Tìm hiểu hệ thống firewall trong hệ điều hành window
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (540.19 KB, 29 trang )
BTL Nguyên lý Hệ điều hành
BÀI TẬP LỚN
NGUYÊN LÝ HỆ ĐIỀU HÀNH
Đề tài 11: Tìm hiểu hệ thống FireWall trong hệ điều
hành Window
1
BTL Nguyên lý Hệ điều hành
DANH SÁCH THÀNH VIÊN
ST
T
Họ và Tên MSV Nhiêm vụ
1 Nguyễn Văn
Đức
1221050
137
Chương I: Tổng quan
về Firewall
2 Phạm Ngọc
Hùng
1221050
219
Chương II: Những
thiết kế cơ bản của
Firewall
3 Phạm Đức
Anh
1221050
155
Chương III: Các thành
phần và cơ chế hoạt
động của Firewall
4 Nguyễn
Quốc Toản
1221050
417
Chương IV: Giải pháp
tường lửa cho doanh
nghiệp
5 Nguyễn Đức
Mạnh
(Nhóm
Trưởng)
1221050
298
Lời mở đầu + Chương
V: Tổng Kết + Tổng
hợp 5 chương
2
BTL Nguyên lý Hệ điều hành
MỤC LỤC
3
BTL Nguyên lý Hệ điều hành
LỜI NÓI ĐẦU
!"#$%
&'()*))
+,&! /0(%$#$%&
1$#23435670
8!9#:08;<=)3$> $
<$#7?@!
$#$%&?A$)*))B$?32
'C%D$#!$#
$%&$56'$>?2A0
$2(8E/:/F)E#)!-6(
EGB:$H##/?@I
H;,J%DC!KC
?')))$=&$LJ8
#J%M)2)CJ8N)$+J3
$#0')N)8;<=$#$%&!
-0;/O$<#)$D$P0;
Q<R8SJ$:T: )E%<=
$#< 2)!U 0; )E%V)
$%&7%:)&<C23$?3
B $1/ $ +)$#J/ $8 #
$%&$78;<=!K:
: <C2 O)N)$$%&O:(
R1?J2:2%+)#<C2/!
W86<X+H7-%Y93K:$1$
??%!-%M(8EH$ J
) & MB / /G C ( 8:!
K:$1$$+'863$:), 7,
-%?#!
Nhóm em xin chân thành cảm ơn!
4
BTL Nguyên lý Hệ điều hành
CHƯƠNG 1: TỔNG QUAN VỀ FIREWALL
1. Khái niệm
-+CZ1R:A.$/[+(/(
%<6 F>J#(G#!-2
JZ1R$/[+'&')2
$# 86%+))N)JB$?32A
?#(86$+)/$$
2!Z1R'$32)T7?
\] / $83A
+)!U: 1<^/:%+)#%!
Hình 1.1 :Firewall được đặt ở giữa mạng riêng và mạng công
cộng
U$#_110?@1<?`C/a
!Y ?32<C2?00<4
Z1R!Z1R:: )N)0<4')2
>#C0<4/')2!Z1R:
(?@)E>*H)$D$#%8
?33$>/(')3!-$0')J:)3:&
()$#J$$#$:?32J$
5
BTL Nguyên lý Hệ điều hành
$#?!Z1R: 1R%> $D
C$#J0$$#$$#
_11!UZ1R1*3!
2. Chức năng
UEF&7Z1R/ $8A.
C_11_11!-(+)*(D / <T
C$#?P_1S$#_11!U=
b
• U)N)>$C<@=%+)P.
_1_11S!
• U)N)>$C<@=)N)%+)
P._11_1S!
• -1<^A<C2$#C_11_1!
• c $8@O%+)J$@O%+)!
• c $808;<=2%+)708;
<=!
• c $8<=%
$#!
3. Phân loại
3.1 Firewall cứng
-0;)E$6'),(?#
<4)?3Q<R8%!KD $%+)
P188)S/<%8;<=$#HD
'::<<#L')3$J&')
0;)E?<?<1!W2<4
$0;2$#7?#: *3
2$$$%302#0%2
#7?#!9#O>0;/(d11
C$<1$)efgh$%&7?#!PYV
(#0;S!
6
BTL Nguyên lý Hệ điều hành
Hình 1.2: Firewall kết nối Enthernet giữa modem cáp/DSL và
máy tính
Đặc điểm của Firewall cứng:
• c'#Z1R$D$bPc
$EFJ$%Mi1R$D$S!
• U: 3,+)!
• Y*3J<jM)>JHJ3,!
