Tải bản đầy đủ (.docx) (53 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Công nghệ thông tin

Bảo mật mạng Internet trên nền bộ giao thức TCPIP

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (390.78 KB, 53 trang )

LỜI NÓI ĐÀU
Với sự bùng nố ngày càng mạnh mẽ của mạng Internet, các quốc gia các tố chức, các
công ty và tất cả mọi người đang ngày càng xích lại gần nhau hơn. Khoảng cách về địa lý
ngày càng trở nên mờ dần và khái niệm một thế giới “phang” đang trở nên rõ nét. Thật khó
mà kể hết những lợi ích mà Internet mang lại cho con người và cũng không thể tưởng tượng
được một ngày thiếu Internet thì con người sẽ phải xoay sở như thế nào. Đó không chỉ là
một công cụ trao đổi thông tin nhanh chóng tin cậy mà còn là kho thông tin vô tận, cập nhật,
đa dạng và đầy đủ nhất. Có thể nói rằng Internet là nguồn tài nguyên vô giá trong kỉ nguyên
số hiện nay. Chính vì vậy việc khai thác và tận dụng được tài nguyên mạng là mối quan tâm
hàng đầu của các doanh nghiệp. Công nghệ mạng Lan và mạng Wan phát triển đã thỏa mãn
nhu cầu đó.
Tuy nhiên ngoài những lợi ích to lớn mạng Internet cũng ẩn chứa những nguy cơ
khôn lường về khả năng đánh cắp, phá hoại những tài sản thông tin của tổ chức dẫn đến
những hậu quả nghiêm trọng. Chính vì vậy công việc và trọng trách đặt lên vai của những
người làm công nghệ thông tin trên thế giới nói chung và ở Việt Nam nói riêng không chỉ là
nghiên cứu xây dựng và phát triển nhanh chóng mạng máy tính trong nước đế mọi người có
thế khai thác tiềm năng hết sức phong phú trên Internet mà đồng thời cũng phải nghiên cứu
thực hiện tốt các biện pháp ngăn chặn, phòng chống, phát hiện và phục hồi được các hành vi
tấn công phá hoại trái phép trên mạng, nhằm đảm bảo được tối đa sự phát triển cho các tổ
chức kinh doanh
Với mục đích đó trong thời gian thực tập nhóm đã tự' tìm hiếu các khái niệm cơ bản
về bảo mật cùng với những kiến thức về mạng máy tính đã học được tại học viện mạng của
Cisco, mong muốn xây dựng được một hệ thống bảo mật sử dụng công nghệ fírewall có
nhiều tính ứng dụng trong thực tiễn.
Đe tài này sẽ giới thiệu các kiến thức chung về bảo mật mạng máy tính, các công
nghệ thường được sử dụng để bảo mật trên nền bộ giao thức TCP/IP, giao thức chính trên
Intenet và cụ thể đi sâu vào công nghệ Firewall một công nghệ bảo mật phổ biến nhất hiện
nay.
1
Chũng tôi xin chân thành cảm ơn sự chỉ bảo hướng dẫn tận tình của Thầy Cao Văn
Lợi đã giúp chúng tôi thực hiện đồ án này.


Vì thời gian hạn hẹp, vấn đề cần tìm hiểu quá rộng, lượng thông tin và tài liệu cần
đọc rất lớn, kiến thức hạn chế nên chắc chắn rằng bản đồ án này sẽ không tránh khỏi những
thiếu sót, rất mong nhận được sự chỉ bảo góp ý thắng thắn từ phía thầy cô và các bạn.
Trân trọng cảm ơn .
LỜI MỞ ĐẦU
Với mục đích thu thập các kiến thức cơ bản về bảo mật mạng Internet trên nền bộ
giao thức TCP/IP và đi sâu nghiên cứu thiết kế hệ công nghệ bảo mật fírewall, bản đồ án này
được chúng tôi chia thành 6 phần với những nội dung như sau:
Chương I: Tổng quan về Firewall
Trình bày khái niệm fírewall và phần loại Firewall Chương II : Chức năng
,nhiệm vụ của Firewall phần cứng Tìm hiếu các chức năng và nhiệm vụ của Firewall
cứng Chương III : cấu trúc & nguyên tắc hoạt động cửa Firewall cứng Tìm hiểu
cấu trúc và cơ chế hoạt động cửa Firewall cứng và một sô hạn chế của Firewall cứng
Chương IV : Mô hình và ửng dụng cảu Firewall
Trình bày 1 số mô hình và ứng dụng cửa Firewall cứng
Chuưong V : Tưòng lửa CISCO PIX FIREWALL
Tìm hiểu về CISCO PIX FIREWALL và giới thiệu một số Fire cứng, Cách cài đặt và
câu lệnh
CHƯƠNG I: TÓNG QUAN VÈ FIREWALL
1. Firewall là gì?
Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn
chặn, hạn chế hỏa hoạn. Trong công nghệ thông tin, Firewall là một kỹ thuật được tích hợp
2
vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ
và hạn chế sự xâm nhâp không mong muốn vào hệ thống.
Một Firewall có thể được định nghĩa là một tập hợp các thành phần được đặt giữa hai
mạng và có chung ba đặc điểm sau đây:
+ Tất cả các lưu lượng từ trong ra ngoài và ngược lại đều phải đi qua Firewall.
+ Chỉ các lưu lượng được cho phép như được ấn định bởi chính sách bảo mật
cục bộ mới được phép đi qua.

