Thiết kế tường lửa
Tổng quan
Trong bài học này, bạn sẽ được cung cấp những khái niệm và những công nghệ được sử
dụng trong thiết kế hệ thống tường lửa.Bạn sẽ nhận biết được những phương pháp thi
công tường lửa trong những viễn cảnh khác nhau,sử dụng những kỹ thuật khác nhau.
Những chiến lược và khái niệm trong bài học này rất quan trọng để hiểu được những bài
học sau.
Mục tiêu
1A. Xem xét những nguyên tắc thiết kế và thi công tường lửa
Một hệ thống tường lửa được mang đến, bạn sẽ phải nhận dạng và mô tả hệ phương pháp
về chức năng của tường lửa và cách thi công nó.
1B. Tạo một chính sách tường lửa dựa trên những yếu tố đã được cung cấp.
Trả lời những câu hỏi liên quan đến tường lửa, bạn sẽ tạo ra một chính sách tường lửa.
1C.Tạo ra những quy tắc được cài đặt để lọc gói tin
Mang đến một ngữ cảnh mạng, bạn sẽ tạo ra một nguyên tắc cài đặt cho hệ thống tường
lửa lọc gói tin.
1D. Mô tả chức năng của một máy chủ proxy.
Mang đến một ngữ cảnh mạng, bạn sẽ mô tả quá trình các máy con nội bộ sử dụng một
máy chủ proxy để truy cập các trang web ngoài Internet.
1E. Mô tả máy thành trì bao gồm như thế nào trong bảo mật mạng
Mang đến một ngữ cảnh mạng, bạn sẽ mô tả cách tạo ra những chức năng của máy thành
trì trong bảo mật mạng.
Chủ đề 1A
Thành phần của tường lửa
Khái niệm an ninh mạng là một chủ đề đa dạng và đầy thử thách để thảo luận.Có quá
nhiều khu vực khác nhau với những kiến trúc mạng khác nhau được dính líu tới, từ hệ
thống tin nhắn đến cơ sở dữ liệu, từ những giải pháp in ấn và tập tin đến kết nối những hệ
thống mạng từ xa.Giữa những khu vực đó của hệ thống mạng chúng ta tìm thấy nhiều thứ
như những giải pháp kiểm soát truy cập, chính sách kiểm soát người dùng (chính sách
nhóm trong môi trường Windows), và một loạt các chức năng, cài đặt và các tùy chọn
phục vụ để làm nhầm lẫn và làm bối rối người dùng trung bình của một máy tính trong

một miền của mạng.
Bảo mật và bảo vệ mạng dựa trên những tài sản là miền (domain) của kỹ sư mạng, người
có hiểu biết về kỹ thuật, có kỹ năng cao và nhiều điều nữa rất khó nói cho bạn hiểu nếu
bạn không phải là một kỹ sư mạng.
Hình ảnh sau đây là một ví dụ về tường lửa đơn giản
Hình 1.1
Tường lửa thường có vị trí luận lý giữa mạng nội bộ(LAN) và mạng bên
ngoài(WAN).Tường lửa đặt ở đó để thực hiện chức năng của nó,từ chối hay chấp nhận
truy cập dựa trên những nguyên tắc mà nhà quản trị mạng đã cài đặt trên thiết bị.
Qua nhiều năm qua,cung cấp chức năng này đơn giản để từ chối hay chấp nhận truy cập
là đủ để tạo thành một mức bảo mật cơ bản cho hầu hết các mạng của chúng ta.Thách
thức là phải tăng sự vững chắc hơn là cung cấp sự bảo mật cơ bản vì các hacker và các kẻ
thù của mạng được bảo vệ bởi tường lửa luôn ngồi lại và tìm ra cách để phá vỡ sự bảo
mật được tạo ra bởi tường lửa. Kết quả là, việc bổ sung các tính năng và các tùy chọn mới
cho các bức tường lửa đã trở thành một phần rất quan trọng trong sự phát triển liên tục
của an ninh mạng tổng thể, và khả năng bảo vệ mạng của chúng ta từ những lưu thông và
những kết nối không mong đợi hay không được chứng thực.
Ngoài việc từ chối hay chấp nhận truy cập, bây giờ tường lửa còn xuất hiện các dịch vụ
sau:
Network Address Translation (NAT): NAT được sử dụng bởi Router để chuyển đổi giữa
địa chỉ IP riêng và địa chỉ IP chung.
Đệm dữ liệu: Chức năng này cho phép Router lưu trữ dữ liệu được truy cập thường
xuyên bởi các máy con trong mạng.
Hạn chế nội dung: chức năng này được sử dụng trong nhiều hệ thống mới,cho phép nhà
quản trị điều khiển truy cập Internet dựa trên việc hạn chế từ khóa.
Phương pháp xây dựng tường lửa
Tường lửa có hai phương pháp phổ biến để thi hành bảo mật trong mạng,dù có nhiều biến
thể của hai phương pháp trên,hầu hết các sự sửa đổi chung quy cũng là một trong hai loại
trên.Hai phương pháp phổ biến đó là:
- Lọc gói tin

