Với sự bùng nổ ngày càng mạnh mẽ của mạng Internet, các quốc gia các tổ chức, các công ty và tất cả mọi người đang ngày càng xích lại gần nhau hơn. Khoảng cách về địa lý ngày càng trở nên mờ dần và khái niệm một thế giới “phẳng” đang trở nên rõ nét. Thật khó mà kể hết những lợi ích mà Internet mang lại cho con người và cũng không thể tưởng tượng được một ngày thiếu Internet thì con người sẽ phải xoay sở như thế nào. Đó không chỉ là một công cụ trao đổi thông tin nhanh chóng tin cậy mà còn là kho thông tin vô tận, cập nhật, đa dạng và đầy đủ nhất. Có thể nói rằng Internet là nguồn tài nguyên vô giá trong kỉ nguyên số hiện nay. Chính vì vậy việc khai thác và tận dụng được tài nguyên mạng là mối quan tâm hàng đầu của các doanh nghiệp. Công nghệ mạng Lan và mạng Wan phát triển đã thỏa mãn nhu cầu đó.
Tuy nhiên ngoài những lợi ích to lớn mạng Internet cũng ẩn chứa những nguy cơ khôn lường về khả năng đánh cắp, phá hoại những tài sản thông tin của tổ chức dẫn đến những hậu quả nghiêm trọng. Chính vì vậy công việc và trọng trách đặt lên vai của những người làm công nghệ thông tin trên thế giới nói chung và ở Việt Nam nói riêng không chỉ là nghiên cứu xây dựng và phát triển nhanh chóng mạng máy tính trong nước để mọi người có thể khai thác tiềm năng hết sức phong phú trên Internet mà đồng thời cũng phải nghiên cứu thực hiện tốt các biện pháp ngăn chặn, phòng chống, phát hiện và phục hồi được các hành vi tấn công phá hoại trái phép trên mạng, nhằm đảm bảo được tối đa sự phát triển cho các tổ chức kinh doanh
Với mục đích đó trong thời gian thực tập nhóm đã tự tìm hiểu các khái niệm cơ bản về bảo mật cùng với những kiến thức về mạng máy tính đã học được tại học viện mạng của Cisco, mong muốn xây dựng được một hệ thống bảo mật sử dụng công nghệ firewall có nhiều tính ứng dụng trong thực tiễn.
Đề tài này sẽ giới thiệu các kiến thức chung về bảo mật mạng máy tính, các công nghệ thường được sử dụng để bảo mật trên nền bộ giao thức TCP/IP, giao thức chính trên Intenet và cụ thể đi sâu vào công nghệ Firewall một công nghệ bảo mật phổ biến nhất hiện nay.
Chũng tôi xin chân thành cảm ơn sự chỉ bảo hướng dẫn tận tình của Thầy Cao Văn Lợi đã giúp chúng tôi thực hiện đồ án này.
Vì thời gian hạn hẹp, vấn đề cần tìm hiểu quá rộng, lượng thông tin và tài liệu cần đọc rất lớn, kiến thức hạn chế nên chắc chắn rằng bản đồ án này sẽ không tránh khỏi những thiếu sót, rất mong nhận được sự chỉ bảo góp ý thắng thắn từ phía thầy cô và các bạn.
Trân trọng cảm ơn .