+ Chính Firewall không bị ảnh hưởng bởi sự thâm nhập
2. Nguyên lý hoạt động của Firewall
Firewall hoạt động chặt chẽ với giao thức TCP/IP, vì giao thức này làm việc theo thuật
tón chia nhỏ các dữ liệu nhận được tù’ các ứng dụng trên mạng, hay nói chính xác hơn là các
dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS ) thành các gói dữ liệu
(data packets) rồi gán cho các packet này những địa chỉ có thể nhận dạng, tái lập lại ở đích cần
gửi đến, do đó các loại Firewall cũng liên quan rất nhiều đến các packet và nhũng con số địa
chỉ của chúng.
Bộ lọc packet cho phép hay tù’ chối mỗi packet mà nó nhận được. Nó kiểm tra toàn bộ
đoạn dữ liệu đế quyết định xem đoạn dữ liệu đó có thỏa mãn một trong số các luật lệ của lọc
packet hay không. Các luật lệ lọc packet này là dựa trên các thông tin ở đầu mỗi packet
(header), dùng để cho phép truyền các packet đó ở trên mạng. Bao gồm:
• Địa chỉ IP nơi xuất phát (Source)
• Địa chỉ IP nơi nhận ( Destination)
• Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel )
• Cổng TCP/UDP nơi xuất phát
• Cổng TCP/UDP nơi nhận
• Dạng thông báo ICMP
• Giao diện packet đến
• Giao diện packet đi
3
3. Chửc năng của Firewall
Chức năng chính của Firewall là kiếm soát luồng thông tin từ giữa Intranet và
Internet. Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và mạng
Internet.
• Cho phép hoặc cấm nhũng dịch vụ truy cập ra ngoài.
• Cho phép hoặc cấm những dịch vụ từ ngoài truy cập vào trong.
• Theo dõi luồng dữ liệu mạng giữa Internet và Intranet
• Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập
• Kiếm soát người sử dụng và việc truy cập của người sử dụng.

• Kiểm soát nội dung thông tin lưu chuyển trên mạng.
4. Phân loại Firewall
Firewall chia làm 2 loại:
*Firewall cứng
Firewall cứng là loại Firewall được tích hợp trực tiếp lên phần cứng
- Không được linh hoạt như fírewall mềm vì hầu như các fírewall cứng đều
hướng theo xu hướng tích hợp tất cả trong một( ví dụ : không thế thêm quy tắc
hay chức năng ngoài những chức năng đã được tích hợp sẵn ) đối với những
fírewall cứng trước kia.Hiện tại xuất hiện xu hướng mới của fìrewall cúng mà
đi đầu là dòng sản phấm PIX ASA 5500 của Cisco. Tuy là fírewall cứng nhưng
có khả năng tích hợp những
module khác ngoài module có sẵn. cấu trúc chính của loại fírewall này bao gồm :
- Adaptive tích hợp cơ bản hầu hết các tính năng chính của 1 fírewall như DHCP,
HTTPS, VPNs, hỗ trợ DMZ, PAT, NAT và các interface trên nó. Một Adaptive
có thể hoạt động độc lập mà không cần bất kỳ module nào khác. Adaptive hỗ trợ
nhiều cách cấu hình : cấu hình thông qua giao diện web hoặc cấu hình qua cổng
consol.
4
- Các module riêng lẻ : mỗi module thực hiện một chức năng chuyên biệt và kết nối
trực tiếp với Adaptive thông qua cable. Neu thiết bị đầu cuối nào muốn sử dụng
thêm chức năng của module nào thì sẽ được kết nối trực tiếp với module đó.Có
nhiều loại module thực hiện nhiều chức năng khác nhau : cung cấp các giao tiếp đến
các thiết bị có giao tiếp đặc biệt, cung cấp hệ thống cảnh báo cao cấp IPS,
- Có khả năng hoạt động ở mọi lớp với tốc độ cao nhưng giá cả rất cao.
*Firewall mềm
Firewall mềm là những phần mềm được cài đặt trên máy tính đóng vai trò làm
firewall. Có 2 loại là Stateíul Firewall (Tường lửa có trạng thái) và Stateless Firewall
(Tường lửa không trạng thái).
Đặc điểm :
- Có tính linh hoạt cao :có thế thêm bớt các luật hoặc các chức năng vì bản chất nó

