Tải bản đầy đủ (.doc) (47 trang)

mô hình và ứng dụng của firewall.

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (436.07 KB, 47 trang )

Sinh viên: Đoàn Duy Thành Tìm hiểu về
FireWall
MỤC LỤC
LỜI MỞ ĐẦU 3
Phần 1:
AN TOÀN THÔNG TIN TRÊN MẠNG (NETWORKSECURITY) 5
1. Tổng quan về an ninh, an toàn trên mạng Internet (Internet Security).
5
2. Tại sao cần có an ninh mạng ? 6
2.1. Thực tế về sự phát triển Internet 6
2.2. Thực trạng an ninh trên mạng ở Việt Nam trong thời gian qua 7
3. Các hình thức tấn công trên mạng Internet 8
3.1. Tấn công trực tiếp 8
3.2. Nghe trộm trên mạng 8
3.3. Giả mạo địa chỉ IP 9
3.4. Vô hiệu hoá các chức năng của hệ thống 9
3.5. Lỗi của người quản trị hệ thống 10
3.6. Tấn công vào các yếu tố con người 10
3.7. Một số kiểu tấn công khác 11
4. Phân loại kẻ tấn công 11
5. Phương pháp chung ngăn chặn các kiểu tấn công 12
6. Phương thức mã hóa - bảo mật thông tin 14
6.1. Đặc điểm chung của các phương thức mã hóa 14
6.2. Các phương thức mã hóa 17
Phần 2:
KHÁI NIỆM VÀ CHỨC NĂNG CỦA FIREWALL 21
1. Lịch sử 21
2. Định nghĩa FireWall 23
3. Phân loại FireWall 24
4. Sự cần thiết của FireWall 26
Lớp Công Nghệ Thông Tin K47


1
Sinh viên: Đoàn Duy Thành Tìm hiểu về
FireWall
5. Chức năng chính của FireWall 27
6. Cấu trúc của FireWall 27
7. Các thành phần của FireWall và cơ chế hoạt động 28
8. Vai trò của FireWall 34
9. Phải chăng tường lửa rất dễ bị phá 34
10. Những hạn chế của FireWall 35
Phần 3:
MÔ HÌNH VÀ ỨNG DỤNG CỦA FIREWALL 37
1. Một số mô hình Firewall thông dụng 37
1.1. Packet filtering: 37
1.2. Dual-homed host: 39
1.3. Demilitarized Zone (Screened-subnet Firewall) 40
1.4. Proxy service: 42
2. Ứng dụng 43
2.1. Quản lý xác thực (Authenti-cation) 43
2.2. Quản lý cấp quyền (Autho-rization) 44
2.3. Quản lý kế toán (Accounting management). 45
KẾT LUẬN 46
TÀI LIỆU THAM KHẢO 47
Lớp Công Nghệ Thông Tin K47
2
Sinh viên: Đoàn Duy Thành Tìm hiểu về
FireWall
LỜI MỞ ĐẦU
INTERNET ngày nay không còn xa lạ gì với chúng ta nữa, nó đã
trở thành mạng dữ liệu công cộng làm cho việc liên lạc cá nhân, công việc
trở nên thuận tiện hơn nhiều.

Với lợi ích to lớn của nó, mạng Internet cùng với các công nghệ
liên quan đã mở ra một cánh cửa làm tăng số lượng các vụ tấn công vào
những công ty, cơ quan và cả những cá nhân, nơi lưu giữ những dữ liệu
nhạy cảm như bí mật quốc gia, số liệu tài chính, số liệu cá nhân Hậu quả
của các cuộc tấn công này có thể chỉ là phiền phức nhỏ, nhưng cũng có
thể làm các dữ liệu quan trọng bị xóa, sự riêng tư bị xâm phạm và chỉ sau
vài ngày, thậm chí vài giờ sau, toàn bộ hệ thống có thể bị tê liệt hoàn
toàn…
Do đó, song song với việc phát triển và khai thác các dịch vụ trên
Internet, rất cần nghiên cứu giải quyết vấn đề đảm bảo an ninh trên mạng.
Như vậy, có thể nói việc tìm hiểu và nghiên cứu về công nghệ
Firewall đã và đang trở thành một vấn đề cấp thiết, đặc biệt là đối với
những người chuyên sâu về lĩnh vực bảo mật. Trong khuôn khổ của đề án
này, em xin trình bày khái quát về vấn đề "Internet Security". Các hình
thức tấn công qua mạng Internet cũng như biện pháp chung để bảo vệ,
ngăn chặn những cuộc tấn công đó. Và đi sâu vào nghiên cứu một loại
thiết bị bảo vệ mạng khỏi thế giới bên ngoài đó là bức tường lửa
(Firewall).
Lớp Công Nghệ Thông Tin K47
3
Sinh viên: Đoàn Duy Thành Tìm hiểu về
FireWall
Nội dung của đề án bao gồm 3 phần:
Phần1: An toàn thông tin trên mạng.
Phần2: Khái niệm và chức năng của Firewall.
Phần3: Mô hình và ứng dụng của Firewall.
Trong quá trình thực hiện đề án do còn hạn chế về nhiều mặt nên
không thể tránh khỏi có những sai sót, em rất mong nhận được những ý
kiến đóng góp, chỉ bảo của các thày cô và những người quan tâm đến vấn
đề này.

