Bài giảng Thiết kế hệ thống mạng LAN: Chương 2 - TS. Lương Minh Huấn
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (42.74 MB, 45 trang )
Trường Cao Đẳng Kỹ Thuật Cao Thắng
Chương 2 : Firewall
GV: LƯƠNG MINH HUẤN
NỘI DUNG
Giới thiệu Firewall
Nhiệm vụ của Firewall
Kiến trúc của Firewall
Các loại Firewall và cách hoạt động
Những hạn chế của Firewall
1. Giới thiệu firewall
ternet là một hệ thống mở, đó là điểm mạnh và cũng là điểm
a nó. Chính điểm yếu này làm giảm khả năng bảo mật thông
i bộ của hệ thống.
hính vì vậy, việc đảm bảo các thông tin được bảo mật luôn là
u cầu cấp thiết đặt ra.
ện nay có nhiều cách thức, phương pháp bảo mật
1. Giới thiệu firewall
uật ngữ firewall có nguồn gốc từ một kỹ thuật thiết kế trong
ng để ngăn chặn, hạn chế hỏa hoạn.
ong công nghệ thông tin, firewall là một kỹ thuật được tích
o hệ thống mạng để chống lại việc truy cập trái phép, bảo vệ
uồn tài nguyên cũng như hạn chế sự xâm nhập vào hệ thống
ột số thông tin khác không mong muốn. Cụ thể hơn, có thể
ewall là một cơ chế bảo vệ giữa mạng tin tưởng (tru
twork)
1. Giới thiệu firewall
ề mặt vật lý, firewall bao gồm một hoặc nhiều hệ thống máy
t nối với bộ định tuyến (Router) hoặc có chức năng Router
ặt chức năng, firewall có nhiệm vụ:
Tất cả các trao đổi dữ liệu từ trong ra ngoài và ngược lại đều
hực hiện thông qua firewall.
Chỉ có những trao đổi được cho phép bởi hệ thống mạng nộ
(trusted network) mới được quyền lưu thông qua firewall.
1. Giới thiệu firewall
c phần mềm quản lý an ninh chạy trên hệ thống máy chủ bao g
Quản lý xác thực (Authentication): có chức năng ngăn cản
cập trái phép vào hệ thống mạng nội bộ. Mỗi người sử dụng m
ruy cập hợp lệ phải có một tài khoản (account) bao gồm mộ
người dùng (username) và mật khẩu (password).
1. Giới thiệu firewall
Quản lý cấp quyền (Authorization): cho phép xác định quyề
dụng tài nguyên cũng như các nguồn thông tin trên mạng theo
người, từng nhóm người sử dụng.
Quản lý kiểm toán (Accounting Management): cho phép
nhận tất cả các sự kiện xảy ra liên quan đến việc truy cập v
dụng nguồn tài nguyên trên mạng theo từng thời điểm (ngày/
và thời gian truy cập đối với vùng tài nguyên nào đã được sử d
hoặc thay đổi bổ sung …
1. Giới thiệu firewall
hi phân loại firewall ta có thể chia thành :
Personal firewall
Network firewall
hủ yếu tùy vào số lượng host mà ta chia thành network
rsonal firewall
2. Nhiệm vụ của Firewall
hức năng chính của Firewall là kiểm soát luồng thông tin từ
ranet và Internet. Thiết lập cơ chế điều khiển dòng thông tin
ạng bên trong (Intranet) và mạng Internet. Cụ thể là:
Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intr
ra Internet).
Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong
Internet vào Intranet).
Theo dõi luồng dữ liệu mạng giữa Internet và Intranet.
2. Nhiệm vụ của Firewall
Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập.
Kiểm soát người sử dụng và việc truy nhập của người sử dụng.
Kiểm soát nội dung thông tin thông tin lưu chuyển trên mạng.
