Tường lửa – ý nghĩa và định nghĩa
Tường lửa là một hệ thống bảo mật mạng máy tính có chức năng hạn chế lưu lượng internet vào, ra hoặc trong một mạng riêng.
Phần mềm này hoặc đơn vị phần mềm-phần cứng chuyên dụng thực hiện chức năng bằng cách chặn hoặc cho phép các gói dữ liệu một cách có chọn lọc. Thông thường, nó nhằm mục đích giúp ngăn chặn hoạt động độc hại và ngăn chặn bất cứ ai – dù ở bên trong hay bên ngoài một mạng riêng – tham gia vào các hoạt động web trái phép.
Tường lửa là gì?
Tường lửa có thể được xem như các cửa ngõ hoặc cổng quản lý việc di chuyển của hoạt động web được phép và bị cấm trong một mạng riêng. Thuật ngữ này xuất phát từ khái niệm về các bức tường thực tế đóng vai trò là rào cản làm chậm sự lây lan của đám cháy cho đến khi lực lượng cứu hỏa có thể dập tắt đám cháy. Theo so sánh, tường lửa bảo mật mạng dùng để quản lý lưu lượng web – thường nhằm mục đích làm chậm sự lây lan của các mối đe dọa trên web.
Tường lửa tạo ra các "điểm nghẽn" để chuyển hướng lưu lượng web, tại đó chúng được xem xét dựa trên một tập hợp các tham số được lập trình và thực hiện hành động phù hợp. Một số tường lửa cũng theo dõi lưu lượng và kết nối trong nhật ký kiểm tra để tham chiếu những gì được phép hoặc bị chặn.
Tường lửa thường được sử dụng để kiểm soát ranh giới của mạng riêng hoặc các thiết bị lưu trữ của nó. Do đó, tường lửa là một công cụ bảo mật trong danh mục rộng hơn về kiểm soát truy cập của người dùng. Các rào cản này thường được thiết lập ở hai vị trí – trên các máy tính chuyên dụng trên mạng hoặc máy tính của người dùng và bản thân các thiết bị đầu cuối khác (máy chủ lưu trữ).
Tường lửa hoạt động như thế nào?
Tường lửa quyết định lưu lượng mạng nào được phép đi qua và lưu lượng nào được coi là nguy hiểm. Về cơ bản, nó hoạt động bằng cách lọc ra những cái tốt từ cái xấu, hoặc cái đáng tin cậy từ cái không đáng tin cậy. Tuy nhiên, trước khi đi vào chi tiết, sẽ hữu ích nếu chúng ta hiểu được cấu trúc của các mạng dựa trên web.
Tường lửa có mục đích bảo vệ các mạng riêng tư và các thiết bị đầu cuối bên trong mạng, được gọi là máy chủ lưu trữ mạng. Máy chủ lưu trữ mạng là các thiết bị có thể “giao tiếp” với các máy chủ lưu trữ khác trên mạng. Chúng gửi và nhận giữa các mạng nội bộ, cũng như đi và đến giữa các mạng bên ngoài.
Máy tính và các thiết bị đầu cuối khác sử dụng mạng để truy cập internet và truy cập lẫn nhau. Tuy nhiên, internet được phân chia thành các mạng nhỏ hoặc "mạng con" vì lý do bảo mật và quyền riêng tư. Các phân đoạn mạng con cơ bản như sau:
- Mạng công cộng bên ngoài thường để chỉ internet công cộng/toàn cầu hoặc các mạng extranet khác nhau.
- Mạng riêng nội bộ được định nghĩa là mạng gia đình, mạng nội bộ của công ty và các mạng "đóng" khác.
- Mạng ngoại vi bao gồm các mạng biên được tạo thành từ các máy chủ lưu trữ pháo đài – máy chủ máy tính chuyên dụng với khả năng bảo mật mạnh, sẵn sàng chịu được các cuộc tấn công từ bên ngoài. Là một vùng đệm an toàn giữa mạng nội bộ và mạng bên ngoài, chúng cũng có thể được dùng để lưu trữ bất kỳ dịch vụ nào hướng ra ngoài do mạng nội bộ cung cấp (tức là máy chủ cho web, thư, FTP, VoIP, v.v.). Những mạng này an toàn hơn mạng bên ngoài nhưng kém an toàn hơn mạng nội bộ. Không phải lúc nào chúng cũng có mặt trong các mạng đơn giản hơn như mạng gia đình nhưng thường có thể được dùng trong mạng nội bộ của tổ chức hoặc quốc gia.
