Tường lửa Stateful Inspection (SPI) là một thành phần quan trọng trong bảo mật mạng hiện đại. Bài viết này sẽ cung cấp một cái nhìn sâu sắc về tường lửa Stateful, cách thức hoạt động, so sánh với tường lửa Stateless và các ứng dụng thực tế của nó.
Mục Lục
Stateful Firewall Inspection (SPI) Là Gì?
Theo định nghĩa từ Wikipedia, tường lửa stateful firewall là một loại tường lửa mạng có khả năng theo dõi trạng thái hoạt động và các đặc tính của các kết nối mạng đi qua nó. Tường lửa được cấu hình để phân biệt các gói tin hợp lệ cho các loại kết nối khác nhau. Chỉ những gói tin phù hợp với một kết nối đang hoạt động đã biết mới được phép đi qua tường lửa.
Kiểm tra gói tin trạng thái (Stateful Packet Inspection – SPI), còn được gọi là lọc gói tin động, là một tính năng bảo mật thường được tích hợp trong các mạng doanh nghiệp.
Stateful Firewall Là Gì
Tường lửa Stateful cố gắng theo dõi trạng thái của kết nối mạng khi lọc gói tin. Khả năng của tường lửa Stateful là sự kết hợp giữa chức năng của bộ lọc gói tin và thông tin giao thức cấp ứng dụng. Nhờ kiến thức giao thức bổ sung này, nhiều vấn đề gặp phải khi cấu hình tường lửa lọc gói tin cho các giao thức hoạt động theo các cách không chuẩn được giải quyết.
Bài viết này sẽ thảo luận về lọc trạng thái, kiểm tra trạng thái và kiểm tra gói tin sâu (Deep Packet Inspection – DPI), cũng như cách xử lý các giao thức vận tải và cấp ứng dụng khác nhau. Chúng ta cũng sẽ xem xét một số ví dụ thực tế về cách các nhà cung cấp triển khai theo dõi trạng thái, và đánh giá các ví dụ về tường lửa như Juniper SRX300, Juniper SRX340, Fortigate 100F , Fortigate 400E, Fortigate 600E.
Tường lửa Stateful có thể giám sát trạng thái hoạt động và các đặc tính của các kết nối mạng từ đầu đến cuối. Nó được lập trình để phân biệt giữa các gói tin hợp lệ với nhiều loại kết nối khác nhau. Về mặt kỹ thuật, tường lửa trạng thái có thể nhận biết giai đoạn kết nối TCP đang ở (mở, đã gửi yêu cầu mở, đồng bộ hóa, đồng bộ hóa xác nhận hoặc đã thiết lập). Nó cũng có thể nhận biết nếu MTU (Maximum Transmission Unit) bị thay đổi, hoặc nếu các gói tin đã bị phân mảnh hay chưa.
Tường Lửa Stateful Hoạt Động Như Thế Nào?
Tường lửa Stateful dành phần lớn thời gian để kiểm tra thông tin gói tin ở lớp 4 (lớp giao vận) và các lớp thấp hơn. Tuy nhiên, nó cũng cung cấp khả năng kiểm tra nâng cao hơn bằng cách nhắm mục tiêu các gói tin quan trọng để kiểm tra ở lớp 7 (lớp ứng dụng), ví dụ như gói khởi tạo kết nối.
Nếu một gói tin được kiểm tra và phù hợp với quy tắc tường lửa hiện có cho phép nó, gói tin sẽ được truyền đi và một mục (entry) được thêm vào bảng trạng thái (state table). Từ thời điểm đó trở đi, các gói tin trong phiên giao tiếp cụ thể đó sẽ khớp với một mục nhập bảng trạng thái hiện có, và chúng được phép truy cập mà không cần kiểm tra lớp ứng dụng thêm. Những gói tin này chỉ cần thông tin lớp 3 và 4 (địa chỉ IP và số cổng TCP/UDP) được xác minh dựa trên thông tin được lưu trữ trong bảng trạng thái để xác nhận rằng chúng thực sự là một phần của phiên kết nối hiện tại.
Stateful Inspection Là Gì
Ngược lại, vì các tường lửa này sử dụng các kỹ thuật lọc gói tin, chúng không xem xét các lệnh lớp ứng dụng cho toàn bộ phiên truyền thông, như tường lửa proxy. Điều này có nghĩa là nó không có khả năng thực sự kiểm soát các phiên dựa trên lưu lượng truy cập cấp ứng dụng, khiến nó kém an toàn hơn so với proxy. Tuy nhiên, nhờ lợi thế về tốc độ và khả năng xử lý bất kỳ loại lưu lượng truy cập nào (trái ngược với số lượng giao thức hạn chế được hỗ trợ bởi proxy cấp ứng dụng), tường lửa Stateful có thể là một lựa chọn tuyệt vời cho một trang web hoặc như một thành phần trong một môi trường mạng phức tạp hơn.
