Tải bản đầy đủ (.docx) (23 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Công nghệ thông tin

Firewall tieu luan an ninh mang

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.65 MB, 23 trang )

Môn An Ninh Mạng Viễn Thông
Tiểu Luận: Firewall Overview

Mục Lục
TỔNG QUAN VỀ TƯỜNG LỬA...........................................................................................................................2
1. Các mối nguy hiểm và cách phòng tránh.................................................................................................2
1.1.Các mối nguy hiểm.............................................................................................................................2
1.2. Các giải pháp bảo mật dành cho mạng máy tính.............................................................................4
2. Firewall là gì?............................................................................................................................................6
2.1.Khái niệm............................................................................................................................................6
2.2. Chức năng..........................................................................................................................................7
3. Cấu trúc và nguyên lý hoạt động.............................................................................................................7
3.1. Cấu trúc.............................................................................................................................................7
3.2. Nguyên lý hoạt động.........................................................................................................................7
3.2.1. Bộ lọc paket (Paket filterring router).........................................................................................7
3.2.2. Cổng ứng dụng ( Application-level gateway hay proxy server )................................................9
3.2.3. Cổng vòng ( Circuite level gateway )........................................................................................10
4. Ứng dụng và Cách thức vượt firewall....................................................................................................10
4.1.Ứng dụng..........................................................................................................................................10
4.2. Vượt firewall....................................................................................................................................14
4.2.1. Sử dụng trang web trung gian.................................................................................................14
4.2.2. Thay đổi địa chỉ proxy của trình duyệt:...................................................................................14
5. Một số loại firewall.................................................................................................................................15
5.1.Phân loại...........................................................................................................................................15
5.2. Những kiến trúc cơ bản của firewall...............................................................................................22
Kết Luận......................................................................................................................................................26
Tài liệu tham khảo......................................................................................................................................27

Page 1



Môn An Ninh Mạng Viễn Thông
Tiểu Luận: Firewall Overview

TỔNG QUAN VỀ TƯỜNG LỬA
1. Các mối nguy hiểm và cách phòng tránh
1.1.Các mối nguy hiểm.
Tấn công có mục tiêu và tấn công không có mục tiêu.
Sự khác nhau của hai kiểu tấn công này nằm ở mục đích của kẻ tấn công. Kẻ tấn công có mục
tiêu hắn sẽ tìm mọi cách để có thể đạt được mục đích của mình dù cho bạn có ngăn chặn nó như thế nào
đi chăng nữa. Những cuộc tấn công không có mục tiêu thường không có chủ đích rõ ràng, những kẻ tấn
công thường rà soát những hệ thống nào dễ tấn công và có nhiều lỗi hổng. Nếu một hệ thống được bảo vệ
tốt thì kẻ tấn công sẽ từ bỏ và chuyển sang mục tiêu mới. Khác với những cuộc tấn công không có mục
tiêu, những cuộc tấn công có mục tiêu nguy hiểm hơn rất nhiều. Bởi kẻ tấn công có nhiều mục đích để tấn
công, có thể đó là tiền bạc, trả thù, được đối thủ của bạn thuê để phá hoại...Những kẻ này sẽ tìm mọi cách
để tấn công bạn, dù cho bạn có bảo vệ đến đâu hắn cũng sẽ không từ bỏ. Cách tốt nhất để chặn cuộc tấn
công loại này là nhờ đến pháp luật
Virus, worm và trojan.
Virus máy tính (hay thường được gọi tắt là virus): là một chương trình hay một đoạn mã được
thiết kế để tự nhân bản và sao chép chính nó vào các đối tượng lây nhiễm khác như file, thư mục, ổ
đĩa...Nó được sử dụng để đánh cắp các thông tin nhạy cảm, mở cửa sau cho tin tặc đột nhập hoặc chiếm
quyền điều khiển máy tính. Đặc điểm quan trọng của virus đó là nó không thể tự động lây lan mà ban đầu
nó cần sự tác động của con người để cho phép nó hoạt động.
Worm (sâu máy tính): tương tự như virus nó cũng có khả năng tự nhân bản và lây lan. Điểm đặc
biệt của nó là nó có thể lây lan qua hệ thống mạng còn virus thì không thể. Nhiệm vụ chính của worm là
phá hoại các mạng thông tin làm giảm khả năng hoạt động hay hủy hoại toàn bộ mạng đó. Một điểm khác
biệt nữa của worm và virus đó là nó không cần sự tác động của con người mà vẫn có thể hoạt động được.
Trojan: Là một chương trình tương tự như virus, chỉ khác là nó không thể tự nhân bản. Trojan sẽ
ẩn mình vào một chương trình tin cậy nào đó và khi bạn thực thi chương trình đó thì trojan nó cũng được
khởi động. Mục đích chính của trojan là đánh cắp các thông tin cá nhân như password, số tài khoản...và
gửi về cho kẻ phát tán hoặc cũng có thể "âm thầm" mở một kết nối cho tin tặc.

Virus, worm và trojan có thể phòng chống bằng cách sử dụng firewall hoặc các phần mềm diệt
virus có tích hợp sẵn firewall
Nội dung độc hại và phần mềm độc hại.
Nội dung độc hại chính là những nội dung văn bản được viết ra nhằm những mục đích bất chính.
Thông thường thì nó yêu cầu người dùng làm một hành động gì đó để cho phép tin tặc tiếp cận với hệ
thống của bạn. Những hành động này khá là đơn giản ví dụ như yêu cầu bạn nhấp một link nào đó để truy
cập tới một website hay yêu cầu bạn đọc một email. Kịch bản chung của nội dung độc hại đó là cố gắng
"lừa" bạn kiến bạn vô tình hoặc cố ý cho phép nội dung đó được thực hiện.
Malware (Malicious và Software) là một từ dùng để chỉ chung các phần mềm có tính năng gây
hại nó bao gồm cả virus, worm, trojan, spyware, adware, keylogger, rootkit...

Page 2


Môn An Ninh Mạng Viễn Thông
Tiểu Luận: Firewall Overview
Tấn công từ chối dịch vụ (Denial of Service)
Có thể mô tả DoS như một hành động ngăn cản những người dùng hợp pháp của một dịch vụ nào
đó truy cập và sử dụng dịch vụ đó. Nó bao gồm cả việc làm tràn ngập mạng, làm mất kết nối tới dịch
vụ...mà mục đích cuối cùng là làm cho server không thể đáp ứng được các yêu cầu từ clien. DoS là kẻ tấn
công sẽ chiếm dụng một lượng tài nguyên mạng như băng thông, bộ nhớ...để làm mất khả năng xử lý các
yêu cầu dịch vụ từ client.
DDoS là một biến thể của DoS, sự khác biệt giữa chúng chính là số lượng máy tính tham gia tấn
công. Hacker sẽ xâm nhập vào nhiều máy tính và cài đặt các chương trình điều khiển từ xa và sẽ kích hoạt
các chương trình này vào cũng một thời điểm để tấn công một mục tiêu.Và Rất khó để có thể chống lại
DDoS, cách hiệu quả đó là tăng băng thông đường truyền, sử dụng firewall để lọc bớt các lưu lượng nguy
hiểm...
Zombie: Ta có thể hiểu Zombie là một máy tính đã bị nhiễm bệnh và chịu sự kiểm soát của một
kẻ tấn công nào đó. Một zombie PC vẫn có thể hoạt động bình thường mà không hề phát hiện ra rằng nó
đã bị kiểm soát. Tin tặc có thể sẽ sử dụng zombie vào mục đích tấn công DoS. Cách phòng chống đối với