Bộ định tuyến sàng lọc là máy tính cổng chuyên dụng được đặt trên mạng để phân đoạn mạng. Chúng được gọi là tường lửa gia đình ở cấp độ mạng. Hai mô hình phân đoạn phổ biến nhất là tường lửa máy chủ lưu trữ được sàng lọc và tường lửa mạng con được sàng lọc:
- Tường lửa máy chủ lưu trữ được sàng lọc sử dụng một bộ định tuyến sàng lọc duy nhất giữa các mạng bên ngoài và mạng nội bộ. Các mạng này là hai mạng con của mô hình này.
- Tường lửa mạng con được sàng lọc sử dụng hai bộ định tuyến sàng lọc – một bộ được gọi là bộ định tuyến truy cập giữa mạng bên ngoài và mạng ngoại vi, và bộ còn lại được gọi là bộ định tuyến chặn giữa mạng ngoại vi và mạng nội bộ. Điều này tạo ra ba mạng con tương ứng.
Cả ngoại vi mạng và máy chủ lưu trữ đều có thể chứa tường lửa. Để thực hiện điều này, nó được đặt giữa một máy tính duy nhất và kết nối của nó với một mạng riêng.
- Tường lửa mạng liên quan đến việc áp dụng một hoặc nhiều tường lửa giữa các mạng bên ngoài và mạng riêng nội bộ. Chúng điều chỉnh lưu lượng mạng đến và đi, tách các mạng công cộng bên ngoài – như internet toàn cầu – khỏi các mạng nội bộ như mạng Wi-Fi gia đình, mạng nội bộ doanh nghiệp hoặc mạng nội bộ quốc gia. Tường lửa mạng có thể ở dạng bất kỳ loại thiết bị nào sau đây: phần cứng chuyên dụng, phần mềm và ảo.
- Tường lửa máy chủ lưu trữ hoặc "tường lửa phần mềm" liên quan đến việc sử dụng tường lửa trên các thiết bị người dùng cá nhân và các thiết bị đầu cuối của mạng riêng khác như một rào cản giữa các thiết bị trong mạng. Các thiết bị hoặc máy chủ lưu trữ này nhận được sự điều chỉnh tùy chỉnh về lưu lượng đến và đi từ các ứng dụng máy tính cụ thể. Tường lửa máy chủ lưu trữ có thể chạy trên các thiết bị cục bộ dưới dạng một dịch vụ của hệ điều hành hoặc một ứng dụng bảo mật thiết bị đầu cuối. Tường lửa máy chủ lưu trữ cũng có thể đi sâu hơn vào lưu lượng web, lọc dựa trên HTTP và các giao thức mạng khác, cho phép quản lý nội dung nào đến máy của bạn, thay vì chỉ quản lý nó đến từ đâu.
Tường lửa mạng yêu cầu cấu hình theo phạm vi kết nối rộng, trong khi tường lửa máy chủ lưu trữ có thể được điều chỉnh để phù hợp với nhu cầu của từng máy. Tuy nhiên, cần nhiều nỗ lực hơn để tùy chỉnh tường lửa máy chủ lưu trữ, nghĩa là dựa trên mạng là cách lý tưởng để thực hiện giải pháp kiểm soát toàn diện. Nhưng việc sử dụng đồng thời cả hai tường lửa ở cả hai vị trí lại là cách lý tưởng để thực hiện hệ thống bảo mật nhiều lớp.
Lọc lưu lượng qua tường lửa sử dụng các quy tắc được thiết lập sẵn hoặc học động để cho phép và từ chối các kết nối đã thử. Các quy tắc này là cách tường lửa điều chỉnh luồng lưu lượng web qua mạng riêng và các thiết bị máy tính riêng của bạn. Bất kể loại nào, tất cả tường lửa đều có thể lọc theo một số kết hợp sau:
- Nguồn: Nơi kết nối được thực hiện.