Em xin chân thành cảm ơn cô giáo Nguyễn Quỳnh Mai đã nhiệt
tình giúp đỡ và hướng dẫn em trong suốt thời gian thực hiện đề án này.
Em xin chân thành cảm ơn!
Hà nội, tháng 10/2008
Lớp Công Nghệ Thông Tin K47
4
Sinh viên: Đoàn Duy Thành Tìm hiểu về
FireWall
Phần 1:
AN TOÀN THÔNG TIN TRÊN MẠNG (NETWORKSECURITY)
1. Tổng quan về an ninh, an toàn trên mạng Internet (Internet
Security).
Mạng máy tính toàn cầu (Internet) là mạng của các mạng máy tính
được kết nối với nhau qua giao thức TCP/IP nhằm trao đổi và xử lý thông
tin tương hỗ. Các mạng được điều hành hoạt động bởi một hoặc nhiều loại
hệ điều hành mạng. Như vậy, hệ điều hành mạng có thể điều phối một
phần của mạng và là phần mềm điều hành đơn vị quản lý nhỏ nhất trên
toàn bộ mạng.
Điều khác nhau giữa mạng máy tính và xã hội loài người là đối với
mạng máy tính chúng ta phải quản lý tài sản khi mà các ngôi nhà đều luôn
mở cửa. Các biện pháp vật lý là khó thực hiện vì thông tin và thiết bị luôn
cần được sử dụng.
Trên hệ thống mạng mở như vậy, bảo vệ thông tin bằng mật mã là
ở mức cao nhất song không phải bao giờ cũng thuận lợi và không tốn
kém. Thường thì các hệ điều hành mạng, các thiết bị mạng sẽ lãnh trách
nhiệm lá chắn cuối cùng cho thông tin. Vượt qua lá chắn này thông tin
hầu như không còn được bảo vệ nữa.
Gối trên nền các hệ điều hành là các dịch vụ mạng như: Thư điện tử
(Email), WWW, FTP, News, làm cho mạng có nhiều khả năng cung cấp
thông tin. Các dịch vụ này cũng có các cơ chế bảo vệ riêng hoặc tích hợp

với cơ chế an toàn của hệ điều hành mạng.
Lớp Công Nghệ Thông Tin K47
5
Sinh viên: Đoàn Duy Thành Tìm hiểu về
FireWall
Internet là hệ thống mạng mở nên nó chịu tấn công từ nhiều phía kể
cả vô tình và hữu ý. Các nội dung thông tin lưu trữ và lưu truyền trên
mạng luôn là đối tượng tấn công. Nguy cơ mạng luôn bị tấn công là do
người sử dụng luôn truy nhập từ xa. Do đó thông tin xác thực người sử
dụng như mật khẩu, bí danh luôn phải truyền đi trên mạng. Những kẻ xâm
nhập tìm mọi cách giành được những thông tin này và từ xa truy nhập vào
hệ thống. Càng truy nhập với tư cách người dùng có quyền điều hành cao
thì khả năng phá hoại càng lớn.
Nhiệm vụ bảo mật và bảo vệ vì vậy mà rất nặng nề và khó đoán
định trước. Nhưng tập trung lại gồm ba hướng chính sau:
 Bảo đảm an toàn cho phía server.
 Bảo đảm an toàn cho phía client.
 Bảo mật thông tin trên đường truyền.
2. Tại sao cần có an ninh mạng ?
2.1. Thực tế về sự phát triển Internet.
Bật máy tính lên, kết nối vào mạng Internet là người sử dụng đã
đến với một thế giới của thông tin, tri thức và các giao dịch điện tử. Như
vậy cũng có nghĩa là người sử dụng đã bắt đầu phải đương đầu với các vụ
tấn công trên đó: virus, mất cắp dữ liệu, các giao dịch tài chính Càng
giao thiệp rộng thì càng dễ bị tấn công. Theo CERT (Computer Emegency
Response Team), năm 1989 có 200 vụ tấn công, truy nhập trái phép trên
mạng được báo cáo; năm 1991 có 400 vụ; năm 1993 có 1400 vụ; năm
1994 có 2241 vụ… Riêng năm 2000 có 22.000 vụ tấn công trên mạng, hết
năm 2001 là 46.000 vụ, nhiều hơn hai lần so với năm trước. Như vậy số
vụ tấn công ngày càng tăng, một phần cũng do kỹ thuật ngày càng mới.

Lớp Công Nghệ Thông Tin K47
6
Sinh viên: Đoàn Duy Thành Tìm hiểu về
FireWall
2.2. Thực trạng an ninh trên mạng ở Việt Nam trong thời gian qua.
Trong những năm vừa qua cùng với các Website nối tiếng trên thế
giới bị tấn công như (Yahoo, Amazon.com, eBay, Buy.com) các Website
của Việt nam cũng không nằm ngoài mục tiêu đột kích của các hacker.
Gần đây nhất là vụ tấn công của các hacker vào Website của Vitranet.
Thay vì hiện nội dung trang Web của mạng thông tin thương mại thị
trường Việt nam lại là nội dung của trang Web có nội dung không lành
mạnh khi người sử dụng gõ vào dòng địa chỉ: .
Tuy nhiên, do số lượng các trang Web của Việt Nam còn ít, số
lượng người sử dụng Internet chưa nhiều (cả nước có khoảng 40.000 thuê
bao Internet) nên nếu có bị tấn công cũng gây thiệt hại không đáng kể.
Trong thời gian qua, các đường truyền Internet của Việt Nam vốn có lưu
lượng rất thấp so với thế giới đã một số lần bị tắc vào các giờ cao điểm.
Tuy nhiên các trang Web của nước ta lo ngại nhất là các hacker phá hoại,
sửa chữa làm sai lệch thông tin chứ không sợ "dội bom".
Bản thân mạng VNN cũng đã nhiều lần bị tấn công dưới hình thức
bom thư. Hàng ngàn bức thư từ nhiều địa điểm trên thế giới đã đồng loạt
gửi về mạng nhưng sự tắc nghẽn không đáng kể. Việc đối phó với hình
thức tấn công này không phải là quá khó nhưng để đi tới một giải pháp tối
ưu, triệt để thì lại là vấn đề đáng bàn.
Để đối phó với các hình thức tấn công từ bên ngoài, Ban điều phối
mạng Internet Việt Nam cũng đã đưa ra những nghiên cứu, dự phòng. Cụ
thể là sử dụng các thiết bị như Firewall, máy chủ uỷ quyền và tổ chức
phân cấp công việc, trách nhiệm cụ thể. Các thông tin quan trọng nhất
được lưu vào đĩa quang (hacker không xóa được) để nếu trang Web bị
hacker vào làm sai lệch thì xóa toàn bộ rồi lại nạp từ đĩa quang sang.

