Trước đây con người  đã sử dụng cây và các khúc gỗ làm hàng rào bảo vệ vật nuôi của họ bên trong làng tránh các mối đe dọa tiềm tàng như sư tử và các bộ lạc bên ngoài luôn đe dọa. Khi công nghệ  được ngày càng được phát triển, những người dân  du cư trở thành chủ trang trại và các hàng rào được xây dựng  bằng đá, những hàng rào này không chỉ bảo vệ tốt hơn với hàng rào bằng gỗ mà còn bền vững hơn các hàng rào kia. Toàn bộ làng được nằm trong trung tâm  của một pháo đài, với tường bảo vệ cao, hào sâu để giữ vật nuôi và sự an toàn cho dân chúng.

Thời kỳ bắt đầu

Tường lửa cũng có các giai đoạn phát triển tương tự như vậy; thời kỳ mới bắt đầu, chỉ có các router với danh sách những thứ được truy cập, vì đó là tất cả những thứ cần thiết trong việc định tuyến. Việc quản lý một mạng chỉ được thực hiện bằng cách sử dụng các danh sách điều khiển truy cập  và lọc một cách cơ bản cũng đủ để bảo vệ chống lại sự thâm nhập của người dùng  không xác thực. Điều này là vì các router được đặt tại trung tâm  của mỗi mạng và đặc biệt nữa là các thiết bị này được sử dụng để định tuyến lưu lượng đến và đi trong các kết nối WAN giống như các văn phòng  chi nhánh và Internet.

Thực tế thì những thay đổi có liên quan tới các router là rất ít trừ một số sự thay đổi không đáng kể trong việc lọc lưu lượng và các tổ chức sản xuất ra thiết bị này đã tập trung vào việc tăng độ bảo mật  vào lớp mà các thiết bị có khả năng thực hiện nằm ở đó. Chúng ta đang nói về cái gì? Một bức tường được xây dựng  bằng các khúc gỗ sẽ luôn là một bức tường bằng gỗ chứ không phải là tường đá.

Tường lửa của lớp Session cũng được biết đến như các tường lửa ở lớp Circuit hoặc circuit gateway. Tường lửa lớp này có các tính năng sau: chúng hoạt động  trong lớp TCP của mô hình OSI. Về cơ bản, các tường lửa này sử dụng NAT (Network Address Translation) để bảo vệ mạng bên trong và các gateway này chỉ có một chút hoặc không kết nối với lớp ứng dụng, chính vì vậy không thể lọc các kết nối phức tạp hơn. Các tường lửa này chỉ có thể bảo vệ lưu lượng theo nguyên lý cơ bản.

Thế hệ kế tiếp

Khi công nghệ  được phát triển, nhu cầu quản lý truy cập  đối với các mạng gửi đi được đặt ra và cần phải thực thi. Người dùng  có thể duyệt Internet  và lợi dụng được điểm yếu của bức tường xây dựng  bằng gỗ vì chúng có thể vòng tránh qua hàng rào bằng cách giả bộ tính xác thực trong khi đó lại là những mối nguy hiểm tiềm tàng cho vấn đề an ninh bảo mật.

Điều này có nghĩa rằng người dùng  có thể dễ dàng tránh các biện pháp canh phòng bảo mật  ở lớp thứ 5 bằng cách telnet (dùng chương trình  để tiến hành thâm nhập từ xa thông qua giao thức TCP/IP) đến một cổng để tiếp nhận dữ liệu  gửi đến nhưng không phải là cổng telnet (từ cổng 23 đến cổng 80). Router với các danh sách truy cập  sẽ cho phép người dùng  kết nối tới cổng mặc dù cổng này không phải là cổng telnet mà lại là một cổng cho dịch vụ  khác. Ở các cổng này router chỉ thực hiện một hành động  thanh tra đơn giản, nếu nó không phát hiện ra vấn đề gì thì dữ liệu  này hoàn toàn có thể đi qua. Chính vì vậy những kẻ ác tâm có thể dễ dàng xâm nhập qua các cổng này. Công nghệ  này được thực thi theo cả hai hướng, và những năm 90 có thể nói là những năm của tường lửa.

Vào cuối những năm 90, các máy chủ  proxy dòng chủ đạo đã được giới thiệu  trong hoàn cảnh  kết hợp chặt chẽ công nghệ  tường lửa cơ bản. “Proxy firewall” này có thể chặn lưu lượng giữa nguồn và đích, chủ thể và khách thể và vì “proxy firewall” nằm ở phần giữa nên nó có khả năng kiểm tra các gói theo các nguyên tắc đã được định nghĩa trước để hạn chế một số thành phần nguy hiểm.

Về công nghệ

Các tường lửa lớp Session hoạt động  tại lớp 5 trong mô hình 7 lớp OSI. Trước đây, cách thức bảo vệ này hoàn toàn đáp ứng được đối với những mạng ở thập kỷ 90, nhưng khi các tấn công  được khai thác theo mức ứng dụng và sự lớn mạnh của Internet  cũng như tính chất phức tạp trong cách viết mã tạo ra nó đã cũng phát triển, các tường lửa lớp session không còn đủ tin cậy để bảo vệ cho mạng nữa. Một tường lửa mà không có cơ chế bảo vệ lớp ứng dụng sẽ thiếu sự an toàn và các lỗ hổng  hệ điều hành  có thể trực tiếp  phơi bày trên Internet  bởi tất cả các tường lửa lớp session đều có thể cung cấp một bảng định tuyến và danh sách điều khiển truy cập  với một mức bảo vệ cơ bản.