- Đích: Nơi kết nối dự định đến.
- Nội dung: Kết nối đang cố gắng gửi thông điệp gì.
- Giao thức gói tin: Kết nối được thực hiện bằng "ngôn ngữ" nào để truyền tải thông điệp của nó. Trong số các giao thức mạng mà các máy chủ lưu trữ sử dụng để "nói chuyện" với nhau, giao thức TCP/IP được sử dụng chủ yếu để giao tiếp qua internet và trong mạng nội bộ/mạng con.
- Giao thức ứng dụng: Các giao thức phổ biến bao gồm HTTP, Telnet, FTP, DNS và SSH.
Nguồn và đích được liên lạc bằng địa chỉ giao thức internet (IP) và cổng. Địa chỉ IP là tên thiết bị duy nhất cho mỗi máy chủ lưu trữ. Cổng là cấp độ phụ của bất kỳ thiết bị máy chủ lưu trữ nguồn và đích nào, tương tự như văn phòng làm việc trong một tòa nhà lớn hơn. Các cổng thường được gán cho những mục đích cụ thể, vì vậy có thể đáng lo ngại khi một số giao thức và địa chỉ IP sử dụng cổng không phổ biến hoặc cổng bị vô hiệu hóa.
Bằng cách sử dụng các mã định danh này, tường lửa có thể quyết định có nên loại bỏ gói dữ liệu đang cố gắng kết nối hay không – một cách thầm lặng hoặc có phản hồi lỗi cho người gửi – hay chuyển tiếp nó.
Các loại tường lửa
Các loại tường lửa khác nhau kết hợp các phương thức lọc khác nhau. Trong khi mỗi loại được phát triển để vượt trội hơn các thế hệ tường lửa trước đó, phần lớn công nghệ cốt lõi được truyền lại giữa các thế hệ.
Các loại tường lửa được phân biệt theo cách tiếp cận của chúng đối với:
- Theo dõi kết nối
- Quy tắc lọc
- Nhật ký kiểm tra
Mỗi loại hoạt động ở một cấp khác nhau của mô hình giao tiếp được chuẩn hóa, mô hình Kết nối các hệ thống mở (OSI). Mô hình này cung cấp hình ảnh trực quan hơn về cách mỗi tường lửa tương tác với các kết nối.
Tường lửa lọc gói tin tĩnh
Tường lửa lọc gói tin tĩnh, còn được gọi là tường lửa kiểm tra không trạng thái, hoạt động ở lớp mạng OSI (lớp 3). Chúng cung cấp tính năng lọc cơ bản bằng cách kiểm tra tất cả các gói dữ liệu riêng lẻ được gửi qua mạng, dựa trên nơi chúng xuất phát và nơi chúng muốn đến. Đáng chú ý, các kết nối được chấp nhận trước đó sẽ không được theo dõi. Điều này có nghĩa là phải phê duyệt lại mỗi kết nối với mỗi gói dữ liệu được gửi.
Việc lọc được dựa trên địa chỉ IP, cổng và giao thức gói tin. Ở mức tối thiểu, các tường lửa này ngăn hai mạng kết nối trực tiếp mà không có cấp phép.
Các quy tắc lọc được thiết lập dựa trên danh sách kiểm soát truy cập được tạo thủ công. Các quy tắc này rất cứng nhắc và khó xử lý lưu lượng không mong muốn một cách phù hợp mà không ảnh hưởng đến khả năng sử dụng mạng. Để sử dụng lọc tĩnh hiệu quả, đòi hỏi phải liên tục xem xét thủ công. Điều này có thể quản lý được trên các mạng nhỏ nhưng có thể nhanh chóng trở nên khó khăn trên các mạng lớn hơn.
Không đọc được giao thức ứng dụng có nghĩa là không thể đọc được nội dung của tin nhắn được gửi trong một gói tin. Nếu không đọc nội dung, tường lửa lọc gói tin sẽ có chất lượng bảo vệ hạn chế.
