản giữa mạng nội bộ và Internet công cộng. Mục đích chính của tường lửa là cho phép lưu lượng truy cập không đe dọa vào mạng và ngăn chặn các lưu lượng nguy hiểm.
Lịch sử của Firewall
Tường lửa đã tồn tại từ cuối những năm 1980 và bắt đầu dưới dạng bộ lọc các gói tin, là mạng được thiết lập để kiểm tra các gói hoặc byte được truyền giữa các máy tính. Mặc dù tường lửa lọc gói vẫn được sử dụng đến ngày nay, nhưng tường lửa đã đi một chặng đường dài khi công nghệ đã phát triển trong suốt nhiều thập kỷ.
-
Giai đoạn 1: Virus
Thế hệ 1, cuối năm 1980, các cuộc tấn công của vi-rút vào PC độc lập đã ảnh hưởng đến tất cả các doanh nghiệp và thúc đẩy các sản phẩm chống vi-rút.
-
Giai đoạn 2: Mạng
Thế hệ 2, giữa những năm 1990, các cuộc tấn công từ internet đã ảnh hưởng đến tất cả hoạt động kinh doanh và thúc đẩy việc tạo ra tường lửa.
-
Giai đoạn 3: Ứng dụng
Thế hệ 3, đầu những năm 2000, khai thác các lỗ hổng trong các ứng dụng đã ảnh hưởng đến hầu hết các doanh nghiệp và thúc đẩy các Intrusion Prevention Systems Products (IPS).
-
Giai đoạn 4: Payload
Thế hệ 4, khoảng năm 2010, sự gia tăng của các cuộc tấn công có mục tiêu, không xác định, né tránh, đa hình ảnh hưởng đến hầu hết các doanh nghiệp và thúc đẩy các sản phẩm chống bot và sandbox.
-
Giai đoạn 5: Mega
Thế hệ 5, khoảng năm 2017, các cuộc tấn công quy mô lớn, đa vector, siêu lớn sử dụng các công cụ tiên tiến và cũng góp phần thúc đẩy các giải pháp ngăn chặn mối đe dọa.
Trở lại năm 1993, Giám đốc điều hành của Check Point, Gil Shwed đã giới thiệu tường lửa kiểm tra trạng thái đầu tiên, FireWall-1. Quay trở lại 27 năm trước, khi tường lửa vẫn là tuyến phòng thủ đầu tiên của tổ chức chống lại các cuộc tấn công mạng. Tường lửa ngày nay, bao gồm Tường lửa Thế hệ Tiếp theo và Tường lửa Mạng hỗ trợ nhiều chức năng và khả năng khác nhau với các tính năng được tích hợp sẵn, bao gồm:
-
Phòng chống mối đe dọa mạng
-
Kiểm soát dựa trên nhận dạng và ứng dụng
-
Hỗ trợ đám mây Hybrid
-
Hiệu suất có thể mở rộng
Các loại tường lửa
-
Lọc gói tin
Một lượng nhỏ dữ liệu được phân tích và phân phối theo tiêu chuẩn của bộ lọc.
-
Dịch vụ proxy
Hệ thống an ninh mạng bảo vệ trong khi lọc dữ liệu ở lớp ứng dụng.
-
Kiểm tra trạng thái
Lọc gói tin giám sát các kết nối đang hoạt động để xác định gói mạng nào sẽ cho phép truy cập thông qua Tường lửa.
-
Next Generation Firewall (NGFW)
Tường lửa kiểm tra các gói tin sâu ở mức độ ứng dụng.
Tường lửa làm gì?
Tường lửa là một phần cần thiết của bất kỳ kiến trúc bảo mật nào và tách các mối đe dọa ra khỏi các biện pháp bảo vệ cấp máy chủ và giao chúng cho thiết bị bảo mật mạng của bạn. Tường lửa, và đặc biệt là Tường lửa thế hệ tiếp theo, tập trung vào việc ngăn chặn phần mềm độc hại và các cuộc tấn công lớp ứng dụng, cùng với hệ thống ngăn chặn xâm nhập tích hợp (IPS), các Tường lửa Thế hệ tiếp theo này có thể phản ứng nhanh chóng và liền mạch để phát hiện và phản ứng với các cuộc tấn công bên ngoài trên toàn bộ hệ thống mạng.
Chúng ta có thể thiết lập các chính sách để bảo vệ mạng của bạn tốt hơn và thực hiện các đánh giá nhanh để phát hiện hoạt động xâm nhập hoặc đáng ngờ, như phần mềm độc hại và tắt nó.
Tại sao chúng ta cần tường lửa?
Tường lửa có thể hoạt động dựa trên các chính sách đã đặt trước đó để bảo vệ mạng của bạn tốt hơn và có thể thực hiện các đánh giá nhanh để phát hiện hoạt động xâm lấn hoặc đáng ngờ, chẳng hạn như phần mềm độc hại và tắt nó. Bằng cách tận dụng tường lửa cho cơ sở hạ tầng bảo mật của mình, bạn đang thiết lập mạng với các chính sách cụ thể để cho phép hoặc chặn lưu lượng truy cập đến và đi.
Kiểm tra lớp mạng so với lớp ứng dụng
Bộ lọc gói hoặc lớp mạng kiểm tra các gói ở mức tương đối thấp của giao thức TCP/IP, không cho phép các gói đi qua tường lửa trừ khi chúng đúng với bộ quy tắc đã thiết lập, trong đó nguồn và đích của bộ quy tắc dựa trên Internet Protocol ( IP) và cổng. Tường lửa kiểm tra lớp mạng hoạt động tốt hơn các thiết bị tương tự kiểm tra lớp ứng dụng. Nhược điểm là các ứng dụng không mong muốn hoặc phần mềm độc hại có thể vượt qua các cổng được phép, ví dụ: lưu lượng truy cập Internet đi qua các giao thức web HTTP và HTTPS, cổng 80 và 443 tương ứng.
Tầm quan trọng của NAT và VPN
Tường lửa cũng thực hiện các chức năng cấp mạng cơ bản như Network Address Translation (NAT) và Virtual Private Network (VPN). NAT các địa chỉ IP của máy khách hoặc máy chủ nội bộ có thể nằm trong “dải địa chỉ riêng”, như được định nghĩa trong RFC 1918 sang địa chỉ IP công cộng. Ẩn địa chỉ của các thiết bị được bảo vệ giúp bảo toàn số lượng địa chỉ IPv4 hạn chế và là một biện pháp bảo vệ chống lại việc do thám mạng vì địa chỉ IP bị ẩn khỏi Internet.
Tương tự, Virtual Private Network (VPN) mở rộng mạng riêng qua mạng công cộng thường được mã hóa các gói tin để bảo vệ chúng trong khi truyền qua Internet. Điều này cho phép người dùng gửi và nhận dữ liệu một cách an toàn trên các mạng chia sẻ hoặc mạng công cộng.
Tường lửa thế hệ tiếp theo và hơn thế nữa
Tường lửa thế hệ tiếp theo kiểm tra các gói ở cấp ứng dụng của TCP/IP và có thể xác định các ứng dụng như Skype hoặc Facebook và thực thi chính sách bảo mật dựa trên loại ứng dụng.
Ngày nay, các thiết bị UTM (Unified Threat Management) và Tường lửa thế hệ tiếp theo cũng bao gồm các công nghệ ngăn chặn mối đe dọa như hệ thống IPS hoặc Antivirus để phát hiện và ngăn chặn phần mềm độc hại và các mối đe dọa. Các thiết bị này cũng có thể bao gồm công nghệ sandbox để phát hiện các mối đe dọa trong tệp.
Khi an ninh mạng tiếp tục phát triển và các cuộc tấn công ngày càng tinh vi hơn, Tường lửa thế hệ tiếp theo sẽ tiếp tục là một thành phần thiết yếu trong giải pháp bảo mật của bất kỳ tổ chức nào, cho dù bạn đang ở trong trung tâm dữ liệu, mạng hay đám mây.