Nguyễn Thành Công
Intern
Mục lục:
I: Giới thiệu
II: Mô tả chi tiết
III: Kết luận.
I: Giới thiệu.
Tường lửa thế hệ mới (Next-Generation Firewall - NGFW) của Check Point không chỉ dừng lại ở chức năng kiểm soát truy cập mạng, mà còn tích hợp nhiều lớp bảo mật nhằm phát hiện và ngăn chặn các mối đe dọa hiện đại. Quá trình xử lý gói tin trong Check Point NGFW diễn ra theo một chuỗi bước logic, đảm bảo rằng mỗi gói tin đều được kiểm tra kỹ lưỡng về tính hợp lệ, tuân thủ chính sách và an toàn trước khi được chuyển tiếp. Hình ảnh dưới đây minh họa rõ ràng luồng xử lý của một gói tin khi đi qua hệ thống firewall này.
Một gói tin khi gửi qua Checkpoint Firewall sẽ được xử lí các bước sau:
II: Mô tả chi tiết
Tính năng chống giả mạo này hoạt động ở cấp độ giao diện và checkpoint sử dụng tính năng này để bảo vệ hệ thống mạng khỏi nguy cơ tấn công.
Ví dụ chúng ta có 1 sơ đồ sau:
Chúng ta có thể hiểu nó bằng sơ đồ trên. Trên mạng WAN bạn có địa chỉ là 192.168.100.0/29 và mạng LAN ta có địa chỉ là 10.10.10.0/25.
Khi 1 người lạ ở từ WAN cố tình truy cập vào LAN bằng cách sử dụng địa chỉ IP giả mạo thuộc về mạng LAN, tường lửa sẽ chặn lưu lượng truy cập đó và hiện tượng đó gọi là chống giả mạo.
Tra cứu chính sách được thực hiện bởi tường lửa từ trên xuống dưới sau khi tra cứu phiên hoàn tất bởi tường lửa Checkpoint.
Nếu chính sách tồn tại cho gói tin hiện tại, lưu lượng sẽ được tường lửa cho phép, nếu không sẽ bị hủy bỏ một cách âm thầm ở cấp chính sách.
Tường lửa sẽ loại bỏ gói tin nếu không tìm thấy chính sách khớp trong quy tắc bảo mật. Nghĩa là lưu lượng mặc định sẽ bị tường lửa loại bỏ.
Tường lửa có hai loại chính sách
Trong tường lửa NAT đích, kiểm tra xem địa chỉ IP trong gói tin có đến từ bên ngoài vào bên trong để truy cập các dịch vụ hay không.
Khi địa chỉ IP công cộng được đổi thành IP riêng, tường lửa sẽ tìm kiếm tuyến đường cho địa chỉ IP riêng của máy chủ và gửi lưu lượng đến địa chỉ IP riêng.
Đây là công nghệ được sử dụng để phân tích lưu lượng dựa trên TCP/IP . Kiểm tra lớp 7 bao gồm quét chống vi-rút, lọc URL, kiểm soát ứng dụng, chống giả mạo, phân loại trang web, chống bot, chống thư rác.
Đây là một kiểm tra gói tin cấp độ sâu được thực hiện bởi tường lửa Checkpoint bằng cách sử dụng các lưỡi bảo mật của nó. Các lưỡi bảo mật Checkpoint có các tính năng sau
IPS
Chống vi-rút
Chống Bot
Kiểm soát ứng dụng
Tuyến đường là yếu tố bắt buộc trong VPN site-to-site. Gói tin sẽ sử dụng tuyến đường IPSec bất cứ khi nào lưu lượng đi qua đường hầm VPN.
Quá trình định tuyến sẽ được kiểm tra bằng tường lửa Checkpoint sau khi mã hóa để chuyển hướng lưu lượng đến đúng tuyến đường.
III: Kết luận
Tường lửa Check Point NGFW là một hệ thống bảo mật toàn diện với khả năng xử lý gói tin một cách logic và chặt chẽ qua nhiều lớp kiểm tra. Từ việc phát hiện các hành vi giả mạo (anti-spoofing), kiểm tra phiên, đối chiếu chính sách bảo mật, đến xử lý NAT, kiểm tra sâu lớp ứng dụng (Layer 7), mã hóa và định tuyến – mỗi bước đều đóng vai trò quan trọng trong việc đảm bảo an toàn cho hệ thống mạng.