• Z1RE#`)*Z1R$D$
P-K1R/-8)S!
• Z1RE/ / $'<7:
!
Ví dụ Firewall cứng: K-PK1R/<<188-81S!
3.2 Firewall mềm
U:D)-0;)$D$$?#:
8;<=(?#<4)?3Q<R8%!U
):#0;/: 8;<=
Q<R8!f%<8$8)b
• _11g1%g%81$8P_ggSb9/_UdkUk1!
• K1R/818b"l11k18Z1R!
• g%$1bKk18Z1R!
• -%glR1b-%k18Z1R!
• m1h?8bm1$!
Đặc điểm của Firewall mềm: -&#:
$J?%MJEF!Z1R$D$#`
*Z1REPE<=SZ1R$D$:
/ $'<=7:P./:S!
Ví dụ về Firewall mềm: m1$JKZ1Rn
7
BTL Nguyên lý Hệ điều hành
4. Nguyên lý hoạt động của Firewall
Z1R#>oE-Uke_kJHE
%$21+G<C2+'.
E<=$#J%:&*<@=
#%EP-11Jg"-kJfKgJg"KkJKZgnS
:<C2P<)/18SA)/1%C
@O: +<#J+)#`&;(J<:
#Z1RD()/1C
8@O7V!9)/1)N)%.p$p
)/1$:+'!K:/ $?<C2 %(
@1$#<C2::G$$8+2
7)/1%/!U+2)/1%<6
` $p )/1 P1<1SJ <4 )N)
%D)/1:$#!9A$b
• Y@O_)*)Pg1S!
• Y@O_k*+Pf18S!
• KC7=%DP-UkJqfkJ_U"kJ_k1nS
• UL-Ukeqfk*)
• UL-Ukeqfk*+
• f#?_U"k
• r<2)/1(
• r<2)/1
K()/1G+2'(+)7Z1RH
)/1:'% J(/GH8o?@#?G!W2
/ $8L$Z1R:/3FO:)N)$
8#/(@')N)$'2$#
=?!U,<2/ $<61<17
)/1?// $8'<
7)/1!U)/1% X: $1C
,AFM))#7/a!-
)8V8oH$ /[+ '0;!
5. Ứng dụng của Firewall
8
BTL Nguyên lý Hệ điều hành
Hình 1.3: Firewall bảo vệ máy tính
K($%&7?#/'?32J/?#/(
_11J3$#D)N)JH(
/1JsJ8 %+)%M)
7?#$%&!UV: >#$
i1<C2$%&!UV: 8;<=$%&
7?# $$%&/7H><
2)//(_11!"i1R: V)?#
/G: $/:(27?#!
5.1. Firewall bảo vệ cái gì ?
K2$=*?37Z1R?32CD8b
• fC 2b KC ' ?3 2 <
C%D&?3$+J&t
&/@)0!
• -%2!
• f(7%8`C
?32!
5.2. Firewall bảo vệ chống lại cái gì ?
Z1R2?32#C86.?
!
Tấn công trực tiếp:
9
BTL Nguyên lý Hệ điều hành
• UE<4)*))<T$+/I6()!
-*H<TH$$+/I$8
D08;<=%8JLJ@O!n
/(')2<0<4#J/a:
<T'$+/I7?#!-$80')/3
F: uvw!
• UE8;<=p7*HE<=
?32D'8;<=.C=
X' ($%D%+)P:'
%D703@2S!
Nghe trôm:U: ?('J$+/IJ%D
$#*H)N)()
$#PK_US(+?%D
$#!
Giả mạo địa chỉ IP: hx/10<4% $#
<$%&')))B$($%DD/ H
<%2R1?$%&?@!
Vô hiệu hóa các chức năng của hệ thống (deny service):
Y%/ B$2?2/:
62EF$:'(/(!c %
/ F>'<C)*2LE
&)*2 $2%+)
$#!
Lỗi người quản trị hệ thống: y(0C&
7/ ^$72?3$+
2<j< /1!
K%%JH7/1%G*J/
:2$#XT+$#)2;,p
L7$H!YD%TG03@$#)3:/(
ED?3$+$# : CC
72!YC0<4J/
?((7+ 6%<6$H$Z1RJ
^$7?3$+
10
BTL Nguyên lý Hệ điều hành
$p!z:6H$ ?($8)T
C86*37/1!WD,
EJ/:,E )TH/3F8o
*!
