ĐẠI VƯƠNG

Security / Firewall System – Bảo mật hệ thống

bởi

Hải Khang
trong

Hệ thống Bảo mật & Tường lửa (Security / Firewall System) đóng vai trò là “lớp giáp” và “chốt chặn” kiểm soát mọi lưu lượng ra vào, bảo vệ tài nguyên số khỏi các cuộc tấn công từ bên trong lẫn bên ngoài.
Dưới đây là các đặc điểm trọng yếu của hệ thống này:

1. Cơ chế Tường lửa (Firewall)

Tường lửa là ranh giới giữa mạng nội bộ tin cậy và mạng bên ngoài (Internet). Nó hoạt động dựa trên các bộ quy tắc (Rules) để cho phép hoặc chặn dữ liệu:

  • Packet Filtering (Lọc gói tin): Kiểm tra địa chỉ IP nguồn/đích, cổng (Port) và giao thức (TCP/UDP). Đây là cấp độ cơ bản nhất.
  • Stateful Inspection: Theo dõi trạng thái của các kết nối đang hoạt động. Nó thông minh hơn lọc gói tin vì biết được một gói tin có thuộc về một phiên làm việc (session) hợp lệ đã thiết lập trước đó hay không.
  • Next-Generation Firewall (NGFW): Tường lửa thế hệ mới, không chỉ lọc ở tầng mạng mà còn kiểm soát ở Tầng ứng dụng (Layer 7). Nó có khả năng nhận diện ứng dụng (như nhận biết lưu lượng Facebook vs. Youtube) và tích hợp sẵn hệ thống ngăn ngừa xâm nhập (IPS).

2. Hệ thống phát hiện và ngăn chặn xâm nhập (IDS/IPS)

Đây là “camera an ninh” và “bảo vệ” của hệ thống số:

  • IDS (Intrusion Detection System): Giám sát lưu lượng mạng để tìm các dấu hiệu tấn công hoặc vi phạm chính sách và gửi cảnh báo. (Chỉ quan sát và báo cáo).
  • IPS (Intrusion Prevention System): Nâng cao hơn IDS, nó có khả năng tự động ngăn chặn hành vi tấn công ngay khi phát hiện (như ngắt kết nối hoặc chặn IP tấn công).

3. Quản lý truy cập và Định danh (IAM)

Bảo mật không chỉ là ngăn người ngoài, mà còn là phân quyền đúng cho người trong:

  • Nguyên tắc đặc quyền tối thiểu (Least Privilege): Chỉ cấp quyền vừa đủ để một người hoặc một ứng dụng hoàn thành công việc, không cấp thừa.
  • Xác thực đa yếu tố (MFA): Yêu cầu ít nhất hai hình thức bằng chứng để xác minh danh tính (Mật khẩu + mã OTP/Sinh trắc học).
  • Zero Trust Architecture: Triết lý “Không bao giờ tin tưởng, luôn luôn xác minh”. Mọi thiết bị và người dùng, dù đang ở trong mạng nội bộ, đều phải được xác thực liên tục.

4. Bảo mật dữ liệu và Mã hóa

Đảm bảo rằng ngay cả khi dữ liệu bị đánh cắp, kẻ tấn công cũng không thể đọc được nội dung:

  • Encryption at Rest: Mã hóa dữ liệu khi đang lưu trữ trong ổ cứng, database.
  • Encryption in Transit: Mã hóa dữ liệu khi đang di chuyển trên mạng (sử dụng các giao thức như HTTPS/TLS).
  • Hashing: Sử dụng các thuật toán băm (như SHA-256) để bảo vệ mật khẩu hoặc kiểm tra tính toàn vẹn của tệp tin.

5. Phòng chống tấn công từ chối dịch vụ (DDoS Mitigation)

Hệ thống bảo mật hiện đại cần có khả năng chống lại các cuộc tấn công làm tràn băng thông:

  • Traffic Scrubbing: Chuyển lưu lượng truy cập qua một “trung tâm lọc” để loại bỏ các yêu cầu độc hại và chỉ cho phép người dùng thật truy cập vào máy chủ.
  • Rate Limiting: Giới hạn số lượng yêu cầu từ một địa chỉ IP trong một khoảng thời gian nhất định để tránh việc hệ thống bị quá tải bởi các công cụ tự động.

6. WAF (Web Application Firewall)

Đây là lớp bảo vệ chuyên biệt dành cho các ứng dụng web (như các hệ thống PHP/SQLite bạn thường xây dựng). WAF giúp chống lại các lỗ hổng phổ biến như:

  • SQL Injection: Chèn mã độc vào câu lệnh truy vấn dữ liệu.
  • Cross-Site Scripting (XSS): Chèn script độc hại vào trang web để đánh cắp cookie người dùng.

Mô hình bảo vệ lý tưởng: Defense in Depth (Phòng thủ đa lớp). Không phụ thuộc vào một công cụ duy nhất mà kết hợp nhiều lớp bảo vệ từ vật lý, mạng, máy chủ đến dữ liệu và con người.