Firewall là một thiết bị mạng theo dõi các gói đi vào và ra khỏi mạng và chặn hoặc cho phép chúng theo các quy tắc đã được thiết lập để xác định lưu lượng nào được cho phép và lưu lượng nào không.
Có một số loại tường lửa đã phát triển qua nhiều năm, dần dần trở nên phức tạp hơn theo thời gian và cân nhắc nhiều thông số hơn khi xác định liệu lưu lượng truy cập nên hay không được phép vượt qua. Hiện đại nhất thường được gọi là tường lửa thế hệ tiếp theo – next – generation firewalls (NGF) và kết hợp nhiều công nghệ khác ngoài lọc gói.
Ban đầu được đặt ở ranh giới giữa các mạng đáng tin cậy và không tin cậy, tường lửa hiện cũng được triển khai để bảo vệ các phân đoạn nội bộ của mạng, như trung tâm dữ liệu, khỏi các phân đoạn khác của mạng của tổ chức.
Tường lửa thường được triển khai như các thiết bị được xây dựng bởi các nhà cung cấp riêng lẻ, nhưng chúng cũng có thể được mua dưới dạng thiết bị ảo – phần mềm mà khách hàng cài đặt trên phần cứng của riêng họ.
Dưới đây là các loại tường lửa chính.
Tường lửa dựa trên proxy
Các tường lửa này hoạt động như một cửa ngõ giữa người dùng cuối yêu cầu dữ liệu và nguồn dữ liệu đó. Các thiết bị lưu trữ kết nối với proxy và proxy tạo một kết nối riêng với nguồn dữ liệu. Đáp lại, các thiết bị nguồn tạo kết nối đến proxy và proxy tạo kết nối riêng với thiết bị chủ. Trước khi chuyển các gói đến địa chỉ đích, proxy có thể lọc chúng để thực thi các chính sách và che dấu vị trí của thiết bị của người nhận, nhưng cũng để bảo vệ thiết bị và mạng của người nhận.
Mặt trái của tường lửa dựa trên proxy là các máy bên ngoài mạng được bảo vệ chỉ có thể thu thập thông tin hạn chế về mạng vì chúng không bao giờ được kết nối trực tiếp với nó.
Nhược điểm chính của tường lửa dựa trên proxy là chấm dứt các kết nối đến và tạo kết nối đi cộng với lọc gây ra sự chậm trễ có thể làm giảm hiệu suất. Đổi lại, điều đó có thể loại bỏ việc sử dụng một số ứng dụng trên tường lửa vì thời gian phản hồi trở nên quá chậm.
Tường lửa trạng thái
Một cải tiến hiệu suất đối với tường lửa dựa trên proxy xuất hiện dưới dạng tường lửa trạng thái, theo dõi một lĩnh vực thông tin về các kết nối và khiến tường lửa không cần thiết phải kiểm tra mọi gói tin. Điều này làm giảm đáng kể độ trễ được giới thiệu bởi tường lửa.
Bằng cách duy trì trạng thái của các kết nối, ví dụ, các tường lửa này có thể báo trước việc kiểm tra các gói đến mà chúng xác định là phản hồi đối với các kết nối gửi đi hợp pháp đã được kiểm tra. Kiểm tra ban đầu xác định rằng kết nối được cho phép và bằng cách duy trì trạng thái đó trong bộ nhớ của nó, tường lửa có thể đi qua lưu lượng tiếp theo là một phần của cùng một cuộc trò chuyện mà không cần kiểm tra mọi gói tin.
Tường lửa thế hệ tiếp theo
Các gói có thể được lọc bằng cách sử dụng nhiều hơn trạng thái kết nối và địa chỉ nguồn và đích. Đây là nơi tường lửa thế hệ tiếp theo (NGFW) phát huy tác dụng. Họ kết hợp các quy tắc cho những gì ứng dụng và người dùng cá nhân được phép thực hiện và trộn dữ liệu được thu thập từ các công nghệ khác để đưa ra quyết định sáng suốt hơn về lưu lượng nào sẽ cho phép và lưu lượng nào sẽ giảm.