CHƯƠNG II: NHỮNG THIẾT KẾ CƠ BẢN CỦA
FIREWALL
11
BTL Nguyên lý Hệ điều hành
1. Dual-homed Host
Z1R/(V/ f{ $1<8'%<6<6
$%&<{$1<8!"$%&'<{
$1<8(::&1R/1l1J:5
$%::M<$#()$#/J<
:$%&%GT1$D$!c(V<{
$1<8*3J$%<{$<8`CJ$?
'11?T#$#?P$#
'?32S!
rA$:> $8b
o k3<8?1EF7<{$1<8 $
T_k.T!
o U2??<{$1<8O:
#<{$1<8$V/#
6)'!
o f{?$<8)<@=)%811
>6()
2. Kiến trúc screenetl Host
-/(V%EF?3$+&')
?0EF)/1i1#8111!
k/1i18111' 81)8
?88$%<%11R/$8
11: $`/((!k/1lH1)N)
12
BTL Nguyên lý Hệ điều hành
?8 8 $` / P') ))S ? P11$
1R/S!
-0k/1i6228b
o U)N)188$`/((8
11$8<@=')N)!
o U$3/(L.188
c/1'?88H/T
$M188!
3. Kiến trúc Screened Subnet Host
-$ $)1$111R/ +)11R/
11!K+%<4/1'?88
XT$MC)3'11!U
11R/'?32<4?8
?@|($\!U<@=&+%:/3F<j?@
HD})1$111R/!988 $
#/(.bg"-k~Z-kJfKg!UT
2%+)<@=.118(811
11H'D/ 8b
13
BTL Nguyên lý Hệ điều hành
o g1))/1i131111
)N)118%+)8118?
$6()!
o g1))%g11?88 )N)1
18%+)8118?$3()!
4. Sử dụng nhiều basion host
W$H%H)EC08;<=
?P81S$):/@3`?`
C#708;<=?$#P11
81S
14
BTL Nguyên lý Hệ điều hành
5. Kiến trúc ghép chung Router trong và Router ngoài
•1)3)N))<=+<T)/1
$p1l1!
fN)1/(V$%$
3$)?32$#?J: :/(VN)
11B$`C/(Vg111<
8g111<g?18
6. Kiến trúc ghép chung Bastion Host va Router ngoài
c(V%O8;<=$#O:€0<
Egh_k>kkk11!
c N)9881Pd11S
%g111<g?1x8!K:)E
0)$X: )+'<
0%D)JVF71&JEF
:7%(1!
15
BTL Nguyên lý Hệ điều hành
CHƯƠNG III: CÁC THÀNH PHẦN VÀ CƠ CHẾ HOẠT ĐỘNG
CỦA FIREWALL
1. Bộ lọc gói (Packet Filting)
1.1. Nguyên lý hoạt động
c:(2<C2C$#
Z1RHD::5BZ1R#>o
E-Ue_k!WHE%$21+
G<C2'.E<=$#!%:
&*<@=#%EP-11!
g"-kJfKg!g"KkJKZg!!!S:<C2P<)/18SA
)/1%C@ : +<#!+)
#`&;(<:#Z1R
D()/1C8@O7V!
9k/1)N)%.$p)/1$:+'!
K:/ $?#<C2o%N@5#<C2
::G$$8U+27)/1%
/!U+2)/1%<6}
$p)/1P)/11<1SJ<4 )N)%D)/1
:`$#!Y:b
o Y@_k*)Pg1S
o Y@O_k*+Pf18S
o KC7=%DP-Uk!qfk!U"k!_k1JnS
o UL-Ukeqfk*)
o UL-Ukeqfk*
o f#?U"k
o r<2)/1(
o r<2)/1
16
BTL Nguyên lý Hệ điều hành
K(+2)/1'3$H)/1'%
i1R!K(/)/18o?@?G!K0+%$Z1R:
F3'/($%7>$#:
'J>/2%+)2$#?
.C/)N)!x*C2/ $8
Z1R:/FO)N)$8#/(
@#$%7:>O:C<@
=:P-11!g"-k!Z-k!!!S')N)$#%'2
$#?!
1.2. Ưu điếm và hạn chế của hệ thống Firewall sử dụng
bộ lọc Packet
Ưu điểm:
o U)&)H*()/16'?A$
$p)$D$1!
o KJ?_)/1808;<=
V<=!H+%:/%86%2
>?23!
Hạn Chế:
o W@5()/1$2/
)E#)JTG03$# ?((
<=_11J<#)/11<1J
= : $p0!cTGD
86 J+2?`<
)E#)J/oo3,D/ !
o f$2<61<17)/1!^?
)/1//D$8':<7
)/1!P)/1%DX: $1
C,AFM)%)#7
/aI!
