2. Nhiệm vụ của Firewall
FireWall bảo vệ chống lại những sự tấn công từ bên ngoài.
Tấn công trực tiếp
Nghe trộm
Giả mạo địa chỉ IP.
Vô hiệu hoá các chức năng của hệ thống (deny service)
Lỗi người quản trị hệ thống
Yếu tố con người3. Kiến trúc của firewall
Kiến trúc Dual home host
Kiến trúc Screened host
Kiến trúc Screened subnet
45 trang |
Chia sẻ: thanhle95 | Lượt xem: 766 | Lượt tải: 2
Bạn đang xem trước 20 trang tài liệu Bài giảng Thiết kế hệ thống mạng LAN - Chương 2: Firewall - Lương Minh Huấn, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
Trường Cao Đẳng Kỹ Thuật Cao Thắng
Chương 2 : Firewall
GV: LƯƠNG MINH HUẤN
NỘI DUNG
Giới thiệu Firewall
Nhiệm vụ của Firewall
Kiến trúc của Firewall
Các loại Firewall và cách hoạt động
Những hạn chế của Firewall
1. Giới thiệu firewall
Internet là một hệ thống mở, đó là điểm mạnh và cũng là điểm
của nó. Chính điểm yếu này làm giảm khả năng bảo mật thông
nội bộ của hệ thống.
Chính vì vậy, việc đảm bảo các thông tin được bảo mật luôn là
yêu cầu cấp thiết đặt ra.
Hiện nay có nhiều cách thức, phương pháp bảo mật
1. Giới thiệu firewall
Thuật ngữ firewall có nguồn gốc từ một kỹ thuật thiết kế trong
dựng để ngăn chặn, hạn chế hỏa hoạn.
Trong công nghệ thông tin, firewall là một kỹ thuật được tích
vào hệ thống mạng để chống lại việc truy cập trái phép, bảo vệ
nguồn tài nguyên cũng như hạn chế sự xâm nhập vào hệ thống
một số thông tin khác không mong muốn. Cụ thể hơn, có thể
firewall là một cơ chế bảo vệ giữa mạng tin tưởng (trusted
network)
1. Giới thiệu firewall
Về mặt vật lý, firewall bao gồm một hoặc nhiều hệ thống máy
kết nối với bộ định tuyến (Router) hoặc có chức năng Router
mặt chức năng, firewall có nhiệm vụ:
Tất cả các trao đổi dữ liệu từ trong ra ngoài và ngược lại đều
thực hiện thông qua firewall.
Chỉ có những trao đổi được cho phép bởi hệ thống mạng nội
(trusted network) mới được quyền lưu thông qua firewall.
1. Giới thiệu firewall
Các phần mềm quản lý an ninh chạy trên hệ thống máy chủ bao gồm
Quản lý xác thực (Authentication): có chức năng ngăn cản
cập trái phép vào hệ thống mạng nội bộ. Mỗi người sử dụng muốn
truy cập hợp lệ phải có một tài khoản (account) bao gồm một
người dùng (username) và mật khẩu (password).
1. Giới thiệu firewall
Quản lý cấp quyền (Authorization): cho phép xác định quyền
dụng tài nguyên cũng như các nguồn thông tin trên mạng theo
người, từng nhóm người sử dụng.
Quản lý kiểm toán (Accounting Management): cho phép
nhận tất cả các sự kiện xảy ra liên quan đến việc truy cập và
dụng nguồn tài nguyên trên mạng theo từng thời điểm (ngày/giờ)
và thời gian truy cập đối với vùng tài nguyên nào đã được sử dụng
hoặc thay đổi bổ sung
1. Giới thiệu firewall
Khi phân loại firewall ta có thể chia thành :
Personal firewall
Network firewall
Chủ yếu tùy vào số lượng host mà ta chia thành network
personal firewall
2. Nhiệm vụ của Firewall
Chức năng chính của Firewall là kiểm soát luồng thông tin từ
Intranet và Internet. Thiết lập cơ chế điều khiển dòng thông tin
mạng bên trong (Intranet) và mạng Internet. Cụ thể là:
Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet
ra Internet).
Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong
Internet vào Intranet).
Theo dõi luồng dữ liệu mạng giữa Internet và Intranet.
2. Nhiệm vụ của Firewall
Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập.
Kiểm soát người sử dụng và việc truy nhập của người sử dụng.
Kiểm soát nội dung thông tin thông tin lưu chuyển trên mạng.
2. Nhiệm vụ của Firewall
2. Nhiệm vụ của Firewall
FireWall bảo vệ những vấn đề :
Dữ liệu : Những thông tin cần được bảo vệ do những yêu cầu sau:
Bảo mât.
Tính toàn vẹn.
Tính kịp thời.
2. Nhiệm vụ của Firewall
Tài nguyên hệ thống.
2. Nhiệm vụ của Firewall
Danh tiếng của công ty sở hữu các thông tin cần bảo vệ.
2. Nhiệm vụ của Firewall
FireWall bảo vệ chống lại những sự tấn công từ bên ngoài.
Tấn công trực tiếp
Nghe trộm
Giả mạo địa chỉ IP.
Vô hiệu hoá các chức năng của hệ thống (deny service)
Lỗi người quản trị hệ thống
Yếu tố con người
3. Kiến trúc của firewall
Kiến trúc Dual home host
Kiến trúc Screened host
Kiến trúc Screened subnet
3.1 Kiến trúc Dual homed host
Firewall kiến trúc kiểu Dual-homed host được xây dựng dựa
máy tính dual-homed host. Một máy tính được gọi là dual-homed
host nếu nó có ít nhất hai network interfaces, có nghĩa là máy đó
gắn hai card mạng giao tiếp với hai mạng khác nhau và như thế
tính này đóng vai trò là Router mềm. Kiến trúc dual-homed host
đơn giản. Dual-homed host ở giữa, một bên được kết nối
Internet và bên còn lại nối với mạng nội bộ (LAN).
3.1 Kiến trúc Dual homed host
Dual-homed host chỉ có thể cung cấp các dịch vụ bằng cách
quyền (proxy) chúng hoặc cho phép users đăng nhập trực tiếp
dual-homed host. Mọi giao tiếp từ một host trong mạng nội bộ
host bên ngoài đều bị cấm, dual-homed host là nơi giao tiếp
nhất.
3.2 Kiến trúc Screened host
Screened Host có cấu trúc ngược lại với cấu trúc Dual-homed host
Kiến trúc này cung cấp các dịch vụ từ một host bên trong mạng
bộ, dùng một Router tách rời với mạng bên ngoài. Trong kiểu
trúc này, bảo mật chính là phương pháp Packet Filtering.
3.2 Kiến trúc Screened host
Bastion host được đặt bên trong mạng nội bộ. Packet Filtering
được cài trên Router. Theo cách này, Bastion host là hệ thống
nhất trong mạng nội bộ mà những host trên Internet có thể kết
. Mặc dù vậy, chỉ những kiểu kết nối phù hợp (được thiết lập trong
Bastion host) mới được cho phép kết nối. Bất kỳ một hệ thống
ngoài nào cố gắng truy cập vào hệ thống hoặc các dịch vụ bên trong
đều phải kết nối tới host này. Vì thế Bastion host là host cần
được duy trì ở chế độ bảo mật cao.
3.2 Kiến trúc Screened host
Packet filtering cũng cho phép bastion host có thể mở kết nối
bên ngoài. Cấu hình của packet filtering trên screening router
sau:
Cho phép tất cả các host bên trong mở kết nối tới host bên ngoài
thông qua một số dịch vụ cố định.
Không cho phép tất cả các kết nối từ các host bên trong (
những host này sử dụng dịch vụ proxy thông qua bastion host
3.2 Kiến trúc Screened host
Có thể kết hợp nhiều lối vào cho những dịch vụ khác nhau.