Sự tích hợp của các tính năng như chống virus, chống bot, kiểm soát ứng dụng và mã hóa VPN đã chứng minh rằng Check Point NGFW là một giải pháp bảo mật tiên tiến, đáp ứng được yêu cầu ngày càng cao trong việc phòng chống các mối đe dọa hiện đại. Hiểu rõ quy trình xử lý gói tin giúp quản trị viên mạng không chỉ triển khai cấu hình hợp lý mà còn tăng khả năng phản ứng nhanh chóng và hiệu quả khi xảy ra sự cố bảo mật
I: Giới thiệu
II: Mô tả chi tiết
III: Kết luận.
I: Giới thiệu.
Tường lửa thế hệ mới (Next-Generation Firewall - NGFW) của Check Point không chỉ dừng lại ở chức năng kiểm soát truy cập mạng, mà còn tích hợp nhiều lớp bảo mật nhằm phát hiện và ngăn chặn các mối đe dọa hiện đại. Quá trình xử lý gói tin trong Check Point NGFW diễn ra theo một chuỗi bước logic, đảm bảo rằng mỗi gói tin đều được kiểm tra kỹ lưỡng về tính hợp lệ, tuân thủ chính sách và an toàn trước khi được chuyển tiếp. Hình ảnh dưới đây minh họa rõ ràng luồng xử lý của một gói tin khi đi qua hệ thống firewall này.
Một gói tin khi gửi qua Checkpoint Firewall sẽ được xử lí các bước sau:
- Anti-Spoofing
- SAM Database
- Session Lookup
- Policy Lookup
- Destination NAT
- Route Lookup
- Source NAT
- Layer 7 Inspection
- Encryption
- Routing
II: Mô tả chi tiết
2.1 Anti-spoofing
Anti-spoofing hay còn gọi là chống giả mạo. Đây là một kĩ thuật có thể xác định gói tin và loại bỏ nó nếu như gói tin đó có địa chỉ nguồn giả hoặc sai.Tính năng chống giả mạo này hoạt động ở cấp độ giao diện và checkpoint sử dụng tính năng này để bảo vệ hệ thống mạng khỏi nguy cơ tấn công.
Ví dụ chúng ta có 1 sơ đồ sau:
Chúng ta có thể hiểu nó bằng sơ đồ trên. Trên mạng WAN bạn có địa chỉ là 192.168.100.0/29 và mạng LAN ta có địa chỉ là 10.10.10.0/25.
Khi 1 người lạ ở từ WAN cố tình truy cập vào LAN bằng cách sử dụng địa chỉ IP giả mạo thuộc về mạng LAN, tường lửa sẽ chặn lưu lượng truy cập đó và hiện tượng đó gọi là chống giả mạo.
2.2 Cơ sở dữ liệu SAM ( SAM Database)
SAM có nghĩa là quy tắc hoạt động đáng ngờ được tích hợp SmartView Monitor, tính năng này được sử dụng để sửa đổi quyền truy cập sau khi phát hiện bất cứ hoạt động mạng nào đáng ngờ. (Ví dụ: ai đó cố gắng truy cập trái phép vào máy chủ của công ty hoặc tổ chức).2.3 Tra cứu phiên (Session Lookup)
Tra cứu phiên ở đây có nghĩa là tường lửa kiểm tra xem phiên có trong bảng phiên tường lửa hay không HOẶC đó là gói tin mới. Bước tiếp theo là khớp lưu lượng với chính sách tường lửa.Tra cứu chính sách được thực hiện bởi tường lửa từ trên xuống dưới sau khi tra cứu phiên hoàn tất bởi tường lửa Checkpoint.
2.4 Tra cứu chính sách (Policy Lookup)
Checkpoint Firewall kiểm tra 5 yếu tố sau trong một gói tin để khớp với chính sách bảo mật của các quy tắc Firewall. Đó là địa chỉ nguồn, cổng nguồn, địa chỉ đích, cổng đích và giao thức (TCP/UDP).Nếu chính sách tồn tại cho gói tin hiện tại, lưu lượng sẽ được tường lửa cho phép, nếu không sẽ bị hủy bỏ một cách âm thầm ở cấp chính sách.
Tường lửa sẽ loại bỏ gói tin nếu không tìm thấy chính sách khớp trong quy tắc bảo mật. Nghĩa là lưu lượng mặc định sẽ bị tường lửa loại bỏ.
Tường lửa có hai loại chính sách
- Chính sách rõ ràng: Chính sách do quản trị viên xác định được gọi là chính sách rõ ràng.