17
BTL Nguyên lý Hệ điều hành
2. Cống ứng dụng (Application-Ievel Gateway)
2.1. Nguyên lý họat động
Y%$#Z1R' /( F0EF
/($8#<@=!E')N)%+)
2$#!U(#7:<6E
k%811!k%811?<1>?2<>
1R%.E<=!K(0@$#/
>)%<1$E<=:J<@=*E8o
/')<:/ %(
i1R!K!)%<1: '@IHDp'
O$8> $E<=$T3@$#
I)+'/.
"A;<=0'$)
P?88S!?`H:'(/ >?2 L#86I
.?!KC?2))3$?7$
?88b
o 98 8 #% 18 P811
18S 7 U ) $D$ 2 P•)1@
g%81$S!U18%'(/(%
$= & # 86 •)1
g%81$!3$?386&')i1R!
o UOC<@W=$03$#
($'>?88!*3OH
($<=/'>!:/ ?
!-0!$8?#E<=
<@=-11JfKgJZ-kJg"-k681
'>?88!
o 988: %D$E6/
!&<=81)88R<%8$<!
o "p)%'>UH )N)%+)O
$8A$%7!D%:5B?
18
BTL Nguyên lý Hệ điều hành
2> $(+)$p)%OV$
8$%7?2!
o "p)%<%H$% +/,N)#?
(7:J$p86/(!/
0/(!K+/,%:&2H$
1<(%F>/a)3#!
o "p)%D+)&)18/?8
8!YD%)N)<j<HU>$
)%$!%‚$)%:D!
2.2. Ưu điềm và hạn chể
Ưu diếm:
o U)N)03@$#D/D
'.<@=$#!?`HE<=)%?#
(?_2% @C$%7:D
%+)'?`<@=!
o U)N)03$#D/D
'C<=)N)?`H86M$>
7)%<@=*E:5
<@=%?@/!
o ULE<=)N)/($6
::+/,N)#D%+)2
!
o h+2lH1LE<=<j<
H/ $*8?)/1!
Hạn chế:
y3818%LJ>%L)
$D$>$%1%+)<@=
)%!U3#11%+)LV<=TG
? $%7E/)3$?!
-%J:$8)$D$1)N)E
<=LE<=8?B)N)
19
BTL Nguyên lý Hệ điều hành
81O$%&E/)3LE<=2
-11!
3. Cống vòng (Circuit-level gateway)
ULWT$EF>?2: 62'
?`$LE<=!ULT*3O%)
P1%S/-Uk$/62?/ƒ$
;,%)/1!
CHƯƠNG IV: GIẢI PHÁP TƯỜNG LỬA CHO DOANH NGHIỆP
1 Giới thiệu
K%%28;<=11)L?(?
<2)!YC@2$3
,2$#$%&LE{<2)$
0/<2nay :o?$+{<C2
D$H!
"C=23<=
20
BTL Nguyên lý Hệ điều hành
8;<=0.P&51RSB$/$886%+)
.?$#?<@e$#!-%
J$0;//N$J
E{<2).G!
-0')%J:o3))$?@:;,
$ EF '), ! -( ?@?3$+ - 3
$„%)3)E%ID?3$+{<C2
7LE…<2) $ 23 $/
(D(?@MD)E#)J$$
%!
YD%+(H#_112
%%X%$1<8$%&J*H)
#M)JpL?3$+72D
E<=!
2 Giải pháp ‚rewall cho doanh nghiệp nhỏ
1 ISA Server Enterprise 2000, ISA Server Enterprise 2004
Y%$)$D$:EF&b
o 932$#._11!
o U)N)U1? $#?%+)
<@=_11J:/ $8!
Mô hình triển khai ISA Server giữa Intemal Network và
Internet
2 Sonicwall PRO 2040
Z1R<<2)#.%:)E
$%IJ<D<+%D%/%(?@
/G)J:>:?J/27J>M)/_q
21
BTL Nguyên lý Hệ điều hành
D'3!gQhhk†v‡v/(')2D$`
g•g(2$7gQhh$/(V)IE:
/3F@3J$jHVJ/
*3!
c 8; <=J 0 <4 )3 > os $` 7
gQhh$/'D&)/(
( D ˆgk <6 )TJ ?B3 k †v‡v
/J(+)K-<61&8/(LQK<6)T!
"><4:+k†v‡v$/2D
g•gd1<J)3 2D%H$:
1/&#L()E7(?@!L%:E
F7$LQKJhKJ%f"mJ>8$(
?@k†v‡v/<6)T!gQ/D/N$
7J:&')EF)T8
<!
k†v‡v$.TJ‰#J:'
?@$?;,$$p2$=$:28
:H/?2/<4($:dg{†Š‹%ufdg!
x#+)F>8/;
D?@F3?`Z1R%!