51 trang |
Chia sẻ: oanh_nt | Lượt xem: 3194 | Lượt tải: 3
Bạn đang xem trước 20 trang tài liệu Bảo mật mạng Internet trên nền bộ giao thức TCP/IP, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
LỜI NÓI ĐẦU
Với sự bùng nổ ngày càng mạnh mẽ của mạng Internet, các quốc gia các tổ chức, các công ty và tất cả mọi người đang ngày càng xích lại gần nhau hơn. Khoảng cách về địa lý ngày càng trở nên mờ dần và khái niệm một thế giới “phẳng” đang trở nên rõ nét. Thật khó mà kể hết những lợi ích mà Internet mang lại cho con người và cũng không thể tưởng tượng được một ngày thiếu Internet thì con người sẽ phải xoay sở như thế nào. Đó không chỉ là một công cụ trao đổi thông tin nhanh chóng tin cậy mà còn là kho thông tin vô tận, cập nhật, đa dạng và đầy đủ nhất. Có thể nói rằng Internet là nguồn tài nguyên vô giá trong kỉ nguyên số hiện nay. Chính vì vậy việc khai thác và tận dụng được tài nguyên mạng là mối quan tâm hàng đầu của các doanh nghiệp. Công nghệ mạng Lan và mạng Wan phát triển đã thỏa mãn nhu cầu đó.
Tuy nhiên ngoài những lợi ích to lớn mạng Internet cũng ẩn chứa những nguy cơ khôn lường về khả năng đánh cắp, phá hoại những tài sản thông tin của tổ chức dẫn đến những hậu quả nghiêm trọng. Chính vì vậy công việc và trọng trách đặt lên vai của những người làm công nghệ thông tin trên thế giới nói chung và ở Việt Nam nói riêng không chỉ là nghiên cứu xây dựng và phát triển nhanh chóng mạng máy tính trong nước để mọi người có thể khai thác tiềm năng hết sức phong phú trên Internet mà đồng thời cũng phải nghiên cứu thực hiện tốt các biện pháp ngăn chặn, phòng chống, phát hiện và phục hồi được các hành vi tấn công phá hoại trái phép trên mạng, nhằm đảm bảo được tối đa sự phát triển cho các tổ chức kinh doanh…
Với mục đích đó trong thời gian thực tập nhóm đã tự tìm hiểu các khái niệm cơ bản về bảo mật cùng với những kiến thức về mạng máy tính đã học được tại học viện mạng của Cisco, mong muốn xây dựng được một hệ thống bảo mật sử dụng công nghệ firewall có nhiều tính ứng dụng trong thực tiễn.
Đề tài này sẽ giới thiệu các kiến thức chung về bảo mật mạng máy tính, các công nghệ thường được sử dụng để bảo mật trên nền bộ giao thức TCP/IP, giao thức chính trên Intenet và cụ thể đi sâu vào công nghệ Firewall một công nghệ bảo mật phổ biến nhất hiện nay.
Chũng tôi xin chân thành cảm ơn sự chỉ bảo hướng dẫn tận tình của Thầy Cao Văn Lợi đã giúp chúng tôi thực hiện đồ án này.
Vì thời gian hạn hẹp, vấn đề cần tìm hiểu quá rộng, lượng thông tin và tài liệu cần đọc rất lớn, kiến thức hạn chế nên chắc chắn rằng bản đồ án này sẽ không tránh khỏi những thiếu sót, rất mong nhận được sự chỉ bảo góp ý thắng thắn từ phía thầy cô và các bạn.
Trân trọng cảm ơn .
LỜI MỞ ĐẦU
Với mục đích thu thập các kiến thức cơ bản về bảo mật mạng Internet trên nền bộ giao thức TCP/IP và đi sâu nghiên cứu thiết kế hệ công nghệ bảo mật firewall, bản đồ án này được chúng tôi chia thành 6 phần với những nội dung như sau:
Chương I: Tổng quan về Firewall
Trình bày khái niệm firewall và phần loại Firewall
Chương II : Chức năng ,nhiệm vụ của Firewall phần cứng
Tìm hiểu các chức năng và nhiệm vụ của Firewall cứng
Chương III : Cấu trúc & nguyên tắc hoạt động cửa Firewall cứng
Tìm hiểu cấu trúc và cơ chế hoạt động cửa Firewall cứng và một sô hạn chế của Firewall cứng
Chương IV : Mô hình và ứng dụng cảu Firewall
Trình bày 1 số mô hình và ứng dụng cửa Firewall cứng
Chuương V : Tường lửa CISCO PIX FIREWALL
Tìm hiểu về CISCO PIX FIREWALL và giới thiệu một số Fire cứng, Cách cài đặt và câu lệnh
CHƯƠNG I : TỔNG QUAN VỀ FIREWALL
1.Firewall là gì?
Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hỏa hoạn. Trong công nghệ thông tin, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhâp không mong muốn vào hệ thống.
Một Firewall có thể được định nghĩa là một tập hợp các thành phần được đặt giữa hai mạng và có chung ba đặc điểm sau đây:
+ Tất cả các lưu lượng từ trong ra ngoài và ngược lại đều phải đi qua Firewall.
+ Chỉ các lưu lượng được cho phép như được ấn định bởi chính sách bảo mật cục bộ mới được phép đi qua.
+ Chính Firewall không bị ảnh hưởng bởi sự thâm nhập
2.Nguyên lý hoạt động của Firewall
Firewall hoạt động chặt chẽ với giao thức TCP/IP, vì giao thức này làm việc theo thuật tón chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS …) thành các gói dữ liệu (data packets) rồi gán cho các packet này những địa chỉ có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại Firewall cũng liên quan rất nhiều đến các packet và những con số địa chỉ của chúng.
Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được. Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thỏa mãn một trong số các luật lệ của lọc packet hay không. Các luật lệ lọc packet này là dựa trên các thông tin ở đầu mỗi packet (header), dùng để cho phép truyền các packet đó ở trên mạng. Bao gồm:
• Địa chỉ IP nơi xuất phát (Source)• Địa chỉ IP nơi nhận ( Destination)• Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel …)• Cổng TCP/UDP nơi xuất phát• Cổng TCP/UDP nơi nhận• Dạng thông báo ICMP• Giao diện packet đến• Giao diện packet đi
3.Chức năng của Firewall
Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet và Internet. Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và mạng Internet.
Cho phép hoặc cấm những dịch vụ truy cập ra ngoài.
Cho phép hoặc cấm những dịch vụ từ ngoài truy cập vào trong.
Theo dõi luồng dữ liệu mạng giữa Internet và Intranet
Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập
Kiểm soát người sử dụng và việc truy cập của người sử dụng.
Kiểm soát nội dung thông tin lưu chuyển trên mạng.
4.Phân loại Firewall
Firewall chia làm 2 loại:
*Firewall cứng
Firewall cứng là loại Firewall được tích hợp trực tiếp lên phần cứng - Không được linh hoạt như firewall mềm vì hầu như các firewall cứng đều hướng theo xu hướng tích hợp tất cả trong một( ví dụ : không thể thêm quy tắc hay chức năng ngoài những chức năng đã được tích hợp sẵn…) đối với những firewall cứng trước kia.Hiện tại xuất hiện xu hướng mới của firewall cứng mà đi đầu là dòng sản phẩm PIX ASA 5500 của Cisco. Tuy là firewall cứng nhưng có khả năng tích hợp những module khác ngoài module có sẵn. Cấu trúc chính của loại firewall này bao gồm :- Adaptive tích hợp cơ bản hầu hết các tính năng chính của 1 firewall như DHCP, HTTPS, VPNs, hỗ trợ DMZ, PAT, NAT…và các interface trên nó. Một Adaptive có thể hoạt động độc lập mà không cần bất kỳ module nào khác. Adaptive hỗ trợ nhiều cách cấu hình : Cấu hình thông qua giao diện web hoặc cấu hình qua cổng consol.- Các module riêng lẻ : mỗi module thực hiện một chức năng chuyên biệt và kết nối trực tiếp với Adaptive thông qua cable. Nếu thiết bị đầu cuối nào muốn sử dụng thêm chức năng của module nào thì sẽ được kết nối trực tiếp với module đó.Có nhiều loại module thực hiện nhiều chức năng khác nhau : cung cấp các giao tiếp đến các thiết bị có giao tiếp đặc biệt, cung cấp hệ thống cảnh báo cao cấp IPS,…- Có khả năng hoạt động ở mọi lớp với tốc độ cao nhưng giá cả rất cao.
