TỔNG QUAN VỀ FIREWALL ( TƯỜNG LỬA )

Bảo mật là vấn đề được đề cập nhiều nhất trên các phương tiện thông tin hiện nay. Có nhiều cách thức để bảo mật hệ thống nhưng cách điển hình và thông dụng nhất là dùng firewall. Vậy tại sao firewall lại thông dụng như vậy? chức năng của nó như thế nào? Những thông tin chia sẻ dưới đây giúp các bạn có cái nhìn tổng quan về bảo mật hệ thống.

Bảo mật là vấn đề được đề cập nhiều nhất trên các phương tiện thông tin hiện nay. Có nhiều cách thức để bảo mật hệ thống nhưng cách điển hình và thông dụng nhất là dùng firewall. Vậy tại sao firewall lại thông dụng như vậy? chức năng của nó như thế nào? Những thông tin chia sẻ dưới đây giúp các bạn có cái nhìn tổng quan về bảo mật hệ thống. Firewall Có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn và hạn chế hỏa hoạn. Trong công nghệ mạng, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng nhằm ngăn chặn việc truy cập dữ liệu trái phép, nhằm bảo vệ nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống. Cũng có thể hiểu FireWall là một cơ chế bảo vệ belief community (mạng nội bộ) khỏi các Untrust Community (mạng web). 1. Phân loại – Chức năng – Cấu trúc Phân Loại: Tường lửa được chia làm 2 loại, firewall cứng và firewall mềm Firewall cứng Là loại firewall được tích hợp trực tiếp lên phần cứng (như Router Cisco, Examine level , Fortinet, Juniper…). Đặc điểm : – Không được linh hoạt như firewall mềm vì hầu như các firewall cứng đều hướng theo xu hướng tích hợp tất cả trong một( ví dụ : không thể thêm quy tắc hay chức năng ngoài những chức năng đã được tích hợp sẵn…) đối với những firewall cứng trước kia.Hiện tại xuất hiện xu hướng mới của firewall cứng mà đi đầu là dòng sản phẩm PIX ASA 5500 của Cisco. Tuy là firewall cứng nhưng có khả năng tích hợp những module khác ngoài module có sẵn. Cấu trúc chính của loại firewall này bao gồm : – Adaptive tích hợp cơ bản hầu hết các tính năng chính của 1 firewall như DHCP, HTTPS, VPNs, hỗ trợ DMZ, PAT, NAT…và các interface trên nó. Một Adaptive có thể hoạt động độc lập mà không cần bất kỳ module nào khác. Adaptive hỗ trợ nhiều cách cấu hình : Cấu hình thông qua giao diện net hoặc cấu hình qua cổng consol … – Các module riêng lẻ : mỗi module thực hiện một chức năng chuyên biệt và kết nối trực tiếp với Adaptive thông qua cable. Nếu thiết bị đầu cuối nào muốn sử dụng thêm chức năng của module nào thì sẽ được kết nối trực tiếp với module đó.Có nhiều loại module thực hiện nhiều chức năng khác nhau : cung cấp các giao tiếp đến các thiết bị có giao tiếp đặc biệt, cung cấp hệ thống cảnh báo cao cấp IPS,… – Có khả năng hoạt động ở mọi lớp với tốc độ cao nhưng giá cả rất cao. Firewall mềm Là những phần mềm được cài đặt trên máy tính đóng vai trò làm firewall. Có 2 loại là Stateful Firewall (Tường lửa có trạng thái) và Stateless Firewall (Tường lửa không trạng thái). Đặc điểm : – Có tính linh hoạt cao :có thể thêm bớt các luật hoặc các chức năng vì bản chất nó chỉ là 1 phần mềm. – Hoạt động ở tầng ứng dụng ( layer 7). – Có khả năng kiểm tra nội dung của các gói tin thông qua các từ khóa được quy định trong chương trình. Chức Năng : Chức năng chính của firewall là kiểm soát luồng dữ liệu qua nó ra vào giữa intranet và web. Nó thiết lập cơ chế điều khiển dòng thông tin lưu thông giữa intranet và web. Cụ thể là : – Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Web). – Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Web vào Intranet). – Theo dõi luồng dữ liệu mạng giữa Web và Intranet. – Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập. – Kiểm soát ng¬ười sử dụng và việc truy nhập của ng¬ười sử dụng. – Kiểm soát nội dung thông tin thông tin l¬uân chuyển trên mạng. Cấu Trúc : Tường lửa chuẩn bao gồm một hay nhiều các thành phần sau đây: – Bộ lọc gói tin (packet-filtering router). – Cổng ứng dụng (application-level gateway hay proxy server). – Cổng mạch (circuite stage gateway). 