Thêm vào đó Nhà nước còn quy định các máy tính nối mạng không được
Lớp Công Nghệ Thông Tin K47
7
Sinh viên: Đoàn Duy Thành Tìm hiểu về
FireWall
truy cập vào các cơ sở dữ liệu quan trọng, bí mật quốc gia. Đồng thời
không cho thiết lập các đường hotline (đường truy cập trực tiếp) vào các
trang Web quan trọng nhất.
3. Các hình thức tấn công trên mạng Internet.
3.1. Tấn công trực tiếp.
Những cuộc tấn công trực tiếp thông thường được sử dụng trong
giai đoạn đầu để chiếm được quyền truy nhập hệ thống mạng bên trong.
Điển hình cho tấn công trực tiếp là các hacker sử dụng một phương
pháp tấn công cổ điển là dò tìm cặp tên người sử dụng và mật khẩu thông
qua việc sử dụng một số thông tin đã biết về người sử dụng để dò tìm mật
khẩu, đây là một phương pháp đơn giản dễ thực hiện. Ngoài ra các hacker
cũng có thể sử dụng một chương trình tự động hoá cho việc dò tìm này.
Chương trình này có thể dễ dàng lấy được thông tin từ Internet để
giải mã các mật khẩu đã mã hoá, chúng có khả năng tổ hợp các từ trong
một từ điển lớn dựa theo những quy tắc do người dùng tự định nghĩa.
Trong một số trường hợp, khả năng thành công của phương pháp này
cũng khá cao, nó có thể lên tới 30%.
Phương pháp sử dụng các lỗi của các chương trình ứng dụng và bản
thân hệ điều hành đã được sử dụng từ những vụ tấn công đầu tiên và vẫn
được tiếp tục để chiếm quyền truy nhập. Trong một số trường hợp phương
pháp này cho phép kẻ tấn công có được quyền của người quản trị hệ
thống (root hay administrator).
3.2. Nghe trộm trên mạng.
Thông tin gửi đi trên mạng thường được luân chuyển từ máy tính
này qua hàng loạt các máy tính khác mới đến được đích. Điều đó, khiến

Lớp Công Nghệ Thông Tin K47
8
Sinh viên: Đoàn Duy Thành Tìm hiểu về
FireWall
cho thông tin của ta có thể bị kẻ khác nghe trộm. Tồi tệ hơn thế, những kẻ
nghe trộm này còn thay thế thông tin của chúng ta bằng thông tin do họ tự
tạo ra và tiếp tục gửi nó đi. Việc nghe trộm thường được tiến hành sau khi
các hacker đã chiếm được quyền truy nhập hệ thống hoặc kiểm soát
đường truyền. May mắn thay, chúng ta vẫn còn có một số cách để bảo vệ
được nguồn thông tin cá nhân của mình trên mạng Intemet. Bạn có thể mã
hoá cho nguồn thông tin của mình trước khi gửi đi qua mạng Internet.
Bằng cách này, nếu như có ai đón được thông tin của mình thì đó cũng chỉ
là những thông tin vô nghĩa.
3.3. Giả mạo địa chỉ IP.
Giả mạo địa chỉ có thể được thực hiện thông qua sử dụng khả năng
dẫn đường trực tiếp. Với cách tấn công này kẻ tấn công gửi các gói tin tới
mạng khác với một địa chỉ giả mạo, đồng thời chỉ rõ đường dẫn mà các
gói tin phải đi. Thí dụ người nào đó có thể giả mạo địa chỉ của bạn để gửi
đi những thông tin có thể làm ảnh hưởng xấu tới bạn.
3.4. Vô hiệu hoá các chức năng của hệ thống.
Đây là kiểu tấn công làm tê liệt hệ thống, làm mất khả năng cung
cấp dịch vụ (Denial of Service - DoS) không cho hệ thống thực hiện được
các chức năng mà nó được thiết kế. Kiểu tấn công này rất khó ngăn chặn
bởi chính những phương tiện dùng để tổ chức tấn công lại chính là những
phương tiện dùng để làm việc và truy cập thông tin trên mạng. Một thí dụ
về trường hợp có thể xảy ra là một người trên mạng sử dụng chương trình
đẩy ra những gói tin yêu cầu về một trạm nào đó. Khi nhận được gói tin,
trạm luôn luôn phải xử lý và tiếp tục thu các gói tin đến sau cho đến khi
bộ đệm đầy, dẫn tới tình trạng những nhu cầu cung cấp dịch vụ của các
máy khác đến trạm không được phục vụ.