chỉ là 1 phần mềm.
- Hoạt động ở tầng ứng dụng.
- Có khả năng kiểm tra nội dung của các gói tin thông qua các tù’ khóa được quy
định trong chương trình.
5. ƯU-Nhược điểm Firewall
* Ưu Điểm:
Firewall do con người cấu hình có thể che dấu mạng nội bộ bên trong, lọc dữ liệu và
nội dung của dữ liệu để ngăn chặn được các ý đồ xấu từ bên ngoài như : muốn đánh cắp
thông tin mật, muốn gây thiệt tê liệt hệ thống đối thủ của mình để gây thiệt hại về kinh tế.
- Firewall có thể ngăn chặn các cuộc tấn công vào các server gây tổn thất lớn cho các
doanh nghiệp .
- Ngoài ra fírewall còn có khả năng quét virus, chống spam khi được tích hợp
những công cụ cần thiết.
*Nhược Điểm:
5
Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại thông tin
và phân tích nội dung tốt hay xấu của nó. Firewall chỉ có thể ngăn chặn sự xâm nhập của
những nguồn thông tin không mong muốn nhưng phải xác định rõ các thông số địa chỉ.
- Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không “đi
qua” nó. Một cách cụ thế, fìrewall không thế chống lại một cuộc tấn công từ một
line dial-up, hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa
mềm.
- Firewall cũng không thế chống lại các cuộc tấn công bằng dữ liệu (data-driven
attack).
- Khi có một số chương trình được chuyển theo thư điện tử, vượt qua fírewall vào
trong trust network và bắt đầu hoạt động ở đây. Một ví dụ là các virus máy tính.
Firewall có thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua nó.
Nhưng do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có rất
nhiều cách để mã hóa dữ liệu Virus vẫn thoát khỏi khả năng rà quét của fírewall.
Chương II: CHỨC NÃNG , NHIỆM vụ CỦA FIWALL CỨNG

1. Chức năng của Firewall.
Chức năng chính của Firewall là kiếm soát luồng thông tin giữa Intranet và Internet.
Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và mạng Internet.
-Cho phép hoặc cấm các dịch vụ truy cập ra ngoài.
-Cho phép hoặc cấm các dịch vụ từ ngoài truy cập vào trong.
-Theo dõi luồng dữ liệu mạng giữa Internet và Intranet.
-Kiếm soát địa chỉ truy nhập, cấm hoặc cho phép địa chỉ truy nhập.
-Kiểm soát người dùng và việc truy cập của người dùng.
-Kiểm soát nội dung thông tin lưu chuyển trên mạng.
-Ngăn ngừa khả năng tấn công từ các mạng ngoài.
6
Khi Firewall hoạt động, nó sẽ khảo sát tất cả các luồng lun lượng giữa hai mạng để
xem luồng lưu lượng này có đạt chuẩn hay không. Neu đạt, nó được định tuyến giữa các
mạng, ngược lại, lưu lượng sẽ bị hủy.
Bộ lọc của Firewall có khả năng lọc cả lưu lượng ra lẫn lưu lượng vào. Nó cũng có
thể quản lý việc truy cập từ bên ngoài vào nguồn tài nguyên bên trong mạng.
Firewall có thể được sử dụng để ghi lại tất cả các cố gắng truy nhập vào mạng riêng
và đưa ra cảnh báo kịp thời đối với những thâm nhập trái phép.
Firewall có thể lọc các gói tin dựa vào địa chỉ nguồn, địa chỉ đích và số cổng của
chúng, đây được gọi là lọc địa chỉ. Firewall cũng có thể lọc các loại lưu lượng đặc biệt của
mạng và điều này được gọi là lọc giao thức bởi vì việc ra quyết định cho chuyển tiếp hoặc
từ chối lưu lượng phụ thuộc vào giao thức được sử dụng, ví dụ HTTP, FTP hoặc Telnet.
Firewall cũng có thế lọc luồng lưu lượng thông qua thuộc tính và trạng thái của gói.
Một số Firewall có chức năng cao cấp như: đánh lừa được Hacker, làm cho Hacker
nhầm tưởng rằng đã phá vỡ được hệ thống an toàn nhưng về cơ bản, nó phát hiện sự tấn
công và tiếp quản nó, dẫn dắt kẻ tấn công đi theo một hướng nhất định
nhằm đế Hacker tin rằng họ đã vào được một phần của hệ thống và có thế truy cập xa hơn,
các họat động của kẻ tấn công có thể được ghi lại và theo dõi. Neu có thể giữ kẻ phá hoại
trong một thời gian, người quản trị có thể lần theo dấu vết của họ. Ví dụ, có thể dùng lệnh
íĩnger để theo vết kẻ tấn công hoặc tạo tập tin “bẫy mồi” để họ phải mất thời gian truyền