Việc sử dụng một thiết bị bảo vệ duy nhất thường là một điều cần thiết về mặt tài chính đối với các trang web nhỏ. Tuy nhiên, mặc dù chỉ có một tường lửa đang được triển khai, các tùy chọn bảo vệ chuyên sâu khác như hệ thống phát hiện xâm nhập (IDS), máy chủ ghi nhật ký và giám sát, cũng như bảo vệ cấp máy chủ cũng được sử dụng để triển khai mạng an toàn hơn.
Sử Dụng Tường Lửa Như Một Phương Tiện Kiểm Soát
Một điểm quan trọng cần xem xét khi thảo luận về an ninh mạng là khái niệm về tường lửa như một điểm nghẽn (chokepoint) mạng. Một chokepoint là một điểm truy cập đơn, có thể điều khiển, nơi một cái gì đó được định tuyến để bảo mật tốt hơn. Tuy nhiên, khu vực hạn chế này cũng có thể là nơi băng thông bị hạn chế. Một ví dụ điển hình của một chokepoint trong thế giới thực là máy dò kim loại tại sân bay.
Hãy tưởng tượng nếu máy dò kim loại có kích thước của toàn bộ hành lang trong sân bay, và 20 người trở lên có thể đi qua một cánh cổng cùng một lúc. Nếu máy dò bị tắt, sẽ rất khó cho các thanh tra viên xác định xem nhóm người nào đã kích hoạt nó và có thể ngăn người đó kiểm tra thêm. Kiểm soát giao thông chi tiết hơn là cần thiết trong tình huống như vậy.
Đó là lý do tại sao khái niệm về chokepoint là cần thiết; nó cho phép một thanh tra viên kiểm tra từng người một đi qua máy dò kim loại. Chokepoint cung cấp thêm quyền kiểm soát những người tham gia vào sân bay. Việc phân luồng người để kiểm soát thêm có thể dẫn đến sự chậm lại trong quá trình; do đó, các hàng thường hình thành tại các máy dò kim loại sân bay.
Tương tự như máy dò kim loại, tường lửa cung cấp một chokepoint cho phân đoạn mạng của bạn. Tất cả lưu lượng truy cập đi vào hoặc rời khỏi mạng của bạn cần phải đi qua nó để kiểm tra. Điều khiển bổ sung này không chỉ giúp bảo vệ luồng giao thông bên trong và bên ngoài mà còn cho phép một điểm duy nhất để kiểm tra và ghi lại lưu lượng truy cập, xác minh rằng nếu vi phạm xảy ra, nó sẽ được ghi lại.
Việc lọc gói tin đơn thuần không được coi là đủ để cung cấp sự bảo vệ. Để ngăn chặn hiệu quả lưu lượng mạng ngang hàng, điều cần thiết là tường lửa lọc ứng dụng, có thể được coi là phần mở rộng để kiểm tra gói tin trạng thái. Kiểm tra gói tin trạng thái có thể xác định loại giao thức nào đang được gửi qua mỗi cổng, nhưng các bộ lọc mức ứng dụng xem xét giao thức đang được sử dụng. Ví dụ, một bộ lọc mức ứng dụng có thể cho biết sự khác biệt giữa lưu lượng HTTP được sử dụng để truy cập trang web và lưu lượng HTTP được sử dụng để chia sẻ tệp, trong khi tường lửa chỉ thực hiện lọc gói tin sẽ xử lý tất cả lưu lượng HTTP như nhau.
Tường lửa lớp ứng dụng thường chậm hơn so với kiểm tra trạng thái. Tường lửa lớp ứng dụng đôi khi được triển khai bằng proxy ứng dụng. Hai kết nối TCP được thiết lập: một kết nối giữa nguồn gói tin và tường lửa, một kết nối giữa tường lửa và đích đến của gói tin. Proxy ứng dụng chặn các gói tin đến thay mặt cho đích, kiểm tra tải trọng của ứng dụng và sau đó chuyển các gói tin được phép tới đích. Dữ liệu đáng ngờ bị xóa và máy khách và máy chủ không bao giờ giao tiếp trực tiếp với nhau. Proxy liên quan đến nhiều giao thức hơn là kiểm tra các gói tin ở tầng mạng. Hơn nữa, bởi vì một proxy duy nhất là cần thiết cho mỗi ứng dụng, tường lửa proxy có thể ít linh hoạt và chậm hơn để nâng cấp so với tường lửa kiểm tra trạng thái. Tuy nhiên, vì các proxy cấp ứng dụng nhận thức được ứng dụng, chúng có thể dễ dàng xử lý các giao thức phức tạp như H.323 hoặc SIP, được sử dụng cho hội nghị truyền hình và VoIP (Voice over IP).