Lớp Công Nghệ Thông Tin K47
9
Sinh viên: Đoàn Duy Thành Tìm hiểu về
FireWall
Điều đáng sợ là các kiểu tấn công DoS chỉ cần sử dụng những tài
nguyên giới hạn mà vẫn có thể làm ngưng trệ dịch vụ của các site lớn và
phức tạp. Do vậy loại hình tấn công này còn được gọi là kiểu tấn công
không cân xứng (asymmetric attack). Chẳng hạn như kẻ tấn công chỉ cần
một máy tính PC thông thường với một modem tốc độ chậm vẫn có thể
tấn công làm ngưng trệ các máy tính mạnh hay những mạng có cấu hình
phức tạp. Điều này được thể hiện rõ qua các đợt tấn công vào các Website
của Mỹ đầu tháng 2/2000 vừa qua.
3.5. Lỗi của người quản trị hệ thống.
Đây không phải là một kiểu tấn công của những kẻ đột nhập, tuy
nhiên lỗi của người quản trị hệ thống thường tạo ra những lỗ hổng cho
phép kẻ tấn công sử dụng để truy nhập vào mạng nội bộ.
3.6. Tấn công vào các yếu tố con người.
Đây là một hình thức tấn công nguy hiểm nhất nó có thể dẫn tới
những tổn thất hết sức khó lường. Kẻ tấn công có thể liên lạc với người
quản trị hệ thống thay đổi một số thông tin nhằm tạo điều kiện cho các
phương thức tấn công khác.
Ngoài ra, điểm mấu chốt của vấn đề an toàn, an ninh trên Internet
chính là người sử dụng. Họ là điểm yếu nhất trong toàn bộ hệ thống do kỹ
năng, trình độ sử dụng máy tính, mạng Internet không cao. Chính họ đã
tạo điều kiện cho những kẻ phá hoại xâm nhập được vào hệ thống thông
qua nhiều hình thức khác nhau như qua Email. Kẻ tấn công gửi những
chương trình, virus và những tài liệu có nội dung không hữu ích hoặc sử
dụng những chương trình không rõ nguồn gốc, thiếu độ an toàn. Thông
thường những thông tin này được che phủ bởi những cái tên hết sức ấn
tượng mà không ai có thể biết được bên trong nó chứa đựng cái gì. Và

điều tồi tệ nhất sẽ xảy ra khi người sử dụng mở hay chạy nó. Lúc đó có
Lớp Công Nghệ Thông Tin K47
10
Sinh viên: Đoàn Duy Thành Tìm hiểu về
FireWall
thể thông tin về người sử dụng đã bị tiết lộ hoặc có cái gì đó đã hoạt động
tiềm ẩn trên hệ thống của bạn và chờ ngày kích hoạt mà chúng ta không
hề ngờ tới.
Với kiểu tấn công như vậy sẽ không có bất cứ một thiết bị nào có
thể ngăn chặn một cách hữu hiệu. Chỉ có phương pháp duy nhất là giáo
dục người sử dụng mạng về những yêu cầu bảo mật để nâng cao cảnh
giác. Nói chung yếu tố con người là một điểm yếu trong bất kỳ một hệ
thống bảo vệ nào và chỉ có sự giáo dục cùng với tinh thần hợp tác từ phía
người sử dụng mới có thể nâng cao độ an toàn của hệ thống bảo vệ.
3.7. Một số kiểu tấn công khác.
Ngoài các hình thức tấn công kể trên, các hacker còn sử dụng một
số kiểu tấn công khác như tạo ra các virus đặt nằm tiềm ẩn trên các file
khi người sử dụng do vô tình trao đổi thông tin qua mạng mà người sử
dụng đã tự cài đặt nó lên trên máy của mình. Ngoài ra hiện nay còn rất
nhiều kiểu tấn công khác mà chúng ta còn chưa biết tới và chúng được
đưa ra bởi những hacker.
4. Phân loại kẻ tấn công.
Có rất nhiều kẻ tấn công trên mạng toàn cầu–Internet và chúng ta
cũng không thể phân loại chúng một cách chính xác và đầy đủ được, tuy
nhiên các chuyên gia đã phân chia ra mấy loại sau:
• Thứ nhất là những người qua đường.
Họ là những kẻ buồn chán với công việc hàng ngày, muốn giải trí
bằng cách đột nhập vào các hệ thống mạng, không chủ định phá hoại,
nhưng những hành vi xâm nhập và việc họ xoá dấu vết khi rút lui có thể
vô tình làm cho hệ thống bị trục trặc.

Lớp Công Nghệ Thông Tin K47
11
Sinh viên: Đoàn Duy Thành Tìm hiểu về
FireWall
• Thứ 2 là những kẻ phá hoại.
Loại này chủ định phá hoại hệ thống, vui thú khi phá hoại người
khác và gây ra những tác hại lớn.
• Thứ 3 là kẻ ghi điểm.
Họ là những kẻ muốn khẳng định mình qua những kiểu tấn công
mới, thích đột nhập những nơi nổi tiếng, canh phòng cẩn mật.
• Thứ tư là gián điệp.
Chúng truy nhập để ăn cắp tài liệu nhằm phục vụ những mục đích
khác nhau, để mua bán, trao đổi
Tóm lại trước vấn đề an ninh mạng, người sử dụng cần phải có biện
pháp để bảo vệ dữ liệu, tài sản và uy tín của mình, bởi máy tính của bạn
có thể bị lợi dụng bởi tin tặc. Kể cả khi máy tính của bạn không có dữ liệu
quan trọng thì cũng cần được bảo vệ bởi tin tặc có thể đột nhập và sử
dụng nó làm bàn đạp cho các cuộc tấn công khác. Đó là việc dùng máy
của người sử dụng để tấn công nơi khác, gây tổn thất về uy tín cho người
sử dụng.
5. Phương pháp chung ngăn chặn các kiểu tấn công.
Để thực hiện việc ngăn chặn các truy nhập bất hợp pháp đòi hỏi
chúng ta phải đưa ra những yêu cầu hoạch định chính sách như: Xác định
những ai có quyền sử dụng tài nguyên của hệ thống, tài nguyên mà hệ
thống cung cấp sẽ được sử dụng như thế nào những ai có quyền xâm nhập
hệ thống.
Chỉ nên đưa ra vừa đủ quyền cho mỗi người để thực hiện công việc
của mình. Ngoài ra cần xác định quyền lợi và trách nhiệm của người sử
Lớp Công Nghệ Thông Tin K47
12