lâu, sau đó theo vết việc truyền tập tin về nơi của kẻ tấn công qua kết nối Internet
2. Nhiệm vụ của Firewall.
2.1. Bảo vệ thông tin.
- Bảo vệ các dữ liệu quan trọng trong hệ thống mạng nội
bộ.
- Bảo vệ tài nguyênhệ thống.
- Bảo vệ danh tiếngcủa công ty sở hữu các thông tin cần bảo vệ.
2.2. Phòng thủ các cuộc tấn công
-Ngoài việc bảo vệ các thông tin tù’ bên trong hệ thống, Firewall còn có thể chống lại
các cuộc tấn công từ bên ngoài vào như:
-Hacker thường sử dụng một số chương trình có khả năng dò tìm các thông tin về hệ
thống của bạn như tài khoản và password đăng nhập. Firewall có khả năng phát hiện
và ngăn chặn kịp thời các tấn công theo kiếu tấn công này.
7
-Firewall cũng có khả năng phát hiện và ngăn chặn các chương trình Sniff (Chương
trình có khả năng chụp lại các gói tin khi nó được truyền đi trên mạng) mà Hacker
thường sử dụng để lấy các thông tin đang được truyền đi trên mạng.
-Hacker hay sử dụng lỗi của các chương trình úng dụng và bản thân hệ điều hành đã
được sử dụng từ những vụ tấn công đầu tiên và vẫn được để chiếm quyền truy cập (có
được quyền của người quản trị hệ thống).
+ Nghe trộm: Có thế biết được tên, mật khấu, các thông tin chuyền qua mạng
thông qua các chương trình cho phép đưa vỉ giao tiếp mạng (NIC) vào chế độ nhận
toàn bộ các thông tin lưu truyền qua mạng.
+ Giả mạo địa chỉ IP.
+ Vô hiệu hoá các chức năng của hệ thống (deny Service). Đây là kiểu tấn công
nhằm làm tê liệt toàn bộ hệ thống không cho nó thực hiện các chức năng mà nó được
thiết kế. Kiếu tấn công này không thế ngăn chặn được do những phương tiện tổ chức
tấn công cũng chính là các phương tiện để làm việc và truy nhập thông tin trên mạng.
8
+ yếu tố con người với những tính cách chủ quan và không hiểu rõ tầm quan

trọng của việc bảo mật hệ thống nên dễ dàng để lộ các thông tin quan trọng cho hacker.
Ngoài ra, Firewall còn có nhiều chức năng kiểm tra, lọc các lưu lượng vào/ra hệ
thống, bảo vệ an toàn các thông tin từ bên trong và ngăn chặn các cố gắng thâm nhập từ
bên ngoài vào hệ thống.
CHƯƠNG III
CẤU TRÚC & NGUYÊN TẮC HOẠT ĐỘNG CÙA FIREWALL CỨNG
I. Cấu trúc của Firewall cửng
Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua fírewall thì điều
đó có nghĩa rằng fírewall hoạt động kết hợp chặt chẽ với giao thức TCP/IP. Vì giao thức này
làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay chính
xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DSN, SMNP, NFS, ) thành các
gói dữ liệu (data packets) rồi gán cho các packet này những địa chỉ để có thể được định tuyến,
nhận dạng và tái lập lại ở đích cần gửi đến, do đó các loại fírewall cũng liên quan rất nhiều đến
các packet và những con số địa chỉ của chúng. Ngày nay Firewall được xây dựng dựa trên cơ sở
bộ lọc gói (packet íĩlter), trên cống ứng dụng (Application gateway), kĩ thuật giám sát trạng thái
(Stateủil inspecting) và một số firewall khác Bastion Host Firewall (pháo Đài Phòng Ngự).
Trong chương này tôi sẽ trình bày 3 kiến trúc fìrewall cơ bản dựa theo sư phân loại đó.
1. Firewall bộ lọc gói tin (PACKET FILTERING FIREWALL)
Loại fírewall này thực hiện việc kiếm các thông số điều khiến trong trường header của
các gói tin IP đế cho phép chúng có thế lưu thông qua lại hay không. Các thông số có thể lọc
được của một gói tin như sau:
- Địa chỉ IP nguồn (source IP address)
- Địa chỉ IP đích (destination IP address)
- Cổng TCP nguồn (TCP source port)
- Cổng TCP đích (TCP destination port)
+ Lỗi người quản trị hệ thống.
9
Nhờ vậy mà fírewall có thể ngăn cản được các kết nối vào
những máy chủ hoặc mạng nào đó đã được xác định, hoặc khóa
việc truy cập vào hệ thống nội bộ tù’ những địa chỉ nguồn