2. Ưu – nhược điểm của firewall: a. Ưu điểm : -Firewall do con người cấu hình có thể che dấu mạng nội bộ bên trong, lọc dữ liệu và nội dung của dữ liệu để ngăn chặn được các ý đồ xấu từ bên ngoài như : muốn đánh cắp thông tin mật, muốn gây thiệt tê liệt hệ thống đối thủ của mình để gây thiệt hại về kinh tế … – Firewall có thể ngăn chặn các cuộc tấn công vào các server gây tổn thất lớn cho các doanh nghiệp . – Ngoài ra firewall còn có khả năng quét virus, chống spam … khi được tích hợp những công cụ cần thiết. b. Nhược điểm : – Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại thông tin và phân tích nội dung tốt hay xấu của nó. Firewall chỉ có thể ngăn chặn sự xâm nhập của những nguồn thông tin không mong muốn nhưng phải xác định rõ các thông số địa chỉ. – Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không “đi qua” nó. Một cách cụ thể, firewall không thể chống lại một cuộc tấn công từ một line dial-up, hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa mềm. – Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data-driven assault). – Khi có một số chương trình được chuyển theo thư điện tử, vượt qua firewall vào trong belief community và bắt đầu hoạt động ở đây. Một ví dụ là các virus máy tính. Firewall có thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua nó. Nhưng do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có rất nhiều cách để mã hóa dữ liệu… Virus vẫn thoát khỏi khả năng rà quét của firewall. 3. Cơ chế – nguyên lý hoạt động và ưu nhược điểm của từng nguyên lý : Có 2 nguyên lý cơ bản a. Firewall được xây dựng dựa trên Bộ lọc dữ liệu (Packet Filter) Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua firewall thì điều đó có nghĩa rằng firewall hoạt động chặt chẽ với giao thức TCI/IP. Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS…) thành các gói dữ liệu (knowledge pakets) rồi gán cho các gói dữ liệu (packet) này những địa chỉ để có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại firewall cũng liên quan rất nhiều đến các packet và những con số địa chỉ của chúng. Packet filter cho phép hay từ chối mỗi packet mà nó nhận được. Nó kiểm tra toàn bộ packet để quyết định xem packet đó có thoả mãn một trong số các luật lệ (rule) của packet filtering hay không. Các rule của packet filter này là dựa trên các thông tin ở đầu mỗi gói tin (packet header), dùng để cho phép truyền các gói tin đó ở trên mạng. Đó là các thông tin như: – Địa chỉ IP nơi xuất phát ( IP Supply deal with). – Địa chỉ IP nơi nhận (IP Vacation spot deal with). – Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel). – Cổng TCP/UDP nơi xuất phát (TCP/UDP supply port). – Cổng TCP/UDP nơi nhận (TCP/UDP vacation spot port). – Dạng thông báo ICMP ( ICMP message kind). – Giao diện gói tin đến ( incomming interface of packet). – Giao diện gói tin đi ( outcomming interface of packet) Nếu luật lệ lọc gói tin được thoả mãn thì gói tin được thông qua. Nếu không gói tin sẽ bị bỏ đi. Nhờ vậy mà Tường lửa có thể ngăn cản được các kết nối vào các máy chủ hoặc mạng