Tường lửa cổng cấp mạch
Cổng cấp mạch hoạt động ở cấp phiên (lớp 5). Các tường lửa này kiểm tra các gói tin đang hoạt động trong một kết nối thử và – nếu hoạt động tốt – sẽ cho phép kết nối mở liên tục giữa hai mạng. Tường lửa sẽ ngừng giám sát kết nối sau khi việc này xảy ra.
Bên cạnh việc tiếp cận các kết nối, cổng cấp mạch có thể tương tự như tường lửa proxy.
Kết nối đang diễn ra không được giám sát rất nguy hiểm vì các phương tiện hợp pháp có thể mở kết nối và sau đó cho phép một tác nhân độc hại xâm nhập mà không bị gián đoạn.
Tường lửa kiểm tra trạng thái
Tường lửa kiểm tra trạng thái, còn được gọi là tường lửa lọc gói tin động, độc đáo so với lọc tĩnh nhờ khả năng giám sát các kết nối đang diễn ra và ghi nhớ các kết nối trước đó. Những tường lửa này ban đầu hoạt động ở lớp vận chuyển (lớp 4) nhưng hiện nay, chúng có thể giám sát nhiều lớp, bao gồm cả lớp ứng dụng (lớp 7).
Giống như tường lửa lọc tĩnh, tường lửa kiểm tra trạng thái cho phép hoặc chặn lưu lượng dựa trên các thuộc tính kỹ thuật, chẳng hạn như giao thức gói tin cụ thể, địa chỉ IP hoặc cổng. Tuy nhiên, các tường lửa này cũng theo dõi riêng và lọc dựa trên trạng thái kết nối bằng cách sử dụng bảng trạng thái.
Tường lửa này cập nhật các quy tắc lọc dựa trên các sự kiện kết nối trước đó được bộ định tuyến sàng lọc ghi lại trong bảng trạng thái.
Nhìn chung, các quyết định lọc thường dựa trên các quy tắc của quản trị viên khi thiết lập máy tính và tường lửa. Tuy nhiên, bảng trạng thái cho phép các tường lửa động này tự đưa ra quyết định dựa trên các tương tác trước đó mà nó đã "học" được. Ví dụ, các loại lưu lượng gây gián đoạn trước đây sẽ được lọc ra trong tương lai. Tính linh hoạt của kiểm tra trạng thái đã củng cố nó như một trong những loại lá chắn phổ biến nhất hiện có.
Tường lửa Proxy
Tường lửa Proxy, còn được gọi là tường lửa cấp ứng dụng (lớp 7), là tường lửa duy nhất có khả năng đọc và lọc các giao thức ứng dụng. Chúng kết hợp kiểm tra cấp ứng dụng hoặc "kiểm tra gói tin sâu (DPI)" và kiểm tra trạng thái.
Tường lửa proxy càng gần với rào cản vật lý thực tế càng tốt. Không giống như các loại tường lửa khác, tường lửa này hoạt động như hai máy chủ bổ sung giữa các mạng bên ngoài và máy tính máy chủ lưu trữ nội bộ, với một máy là đại diện (hoặc "proxy") cho mỗi mạng.
Quá trình lọc dựa trên dữ liệu cấp ứng dụng thay vì chỉ địa chỉ IP, cổng và giao thức gói cơ bản (UDP, ICMP) như trong tường lửa dựa trên gói. Đọc và hiểu FTP, HTTP, DNS và các giao thức khác cho phép điều tra sâu hơn và lọc chéo nhiều đặc điểm dữ liệu khác nhau.
Tương tự như người bảo vệ ở cửa ra vào, về cơ bản nó sẽ xem xét và đánh giá dữ liệu đầu vào. Nếu không phát hiện vấn đề gì, dữ liệu được phép truyền đến người dùng.
Nhược điểm của loại bảo mật mạnh này là đôi khi nó can thiệp vào dữ liệu đầu vào mà không phải là mối đe dọa, dẫn đến sự chậm trễ chức năng.
