• Thứ Năm, 08/01/2004 16:59 (GMT+7)

    Các câu hỏi hay gặp tại Việt Nam về bức tường lửa


    Để giúp bạn đọc hiểu rõ hơn về giải pháp bức tường lửa (firewall), chúng tôi tập hợp ở bài viết này những câu hỏi mà chúng tôi thường gặp khi trao đổi thông tin với khách hàng tại Việt Nam.

    Bức Tường Lửa Là Gì? Tại Sao Tôi Phải Mua Bức Tường Lửa?

    Bức tường lửa là một giải pháp (phần cứng và\hoặc phần mềm) nằm giữa một mạng máy tính cần được bảo vệ (thường là mạng nội bộ cơ quan) và một mạng không tin cậy nhằm mục đích ngăn chặn các khả năng tấn công từ “ngoài” vào. Mạng  không tin cậy mà trong phạm vi bài này có thể cho là internet. Định nghĩa bức tường lửa nêu trên không phải là đầy đủ, tuy nhiên nó đơn giản, dễ hiểu phù hợp với người sử dụng ở Việt Nam.
    Lý do để  mua bức tường lửa đơn giản là vì đó là giải pháp bảo vệ chuẩn gần như là tối thiểu, khi kết nối với internet, mà theo Nghị Định về sử dụng internet thì các tổ chức nối với internet phải tự có trách nhiệm đảm bảo an ninh an toàn cho hệ thống của mình.

    Nên Chọn Bức Tường Lửa Như Thế Nào?
    Trước hết ta phải lựa chọn bức tường lửa dựa trên tính năng kỹ thuật theo đúng các yêu cầu. Kế đó, uy tín về chất lượng của sản phẩm là yếu tố quan trọng, vì trong lĩnh vực an ninh bảo mật, người sử dụng trong hoàn cảnh Việt Nam hiện nay khó lòng nghĩ đến việc tự tay kiểm định chất lượng từng sản phẩm được. Một trong những yếu tố định lượng cho uy tín chất lượng của sản phẩm là thị phần thế giới của sản phẩm đó trong 1-2 năm gần nhất. Một yếu tố đặc biệt quan trọng khác khi chọn lựa bức tường lửa là khả năng quản lý sản phẩm đó trong sự tích hợp với cả hệ thống nói chung và đặc biệt là với các giải pháp bảo mật khác trong hệ thống. Xét cho cùng, bảo mật đồng nghĩa với việc quản lý được hệ thống. Khi một giải pháp bảo mật gây khó khăn lớn cho việc quản trị hệ thống thì thường không sử dụng hiệu quả.

    Nên Chọn Mua Bức Tường Lửa Là Phần Mềm Hay Là Thiết Bị (Phần Cứng Có Cài Sẵn Phần Mềm)?
    Đây là một câu hỏi thú vị. Ở Việt Nam hiện nay thông thường có 3 khả năng để lựa chọn.
    -  Mua phần mềm: chọn bức tường lửa để cài đặt lên các máy chủ như IBM, HP, Sun, Dell, Compaq... Các cơ quan lớn thì dùng các máy chủ Unix, nhỏ hơn thì chạy Windows NT, 2000. Ûu điểm chính của lựa chọn này là khả năng mở rộng linh hoạt - máy chủ có thể dễ dàng nâng cấp về phần cứng cũng như cài đặt các phần mềm bảo mật khác ngoài tường lửa. Tuy nhiên đây là giải pháp đắt tiền nhất trong 3 lựa chọn.
    - Mua bức tường lửa là phần cứng: Người sử dụng thường nhắm đến khả năng này vì lý do tốc độ.
    - Mua thiết bị tường lửa: Lựa chọn thứ 3 này phần nào dung hoà được các khiếm khuyết của hai cách trên.