- Sử dụng máy chủ proxy (cổng ứng dụng)
Lọc gói tin là loại tường lửa đầu tiên được sử dụng bởi nhiều tổ chức để bảo vệ mạng của
họ.Phương pháp phổ biến để thực hiện lọc gói tin là sử dụng Router.Các Router có khả
năng cho phép hoặc từ chối gói tin đi qua,dựa trên những quy tắc đơn giản mà nhà quản
trị tạo ra.
Mặc dù những tường lửa đó có thể thực hiện chức năng lọc,nhưng chúng đã bị hạn chế
bởi thực tế là chúng được thiết kế chỉ để xem các thông tin tiêu đề của gói tin.Một ví dụ
về hạn chế là bộ lọc có thể chặn truy cập FTP nhưng không thể chặn chỉ một lệnh PUT
trong FTP.
Việc bổ sung các máy chủ proxy (cũng được biết đến như là một cổng ứng dụng) khả
năng các bức tường lửa tạo ra một sản phẩm an ninh vững chắc hơn nhiều so với một bộ
lọc gói thuần túy nhờ khả năng cung cấp riêng tư của nó. Các phần mềm proxy có thể
đưa ra quyết định dựa trên nhiều hơn tiêu đề của một gói tin.
Các máy chủ proxy sử dụng phần mềm để ngăn chặn lưu thông mạng những cái được
mang đến cho ứng dụng.Proxy nhận các yêu cầu và thay mặt cho máy khách gửi yêu cầu
đến máy chủ.Trong trường hợp này máy khách nội bộ không bao giờ thực hiện kết nối
trực tiếp đến máy chủ bên ngoài.Thay vì kết nối trực tiếp, chức năng của proxy như là
người ở giữa và nói chuyện với cả máy khách và máy chủ,chuyển tiếp thông điệp qua lại.
Lợi thế lớn cho việc này là các phần mềm proxy có thể được chỉ thị để chấp nhận
hoặc từ chối lưu thông dựa trên các dữ liệu thực tế trong gói, không phải chỉ đơn giản là
tiêu đề. Nói cách khác, proxy là sự nhận thức của các phương pháp truyền thông, và sẽ trả
lời phù hợp, không phải chỉ mở và đóng cổng theo một hướng nhất định.
Những thứ tường lửa không làm được
Vì vậy, nếu một bức tường lửa có thể sử lọc gói tin, các dịch vụ proxy, một sự kết hợp
của cả hai, hoặc lọc tuỳ chỉnh để tạo ra một môi trường an toàn cho dữ liệu của chúng ta,
một câu hỏi hợp lý mà chúng ta phải hỏi là “tường lửa không thể làm gì để bảo vệ mạng”
Thật không may, như là trường hợp thông thường, không có cuộc thảo luận nào xảy ra
cho phép người quản trị hiểu thêm về những lý do đằng sau những cần thiết của tường
lửa, và những gì là mục tiêu của tường lửa trong hệ thống mạng là : chúng được đòi hỏi
là phải hoàn thành.