nào đó được xác định, hoặc khoá việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép. Hơn nữa, việc kiểm soát các cổng làm cho Tường lửa có khả năng chỉ cho phép một số loại kết nối nhất định vào các loại máy chủ nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP…) được phép mới chạy được trên hệ thống mạng cục bộ. Ưu điểm: – Đa số các hệ thống firewall đều sử dụng bộ lọc packet. Một trong những ưu điểm của phương pháp dùng bộ lọc packet là chi phí thấp vì cơ chế lọc packet đã được tích hợp sẵn trong mỗi phần mềm router. – Ngoài ra, bộ lọc packet là trong suốt đối với người sử dụng và các ứng dụng, vì vậy nó không yêu cầu sự huấn luyện đặc biệt nào cả. Nhược điểm: – Việc định nghĩa các chế độ lọc package deal là một việc khá phức tạp; đòi hỏi ng¬ười quản trị mạng cần có hiểu biết chi tiết về các dịch vụ Web, các dạng packet header, và các giá trị cụ thể có thể nhận trên mỗi tr¬ường. Khi đòi hỏi vể sự lọc càng lớn, các rule về lọc càng trở nên dài và phức tạp, rất khó để quản lý và điều khiển. – Do làm việc dựa trên header của các packet, rõ ràng là bộ lọc packet không kiểm soát đ¬ợc nôi dung thông tin của packet. Các packet chuyển qua vẫn có thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu. b. Firewall được xây dựng dựa vào Cổng ứng dụng(Utility-Stage-Gateway) Đây là một loại Tường lửa được thiết kế để tăng cường chức năng kiểm soát các loại dịch vụ, các giao thức được cho phép truy cập vào hệ thống mạng. Cơ chế hoạt động của nó dựa trên cách thức gọi là Proxy service. Proxy service là các bộ mã đặc biệt cài đặt trên gateway cho từng ứng dụng. Nếu người quản trị mạng không cài đặt proxy code cho một ứng dụng nào đó, dịch vụ tương ứng sẽ không được cung cấp và do đó không thể chuyển thông tin qua firewall. Ngoài ra, proxy code có thể được định cấu hình để hỗ trợ chỉ một số đặc điểm trong ứng dụng mà người quản trị mạng cho là chấp nhận được trong khi từ chối những đặc điểm khác. Một cổng ứng dụng thường được coi như là một pháo đài (bastion host), bởi vì nó được thiết kế đặt biệt để chống lại sự tấn công từ bên ngoài. Những biện pháp đảm bảo an ninh của một bastion host là: – Bastion host luôn chạy các model an toàn (safe model) của các phần mềm hệ thống (Working system). Các model an toàn này được thiết kế chuyên cho mục đích chống lại sự tấn công vào Working System, cũng như là đảm bảo sự tích hợp firewall. – Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài đặt trên bastion host, đơn giản chỉ vì nếu một dịch vụ không đ¬ợc cài đặt, nó không thể bị tấn công. Thông thường, chỉ một số giới hạn các ứng dụng cho các dịch vụ Telnet, DNS, FTP, SMTP và xác thực person là đ¬ược cài đặt trên bastion host. + Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau, ví dụ như person password hay sensible card. Mỗi proxy được đặt cấu hình để cho phép truy nhập chỉ một sồ các máy chủ nhất định. Điều này có nghĩa rằng bộ lệnh và đặc điểm thiết lập cho mỗi proxy chỉ đúng với một số máy chủ trên toàn hệ thống. Mỗi proxy duy trì một quyển nhật ký (logs) ghi chép lại toàn bộ chi tiết của giao thông qua nó, mỗi sự kết nối, khoảng thời gian kết nối. Nhật ký này rất có ích trong việc tìm theo dấu vết hay ngăn chặn kẻ phá hoại. Mỗi proxy đều độc lập với các proxies khác trên bastion host. Điều này cho phép dễ dàng quá trình cài đặt một proxy mới, hay tháo gỡ môt proxy đang có vấn đề. * Ưu điểm :  – Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ trên mạng, bởi vì ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủ nào có thể truy nhập được bởi các dịch vụ.  – Cho phép người quản trị mạng hoàn toàn điều khiển được những dịch vụ nào cho phép, bởi vì sự vắng mặt của các proxy cho các dịch vụ tương ứng có nghĩa là các dịch vụ ấy bị khoá.  – Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt, và nó có các logs ghi chép lại thông tin về truy nhập hệ thống.  – Luật lệ lọc cho cổng ứng dụng là dễ dàng cấu hình và kiểm tra hơn so với bộ lọc packet * Nhược điểm :  Yêu cầu các người dùng(customers) phải thay đổi thao tác, hoặc thay đổi phần mềm đã cài đặt trên máy khách (consumer) cho truy nhập vào các dịch vụ proxy. Chẳng hạn, Telnet truy nhập qua cổng ứng dụng đòi hỏi hai bước để nối với máy chủ chứ không phải là một bước như thông thường. Tuy nhiên, cũng đã có một số phần mềm consumer cho phép ứng dụng trên cổng ứng dụng là trong suốt, bằng cách cho phép person chỉ ra máy đích chứ không phải cổng ứng dụng ví dụ trên lệnh Telnet. Chủ yếu sử dụng Cổng vòng (circuit-Stage Gateway) để làm trong suốt proxy.  Cổng vòng là một chức năng đặc biệt có thể thực hiện được bởi một cổng ứng dụng. Cổng vòng đơn giản chỉ chuyển tiếp (relay) các kết nối TCP mà không thực hiện bất kỳ một hành động xử lý hay lọc packet nào. Cổng vòng thường được sử dụng cho những kết nối ra ngoài, nơi mà các nhà quản trị mạng thật sự tin tưởng những người dùng bên trong. 4. Một số firewall thông dụng : a. Examine Level (Giới thiệu Examine Level Subsequent Technology) Là sản phẩm cung cấp một sự kết hợp các công cụ hàng đầu và các ứng dụng trong việc bảo mật hệ thống mạng sử dụng kiến trúc SVN (Safe Vitual Community) cho phép Examine Level đưa ra những công cụ bảo đảm sự an toàn cho dữ liệu. VPN-1/Firewall-1 là một phần của NG cung cấp việc bảo mật mạng và hệ thống mạng ảo riêng VPN(Vitual Personal Community). Để thực hiện VPN ta cần Safe Distant và Safe Shopper. Safe Distant – chứng thực người dùng và mã hóa dữ liệu, Safe Shopper – thêm một private firewall vào hệ thống. Mặc dù VPN-1/Firewall-1 là một bản bảo mật cơ bản nhưng nó cung cấp nhiều cách bảo vệ hệ thống mạng, VPN và các nhận dạng trên kỹ thuật SVN. Examine Level phát triển siêu IP để cung cấp việc quản lý DNS, dịch vụ DHCP. Quản lý và chia sẻ các tài khoản và chứng thực thông tin cho các tài khoản truy cập để sử dụng tài nguyên. Để cho việc quản lý các tài khoản dễ dàng hơn hệ thống cung cấp thêm 2 công cụ : Account Administration (LDAP – sắp xếp các tài khoản và kết hợp các thông tin) và Consumer Authority (cho phép truy cập đến các tài khoản đặc quyền). GUI (Graphical Consumer Interface) có khả năng quản lý từ xa Safety Coverage và cung cấp giao diện chính cho NG. GUI consumer là công cụ để tạo Safety Coverage và được sắp xếp trên Administration Server. Công cụ Administration Module của Administration Server không chỉ sắp xếp Safety Coverage mà còn tạo và phân phát ACLs giống như Routers và Switches. Nói tóm lại Examine Level Subsequent Technology bao gồm các tính năng sau : – Firewall : hỗ trợ các dịch vụ NAT, điều khiển truy cập (ACLs), logging, bảo mật nội dung, và chứng thực phiên làm việc. – Mã hóa và hỗ trợ kết nối mạng riêng ảo VPNs (với hai kiểu site-to-site và client-to-site dựa trên hai phương thức FWZ và IKE) – LDAP Account Administration có thể chạy tách rời ứng dụng hoặc kết hợp với Safety Dashboard để quản lý LDAP(Light-weight Listing Entry Protocol) – sắp xếp cơ sở dữ liệu tài khoản người dùng rất dễ dàng. – Cung