COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 1 HIENLTH
Network Security
Lương Trần Hy Hiến
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 2 HIENLTH
Chương 3: Tường lửa
Presenter:
Lương Trần Hy Hiến

COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 3 HIENLTH
Nội dung
3.1. Giới thiệu
3.2. Các kiểu tường lửa
3.3. Các thành phần
cơ bản của Rule
3.4. Các mô hình
3.5. DMZ
3.6. Tổng kết
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 4 HIENLTH
Router / Switch
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 5 HIENLTH
3.1 Giới thiệu
• From Webopedia.com, a firewall is defined as “A
system designed to prevent unauthorized access to
or from a private network. Firewalls can be
implemented in both hardware and software, or a
combination of both. Firewalls are frequently used
to prevent unauthorized Internet users from
accessing private networks connected to the
Internet, especially intranets. All messages entering
or leaving the intranet pass through the firewall,
which examines each message and blocks those

that do not meet the specified security criteria.”
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 6 HIENLTH
3.1 Giới thiệu (tt)
• Tường lửa, cổng an ninh vòng ngoài (security-
edge gateway) là sự kết hợp giữa phần cứng và
phần mềm nhằm tăng cường an ninh, ngăn
chặn các truy nhập bất hợp pháp giữa hai mạng
có mức độ tin tưởng khác nhau. VD: Mạng công
cộng với mạng nội bộ, DMZ với mạng riêng,…
• Làm việc trên cơ sở tập luật mà quản trị mạng
cấu hình trước (cho phép hay cấm).
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 7 HIENLTH
3.1 Giới thiệu (tt)
• Firewall có hai loại :
– Firewall cứng : Thiết bị mạng
• Checkpoint, Cisco ASA, Astaro,
Cyberoam,…
– Firewall mềm : Ứng dụng bảo mật được
cài trên máy tính
• ISA Server, IPCop, Smoothwall, Pfsense,…
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 8 HIENLTH
3.1 Giới thiệu (tt)
• Chính sách an ninh của tường lửa:
– Cấm thâm nhập bất hợp pháp từ bên ngoài
– Chỉ cho phép truy nhập từ các địa điểm ấn định, cho
một số người dùng, thực hiện các hoạt động nhất
định.
• Một trong những thách thức của tường lửa là
xác định chính sách an ninh phù hợp với yêu cầu
cài đặt nhưng vẫn đảm bảo an toàn hệ thống.

COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 9 HIENLTH
3.1 Giới thiệu (tt)
• Vị trí đặt tường lửa
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 10 HIENLTH
3.1 Giới thiệu (tt)
• Các Vùng :
– External Zone : là vùng không tin cậy (untrusted
zone), vùng này là Internet.
– Internal Zone : là vùng tin cậy (trusted zone),
vùng này là nơi làm việc của Client.
– DMZ Zone : vùng phi quân sự, vùng này thông
thường sẽ đặt những dịch vụ để public ra Internet.
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 11 HIENLTH
3.1 Giới thiệu (tt)
• Các nguyên tắc thiết kế tường lửa:
– Mạng được cô lập tốt, chống tấn công hiệu quả
– Dễ tinh chỉnh, gia cố, mở rộng các chức năng tường lửa
– Đảm bảo quyền hợp thức, truy nhập thông suốt
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 12 HIENLTH
Vai trò tường lửa
• Làm được
- Kiểm soát luồng dữ
liệu đi qua nó
- Bảo vệ các lớp bên
trong
- Cấm tất cả. Cấu hình
những gì cho qua
- Cho phép tất cả, cấu
hình những gì cấm
- Ghi nhận & báo cáo sự

kiện
• Không làm được
- Viruses
- Lỗi con người (vô tình,
cố ý)
- Kết nối hở
- Chính sách tồi
- Social Engineering
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 13 HIENLTH
Tầng hoạt động?
• Firewall hoạt động ở những lớp nào trong mô
hình OSI ???
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 14 HIENLTH
3.2 Các kiểu tường lửa
• Tùy đặc điểm hệ thống, yêu cầu sử dụng… tường
lửa được cài đặt theo nhiều kiểu khác nhau
• Phân loại tường lửa (tương đối):
– Lọc gói cổng vào (gateway), bộ định tuyến kiểm tra
(screening router)
– Thanh tra trạng thái (stateful inspection firewall)
– Ủy nhiệm ứng dụng (application proxies firewall)
– Canh phòng (guard firewall)
– Bảo vệ cá nhân (personal firewall)
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 15 HIENLTH
a. Tường lửa lọc gói
• Dạng tường lửa cơ bản, giám sát các gói tin truy
nhập mạng căn cứ vào các địa chỉ gửi-nhận, giao
thức truyền (HTTP, Telnet…)
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 16 HIENLTH
Nguyên tắc hoạt động

• Cho phép/ngăn cấm các gói tin qua địa chỉ IP, cổng (hợp pháp/bất
hợp pháp)
• Cho phép/ngăn cấm từng phần/toàn bộ các giao thức truyền
(HTTP, Telnet…)
• Cho phép/ngăn cấm từng
phần/toàn bộ các dịch vụ
nhất định
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 17 HIENLTH
Nguyên tắc hoạt động
• Thông tin Header gói tin cần kiểm tra:
– Địa chỉ IP nơi xuất phát ( IP Source address)
– Địa chỉ IP nơi nhận (IP Destination address)
– Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel)
– Cổng TCP/UDP nơi xuất phát (TCP/UDP source port)
– Cổng TCP/UDP nơi nhận (TCP/UDP destination port)
– Giao diện Packet đến (Incomming interface of Packet)
– Giao diện Packet đi (Outgoing interface of Packet)
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 18 HIENLTH
Tường Lửa lọc gói - packet filter
• Ưu điểm :
– Tất cả firewall đều có thành phần này.
– Tốc độ xử lý tương đối nhanh, vì chỉ thao tác trên
Header của gói tin và cụ thể là IP, Port.
• Hạn chế :
– Không kiểm soát được nội dung gói tin.
– Khi yêu cầu lọc càng lớn thì bộ luật trở nên dài
dòng, phức tạp.
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 19 HIENLTH
The Role of the Rules File
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 20 HIENLTH

Screening Router
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 21 HIENLTH
b. Tường lửa thanh tra trạng thái
• Stateful Packet Filter Firewalls
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 22 HIENLTH
b. Tường lửa thanh tra trạng thái
• Kiểm tra trạng thái thông tin, thanh tra
tính hợp lệ của các gói tin
• Các gói tin bất thường tiềm ẩn tấn công:
– Thiếu địa chỉ gửi (tấn công nặc danh)
– Quá ngắn, quá nhiều (tấn công gây nhiễu)
– Trùng lắp, trống rỗng (tấn công dội lũ)…
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 23 HIENLTH
b. Tường lửa thanh tra trạng thái
• Lưu lại dấu kết nối giữa các host, network
– Lưu vết trạng thái kết nối vào file “state table”
– Cho phép gói dữ liệu từ Internet đi qua chỉ khi
nào có host nội bộ đã gửi yêu cầu trước đó.
23
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 24 HIENLTH
24
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 25 HIENLTH
ín