Tường lửa thế hệ tiếp theo (NGFW)
Các mối đe dọa ngày càng tăng đòi hỏi phải có các giải pháp mạnh hơn và tường lửa thế hệ tiếp theo sẽ giải quyết vấn đề này bằng cách kết hợp các tính năng của tường lửa truyền thống với các hệ thống phòng chống xâm nhập mạng.
Tường lửa thế hệ tiếp theo dành riêng cho mối đe dọa được thiết kế để kiểm tra và xác định các mối đe dọa cụ thể, chẳng hạn như phần mềm độc hại chuyên sâu, ở cấp độ chi tiết hơn. Được các doanh nghiệp và các mạng phức tạp sử dụng thường xuyên hơn, tường lửa này cung cấp giải pháp toàn diện để lọc các mối đe dọa.
Tường lửa lai
Như tên gọi ngụ ý, tường lửa lai sử dụng hai hoặc nhiều loại tường lửa trong một mạng riêng duy nhất.
Ai là người phát minh ra tường lửa?
Việc phát minh ra tường lửa nên được xem là một quá trình đang diễn ra. Đó là vì nó liên tục phát triển và có nhiều người sáng tạo tham gia vào quá trình phát triển và tiến hóa của nó.
Từ cuối những năm 1980 đến giữa những năm 90, mỗi nhà sáng tạo đã mở rộng nhiều thành phần và phiên bản khác nhau liên quan đến tường lửa trước khi nó trở thành sản phẩm được sử dụng làm cơ sở cho tất cả các tường lửa hiện đại.
Brian Reid, Paul Vixie và Jeff Mogul
Vào cuối những năm 1980, Mogul, Reid và Vixie, mỗi người đều đảm nhiệm các vai trò tại Digital Equipment Corp (DEC) trong việc phát triển công nghệ lọc gói tin, công nghệ này sẽ trở nên có giá trị trong các tường lửa trong tương lai. Điều này dẫn đến khái niệm kiểm tra các kết nối bên ngoài trước khi chúng kết nối với máy tính trong mạng nội bộ. Trong khi có thể một số người coi bộ lọc gói tin này là tường lửa đầu tiên, nó thiên về một công nghệ thành phần hỗ trợ các hệ thống tường lửa thực sự sau này.
David Presotto, Janardan Sharma, Kshitiji Nigam, William Cheswick và Steven Bellovin
Vào cuối những năm 80 đến đầu những năm 90, nhiều nhân viên tại AT&T Bell Labs đã nghiên cứu và phát triển khái niệm ban đầu về tường lửa cổng cấp mạch. Đây là tường lửa đầu tiên kiểm tra và cho phép các kết nối đang diễn ra thay vì phải xác thực lại nhiều lần sau mỗi gói dữ liệu. Presotto, Sharma và Nigam đã phát triển cổng cấp mạch từ năm 1989 đến năm 1990 và tiếp nối là công trình của Cheswick và Bellovin với công nghệ tường lửa vào năm 1991.
Marcus Ranum
Từ năm 1991 đến năm 1992, Ranum đã phát minh ra các proxy bảo mật tại DEC, trở thành một thành phần quan trọng của sản phẩm tường lửa lớp ứng dụng đầu tiên – sản phẩm Liên kết truy cập ngoài an toàn (SEAL) dựa trên proxy năm 1991. Đây là phần mở rộng công trình của Reid, Vixie và Mogul tại DEC và là tường lửa đầu tiên được phát hành thương mại.
Gil Shwed và Nir Zuk
Từ năm 1993 đến năm 1994 tại Check Point, người sáng lập công ty Gil Shwed và nhà phát triển tài năng Nir Zuk đã đóng vai trò quan trọng trong việc phát triển sản phẩm tường lửa thân thiện với người dùng và được áp dụng rộng rãi đầu tiên – Firewall-1. Gil Shwed đã phát minh và nộp bằng sáng chế Hoa Kỳ về kiểm tra trạng thái vào năm 1993. Tiếp theo là công trình của Nir Zuk về giao diện đồ họa dễ sử dụng cho Firewall-1 năm 1994, đóng vai trò quan trọng trong việc áp dụng tường lửa rộng rãi hơn vào các doanh nghiệp và hộ gia đình trong tương lai gần.
