FIREWALL
AN NINH MẠNG
Các thành phần cơ bản trong một hệ thống mạng an toàn tiêu biểu
Đặt vấn đề
Giới thiệu
Bức tường lửa (Firewall): nằm giữa 2 networks
Bảo vệ hệ thống
Cung cấp kết nối an toàn giữa các mạng (inside <> outside)
Ngăn chặn các người dùng/chương trình không có quyền truy cập vào private
network/computer
Cài đặt các chính sách bảo mật
Kiểm soát luồng dữ liệu
Từ mạng bên trong đi ra ngoài
Từ bên ngoài đi vào mạng bên trong
Phân loại
Theo phạm vi sử dụng
Tường lửa cá nhân: thường là phần mềm sử dụngcho một máy
tính đơn
Tường lửa mạng, thường chạy trên một thiết bịmạng hay máy
tính chuyên dụng đặt tại ranh giới của hai hay nhiều mạng hoặc
các khu DMZ (phi quân sự)
Phân loại..
Phân loại dựa trên mô hình tầng mạng
Tầng mạng – Bộ lọc gói tin (Firewalls Packet Filtering)
Tầng ứng dụng – Cổng ứng dụng (Firewalls Aplication-Level Gateway or (Proxy))
Tầng giao vận – Cổng vòng (Firewalls Circuit-Level Gateway)
Statefull Multilayer Inspection Firewall (SIF): Kết hợp 3 loại tren
Phân loại dựa trên trạng thái
Tường lửa có trạng thái (Stateful firewall)
Tường lửa phi trạng thái (Stateless firewall)
1-4: 4 chức
năng của lọc
gói đơn giản
tĩnh (simple
static hay
stateless
filtering)
Stateless Firewall
Mỗi gói tin được kiểm tra một cách độc lập.
Không tham chiếu đến bất kỳ gói tin nào trước đó đã vượt qua
được tường lửa.
Không duy trì bất kỳ trạng thái kết nối nào
Ví dụ:
Allow all traffic inbound with destination port 80
Deny all traffic from 192.168.1.0/24 on the external interface
Đơn giản, kém bảo mật hơn so với Statefull firewall
Statefull Firewall
Bao gồm tính năng của Stateles FW, cộng them với…
Các gói tin được kiểm tra như là một luồng (stream).
o Việc quyết định cho phép một gói tin được qua tường lửa hay không phụ thuộc vào các gói
đã được qua trước đó
Phân tích gói tin đi vào để kiểm tra tính xác thực của gói tin nhằm đảm
bảo rằng gói tin không bị thay đổi trong quá trình truyền tải
Lưu thông tin mức kết nối (connection - level)
Bộ lọc gói tin – Packet Filtering
Hoạt động ở lớp mạng của mô hình OSI, hoặc lớp IP của mô
hình TCP/IP.
Loại tường lửa đầu tiên và đơn giản nhất
Kết nối trực tiếp giữa mạng bên trong và mạng bên ngoài
Mỗi gói tin được kiểm tra trước khi cho qua firewall
Stateless
Packet Filtering
Dựa trên các trường trong phần đầu của IP, TCP hay UDP
Các thông tin đó là:
Địa chỉ IP xuất phát (IP source address)
Địa chỉ IP nơi nhận (IP destination address)
Giao thức sử dụng (TCP, UDP, ICMP…)
Cổng nguồn TCP/UDP
Cổng đích TCP/UDP
Giao diện packet đến
Giao diện packet đi
Bộ lọc gói…
Ưu điểm
Tốc độ xử lý nhanh
Dễ dàng triển khai, cài đặt và bảo trì
Ứng dụng độc lập
Chi phí thấp, đảm bảo được hiệu năng
Nhược điểm
Không kiểm soát được dữ liệu từ lớp 4 trở nên
Không hỗ trợ tính năng xác thực người dùng
Không ngăn chặn tấn công giả mạo địa chỉ
Mức an ninh thấp
Một số Packet Filtering
Router ACLs
IP Chains
ipf (Unix), ipfw (FreeBSD / Mac OS X), pf (Open
BSD), iptables (Ubuntu / Linux)
Qui tắc viết luật
Mỗi luật có dạng
Ví dụ về bảo vệ mạng với Firewall
24
Luật đối với các ICMP Packets
ICMP cho phép kiểm tra kết nối mạng cũng như các thông tin liên
về các vấn đề kết nối gặp phải
Các luật này đặc biệt quan trọng, bởi gói tin ICMP có thể dễ dàng bị
giả mạo bị
25