Ví dụ: một số NGFW này thực hiện lọc URL, có thể chấm dứt các kết nối SSL và hỗ trợ kết nối mạng diện rộng (SD-WAN) được xác định bằng phần mềm để cải thiện hiệu quả của các quyết định SD-WAN động về kết nối được thi hành.
Các tính năng trước đây được xử lý bởi các thiết bị riêng biệt hiện được bao gồm trong nhiều NGFW và bao gồm:
Hệ thống ngăn chặn xâm nhập (IPS): Trong khi các công nghệ tường lửa cơ bản xác định và chặn một số loại lưu lượng mạng nhất định, IPS sử dụng bảo mật chi tiết hơn như theo dõi chữ ký và phát hiện bất thường để ngăn chặn các mối đe dọa xâm nhập vào mạng. Khi các nền tảng riêng biệt, chức năng IPS sẽ ngày càng trở thành một tính năng tường lửa tiêu chuẩn.
Kiểm tra gói sâu (DPI): DPI là một kiểu lọc gói nhìn xa hơn nơi các gói đến và đi và kiểm tra nội dung của chúng, ví dụ, ứng dụng nào đang được truy cập hoặc loại dữ liệu nào đang được truyền. Thông tin này có thể làm cho các chính sách thông minh và chi tiết hơn có thể cho tường lửa thực thi. DPI có thể được sử dụng để chặn hoặc cho phép lưu lượng truy cập, nhưng cũng hạn chế lượng băng thông mà các ứng dụng cụ thể được phép sử dụng. Nó cũng có thể là một công cụ để bảo vệ tài sản trí tuệ hoặc dữ liệu nhạy cảm khỏi mạng an toàn
Chấm dứt SSL: Lưu lượng truy cập được mã hóa của Lớp cổng bảo mật (SSL) miễn dịch với kiểm tra gói sâu vì nội dung của nó không thể đọc được. Một số NGFW có thể chấm dứt lưu lượng SSL, kiểm tra nó, sau đó tạo kết nối SSL thứ hai đến địa chỉ đích dự định. Điều này có thể được sử dụng để ngăn chặn, ví dụ, các nhân viên độc hại gửi thông tin độc quyền bên ngoài mạng an toàn đồng thời cho phép lưu lượng truy cập hợp pháp lưu thông qua. Mặc dù theo quan điểm bảo vệ dữ liệu, DPI có thể gây lo ngại về quyền riêng tư.
Sandboxing: Các tệp đính kèm hoặc liên lạc đến với các nguồn bên ngoài có thể chứa mã độc. Sử dụng hộp cát, một số NGFW có thể cô lập các tệp đính kèm này và bất kỳ mã nào chúng chứa, thực thi nó và tìm hiểu xem nó có độc hại hay không. Nhược điểm của quá trình này là điều này có thể tiêu tốn rất nhiều chu kỳ CPU và gây ra sự chậm trễ đáng chú ý trong lưu lượng truy cập chảy qua tường lửa.
Có những tính năng khác có thể được tích hợp trong NGFWs. Họ có thể hỗ trợ lấy dữ liệu được thu thập bởi các nền tảng khác bằng cách sử dụng nó để đưa ra quyết định tường lửa. Ví dụ: nếu các nhà nghiên cứu xác định chữ ký phần mềm độc hại mới, tường lửa có thể lấy thông tin đó và bắt đầu lọc lưu lượng có chứa chữ ký.
Gartner, người từng sử dụng thuật ngữ NGFW, giờ đây nói rằng các hóa thân trước đây của tường lửa đã lỗi thời và giờ họ gọi NGFW chỉ đơn giản là tường lửa doanh nghiệp.
Tường lửa ứng dụng web
Các tường lửa này nằm một cách hợp lý giữa các máy chủ hỗ trợ các ứng dụng Web và internet, bảo vệ chúng khỏi các cuộc tấn công HTML cụ thể như tập lệnh chéo trang, SQL SQL và các máy chủ khác. Chúng có thể dựa trên phần cứng hoặc dựa trên đám mây hoặc chúng có thể được đưa vào các ứng dụng để xác định xem mỗi máy khách đang cố gắng truy cập máy chủ có được phép truy cập hay không.