Tiểu luận môn ứng dụng truyền thông và an toàn thông tin DESIGNING FIREWALLS
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (5.49 MB, 81 trang )
DESIGNING FIREWALLS
Nhóm 2 :
08520435 Nguyễn Thành Trung
08520530 Trương Thị Thùy Duyên
08520292 Phạm Phú Phúc
08520548 Lê Kim Hùng
I. Firewall Components
II. Create a Firewall Policy
III. Rule Sets Packet Filters
IV. Proxy Server
V. The Bastion Host
VI. The Honeypot
I. Firewall Components
Tường lửa được tạo ra do nhu cầu về bảo
mật và an ninh thông tin ngày càng tăng.
Tường lửa nằm tại vị trí giữa mạng nội bộ
và mạng Wan.
Thực hiện mục đích của nó chính là cấm và
cho phép các kết nối trên các luật mà được
người quản trị tạo ra và đăng ký trên thiết
bị.
Firewall Components
Sơ đồ cơ bản về Firewall:
Firewall Components
Ngày nay tường lửa còn cung cấp các
dịch vụ sau:
NAT: được dùng bởi router để có thể dịch
một địa chỉ nội bộ thành một địa chỉ bên
ngoài
Data Caching: tùy chọn này cho phép
router lưu trữ dữ liệu được cho phép bởi
các người dùng mạng.
Firewall Components
Restriction on Content: Tùy chọn này có
giá trị trên những hệ thống mới. Cho phép
người quản trị hạn chế truy nhập nội dung
internet bằng cách sử dụng từ khóa.
Firewall Methodologies
Tường lửa có 2 phương thức chính dùng
để thực hiện bảo mật bên trong một mạng.
Mặc dù có nhiều biến thể xong chúng vẫn
xoay quanh 2 loại chính đó là :
Packet filtering
Proxy servers (application gateway)
Packet filtering
Lọc gói tin là loại đầu tiên của tường lửa
được sử dụng trong nhiều hệ thống để bảo
vệ mạng. Nó có nhiều phương thức phổ
biến được thực thi để bắt một gói tin sử
dụng router.
Chúng bị giới hạn bởi chúng chỉ được
thiết kế để phân tích tiêu đề của gói tin
Packet filtering
Ưu điểm:
- Giá thành thấp, cấu hình đơn giản
- Trong suốt(transparent) đối với user.
Hạn chế:
- Dễ bị tấn công vào các bộ lọc.
- Nếu một packet-filtering router do một sự
cố nào đó ngừng hoạt động,tất cả hệ thống trên
mạng nội bộ có thể bị tấn công
Proxy servers (application- gateway)
Phần mềm proxy được sử dụng để tạo ra
để có thể phân tích nhiều hơn các tiêu đề
của gói tin.
Proxy servers sử dụng phần mềm để chặn
đứng các truyền thông trên mạng đã được
định trù từ trước.
Proxy servers (application- gateway)
Thuận lợi chính trong việc sử dụng phần
mềm proxy là thực hiện cho phép hay cấm
sự giao tiếp dựa trên dữ liệu thật sự của
gói tin, chứ không chỉ header.
Trong những công việc khác thì proxy
giúp nhận ra những phương thức giao tiếp
và sẽ phản ứng lại, không chỉ là đóng mở
các cổng theo sự chỉ đạo.
What a Firewall Cannot Do
Vì thế nếu một tường lửa có thể dùng để
lọc gói tin, máy chủ proxy, một sự kết hợp
cả hai hay tùy chọn lọc được tạo ra môi
trường an toàn cho dữ liệu của bạn.
FireWall bảo vệ chống lại những sự tấn
công từ bên ngoài.
What a Firewall Cannot Do
Firewall sẽ đảm bảo tất cả các dữ liệu đi
vào là hợp lệ, ngăn ngừa những người sử
dụng bên ngoài đoạt quyền kiểm soát đối
với máy tính của bạn
Tóm lại Firewall mang lại cho dữ liệu của
chúng ta tính bảo mật, tính toàn vẹn và
tính sẵn sàng.
Difficulty in securing the network by
Firewall
Viruses: Tường lửa có thể phát hiện ra
virus nhưng chúng ta vẫn cần một hệ
thống diệt virus.
Employee misuse:Họ có thể quên địa chỉ
mail hay chạy các chương trình không an
toàn từ bạn bè.
Difficulty in securing the network by
Firewall
Secondary connections: Người dùng có
thể tạo ra một kết nối internet cho riêng
minh. Những kết nối này không được bảo
vệ bởi tường lửa
Social engineering:
Poor architecture:
Implementation Options for Firewalls
Không có một loại tường lửa nào được coi
là tiêu chuẩn cho một mạng. Có nhiều loại
tường lửa được phát triển khác nhau gồm:
A Single Packet Filtering Device
A Multi-homed Device
A Screened Host
A Demilitarized Zone (DMZ)
A Single Packet Filtering Device
Hình mô tả dưới đây là một mạng được bảo
vệ bởi một thiết bị được cấu hình như một
bộ lọc gói tin, cho phép hay cấm các truy
cập dựa trên tiêu đề của gói tin.
A Multi-homed Device
Mạng được bảo vệ bởi một thiết bị có kết
cấu gồm nhiều card mạng, trên đó sẽ cài
phần mềm proxy, phần mềm này sẽ điều
chỉnh các gói tin đi theo các hướng xác
định:
A Multi-homed Device
A Screened Host
Một mạng được bảo vệ bởi sự kết hợp của
các cấu trúc của máy chủ proxy và cấu trúc
lọc gói tin
A Screened Host
A Screened Host
Hệ thống này cung cấp độ bảo mật cao
hơn hệ thống trên, vì nó thực hiện cả bảo
mật ở tầng network (packet-filtering) và ở
tầng ứng dụng (applicationlevel).
Qui luật filtering trên packet-filtering
router được định nghĩa sao cho tất cảcác
hệ thống ở bên ngoài chỉ có thể truy nhập
bastion host
A Screened Host
Chỉ chấp nhận những truyền thông nội bộ
xuất phát từ bastion host.
Bởi vì bastion host là hệ thống bên trong
duy nhất có thể truy nhậpđược từ Internet,
sự tấn công cũng chỉ giới hạn đến bastion
host mà thôi.
A Demilitarized Zone (DMZ)
Một mạng được chỉ định là một “zone”
hay một miền, nó được tạo ra để cho đặt
máy chủ, cần được cho phép để vào
internet và cả các người dùng bên trong.
Đây là một vùng đặc biệt, nó yêu cầu 2
thiết bị lọc và có thể có nhiều máy tồn tại
bên trong đường biên giới.
A Demilitarized Zone (DMZ)