Liên quan đến nhà bảo mật mạng và những khó khăn của họ về việc phải mua một thiết
bị sẽ phải làm nhiều thứ, có thể cần thiết hoặc không cần thiết cho những vấn đề an ninh
mạng,sẽ rất hữu ích cho chúng ta nếu biết nhìn sơ lược những gì tường lửa không thể làm
được để có thể bắt đầu hiểu những gì tường lửa có thể làm.
Một vài vấn đề mà tường lửa có thể sẽ gặp khó khăn trong bảo mật là:
Virus: Một số tường lửa không có khả năng phát hiện virus, tuy nhiên kẻ tấn công
có thể gửi virus trong nhiều hình thức và tường lửa không thiết kế như một hệ thống
chống virus, đây không phải là chức năng chính của một tường lửa.Tường lửa của bạn có
thể xác định một số loại virus, nhưng bạn nên luôn luôn sử dụng phần mềm chống virus
bên trong
Sai sót của nhân viên: Nhân viên thường làm những thứ vô tình.Họ có thể trả lời
đến những địa chỉ email giả mạo,hoặc chạy những chương trình đến được gửi từ bạn bè
mà họ cho rằng chúng an toàn.
Kết nối thứ hai:Nếu những nhân viên có modem trong máy tính của họ và có thể sử
dụng kết nối mạng không dây, họ có thể thực hiện những kết nối mới ra ngoài Internet vì
những lý do cá nhân.Những kết nối đó tạo ra các bức tường lửa vô ích cho các máy con
này.Nếu chức năng chia sẽ File được bật điều này có thể dẫn đến những kết quả bất lợi
trong khi chính tường lửa của máy đó có thể vẫn được cấu hình đúng.
Vấn đề xã hội: Nếu nhà quản trị mạng mang thông tin tường lửa ra ngoài cho
những người đang gọi đến từ nhà cung cấp dịch vụ chẳng hạn mà không có bất cứ sự xác
minh nào,đó là một vấn đề nghiêm trọng.
Thi hành những tùy chọn cho tường lửa
Không có một tiêu chuẩn chính xác để thực hiện một bức tường lửa trong mạng.
Các khái niệm sau đây cho thấy nhiều khả năng khác nhau cho việc triển khai tường lửa:
Thiết bị lọc gói tin đơn
Như được thể hiện trong hình sau đây, mạng này đã được bảo vệ bởi một
thiết bị đơn cấu hình như một bộ lọc gói tin, cho phép hoặc từ chối truy cập dựa trên
nội dung của các tiêu đề gói tin.
Hình 1.2.Một ví dụ về thiết bị lọc gói đơn
Thiết bị Multi-homed

Như được thể hiện trong hình sau đây, mạng này đang được bảo vệ bởi một thiết bị
(hầu hết giống một máy tính) đã được cấu hình với nhiều giao diện mạng.Phần mềm
Proxy sẽ chạy trên thiết bị để chuyển tiếp các gói tin giữa các giao diện.
Hình 1.3.Ví dụ về thiết bị multi-home như một máy chủ proxy
Máy chủ được che chắn
Như được thể hiện trong hình sau đây, mạng được bảo vệ bằng cách kết hợp
chức năng của các máy chủ proxy và các chức năng của lọc gói tin.Bộ lọc gói tin chỉ
nhận thông tin đến từ proxy. Nếu máy khách trực tiếp liên lạc với bộ lọc proxy, dữ liệu sẽ
bị loại bỏ.
Hình 1.4. Ví dụ về máy chủ được bảo vệ chạy sau thiết bị lọc gói tin
“Khu vực phi quân sự” DMZ
Theo hình sau,mạng có một vùng đặc biệt được tạo ra để đặt các server cần kết nối với cả
hai internet và intranet dựa trên các máy khách.Vùng đặc biệt này,DMZ,yêu cầu hai thiết
bị lọc (tường lửa truyền thống thường sử dụng như vậy) và có thể có nhiều thiết bị tồn tại
trong ranh giới của nó.
Hình 1.5. Ví dụ về vùng phi quân sự (DMZ)
Kế hoạch cho tường lửa
Mục tiêu: Để thực hiện hệ thống tường lửa, bạn sẽ cần phải có sơ đồ các phương pháp
khác nhau được sử dụng để triển khai.
1. Sơ đồ các phương pháp mô tả trong chủ đề này để triển khai tường lửa hầu hết
phản ánh chính xác các thiết kế mạng hiện tại của bạn