không cho phép. Hơn nữa việc kiểm soát các cổng làm cho
fírewall có khả năng chỉ cho phép một số loại kết nối nhất
định vào máy chủ nào đó, hoặc chỉ có
những dịch vụ nào đó (Telnet, SMTP, FTP, ) được phép mới chạy được trên hệ thống
mạng nội bộ.
Hình 2.5 Tưởng lửa lọc gói tin.
2. Firewall các dịch vụ uỷ thác (PROXY SERVER)
Firewall dịch vụ ủy thác là một thiết bị bình phong bảo mật dùng để phân tích các
gói dữ liệu được chuyển vào. Khi các gói dữ liệu tù’ bên ngoài đến proxy server, chúng
được kiểm tra và đánh giá để xác định xem chính sách bảo mật có cho phép chúng vào
mạng hay không. Proxy server không chỉ định giá trị các địa chỉ IP mà còn xem xét dữ liệu
trong các gói đế tìm lỗi và sửa sai
+ Lỗi người quản trị hệ thống.
10
Hình 2.6. Tường lửa dịch vụ ủy thác Có 2 loại proxy server cơ bản đó là:
cổng mức mạng và cổng mức ứng dụng như mô tả dưới đây.
2.1.Gateway mức mạng (Network Level Gateway)
Loại proxy server này cung cấp kết nối (có điều khiển) giữa các hệ thống nội và
ngoại. Có một mạch ảo giữa người dùng nội và proxy server. Các yêu cầu Internet đi qua
mạch này đến proxy server, và proxy server chuyển giao yêu cầu này đến Internet sau khi
thay đối địa chỉ IP. Người dùng ngoại chỉ thấy địa chỉ IP của proxy server. Các phản hồi
được proxy server nhận và gởi đến người dùng thông qua mạch ảo. Mặc dù luồng lưu thông
được phép đi qua, các hệ thống ngoại không bao giờ thấy được hệ thống nội. Loại kết nối
này thường được dùng để kết nối người dùng nội “được ủy thác” với Internet.
2.2.Gateway mức ứng dụng (Application level Gateway)
Proxy server mức ứng dụng cung cấp tất cả các chức năng cơ bản của proxy server
và còn phân tích các gói dữ liệu. Khi các gói từ bên ngoài đến cổng này, chúng được kiểm
tra và đánh giá để xác định chính sách an toàn có cho phép gói này đi vào mạng nội bộ hay
không. Proxy server không chỉ đánh giá địa chỉ IP, nó còn nhìn vào dữ liệu trong gói để
ngăn những kẻ đột nhập cất dấu thông tin trong đó.

+ Lỗi người quản trị hệ thống.
11
Với các proxy server, các chính sách an toàn mạnh hơn và mềm dẻo hơn nhiều vì tất cả
thông tin trong các gói được người điều hành sử dụng để ghi các luật xác định cách xử lý
các gói. Có thể giám sát dễ dàng mọi việc xảy ra trên proxy server. Bạn cũng có thể bỏ các
tên máy tính để che dấu hệ thống bên trong, và có thể đánh giá nội dung của các gói dữ liệu
vì mục đích hợp lý và an toàn. Tính “hợp lý” là một tùy chọn thú vị. Bạn có thể thiết lập bộ
lọc để loại bỏ mọi bản tin điện tử chứa các nội dung không được phép.
+ Lỗi người quản trị hệ thống.
12
Roxy HTTP
Host Server Server
-|| (f Internet
< > ■< >
Host to FVoxy Roxy to HTTP
TCPCồnnection SBrverCồnnection
Hình 2.7. Giao tiếp trên mạng thông qua proxy server
Một proxy server điển hình có thể cung cấp các dịch vụ ủy quyền cho các úng dụng
và giao thức như Telnet, FTP ( File Transfer Protool), HTTP ( Hypertext Transfer Protocol),
và SMTP ( Simple Mail Transfer Protocol). Proxy server này không cho phép bất kỳ một
gói tin nào đi thẳng trực tiếp giữa hai mạng, mà loại Firewall này được thiết kế đế tăng
cường khả năng kiếm soát thông qua dịch vụ người đại diện (Proxy Service). Khi một trạm
bên ngoài muốn kết nối với các trạm bên trong tường lửa thông qua một dịch vụ nào đó thì
trạm bên ngoài phải thông qua Proxy Server. Neu dịch vụ và các trạm bên ngoài không
thuộc diện cấm thông qua đối với Proxy thì Proxy Server sẽ đi tìm trạm đích bên trong
tường lửa đế tạo kết nối với trạm bên ngoài và ngược lại các trạm bên trong muốn kết nối ra
ngoài cũng vậy. Với cách thức này thì sẽ đánh bại được một số loại tấn công cơ bản như gây
tràn bộ đệm của tường lửa.
+ Lỗi người quản trị hệ thống.
13

