Tường lửa (Firewall)
Ho Duc Linh
1
Mục đính và yêu cầu
•
Mục đích bài học.
Bài học này cung cấp cho người học những
nội dung sau:
–
Firewall và các loại firewall
–
Chức năng và các thành phần của firewall
–
Ưu và nhược điểm của firewall
–
Các giải pháp đặt firewall
Ho Duc Linh
2
Mục đính và yêu cầu
•
Yêu cầu sau khi học xong bài học.
Sau khi học xong bài học này, người học
phải nắm được:
–
Hiểu firewall là gì và phân biệt được các loại
firewall
–
Chức năng và các thành phần của firewall
–
Nắm được ưu và nhược điểm của firewall để xây
dựng một mô hình firewall thích hợp khi thiết kế

và xây dựng một hệ thống mạng an toàn.
Ho Duc Linh
3
Nội dung
•
Khái quát về firewall
•
Chức năng của firewall
•
Các thành phần của firewall
•
Firewall làm được và không làm được những gì?
•
Các giải pháp đặt firewall
•
Một số lưu ý khi chọn lựa các giải pháp firewall
Ho Duc Linh
4
Khái quát về Firewall
•
Bức tường lửa (firewall) là một kỹ thuật được tích
hợp vào hệ thống mạng để:
–
Chống lại sự truy cập trái phép từ bên ngoài (External
network - Internet) vào trong mạng (Internal network -
Intranet) và ngược lại.
–
Bảo vệ thông tin nội bộ cũng như hạn chế sự xâm nhập
không mong muốn vào hệ thống mạng nội bộ.
•

Firewall được chia làm hai loại, gồm firewall cứng
và firewall mềm.
Ho Duc Linh
5
Khái quát về Firewall (tt)
•
Firewall cứng (phần cứng): Một hoặc nhiều hệ thống máy
chủ kết nối với các bộ định tuyến (router) hoặc có chức
năng router. Đặc điểm của firewall cứng:
–
Không linh hoạt (không thêm chức năng, quy tắc mới vào
được).
–
Hoạt động ở tầng mạng và tầng vận chuyển
–
Không kiểm tra được nội dung gói tin
•
Ví dụ firewall cứng: Cisco Pix firewall, NAT (Network
Address Translate).
Ho Duc Linh
6
Khái quát về Firewall (tt)
•
Firewall mềm (phần mềm): Các phần mềm quản lí an ninh
chạy trên hệ thống máy chủ. Đặc điểm của firewall mềm là:
–
Tính linh hoạt cao: có thể thêm, bớt các quy tắc, chắc năng.
–
Hoạt động ở tầng ứng dụng
–

Có thể kiểm tra được nội dung của gói tin (thông qua các từ
khóa).
•
Ví dụ về firewall mềm: ISA Server của Microsoft, Zone
Alarm, Norton firewall
Ho Duc Linh
7
Chức năng của Firewall
–
Kiểm soát luồng thông tin giữa Intranet và Internet.
–
Thiết lập cơ chế điều khiển dòng thông tin giữa mạng
bên trong (Intranet) và mạng Internet. Cụ thể là:
•
Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ
Intranet ra Internet).
•
Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ
Internet vào Intranet).
Ho Duc Linh
8
Chức năng của Firewall (tt)
•
Theo dõi luồng dữ liệu mạng giữa Internet và Intranet.
•
Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập.
•
Kiểm soát người sử dụng và việc truy nhập của người sử
dụng.
•

Kiểm soát nội dung thông tin thông tin lưu chuyển trên
mạng.
Ho Duc Linh
9
Các thành phần của Firewall
Một Firewall bao gồm một hay nhiều thành phần
sau:
•
Bộ lọc gói tin (packet- filtering router);
•
Cổng ứng dụng (Application-level gateway hay proxy
server);
•
Cổng mạch (Circuite level gateway).
Ho Duc Linh
10
Bộ lọc gói tin
•
Hoạt động trên tầng mạng và tầng vận chuyển.
•
Lọc gói tin dựa trên các luật do người quản trị
mạng thiết lập, dựa trên thông tin Header của
gói tin:
–
Địa chỉ IP nguồn
–
Địa chỉ IP đích
–
Giao thức truyền/nhận: TCP, UDP, ICMP, IP tunnel
–

Cổng TCP/UDP nguồn
–
Cổng TCP/UDP đích
–
Giao diện packet đến (incomming interface of
packet)
–
Giao diện packet đi ( outcomming interface of
packet)
Ho Duc Linh
11
Bộ lọc gói tin (tt)
•
Nếu gói tin thỏa mãn luật lọc thì được phép qua, ngược lại
sẽ bị chặn lại.
Ho Duc Linh
12
Bộ lọc gói tin (tt)
•
Ưu điểm
–
Chi phí thấp (Có sẵn các trong bộ các bộ định tuyến)
–
Bộ lọc gói tin là trong suốt đối với người sử dụng và các ứng
dụng
•
Nhược điểm
–
Người quản trị mạng cần có hiểu biết chi tiết về các dịch vụ
Internet, kiến trúc của gói tin, và các giá trị số hiệu cổng.