*Firewall mềm
Firewall mềm là những phần mềm được cài đặt trên máy tính đóng vai trò làm firewall. Có 2 loại là Stateful Firewall (Tường lửa có trạng thái) và Stateless Firewall (Tường lửa không trạng thái).Đặc điểm :- Có tính linh hoạt cao :có thể thêm bớt các luật hoặc các chức năng vì bản chất nó chỉ là 1 phần mềm.- Hoạt động ở tầng ứng dụng.- Có khả năng kiểm tra nội dung của các gói tin thông qua các từ khóa được quy định trong chương trình.
5.Ưu-Nhược điểm Firewall
* Ưu Điểm:
Firewall do con người cấu hình có thể che dấu mạng nội bộ bên trong, lọc dữ liệu và nội dung của dữ liệu để ngăn chặn được các ý đồ xấu từ bên ngoài như : muốn đánh cắp thông tin mật, muốn gây thiệt tê liệt hệ thống đối thủ của mình để gây thiệt hại về kinh tế.- Firewall có thể ngăn chặn các cuộc tấn công vào các server gây tổn thất lớn cho các doanh nghiệp .- Ngoài ra firewall còn có khả năng quét virus, chống spam … khi được tích hợp những công cụ cần thiết.
*Nhược Điểm:
Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại thông tin và phân tích nội dung tốt hay xấu của nó. Firewall chỉ có thể ngăn chặn
sự xâm nhập của những nguồn thông tin không mong muốn nhưng phải xác định rõ các thông số địa chỉ.- Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không “đi qua” nó. Một cách cụ thể, firewall không thể chống lại một cuộc tấn công từ một line dial-up, hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa mềm.- Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data-driven attack).- Khi có một số chương trình được chuyển theo thư điện tử, vượt qua firewall vào trong trust network và bắt đầu hoạt động ở đây. Một ví dụ là các virus máy tính. Firewall có thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua nó. Nhưng do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có rất nhiều cách để mã hóa dữ liệu… Virus vẫn thoát khỏi khả năng rà quét của firewall.
Chương II: CHỨC NĂNG , NHIỆM VỤ CỦA FIWALL CỨNG
Chức năng của Firewall.
Chức năng chính của Firewall là kiểm soát luồng thông tin giữa Intranet và Internet. Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và mạng Internet.
- Cho phép hoặc cấm các dịch vụ truy cập ra ngoài.
- Cho phép hoặc cấm các dịch vụ từ ngoài truy cập vào trong.
- Theo dõi luồng dữ liệu mạng giữa Internet và Intranet.
- Kiểm soát địa chỉ truy nhập, cấm hoặc cho phép địa chỉ truy nhập.
- Kiểm soát người dùng và việc truy cập của người dùng.
- Kiểm soát nội dung thông tin lưu chuyển trên mạng.
- Ngăn ngừa khả năng tấn công từ các mạng ngoài.
Khi Firewall hoạt động, nó sẽ khảo sát tất cả các luồng lưu lượng giữa hai mạng để xem luồng lưu lượng này có đạt chuẩn hay không. Nếu đạt, nó được định tuyến giữa các mạng, ngược lại, lưu lượng sẽ bị hủy.
Bộ lọc của Firewall có khả năng lọc cả lưu lượng ra lẫn lưu lượng vào. Nó cũng có thể quản lý việc truy cập từ bên ngoài vào nguồn tài nguyên bên trong mạng.
Firewall có thể được sử dụng để ghi lại tất cả các cố gắng truy nhập vào mạng riêng và đưa ra cảnh báo kịp thời đối với những thâm nhập trái phép.