Tuy nhiên cũng có một số hạn chế đối với dạng tường lừa loại này là: Đây là loại
tường lửa được cài đặt cho từng loại dịch vụ riêng rẽ trên mạng ví dụ như Telnet, Mail,
FPT Neu chúng ta muốn hỗ trợ một dịch vụ nào đó cho mạng của mình thông qua tường
lửa thì chúng ta nhất thiết phải thêm vào proxy cho loại dịch vụ đó. Vì vậy nếu trên mạng
bên ngoài có thêm một dich vụ mới nào đó thì người quản trị tường lửa phải xây dựng chính
sách đại diện thích hợp với dịch vụ đó. Có hai nguyên tắc để tạo ra chính sách đại diện mặc
định ở đây đó là hoăc tù’ chối tất cả nhũng thứ không được đại diện, hoặc là chấp nhận tất
cả nhũng dịch vụ không có dịch vụ đại diện trên tườnglửa. Nhưng cả hai cách này dều gây
ra những nguy cơ an ninh và bất tiện mới cho hệ thống mạng bên trong tường lửa.
3. Kĩ thuật kiểm tra trạng thái (Stateful packet íĩltering)
Một trong những vấn đề với proxy server là nó phải đánh giá một lượng lớn thông
tin trong một lượng lớn các gói dữ liệu. Ngoài ra, phải cài đặt từng proxy cho mỗi ứng dụng.
Điều này ảnh hưởng đến hiệu suất và làm tăng chi phí. Với kỹ thuật kiểm tra trạng thái, các
mẫu bit của gói dữ liệu được so sánh với các gói “tin cậy” đã biết.
Ví dụ, nếu bạn truy cập một dịch vụ bên ngoài, proxy server sẽ nhớ mọi thứ về yêu
cầu ban đầu, như số hiệu cống, địa chỉ nguồn và đích. Cách “nhớ” này được gọi là lưu trạng
thái. Khi hệ thống bên ngoài phản hồi yêu cầu của bạn, firewall server so sánh các gói nhận
được với trạng thái đã lun đế xác định chúng được phép vào hay không.
Vào thời điểm mà kết nối TCP hoặc UDP được thiết lập theo hướng đi vào hay đi ra
khỏi mạng thì thông tin được đưa vào 1 bảng gọi là bảng “stateíul session flow table”.
Bảng này còn được gọi là bảng trạng thái, nó bao gồm những thông tin về địa chỉ nguồn,
địa chỉ đích, địa chỉ cổng, thông tin về số hiệu gói tin TCP và cờ dấu thêm vào mỗi kết nối
TCP hay UDP, các kết nối này đều liên kết với 1 phiên nào đó. Thông tin này tạo ra các đối
tượng kết nối và do đó các gói tin đi vào hoặc đi ra được so sánh với các phiên trong “bảng
phiên có trạng thái”. Dữ liệu chỉ được phép đi qua firewall nếu đã tồn tại một kết nối tương
ứng xác nhận sự luân chuyển đó.
+ Lỗi người quản trị hệ thống.
14
4. Firewall pháo đài phòng ngự (BASTION HOST FIREWALL )
Là một trạm được cấu hình để chặn đứng mọi cuộc tấn công từ phía bên ngoài vào.

Đây là điểm giao tiếp trực tiếp với mạng không tin cậy bên ngoài do đó dễ bị tấn công nhất.
Có hai dạng của máy phòng thủ
+ Lỗi người quản trị hệ thống.
15
Pháo đài phòng ngự
4.1.Dạng thứ nhất là máy phòng thủ có hai card mạng
Trong đó có một nối với hệ thống bên trong ( mạng nội bộ ) và card còn lại nối với
bên ngoài mạng Internet. Đây là dạng tường lửa có từ rất sớm, nó yêu cầu người sử dụng
bên trong phải kết nối với tường lửa trước khi làm việc với mạng bên ngoài. Với giải pháp
này tường lửa đã cô lập được mạng bên trong với mạng bên ngoài bằng những máy phòng
thủ (host) nhưng nó cũng tạo ra một sự thiếu tự nhiên trong việc kết nối giữa người sử dụng
bên trong với mạng bên ngoài.
4.2.Dạng thứ hai là máy phòng thủ có một card mạng
Nó được nối trực tiếp đến một hệ riêng biệt trên mạng - proxy server hay gateway
mức úng dụng. Gateway này cung cấp điều khiển vào ra. Bộ định tuyến (rounter) có nhiều
chức năng trong cấu hình này. Nó không chỉ định hướng các gói đến hệ nội bộ, mà còn cho
phép các hệ thống nội mở kết nối với Internet hoặc không cho phép kết nối. Kiến trúc
screening subnet còn bố sung thêm tầng an toàn đế tách mạng
nội bộ với Internet. Lý do để làm việc này là tránh cho mạng nội bộ khỏibị tấn công
nếu như bastion host bị đánh sập.
"Screened Suhnet"
Bastion Hust
16
II. Nguyên tắc hoạt động của Firewall
2.1.Co’ chế lọc gói tin (packet ílltering)
Cơ chế lọc gói tin của fírewall cứng như dòng ASA, PIX của CISCO dựa trên
hoạt động của Access Control List (ACL) hay còn gọi là danh sách điều khiển truy nhập.
Vậy nguyên tắc hoạt động của ACL như thế nào.
ACL định nghĩa ra các luật được sử dụng để ngăn chặn các gói tin lưu thông trên mạng.
Một ACL là tập hợp của nhiều câu lệnh (statements) liên tiếp dùng để so sánh với các