Những phát triển này đóng vai trò thiết yếu trong việc định hình sản phẩm tường lửa mà chúng ta biết ngày nay, mỗi sản phẩm đều được sử dụng với một số khả năng trong nhiều giải pháp bảo mật mạng.
Tầm quan trọng của tường lửa
Vậy tường lửa có mục đích gì và tại sao chúng quan trọng? Các mạng không được bảo vệ sẽ dễ bị tấn công bởi bất kỳ lưu lượng nào đang cố gắng truy cập vào hệ thống của bạn. Phải luôn kiểm tra lưu lượng mạng dù chúng có hại hay không.
Việc kết nối máy tính cá nhân với các hệ thống CNTT khác hoặc internet mang lại nhiều lợi ích, bao gồm cộng tác dễ dàng với người khác, kết hợp các nguồn lực và nâng cao khả năng sáng tạo. Tuy nhiên, điều này có thể phải đánh đổi bằng việc bảo vệ toàn bộ mạng và thiết bị. Xâm nhập, trộm cắp danh tính, phần mềm độc hại và gian lận trực tuyến là những mối đe dọa phổ biến mà người dùng có thể phải đối mặt khi họ tự để lộ thông tin bằng cách kết nối máy tính của mình với mạng hoặc internet.
Khi bị một tác nhân độc hại phát hiện, họ có thể dễ dàng tìm thấy mạng và các thiết bị của bạn, truy cập nhanh chóng và liên tục gây ra các mối đe dọa. Kết nối internet mọi lúc làm tăng nguy cơ này (vì mạng của bạn có thể bị truy cập bất cứ lúc nào).
Bảo vệ chủ động là điều quan trọng khi bạn sử dụng bất kỳ loại mạng nào. Bằng cách sử dụng tường lửa, người dùng có thể bảo vệ mạng của mình khỏi những mối nguy hiểm tồi tệ nhất.
Bảo mật tường lửa có chức năng gì?
Tường lửa có chức năng gì và tường lửa có thể bảo vệ chống lại điều gì? Khái niệm tường lửa bảo mật mạng có mục đích thu hẹp phạm vi tấn công của một mạng xuống một điểm tiếp xúc duy nhất. Thay vì mọi máy chủ lưu trữ trên mạng được tiếp xúc trực tiếp với internet lớn hơn, tất cả lưu lượng phải tiếp xúc trước tiên với tường lửa. Vì cơ chế này cũng hoạt động ngược lại nên tường lửa có thể lọc và chặn lưu lượng không được phép, vào hoặc ra. Ngoài ra, tường lửa còn được dùng để tạo dấu vết kiểm tra các kết nối mạng đã thực hiện nhằm nâng cao nhận thức về bảo mật.
Vì lọc lưu lượng có thể là một bộ quy tắc được thiết lập bởi chủ sở hữu mạng riêng, điều này tạo ra các trường hợp sử dụng tùy chỉnh cho tường lửa. Các trường hợp sử dụng phổ biến liên quan đến việc quản lý những nội dung sau:
- Sự xâm nhập từ các tác nhân độc hại: Các kết nối không mong muốn từ một nguồn có hành vi bất thường có thể bị chặn. Việc này có thể ngăn chặn trò nghe lén và các mối đe dọa dai dẳng chuyên sâu (APT).
- Kiểm soát của phụ huynh: Các phụ huynh có thể chặn con họ xem những nội dung web nhạy cảm.
- Hạn chế duyệt web tại nơi làm việc: Chủ lao động có thể ngăn chặn nhân viên sử dụng mạng công ty để truy cập một số dịch vụ và nội dung nhất định, chẳng hạn như mạng xã hội.
- Mạng nội bộ do quốc gia kiểm soát: Chính quyền quốc gia có thể chặn cư dân trong nước truy cập vào những nội dung và dịch vụ web có khả năng bất đồng quan điểm với giới lãnh đạo hoặc các giá trị của quốc gia đó.