các zombie đó là dùng firewall để chặn những máy tính bị nhiễm bệnh. Tuy nhiên điều này có thể làm ảnh
hưởng tới người dùng bởi họ thực sự có nhu cầu truy cập hệ thống mạng. Cách tốt nhất là tìm cách gỡ bỏ
zombie và đưa máy tính về trạng thái ban đầu.
Sự tổn hại thông tin cá nhân
Thử tưởng tượng một ngày những thông tin cá nhân của bạn tràn ngập trên Internet từ tên tuổi, số
điện thoại, email, địa chỉ hay những thông tin về tài chính khác như số tài khoản, mật khẩu.... bạn sẽ cảm
thấy như thế nào? Tất nhiên bạn sẽ chẳng hề mong muốn điều này, tin tặc có thể lợi dụng những thông tin
này để lừa đảo, đánh cắp tài sản của bạn, nói chung sự tổn hại về thông tin cá nhân sẽ gây cho bạn những
phiền toái.
Đối với doanh nghiệp hay các tổ chức sự tổn hại về thông tin còn nguy hiểm hơn. Ví dụ những thông tin
độc quyền hoặc bí mật của công ty mà bạn cần giấu kín. Bạn có một ý tưởng và xây dựng thành một công
trình, bạn chuẩn bị công bố nó thì bất ngờ thấy đối thủ của mình công bố nó trước bạn. Điều này tạo một
sự thiếu công bằng trong hoạt động kinh doanh, nghiên cứu. Giải pháp được đưa ra đó là firewall sẽ phân
loại và cô lập các hệ thống quan trọng. Đối với vùng này firewall sẽ áp dụng những chính sách kiểm soát
truy cập chặt chẽ hơn.
Social Engineering.
Social Engineering là kỹ thuật lợi dụng sự ảnh hưởng và niềm tin để lừa một người nào đó nhắm
lấy cắp thông tin hoặc thuyết phục người đó làm một việc gì đó. Chúng ta có thể xem tình huống sau đây
để rõ hơn.
Attacker: “Chào bà, tôi là Bob, tôi muốn nói chuyện với cô Alice”
Alice: “Xin chào, tôi là Alice”.
Attacker: “Chào cô Alice, tôi gọi từ trung tâm dữ liệu, xin lỗi vì tôi gọi điện cho cô sớm thế này…”
Alice: “Trung tâm dữ liệu à, tôi đang ăn sáng, nhưng không sao đâu.”
Attacker: “Tôi gọi điện cho cô vì những thông tin cá nhân của cô trong phiếu thông tin tạo account có vấn
đề.”
Page 3


Môn An Ninh Mạng Viễn Thông
Tiểu Luận: Firewall Overview

Alice: “Của tôi à..à vâng.”
Attacker: “Tôi thông báo với cô về việc server mail vừa bị sập tối qua, và chúng tôi đang cố gắng phục
hồi lại hệ thống mail. Vì cô là người sử dụng ở xa nên chúng tôi xử lý trường hợp của cô trước tiên.”
Alice: “Vậy mail của tôi có bị mất không?”
Attacker: “Không đâu, chúng tôi có thể phục hồi lại được mà. Nhưng vì chúng tôi là nhân viên phòng dữ
liệu, và chúng tôi không được phép can thiệp vào hệ thống mail của văn phòng, nên chúng tôi cần có
password của cô, nếu không chúng tôi không thể làm gì được.”
Alice: “Password của tôi à? uhm..”
Attacker: “Vâng, chúng tôi hiểu, trong bản đăng kí ghi rõ chúng tôi không được hỏi về vấn đề này, nhưng
nó được viết bởi văn phòng luật, nên tất cả phải làm đúng theo luật.” ( nỗ lực làm tăng sự tin tưởng từ nạn
nhân)
Attacker: “Username của cô là AliceDxb phải không? Phòng hệ thống đưa cho chúng tôi username và số
điện thoại của cô, nhưng họ không đưa password cho chúng tôi. Không có password thì không ai có thể
truy cập vào mail của cô được, cho dù chúng tôi ở phòng dữ liệu. Nhưng chúng tôi phải phục hồi lại mail
của cô, và chúng tôi cần phải truy cập vào mail của cô. Chúng tôi đảm bảo với cô chúng tôi sẽ không sử
dụng password của cô vào bất cứ mục đích nào khác.”
Alice: “Uhm, pass này cũng không riêng tư lắm đâu, pass của tôi là 123456”
Attacker: “Cám ơn sự hợp tác của cô. Chúng tôi sẽ phục hồi lại mail của cô trong vài phút nữa.”
Alice: “ Có chắc là mail không bị mất không?”
Attacker: “Tất nhiên là không rồi. Chắc cô chưa gặp trường hợp này bao giờ, nếu có thắc mắc gì thì hãy
liên hệ với chúng tôi. Cô có thể tìm số liên lạc ở trên Internet.”
Alice: “Cảm ơn.”
Attacker: “Chào cô.”
Do bản chất của cuộc tấn công này là dựa vào sự ảnh hưởng và niềm tin nên nó không thể phòng chống
bằng firewall được.
Các hướng tấn công mới như khi một lỗ hổng bảo mật được phát hiện và công bố, nó sẽ được khai thác
một cách ngay lập tực. Nếu các nhà cung cấp không thể tung ra một bản vá hoặc đưa ra một giải pháp
thích hợp, hệ thống có thể sẽ dễ dàng bị tấn công và khai khác. Điều này vô tình làm cho một phần mềm
thông thường không có “mục đích xấu” trở thành mục tiêu của các kẻ tấn công. Và từ đây kẻ tấn công có
thể thông qua ứng dụng đó khai thác hệ thống của bạn.

1.2. Các giải pháp bảo mật dành cho mạng máy tính.
Vì không có một giải pháp an toàn tuyệt đối nên người ta thường phải phải sử dụng đồng thời
nhiều mức bảo vệ khác nhau tạo thành một lớp "rào chắn" đối với các hoạt động xâm phạm. Việc bảo vệ
thông tin trên mạng chủ yếu là bảo vệ thông tin được lưu trữ trong máy tính, đặc biệt là trong các server
mạng. Hình sau sẽ mô tả các lớp bảo vệ thông dụng hiện nay để bảo vệ thông tin tại các trạm của mạng.

Page 4


Môn An Ninh Mạng Viễn Thông
Tiểu Luận: Firewall Overview

Hình 1: Các lớp trong an toàn mạng







Lớp bảo vệ trong cùng là quyền truy cập (Access Right) nhằm kiểm soát các tài nguyên (thông
tin) của mạng và quyền hạn (người dùng có thể làm gì trên tài nguyên đó).
Lớp bảo vệ tiếp theo là hạn chế theo tài khoản truy cập gồm username và password tương ứng
(Login/Password).
Lớp thứ ba sử dụng các phương pháp mã hóa (Encryption). Dữ liệu sẽ được mã hóa bằng một
thuật toán nào đó để hạn chế việc dù lấy được dữ liệu nhưng tin tặc cũng chưa chắc có khả năng
đọc nó. Bức tường lửa (Firewall) Mã hóa dữ liệu (Data Encryption) Đăng nhập/Mật khẩu
(Login/Password) Quyền truy cập (Access Right) Thông tin (Infomation)
Lớp thứ tư là lớp bảo vệ vật lý (Physical Protection) nghĩa là ta sẽ ngăn chặn các quyền truy cập
vật lý vào hệ thống.

Lớp thứ năm (Firewall): Cài đặt các hệ thống firewall (firewall) nhằm ngăn chặn các thâm nhập
trái phép, lọc các gói tin mà ta không muốn gửi đi hoặc nhận vào....