Những cải tiến nhỏ trong các tường lửa lớp session cho phép tường lửa này có thể kiểm tra ở mức độ sâu hơn đối với các giao thức phổ biến, tuy nhiên các cải tiến đó lại dễ dàng bị vòng tránh bằng một số công cụ cũ. Môi trường  trực tuyến  ngày nay cần phải cài đặt thêm tường lửa lớp ứng dụng để đóng vai trò hơn cả như cổng nguồn-đích và ACL. Sự kiểm tra các gói dữ liệu  được thực hiện tỉ mỉ hơn, quản lý kết nối an toàn hơn và lọc lớp ứng dụng là một thành phần sống còn và rất cần thiết khi tương tác với các ứng dụng hiện đại. Với lý do  này, các tổ chức có mối quan tâm  nghiêm túc với vấn đề bảo mật  sẽ không nên coi tường lửa lớp session (các router với danh sách truy cập) hơn các tường lửa lớp ứng dụng.

Các tường lửa thế hệ thứ ba  được biết đến như một tường lửa lớp ứng dụng hoặc proxy firewall, tường lửa này có khả năng ủy nhiệm theo cả hai hướng để bảo vệ cả chủ thể và khách thể. Proxy làm trung gian hòa giải cho kết nối và vì vậy có thể lọc và quản lý truy cập  lẫn nội dung  đến và đi đối với chủ thể và khách thể. Vấn đề này có thể được kích hoạt theo nhiều cách khác nhau với sự tích hợp bên trong các thư mục đang tồn tại như LDAP cho truy cập  người dùng  và nhóm người dùng.

Tường lửa lớp ứng dụng cũng có thể mô phỏng máy chủ  đang có những lỗ hổng  phơi bày trên Internet  để người dùng  có thể bảo vệ tốt hơn kết nối của họ. Sự thật là khi người dùng  vào một máy chủ  nào đó thì họ có thể “thăm” cổng của tường lửa lớp 7 và yêu cầu được kiểm tra, sau đó được phân tích  thông qua những điều lệ cơ bản trong quá trình xử lý. Khi qua được điều lệ cơ bản nó sẽ so khớp với điều lệ tương ứng cho phép vào máy chủ, tuy nhiên sự khác biệt  ở đây là kết nối đó có thể được thực hiện bên ngoài cache, chính vì vậy đã cải thiện được hiệu suất  và độ bảo mật  của kết nối.

Sơ đồ trên mô tả về mô hình OSI, lớp 5 là lớp Session còn lớp 7 là lớp Application. Lớp trên lớp ứng dụng được ám chỉ đến với tư cách là lớp 8, về cơ bản lớp 8 này chỉ là người dùng  và các chính sách.

Nói chung về OSI

Đơn giản mà nói, mô hình OSI là một mô hình được phân lớp trong kiến trúc mạng. Mô hình này chi phối cách hai hệ thống  truyền thông  với nhau như thế nào.

Về cơ bản lớp trên cùng (ứng dụng) là lớp mà tường lửa proxy hoạt động  tại đó. Các tường lửa này là tường lửa thế hệ thứ ba, chúng có thể quét xuống các lớp thấp hơn. Khi so sánh với các tường lửa lớp session hay lớp circuit thì tường lửa lớp ứng dụng kết hợp chặt chẽ các tính năng của tường lửa lớp session và các tính năng được cải thiện khác như ủy nhiệm ngược cho việc bảo vệ chống giả mạo website.

Tương lai

Các tấn công  ngày nay đã quá tinh vi đến nỗi hầu hết các tường lửa lớp session đều không đủ khả năng ngăn chặn các tấn công  ứng dụng cơ bản. Vì lý do  đó, các tường lửa theo lớp 5 cũ hơn cần phải được thay thế bằng các tường lửa lớp ứng dụng an toàn hơn. Cũng vì lý do  này mà PCI DSS chỉ cho phép các kiểu tường lửa đó thay thế khi bảo vệ các thông tin  thẻ tín dụng.

Kết luận

Dù chúng ta dựa vào các thói quen và công nghệ  cũ của mình bao nhiêu đến đâu nữa thì các phương pháp an toàn bằng tưởng lửa được cải thiện mới cũng nên được xem xét đến. Các chuyên gia  về bảo mật  cũng đang bị thách thức với vấn đề quản lý người dùng, làm sao để đưa ra được cách mã hóa lưu lượng của họ. Giải pháp ở đây là bổ sung vào các tường lửa lớp ứng dụng có thể quét bên trong các luồng dữ liệu  đã được mã hóa. Ở bên ngoài, các tấn công  mức ứng dụng đã ngày được cấu trúc hơn vẫn đang tinh vi lên hàng ngày, chính vì vậy chỉ có một cách để xử lý các mối đe dọa như vậy là cũng cần sử dụng đến tường lửa lớp ứng dụng tinh vi hơn trong cuộc chiến  này.

Bạn có ý kiến gì về bài viết Sự khác biệt giữa tường lửa của lớp Session và lớp ứng dụng này? Hãy gởi suy nghĩ, bình luận, đánh giá, lời khuyên ... của bạn về bài viết Sự khác biệt giữa tường lửa của lớp Session và lớp ứng dụng bạn tại đây.