3 THIẾT LẬP MỘT FIREWALL CHO DOANH NGHIỆP
h63))Z1R)E>Z1R)
$D$D%<$Z1R<2)!W2(+)
Z1R<6%(8b
Trước hết cần xác định tài nguvên cần bảo vệ:
o "%#$J"%7!
o U(?@$#b9@%(P•1SJr1R%J
•1)11!!!
o U$%V.
o U*H)$D$!
o U)$#!
o -C2)<C2!
Nghiên cứu các vấn đề sau:
o 932%:/G?@)#!
22
BTL Nguyên lý Hệ điều hành
o Œ87%*1<#!"E7
A%!
o U?2)): 62 ?32%
0J‚L/N$!
o c $&8$#@/H!
Nhận dạng các mối đe doạ:
o -%+))N)bK:28;<=?E
%$/'86)N)D?@
%+))N)!
o K%*(bW2
$$1<#!)3@^@%
#%3$7C$%!}$E2
2 $+/I%+)2:
#+'2%+))N)*
!
o <@=bU$#<4 / A
%:@$%&*8`<C
2)<@=$ $*<6!
K1<@=%/888o<X(3
`2 /< 4 *@J •I/: :
' HE . <@=J <
%2/$8&<=D.<@=b
x2$%?@<.H$:V/a)
#!
"#?@<.H?@'!
U(?@?32$#?@)G!
o U $%+)bY $%+)$0:C
08;<=)N) 2!K1 :
D $%+)H$F%*
$#J U2:H/Vb
KC/a+)$#V0L
) #$%4 $#!U$%&7
:Tg117-11$=
23
BTL Nguyên lý Hệ điều hành
)L?(!K1$%&7/'H
$VMH28o<j?@)#!
o W8bc&)E#)7)$D$FH
)E#) 7 W8?/H2
FJGo8o/:)$D$$/?@
j$ W8!UW8'?(( $
)*)) )L?( (
%+))N)!K12>2$`
'?(1$H/a+):
8;<=C($%(7*H#%0
( %+)2 `( >
%D!
o U$1<#.?bKC0
0%+)6())$D$$%&$#
D*8)E!K($0
%(@)#0:#$1
<#/ 4$#!K10:()
+<j<2H2<j?@)
#*!K0)#: <p<#%?3
$EM$?M)$D$)&
'7 E! x( E <=-Uke_k
P-11JZ-kS:*($% :
$+/I'%<<#F?^5!
+,bK(?3$%&/'D
$>+,H*()$D$: <j<?@?G
!-0)$%#$f•gJQ_Kf•QgD/
:*(?2)$D$!Y2Dq/:
03,H5+,: ?@J>(
2%(>%D$%#$?@
?GG!K://a+):#$<.$%&%
#:`#(A8:%*H
-s{18>: 62/B$
$ 2 $ =
*!
24
BTL Nguyên lý Hệ điều hành
4 CÀI ĐẶT VÀ CÁU HÌNH FIREWALL
g%8o(>$Z1R<2)
?B)$D$ISAServer 2004 Firewall
1 Tìm hiểu về phần mềm ISA Server 2004 Firewall
-8C83)I$0;Pi1RS@0
2%H_gg11†vv‡7"8&H'D0%
& </3 F ? 22 $#$o 4 *(
3 , #! _g g11 †vv‡ Z1R : ) ?3
g<<d1)81)==C$0/!
_gg11†vv‡g<<)EI?328a
?F%:%$?H!W)?3
%:%<6Z1R/ $8<C2
2$#?7%J/ $8H%
+)70<41EJ0<B$
F+2/(CR1?G</
&')!9#:T: /2WkKg1
g1%•1$1188p'2%+).J>
<C2CF)T!Y%:
C2$%7"g11JQ1?g11
'?32+o$$0?2H_g
†vv‡)N)/4f"mP+CO4)
86SF.86*6()C0?
? 2! K & F? $+
J_g†vv‡T:22$P1SV)/(_11
*<R1?: '8••"
%5EJV)(/2$/ ?2!U&
H , <: $ 83 )$ Z1R % : _11
g1%Ž11P?3$+F_11S!
_gg11†vv‡d1)81'8;<=$H
$#J)ED%%70<4?
2!KC&FG_g
g11†vv‡g<<J?3d1)81T)N)(+)2
$3_gg1148;<=$&8JD
25