2. Nhiệm vụ của Firewall
2. Nhiệm vụ của Firewall
reWall bảo vệ những vấn đề :
Dữ liệu : Những thông tin cần được bảo vệ do những yêu cầu s
Bảo mât.
Tính toàn vẹn.
Tính kịp thời.
2. Nhiệm vụ của Firewall
Tài nguyên hệ thống.
2. Nhiệm vụ của Firewall
Danh tiếng của công ty sở hữu các thông tin cần bảo vệ.
2. Nhiệm vụ của Firewall
FireWall bảo vệ chống lại những sự tấn công từ bên ngoài.
Tấn công trực tiếp
Nghe trộm
Giả mạo địa chỉ IP.
Vô hiệu hoá các chức năng của hệ thống (deny service)
Lỗi người quản trị hệ thống
Yếu tố con người
3. Kiến trúc của firewall
Kiến trúc Dual home host
Kiến trúc Screened host
Kiến trúc Screened subnet
3.1 Kiến trúc Dual homed host
rewall kiến trúc kiểu Dual-homed host được xây dựng dựa
áy tính dual-homed host. Một máy tính được gọi là dual-ho
st nếu nó có ít nhất hai network interfaces, có nghĩa là máy đ
n hai card mạng giao tiếp với hai mạng khác nhau và như thế
h này đóng vai trò là Router mềm. Kiến trúc dual-homed hos
n giản. Dual-homed host ở giữa, một bên được kết nối
ternet và bên còn lại nối với mạng nội bộ (LAN).
3.1 Kiến trúc Dual homed host
ual-homed host chỉ có thể cung cấp các dịch vụ bằng cách
yền (proxy) chúng hoặc cho phép users đăng nhập trực tiếp
al-homed host. Mọi giao tiếp từ một host trong mạng nội b
st bên ngoài đều bị cấm, dual-homed host là nơi giao tiếp
ất.
3.2 Kiến trúc Screened host
reened Host có cấu trúc ngược lại với cấu trúc Dual-homed h
ến trúc này cung cấp các dịch vụ từ một host bên trong mạng
, dùng một Router tách rời với mạng bên ngoài. Trong kiểu
c này, bảo mật chính là phương pháp Packet Filtering.
3.2 Kiến trúc Screened host
astion host được đặt bên trong mạng nội bộ. Packet Filte
ợc cài trên Router. Theo cách này, Bastion host là hệ thống
ất trong mạng nội bộ mà những host trên Internet có thể kế
. Mặc dù vậy, chỉ những kiểu kết nối phù hợp (được thiết lập t
astion host) mới được cho phép kết nối. Bất kỳ một hệ thống
oài nào cố gắng truy cập vào hệ thống hoặc các dịch vụ bên t
u phải kết nối tới host này. Vì thế Bastion host là host cần
ợc duy trì ở chế độ bảo mật cao.
3.2 Kiến trúc Screened host
cket filtering cũng cho phép bastion host có thể mở kết nố
n ngoài. Cấu hình của packet filtering trên screening router
u:
Cho phép tất cả các host bên trong mở kết nối tới host bên n
hông qua một số dịch vụ cố định.
Không cho phép tất cả các kết nối từ các host bên trong (
những host này sử dụng dịch vụ proxy thông qua bastion host
3.2 Kiến trúc Screened host
Có thể kết hợp nhiều lối vào cho những dịch vụ khác nhau.
Một số dịch vụ được phép đi vào trực tiếp qua packet filtering
Một số dịch vụ khác thì chỉ được phép đi vào gián tiếp qua pro
3.3 Kiến trúc Screened Subnet
hằm tăng cường khả năng bảo vệ mạng nội bộ, thực hiện c
ợc phòng thủ theo chiều sâu, tăng cường sự an toàn cho bas
st, tách bastion host khỏi các host khác, phần nào tránh lây
ột khi bastion host bị tổn thương, người ta đưa ra kiến
ewall có tên là Sreened Subnet.