Firewall có thể lọc các gói tin dựa vào địa chỉ nguồn, địa chỉ đích và số cổng của chúng, đây được gọi là lọc địa chỉ. Firewall cũng có thể lọc các loại lưu lượng đặc biệt của mạng và điều này được gọi là lọc giao thức bởi vì việc ra quyết định cho chuyển tiếp hoặc từ chối lưu lượng phụ thuộc vào giao thức được sử dụng, ví dụ HTTP, FTP hoặc Telnet. Firewall cũng có thể lọc luồng lưu lượng thông qua thuộc tính và trạng thái của gói.
Một số Firewall có chức năng cao cấp như: đánh lừa được Hacker, làm cho Hacker nhầm tưởng rằng đã phá vỡ được hệ thống an toàn nhưng về cơ bản, nó phát hiện sự tấn công và tiếp quản nó, dẫn dắt kẻ tấn công đi theo một hướng nhất định nhằm để Hacker tin rằng họ đã vào được một phần của hệ thống và có thể truy cập xa hơn, các họat động của kẻ tấn công có thể được ghi lại và theo dõi. Nếu có thể giữ kẻ phá hoại trong một thời gian, người quản trị có thể lần theo dấu vết của họ. Ví dụ, có thể dùng lệnh finger để theo vết kẻ tấn công hoặc tạo tập tin “bẫy mồi” để họ phải mất thời gian truyền lâu, sau đó theo vết việc truyền tập tin về nơi của kẻ tấn công qua kết nối Internet
Nhiệm vụ của Firewall.
. Bảo vệ thông tin.
- Bảo vệ các dữ liệu quan trọng trong hệ thống mạng nội bộ.
- Bảo vệ tài nguyên hệ thống.
- Bảo vệ danh tiếng của công ty sở hữu các thông tin cần bảo vệ.
2.2. Phòng thủ các cuộc tấn công
-Ngoài việc bảo vệ các thông tin từ bên trong hệ thống, Firewall còn có thể chống lại các cuộc tấn công từ bên ngoài vào như:
-Hacker thường sử dụng một số chương trình có khả năng dò tìm các thông tin về hệ thống của bạn như tài khoản và password đăng nhập. Firewall có khả năng phát hiện và ngăn chặn kịp thời các tấn công theo kiểu tấn công này.
-Firewall cũng có khả năng phát hiện và ngăn chặn các chương trình Sniff (Chương trình có khả năng chụp lại các gói tin khi nó được truyền đi trên mạng) mà Hacker thường sử dụng để lấy các thông tin đang được truyền đi trên mạng.
-Hacker hay sử dụng lỗi của các chương trình ứng dụng và bản thân hệ điều hành đã được sử dụng từ những vụ tấn công đầu tiên và vẫn được để chiếm quyền truy cập (có được quyền của người quản trị hệ thống).
+ Nghe trộm: Có thể biết được tên, mật khẩu, các thông tin chuyền qua mạng thông qua các chương trình cho phép đưa vỉ giao tiếp mạng (NIC) vào chế độ nhận toàn bộ các thông tin lưu truyền qua mạng.
+ Giả mạo địa chỉ IP.
+ Vô hiệu hoá các chức năng của hệ thống (deny service). Đây là kiểu tấn công nhằm làm tê liệt toàn bộ hệ thống không cho nó thực hiện các chức năng mà nó được thiết kế. Kiểu tấn công này không thể ngăn chặn được do những phương tiện tổ chức tấn công cũng chính là các phương tiện để làm việc và truy nhập thông tin trên mạng.
+ Lỗi người quản trị hệ thống.
+ Yếu tố con người với những tính cách chủ quan và không hiểu rõ tầm quan trọng của việc bảo mật hệ thống nên dễ dàng để lộ các thông tin quan trọng cho hacker.
Ngoài ra, Firewall còn có nhiều chức năng kiểm tra, lọc các lưu lượng vào/ra hệ thống, bảo vệ an toàn các thông tin từ bên trong và ngăn chặn các cố gắng thâm nhập từ bên ngoài vào hệ thống.