Trong phạm vi nghiên cứu của đề tài, chúng ta sẽ chỉ nghiên cứu đến lớp bảo vệ thứ năm đó là
firewall. Firewall và mã nguồn mở. Mỗi doanh nghiệp, tổ chức hay cá nhân đều có nhu cầu bảo vệ thông
tin của mình. Họ có thể lựa chọn nhiều giải pháp xây dựng firewall khác nhau để phục vụ cho mục đích
của mình. Firewall thì có rất nhiều loại từ loại firewall cứng, firewall mềm, các sản phẩm thương mại hay
các sản phẩm mã nguồn mở khác. Việc lựa chọn triển khai một sản phẩm firewall nào tùy thuộc vào nhiều
yếu tố khác nhau như kinh phí, yêu cầu về tính bảo mật của doanh nghiệp cá nhân đó, hiệu quả kinh tế,
trình độ người quản trị, số lượng thông tin cần bảo vệ.
Những ưu điểm của firewall dựa trên mã nguồn mở đó là:



Trước tiên nó là một dạng FOSS nên có những ưu thế như mã mở, cộng đồng người sử dụng lớn
nên bạn hoàn toàn có thể nhận được sự giúp đỡ một cách dễ dàng, phát triển liên tục.
Dựa trên nền tảng các hệ điều hành *nix. Ưu điểm của các hệ điều hành này so với các hệ điều
hành khác đã được chứng minh qua thời gian, hiểu quả và tính bảo mật của nó.

Page 5


Môn An Ninh Mạng Viễn Thông
Tiểu Luận: Firewall Overview




Chi phí để chi trả cho firewall dựa trên mã nguồn mở gần như bằng không, bạn có thể download
trực tiếp trên trang chủ và sử dụng cũng như có thể trả tiền để nhận được sự support tốt hơn từ

nhà sản xuất.
Đáp ứng được các công nghệ tiên tiến như lọc gói theo trạng thái, proxy, ngoài ra còn có thể kết
hợp nhiều tính năng khác như VPN, DHCP.... phần này chúng ta sẽ thảo luận sâu hơn ở những
phần tiếp theo của bài báo cáo.

2. Firewall là gì?
2.1.Khái niệm
Firewall có thể là một thiết bị phần cứng hoặc một chương trình phần mềm chạy trên máy chủ
hoặc là sự kết hợp của cả hai. Được thiết kế nhằm mục đích cho phép hoặc từ chối truyền thông mạng
dựa trên một bộ các quy tắc và nó thường được sử dụng để bảo vệ mạng khỏi những truy cập trái phép
đồng thời cho phép các truyền thông mạng hợp pháp đi qua. Trong mọi trường hợp nó phải có ít nhất hai
giao tiếp mạng, một cho mạng mà nó bảo vệ, một cho mạng công cộng bên ngoài như Internet. Lúc đó nó
như một cái “cổng” kiểm soát các luồng dữ liệu ra/vào mạng nội bộ.
 Firewall cứng: Là những firewall được tích hợp sẵn trên Router hoặc trên các thiết bị chuyên
dụng.
+ Hoạt tính cao hơn so với firewall mềm.
+ Tốc độ xử lý nhanh hơn.
+ Bảo mật cao hơn.
+ Chi phí đắt hơn so với firewall mềm.
 Firewall mềm: Là những firewall được cài sẵn trên Server.
+ Hoạt tính không cao bằng firewall cứng.
+ Tốc độ xử lý chậm, phụ thuộc hệ điều hành.
+ Tiện lợi, có thể cài đặt dễ dàng trên các máy server.
+ Đa dạng, chi phí thấp hơn so với firewall cứng

2.2. Chức năng
Tất cả các firewall đều có một số đặc điểm chung và chức năng giúp chúng ta có thể xác định
những việc mà firewall có thể làm được. Về cơ bản firewall phải có khả năng thực hiện các nhiệm vụ sau:

Page 6



Môn An Ninh Mạng Viễn Thông
Tiểu Luận: Firewall Overview






Quản lý và kiểm soát lưu lượng mạng ( Manage and Control network traffic)
Xác thực truy cập (Authenticate Access)
Hoạt động như một thiết bị trung gian (Act as an intermediary)
Bảo vệ tài nguyên (Protect Resources)
Ghi lại và báo cáo các sự kiện (Record and report on events)

3. Cấu trúc và nguyên lý hoạt động
3.1. Cấu trúc
Firewall bao gồm:


Một hoặc nhiều hệ thống máy chủ kết nối với các bộ định tuyến (router) hoặc là có chức
năng router.



Các phần mềm quản lý an ninh chạy trên hệ thông máy chủ. Thông thường là các hệ quản trị xác
thực (Authentication), cấp quyền (Authorization) và kế toán (Accounting)

Các thành phần chính của firewall:





Bộ lọc packet ( packetfiltering router ).
Cổng ứng dụng ( Application-level gateway hay proxy server ).
Cổng mạch ( Circuite level gateway ).

3.2. Nguyên lý hoạt động
3.2.1. Bộ lọc paket (Paket filterring router)
Packet Filters
Nguyên lý hoạt động Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua
Firewall thì điều đó có nghĩa rằng Firewall hoạt động chặt chẽ với giao thức TCI/IP. Vì giao thức này làm
việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay nói chính xác hơn là
các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS ...) thành các gói dữ liệu (data
pakets) rồi gán cho các paket này những địa chỉ để có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó
các loại Firewall cũng liên quan rất nhiều đến các Packet và những con số địa chỉ của chúng.
Bộ lọc gói cho phép hay từ chối mỗi Packet mà nó nhận được. Nó kiểm tra toàn bộ đoạn dữ liệu
để quyết định xem đoạn dữ liệu đó có thoả mãn một trong số các luật lệ của lọc gói hay không. Các luật lệ
lọc gói này là dựa trên các thông tin ở đầu mỗi Packet (Packet Header ), dùng để cho phép truyền các
Packet đó ở trên mạng. Đó là:


Địa chỉ IP nơi xuất phát ( IP Source address)
Page 7


Môn An Ninh Mạng Viễn Thông
Tiểu Luận: Firewall Overview









Địa chỉ IP nơi nhận (IP Destination address)
Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel)
Cổng TCP/UDP nơi xuất phát (TCP/UDP source port)
Cổng TCP/UDP nơi nhận (TCP/UDP destination port)
Dạng thông báo ICMP (ICMP message type)
Giao diện Packet đến (Incomming interface of Packet)
Giao diện Packet đi (Outcomming interface of Packet)
Nếu luật lệ lọc gói được thoả mãn thì Packet được chuyển qua Firewall. Nếu không Packet sẽ bị

bỏ đi. Nhờ vậy mà Firewall có thể ngăn cản được các kết nối vào các máy chủ hoặc mạng nào đó được
xác định, hoặc khoá việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép. Hơn nữa,
việc kiểm soát các cổng làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất định vào các
loại máy chủ nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP...) được phép mới chạy được
trên hệ thống mạng cục bộ.

Hình 3: Packet Filters
Ưu điểm và hạn chế của hệ thống Firewall sử dụng bộ lọc gói
Ưu điểm:
Đa số các hệ thống Firewall đều sử dụng bộ lọc gói. Một trong những ưu điểm của phương pháp
dùng bộ lọc gói là chi phí thấp vì cơ chế lọc gói đã được bao gồm trong mỗi phần mềm Router. Ngoài ra,
bộ lọc gói là trong suốt đối với người sử dụng và các ứng dụng, vì vậy nó không yêu cầu sự huấn luyện
đặc biệt nào cả.


Page 8


Môn An Ninh Mạng Viễn Thông
Tiểu Luận: Firewall Overview
Hạn chế:
Việc định nghĩa các chế độ lọc gói là một việc khá phức tạp nó đòi hỏi người quản trị mạng cần
có hiểu biết chi tiết về các dịch vụ Internet, các dạng Packet Header, và các giá trị cụ thể mà họ có thể
nhận trên mỗi trường. Khi đòi hỏi vể sự lọc càng lớn, các luật lệ về lọc càng trở nên dài và phức tạp, rất
khó để quản lý và điều khiển. Do làm việc dựa trên Header của các Packet, rõ ràng là bộ lọc gói không
kiểm soát được nội dung thông tin của Packet. Các Packet chuyển qua vẫn có thể mang theo những hành
động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu.
3.2.2. Cổng ứng dụng ( Application-level gateway hay proxy server ).