–
Khi đòi hỏi vể sự lọc càng lớn, các luật lệ về lọc càng trở nên
dài và phức tạp, rất khó để quản lý và điều khiển.
–
Bộ lọc packet không kiểm soát được nội dung thông tin của
packet.
Ho Duc Linh
13
Cổng ứng dụng/Firewall mức ứng dụng
•
Cơ chế hoạt động của Firewall mức ứng dụng dựa trên cách
thức có tên gọi là Proxy Server.
•
Proxy server thay thế kết nối trực tiếp giữa client và server
với dịch vụ của nó
•
Proxy server mới đầu được thiết kế để lưu bản copy của các
Web trên server -> giảm sự lặp lại quá trình truy cập vào
cùng một trang web
•
Proxy server dùng để che dấu các host bên trong mạng sau
một host duy nhất
•
Có thể lọc các URL, kiểm tra nội dung của gói tin
Ho Duc Linh
14
Cổng ứng dụng/Firewall mức ứng dụng(tt)
•
Khi host bên trong network muốn truy cập vào trang Web
trên internet, proxy nhận yêu cầu từ host, tìm trang web

trong bộ nhớ đệm, nếu có trong bộ đệm thì nó sẽ gửi trang
Web về cho host, nếu không co thì nó sẽ chuyển yêu cầu
này đến đích thay cho host
•
Để trinh duyệt hoạt động với proxy thì thiết lập với địa chỉ
IP của proxy
•
Chú ý:
–
Proxy chỉ làm việc cho 1 ứng dụng cụ thể nào đó
–
Không nên dùng proxy cho tất cả giao thức ứng dụng
Ho Duc Linh
15
Cổng ứng dụng/Firewall mức ứng dụng(tt)
Ho Duc Linh
16
Cổng ứng dụng/Firewall mức ứng dụng(tt)
Ho Duc Linh
17
Cổng ứng dụng/Firewall mức ứng dụng(tt)
Ho Duc Linh
18
•
Ưu điểm của Proxy Server
–
“Trong suốt” đối với người dùng và máy chủ thực hiện yêu cầu.
–
Kiểm soát các thông tin chuyển qua lại giữa Server và Client sau
khi đã thiết lập được kết nối.

–
Cho phép hoặc không cho phép một thao tác cụ thể của một
chương trình ứng dụng.
–
Dễ dàng sử dụng và kiểm tra hơn so với bộ lọc gói tin (có nhật ký
ghi chép lại thông tin truy cập hệ thống)
•
Nhược điểm:
–
Buộc người sử dụng phải thay đổi tiến trình làm việc.
Cổng vòng (Circuit–Level Gateway)
Ho Duc Linh
19
•
Cổng vòng là một chức năng đặc biệt có thể thực hiện đươc bởi
một cổng ứng dụng.
•
Cổng vòng đơn giản chỉ chuyển tiếp (relay) các kết nối TCP mà
không thực hiện bất kỳ một hành động xử lý hay lọc gói nào.
•
Thường được sử dụng cho những kết nối ra ngoài, nơi mà các
nhà quản trị mạng thật sự tin tưởng những người dùng bên trong.
Cổng vòng (Circuit–Level Gateway)
Ho Duc Linh
20
•
Cổng vòng là một chức năng đặc biệt có thể thực hiện đươc bởi
một cổng ứng dụng.
•
Cổng vòng đơn giản chỉ chuyển tiếp (relay) các kết nối TCP mà

không thực hiện bất kỳ một hành động xử lý hay lọc gói nào.
•
Thường được sử dụng cho những kết nối ra ngoài, nơi mà các
nhà quản trị mạng thật sự tin tưởng những người dùng bên trong.
Những hạn chế của Firewall
Ho Duc Linh
21
•
Firewall không đủ thông minh như con người để có thể đọc
hiểu từng loại thông tin và phân tích nội dung tốt hay xấu
của nó.
•
Firewall chỉ có thể ngăn chặn sự xâm nhập của những
nguồn thông tin không mong muốn nhưng phải xác định rõ
các thông số địa chỉ.
•
Firewall không bảo vệ được các tấn công đi vòng qua nó.
–
Ví dụ như thiết bị modems, tổ chức tin cậy, dịch vụ tin cậy
(SSL/SSH)
Những hạn chế của Firewall (tt)
Ho Duc Linh
22
•
Firewall cũng không thể chống lại các cuộc tấn công bằng
dữ liệu (data-drivent attack). Khi có một số chương trình
được chuyển theo thư điện tử, vượt qua firewall vào trong
mạng được bảo vệ và bắt đầu hoạt động ở đây.
•
Firewall không thể bảo vệ chống lại việc truyền các chương

trình hoặc file nhiễm virut.
•
Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu được áp
dụng rộng rãi.
Các giải pháp đặt Firewall
Ho Duc Linh
23
•
Single Firewall
•
Demilitarized Zone(DMZ)
•
Screened host firewall
•
Screened subnet firewall
Các giải pháp đặt Firewall – Single Firewall
Ho Duc Linh
24
•
Firewall cấu hình
không chỉ bảo vệ
mạng riêng từ internet
mà còn cho phép
người dùng trong
mạng riêng truy cập ra
ngoài
•
Chỉ có 1 firewall và 1
kết nối tới internet nên
chỉ có một điểm điều

khiển và quản lý trong
thiết kế này
Các giải pháp đặt Firewall – Single Firewall (tt)
Ho Duc Linh
25
•
Khi tổ chức muốn cung cấp các dịch vụ cho khách hàng sử
dụng:Web, FTP, Mail Server
•
Sẽ có 2 lựa chọn trong trường hợp này
–
Đặt các server công khai sau firewall sau đó mở kết nối với
mạng bên ngoài để có thể truy cập vào các server này từ
mạng ngoài (dual-homed gateway firewall, firewall có 2 card
mạng một cho mạng tin cậy và 1 cho cho các mạng khác
không tin cậy)
–
Đặt các server công khai bên ngoài phạm vi của firewall,
trong trường hợp này các server sẽ mở chó các cuộc tấn công
•
Hacker tấn công vào các dịch vụ mức cao có thể chiếm
quyền truy cập vào mạng riêng