Firewall
Here comes your footer
Nhóm 3

Đỗ Hoàng Chương. MSSV: 06520049

Nguyễn Thái Bình. MSSV: 06520030

Nguyễn Hải Long. MSSV:06520265

Bùi Tuấn Anh. MSSV: 06520010

Phan Thanh Vy. MSSV:06520585

Nguyễn Quốc Đại. MSSV:06520065

Trần Viễn Chinh. MSSV:06520046

Nguyễn Kim Cương. MSSV:06520056

Nguyễn Đình Huy. MSSV: 06520204

Nguyễn Phước Biển. MSSV: 06520026
Here comes your footer
Firewall
Here comes your footer
Firewall

Định nghĩa

Chức năng


Cấu trúc

Những hạn chế của Firewall

Các thành phần của Firewall

Các ví dụ Firewall

Firewall trên Linux - IPTables
Here comes your footer
Định nghĩa

Firewall là một kĩ thuật được tích hợp vào hệ thống mạng để
chống sự truy cập trái phép nhằm bảo vệ các nguồn thông
tin nội bộ cũng như hạn chế sự xâm nhập vào hệ thống của
một số thông tin khác không mong muốn.

Cũng có thể hiểu Firewall là một cơ chế để bảo vệ mạng tin
tưởng (trusted network) khỏi các mạng không tin tưởng
(unstrusted network).
Here comes your footer
Chức năng

Firewall quyết định những dịch vụ nào từ bên trong được
phép truy cập từ bên ngoài, những người nào từ bên ngoài
được truy cập đến các dịch vụ bên trong, và cả những dịch
vụ nào bên ngoài được phép truy cập bởi những người bên
trong.


Để firewall làm việc hiệu quả, tất cả trao đổi thông tin từ
trong ra ngoài và ngược lại đều phải thực hiện thông qua
firewall.

Chỉ có những trao đổi nào được phép bởi chế độ an ninh
của hệ thống mạng nội bộ mới được quyền lưu thông qua
Firewall.
Here comes your footer
Cấu trúc

Một hoặc nhiều hệ thống máy chủ kết nối với các bộ định
tuyến (router) hoặc có chức năng router.

Các phần mềm quản lý an ninh chạy trên hệ thống máy chủ.
Thông thường là cá hệ quản trị xác thực (Authentication),
cấp quyền (Authorization) và kế toán (Accounting).
Here comes your footer
Cấu trúc
Here comes your footer
Hạn chế của Firewall

Firewall không đủ thông minh như con người để có thệ đọc
hiểu từng loại thông tin và phân biệt nội dung tốt hay xấu
của nó. Firewall có thể ngăn chặn các nguồn thông tin
không mong muốn nhưng phải xác định rõ thông số.

Firewall cũng không thể chống lại các cuộc tấn công bằng
dữ liệu (data – driver attacks) khi có một chương trình được
chuyển theo email vượt qua Firewall và bắt đầu hoạt động
trong mạng.

Here comes your footer
Thành phần và cơ chế hoạt động

Bộ lọc packet (Packet Filtering)

Cổng ứng dụng (Application Gateway)

Cổng mạch ( Circuit Level Gateway)
Here comes your footer
Packet Filtering
Here comes your footer
Packet Filtering – Nguyên lý

Bộ lọc packet cho phép hoặc từ chối mỗi packet mà nó nhận
được. Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem
đoạn dữ liệu đó có thỏa mãn một số luật lệ của lọc packet
hay không. Các luật lệ lọc packet này dựa trên packet
header. Đó là:
+ Địa chỉ IP nơi xuất phát (IP Souce Addresss)
+ Địa chỉ IP nơi đến (IP Destination Address)
+ Thông tin về giao thức (tập các luật) điều khiển gói (loại gói tin
TCP, UDP, ICMP, IP tunnel)
+ Cổng TCP/UDP nơi xuất phát (TCP/UDP Souce port)
+ Cổng TCP/UDP nơi đến (TCP/UDP Destination port)
+ Dạng thông báo ICMP (ICPM messager type)
+ Giao diện packet đến (incomming interface of packet )
+ Giao diện packet đi (outcomming interface of packet )
Here comes your footer
Packet Filtering – Nguyên lý


Nếu luật lệ được thỏa mãn thì packet sẽ được chuyển qua
firewall nếu không packet sẽ bị loại bỏ.

Hơn nữa việc kiểm soát các cổng làm cho firewall có khả
năng chỉ cho phép một số loại kết nối nhất định vào các loại
máy chủ nào đó, hoặc chỉ cho phép một số dịch vụ nào đó
(FTP, SSH, HTTP … ) mới được chạy trên hệ thống mạng
cục bộ (LAN).
Here comes your footer
Packet Filtering
Here comes your footer
Packet Filtering – Ưu điểm

Tương đối đơn giản và tính dễ thực thi.

Nhanh và dễ sử dụng

Chi phí thấp và ít ảnh hưởng đến performance của mạng.