Hình 4:Application-Level Gateways
Cổng ứng dụng được thiết kế như một pháo đài với những biện pháp đảm bảo an ninh .







Luôn chạy các version an toàn (secure version) của các phần mềm hệ thống.
Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài đặt trên bastion host.
Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau.
Mỗi proxy được đặt cấu hình để cho phép truy nhập chỉ một sồ các máy chủ nhất định.
Mỗi proxy duy trì một quyển nhật ký.
Mỗi proxy đều độc lập với các proxies khác trên bastion host


Ưu điểm:
• Cho phép người quản trị mạng điều khiển được từng dịch vụ trên mạng
• cho phép kiểm tra độ xác thực rất tốt
• Luật lệ lọc filltering dễ dàng cấu hình và kiểm tra hơn so với bộ lọc packet
Nhược điểm:

Page 9


Môn An Ninh Mạng Viễn Thông
Tiểu Luận: Firewall Overview
• Yêu cầu các users thay đổi thao tác, hoặc thay đổi phần mềm đã cài đặt trên máy client cho truy
nhập vào các dịch vụ proxy.
3.2.3. Cổng vòng ( Circuite level gateway ).
Circuit-Level Gateways hoạt động ở mức session của mô hình OSI hoặc lớp TCP của mô hình
TCP/IP. Chúng giám sát việc “bắt tay” ( handshaking ) giữa các gói tin để xem xét phiên yêu cầu có hợp
lệ hay không. Khi một thông tin nào đó được trao đổi với một máy tính ở xa, Circuit-Level Gateways có
nhiệm vụ sửa đổi thông tin đó để chúng trông có vẻ như xuất phát từ Circuit-Level Gateways. Nó làm
việc như một sợi dây,sao chép các byte giữa kết nối bên trong (inside connection) và các kế nối bên ngoài
(outside connection). Điều này thật sự hữu dụng trong việc che giấu thông tin về một mạng nội bộ mà nó
đang bảo vệ, tuy nhiên nhiệm vụ của CircultLevel gateways đơn giản là chuyển tiếp các packet nên có
một hạn chế là không thực hiện lọc gói tin bên trong kết nối đó. Circult-Level gateways thường được sử
dụng cho những kết nối ra ngoài, nơi mà những người quản trị thật sự tin tưởng những người dùng bên
trong mạng nội bộ.

Hình 5: Circult-Level Gateways
4. Ứng dụng và Cách thức vượt firewall
4.1.Ứng dụng
Quản lý và kiểm soát lưu lượng mạng.
Chức năng đầu tiên và cơ bản nhất mà tất cả các firewall đều phải thực hiện được đó là quản lý và

kiểm soát lưu lượng mạng. Điều này có nghĩa là nó sẽ phải biết được những gói tin nào đi qua nó, có
những kết nối nào thông qua nó. Đồng thời nó sẽ kiểm soát các gói tin vào ra và các kết nối với hệ thống
của bạn. Firewall sẽ làm điều này bằng cách kiểm tra các gói dữ liệu và giám sát các kết nối đang được
thực hiện. Sau đó dựa vào kết quả kiểm tra gói tin và các kết nối bị giám sát đó nó sẽ đưa ra quyết định
cho phép hay từ chối truy cập.
Kiểm tra gói tin (Packet Inspection): là quá trình chặn và xử lý dữ liệu trong một gói tin nhằm
xác định liệu cho nên cho phép hoặc từ chối gói tin đó theo những chính sách truy cập đã được xác định.
Page 10


Môn An Ninh Mạng Viễn Thông
Tiểu Luận: Firewall Overview
Quá trình này có thể dựa vào bất kỳ yếu tố nào hoặc tất cả các yếu tố sau đây để đưa ra quyết định lọc gói
đó hay không.
Source IP Address
Source Port
Destination IP Address
Destination Port
IP Protocol
Phần Header của gói tin (sequence number, checksum, data flags, payload infomation và
những thông tin khác)
Việc kiểm tra gói tin sẽ phải được thực hiện trên mọi hướng (cả hướng ra và hướng vô) và trên
mọi interface, các quy tắc kiểm soát truy cập phải được áp dụng cho mọi gói tin đi qua nó.








Kết nối và trạng thái của kết nối (Connection và State)
Giả sử chúng ta có hai máy tính sử dụng giao thức TCP/IP muốn giao tiếp với nhau thì chúng sẽ
phải thiết lập một vài kết nối với nhau. Kết nối này nhằm mục đích



Thứ nhất là hai máy có thể định danh nhau, điều này đảm bảo rằng hệ thống của bạn
không cung cấp dữ liệu cho một máy tính không tham gia kết nối
Thứ hai nó được sử dụng để xác định cách thức mà hai máy tính liên lạc với nhau, ở đây
nghĩa là nó sẽ sử dụng connection-oriented (TCP) hay connectionless (UDP và ICMP).

Cấu trúc của một kết nối có thể giúp ta xác định trạng thái truyền thông giữa hai máy tính.
Ví dụ: Nếu Bob hỏi John một câu hỏi, thì phản ứng thích hợp của John trong trường hợp này là “trả lời
câu hỏi của Bob”. Như vậy ta có thể nói tại thời điểm Bob hỏi John thì trạng thái của cuộc đàm thoại này
là “đang chờ đợi” một câu trả lời từ John. Việc xác định trạng thái của kết nối nhằm mục đích gì? Việc
xác định trạng thái của kết nối và phản ứng tiếp theo mà máy tính sẽ làm giúp ta xây dựng một cơ chế lọc
gói thông minh hơn. Ví dụ firewall có thể giám sát trạng thái của một kết nối và đưa ra yêu cầu cho phép
hay từ chối gói tin nào đó. Một máy tính khi tạo một kết nối tới một máy tính đầu tiên nó gửi yêu cầu kết
nối tới máy tính đó (SYN). Firewall biết rằng sau yêu cầu kết nối này thì máy tính đích sẽ phải trả về một
yêu cầu phản hồi nào đó (ví dụ SYN/ACK). Việc xác định này được firewall thực hiện bằng cách lưu một
bảng trạng thái theo dõi tất cả các kết nối đi qua nó từ khi kết nối được khởi tạo cho đến khi kết thúc. Nếu
máy tính đích không trả về một phản hồi phù hợp với yêu cầu kết nối từ máy A hoặc phản hồi đó không
hề có trong bảng trạng thái (State Table) thì gói tin đó sẽ bị hủy.
Statefull Packet Inspection.
Packet Inspection mặc dù có ưu điểm về tốc độ và khả năng kiểm soát các gói tin theo yêu cầu
cho trước khá tốt nhưng nó lại có một khuyết điểm khá nghiêm trọng.
Ví dụ kẻ tấn công cố tình thay đổi các thông số và các tùy chọn trong packet nhằm mục đích “đi
qua firewall một cách hợp pháp”. Ví dụ: Thông thường các bộ lọc gói tin sẽ drop tất cả các gói ICMP
Echo Request tạo ra từ công cụ ping để tránh tình trạng DDoS hoặc bị thăm dò thông tin. Tuy nhiên kẻ
tấn công có thể sử dụng kỹ thuật ACK Scan Nmap, kỹ thuật này nghĩa là thay vì gửi một gói tin ICMP kẻ

tấn công sẽ tạo một packet với flag ACK được active rồi gửi đến port 80 chẳng hạn. Các Static Packet
Page 11