    Phần Cứng Để Chạy Tường Lửa Cần Phải Lựa Chọn Như Thế Nào?
    Có 2 cách:
    - Một là chọn phần cứng chuyên dụng cho tường lửa. Khi đó bạn cần chọn lựa loại thiết bị phù hợp với độ lớn của mạng.
    - Mua phần cứng không chuyên dụng: có thể là một máy chủ chạy Windows NT/2000, Linux hoặc các máy Unix của các hãng IBM, Sun, HP. Điều quan trọng là máy phải có ít nhất 2 card mạng, một để nối “vào” trong mạng nội bộ, một để nối “ra ngoài” internet. Rất nhiều mạng hiện nay còn có vùng “phi quân sự” (DMZ - DeMilitarized Zone) là một mạng chứa các máy cung cấp dịch vụ trên internet như web server. Thường khi đó nên có một card mạng thứ 3 để nối tường lửa với DMZ.
    Về cấu hình thì phải lựa chọn chủ yếu là số lượng RAM. Theo kinh nghiệm của mình, chúng tôi cho rằng nếu đường nối internet có dung lượng là n kbps (n=64/128/256) thì máy chủ tường lửa có 2n MB RAM thường là quá đủ. Nếu đường truyền tốc độ cao hơn nữa thì có lẽ chỉ cần đến tối đa 512 MB -1 GB RAM.

    Cần lưu ý là tốc độ phần cứng không nhất thiết tỷ lệ theo số lượng người dùng (user) của tường lửa. Một máy chủ chạy tường lửa cho 250 user có khi không cần mạnh như một máy chủ khác cho một mạng 100 user vì các số này không phải là số máy tính đồng thời sử dụng tường lửa.
    Giải pháp bảo mật tính theo số lượng các thiết bị có địa chỉ IP ở bên trong mạng cần bảo vệ. Người ta không gọi là 25 user mà gọi là 25 nút (IP node). Như vậy nếu mạng của bạn có dưới 25 địa chỉ IP thì chọn mua tường lửa cho 25 user, tương tự như vậy cho 50 - 100 - 250 user. Nếu mạng lớn hơn thì chọn là vô hạn (unlimited user). Chú ý là bản quyền không tính theo số máy tính có địa chỉ IP đồng thời kết nối Internet qua tường lửa (tức là không có khái niệm concurrent users). Nếu mạng của bạn chỉ khoảng 10 - 15 máy tính, kết nối internet trực tuyến nhưng có yêu cầu bảo mật thì nên lưu ý là giải pháp Proxy Server không thể thay thế được bức tường lửa. Bạn có thể chọn bức tường lửa chạy trên nền phần cứng dành cho gia đình hay văn phòng nhỏ có giá chỉ khoảng USD.

    Có doanh nghiệp không có kết nối internet nhưng vẫn mua bức tường lửa. Vậy họ dùng vào việc gì?
    Bức tường lửa dùng để bảo vệ mạng bên trong khỏi các nguy cơ từ bên ngoài, do vậy bất kỳ một kết nối với mạng bên ngoài nào, không nhất thiết phải là internet, đều có thể được bảo vệ bằng tường lửa. Ví dụ như mạng LAN nội bộ được nối ra ngoài qua một dịch vụ truyền số liệu như X.25 của VietPack, hay một cơ quan, doanh nghiệp có một mạng diện rộng nối kết trung tâm và các chi nhánh ở hầu hết các tỉnh thành. Giải pháp có thể áp dụng trong trường hợp này là sử dụng bức tường lửa có tính năng VPN (mạng riêng ảo) tại mỗi địa điểm để tạo ra một mạng diện rộng có tính năng an ninh bảo mật.
    Tường lửa còn có thể dùng để phân tách các mạng LAN trong nội bộ, đảm bảo phân cấp an ninh bảo mật. Khả năng này thường xảy ra khi có một phần của mạng được sử dụng bởi một “bên thứ ba” (third - party), tức là một đối tác bên ngoài. Ví dụ như khi công ty thực hiện một dự án phát triển phần mềm xuất khẩu và các chuyên gia nước ngoài trực tiếp vào lãnh đạo nhóm phát triển ngay tại trụ sở của công ty.ÿ

    TS. Vũ Quốc Thành
    misoft@hn.vnn.vn

    ID: A0207_92