- Chính sách ngầm định: Các chính sách do hệ thống tạo ra được gọi là chính sách ngầm định. Chúng tôi không sửa đổi chúng hoặc vô hiệu hóa/kích hoạt chúng
2.5 Điểm đến NAT (Destination NAT)
Tiếp theo gói tin di chuyển đến giai đoạn NAT đích sau khi tra cứu chính sách được thực hiện bởi tường lửa Checkpoint. NAT đích luôn được tạo cho máy chủ bên trong cần được truy cập từ thế giới bên ngoài.
Trong tường lửa NAT đích, kiểm tra xem địa chỉ IP trong gói tin có đến từ bên ngoài vào bên trong để truy cập các dịch vụ hay không.
2.6 Tra cứu tuyến đường
Tuyến đường của nguồn trong gói tin sẽ được kiểm tra trong bảng tuyến đường.Khi địa chỉ IP công cộng được đổi thành IP riêng, tường lửa sẽ tìm kiếm tuyến đường cho địa chỉ IP riêng của máy chủ và gửi lưu lượng đến địa chỉ IP riêng.
2.7 Nguồn NAT (Source NAT)
Nguồn NAT sẽ được kiểm tra khi lưu lượng đi từ bên trong ra bên ngoài . Nếu gói tin đi từ bên trong phân đoạn LAN ra bên ngoài Internet, thì nguồn NAT sẽ được thực hiện bởi Tường lửa. Nếu không, bước này sẽ bị tường lửa bỏ qua. Địa chỉ IP nội bộ không thể định tuyến qua Internet. Nguồn NAT có thể được thực hiện cho một địa chỉ IP hoặc cho nhiều địa chỉ IP.2.8 Kiểm tra lớp 7 (Layer 7 Inspection)
Chúng ta sẽ đi qua để hiểu thêm về Kiểm tra lớp 7 là gì?Đây là công nghệ được sử dụng để phân tích lưu lượng dựa trên TCP/IP . Kiểm tra lớp 7 bao gồm quét chống vi-rút, lọc URL, kiểm soát ứng dụng, chống giả mạo, phân loại trang web, chống bot, chống thư rác.
Đây là một kiểm tra gói tin cấp độ sâu được thực hiện bởi tường lửa Checkpoint bằng cách sử dụng các lưỡi bảo mật của nó. Các lưỡi bảo mật Checkpoint có các tính năng sau
IPS
Chống vi-rút
Chống Bot
Kiểm soát ứng dụng
2.9 Mã hóa (Encryption)
Tại đây, Checkpoint kiểm tra xem gói tin có được mã hóa hay không. Nếu gói tin thuộc về VPN hoặc SSL , thì nó ở định dạng mã hóa. Mã hóa được thực hiện trên lưu lượng VPN sau khi kiểm tra L7 và kiểm tra xem có bất kỳ tuyến đường nào cho Tunnel Gateway từ nguồn đến đích không.Tuyến đường là yếu tố bắt buộc trong VPN site-to-site. Gói tin sẽ sử dụng tuyến đường IPSec bất cứ khi nào lưu lượng đi qua đường hầm VPN.
2.10 Định tuyến (Routing)
Bước cuối cùng là chuyển hướng gói tin tường lửa đến đúng giao diện (Ingress hoặc Egress) để đến đích từ tường lửa Checkpoint. Có thể là giao diện thoát hoặc giao diện vào.Quá trình định tuyến sẽ được kiểm tra bằng tường lửa Checkpoint sau khi mã hóa để chuyển hướng lưu lượng đến đúng tuyến đường.
III: Kết luận
Tường lửa Check Point NGFW là một hệ thống bảo mật toàn diện với khả năng xử lý gói tin một cách logic và chặt chẽ qua nhiều lớp kiểm tra. Từ việc phát hiện các hành vi giả mạo (anti-spoofing), kiểm tra phiên, đối chiếu chính sách bảo mật, đến xử lý NAT, kiểm tra sâu lớp ứng dụng (Layer 7), mã hóa và định tuyến – mỗi bước đều đóng vai trò quan trọng trong việc đảm bảo an toàn cho hệ thống mạng.
Sự tích hợp của các tính năng như chống virus, chống bot, kiểm soát ứng dụng và mã hóa VPN đã chứng minh rằng Check Point NGFW là một giải pháp bảo mật tiên tiến, đáp ứng được yêu cầu ngày càng cao trong việc phòng chống các mối đe dọa hiện đại. Hiểu rõ quy trình xử lý gói tin giúp quản trị viên mạng không chỉ triển khai cấu hình hợp lý mà còn tăng khả năng phản ứng nhanh chóng và hiệu quả khi xảy ra sự cố bảo mật
Bài viết liên quan
Được quan tâm
Bài viết mới