Môn An Ninh Mạng Viễn Thông
Tiểu Luận: Firewall Overview
Filter khi kiểm tra gói tin sẽ thấy cờ ACK được active nên nó nghĩ rằng đây là packet trả lời cho SYN
packet từ trước đó nên nó sẽ cho qua.
Stateful Packet Inspection là một cơ chế lọc gói thông minh, nó có thể nhận dạng và theo dõi
*state* của một connection bằng cách lưu trữ tất cả các thông tin về connection đó, từ lúc khởi tạo cho
đến khi kết thúc vào một "table". Sau này nó sẽ sử dụng "table" này để kiểm tra các gói tin tương tự, ví dụ
nếu máy chủ không gửi một gói SYN thì không thể tự nhiên có một gói ACK được trả lời được.
Firewall Authentiaction Access. Việc sử dụng cơ chế lọc gói tin đã giúp bạn hạn chế việc truy
cập tài nguyên từ những nguồn không mong muốn. Điều này đã hạn chế được phần nào mối nguy hiểm
đối với tài nguyên của bạn. Tuy nhiên, hay thử tưởng tượng kẻ tấn công sẽ giả mạo một địa chỉ IP nào đó
đáng tin cậy nào đó và lúc đó hắn có thể đàng hoàng truy cập tài nguyên của bạn. Lúc này bạn cần thêm
một cơ chế nào đó giúp cho tài nguyên của bạn an toàn hơn.Firewall cung cấp cho bạn một cơ chế xác
thực truy cập nhằm loại bỏ những nguy cơ trên. Cơ chế xác thực đơn giản nhất đó là yêu cầu người dùng
cung cấp username và password khi họ muốn truy cập tài nguyên của bạn. Thông tin về username và
password này phải được người quản trị tạo ra trên máy chủ cần truy cập từ trước đó. Khi người dùng cố
gắng truy cập vào một máy chủ nào đó, máy chủ đó sẽ thông báo yêu cầu người sử dụng nhập vào
username và password trước khi kết nối. Nếu đúng thì máy chủ sẽ cho phép kết nối ngược lại nếu sai thì
kết nối sẽ hủy bỏ.
Ưu điểm của cơ chế xác thực này là ngoài xác thực bạn hoàn toàn có thể áp dụng những chính
sách bảo mật lên từng username riêng biệt (ví dụ cấp cho user đó có chỉ có quyền đọc trong thư mục Data
nhưng được phép tạo, xóa sửa tài liệu trong mục Chung) Một cơ chế xác thực thứ hai đó là sử dụng
Certificate và khóa công khai (Public Keys). Ưu điểm của việc sử dụng cơ chế xác thực này so với xác
thực bằng username và password đó là nó không cần đến sự can thiệp của người dùng. Người dùng sẽ
không cần phải vất vả nhập username và password nữa. Hệ thống sẽ tạo ra một cặp khóa Private keys và
Public key. Cơ chế này khá hiệu quả khi triển khai trên quy mô lớn. Ngoài hai cơ chế xác thực trên thì

người ta còn sử dụng một cơ chế xác thực khác nữa đó là sử dụng Pre-shared key (PSKs). Khóa này đã
được tạo ra từ trước và chia sẻ cho người dùng thông qua một kênh an toàn. Ưu điểm của nó là ít phức tạp
hơn so với việc xác thực bằng Certificate đồng thời nó cũng cho phép xác thực mà không cần sự can thiệp
của người dùng. Một nhược điểm của PSKs đó là nó hiếm khi thay đổi và được sử dụng chung nên nó có
thể làm hỏng quá trình xác thực. Bằng cách xác thực truy cập, firewall đã bổ sung thêm một giải pháp để
đảm bảo một kết nối có hợp pháp hay không. Ngay cả khi gói tin đó vượt qua được cơ chế lọc gói tin
nhưng không thể xác thực thì nó cũng bị hủy.
Hoạt động như một thiết bị trung gian.
Nhu cầu kết nối Internet là một nhu cầu thiết thực và không thể thiếu đối với mỗi doanh nghiệp.
Tuy nhiên việc cho phép các máy tính nội bộ trong hệ thống mạng của bạn kết nối trực tiếp ra ngoài mạng
Internet sẽ đem lại nhiều nguy hiểm. Người sử dụng có thể bị lợi dụng để download về các phần mềm hay
nội dung độc hại gây nguy hiểm cho hệ thống mạng của bạn. Giải pháp được đưa ra đó là thay vì cho các
máy tính nội bộ kết nối trực tiếp ra ngoài ta sẽ xây dựng firewall thành một thiết bị có nhiệm vụ “thay
mặt” các máy tính nội bộ đi ra ngoài Internet. Lúc này firewall hoạt động như một Proxy Server.
Quy trình làm việc của nó như sau:

Page 12


Môn An Ninh Mạng Viễn Thông
Tiểu Luận: Firewall Overview
Khi một client đi ra ngoài Internet, ví dụ ở đây là muốn truy cập website thì
thay vì client sẽ gửi một request tới webserver đó nó sẽ gửi yêu cầu tới Proxy Server. Proxy Server sẽ tiếp
nhận yêu cầu đó và nếu nó hợp lệ nó sẽ xử lý yêu cầu đó. Lúc này Proxy sẽ thay mặt client đi ra ngoài
Internet lấy thông tin website về. Thông tin được lấy về sẽ được Proxy Server kiểm
tra sau đó nó mới được trả lại cho client. Các máy tính nội bộ sẽ không nhận thấy sự khác biệt khi có
Proxy Server, nó gần như là trong suốt.
Lợi ích của Proxy Server đó là:





Cache: Tăng hiệu suất sử dụng dịch vụ mạng.
Các Request được gửi ra ngoài Internet bằng địa chỉ IP của Proxy Server nên ngăn chặn các cuộc
tấn công không hợp lệ vào các client từ Internet.
Dữ liệu Response được gửi từ Internet về Proxy, sẽ được Proxy xử lý (kiểm tra có virus hay
không, có thông tin gì độc hại hay không….) sau đó mới được chuyển về cho client.

Bảo vệ tài nguyên mạng.
Nhiệm vụ quan trọng nhất của firewall đó là bảo vệ tài nguyên mạng trước các mối de dọa từ bên
ngoài. Tài nguyên mạng có thể là các máy tính cá nhân trong hệ thống nội bộ, cũng có thể là những
Server của công ty như mail server, web server và quan trọng nhất là những dữ liệu bí mật của công ty.
Bạn có thể áp dụng việc lọc gói tin, kiểm soát truy cập, ngăn chặn kết nối trực tiếp hoặc áp dụng tất cả các
cách trên để bảo vệ tài nguyên của bạn. Tuy nhiên bạn nên nhớ rằng firewall không phải là một giải pháp
toàn diện nên đừng quá phụ thuộc vào nó.

