Firewall

CÁC LOẠI FIREWALL

Thông tư 12/2022/TT-BTTTT - Phụ lục III

YÊU CẦU CƠ BẢN BẢO ĐẢM AN TOÀN HỆ THỐNG THÔNG TIN

ĐỐI VỚI HỆ THỐNG THÔNG TIN CẤP ĐỘ 3

...

iii. Có phương án cân bằng tải, dự phòng nóng cho các thiết bị chính, tối thiểu bao gồm thiết bị chuyển mạch trung tâm hoặc tương đương, thiết bị tường lửa trung tâm, tường lửa ứng dụng Web, hệ thống lưu trữ tập trung, tường lửa cơ sở dữ liệu (nếu có).

iv. Có phương án đảm bảo an toàn cho máy chủ cơ sở dữ liệu; sữ dụng sản phẩm Tường lửa cơ sở dữ liệi đối với hệ thống cơ sở dữ liệu tập trung, đáp ứng tiêu chí quy định tại khoản 3 Điều 9 Nghị định 85/2016/NĐ-CP.

v. Có phương án chặn lọc phần mềm độc hại trên môi trường mạng sử dụng Tường lửa tích hợp chức năng phòng chống mã độc trên môi trường mạng hoặc phương án tương đương.

Dưới đây là sơ đồ mạng logic thể hiện vị trí của các loại tường lửa khác nhau trong một hệ thống mạng Enterprise chuẩn, giúp bảo vệ đa lớp từ vòng biên cho đến dữ liệu cốt lõi:

NGFW (Next-Generation Firewall): Đứng ở vị trí "Edge Perimeter," kiểm soát toàn bộ lưu lượng ra vào giữa Internet và mạng nội bộ, bao gồm cả phân vùng DMZ.
WAF (Web Application Firewall): Nằm trong vùng "DMZ (Demilitarized Zone)," chuyên sâu giải mã và lọc lưu lượng Web/API trước khi đến các máy chủ ứng dụng.
Database Firewall (DBF): Nằm sâu trong "Critical Data Center," đứng trước các máy chủ cơ sở dữ liệu để giám sát và kiểm tra chi tiết các câu lệnh truy vấn dữ liệu nhạy cảm.

Trong các hệ thống doanh nghiệp hiện nay, đặc biệt là ngân hàng, bệnh viện, sản xuất, logistics hay cơ quan nhà nước, dữ liệu đã trở thành tài sản quan trọng nhất. Một sự cố mất dữ liệu hay bị mã hóa ransomware không chỉ gây gián đoạn vận hành mà còn ảnh hưởng trực tiếp đến uy tín thương hiệu, doanh thu và trách nhiệm pháp lý của doanh nghiệp.

Chính vì vậy, tư duy bảo mật hiện đại không còn là ‘mua một firewall đặt ngoài Internet là xong’, mà phải là xây dựng kiến trúc bảo mật nhiều lớp — giống như một tòa nhà có nhiều vòng kiểm soát an ninh.

Lớp đầu tiên là NGFW — Next Generation Firewall. Đây được xem như cổng an ninh tổng của doanh nghiệp. Nó kiểm soát toàn bộ lưu lượng ra vào hệ thống, phát hiện và ngăn chặn các cuộc tấn công từ Internet, kiểm soát người dùng, ứng dụng và phân tách các vùng mạng nội bộ. Ví dụ, nếu một máy tính người dùng bị nhiễm mã độc, NGFW sẽ giúp ngăn malware lan sang server hoặc database. Đây là lớp nền tảng bắt buộc trong mọi kiến trúc enterprise hiện đại.

Tuy nhiên, thực tế hiện nay cho thấy hacker ít tấn công trực diện vào mạng hơn, mà thường khai thác lỗ hổng ứng dụng web và API — nơi doanh nghiệp cung cấp dịch vụ cho khách hàng. Và đó là lý do cần đến WAF — Web Application Firewall.

Nếu NGFW bảo vệ ‘cánh cổng tòa nhà’, thì WAF giống như đội bảo vệ đứng ngay trước quầy giao dịch quan trọng. WAF hiểu được lưu lượng web, hiểu được hành vi của website và API, từ đó ngăn chặn các tấn công như SQL Injection, chiếm session đăng nhập, khai thác API hoặc bot tự động. Trong thời đại doanh nghiệp nào cũng có portal, mobile app, ERP, CRM hay hệ thống HIS bệnh viện, thì WAF gần như đã trở thành yêu cầu bắt buộc để bảo vệ tầng ứng dụng.