Tuy nhiên, tường lửa kém hiệu quả hơn trong những trường hợp sau:
- Xác định việc khai thác các quá trình mạng hợp pháp: Tường lửa không dự đoán được ý định của con người, do đó chúng không thể xác định liệu một kết nối "hợp pháp" có nhằm để phục vụ các mục đích độc hại hay không. Ví dụ, gian lận địa chỉ IP (giả mạo IP) xảy ra vì tường lửa không xác thực IP nguồn và IP đích.
- Ngăn chặn các kết nối không đi qua tường lửa: Chỉ riêng tường lửa cấp mạng sẽ không ngăn chặn được hoạt động độc hại nội bộ. Tường lửa nội bộ chẳng hạn như tường lửa trên máy chủ lưu trữ sẽ cần phải có ngoài tường lửa ngoại vi để phân vùng mạng của bạn và làm chậm sự di chuyển của "lửa" nội bộ.
- Cung cấp sự bảo vệ đầy đủ chống lại phần mềm độc hại: Mặc dù các kết nối mang mã độc hại có thể bị dừng nếu không được cho phép, nhưng một kết nối được coi là chấp nhận được vẫn có thể mang các mối đe dọa này vào mạng của bạn. Nếu tường lửa bỏ qua một kết nối do bị cấu hình sai hoặc bị khai thác, bạn vẫn cần một bộ phần mềm bảo vệ diệt virus để dọn sạch mọi phần mềm độc hại xâm nhập.
Ví dụ về tường lửa
Trên thực tế, các ứng dụng của tường lửa trong thế giới thực đã nhận được cả lời khen ngợi và tranh cãi. Mặc dù tường lửa đã có một lịch sử thành tích lâu dài, phải triển khai đúng cách loại bảo mật này để tránh bị khai thác. Ngoài ra, tường lửa còn được biết đến là được sử dụng theo những cách đáng ngờ về mặt đạo đức.
Vạn lý tường lửa của Trung Quốc, kiểm duyệt internet
Từ khoảng năm 2000, Trung Quốc đã áp dụng các khung tường lửa nội bộ để tạo ra mạng nội bộ được giám sát chặt chẽ. Về bản chất, tường lửa cho phép tạo một phiên bản tùy chỉnh của internet toàn cầu trong một quốc gia. Họ thực hiện điều này bằng cách ngăn chặn việc sử dụng hoặc truy cập một số dịch vụ và thông tin nhất định trong mạng nội bộ của quốc gia này.
Sự giám sát và kiểm duyệt quốc gia cho phép kìm hãm liên tục quyền tự do ngôn luận trong khi vẫn duy trì hình ảnh của chính phủ. Hơn nữa, tường lửa của Trung Quốc cho phép chính phủ nước này hạn chế dịch vụ internet cho các công ty địa phương. Điều này giúp việc kiểm soát những thứ như công cụ tìm kiếm và dịch vụ email dễ dàng hơn nhiều để điều chỉnh có lợi cho các mục tiêu của chính phủ.
Trung Quốc đã chứng kiến sự phản kháng nội bộ đang diễn ra chống lại sự kiểm duyệt này. Việc sử dụng các mạng riêng ảo và proxy để vượt qua tường lửa quốc gia đã cho phép nhiều người lên tiếng bày tỏ sự không hài lòng của họ.
Cơ quan liên bang Hoa Kỳ về Covid-19 đã bị xâm phạm do những điểm yếu khi làm việc từ xa
Vào năm 2020, một tường lửa được cấu hình sai chỉ là một trong nhiều điểm yếu về bảo mật dẫn đến vụ vi phạm nhằm vào một cơ quan liên bang Hoa Kỳ ẩn danh.
Người ta tin rằng một tác nhân quốc gia dân tộc nào đó đã khai thác một loạt các lỗ hổng bảo mật trong hệ thống bảo mật mạng của cơ quan Hoa Kỳ. Trong số nhiều vấn đề được trích dẫn về bảo mật, tường lửa đang sử dụng có nhiều cổng đi mở không phù hợp cho lưu lượng. Ngoài bảo trì kém, mạng của cơ quan này có thể còn gặp phải những thách thức mới khi làm việc từ xa. Khi đã vào được mạng, kẻ tấn công đã hành động theo cách thể hiện mục đích rõ ràng của chúng là di chuyển qua bất kỳ con đường mở nào khác để đến các cơ quan khác. Kiểu nỗ lực này không chỉ khiến cơ quan bị xâm nhập có nguy cơ bị vi phạm bảo mật mà còn nhiều cơ quan khác nữa.