thông tin điều khiển trong trường header của gói tin IP, thông qua đó mà thiết bi fírewall
thực hiện một trong 2 hành vi là chặn gói tin lại hoặc cho phép đi qua.
Danh sách điều khiển truy nhập IP (IP access control lists) khiến bộ định tuyến hủy bỏ
những gói tin dựa trên những tiêu chí đặt ra của người quản trị mạng. Mục đích là đế
ngăn chặn những lun lượng không được phép lun thông trên mạng đó có thể là ngăn chặn
kẻ phá hoại tấn công vào mạng nội bộ của công ty hay chỉ đơn giản là người sử dụng truy
nhập vào tài nguyên hệ thống mà họ không nên và không được phép vào. ACL luôn đóng
vai trò quan trọng trong chiến lược kiểm soát an ninh của công ty.
2.2. Một số đặc điểm ACL:
- Gói tin có thể bị lọc khi chúng đi vào hoặc đi vào một cổng, trước khi được định
tuyến.
- Gói tin có thể bị lọc khi chúng đi ra khỏi một cổng, sau khi được định tuyến.
- Từ chối (Deny) là một thuật ngữ dùng để nói rằng gói tin bị chặn lại hay bị lọc
(ílltered), còn cho phép (Permit) thì có nghĩa là gói tin không bị lọc mà được
phép đi qua.
Bastion Hust
17
- Các logic lọc hay thứ tự của các luật lọc được cấu hình trong các danh sách điều
khiển truy nhập (ACLs).
- Ket thúc mỗi ACL nếu các lưu lượng đi qua không thỏa mãn một điều kiện nào trong
các logic của ACL thì tất cả sẽ bị từ chối tức là sẽ không được phép đi qua cổng đó.
Bastion Hust
18
2.3.Phân loại ACL
- Có 2 loại ACL CO’ bản: danh sách điều khiển truy nhập cơ bản và danh sách điều
khiển truy nhập mở rộng (Standard ACL và Extended ACL). Standard ACL có cấu
trúc đơn giản dễ thực hiện trong khi đó ExtendedACL có cấu trúc phức tạp và khó
thực hiện hơn.
2.3.1. Danh sách điều khiển truy nhập cơ bản (Standard IP Access Control
Lists)

- Chỉ có ngăn chặn gói tin dựa trên thông tin về địa chỉ IP đích (IP source
address) trong trường header của gói tin IP.
- Hoạt động của Standard ACL như sau, giả sử là ACL được đặt trên Router 1 với
cống vào của lưu lượng là cống SI còn cống ra là cống EO.
Bastion Hust
19
Hoạt động của Standard A CL
Bastion Hust
20
Router R1
Bastion Hust
21
1. Khi gói tin IP vào cổng Sl, địa chỉ IP nguồn của gói tin đó sẽ được so sánh với
các luật đặt ra trong câu lệnh ACL, liệu rằng ứng với địa chỉ nguồn đó thì gói tin
sẽ được phép đi qua hay chặn lại.
2. Neu có một gói tin nào đó thỏa mãn (phù hợp) điều kiện của một cây lệnh được định
nghĩa trong ACL, thì gói tin sẽ được cho phép đi qua hoặc bị chặn lại.
3. Neu không có một sự phù hợp nào xảy ra ở bước 2 thì, lại quay trở lại bước 1 và 2
cho đến khi tìm được một điều kiện thỏa mãn.
4. Neu kiểm tra xong với tất cả các câu lệnh mà vẫn không thỏa mãn với một điều kiện
nào thì gói tin đó sẽ bị tù’ chối (deny).
2.3.2. Danh sách điều khiển truy nhập mở rộng (Extended IP Access
Control Lists)
Extended ACL vừa có những điếm tương tự vừa khác so với Standard ACL. Cũng
như Standard ACL, bạn có thế cho phép áp đặt Extended ACL lên cống theo chiều đi vào
hoặc đi ra của gói tin. IOS của fírewall cũng so sánh gói tin với các lệnh theo thứ tự lần
lượt của các câu lệnh đó. Neu câu lệnh đầu tiên mà thỏa mãn thì nó sẽ dừng việc so sánh
với các lệnh còn lại ở trong list và xác định ngay hành động cần tiến hành với gói tin đó.
Tất cả các tính năng này cũng đều giống với cách xử sự của Standard ACL.
Điểm khác nhau chủ yếu giữa 2 loại này là extended ACL có thể sử dụng nhiều