Có một rủi ro là các lỗ hổng trong các bộ giải mã giao thức riêng lẻ có thể cho phép kẻ tấn công giành quyền kiểm soát tường lửa. Mối quan tâm này nhấn mạnh sự cần thiết phải cập nhật phần mềm tường lửa.
Một số tường lửa trạng thái cũng làm tăng khả năng các máy chủ cá nhân có thể bị lừa để tạo ra các kết nối bên ngoài. Khả năng này chỉ có thể được loại bỏ hoàn toàn bằng cách kiểm tra phần mềm máy chủ. Một số tường lửa có thể bị đánh bại theo cách này bằng cách chỉ cần xem một trang web.
Kiểm tra trạng thái, còn được gọi là lọc gói tin động, là công nghệ tường lửa giám sát trạng thái của các kết nối đang hoạt động và sử dụng thông tin này để xác định gói tin mạng nào được phép đi qua tường lửa.
Kiểm tra trạng thái đã thay thế phần lớn công nghệ cũ, lọc gói tin tĩnh. Trong lọc gói tin tĩnh, chỉ có các tiêu đề của gói tin được kiểm tra – điều đó có nghĩa là kẻ tấn công đôi khi có thể lấy thông tin thông qua tường lửa đơn giản bằng cách chỉ ra “trả lời” trong tiêu đề. Mặt khác, kiểm tra trạng thái phân tích các gói tin xuống tầng ứng dụng. Bằng cách ghi lại thông tin phiên như địa chỉ IP và số cổng, bộ lọc gói tin động có thể thực hiện tư thế bảo mật chặt chẽ hơn nhiều so với bộ lọc gói tin tĩnh.
Kiểm tra trạng thái giám sát các gói tin truyền thông trong một khoảng thời gian và kiểm tra cả các gói tin gửi đến và đi. Các gói tin gửi đi yêu cầu các loại gói tin đến cụ thể sẽ được theo dõi và chỉ những gói dữ liệu đến đó cấu thành một đáp ứng thích hợp được cho phép thông qua tường lửa.
Trong tường lửa sử dụng kiểm tra trạng thái, quản trị viên mạng có thể đặt các tham số để đáp ứng các nhu cầu cụ thể. Trong một mạng điển hình, các cổng được đóng lại trừ khi một gói tin gửi đến yêu cầu kết nối đến một cổng cụ thể, và sau đó chỉ cổng đó được mở. Thực hành này ngăn chặn quét cổng, một kỹ thuật tấn công phổ biến. Check Point Software Technologies đã phát triển kiểm tra trạng thái vào đầu những năm 1990.
So Sánh Tường Lửa Stateful và Stateless
Một tường lửa có thể được mô tả là một trong hai loại: Stateful hoặc Stateless.
Stateless Firewall: Tường lửa Stateless xem xét lưu lượng mạng và hạn chế hoặc chặn các gói tin dựa trên địa chỉ nguồn và đích hoặc các giá trị tĩnh khác. Chúng không “nhận thức” về các mẫu lưu lượng truy cập hoặc luồng dữ liệu. Một tường lửa Stateless sử dụng các bộ quy tắc đơn giản mà không tính đến khả năng một gói tin có thể được nhận bởi tường lửa “giả vờ” là thứ mà bạn yêu cầu.
Stateful Firewall: Tường lửa Stateful có thể xem luồng lưu lượng truy cập từ đầu đến cuối. Chúng nhận thức được các đường dẫn truyền thông và có thể thực hiện các chức năng IP Security (IPsec) khác nhau như đường hầm và mã hóa. Về mặt kỹ thuật, điều này có nghĩa là tường lửa trạng thái có thể cho biết kết nối TCP đang ở giai đoạn nào (mở, đã gửi yêu cầu mở, đồng bộ hóa, đồng bộ hóa xác nhận hoặc đã thiết lập), nó có thể cho biết MTU đã thay đổi hay không, hoặc liệu gói tin có bị phân mảnh hay không.
Không có loại tường lửa nào thực sự vượt trội hơn loại nào, và có những lập luận tốt cho cả hai. Tường lửa Stateless thường nhanh hơn và hoạt động tốt hơn dưới tải lưu lượng nặng. Tường lửa Stateful tốt hơn trong việc xác định các thông tin liên lạc trái phép và giả mạo.
Các từ khóa liên quan: thiết bị firewall, thiết bị firewall là gì, thiết bị tường lửa fortigate, firewall cisco, firewall fortinet, cấu hình tường lửa fortigate trong mạng doanh nghiệp, thiết bị bảo mật firewall, firewall fortinet giá, fortigate toàn tập, thiết bị tường lửa, thiết bị tường lửa fortigate, thiết bị tường lửa là gì, firewall fortinet, thiết bị tường lửa asa, thiết bị tường lửa fortigate fg 200e, thiết bị tường lửa fortigate fg 100e, thiết bị tường lửa fortigate fg 100e bdl, firewall fortinet giá.