Ghi lại và báo cáo các sự kiện.
Một thực tế đó là dù bạn có giỏi đến đâu, bạn có triển khai bao nhiêu biện pháp bảo mật đi chăng
nữa thì cũng chưa chắc rằng hệ thống của bạn an toàn. Bạn không thể ngăn chặn mọi cuộc tấn công hay
những thứ độc hại xâm nhập vào hệ thống mạng của mình được. Do đó bạn cần phải chuẩn bị để phòng
chống những lỗ hổng mà firewall không thể ngăn chặn được.
Do đó firewall cần phải có chức năng ghi chép lại tất cả các thông tin liên lạc vi phạm chính sách để báo
lại với quản trị viên. Quản trị viên sẽ dựa vào đây để phân tích tình hình và đưa ra giải pháp cụ thể. Bạn
có thể ghi lại các sự kiện bằng nhiều cách khác nhau nhưng hầu hết các firewall sử dụng một trong hai
phương pháp đó là syslog hoặc một định dạng độc quyền nào đó.Những dữ liệu này sẽ được sử dụng
thường xuyên để phân tích các sự cố và nguyên nhân gây ra trong hệ thống mạng. Ngoài việc ghi lại các
sự kiện firewall còn hỗ trợ khả năng cảnh báo khi chính sách bảo mật bị vi phạm như:






Giao diện thông báo: đây là cách đơn giản nhất để cảnh bảo khi có điều gì đó bất thường trong
mạng. Nhược điểm của nó là bạn phải thường xuyên theo dõi màn hình điều khiển để có thể cập
nhật kịp thời các thông báo này.
Cảnh báo SNMP giúp bạn theo dõi toàn bộ trạng thái của hệ thống mạng từ các thiết bị như
router, switch, server đến thông tin chi tiết như CPU, bộ nhớ, băng thông.
Sử dụng email để cảnh báo

Page 13


Môn An Ninh Mạng Viễn Thông
Tiểu Luận: Firewall Overview
4.2. Vượt firewall
4.2.1. Sử dụng trang web trung gian
Tìm hiểu: Trang web trung gian không nằm trong danh sách bị tường lửa, ta truy cập được, từ đó
ta "nhờ" trang trung gian này truy cập tiếp vào trang web bị chặn 1 cách dễ dàng.
Cách dùng:
- Truy cập vào các trang web trung gian sau (theo kinh nghiệm thì đây là những trang tốt nhất hiện nay):

o

o


o
- Kéo trang web xuống phía dưới một tý, mọi người sẽ thấy một khung trống để nhập địa chỉ trang web
(thường có chữ Enter the url, Website url, hoặc Web Address ). Nhập địa chỉ cần vượt vào, sau đó Enter
hoặc bấm nút bên phải khung đó (thường có chữ Surf, Go hoặc Browse ), lập tức trang web sẽ hiện ra.


Hình 6. Dịch vụ vượt firewall
4.2.2. Thay đổi địa chỉ proxy của trình duyệt:
Tìm hiểu: Có thể hiểu nôm na là ta sẽ thay đổi "địa chỉ nhà" của mình. Nhà mình ở "Việt Nam",
không được truy cập vào web, ta ra gỡ cái biển "Việt Nam" xuống, treo cái bảng "America" lên -> mọi
chuyện trở nên dễ dàng như thể chính ta ở "America" vậy. Cách dùng: Mỗi trình duyệt có cách thay
đổi IP riêng. Xin minh họa bằng 2 trình duyệt phổ biến nhất: Internet Explorer và Mozilla Firefox (nên
dùng Firefox, sẽ có công cụ giúp đơn giản hóa việc thay đổi "địa chỉ" này).
- Proxy có dạng: 200.65.129.3 : 3128. Dãy số đứng trước dấu ":" gọi là IP, dãy số phía sau là Port
- Đầu tiên, ta cần tìm kiếm các proxy tương tự như trên.
- Sau đó kiểm tra xem proxy nào còn dùng được.
Page 14


Môn An Ninh Mạng Viễn Thông
Tiểu Luận: Firewall Overview
- Cuối cùng, ta thiết lập proxy cho trình duyệt của mình.
5. Một số loại firewall
Firewall có thể là một thiết bị phần cứng chuyên dụng hoặc có thể là một sản phẩm phần mềm
được cài trên một máy chủ làm nhiệm vụ như một firewall hoặc cũng có thể là một ứng dụng được cài
trên máy tính cá nhân. Việc phân loại firewall có thể có nhiều cách khác nhau, tuy nhiên ta có thể phân
loại nó thành một trong hai loại sau.
 Desktop hoặc Personal Firewall: Đây là loại firewall dành cho cá nhân và máy tính cá nhân,


ta có thể liệt firewall của các phần mềm diệt virus vào nhóm này.
Network Firewall: Sự khác nhau chính giữa hai loại firewall này đơn giản là số lượng máy
tính mà nó bảo vệ.

Hình 7: Phân loại Firewall.

5.1.Phân loại
Personal Firewalls.
Đây là loại firewall được thiết kế để bảo vệ duy nhất một máy tính trước các truy cập trái phép.
Hiện nay nó đã được phát triển nên rất nhiều và tích hợp nhiều chức năng đáng giá hơn như diệt virus,
diệt các phần mềm độc hại, phát hiện xâm nhập. Một số firewall cá nhân thương mại phổ biến như
BlackICE, Cisco Security Agen. Còn trong thị trường SOHO (Small Office/Home Office) thì có các sản
phẩm như: Comodo Internet Security, Emsisoft Online Armor Premium, KIS, ZoneAlam Pro Firewall,
Trend Micro Titanium Internet Security [1] Vì dành cho người dùng cá nhân nên personal firewall phải
Page 15


Môn An Ninh Mạng Viễn Thông
Tiểu Luận: Firewall Overview
tích hợp giải pháp kiểm soát tập trung, tích hợp nhiều chức năng, dễ sử dụng, ít cấu hình. Những chức
năng thường thấy ở personal firewall đó là:




Bảo vệ người dùng trước những xâm nhập trái phép.
Cảnh báo người dùng về những mối nguy hại.
Giám sát và điều tiết tất cả các ứng dụng sử dụng internet.
Network firewall. Được thiết kế để bảo vệ toàn bộ một hệ thống mạng máy tính. Đây chính là

điểm khác biệt quan trọng giữa network firewall và personal firewall, số lượng máy tính mà network
firewall cần bảo vệ lớn hơn rất nhiều so với số máy tính mà personal firewall cần bảo vệ. Chính vì lý do
đó mà network firewall cần phải được thiết kế và xây dựng với những chức năng chuyên biệt hơn nhằm
phục vụ tốt hơn công viêc của nó.
Network firewall cung cấp cho doanh nghiệp một sự linh hoạt và an toàn tối đa cho hệ thống mạng của
họ. Hiện này network firewall đã được phát triển lên nhiều bằng cách tích hợp nhiều tính năng mới hơn

như khả năng phát hiện xâm nhập, khả năng đọc gói tin sauu hơn. Ngoài ra network firewall không chỉ
kiểm soát giao thông mạng bằng cách nhìn vào thông tin ở Layer 3 hoặc Layer 4 mà nó có thể kiểm soát
các dữ liệu cả ở tầng ứng dụng. Các sản phẩm Firewall (Firewall Products) Trên thị trường hiện nay
chúng ta có thể tìm thấy ba loại network firewall cơ bảnsau: Server-based, Appliance-based và Integrated.
Server-based firewall là một loại software firewall được cài đặt trên một hệ điều hành mạng
(Network Operating System) và có chức năng của một firewall. Nó có thể được triển khai trên các nền
tảng sau đây





Apple Mac OS X
UNIX (Solaris, HP-UX, IBM-AIX)
GNU/Linux
Microsoft Windows NT.
Có thể kể đến một số firewall loại này như Microsoft ISA Server, Check Point NG, Gauntlet,

iptable trên Linux hay FreeBSD hay bộ lọc gói pf trên OpenBSD...Ưu điểm của loại firewall này là nó
khá đa năng ví dụ như nó có thể được triển khai thành một hệ thống DNS hay bộ lọc các spam mail.
Firewall loại này dễ dàng đảm nhiệm vai trò đa năng hơn các thiết bị firewall cứng chuyên dụng khác. Nó
cũng dễ triển khai và quản trị cũng tương đối là dễ dàng.
Tuy nhiên nhược điểm của nó do được cài đặt trên một hệ điều hành nên nó phụ thuộc vào hệ
điều hành đó. Nếu hệ điều hành đó đó tồn tại có nhiều lỗ hổng bảo mật thì kẻ tấn công có thể khai thác
những lỗ hổng đó để tấn công chính firewall đó. Khi quản trị một firewall loài này người quản trị cần phải
cân nhắc việc cập nhật các bản vá của hệ điều hành, liệu nó có tương thích với firewall chúng ta đang cài
Page 16