Sinh viên: Đoàn Duy Thành Tìm hiểu về
FireWall
dụng cùng với quyền lợi và nghĩa vụ của người quản trị hệ thống. Hiện
nay, để quản lý thông tin truy nhập từ ngoài vào trong hay từ trong ra
ngoài người ta đã thiết lập một bức tường lửa (Firewall) ngăn chặn những
truy nhập bất hợp pháp từ bên ngoài đồng thời những server thông tin
cũng được tách khỏi các hệ thống site bên trong là những nơi không đòi
hỏi các cuộc xâm nhập từ bên ngoài.
Các cuộc tấn công của hacker gây nhiều thiệt hại nhất thường là
nhằm vào các server. Hệ điều hành mạng, các phần mềm server, các CGI
script đều là những mục tiêu để các hacker khai thác các lỗ hổng nhằm
tấn công server. Các hacker có thể lợi dụng những lỗ hổng đó trên server
để đột kích vào các trang web và thay đổi nội dung của trang web đó,
hoặc tinh vi hơn nữa là đột nhập vào mạng LAN và sử dụng server để tấn
công vào bất kỳ máy tính nào trong mạng LAN đó.
Vì vậy, việc đảm an toàn tuyệt đối cho phía server không phải là
một nhiệm vụ đơn giản. Điều phải làm trước tiên là phải lấp kín các lỗ
hỗng có thể xuất hiện trong cài đặt hệ điều hành mạng, đặt cấu hình các
phần mềm server, các CGI script, cũng như phải quản lý chặt chẽ các tài
khoản của các user truy cập.
Việc bảo mật thông tin cá nhân của người sử dụng truyền đi trên
mạng cũng là một vấn đề cần xem xét nghiêm túc. Ta không thể biết rằng
thông tin của chúng ta gửi đi trên mạng có bị ai đó nghe trôm hoặc thay
đổi nội dung thông tin đó không hay sử dụng thông tin của chúng ta vào
các mục đích khác. Để có thể đảm bảo thông tin truyền đi trên mạng một
cách an toàn, đòi hỏi phải thiết lập một cơ chế bảo mật.
Điều này có thể thực hiện được thông qua việc mã hoá dữ liệu
trước khi gửi đi hoặc thiết lập các kênh truyền tin bảo mật. Việc bảo mật
Lớp Công Nghệ Thông Tin K47
13

Sinh viên: Đoàn Duy Thành Tìm hiểu về
FireWall
sẽ giúp cho thông tin được bảo vệ an toàn, không bị kẻ khác lợi dụng.
Ngày nay, trên Internet người ta đã sử dụng nhiều phương pháp bảo mật
khác nhau như sử dụng thuật toán mã đối xứng và mã không đối xứng
(thuật toán mã công khai) để mã hoá thông tin trước khi truyền đi trên
mạng Internet. Tuy nhiên ngoài các giải pháp phần mềm hiện nay người
ta còn áp dụng cả các giải pháp phần cứng.
Một yếu tố chủ chốt để chống lại truy nhập bất hợp pháp là yếu tố
con người, chúng ta phải luôn luôn giáo dục mọi người có ý thức trong
việc sử dụng tài nguyên chung Internet, tránh những sự cố làm ảnh hưởng
tới nhiều người nhiều quốc gia. Bảo mật trên mạng là cả một quá trình
đấu tranh tiềm ẩn nhưng đòi hỏi sự hợp tác của mọi người, của mọi tổ
chức không chỉ trong phạm vi nhỏ hẹp của một quốc gia nào mà nó bao
trùm trên toàn thế giới.
6. Phương thức mã hóa - bảo mật thông tin.
Một trong những biện pháp bảo mật thường sử dụng đó là áp dụng
các cơ chế mã hoá. Sau đây sẽ phân tích một số cơ chế mã hoá đảm bảo
tính an toàn và tin cậy dữ liệu thường được sử dụng trong các dịch vụ trên
mạng Internet.
6.1. Đặc điểm chung của các phương thức mã hóa.
Trong các phương thức mã hóa, mỗi phương thức đều chủ yếu tập
trung giải quyết 6 vấn đề chính như sau:
.a Authentication: Hoạt động kiểm tra tính xác thực một thực thể
trong giao tiếp
.b Authorization: Hoạt động kiểm tra thực thể đó có được phép thực
hiện những quyền hạn cụ thể nào.
Lớp Công Nghệ Thông Tin K47
14
Sinh viên: Đoàn Duy Thành Tìm hiểu về

FireWall
.c Confidential: Tính bảo mật, xác định mức độ bảo mật đối với mỗi
phương thức bảo mật.
.d Integrity: Tính toàn vẹn, kiểm tra tính toàn vẹn dữ liệu khi sử dụng
mỗi phương thức bảo mật cụ thể.
.e Nonrepudiation: Tính không thể phủ nhận, xác định tính xác thực
của chủ thể gây ra hành động
.f Availability: Khả năng thực hiện phương thức bảo mật đó trong
môi trường và điều kiện thực tế.
a) Authentication:
Là hoạt động liên quan đến kiểm tra tính đúng đắn một thực thể
giao tiếp trên mạng. Một thực thể có thể là một người, một chương trình
máy tính, hoặc một thiết bị phần cứng. Các hoạt động kiểm tra tính xác
thực được đánh giá là quan trọng nhất trong các hoạt động của một
phương thức bảo mật. Một hệ thống thông thường phải thực hiện kiểm tra
tính xác thực của một thực thể trước khi thực thể đó thực hiện kết nối với
hệ thống. Cơ chế kiểm tra tính xác thực của các phương thức bảo mật dựa
vào 3 mô hình chính sau: Những thông tin biết trước, những thông tin đã
có và những thông tin xác định tính duy nhất.
• Với cơ chế kiểm tra dựa vào mô hình những thông tin biết trước,
đối tượng cần kiểm tra cần phải cung cấp những thông tin mà
chúng biết. Ví dụ như password, hoặc mã số thông số cá nhân pin
(personal information number).
• Với cơ chế kiểm tra dựa vào mô hình những thông tin đã có, đối
tượng kiểm tra cần phải thể hiện những thông tin mà chúng sở hữu.
Ví dụ như private key, hoặc số thẻ tín dụng.
• Với cơ chế kiểm tra dựa vào mô hình những thông tin xác định tính
duy nhất, đối tượng kiểm tra cần phải có những thông tin để định
Lớp Công Nghệ Thông Tin K47
15

