Tweet
Stateless packet filtering:
Một số firewall kiểm tra traffic chỉ dựa vào giá trị tìm được trong tiêu đề của gói gói ở tầng 3 hay tầng 4. Việc quyết định chuyển tiếp hay chặn gói tin được thực hiện trên mỗi gói tin một cách độc lập. Vì vậy, firewall không có khái niệm của trạng thái kết nối mà chỉ biết mỗi gói tin có khớp với những chính sách bảo mật hay không.
SPF được thực hiện bằng các tập quy luật được cấu hình tĩnh.
Thậm chí kết nối có liên quan đến thương lượng động hay số port giao thức cũng không nhận thức được.
Stateful packet filtering:
SPF yêu cầu firewall theo dõi từng phiên hay từng kết nối khi gặp gói tin. Firewall phải duy trì bảng trạng thái cho mỗi kết nối hiện hành để chắc rằng hai host đang theo một hành vi mong đợi khi truyền thông. Tương tự, firewall phải kiểm soát các traffic ở tầng 4 để theo dõi các phiên kết nối mới được thương lượng. Việc theo dõi các phiên được thương lượng đòi hỏi một số giao thức ở tầng 7 nhưng rất hạn chế.
Stateful packet filtering with application inspection and control:
Cơ chế theo dõi của firewall cho phép tập hợp các phiên kết nối TCP và UDP và quan sát các giao thức ở tầng 7. AIC còn gọi là theo dõi sâu các gói tin DPI, việc theo dõi có thể thực hiện dựa trên tiêu đề và nội dung gói tin ở tầng 7, cho phép quan sát hành vi người dùng rõ ràng hơn. Vì vậy, firewall cần nguồn và bộ nhớ nhiều hơn cho việc xử lý.
Network intrusion prevention system
NIPS kiểm tra, phân tích các traffic và so sanh nó với các hành vi nguy hiểm trong cơ sở dữ liệu. Cơ sở dữ liệu chứa một số lượng lớn các chữ ký hay các mẫu mô tả kiểu tấn công hay khai thác lỗ hỏng bảo mật đã biết. Khi phát hiện kiểu tấn công mới, chữ ký mới sẽ được them vào cơ sở dữ liệu.
Ở một số trường hợp, NIPS có thể phát hiện các hành vi nguy hiểm từ những gói tin đơn. Ở một số trường hợp khác, một nhóm các gói tin phải được tập hợp và kiểm tra. NIPS còn có khả năng phát hiện tấn công dựa trên việc đánh giá các gói tin và các phiên khác với những hành vi thông thường trên mạng như kiểu tấn công DOS, TCP flood.
IPS tiếp cận phương pháp permissive, tức là tất cả các traffic đều được cho phép ngoại trừ phát hiện hành vi khả nghi, firewall sẽ tạo ra các quy luật động để chặn hay reset các kết nối hay gói tin có mã độc.
Network behavior analysis
NBA kiểm tra traffic mạnh theo thời gian để xây dựng các mô hình thống kê các hành vi cơ sở, mô hình không đơn giản chỉ là băng thông hay dung lượng bình quân sử dụng mà còn xem xét các traffic volume, traffic rate, connection rate và một số loại giao thức thường dùng. NBA tự động xây dựng và chọn lọc các mô hình mặc dù có sự can thiệp của con người.
Khi các mô hình được xây dựng, NBA có khả năng bắt lỗi các hành vi được xem là bất thường, NBA còn được gọi là IPS dựa trên cơ sở mạng bất thường. NBA có thể phát hiện hành vi nguy hiểm chưa biết trước.
Application layer gateway
ALG là thiết bị có vai trò gateway giữa client và server. Client gửi request ở tầng 7 đến proxy, proxy giả dạng thành client và chuyển tiếp request đến server. Khi server trả lời request, proxy sẽ đánh giá nội dung và ra quyết định với request đó.
Vì proxy hoạt động ở tầng 7 và lọc traffic dựa vào địa chỉ IP và nội dung được trả về từ server.
Proxy có thể phân tích chi tiết kết nối giữa client và server. Traffic có thể được hợp lệ hóa theo chuẩn các giao thức từ tầng 3 đến tầng 7 và kết quả được chuẩn hóa khi cần.