Môn An Ninh Mạng Viễn Thông

Tiểu Luận: Firewall Overview
trên đó hay không. Một nhược điểm nữa là do hệ điều hành được viết ra để thực hiện nhiều chức năng
khác chứ không chuyên biệt để cài firewall lên đó nên không có gì đảm bảo rằng nó sẽ đạt hiệu suất tối
đa. Cuối cùng có thể là sự không tương thích giữa firewall và hệ điều hành, nguyên nhân này do có nhiều
software-firewall do một hãng khác viết ra chứ không phải do hãng cung cấp hệ điều hành. Nói chung nó
khá thích hợp cho môi trường doanh nghiệp vừa và nhỏ do những ưu điểm về giá cả, quản trị dễ dàng và
đáp ứng đủ các nhu cầu.
Appliance-based firewall là một loại firewall dựa trên nền tảng phần cứng và được thiết kế đặc
biệt như một thiết bị firewall chuyên dụng. Ngoài chức năng là firewall nó còn một số chức năng thứ yếu
khác. Có thể kể tới một số sản phẩm như Cisco PIX, Jupiter's NetScreen Firewall hay Symantec
Enterprise Firewall, các sản phầm của Nokia, Sonicwall....Loại firewall này có một sự thống nhất từ phần
cứng, hệ điều hành, đến phần mềm quản lý trên nó nên nó đạt được hiệu suất khá là cao. Ngoài ra nó
thường là các sản phẩm thương mại nên bạn có thể dễ dàng nhận sự hỗ trợ từ nhà sản xuất. Nhược điểm
của nó là hạn chế những chức năng mà, nếu muốn bổ sung bạn cần phải mua và gắn thêm các thiết bị
phần cứng khác. Điều này khiến cho việc quản trị có thể trở nên khó khăn hơn.
Integrated firewall là một thiết bị "đa năng" ngoài làm firewall thì nó còn có thể đảm nhận nhiều
chức năng khác như VPN, phát hiện phòng chống xâm nhập, chống spam mail....Nói chung đây là một
thiết bị All-in-one. Hiện nay sự phân biệt giữa Appliance-based firewall và Integrated firewall đã không
còn rõ ràng như trước nữa bởi nhu cầu sử dụng và tính cạnh tranh. Hầu hết cả hai loại này đều được tích
hợp nhiều chức năng khác nhau. Điều này không chỉ làm giảm số lượng thiết bị mà còn giảm chi phí triển
khai và quản lý các thiết bị đó. Các firewall tích hợp như Cisco ASA hay Tipping Point X505
Firewall Technologies Trong phần này chúng ta sẽ tập trung vào các công nghệ được sử dụng
trong các loại firewall khác nhau và cách nó làm việc như thế nào. Ở hình 2.... ta đã có một cái nhìn tổng
quát về các loại firewall, tuy nhiên một loại firewall có thể sử dụng nhiều công nghệ khác nhau để tăng
cao hiệu suất sử dụng. Các công nghệ đó bao gồm:






(Simple) Packet Filters.
Circuit-Level Firewalls.
Application-Level Firewalls.
Stateful Multilayer Inspection Firewall.

Page 17


Môn An Ninh Mạng Viễn Thông
Tiểu Luận: Firewall Overview

Hình 8: Các kỹ thuật sử dụng trên firewall.
Chú ý đây không phải là cách phân loại các loại firewall, các công nghệ này hoàn toàn có thể
được áp dụng trên cùng một loại firewall. Dù cho firewall đó thuộc loại Server-based firewall hay
Appliance-based firewall hay loại Intergrated firewall thì nó cũng có thể áp dụng những công nghệ trên.

5.2. Những kiến trúc cơ bản của firewall
Dual Homed Host
Kiến trúc Dual homed host gồm một máy tính có ít nhất hai network interface, có nghĩa là máy đó
có gắn hai card mạng giao tiếp với hai mạng khác nhau và như thế máy tính này đóng vai trò là router
phần mềm.



Public interface: là card nối trực tiếp với vùng mạng không đáng tin cậy (Internet)
Private interface: nối với vùng mạng nội bộ. Dual-homed host chỉ có thể cung cấp các dịch vụ
bằng cách ủy quyền (proxy) chúng hoặc cho phép users đăng nhập trực tiếp vào Dual-homed
host.
Page 18



Môn An Ninh Mạng Viễn Thông
Tiểu Luận: Firewall Overview
Mọi giao tiếp từ một host trong mạng nội bộ và host bên ngoài đều bị cấm, Dual-homed host là
nơi giao tiếp duy nhất. Đối với kiến trúc này, bastion host là nơi thường xuyên bị tấn công nhất nên nó
phải được cấu hình sao cho giảm tối thiểu những lỗi mà kẻ tấn công có thể lợi dụng để khai thác. Một số
gợi ý để cấu hình tốt một bastion host:







Vô hiệu hóa hoặc loại bỏ bất kỳ dịch vụ nào không cần thiết hoặc không được sử dụng.
Vô hiệu hóa hoặc loại bỏ bất kỳ tài khoản người sử dụng nào không cần thiết.
Vô hiệu hóa hoặc loại bỏ bất kỳ giao thức mạng nào không cần thiết.
Cập nhật liên tục các bản vá của hệ điều hành.
Đóng tất cả các port không cần thiết hoặc không sử dụng.
Sử dụng cơ chế mã hóa để đăng nhập.

Hình 13: Kiến trúc Dual Homed Host Screened
Screened Host
Kiến trúc này cung cấp các dịch vụ từ một host bên trong mạng nội bộ, dùng một router tách rời
với mạng bên ngoài. Trong kiểu kiến trúc này, bảo mật chính là phương pháp Packet Filtering. Kiến trúc
này cung cấp mức độ bảo mật cao hơn vì nó thực hiện bảo mật ở tầng network và tầng application. Đồng
thời kẻ tấn công phải phá vỡ cả hai tầng bảo mật để xâm nhập được vào hệ thống mạng nội bộ Trong hệ
thống này bastion host được cấu hình ở mạng nội bộ. Quy luật filter được định nghĩa sao cho tất cả các hệ
thống bên ngoài internet chỉ có thể truy cập được vào bastion host, việc liên lạc với các hệ thống trong


Page 19


Môn An Ninh Mạng Viễn Thông
Tiểu Luận: Firewall Overview
mạng nội bộ khác đều bị cấm. Bởi vì các hệ thống nội bộ và bastion host ở trên cùng một mạng, chính
sách bảo mật sẽ quyết định xem trong hệ thống mạng nội bộ nơi nào được kết nối trực tiếp ra internet, nơi
nào phải sử dụng các dịch vụ proxy trên bastion host. Bất kỳ một hệ thống bên ngoài nào cố gắng truy cập
vào hệ thống hoặc các dịch vụ bên trong đều phải kết nối tới host này. Vì thế, Bastion host là host cần
phải được duy trì ở chế độ bảo mật cao. Packet Filtering cũng cho phép Bastion host có thể mở kết nối ra
bên ngoài. Bởi vì bastion host là hệ thống bên trong duy nhất có thể kết nối ra được internet, sự tấn công
cũng chỉ giới hạn đến bastion host mà thôi. Tuy nhiên nếu bastion host đó bị tấn công thì kẻ tấn công
cũng có thể dễ dàng lám tổn thương hệ thống mạng nội bộ.