Tường lửa chưa vá lỗi của nhà điều hành lưới điện Hoa Kỳ bị khai thác
Vào năm 2019, một nhà cung cấp vận hành lưới điện Hoa Kỳ đã bị ảnh hưởng bởi một lỗ hổng bảo mật Từ chối dịch vụ (DoS) bị tin tặc khai thác. Các tường lửa trên mạng ngoại vi bị kẹt trong vòng lặp khai thác khởi động lại trong khoảng mười giờ.
Sau đó người ta cho rằng nguyên nhân là do lỗ hổng bảo mật firmware đã biết nhưng chưa được vá trong tường lửa. Thủ tục vận hành chuẩn để kiểm tra các bản cập nhật trước khi thực thi vẫn chưa được thực hiện, gây ra sự chậm trễ trong các bản cập nhật và một vấn đề bảo mật không thể tránh khỏi. Rất may, vấn đề bảo mật này không dẫn đến sự xâm nhập mạng đáng kể nào.
Những sự kiện này nhấn mạnh tầm quan trọng của các bản cập nhật phần mềm thường xuyên. Nếu không có chúng, tường lửa sẽ là hệ thống bảo mật mạng khác có thể bị khai thác.
Cách sử dụng bảo vệ tường lửa
Việc thiết lập và bảo trì tường lửa đúng cách là điều cần thiết để bảo vệ mạng và thiết bị của bạn. Sau đây là một số mẹo hướng dẫn thực hành bảo mật mạng tường lửa của bạn:
- Luôn cập nhật tường lửa của bạn càng sớm càng tốt: Các bản vá phần mềm và firmware giúp cập nhật tường lửa của bạn để chống lại mọi lỗ hổng bảo mật mới được phát hiện. Người dùng tường lửa cá nhân và gia đình thường có thể cập nhật an toàn ngay lập tức. Các tổ chức lớn hơn có thể cần kiểm tra cấu hình và khả năng tương thích trên toàn mạng của họ trước tiên. Tuy nhiên, mọi người cần có các quy trình để cập nhật kịp thời.
- Giới hạn các cổng và máy chủ lưu trữ có thể truy cập bằng danh sách cho phép: Mặc định là từ chối kết nối cho lưu lượng đến. Giới hạn các kết nối đến và đi bằng danh sách trắng nghiêm ngặt các địa chỉ IP đáng tin cậy. Giảm các đặc quyền truy cập của người dùng xuống mức cần thiết. Việc duy trì bảo mật sẽ dễ dàng hơn nếu cho phép truy cập khi cần thay vì thu hồi và giảm thiểu thiệt hại sau sự cố.
- Mạng phân đoạn: Việc di chuyển ngang của các tác nhân độc hại là mối nguy hiểm rõ ràng và có thể làm chậm lại bằng cách hạn chế giao tiếp chéo nội bộ.
- Có các giải pháp dự phòng mạng chủ động để tránh thời gian chết: Các bản sao lưu dữ liệu cho máy chủ lưu trữ mạng và các hệ thống thiết yếu khác có thể ngăn ngừa việc mất dữ liệu và năng suất trong trường hợp xảy ra sự cố.
Kaspersky Endpoint Security đã nhận được ba giải thưởng AV-TEST cho hiệu suất, khả năng bảo vệ và khả năng sử dụng tốt nhất cho một sản phẩm bảo mật thiết bị đầu cuối của doanh nghiệp vào năm 2021. Trong mọi bài kiểm tra, Kaspersky Endpoint Security đã thể hiện hiệu suất, khả năng bảo vệ và khả năng sử dụng vượt trội dành cho doanh nghiệp.
Sản phẩm được khuyến cáo:
