Tường lửa là gì? Nói một cách khái quát, tường lửa máy tính là một chương trình phần mềm ngăn chặn việc truy cập trái phép vào hoặc từ một mạng riêng. Tường lửa là công cụ có thể được sử dụng để tăng cường bảo mật cho các máy tính được kết nối với mạng, chẳng hạn như mạng LAN hoặc Internet. Chúng là một phần không thể thiếu trong khuôn khổ bảo mật toàn diện cho mạng của bạn. Tường lửa cách ly tuyệt đối máy tính của bạn với Internet bằng cách sử dụng "bức tường mã" kiểm tra từng "gói" dữ liệu riêng lẻ khi nó đến một trong hai bên của tường lửa - đến hoặc đi từ máy tính của bạn - để xác định xem nó có được cho phép hay không để vượt qua hoặc bị chặn. Tường lửa có khả năng tăng cường bảo mật hơn nữa bằng cách cho phép kiểm soát chi tiết các loại chức năng và quy trình hệ thống có quyền truy cập vào tài nguyên mạng. Các tường lửa này có thể sử dụng nhiều loại chữ ký và điều kiện máy chủ lưu trữ khác nhau để cho phép hoặc từ chối lưu lượng truy cập. Mặc dù chúng nghe có vẻ phức tạp, nhưng tường lửa tương đối dễ cài đặt, thiết lập và vận hành. Hầu hết mọi người nghĩ rằng tường lửa là một thiết bị được cài đặt trên mạng và nó kiểm soát lưu lượng truy cập đi qua phân đoạn mạng. Tuy nhiên, bạn có thể có một tường lửa dựa trên máy chủ. Điều này có thể được thực thi trên chính hệ thống, chẳng hạn như với ICF (Tường lửa kết nối Internet). Về cơ bản, công việc của cả hai bức tường lửa đều giống nhau: Ngăn chặn sự xâm nhập và cung cấp một phương pháp chính sách kiểm soát truy cập mạnh mẽ. Theo định nghĩa đơn giản, tường lửa không là gì ngoài một hệ thống bảo vệ máy tính của bạn; các điểm thực thi chính sách kiểm soát truy cập. Tường lửa hoạt động như thế nào? Tường lửa phân tích cẩn thận lưu lượng đến dựa trên các quy tắc được thiết lập trước và lọc lưu lượng đến từ các nguồn không an toàn hoặc đáng ngờ để ngăn chặn các cuộc tấn công. Tường lửa bảo vệ lưu lượng truy cập tại điểm vào của máy tính, được gọi là cổng, là nơi thông tin được trao đổi với các thiết bị bên ngoài. Ví dụ: "Địa chỉ nguồn 172.18.1. 1 được phép đến đích 172.18.2. 1 qua cổng 22." Hãy coi địa chỉ IP là nhà và số cổng là phòng trong nhà. Chỉ những người đáng tin cậy (địa chỉ nguồn) mới được phép vào nhà (địa chỉ đích) - sau đó nó được lọc thêm để những người trong nhà chỉ được phép truy cập vào một số phòng nhất định (cổng đích), tùy thuộc vào việc họ có phải là chủ sở hữu hay không, một đứa trẻ, hoặc một vị khách. Chủ sở hữu được phép vào bất kỳ phòng nào (bất kỳ cổng nào), trong khi trẻ em và khách được phép vào một nhóm phòng nhất định (cổng cụ thể). Các loại tường lửa Tường lửa có thể là phần mềm hoặc phần cứng, mặc dù tốt nhất bạn nên có cả hai. Tường lửa phần mềm là một chương trình được cài đặt trên mỗi máy tính và điều chỉnh lưu lượng truy cập thông qua số cổng và ứng dụng, trong khi tường lửa vật lý là một phần thiết bị được cài đặt giữa mạng và cổng của bạn. Tường lửa lọc gói, loại tường lửa phổ biến nhất, kiểm tra các gói và cấm chúng đi qua nếu chúng không khớp với bộ quy tắc bảo mật đã thiết lập. Loại tường lửa này kiểm tra địa chỉ IP nguồn và đích của gói tin. Nếu các gói phù hợp với quy tắc "được phép" trên tường lửa, thì nó được tin cậy để vào mạng. Tường lửa lọc gói được chia thành hai loại: Trạng thái và không trạng thái. Tường lửa không trạng thái kiểm tra các gói độc lập với nhau và thiếu ngữ cảnh, khiến chúng trở thành mục tiêu dễ dàng cho tin tặc. Ngược lại, tường lửa trạng thái ghi nhớ thông tin về các gói đã truyền trước đó và được coi là an toàn hơn nhiều. Mặc dù tường lửa lọc gói có thể hiệu quả, nhưng cuối cùng chúng cung cấp khả năng bảo vệ rất cơ bản và có thể rất hạn chế - ví dụ: Chúng không thể xác định xem nội dung của yêu cầu đang được gửi có ảnh hưởng xấu đến ứng dụng mà nó đang tiếp cận hay không. Nếu một yêu cầu độc hại được cho phép từ một địa chỉ nguồn đáng tin cậy sẽ dẫn đến việc xóa cơ sở dữ liệu, thì tường lửa sẽ không có cách nào biết được điều đó. Tường lửa thế hệ tiếp theo và tường lửa proxy được trang bị nhiều hơn để phát hiện các mối đe dọa như vậy. Tường lửa thế hệ tiếp theo (NGFW) kết hợp công nghệ tường lửa truyền thống với các chức năng bổ sung, chẳng hạn như kiểm tra lưu lượng được mã hóa, hệ thống ngăn chặn xâm nhập, chống vi-rút, v. V. Đáng chú ý nhất, nó bao gồm kiểm tra gói tin sâu (DPI). Trong khi tường lửa cơ bản chỉ xem xét các tiêu đề gói, việc kiểm tra gói sâu sẽ kiểm tra dữ liệu bên trong chính gói đó, cho phép người dùng xác định, phân loại hoặc ngăn chặn các gói có dữ liệu độc hại một cách hiệu quả hơn. Tìm hiểu về Forcepoint NGFW tại đây. Tường lửa proxy lọc lưu lượng mạng ở cấp ứng dụng. Không giống như tường lửa cơ bản, proxy đóng vai trò trung gian giữa hai hệ thống đầu cuối. Máy khách phải gửi một yêu cầu đến tường lửa, nơi nó sau đó được đánh giá dựa trên một tập hợp các quy tắc bảo mật và sau đó được phép hoặc bị chặn. Đáng chú ý nhất, tường lửa proxy giám sát lưu lượng truy cập cho các giao thức lớp 7 như HTTP và FTP, đồng thời sử dụng cả tính năng kiểm tra gói sâu và trạng thái để phát hiện lưu lượng độc hại. Tường lửa dịch địa chỉ mạng (NAT) cho phép nhiều thiết bị có địa chỉ mạng độc lập kết nối với internet bằng một địa chỉ IP duy nhất, giữ ẩn các địa chỉ IP riêng lẻ. Do đó, những kẻ tấn công quét mạng để tìm địa chỉ IP không thể nắm bắt được các chi tiết cụ thể, mang lại khả năng bảo mật cao hơn trước các cuộc tấn công. Tường lửa NAT tương tự như tường lửa proxy ở chỗ chúng hoạt động như một trung gian giữa một nhóm máy tính và lưu lượng truy cập bên ngoài. Tường lửa kiểm tra đa lớp (SMLI) trạng thái lọc các gói ở lớp mạng, lớp truyền tải và ứng dụng, so sánh chúng với các gói tin cậy đã biết. Giống như tường lửa NGFW, SMLI cũng kiểm tra toàn bộ gói và chỉ cho phép chúng vượt qua nếu chúng vượt qua từng lớp riêng lẻ. Các bức tường lửa này kiểm tra các gói để xác định trạng thái của giao tiếp (do đó là tên) để đảm bảo tất cả các giao tiếp được khởi tạo chỉ diễn ra với các nguồn đáng tin cậy.