cấp cơ chế chứng thực, mã hóa cho sự thiết lập và duy trì kết nối mạng riêng ảo(VPNs). – OPSEC (Open Platform for Safety) – ứng dụng nền cho việc bảo mật của Examine Level. Lọc nội dung gói tin HTTP, SMTP, FTP và URL filtering. – Examine Level Excessive Availability tạo ra nhóm firewalls làm giảm thời gian chết cho hệ thống. – Cung cấp High quality of Service dành ưu tiên cho lưu lượng trên mạng. – Siêu IP cung cấp các dịch vụ DNS, DHCP. Ngoài ra còn có các công cụ như Safe DHCP để chứng thực người dùng. – Consumer Authority mở rộng quyền hạn chứng thực thông tin người dùng thu từ VPN-1/FireWall-1 để giảm bớt tải cho ứng dụng thứ 3. – Mạng DMZ để cấu hình cho các companies trong hệ thống : SMTP, FTP, HTTP hoặc HTTPs – Cơ chế xử lý sự cố. b. ISA ISA Server 2004 được thiết kế để bảo vệ Community, chống các xâm nhập từ bên ngoài lẫn kiểm soát các truy cập từ bên trong Nội bộ Community của một Tổ chức. ISA Server 2004 Firewall làm điều này thông qua cơ chế điều khiển những gì có thể được phép qua Firewall và những gì sẽ bị ngăn chặn. Chúng ta hình dung đơn giản như sau: Có một quy tắc được áp đặt trên Firewall cho phép thông tin được truyền qua Firewall, sau đó những thông tin này sẽ được “Move” qua, và ngược lại nếu không có bất kì quy tắc nào cho phép những thông tin ấy truyền qua, những thông tin này sẽ bị Firewall chặn lại. ISA Server Firewall chứa nhiều tính năng mà các Safety Admin có thể dùng để đảm bảo an toàn cho việc truy cập Web, và cũng bảo đảm an ninh cho các tài nguyên trong Nội bộ Community Các Community Companies và những tính năng trên ISA Server sẽ được cài đặt và cấu hình gồm: – Cài đặt và cấu hình Microsoft Certificates Companies : Dịch vụ cung cấp các chứng từ kĩ thuật số phục vụ nhận dạng an toàn khi giao dịch trên mạng. – Cài đặt và cấu hình Microsoft Web Authentication Companies (RADIUS) : Dịch vụ xác thực an toàn cho các truy cập từ xa thông qua các distant connections (Dial-up hoặc VPN) – Cài đặt và cấu hình Microsoft DHCP Companies (Dịch vụ cung cấp các xác lập TCP/IP cho các node trên và) và WINS Companies (dịch vụ cung cấp giải pháp truy vấn NETBIOS identify của các máy tính trên mạng) – Cấu hình các WPAD entries trong DNS để hỗ trợ chức năng Autodiscovery (tự động khám phá) và Autoconfiguration (tự động cấu hình) cho Net Proxy và Firewall purchasers. Thuận lợi cho các ISA Shoppers (Net và Firewall purchasers) trong một Tổ chức khi họ phải mang máy tính từ một mạng (có một ISA Server) đến mạng khác (có ISA Server khác) mà vẫn tự động phát hiện và làm việc được với Net Proxy Service và Firewall Service trên ISA Server này. – DNS : Cài đặt Microsoft DNS server trên Perimeter Community server (Mạng chứa các máy chủ cung cấp trực tuyến cho các máy khách bên ngoài, nằm sau Firewall, nhưng cũng tách biệt với LAN) – Again up và phục hồi thông tin cấu hình của ISA Server Firewall – Tạo các chính sách truy cập (Entry Coverage) trên ISA Server Firewall – Publish Net Server trên một Perimeter Community . – Dùng ISA Server Firewall đóng vai trò một Spam filtering SMTP relay (trạm trung chuyển e-mails, có chức năng ngăn chặn Spam mails). Publish Microsoft Change Server companies (hệ thống Mail và làm việc cộng tác của Microsoft, tương tự Lotus Notes của IBM) – VPN : Cấu hình ISA Server Firewall đóng vai trò một VPN server, tạo kết nối VPN theo kiểu site-to-site giữa hai Networks c. IPCop – Firewall :Tích hợp IPTable một firewall mạnh của Linux Netfilter. – Mở rộng cổng