Rất hiệu quả trong việc block các kiểu riêng biệt của lưu
lượng, và đôi khi nó là một phần của hệ thống firewall tổng
quan. Ví dụ, telnet có thể dễ dàng được block bằng cách áp
dụng một filter để block TCP cổng 23 (telnet).
Here comes your footer
Packet Filtering - Nhược điểm

Việc định nghĩa các chế độ lọc packet là việc phức tạp, khi
đòi hỏi về sự lọc càng lớn thì các luật lệ về lọc càng dài và
phức tạp => rất khó quản lý và điều khiển.


Bộ lọc gói không kiểm soát được nội dung thông tin của
packet. Các packet chuyển qua vẫn có thể mang theo mã
độc. Một hacker khai thác một chỗ sai sót trong một chương
trình Web server hoặc sử dụng một mật mã bất chính để thu
được quyền điều khiển hoặc truy cập.

Packet Filter không thể thực hiện việc xác thực người dùng.
Here comes your footer
Application Gateway
Here comes your footer
Application Gateway – Nguyên lý

Đây là một loại thiết kế nhằm tăng cường chức năng kiểm
soát dịch vụ, giao thức được cho phép truy cập vào hệ
thống mạng

Cơ chế hoạt động của nó dựa trên cách thức gọi là Proxy
service. Proxy service là các bộ chương trình đặc biệt cài
đặt trên gateway cho từng ứng dụng.

Nếu người quản trị mạng không cài đặt proxy cho ứng dụng
nào đó, thì dịch vụ tương ứng sẽ không được cung cấp, và
do đó không thể chuyển thông tin qua firewall.
Here comes your footer
Application Gateway – Nguyên lý

Một số cổng ứng dụng được xem như là một pháo đài
(bastion host):
-
Bastion host luôn chạy các version an toàn (secure version) của các

phần mềm hệ thống (Operating systems).
-
Chỉ những dịch vụ cho là cần thiết mới được cài trên basion host.
-
Basion host có thể yêu cầu nhiều mức xác thực khác nhau, ví dụ: user
password hay smart card
-
Mỗi proxy được đặt cấu hình để cho phép truy nhập chỉ một số các
máy chủ nhất định.
-
Mỗi proxy duy trì một quyển nhật ký ghi chép lại toàn bộ các chi tiết
lưu thông qua nó, mỗi sự kết nối, khoảng thời gian kết nối.
-
Mỗi proxy đều độc lập với các proxy khác trên Basion host.
Here comes your footer
Application Gateway
Here comes your footer
Application Gateway – Ưu điểm

Cho phép người quản trị mạng hoàn toàn điều khiển dịch vụ
trên mạng.

Cho phép người quản trị mạng điều khiển được những dịch
vụ nào cho phép.

Cổng ứng dụng kiểm tra độ xác thực rất tốt, và nó có nhật
ký ghi lại các thông tin về truy nhập hệ thống.

Luật lệ filtering (lọc) cho cổng ứng dụng dễ dàng cấu hình
và kiểm tra hơn bộ lọc packet.

Here comes your footer
Application Gateway – Nhược điểm

Yêu cầu các user biến đổi (modify) thao tác, hoặc modify
phần mềm đã cài đặt trên máy client cho truy cập vào các
dịch vụ proxy.

Ví dụ: telnet truy cập qua cổng ứng dụng đòi hỏi hai bước
để nối với máy chủ chứ không phải một bước.Tuy nhiên,
cũng đã có một số phần mềm client cho phép ứng dụng trên
cổng là trong suốt, bằng cách cho user chỉ ra máy đích chứ
không phải ứng dụng trên cổng telnet.

Yêu cầu tài nguyên để xử lý khá cao và làm giảm
performance của mạng.
Here comes your footer
Circuit Level Gateway
Here comes your footer
Circuit Level Gateway – Nguyên lý

Cổng vòng là một chức năng đặc biệt có thể thực hiện được
thông qua cổng ứng dụng. Cổng vòng chỉ đơn giản là
chuyển tiếp (relay) các kết nối TCP mà không thực hiện bất
cứ hành động xử lý hay lọc packet nào.

Cổng vòng chỉ chuyển tiếp kết nối qua firewall mà không
thực hiện lọc hay điều khiển các thủ tục telnet nào.

Cổng vòng làm việc như một sợi dây, sao chép các byte
giữa kết nối bên trong (inside conection) và kết nối bên

ngoài (outside conection). Tuy nhiên vì sự kết nối này trên
firewall nên nó che dấu mạng nội bộ.
Here comes your footer
Circuit Level Gateway – Nguyên lý

Một kết nối được xem là hợp lệ phải dựa vào các yếu tố sau:
-
Địa chỉ IP và/hoặc cổng đích
-
Địa chỉ IP và/hoặc cổng nguồn
-
Thời gian trong ngày (time of day)
-
Giao thức (protocol)
-
Người dùng (user)
-
Mật khẩu (password)

Mỗi phiên trao đổi dữ liệu đều được kiểm tra và giám sát. Tất
cả các luồng lưu lượng đều bị cấm trừ khi một phiên được
mở.