Nhưng điều quan trọng nhất là: mục tiêu cuối cùng của hacker không phải website, cũng không phải server — mà là dữ liệu.

Vì vậy lớp bảo vệ cuối cùng và quan trọng nhất chính là Database Firewall.

Database Firewall đóng vai trò như két sắt bảo vệ tài sản của doanh nghiệp. Nó giám sát trực tiếp các truy vấn SQL, kiểm soát ai được phép truy cập dữ liệu nào, phát hiện các hành vi bất thường như dump database, truy cập trái phép hoặc đánh cắp dữ liệu hàng loạt. Ngay cả trong trường hợp ứng dụng bị compromise, Database Firewall vẫn có thể đóng vai trò lớp phòng thủ cuối cùng để bảo vệ dữ liệu cốt lõi của doanh nghiệp.

Điểm quan trọng ở đây là ba lớp này không thay thế nhau, mà bổ sung cho nhau theo mô hình Defense in Depth — phòng thủ nhiều lớp.

NGFW bảo vệ hệ thống mạng.
WAF bảo vệ ứng dụng và API.
Database Firewall bảo vệ dữ liệu.

Đây chính là tư duy Secure-by-Design mà các doanh nghiệp lớn trên thế giới đang áp dụng: bảo mật được thiết kế ngay từ kiến trúc, thay vì xử lý sự cố sau khi bị tấn công.

Đối với Ban Giám đốc, đầu tư vào mô hình này không chỉ là đầu tư cho bảo mật, mà còn là đầu tư cho:

tính liên tục vận hành,
uy tín thương hiệu,
khả năng tuân thủ audit,
và khả năng phát triển số hóa lâu dài.

Bởi vì trong thời đại số hiện nay, hệ thống có thể downtime vài giờ, nhưng nếu dữ liệu bị mất hoặc bị rò rỉ, doanh nghiệp có thể mất nhiều năm để phục hồi niềm tin của khách hàng.”

NGFW VS WAF

Cả NGFW (Next-Generation Firewall) và WAF (Web Application Firewall) đều được quảng cáo là có khả năng kiểm soát ở Layer 7 (Application Layer). Tuy nhiên, về mặt bản chất kỹ thuật, mục đích thiết kế và chiều sâu phân tích traffic của hai thiết bị này hoàn toàn khác nhau.

Nói một cách ngắn gọn: NGFW bảo vệ người dùng và doanh nghiệp khỏi Internet (Outbound/Inbound chung), còn WAF bảo vệ ứng dụng web cụ thể khỏi người dùng Internet (Inbound chuyên sâu).

Dưới đây là bảng phân tích chuyên sâu chi tiết về sự khác biệt giữa hai công nghệ này:

1. Bản chất kỹ thuật: "Hiểu" Layer 7 đến mức nào?

Dù cùng hoạt động ở Layer 7, nhưng định nghĩa "Application" của NGFW và WAF có sự khác biệt rất lớn về độ sâu (Depth).

NGFW (Kiểm soát Ứng dụng ở mức Bề mặt - Application Identification)

NGFW nhìn vào Layer 7 để nhận diện loại ứng dụng đang chạy trên mạng, từ đó đưa ra chính sách cho phép hoặc cấm.

Cơ chế: NGFW phân tích các đặc trưng (Signatures) để biết một kết nối là Facebook, YouTube, BitTorrent, SSH, hay Skype, bất kể chúng cố tình thay đổi Port chạy (ví dụ chạy Skype trên Port 443).
Độ sâu: NGFW dừng lại ở việc nhận diện: "Đây là traffic của ứng dụng Web (HTTP/HTTPS)". Nó không đi sâu vào việc phân tích xem tham số (Parameter) bên trong câu lệnh HTTP đó có an toàn cho Database phía sau hay không.

WAF (Phân tích cú pháp Ứng dụng chuyên sâu - HTTP/HTTPS Parser)

WAF không cần quan tâm đến Facebook hay BitTorrent. Nó chỉ tập trung vào một ứng dụng duy nhất: HTTP/HTTPS (và các biến thể như WebSockets, gRPC, API JSON/XML), nhưng nó phân tích với độ chi tiết tối đa.