CHƯƠNG III
CẤU TRÚC & NGUYÊN TẮC HOẠT ĐỘNG CÙA FIREWALL CỨNG
Cấu trúc của Firewall cứng
Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua firewall thì điều đó có nghĩa rằng firewall hoạt động kết hợp chặt chẽ với giao thức TCP/IP. Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DSN, SMNP, NFS,...) thành các gói dữ liệu (data packets) rồi gán cho các packet này những địa chỉ để có thể được định tuyến, nhận dạng và tái lập lại ở đích cần gửi đến, do đó các loại firewall cũng liên quan rất nhiều đến các packet và những con số địa chỉ của chúng. Ngày nay Firewall được xây dựng dựa trên cơ sở bộ lọc gói (packet filter), trên cổng ứng dụng (Application gateway), kĩ thuật giám sát trạng thái (Stateful inspecting) và một số firewall khác Bastion Host Firewall (pháo Đài Phòng Ngự). Trong chương này tôi sẽ trình bày 3 kiến trúc firewall cơ bản dựa theo sư phân loại đó.
Firewall bộ lọc gói tin (PACKET FILTERING FIREWALL)
Loại firewall này thực hiện việc kiểm các thông số điều khiển trong trường header của các gói tin IP để cho phép chúng có thể lưu thông qua lại hay không. Các thông số có thể lọc được của một gói tin như sau:
– Địa chỉ IP nguồn (source IP address)
– Địa chỉ IP đích (destination IP address)
– Cổng TCP nguồn (TCP source port)
– Cổng TCP đích (TCP destination port)
Nhờ vậy mà firewall có thể ngăn cản được các kết nối vào những máy chủ hoặc mạng nào đó đã được xác định, hoặc khóa việc truy cập vào hệ thống nội bộ từ những địa chỉ nguồn không cho phép. Hơn nữa việc kiểm soát các cổng làm cho firewall có khả năng chỉ cho phép một số loại kết nối nhất định vào máy chủ nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP,...) được phép mới chạy được trên hệ thống mạng nội bộ.
Hình 2.5 Tưởng lửa lọc gói tin.
2. Firewall các dịch vụ uỷ thác (PROXY SERVER)
Firewall dịch vụ ủy thác là một thiết bị bình phong bảo mật dùng để phân tích các gói dữ liệu được chuyển vào. Khi các gói dữ liệu từ bên ngoài đến proxy server, chúng được kiểm tra và đánh giá để xác định xem chính sách bảo mật có cho phép chúng vào mạng hay không. Proxy server không chỉ định giá trị các địa chỉ IP mà còn xem xét dữ liệu trong các gói để tìm lỗi và sửa sai
.
Hình 2.6. Tường lửa dịch vụ ủy thác
Có 2 loại proxy server cơ bản đó là: cổng mức mạng và cổng mức ứng dụng như mô tả dưới đây.
2.1. Gateway mức mạng (Network Level Gateway)
Loại proxy server này cung cấp kết nối (có điều khiển) giữa các hệ thống nội và ngoại. Có một mạch ảo giữa người dùng nội và proxy server. Các yêu cầu Internet đi qua mạch này đến proxy server, và proxy server chuyển giao yêu cầu này đến Internet sau khi thay đổi địa chỉ IP. Người dùng ngoại chỉ thấy địa chỉ IP của proxy server. Các phản hồi được proxy server nhận và gởi đến người dùng thông qua mạch ảo. Mặc dù luồng lưu thông được phép đi qua, các hệ thống ngoại không bao giờ thấy được hệ thống nội. Loại kết nối này thường được dùng để kết nối người dùng nội “được ủy thác” với Internet.
2.2. Gateway mức ứng dụng (Application level Gateway)
Proxy server mức ứng dụng cung cấp tất cả các chức năng cơ bản của proxy server và còn phân tích các gói dữ liệu. Khi các gói từ bên ngoài đến cổng này, chúng được kiểm tra và đánh giá để xác định chính sách an toàn có cho phép gói này đi vào mạng nội bộ hay không. Proxy server không chỉ đánh giá địa chỉ IP, nó còn nhìn vào dữ liệu trong gói để ngăn những kẻ đột nhập cất dấu thông tin trong đó.