Sinh viên: Đoàn Duy Thành Tìm hiểu về
FireWall
danh tính duy nhất của mình. Ví dụ như thông qua giọng nói hoặc
fingerprint.
b) Authorization:
Là hoạt động kiểm tra tính hợp lệ có được cấp phát thực hiện một
hành động cụ thể hay không. Do vậy hoạt động này liên quan đến các
dịch vụ cấp phát quyền truy cập, đảm bảo cho phép hoặc không cho phép
truy nhập đối với những tài nguyên đã được phân quyền cho các thực thể.
Những hoạt động ở đây có thể là quyền đọc dữ liệu, viết, thi hành một
chương trình hoặc sử dụng một thiết bị phần cứng Cơ chế thực hiện
việc phân quyền dựa vào 2 mô hình chính sau: Mô hình acl (access
control list) và mô hình dựa trên cơ chế thiết lập các chính sách (policy).
c) Confidential:
Đánh giá mức độ bảo mật, hay tính an toàn đối với mỗi phương
thức bảo mật, mức độ có thể phục hồi dữ liệu từ những người không có
quyền đối với dữ liệu đó. Có thể bảo mật dữ liệu theo kiến trúc end-to-end
hoặc link-by-link. Với mô hình end-to-end, dữ liệu được bảo mật trong
toàn bộ quá trình xử lý, lưu truyền trên mạng. Với mô hình link-by-link
dữ liệu chỉ được bảo vệ trên các đường truyền vật lý.
d) Integrity:
Tính toàn vẹn: Hoạt động này đánh giá khả năng sửa đổi dữ liệu so
với dữ liệu nguyên thủy ban đầu. Một phương thức bảo mật có tính toàn
vẹn dữ liệu khi nó đảm bảo các dữ liệu mã hóa không thể bị thay đổi nội
dung so với tài liệu gốc (khi đã đượcg giải mã) và trong trường hợp những
kẻ tấn công trên mạng sửa đổi nội dung dữ liệu đã mã hóa thì không thể
khôi phục lại dạng ban đầu của dữ liệu.
Lớp Công Nghệ Thông Tin K47
16
Sinh viên: Đoàn Duy Thành Tìm hiểu về

FireWall
e) Nonreputation:
Tính không thể phủ nhận: Xác định tính xác thực của chủ thể gây ra
hành động có thực hiện bảo mật. (ví dụ chữ ký điện tử sử dụng trong hệ
thống mail cho phép xác định chính xác đối tượng "ký"- người gửi
message đó.)
f) Availability:
Đánh giá tính thực thi của một phương thức bảo mật. Phương thức
bảo mật đó phải có khả năng thực hiện trong thực tế đối với các hệ thống
máy tính, dữ liệu và thực hiện với các tài nguyên phần cứng, phần mềm.
Đồng thời phải đảm bảo các yêu cầu về tốc độ tính toán, khả năng chuyển
đổi, tính tương thích giữa các hệ thống khác nhau.
6.2. Các phương thức mã hóa.
a. Phương thức mã hóa dùng khoá bí mật (secret key crytography).
Sơ đồ sau đây minh hoạ quá trình làm việc của phương thức mã hoá
sử dụng khoá bí mật:
Phương thức mã hóa đối xứng
Đây là phương thức mã hoá đối xứng: Message ở dạng Plaintext
(dạng đọc được) được mã hoá sử dụng Private Key (khoá mà chỉ có người
mã hoá mới biết được) tạo thành Message được mã hoá (Ciphertext). Ở
phía nhận, Message mã hoá được giải mã cùng với Private Key mã hoá
ban đầu thành dạng Plaintext.
Lớp Công Nghệ Thông Tin K47
17
EncrytionPlaintext Ciphertext Decrytion
Private key
Plaintext
Sinh viờn: on Duy Thnh Tỡm hiu v
FireWall
im chỳ ý ca phng phỏp mó hoỏ ny l vic s dng khoỏ bớ

mt cho c quỏ trỡnh mó hoỏ v quỏ trỡnh gii mó. Do ú, nhc im
chớnh ca phng thc ny l cn cú quỏ trỡnh trao i khoỏ bớ mt, dn
n tỡnh trng d b l khoỏ bớ mt.
Cú hai loi mó hoỏ i xng nh sau: Mó hoỏ theo tng khi v mó
hoỏ theo bits d liu.
Cỏc thut toỏn mó hoỏ i xng theo tng khi d liu
(block cipher) thc hin chia Message dng Plaintext
thnh cỏc khi (vớ d 64 bits hoc 2n bits), sau ú tin hnh
mó hoỏ tng khi ny. i vi khi cui cựng nu khụng
64 bits s c bự thờm phn d liu m (padding). Bờn
nhn s thc hin gii mó theo tng khi.
Mó hoỏ theo tng bits d liu (stream ciphers).
Bng sau õy mụ t mt s phng phỏp mó hoỏ i xng s dng
khoỏ bớ mt:
Tên thuật toán Chế độ mã hoá Chiều dài khoá
DES Theo khối 56
IDEA Theo khối 128
RC2 Theo khối 2048
RC4 Theo bit 2048
RC5 Theo khối 2048
khc phc im hn ch ca phng phỏp mó hoỏ i xng l
quỏ trỡnh trao i khoỏ bớ mt, ngi ta ó s dng phng phỏp mó hoỏ
Lp Cụng Ngh Thụng Tin K47
18
Sinh viên: Đoàn Duy Thành Tìm hiểu về
FireWall
phi đối xứng sử dụng một cặp khoá tương ứng với nhau gọi là phương
thức mã hoá phi đối xứng dùng khoá công khai (public-key crytography).
b. Phương thức mã hóa dùng khoá công khai (public-key crytography).
Phương thức mã hóa dùng khoá công khai được phát minh bởi