Cơ chế: WAF bóc tách toàn bộ cấu trúc của một HTTP Request (Header, Cookie, Session, Query String, POST Body).
Độ sâu: WAF hiểu được logic nghiệp vụ của web. Nó có thể phân tích xem chuỗi text nằm trong ô "Tìm kiếm" của trang web có chứa mã độc SQL Injection hay XSS hay không. Đây là điều mà NGFW hoàn toàn bỏ qua nếu traffic đó được định danh là "Web Traffic hợp lệ".

2. Bảng so sánh chi tiết giữa NGFW và WAF

3. Ví dụ ngữ cảnh thực tế để thấy sự khác biệt

Để thấy rõ tại sao có NGFW rồi vẫn cần WAF, hãy xem hai kịch bản tấn công sau:

Kịch bản 1: Nhân viên tải file dính Ransomware về máy tính.
- NGFW xử lý: Khi file đi qua Gateway, tính năng Anti-virus hoặc Sandbox của NGFW phát hiện payload độc hại và chặn lại. (WAF ở ngữ cảnh này hoàn toàn không có tác dụng vì đây là traffic outbound của người dùng).
Kịch bản 2: Tin tặc khai thác lỗ hổng điền form trên website để chiếm quyền database (SQL Injection).
- NGFW xử lý: NGFW thấy kết nối này đi vào Port 443 (HTTPS) hợp lệ, đích đến là Web Server hợp lệ --> NGFW CHO QUA.
- WAF xử lý: WAF giải mã gói tin HTTPS, phát hiện trong POST Body của Form có chứa chuỗi ' UNION SELECT username, password FROM users... --> WAF CHẶN NGAY LẬP TỨC và trả về mã lỗi 403.

Mối quan hệ cộng sinh

Trong một kiến trúc an ninh thông tin chuẩn hóa (ví dụ: theo mô hình Phòng thủ chiều sâu - Defense in Depth), NGFW và WAF không thay thế nhau mà bổ trợ cho nhau:

NGFW đóng vai trò là "Cửa khẩu biên giới": Lọc bỏ các IP xấu, chặn quét port bừa bãi, bảo vệ hạ tầng mạng tổng thể (Layer 3/4) và kiểm soát mã độc diện rộng.
WAF đóng vai trò là "Vệ sĩ phòng VIP": Đứng trực tiếp trước ứng dụng web để rà soát chi tiết từng câu lệnh, từng dòng mã mà người dùng gửi lên ứng dụng, đảm bảo an toàn tuyệt đối cho dữ liệu của ứng dụng đó.

WAF VS DATABASE FIREWALL

WAF hoàn toàn không thể thay thế Database Firewall (DBF) và ngược lại.

Mặc dù cả hai thiết bị này đều sử dụng từ "Firewall" và đều có nhiệm vụ ngăn chặn các cuộc tấn công dữ liệu (như SQL Injection), nhưng chúng hoạt động ở vị trí khác nhau, hiểu các ngôn ngữ khác nhau và bảo vệ các đối tượng hoàn toàn khác nhau trong kiến trúc hệ thống.

Nếu ví hệ thống của bạn là một ngân hàng:

WAF giống như bảo vệ ở cửa ra vào (kiểm tra khách hàng từ Internet vào web).
Database Firewall giống như bảo vệ đứng trực tiếp trước kho tiền (kiểm tra tất cả những ai tiếp cận két sắt, kể cả người trong nội bộ).

Dưới đây là phân tích chuyên sâu về mặt kỹ thuật để thấy rõ vì sao WAF không thể thay thế được Database Firewall:

1. Sự khác biệt cốt lõi về mặt Kỹ thuật

A. Vị trí triển khai (Deployment Position)

WAF: Đứng ở Vòng biên ứng dụng (Edge). Nó nằm giữa người dùng Internet và Web Server. WAF chỉ nhìn thấy traffic chạy từ ngoài Internet vào ứng dụng Web qua giao thức HTTP/HTTPS.
Database Firewall: Đứng ở Vùng lõi dữ liệu (Backend Core). Nó nằm giữa Web Server/App Server và Database Server. DBF giám sát toàn bộ traffic đi vào database, bất kể kết nối đó đến từ đâu.