Chủ đề 1B
Tạo một chính sách firewall
Trước khi bắt tay vào việc triển khai một hệ thống firewall, bạn phải xây dựng được một
chính sách firewall. Nhiều trường hợp, các tổ chức vội vàng sắm sửa và cài đặt firewall
mà không bận tâm đến chuyện thiết bị phức tạp này nên được sử dụng như thế nào cho
đúng.
Muốn có được một hệ thống firewall được thiết kế và triển khai tốt thì trước hết bạn cần
phải có một chính sách firewall đúng đắn. Và chính sách firewall là một phần của chính

sách bảo mật mà tổ chức của bạn đang áp dụng.
Nhìn chung, có hai quan điểm chính về chính sách firewall: hoặc là ngăn cấm mọi thứ
ngoại trừ những cái được cho phép, hoặc là cho phép mọi thứ ngoại trừ những cái bị cấm.
Và đa số đều nhất trí với quan điểm đầu tiên.
Theo đó thì chỉ có các lưu lượng mạng nào mà bạn chỉ định rõ là được phép mới có thể đi
qua firewall và tất cả các lưu lượng mạng còn lại đều bị firewall chặn lại. Điều này cũng
giúp giảm bớt gánh nặng công việc cho các quản trị mạng/bảo mật. Cứ tưởng tượng bạn
phải lên danh sách cấm tất cả các cổng (port) mà Trojan thường sử dụng cũng như chặn
tất cả các cổng dành cho các ứng dụng mà người dùng không được phép sử dụng, và sau
đó là tạo các rule trong firewall để chặn từng cổng này. Đem so công việc này với việc
lên danh sách các cổng (mỗi cổng tương ứng với một dịch vụ/ứng dụng nào đó) mà người
dùng được phép sử dụng và cấp cho họ quyền truy cập tới những ứng dụng/dịch vụ đó.
Có nhiều tên gọi khác nhau dành cho các khoản mục mà có thể có trong chính sách bảo
mật, và chúng thì tuân theo một quy chuẩn chung. Các khoản mục đó gồm: Acceptable
Usage Statement, Network Connection Statement, Contracted Worker Statement, và
Firewall Administrator Statement.
Sau khi xây dựng xong chính sách bảo mật tổng thể, nếu có quá nhiều nội dung trong đó
(một vài tổ chức có các chính sách được trình bày trong hàng trăm trang giấy) thì có thể
bạn muốn chọn ra các phần liên quan tới firewall và chép lại thành một tài liệu bổ sung
mà chỉ chứa các chính sách về firewall mà thôi.
Tuy không nhất thiết phải có một tài liệu phụ như vậy nhưng nó sẽ làm cho việc tham
khảo, tìm kiếm và xem xét chính sách firewall được dễ dàng hơn. Nhiều tổ chức hiện này
có một web server nội bộ mà lưu trữ các tài liệu quan trọng để các nhân viên có thể truy
cập tới. Chính sách là một trong các tài liệu đó và việc đọc tài liệu phụ về chính sách
firewall ở trên sẽ dễ dàng hơn so với việc phải cuộn qua 200 trang nội dung.
Acceptable Usage Statement
Có thể sẽ phải mất nhiều thời gian và công sức để tạo ra phần này của chính sách. Đối
với một vài tổ chức thì việc mô tả chi tiết cách sử dụng máy tính trong mạng sao cho phù
hợp là một việc khó khăn. Cần thiết phải đạt được sự cân đối giữa ham muốn duy trì an
ninh ở mức cao và việc đem lại cho nhân viên khả năng thực hiện tốt công việc của họ.

Tuy nhiên, trong một tổ chức thì máy tính là thiết bị thường bị sử dụng sai trái nhất. Đây
là điều mà chính sách bảo mật cần phải kiểm soát.
Dưới đây là một vài điểm cần cân nhắc khi tạo phần này của chính sách:
• Không cài đặt lên bất kỳ máy tính nào các ứng dụng không được cung cấp/chấp
thuận bởi công ty. Điều này bao gồm bất kỳ chương trình nào mà có thể được tải
về từ Internet hoặc có trong CD-ROM, DVD-ROM, thiết bị USB.
• Trong bất kỳ trường hợp nào thì các ứng dụng được cấp cho một máy tính nào đó
trong tổ chức không nên được sao chép/cài đặt lên bất kỳ máy tính nào khác, bao
gồm máy tính cá nhân của người dùng, trừ khi tổ chức có những chính sách quy
định rõ ràng sự cho phép này.
• Nếu người dùng tạm thời không dùng tới máy tính thì máy tính đó cần được đặt
trong trạng thái khóa. Các màn hình bảo vệ (screensaver) phải sử dụng tùy chọn
bảo vệ bằng mật khẩu.
• Máy tính và các ứng dụng được cài đặt chỉ được sử dụng cho các công việc liên
quan đến hoạt động của tổ chức.