So sánh giải pháp thiết kế và xây dựng Firewall cho hệ thống Product và doanh nghiệp

1. Giải pháp mua Firewall cứng giá rẻ (MikroTik)
   Dòng thiết bị này thì đã phổ biến rồi. Thứ nhất là giá khá là rẻ, cấu hình cũng khá là dễ, chạy ổn định. Và đặc biệt là software của nó là siêu nhẹ. Nhẹ ngang với OS của mấy con Cisco Catalyst. Nhưng bên trong lại đầy đủ các tính năng cơ bản nhất. PPPoE, IP, Routing, VPN, Bridged, thậm chí là MPLS và có Firewall cấu hình với cơ chế giống với IPtables trong Linux. Firewall ở đây thực chất chỉ có chức năng điều hướng, xử lý thuần 99% ở layer 3. Còn các chứ năng khác khá là tốt.
   
   Dòng này đặc biệt là có rất nhiều Ports. Về hiêu suất cũng nhẹ tênh, RAM, Chip, Memory đều thấp, khởi động nhanh. Chạy bền bỉ.
   
2. Mua Firewall siêu đắt (Fortigate, CheckPoint v.v...)
   Những dòng Firewall như này hỗ trợ tới tận Layer 7. Sẽ giải thích thêm một chút ở dưới về Firewall Layer 7 . GIẢ mua cũng đắt, giá License cũng tốn kém. Chúng được thiết kế phần cứng đặc biệt, rất bền. So sánh card và port với con MikroTik sẽ thấy sự khác biệt. Và có giao diện Web cấu hình khá là xịn xò. Cấu hình siêu khỏe, siêu khủng, nhiều tính năng hay ho và nhiều người là Network Admin còn chưa đụng tới (Rich Features).
   
3. pfSense kết hợp VMware.
   Free & Free. Thậm chí là Opensource luôn. Có repo chính thức trên GitHub. Nhiều tính năng, có giao diện Web lẫn dòng lệnh đầy đủ, nhưng khá là khó cấu hình khi kết hợp với VMware. Vì là Firewall mềm nên không phụ thuộc vào phần cứng nhiều. Cứ có máy chạy VMware. Tạo máy ảo xong chạy. Dùng khá tốt, mình đang và triển khai con pfSense này đi muôn nơi rồi. Đánh giá là tốt.

Sang phần phân tích và so sánh

• Thứ nhất là phần cứng và phần mềm. Cơ chế của Firewall cũng là một cái Mainboard, được lắp CPU, Card mạng, Memory chip vào đầy đủ, tiếp đến là cài cho nó phần mềm để chạy và quản trị.

• Các dòng Firewall cứng sẽ chọn các chipset ASIC. Các chipset này được tích hợp vào thiết bị và connect tới các port mạng. Khi dữ liệu ra/vào trên Port mạng thì các con chip này sẽ xử lý trực tiếp với các thao tác cơ bản trên Network như giải mã, bóc tách gói tin, định tuyến, forward v.v... Chip ASIC giống như CPU trên máy tính nhưng chỉ được thiết kế chuyên cho việc thao tác với gói tin Network, không có xử lý đồ họa, thiết bị ngoại vi như CPU bình thường.

• Tiếp đến là các Port mạng. Chúng được tích hợp với card mạng có gắn con chip ASIC trên đó. Điểm đặc biệt là chúng được lập trình sẵn để cấu hình mạng. Tức là các chức năng trên Layer 2 ở port mạng được xử lý trực tiếp trên Card Network khi các gói tin đã đi vào Port mạng.

Là sao nhỉ .... ????

Như đã nói ở trên. Phần cứng thì phải đi với phần mềm để chạy, lý thuyết căn bản. Vậy với máy tính bình thường hay dùng, với trên Server, đa phần chúng ta thường kết nối mạng, Set IP, tiếp đến là ping, mở ứng dụng, chạy phần mềm. Nghĩa là Card mạng loại bình thường chỉ hỗ trợ Layer 2 cực kỳ basic là nhận gói tin xong đi thẳng vào các hệ điều hành. Windows, Linux ... Tiếp đến trong OS sinh ra các Drivers để kết nối tới Card mạng và nhận dữ liệu đi vào. Bản thân Drivers cũng bị giới hạn chức năng là chỉ connect đến và nhận gói tin. Xong đưa vào hệ điều hành xử lý. Hoàn toàn không có hình thức nào như Set VLAN, cấu hình LACP, VLAN Routing. Các chức năng hoạt động ở Layer 2 giống như Switch, Firewall cứng.