Một số firewall kiểm tra traffic chỉ dựa vào giá trị tìm được trong tiêu đề của gói gói ở tầng 3 hay tầng 4. Việc quyết định chuyển tiếp hay chặn gói tin được thực hiện trên mỗi gói tin một cách độc lập. Vì vậy, firewall không có khái niệm của trạng thái kết nối mà chỉ biết mỗi gói tin có khớp với những chính sách bảo mật hay không.
SPF được thực hiện bằng các tập quy luật được cấu hình tĩnh.
Thậm chí kết nối có liên quan đến thương lượng động hay số port giao thức cũng không nhận thức được.
Stateful packet filtering:
SPF yêu cầu firewall theo dõi từng phiên hay từng kết nối khi gặp gói tin. Firewall phải duy trì bảng trạng thái cho mỗi kết nối hiện hành để chắc rằng hai host đang theo một hành vi mong đợi khi truyền thông. Tương tự, firewall phải kiểm soát các traffic ở tầng 4 để theo dõi các phiên kết nối mới được thương lượng. Việc theo dõi các phiên được thương lượng đòi hỏi một số giao thức ở tầng 7 nhưng rất hạn chế.
Stateful packet filtering with application inspection and control:
Cơ chế theo dõi của firewall cho phép tập hợp các phiên kết nối TCP và UDP và quan sát các giao thức ở tầng 7. AIC còn gọi là theo dõi sâu các gói tin DPI, việc theo dõi có thể thực hiện dựa trên tiêu đề và nội dung gói tin ở tầng 7, cho phép quan sát hành vi người dùng rõ ràng hơn. Vì vậy, firewall cần nguồn và bộ nhớ nhiều hơn cho việc xử lý.
Network intrusion prevention system
NIPS kiểm tra, phân tích các traffic và so sanh nó với các hành vi nguy hiểm trong cơ sở dữ liệu. Cơ sở dữ liệu chứa một số lượng lớn các chữ ký hay các mẫu mô tả kiểu tấn công hay khai thác lỗ hỏng bảo mật đã biết. Khi phát hiện kiểu tấn công mới, chữ ký mới sẽ được them vào cơ sở dữ liệu.
Ở một số trường hợp, NIPS có thể phát hiện các hành vi nguy hiểm từ những gói tin đơn. Ở một số trường hợp khác, một nhóm các gói tin phải được tập hợp và kiểm tra. NIPS còn có khả năng phát hiện tấn công dựa trên việc đánh giá các gói tin và các phiên khác với những hành vi thông thường trên mạng như kiểu tấn công DOS, TCP flood.
IPS tiếp cận phương pháp permissive, tức là tất cả các traffic đều được cho phép ngoại trừ phát hiện hành vi khả nghi, firewall sẽ tạo ra các quy luật động để chặn hay reset các kết nối hay gói tin có mã độc.
Network behavior analysis
NBA kiểm tra traffic mạnh theo thời gian để xây dựng các mô hình thống kê các hành vi cơ sở, mô hình không đơn giản chỉ là băng thông hay dung lượng bình quân sử dụng mà còn xem xét các traffic volume, traffic rate, connection rate và một số loại giao thức thường dùng. NBA tự động xây dựng và chọn lọc các mô hình mặc dù có sự can thiệp của con người.
Khi các mô hình được xây dựng, NBA có khả năng bắt lỗi các hành vi được xem là bất thường, NBA còn được gọi là IPS dựa trên cơ sở mạng bất thường. NBA có thể phát hiện hành vi nguy hiểm chưa biết trước.
Application layer gateway
ALG là thiết bị có vai trò gateway giữa client và server. Client gửi request ở tầng 7 đến proxy, proxy giả dạng thành client và chuyển tiếp request đến server. Khi server trả lời request, proxy sẽ đánh giá nội dung và ra quyết định với request đó.
Vì proxy hoạt động ở tầng 7 và lọc traffic dựa vào địa chỉ IP và nội dung được trả về từ server.
Proxy có thể phân tích chi tiết kết nối giữa client và server. Traffic có thể được hợp lệ hóa theo chuẩn các giao thức từ tầng 3 đến tầng 7 và kết quả được chuẩn hóa khi cần.