Một số dịch vụ được phép đi vào trực tiếp qua packet filtering
Một số dịch vụ khác thì chỉ được phép đi vào gián tiếp qua proxy
3.3 Kiến trúc Screened Subnet
Nhằm tăng cường khả năng bảo vệ mạng nội bộ, thực hiện chiến
lược phòng thủ theo chiều sâu, tăng cường sự an toàn cho bastion
host, tách bastion host khỏi các host khác, phần nào tránh lây
một khi bastion host bị tổn thương, người ta đưa ra kiến
firewall có tên là Sreened Subnet.
3.3 Kiến trúc Screened Subnet
Kiến trúc Screened subnet dẫn xuất từ kiến trúc screened host bằng
cách thêm vào phần an toàn: mạng ngoại vi (perimeter network
nhằm cô lập mạng nội bộ ra khỏi mạng bên ngoài, tách bastion
khỏi các host thông thường khác. Kiểu screened subnet đơn
bao gồm hai screened router:
3.3 Kiến trúc Screened Subnet
Router ngoài (External router còn gọi là access router): nằm
mạng ngoại vi và mạng ngoài có chức năng bảo vệ cho mạng ngoại
(bastion host, interior router). Nó cho phép hầu hết những
outbound từ mạng ngoại vi. Một số qui tắc packet filtering đặc
được cài đặt ở mức cần thiết đủ để bảo vệ bastion host và interior
router vì bastion host còn là host được cài đặt an toàn ở mức
Ngoài các qui tắc đó, các qui tắc khác cần giống nhau giữa
Router.
3.3 Kiến trúc Screened Subnet
Interior Router (còn gọi là choke router): nằm giữa mạng ngoại
mạng nội bộ, nhằm bảo vệ mạng nội bộ trước khi ra ngoài
mạng ngoại vi. Nó không thực hiện hết các qui tắc packet filtering
của toàn bộ firewall. Các dịch vụ mà interior router cho phép
bastion host và mạng nội bộ, giữa bên ngoài và mạng nội bộ không
nhất thiết phải giống nhau. Giới hạn dịch vụ giữa bastion host
mạng nội bộ nhằm giảm số lượng máy (số lượng dịch vụ trên
máy này) có thể bị tấn công khi bastion host bị tổn thương và
hiệp với bên ngoài.
3.4 Một số mô hình firewall trên ISA
Mô hình Edge Firewall
Mô hình 3-Leg Firewall
Mô hình Front back Firewall
3.4 Một số mô hình firewall trên ISA
Mô hình Edge Firewall
3.4 Một số mô hình firewall trên ISA
Mô hình 3-Leg Firewall
3.4 Một số mô hình firewall trên ISA
Mô hình Front Back Firewall
4. Các loại firewall và cách hoạt động
Packet filtering (Bộ lọc gói tin).
Application gateway.
4.1 Packet Filtering
Loại firewall này thực hiện việc kiểm tra số nhận dạng địa chỉ
các packet để từ đó cấp phép cho chúng lưu thông hay ngăn chặn
Các thông số có thể lọc được của một packet như:
Địa chỉ IP nơi xuất phát (source IP address).
Địa chỉ IP nơi nhận (destination IP address).
Cổng TCP nơi xuất phát (source TCP port).
Cổng TCP nơi nhận (destination TCP port).
4.1 Packet Filtering
Loại Firewall này cho phép kiểm soát được kết nối vào máy
khóa việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ không
cho phép. Ngoài ra, nó còn kiểm soát hiệu suất sử dụng những
đang hoạt động trên hệ thống mạng nội bộ thông qua các cổng
TCP tương ứng.