B. Ngôn ngữ và Giao thức phân tích (Protocol & Parsing Deep)

WAF chỉ hiểu HTTP/HTTPS: WAF bóc tách các thành phần như Cookies, Headers, POST Body, URL Parameters. Nó cố gắng tìm các dấu hiệu SQL Injection ẩn giấu trong các Request của trình duyệt.
Database Firewall hiểu SQL Native Protocols: DBF không quan tâm đến HTTP. Nó phân tích sâu (Deep Packet Inspection) các giao thức kết nối database độc quyền như TNS (Oracle), TDS (MS SQL), MySQL protocol, PostgreSQL protocol. Nó biên dịch và hiểu trực tiếp các câu lệnh SQL tĩnh lẫn động (DML, DDL, DCL) gửi tới database.

2. Những "Điểm mù" khổng lồ của WAF mà chỉ Database Firewall mới xử lý được

Nếu bạn bỏ Database Firewall và chỉ dùng WAF, hệ thống của bạn sẽ hoàn toàn bất lực trước các kịch bản sau:

Tấn công từ Nội bộ (Insider Threats) & Quản trị viên

WAF chỉ lọc traffic từ Internet vào Web. Nếu một nhân viên IT nội bộ, một kỹ sư DevOps, hoặc một đối tác có quyền truy cập mạng nội bộ (LAN/VPN) kết nối thẳng vào Database bằng các công cụ như DBeaver, Navicat, SQL Server Studio... để đánh cắp dữ liệu, WAF hoàn toàn mù tịt vì traffic này không hề đi qua WAF. Database Firewall sẽ chặn đứng nếu phát hiện hành vi truy vấn trái phép.

Tấn công thông qua các con đường khác không phải Web

Nhiều hệ thống không chỉ có Web, mà Database còn phục vụ cho:

Các ứng dụng Client-Server (Desktop App) chạy trong mạng nội bộ.
Các tiến trình chạy ngầm (Cronjobs, Background Services).
Các hệ thống tích hợp bên thứ ba kết nối thẳng qua DB Link.
Nếu các con đường này bị khai thác lỗ hổng, WAF không thể bảo vệ được.

Kiểm soát đặc quyền và Kiểm toán dữ liệu (Database Auditing - DAM)

WAF không thể biết được ai đã cấu hình thay đổi cấu trúc bảng (như DROP TABLE, ALTER TABLE), ai đã cấp quyền quản trị (Grant DBA), hoặc ai vừa xuất (Export) một lượng lớn dữ liệu bệnh nhân/khách hàng. Database Firewall (thường tích hợp tính năng DAM) có nhiệm vụ ghi log chính xác: User Database nào, dùng câu lệnh gì, lúc mấy giờ, làm thay đổi bao nhiêu dòng dữ liệu để phục vụ điều tra sự cố.

Kỹ thuật bypass WAF tinh vi (WAF Evasion)

Kẻ tấn công nâng cao có thể sử dụng các kỹ thuật mã hóa phức tạp hoặc tận dụng sự bất đồng bộ trong việc biên dịch chuỗi giữa WAF và Database (được gọi là Impedance Mismatch) để đưa câu lệnh SQL Injection vượt qua bộ lọc của WAF. Tuy nhiên, khi câu lệnh đó đến trước cửa Database, nó bắt buộc phải lộ nguyên hình thành một câu lệnh SQL tường minh để Database thực thi. Lúc này, Database Firewall sẽ tóm gọn.

3. Bảng so sánh tổng hợp: WAF vs Database Firewall

Kiến trúc (Defense-in-Depth)

Trong một hệ thống thông tin tiêu chuẩn cao (như các hệ thống Core, hệ thống quản lý bệnh viện HIS/EMR, hệ thống tài chính), WAF và Database Firewall là hai lớp phòng thủ độc lập và bổ trợ cho nhau:

WAF là tiền đồn ở biên để gạt bỏ phần lớn các cuộc tấn công tự động, quét lỗ hổng và rà soát traffic web từ Internet.
Database Firewall là chốt chặn cuối cùng ở lõi để bảo vệ tài sản quý giá nhất (Dữ liệu) khỏi cả tin tặc bên ngoài lẫn các nguy cơ từ bên trong nội bộ.

Page updated

Google Sites

Report abuse