giao tiếp hỗ trợ : Analog modem, an ISDN modem, an ADSL modem, hỗ trợ giao thức PPTP(point-to-point-tunneling-protocol) trong dịch vụ SSH… – Hỗ trợ một card mạng riêng cho phân vùng DMZ để cấu hình cho các companies trong hệ thống nếu có. – Hỗ trợ truy xuất từ xa qua SSH server. – Tích hợp DHCP Server. – Caching DNS. – TCP/UDP port forwarding. – Hỗ trợ IDS(Intrusion detection system) của Snort :Hệ thống dò tìm và phát hiện xâm nhập trái phép nổi tiếng của Snort. – Hỗ trợ Free S/WAN IPSec cho phép chúng ta xây dựng các máy chủ VPN cung cấp truy cập tài nguyên nội bộ cho người dùng từ xa thông qua các phiên truyền được mã hóa và chứng thực chặt chẽ. – Hỗ trợ Squid – Net Proxy: chương trình kiểm soát và tăng tốc truy cập web được nhiều người yêu thích và áp dụng, giúp tiết kiệm đường truyền. – Cho phép backup và restore các thông tin cấu hình của IPCop một cách nhanh chóng và dễ dàng do giao diện thao tác là giao diện net. – Có cơ chế tự vá lỗi và cập nhật các chính sách bảo mật một cách tự động. e. Bảng so sánh chức năng Chức năng Examine Level ISA IPCop Filtering Lọc nội dung, URL Lọc nội dung, URL Lọc nội dung, URL VPN Website-to-site, client-to-site Website-to-site, client-to-site Website-to-site, client-to-site DNS – Tự động khám phá,tự động cấu hình + DHCP Safe DHCP-chứng thực người dùng DHCP request, DHCP reply + IDS + + Sử dụng Snort LDAP + + + OPSEC + – – QoS + + – DMZ + + + Authentication + + + Encrypt-decrypt + + + WINS Companies + + + Proxy + + + Backup & restore + + + Spam filtering – + – SMTP + + – SSH + + + Port forwarding + + + Qua các firewall vừa trình bày ở trên, chúng ta đưa ra nhận xét sau : – Nhiều người cho rằng ISA Server Firewall quả thật là mạnh mẽ trong vấn đề bảo vệ hệ thống cũng như quản lý người dùng ngoại trừ chi phí bản quyền quá cao. Thời gian, chi phí và hiệu quả là 3 yếu tố hàng đầu được các doanh nghiệp và tổ chức quan tâm khi ứng dụng các sản phẩm, giải pháp công nghệ thông tin cho hệ thống của mình. Chúng ta nghĩ đến việc việc xây dựng 1 firewall cũng mạnh mẽ không kém, đầy đủ chức năng nhưng không đòi hỏi cấu hình máy tính phải mạnh mẽ và hoàn toàn miễn phí. – Để thực hiện điều này, chúng ta có thể sử dụng các thiết bị phần cứng của hãng bảo mật nổi tiếng Juniper, Cisco, CheckPoint hoặc các thiết bị phần mềm như ISA Server của Microsoft. Mỗi sản phẩm có những mặt mạnh, yếu riêng. Tuy nhiên, tất cả đều là những sản phẩm thương mại có giá trị bản quyền cao và đòi hỏi yêu cầu phần cứng mạnh mẽ. Vì vậy, đối với các công ty muốn tiết kiệm chi phí chúng ta có thể dùng một sản phẩm mã nguồn mở thay thế là IPCop Firewall, hoặc IPTables hoặc Endian một giải pháp tối ưu cho viêc tiết kiệm băng thông và tăng cường bảo mật, giúp xóa tan những lo âu về vấn đề chi phí bản quyền khi Việt Nam gia nhập TPP . Căn cứ vào bảng so sánh trên chúng ta dễ dàng nhận thấy IPCop Firewall/Router (một công cụ tích hợp điển hình của dòng sản phẩm open supply) có nhiều tính năng mạnh mẽ mà ngay cả những sản phẩm tường lửa thương mại hàng đầu như ISA Server cũng không có được như hệ thống phân phối các địa chỉ IP động để consumer có thể dễ dàng, nhanh chóng truy cập web. Đặt các giới hạn obtain/add. Bên cạnh đó IPCop còn có khả năng phát hiện dò tìm xâm nhập bất hợp pháp hay các chương trình khả nghi trên mạng như ettercap, dsniff thông qua hệ thống SNORT Community IDS, tự động cập nhất các chính sách, quy tắc bảo mật .v.v…

Có Thể Bạn Quan Tâm :   Bách Hoa Tiên
Back to top button