Với các proxy server, các chính sách an toàn mạnh hơn và mềm dẻo hơn nhiều vì tất cả thông tin trong các gói được người điều hành sử dụng để ghi các luật xác định cách xử lý các gói. Có thể giám sát dễ dàng mọi việc xảy ra trên proxy server. Bạn cũng có thể bỏ các tên máy tính để che dấu hệ thống bên trong, và có thể đánh giá nội dung của các gói dữ liệu vì mục đích hợp lý và an toàn. Tính “hợp lý” là một tùy chọn thú vị. Bạn có thể thiết lập bộ lọc để loại bỏ mọi bản tin điện tử chứa các nội dung không được phép.
Hình 2.7. Giao tiếp trên mạng thông qua proxy server
Một proxy server điển hình có thể cung cấp các dịch vụ ủy quyền cho các ứng dụng và giao thức như Telnet, FTP ( File Transfer Protool), HTTP ( Hypertext Transfer Protocol), và SMTP ( Simple Mail Transfer Protocol). Proxy server này không cho phép bất kỳ một gói tin nào đi thẳng trực tiếp giữa hai mạng, mà loại Firewall này được thiết kế để tăng cường khả năng kiểm soát thông qua dịch vụ người đại diện (Proxy Service). Khi một trạm bên ngoài muốn kết nối với các trạm bên trong tường lửa thông qua một dịch vụ nào đó thì trạm bên ngoài phải thông qua Proxy Server. Nếu dịch vụ và các trạm bên ngoài không thuộc diện cấm thông qua đối với Proxy thì Proxy
Server sẽ đi tìm trạm đích bên trong tường lửa để tạo kết nối với trạm bên ngoài và ngược lại các trạm bên trong muốn kết nối ra ngoài cũng vậy. Với cách thức này thì sẽ đánh bại được một số loại tấn công cơ bản như gây tràn bộ đệm của tường lửa.
Tuy nhiên cũng có một số hạn chế đối với dạng tường lửa loại này là: Đây là loại tường lửa được cài đặt cho từng loại dịch vụ riêng rẽ trên mạng ví dụ như Telnet, Mail, FPT…. Nếu chúng ta muốn hỗ trợ một dịch vụ nào đó cho mạng của mình thông qua tường lửa thì chúng ta nhất thiết phải thêm vào proxy cho loại dịch vụ đó. Vì vậy nếu trên mạng bên ngoài có thêm một dich vụ mới nào đó thì người quản trị tường lửa phải xây dựng chính sách đại diện thích hợp với dịch vụ đó. Có hai nguyên tắc để tạo ra chính sách đại diện mặc định ở đây đó là hoăc từ chối tất cả những thứ không được đại diện, hoặc là chấp nhận tất cả những dịch vụ không có dịch vụ đại diện trên tường lửa. Nhưng cả hai cách này dều gây ra những nguy cơ an ninh và bất tiện mới cho hệ thống mạng bên trong tường lửa.
3. Kĩ thuật kiểm tra trạng thái (Stateful packet filtering)
Một trong những vấn đề với proxy server là nó phải đánh giá một lượng lớn thông tin trong một lượng lớn các gói dữ liệu. Ngoài ra, phải cài đặt từng proxy cho mỗi ứng dụng. Điều này ảnh hưởng đến hiệu suất và làm tăng chi phí. Với kỹ thuật kiểm tra trạng thái, các mẫu bit của gói dữ liệu được so sánh với các gói “tin cậy” đã biết.
Ví dụ, nếu bạn truy cập một dịch vụ bên ngoài, proxy server sẽ nhớ mọi thứ về yêu cầu ban đầu, như số hiệu cổng, địa chỉ nguồn và đích. C