thông tin điều khiển trong trường header để so sánh hơn là Standard ACL. Standard ACL
chỉ kiểm tra được địa chỉ IP nguồn thì Extended còn sử dụng được thêm cả địa chỉ IP đích,
địa chỉ cổng, loại ứng dụng, địa chỉ MAC, loại giao thức Điều này làm cho Extended ACL
Bastion Hust
22
có thể kiểm tra và lọc được nhiều lưu lượng với độ chính xác và an toàn cao hơn. Tuy nhiên
nó cũng khó thực hiện hơn vì phức tạp hơn Standard ACL rất nhiều.
2.3.3. So sánh giữa Standard ACL và extended ACL
Loại ACL Các tham số có thể so sánh
Standard ACL và Extandard ACL Địa chỉ IP nguôn
Phân địa chỉ IP nguôn sử dụng wildcard mark
chỉ ra địa chỉ mạng nguồn.
Extandard ACL
Phân địa chỉ IP đích sử dụng wildcard mark
chỉ ra địa chỉ mạng đích
Loại giao thức (TCP, UDP, ICMP, IGRP,
IGMP, và các giao thức khác)
Công nguôn
Công đích
All TCP flows except the íĩrst
ĨPTOS
IP precedence (quyên ưu tiên)
2.4.ứng dụng ACL
Các phần mềm 10s trong các thiết bị định tuyến hay fírewall cứng áp đặt các
logic lọc của ACL khi các gói tin đi vào hoặc đi ra một cống nào đó trên thiết bị đó.
Hay nói cách khác, 10s liên kết một 10s với một cổng và dành riêng cho những lưu
lượng vào hay ra trên cổng đó. Sau khi chọn được bộ định tuyến hay fírewall mà ta
Bastion Hust
23
muốn đặt ACL tiếp đó phải chọn cổng, cũng như chiều các gói tin đi ra hay đi vào

cống đế áp logic lọc vào đó.
Oưtbound Less
secure « More
secure
Outside Inside
securíty level 0 securtty level 100
Less secure — > More secure
Inbound
Di chuyến của gỏi tin giữa các vừng có độ an toàn khác nhau
cấu hình mặc định của các thiết bị fírewall là đối với cổng có chiều đi vào thì mức
an toàn là 100 (đó là mức an toàn cao nhất), còn cổng có chiều đi ra thì mức an toàn là 0
(mức an toàn kém nhất). Không có gì an toàn bằng mạng nội bộ và cũng không có gì kém
an toàn hơn là mạng phía ngoài. Sau khi cấu hình cơ chế phiên dịch địa chỉ, thì mặc định
tất cả các giao tiếp theo hướng đi ra còn theo chiều từ nơi có mức an toàn hơn ra đến nơi
có mức an toàn kém hơn còn tất cả các lưu lượng từ nơi có mức an toàn kém hơn đi đến
nơi có mức an toàn cao hơn thì đều bị cấm.
Quy tắc xử sự của ACL dựa trên một cống theo 1 chiều, tức là ứng với một cống theo
chiều đi ra hoặc đi vào thì áp được 1 ACL.
ACL trên cống cho phép hoặc từ chối gói tin khởi tạo theo chiều đi vào hay đi ra trên
cổng đó.
ACL chỉ cần mô tả gói tin khởi tạo của ứng dụng; không cần biết đến các gói tin quay trở
lại của úng dụng đó, điều này dựa trên cơ sỏ của cơ chế bắt tay 3 bước.
Bastion Hust
24
Neu không có một ACL nào được áp lên một cổng của fírewall thì ở cổng đó sẽ áp dụng
chính sách mặc định là:
• Các gói tin đira được cho phép
• Các gói tin đi vàobị cấm
• ACL sử dụng câulệnh “ access-list” để cho phép hoặc chặn lưu lượng
trên mạng. Sau đây là những quy tắc để thiết kế và thực hiện các ACL

Khi lưu lượng đi từ vùng có độ an toàn cao hơn sang vùng có độ an toàn thấp hơn thì:
• ACL được dùng để ngăn chặn lưu lượng có chiều đi ra (outbound traffíc)
• Địa chỉ nguồn dùng để so sánh của ACL phải là địa chỉ thực của 1 máy trạm ở
trên mạng
Khi đi từ nơi có mức an toàn thấp hơn sang nơi có mức an toàn cao hơn thì:
• ACL sẽ chặn các lưu thông có chiều đi vào (inbound traffíc)
Bastion Hust
25

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×