Whitfield Diffie và Martin Mellman vào năm 1975. Phương thức mã hóa
này sử dụng 2 khóa là Public key và Private key có các quan hệ toán học
với nhau. Trong đó Private key được giữ bí mật và không có khả năng bị
lộ do không cần phải trao đổi trên mạng. Public key không phải giữ bí mật
và mọi người đều có thể nhận được khoá này. Do phương thức mã hóa
này sử dụng 2 khóa khác nhau, nên người ta gọi nó là phương thức mã
hóa phi đối xứng. Mặc dù Private key được giữ bí mật, nhưng không
giống với "secret key" được sử dụng trong phương thức mã hóa đối xứng
sử dụng khoá bí mật do Private key không được trao đổi trên mạng.
Public key và Private key tương ứng của nó có quan hệ toán học
với nhau và được sinh ra sau khi thực hiện các hàm toán học. Nhưng các
hàm toán học này luôn thoả mãn điều kiện là sao cho không thể tìm được
Private key từ Public key và ngược lại. Do đó, một cặp khoá Public key
và Private key tương ứng được gọi là key pair.
Do có mối quan hệ toán học với nhau, một message được mã hóa
bằng Public key chỉ có thể giải mã được bằng Private key tương ứng. Một
Message được mã hóa bằng Private key chỉ có thể giải mã được bằng
Public Key tương ứng của nó.
Thuật toán public key có tính thuận nghịch nếu nó có khả năng sử
dụng cả cho bảo mật và ký điện tử. Nó là không có tính thuận nghịch nếu
chỉ có khả năng ký. Với các thuật toán bất thuận nghịch, private key chỉ
có thể mã hóa plaintext (tức là quá trình ký) mà không có khả năng giải
Lớp Công Nghệ Thông Tin K47
19
Sinh viờn: on Duy Thnh Tỡm hiu v
FireWall
mó ciphertext. Mt loi khỏc ca thut toỏn mó húa public-key l hoc
khụng th mó húa hoc khụng th ký; thut toỏn ny c gi l thut
toỏn key exchange (thut toỏn chuyn i khúa).
Thut toỏn public-key da trờn mi quan h toỏn hc gia public

key v private key. Bng sau õy lit kờ cỏc thut toỏn public-key thụng
dng nh sau:
Tên
Thuật
toán
Type Nền
tảng
toán
học
DSA Digital
signature
Thuật
toán rời
rạc
RSA Digital
signature,
Key
Exchange
Tìm
thừa số
DSA (digital signature algorithm), phng thc mó húa ny c
ra i t chun DSS (digital signature standard), c gii thiu
vo nm 1994. DSA ch cú th ký vo mt message; nú khụng th
dựng cho mó húa bo mt v key exchange.
RSA l tờn ca 3 nh toỏn hc ó tỡm ra phng thc mó húa ny,
ú l Rivest, Shamir v Adleman. RSA l thut toỏn public-key
thụng dng nht t trc ti nay. RSA cú th s dng c cho mó
húa, ký, v key exchange. Chiu di ca key cú th thay i, thụng
thng trong phm vi t 512 n 2048 bits. Vic la chn chiu di
Lp Cụng Ngh Thụng Tin K47

20
Sinh viên: Đoàn Duy Thành Tìm hiểu về
FireWall
key phải đảm bảo cân bằng giữa tốc độ tính toán và độ phức tạp của
phương thức mã hóa.
Phương thức mã hóa phi đối xứng
Giả sử A muốn gửi cho B một Message được mã hóa theo phương
thức Public-key. A sử dụng Public key của B để mã hóa Plaintext tạo
thành Ciphertext (A có thể nhận được Public key của B do Public key là
khoá công khai). Sau đó Ciphertext này được chuyển tới B, ở phía nhận B
sử dụng Private key của mình để giải mã Ciphertext và đọc được Message
ban đầu của A.
Phần 2:
KHÁI NIỆM VÀ CHỨC NĂNG CỦA FIREWALL
1. Lịch sử.
Công nghệ tường lửa bắt đầu xuất hiện vào cuối những năm 1980
khi Internet vẫn còn là một công nghệ khá mới mẻ theo khía cạnh kết nối
và sử dụng trên toàn cầu. Ý tưởng đầu tiên được đã hình thành sau khi
hàng loạt các vụ xâm phạm nghiêm trọng đối với an ninh liên mạng xảy
ra vào cuối những năm 1980. Năm 1988, một nhân viên tại trung tâm
nghiên cứu NASA Ames tại California gửi một bản ghi nhớ qua thư điện
tử tới đồng nghiệp rằng: "Chúng ta đang bị một con VIRUS Internet tấn
Lớp Công Nghệ Thông Tin K47
21
Encrytion
Public key
Plaintext Ciphertext Decrytion Plaintext
Private key
Sinh viên: Đoàn Duy Thành Tìm hiểu về
FireWall