=> Vậy là Card mạng bình thường chỉ có chức năng nhận gói tin và đưa vào hệ điều hành xử lý.

Đối với Card mạng trên Firewall, trên Card mạng đó có nguyên hẳn một con chip để xử lý. Về bản chất nó cũng giống như giải thích trên, nhưng khác ở một chỗ là phần mềm được viết thẳng lên con chip ASIC đó. Tức là người ta lập trình cho nó chạy trực tiếp trên con Chip đó. Có nghĩa là ví dụ với máy tính bình thường thì chúng ta sẽ có BIOS khi khởi động, BIOS là một OS nhỏ tích hợp trong Mainboard để "POST" hệ thống. Vào BIOS, cắm USB, cài OS xong mới dùng được. Thì ở đây BIOS trên Firewall sẽ chính là phần mềm xử lý gói tin mạng luôn. Cũng không cần Drivers gì cả vì dữ liệu trên port mạng đi thẳng vào con chip và nó xử lý luôn. Switch cao cấp cũng có thiết kế tương tự, thiết bị mạng cứng nói chung. Các phần cấu hình sẽ được lưu vào NVM. Nó giống như ổ cứng bình thường nhưng giống như là dạng SSD mini vậy. Khi bật thiết bị lên, nó sẽ load thẳng cấu hình vào trên RAM luôn. Vậy là dữ liệu lúc nào cũng nằm trên RAM khi Firewall chạy. Các phần mềm cấu hình sẽ lưu cấu hình vào NVM để lần sau reboot nó sẽ nhận lại từ đó và load vào RAM.

=> Card mạng trên Firewall đặc biệt hơn là vì chúng được xử lý thẳng trên Chipset, không đi qua nhiều lớp phần mềm như hệ điều hành và Drivers.

Vậy có nghĩa là Card Server không có mấy chức năng của Layer 2. Thế mà VMware và pfSense lại làm được ?

Trên các hệ điều hành Linux. Có rất nhiều Option thao tác với Network như tạo VLAN, Tạo bridged các thứ. VMware vSphere được thiết kế dựa trên nhân Linux. Về bản chất thì Card mạng trên Server cũng chỉ là đẩy gói tin vào cho OS xử lý, hoàn toàn không có các chức năng cấu hình các giao thức ở Layer 2. Vì vậy nó sẽ sinh ra phần mềm xử lý gói tin Network mà hỗ trợ các giao thức này, chính là dựa vào Kernel trên Linux, việc đóng gói và truyền nhận sẽ được Linux Kernel đảm nhiệm, tiếp đến bên trong là các phần mềm xử lý gói tin, chúng sinh ra các Interface với từng loại tương ứng. Trong VMware thì nó chia thành các đơn vị sau. Đầu tiên là Physical Interface, chính là các Card mạng thường, bên trong có Virtual Switch, xong bên trong Virtual Switch lại có Virtual Port, xong để giao tiếp được với Virtual Port lại phải có Virtual Interface. Khá là lằng nhằng, nhưng thực chất chúng tạo ra một Interfaces ảo và được thiết kế để xử lý gói tin đi vào. Ví dụ cấu hình cho cái Interface đó nhận và tag VLAN x, Khi nhận được 2 gói tin đồng thời từ 2 card vật lý đi vào, nó sẽ detect và chạy sẵn giao thức LACP trên Interface ảo này và xử lý gói tin theo giao thức này.

=> VMware sẽ tạo ra Virtual Interface để nhận hết gói tin từ Physical Interface và tự xử lý chúng bằng cách setup các phần mềm chạy trên Virtual Interface do VMware OS tự tạo ra. Như vậy về bản chất chúng ta sẽ có Switch và Port bằng phần mềm. pfSense cũng tương tự. Khi cài pfSense thì nó cũng hoạt động tương tự như Concept của VMware, chỉ khác là nó chạy nhân FreeBSD, nhưng có tương tự gần giống Linux Kernel thôi. Như vậy pfSense sẽ là Interface ảo trong Interface ảo của thật. (Ảo) của (Ảo) của (Thật).

Xong phần cơ chế của từng thiết bị. Tiếp đến là chức năng Firewall. Lấy đại diện của từng giải pháp một là MikroTik, Fortigate, pfSense để so sánh.