Hình 14: Kiến trúc Screened host
Screened Subnet
Kiến trúc này được xem là kiến trúc an toàn nhất, bao gồm hai packet filtering và một bastion
host. Hệ thống firewall này có độ an toàn rất cao. Kiến trúc Screened subnet là kiến trúc mà ta tách riêng
những dịch vụ được cung cấp công cộng ra một vùng mạng riêng (DMZ) nhằm tăng cường khả năng bảo
vệ mạng nội bộ, thực hiện chiến lược phòng thủ theo chiều sâu. Khi một dịch vụ nào đó trong vùng DMZ
bị tấn công thì cũng không ảnh hưởng đến những máy trong vùng nội bộ. Hệ thống này cần ít nhất ba
network interfaces. Với những thông tin đến từ bên ngoài, Screened subnet có chức năng chống lại những
sự tấn công vào vùng mạng nội bộ. Kiểu Screened subnet đơn giản bao gồm hai screened router:

Page 20


Môn An Ninh Mạng Viễn Thông
Tiểu Luận: Firewall Overview
Router ngoài: nằm giữa vùng DMZ và vùng External có chức năng bảo vệ cho vùng DMZ (Mail

server, Web server). Một số quy tắc packet filter đặc biệt được cấu hình ở mức cần thiết đủ để bảo vệ
vùng DMZ. Router trong: nằm giữa vùng DMZ và vùng LAN nhằm bảo vệ mạng nội bộ trước khi ra
ngoài internet và DMZ. Nó không thực hiện hết các quy tắc packet filter của toàn bộ firewall.
Ưu điểm:
Kẻ tấn công muốn chiếm được quyền kiểm soát tài nguyên trong hệ thống mạng
nội bộ thì cần phải phá vỡ ba tầng bảo vệ: router trong, bastion host, router ngoài. Hệ thống mạng nội bộ
dường như là “vô hình” đối với bên ngoài. Các máy trong mạng nội bộ không thể truy cập trực tiếp vào
internet mà phải thông qua các proxy server.

Hình 15: Kiến trúc Screened Subnet
Linux-based Firewall
Các firewall dựa trên Linux có rất nhiều loại khác nhau. Ban đầu các firewall-based Linux dựa
trên ipfw code (mã này được phân phối bởi Berkeley Software Distribution BSD). Sau đó thì một tiện ích
được viết ra đó là ipfwadm, nó trở nên hữu ích và bắt đầu được đặt trong kernel của Linux từ bản 1.0 và
cung cấp cho người quản trị nhiều chức năng linh hoạt. Đến phiên bản kernel 2.2, một hệ thống lọc khác
đẵ được phát triển và kèm sẵn trong kernel của Linux đó là ipchains. Bộ lọc ipchains mở rộng các tính
năng có sẳn của ipfwadm. Và đến khi phiên bản 2.4 được phát hành thì bộ lọc trên Linux đã được viết lại
một cách hoàn chỉnh hơn, và hệ thống lọc đó có tên là netfilter. Netfilter là một phần rất quan trọng của
kernel Linux trong việc bảo mật, quản lý lưu lượng mạng. Netfilter hoạt động ở phía kernel và để người
quản trị có thể dễ dàng giao tiếp với netfilter và chỉ định những yêu cầu với netfilter thì ta có thể sử dụng
một chương trình rất nổi tiếng đó là iptables. Iptables thực ra là một tiện ích nằm phía trên (front-end)
Page 21


Môn An Ninh Mạng Viễn Thông
Tiểu Luận: Firewall Overview
netfilter, nó sẽ “nói” cho netfilter những gì người quản trị muốn làm. Đặc điểm chính của netfilter chính
là bộ lọc gói tin và NAT (Network Address Translation).








Stateless packet filtering (IPv4 và IPv6)
Stateful packet filtering (IPv4 và IPv6)
Tất cả các địa chỉ mạng và port được chuyển đổi ví dụ NAT/NAPT (chỉ IPv4)
Linh hoạt và cho phép mở rộng sơ sở hạ tầng.
Nhiều lớp của thư viện API cho phép những phần mở rộng của các hãng thứ 3.

Hiểu một cách đơn giản cách làm việc của netfilter như sau:





Người quản trị sẽ yêu cầu kernel những gì nó cần làm với một gói tin bằng các sử dụng iptables.
Hệ thống sau đó sẽ phân tích header của tất cả các gói tin đi qua nó.
Nếu khi nhìn vào phần header mà kernel phát hiện ra các rule phù hợp gói tin đó sẽ bị điều khiển
theo các rule đó.

Có 3 loại bảng trong netfilter đó là:






Mangle table: Chịu trách nhiệm biến đổi quality of service bit trong TCP Header.

Filter table: Chịu trách nhiệm thiết lập bộ lọc packet (packet filtering). Nó bao gồm 3 quy tắc
(chain) nhỏ giúp cho bạn thiết lập các nguyên tắc lọc gói gồm:
o Forward chain: Lọc gói khi gói đó thông qua firewall và tới một server khác.
o Input chain: Lọc gói khi gói đó đi vào firewall.
o Output chain: Lọc gói đi ra khỏi firewall.
NAT table: Thực thi chức năng NAT bao gồm hai chain sau:
o Pre-routing NAT: NAT từ ngoài vào nội bộ (NAT Inbound) thực hiện trước quá trình
o

routing.
Post-routing NAT: NAT từ trong ra ngoài (NAT Outbound) thực hiện sau khi routing
nhằm thay đổi địa chỉ nguồn của gói tin.

Kết Luận
Tường lửa ngày nay đóng một vai trò quan trọng trong việc bảo vệ mạng cảu một tổ chức nào đó
tránh được danh sách gần như vô tận các cuộc tấn công đến từ internet. Sự lựa chọn tường lửa cũng
thường quyết định cách các vịt trí từ xa kết nối với các hệ thống trung tâm để truy cập vào các tài nguyên
cần thiết hoặc đẻ thực hiện các nhiệm vụ quan trọng dẽ dàng như thế nào. Tường lửa còn có thể làm nhiều
việc hơn thế m do nằm giữa 2 mạng (internet và mạng nội bộ), tường lửa có thể phân tích tất cả các lưu
lượng vào ra khỏi mạng và quyết định sẽ làm gì với dữ liệu vào ra đó. Tường lửa cũng có nhiều quy tắc
để dựa vào đó cung cấp quyền truy cập dữ liệu vào mạng.

Page 22


Môn An Ninh Mạng Viễn Thông
Tiểu Luận: Firewall Overview
Tường lửa không chỉ là một dạng phần mềm (như tường lửa trên windows), mà nó còn có thẻ là
phần cứng chuyên dụng trong các mạng doanh nghiệp. các tường lửa là phần cứng này giúp máy tính của
các công ty có thể phân tích dữ liệu ra để đảm bảo rằng malware khong thể thâm nhaph vào magnj, kiểm

soát hoạt động trên máy tính mà nhân viện của họ đạng sử dụng. Nó cũng có thể lọc dự liệu đẻ chỉ cho
phép một máy tính chỉ có thể lướt web, vô hiệu hóa việc truy cập vào các loại dữ liệu khác.
Không có cánh cửa bảo vệ nào có thể chống được hoàn toàn kẻ trộm lọt vào nhà cả, nhưng nếu
cánh cửa đó có khoá tốt, ngôi nhà đó có tường cao bao quanh và chủ nhà nuôi nhiều chó dữ, kẻ trộm sẽ
khó lòng lọt vào hơn. Firewall chỉ là một công cụ bảo vệ hệ thống mạng máy tính, nó phải được kèm theo
với rất nhiều biện pháp an toàn khác.

Tài liệu tham khảo






/> /> /> />Thực trạng an ninh mạng tại việt nam năm 2009 dự báo xu hướng an ninh mạng

năm 2010 - Thiếu tướng TS: Nguyễn Viết Thế - Cục trưởng Cục Tin học nghiệp vụ, Bộ Công an

Một số tờ báo điện tử và thông tin trên Internet khác.

Page 23



Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×