công! Nó đã đánh Berkeley, UC San Diego, Lawrence Livermore,
Stanford, và NASA Ames." Con virus được biết đến với tên Sâu Morris
này đã được phát tán qua thư điện tử và khi đó đã là một sự khó chịu
chung ngay cả đối với những người dùng vô thưởng vô phạt nhất. Sâu
Morris là cuộc tấn công diện rộng đầu tiên đối với an ninh Internet. Cộng
đồng mạng đã không hề chuẩn bị cho một cuộc tấn công như vậy và đã
hoàn toàn bị bất ngờ. Sau đó, cộng đồng Internet đã quyết định rằng ưu
tiên tối cao là phải ngăn chặn không cho một cuộc tấn công bất kỳ nào
nữa có thể xảy ra, họ bắt đầu cộng tác đưa ra các ý tưởng mới, những hệ
thống và phần mềm mới để làm cho mạng Internet có thể trở lại an toàn.
Năm 1988, bài báo đầu tiên về công nghệ tường lửa được công bố,
khi Jeff Mogul thuộc Digital Equipment Corp. phát triển các hệ thống lọc
đầu tiên được biết đến với tên các tường lửa lọc gói tin. Hệ thống khá cơ
bản này đã là thế hệ đầu tiên của cái mà sau này sẽ trở thành một tính
năng kỹ thuật an toàn mạng được phát triển cao. Từ năm 1980 đến năm
1990, hai nhà nghiên cứu tại phòng thí nghiệm AT&T Bell, Dave Presetto
và Howard Trickey, đã phát triển thế hệ tường lửa thứ hai, được biến đến
với tên các tường lửa tầng mạch (circuit level firewall). Các bài báo của
Gene Spafford ở Đại học Purdue, Bill Cheswick ở phòng thí nghiệm
AT&T và Marcus Ranum đã mô tả thế hệ tường lửa thứ ba, với tên gọi
tường lửa tầng ứng dụng (application layer firewall), hay tường lửa dựa
proxy (proxy-based firewall). Nghiên cứu công nghệ của Marcus Ranum
đã khởi đầu cho việc tạo ra sản phẩn thương mại đầu tiên. Sản phẩm này
đã được Digital Equipment Corporation's (DEC) phát hành với tên SEAL.
Đợt bán hàng lớn đầu tiên của DEC là vào ngày 13 tháng 9 năm 1991 cho
một công ty hóa chất tại bờ biển phía Đông của Mỹ.
Lớp Công Nghệ Thông Tin K47
22
Sinh viên: Đoàn Duy Thành Tìm hiểu về
FireWall

Tại AT&T, Bill Cheswick và Steve Bellovin tiếp tục nghiên cứu của
họ về lọc gói tin và đã phát triển một mô hình chạy được cho công ty của
chính họ, dựa trên kiến trúc của thế hệ tường lửa thứ nhất của mình. Năm
1992, Bob Braden và Annette DeSchon tại Đại học Nam California đã
phát triển hệ thống tường lửa lọc gói tin thế hệ thứ tư. Sản phẩm có tên
“Visas” này là hệ thống đầu tiên có một giao diện với màu sắc và các biểu
tượng, có thể dễ dàng cài đặt thành phần mềm cho các hệ điều hành chẳng
hạn Microsoft Windows và Mac/OS của Apple và truy nhập từ các hệ điều
hành đó. Năm 1994, một công ty Israel có tên Check Point Software
Technologies đã xây dựng sản phẩm này thành một phần mềm sẵn sàng
cho sử dụng, đó là FireWall-1. Một thế hệ thứ hai của các tường lửa proxy
đã được dựa trên công nghệ Kernel Proxy. Thiết kế này liên tục được cải
tiến nhưng các tính năng và mã chương trình cơ bản hiện đang được sử
dụng rộng rãi trong cả các hệ thống máy tính gia đình và thương mại.
Cisco, một trong những công ty an ninh mạng lớn nhất trên thế giới đã
phát hành sản phẩm này năm 1997.
Thế hệ FireWall-1 mới tạo thêm hiệu lực cho động cơ kiểm tra sâu
gói tin bằng cách chia sẻ chức năng này với một hệ thống ngăn chặn xâm
nhập.
2. Định nghĩa FireWall.
Thuật ngữ FireWall có nguồn gốc từ một kỹ thuật thiết kế trong xây
dựng để ngăn chặn, hạn chế hoả hoạn. Trong Công nghệ mạng thông tin,
FireWall là một kỹ thuật được tích hợp vào hệ thống mạng để chống lại
sự truy cập trái phép nhằm bảo vệ các nguồn thông tin nội bộ cũng như
hạn chế sự xâm nhập vào hệ thống của một số thông tin khác không mong
muốn.
Lớp Công Nghệ Thông Tin K47
23
Sinh viên: Đoàn Duy Thành Tìm hiểu về
FireWall

Internet FireWall là một tập hợp thiết bị (bao gồm phần cứng và
phần mềm) được đặt giữa mạng của một tổ chức, một công ty, hay một
quốc gia (Intranet) và Internet.
Intranet
firewall
Internet
Trong một số trường hợp, Firewall có thể được thiết lập ở trong
cùng một mạng nội bộ và cô lập các miền an toàn. Ví dụ như mô hình
dưới đây thể hiện một mạng cục bộ sử dụng Firewall để ngăn cách phòng
máy và hệ thống mạng ở tầng dưới.
3. Phân loại FireWall.
Firewall được chia làm 2 loại:
 Firewall cứng.
Lớp Công Nghệ Thông Tin K47
24
Sinh viên: Đoàn Duy Thành Tìm hiểu về
FireWall
 Firewall mềm.
• FireWall cứng: Là những firewall được tích hợp trên Router.
Đặc điểm của FireWall cứng:
• Không được linh hoạt như Firewall mềm: (Không thể thêm chức
năng, thêm quy tắc như firewall mềm).
• Firewall cứng hoạt động ở tầng thấp hơn Firewall mềm (Tầng
Network và tầng Transport).
• Firewall cứng không thể kiểm tra được nột dung của gói tin.
Ví dụ FireWall cứng: NAT (Network Address Translate).
• FireWall mềm: Là những Firewall được cài đặt trên Server.
Lớp Công Nghệ Thông Tin K47
25

×