• Từ Firewall dùng khá là chung để chỉ các thiết bị. Nhưng chúng ta sẽ nói đến các chức năng liên quan trong Firewall. Đầu tiên là các giao thức ở Layer 2. Cả 3 giải pháp đều đáp ứng tốt các chức năng căn bản. Riêng pfSense hơi hạn chế một chút nhưng nếu cài trên VMware và sử dụng vCenter để cấu hình thì mới tận dụng được hết các chức năng ở Layer 2, ví dụ LACP. Tiếp đến là Layer 3 đổ lên trên. Bắt đầu từ Layer 3 (IP) là có thể chặn port, forwarding, NAT, routing v.v... Đều ổn trên cả 3.

• Về phần cấu hình thì Fortigate nhìn logic hơn và hơi nhiều. Mất một vài buổi mới thông thạo được, pfSense thì đơn giản, phải nói là dễ nhất luôn. Còn Mikrotik thì cấu hình nhanh thôi nhưng cũng mất thời gian vì giao diện hơi xấu, phiên bản ngày xưa của MikroTik cũng phải gõ lệnh, bản có giao diện bây giờ thì không hẳn là giao diện, mà chỉ là tóm lược các câu lệnh, tham số ra giao diện nút bấm, ô nhập dữ liệu thôi. Nên nhìn nó hơi xấu và nhiều trường thông tin quá.

• Phần quan trọng đây. Tại sao dòng Forgate lại đắt thế. Vì chúng ta sẽ phải trả tiền cho cái phần mềm chạy trên thiết bị này, là phần bảo mật, xử lý gói tin từ Layer 3 trở lên trên đến tận Layer 7. Gọi là Firewall Layer 7. Ngoài việc xử lý gói tin xong, trước khi forward tiếp thì nó sẽ bóc cái gói tin này ra để phân tích. Ví dụ với HTTP và HTTPS khi truy cập vào một Web mà có dấu hiệu khả nghi, về quy trình nó sẽ đi qua bộ lọc và gặp phải phần xử lý này, nó sẽ bóc Payload trong gói tin Network ra, sau đó đọc và kiểm tra HTTP Header, thậm chí là bóc tiếp Payload bên trong gói tin HTTP ra để gửi tới một Deamon Antivirus nhỏ bên trong. Trong đó nó có tiếp một phần mềm nữa luôn được cập nhật cơ sở dữ liệu về việc phân tích dữ liệu có chứa virus hay mã độc không ? Gọi là Deamon Antivirus vì mình đang không nắm rõ bên trong mấy con Firewall này họ viết phần mềm tên là gì ? Nhưng về bản chất là nó sẽ quét mã độc bên trong hẳn gói tin đó. Ngoài ra nó còn lưu vết kết nối, nhận diện thông minh. Nhiều cơ chế lọc và phân tích nhanh, cái quan trọng đó chính là nó quét các gói tin này phải thật nhanh và lưu kết nối để lần sau quét cho nhanh. Đây gọi là Stateful Firewall hoàn toàn. Vậy chúng ta phải trả tiền cho cái bộ phần mềm này, đây là một bộ phần mềm bảo mật. Mà đã là bảo mật thì phải luôn được cập nhật dữ liệu mới.

• Với MikroTik thì tính năng bảo mật và Firewall chỉ dừng ở Layer 3 là hết. Forward hoặc Routing xong IP đến đích là xong.

• Với pfSense. Nó sẽ có các gói cài đặt cho giải pháp lọc gói tin tới tận Layer 7. Tuy nhiên phải phụ thuộc vào phần cứng nhanh, khủng, máy ảo phải mượt và không bị overload với các máy ảo khác. Cấu hình phần lọc gói tin phần phân tích Packet cũng khó hơn. Nói chung là chỉ bằng 30% so với Fortigate thôi.

Về hiệu suất. Dựa vào các thông tin trên. Chấm điểm luôn theo thứ tự nhanh nhất đến thấp nhất. Lưu ý đây là chấm dựa vào hiệu suất chứ không chấm về chức năng.

1. Fortigate (Firewall cứng thuộc phân khúc cao cấp và đắt đỏ).
2. MikroTik (Firewall cứng nhỏ gọn) và Fortigate phân khúc trung bình, nhỏ gọn hoặc mấy cục CHECKPOINT giá rẻ.
3. pfSense (Chạy trên VMware vSphere).

Về mặt tính năng, quản trị, cấu hình.

1. Fortigate (Các dòng mới và trung bình nhưng không được cũ quá).
2. pfSense (Firewall mềm).
3. MikroTik (Firewall cứng nhỏ gọn).