Tuesday, January 12, 2010

FireWall - part 2

Hôm nay sẽ nói tiếp về các loại FireWall. Phần này mình sẽ nói về 1 số sp tiêu biểu.
Như ở bài trước, chúng ta đã phân loại FW. Tuy nhiên dễ nhận đó chỉ mang tính trừu trượng, vì hầu hết FW hiện nay, ở thời đại này, hầu hết đều là statefull FW.
Bây giờ chúng ta sẽ phân chia mang tính tượng hình, tính thị trường nhé. Nghĩa là theo những tiêu chí: Nhìn đc, cảm nhận đc . Đầu tiên là về cấu tạo. Dễ nhất là Hardware FW và Software FW.
Ta xem Hardware FW trước nhé: Đương nhiên là nó đặt ở giữa mạng ngòai và mạng trong :| Và đại đa số đó là thiết bị layer 3, do đó, đa phân HD FW sẽ sử dụng packet filtering. Bởi vì nó thường dùng trong mạng lớn, lưu cache sẽ là không thể. Rule của nó chỉ có 2 cái: allow và drop.
Đại diện dễ thấy và khá nổi là Cisco với sản phẩm PIX. Hiện giờ thì ASA đã dần thay thế cho PIX với những tính năng thời thượng hơn. Đồ chơi của Cisco có một số đặc điểm khá hay là:

  1. Hỗ trợ SNMP
  2. Web base xài java applet. Vác từ SDM sang ASDM
  3. Tính bảo mật cao đến lằng nhằng ( cho người quen dùng Cisco Router), hỗ trợ proxy và authentication khá tốt, kết hợp với Tacas và Radius.
  4. Có cả NAT, PAT. Đặc biệt là dual NAT :|
  5. Có cả đồ chơi VPN
Hiện tại có 1 số series nổi là PIX 501,  506, 515, 525, 535. Chủ yếu hơn nhau về mức độ phục vụ ( data throughtput), số lượng VPN, interface hỗ trợ. Khác nhau nhiều nữa là giá tiền.
Nx: Có tiền chơi cũng đc
Tiếp đến là đại diện Checkpoint với 2 dòng FW-1 và FW-1 GX. Chưa có đc dùng chỉ nghe thiên hạ đồn là:
FW-1 có cơ chế lọc thông minh ( interlligent filter), bảo vệ cả mạng bên trong và phần mềm trong nó.
FW-1 GX có thể bảo vệ cả GPRS network, dòng này mở rộng cho GPRS.
Nx: Quá đắt để dùng. 20k$ cho small and home office.
Các sản phẩm khác là: Netgear, Linksys ( Cisco cho gia đình =)), Nortel, ..
Software Firewall: Mặt này thì vô số, bản thân ta cũng có thể code 1 firewall
Tình hình là nó quá đa dạng, mà cái này thì ai cũng có. Windows thì mặc định có FW của mình, linux có iptables.... Trong khuôn khổ tutorial này, tác giả sử dụng 2 sp là ISA ( ngày nay là Forefront của M$) và iptables/netfilter bên linux để minh họa.
Mac của Apple thì mình chưa có đc sờ, nhưng mà cũng đc biết là nó có FW :D
Hiện tại, trên nền PC cá nhân thì ZoneAlarm đc đánh giá khá cao.
Có vài câu hỏi về FW
Tại sao ta không code 1 FW?
Được, nếu ta có đủ trình độ. Hiện tại có rất nhiều tut về vấn đề này. Bản thân mình có thử và... thất bại. Nhưng mình cũng học được nhiều từ quá trình đó
IDS, IPS là gì? Nó khác gì FW?
IDS: intrustion detection system và IPS intrustion prevent system. 2 cái này đc dùng để monitor mạng. Tất nhiên bản sẽ hỏi tôi nó là gì. Nhưng mà bản thân cái tên của nó đã nói rồi, và google là bạn.
Có bạn từng hỏi, khi gói tin bị drop nó sẽ đi đâu?
Nó đi đâu tùy người code :d. Thật sự là mình chỉ biết là nó sẽ ko đến đc đích của nó. Trên linux, thường nó sẽ được đi đến /dev/null. Windows mình .... ko rõ.
Tạm nghỉ nhé. kỳ sau mình sẽ nói về Iptables.
To be continued…..

---------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------
All my Lab:
Linux Lab -- window and Cisco Lab
to be continued - I will update more.

No comments:

Install Xposed Inspector and Frida on Genymotion

Today i had some work with android. So i need trace application. I found 2 nice tool can help me: Xposed Inspector and Frida. To setup ther...