4.2 Application Gateway
Đây là loại firewall được thiết kế để tăng cường chức năng kiểm
soát các loại dịch vụ dựa trên những giao thức được cho phép
cập vào hệ thống mạng. Cơ chế hoạt động của nó dựa trên mô
Proxy Service. Trong mô hình này phải tồn tại một hay nhiều
tính đóng vai trò Proxy Server. Một ứng dụng trong mạng nội
yêu cầu một đối tượng nào đó trên Internet, Proxy Server sẽ nhận
yêu cầu này và chuyển đến Server trên Internet. Khi Server
Internet trả lời, Proxy Server sẽ nhận và chuyển ngược lại cho
dụng đã gửi yêu cầu. Cơ chế lọc của packet filtering kết hợp với
chế “đại diện” của application gateway cung cấp một khả năng
toàn và uyển chuyển hơn, đặc biệt khi kiểm soát các truy cập từ
ngoài.
4.2 Application Gateway
dụ: Một hệ thống mạng có chức năng packet filtering ngăn
các kết nối bằng TELNET vào hệ thống ngoại trừ một máy duy
TELNET application gateway là được phép. Một người muốn
nối vào hệ thống bằng TELNET phải qua các bước sau:
4.2 Application Gateway
Thực hiện telnet vào máy chủ bên trong cần truy cập.
Gateway kiểm tra địa chỉ IP nơi xuất phát của người truy cập để
cho phép hoặc từ chối.
Người truy cập phải vượt qua hệ thống kiểm tra xác thực.
Proxy Service tạo một kết nối Telnet giữa gateway và máy chủ
cần truy nhập.
Proxy Service liên kết lưu thông giữa người truy cập và máy chủ
trong mạng nội bộ.
4.2 Application Gateway
Cơ chế bộ lọc packet kết hợp với cơ chế proxy có nhược điểm
hiện nay các ứng dụng đang phát triển rất nhanh, do đó nếu
proxy không đáp ứng kịp cho các ứng dụng, nguy cơ mất an
sẽ tăng lên.
Thông thường những phần mềm Proxy Server hoạt động như
gateway nối giữa hai mạng, mạngbên trong và mạng bên ngoài
4.2 Application Gateway
Đường kết nối giữa Proxy Server và Internet thông qua nhà cung
cấp dịch vụ Internet (Internet Service Provider - ISP)
Phần cứng dùng để kết nối tùy thuộc vào việc nối kết trực
Proxy Server với Internet hoặc thông qua một Router.
Việc chọn lựa cách kết nối và một ISP thích hợp tùy thuộc vào
cầu cụ thể của công ty, ví dụ như số người cần truy cập Internet
các dịch vụ và ứng dụng nào được sử dụng, các đường kết nối
cách tính cước mà ISP có thể cung cấp.
5. Những hạn chế của firewall
Tuy firewall có những ưu điểm nổi trội nhưng vẫn tồn tại những
chế khiến firewall không thể bảo vệ hệ thống an toàn một cách tuyệt
đối. Một số hạn chế của firewall có thể kể ra như sau:
5. Những hạn chế của firewall
Firewall không bảo vệ chống lại các đe dọa từ bên trong nội bộ
dụ như một nhân viên cố ý hoặc một nhân viên vô tình hợp tác
kẻ tấn công bên ngoài.
Firewall không thể bảo vệ chống lại việc chuyển giao giữa các
chương trình bị nhiễm virus hoặc các tâp tin. Bởi vì sự đa dạng của
các hệ điều hành và các ứng dụng được hỗ trợ từ bên trong nội bộ.
Sẽ không thực tế và có lẽ là không thể cho các firewall quét các
tập tin gởi đến, email nhằm phát hiện virus.
5. Những hạn chế của firewall
Firewall không thể bảo vệ chống lại các cuộc tấn công bỏ
tường lửa. Ví dụ như một hệ thống bên trong có khả năng dial
kết nối với một ISP hoặc mạng LAN bên trong có thể cung
một modem pool có khả năng dial-in cho các nhân viên di động
hay các kiểu tấn công dạng social engineering nhắm đếm
tượng là các người dùng trong mạng.