Bài giảng Thiết kế hệ thống mạng LAN - Chương 2: Firewall

Bài giảng Thiết kế hệ thống mạng LAN - Chương 2: Firewall có nội dung trình bày về giới thiệu Firewall; nhiệm vụ của Firewall; kiến trúc của Firewall; các loại Firewall và cách hoạt động; những hạn chế của Firewall;... Mời các bạn cùng tham khảo chi tiết nội dung bài giảng!

Trường Cao Đ ng K  Thu t Cao Th ngẳ ỹ ậ ắ

Chương 2 : Firewall

GV: LƯƠNG MINH HUẤN

1 Giới thiệu firewall

Internet là m t h  th ng m , đó là đi m m nh và cũng là đi m ộ ệ ố ở ể ạ ể

y u  c a  nó.  Chính  đi m  y u  này  làm  gi m  kh   năng  b o  m t ế ủ ể ế ả ả ả ậthông tin n i b  c a h  th ng.ộ ộ ủ ệ ố

Chính vì v y, vi c đ m b o các thông tin đậ ệ ả ả ược b o m t luôn là ả ậcác yêu c u c p thi t đ t ra.ầ ấ ế ặ

Hi n nay có nhi u cách th c, phệ ề ứ ương pháp b o m tả ậ

1 Giới thiệu firewall

Thu t ng  ậ ữ firewall có ngu n g c t  m t k  thu t thi t k  trong ồ ố ừ ộ ỹ ậ ế ếxây d ng đ  ngăn ch n, h n ch  h a ho n. ự ể ặ ạ ế ỏ ạ

Trong công ngh  thông tin, ệ firewall là m t k  thu t đ c tích h p ộ ỹ ậ ượ ợvào h  th ng m ng đ  ch ng l i vi c truy c p trái phép, b o v  ệ ố ạ ể ố ạ ệ ậ ả ệcác ngu n tài nguyên cũng nh  h n ch  s  xâm nh p vào h  th ng ồ ư ạ ế ự ậ ệ ố

c a m t s  thông tin khác không mong mu n. C  th  h n, có th  ủ ộ ố ố ụ ể ơ ể

hi u ể firewall là m t c  ch  b o v  gi a m ng tin t ng (ộ ơ ế ả ệ ữ ạ ưở trusted network)

1 Giới thiệu firewall

V   m t  v t  lý,  firewall  bao  g m  m t  ho c  nhi u  h   th ng  máy ề ặ ậ ồ ộ ặ ề ệ ố

ch   k t  n i  v i  b   đ nh  tuy n  (ủ ế ố ớ ộ ị ế Router)  ho c  có  ch c  năng ặ ứRouter. V  m t ch c năng, ề ặ ứ firewall có nhi m v :ệ ụ

Ø T t c  các trao đ i d  li u t  trong ra ngoài và ngấ ả ổ ữ ệ ừ ượ ạ ềc l i đ u 

ph i th c hi n thông qua ả ự ệ firewall

Ø Ch  có nh ng trao đ i đỉ ữ ổ ược cho phép b i h  th ng m ng n i b  ở ệ ố ạ ộ ộ(trusted network) m i đ c quy n l u thông qua ớ ượ ề ư firewall

1 Giới thiệu firewall

Các ph n m m qu n lý an ninh ch y trên h  th ng máy ch  bao ầ ề ả ạ ệ ố ủ

g mồ

Ø Qu n lý xác th c (ả ự Authentication): có ch c năng ngăn c n truy ứ ả

c p  trái  phép  vào  h   th ng  m ng  n i  b   M i  ngậ ệ ố ạ ộ ộ ỗ ườ ử ụi  s   d ng 

mu n truy c p h p l  ph i có m t tài kho n (ố ậ ợ ệ ả ộ ả account) bao g m ồ

m t tên ngộ ười dùng (username) và m t kh u (ậ ẩ password)

1 Giới thiệu firewall

Ø Qu n  lý  c p  quy n  (ả ấ ề Authorization):  cho  phép  xác  đ nh  quy n ị ề

s  d ng tài nguyên cũng nh  các ngu n thông tin trên m ng theo ử ụ ư ồ ạ

t ng ngừ ườ ừi, t ng nhóm ngườ ử ụi s  d ng

Ø Qu n  lý  ki m  toán  (ả ể Accounting  Management):  cho  phép  ghi 

nh n t t c  các s  ki n x y ra liên quan đ n vi c truy c p và s  ậ ấ ả ự ệ ả ế ệ ậ ử

d ng  ngu n  tài  nguyên  trên  m ng  theo  t ng  th i  đi m ụ ồ ạ ừ ờ ể(ngày/gi ) và th i gian truy c p đ i v i vùng tài nguyên nào đã ờ ờ ậ ố ớ

đượ ử ục s  d ng ho c thay đ i b  sung …ặ ổ ổ

1 Giới thiệu firewall

Khi phân lo i firewall ta có th  chia thành :ạ ể

Ø Personal firewall

Ø Network firewall

Ch   y u  tùy  vào  s   lủ ế ố ượng  host  mà  ta  chia  thành  network  hay personal firewall

2 Nhiệm vụ của Firewall

Ch c năng chính c a Firewall là ki m soát lu ng thông tin t  gi a ứ ủ ể ồ ừ ữIntranet  và  Internet.  Thi t  l p  c   ch   đi u  khi n  dòng  thông  tin ế ậ ơ ế ề ể

gi a m ng bên trong (Intranet) và m ng Internet. C  th  là:ữ ạ ạ ụ ể

Ø Cho  phép  ho c  c m  nh ng  d ch  v   truy  nh p  ra  ngoài  (t  ặ ấ ữ ị ụ ậ ừIntranet ra Internet). 

Ø Cho phép ho c c m nh ng d ch v  phép truy nh p vào trong (t  ặ ấ ữ ị ụ ậ ừInternet vào Intranet). 

Ø Theo dõi lu ng d  li u m ng gi a Internet và Intranet. ồ ữ ệ ạ ữ

2 Nhiệm vụ của Firewall

Ø Ki m soát đ a ch  truy nh p, c m đ a ch  truy nh p. ể ị ỉ ậ ấ ị ỉ ậ

Ø Ki m soát ngể ườ ử ụi s  d ng và vi c truy nh p c a ngệ ậ ủ ườ ửi s  

d ng. ụ

Ø Ki m soát n i dung thông tin thông tin l u chuy n trên m ng. ể ộ ư ể ạ

2 Nhiệm vụ của Firewall

2 Nhiệm vụ của Firewall

Ø  Tài nguyên h  th ng.ệ ố

2 Nhiệm vụ của Firewall

Ø Danh ti ng c a công ty s  h u các thông tin c n b o v ế ủ ở ữ ầ ả ệ

2 Nhiệm vụ của Firewall

Ø FireWall b o v  ch ng l i nh ng s  t n công t  bên ngoài.ả ệ ố ạ ữ ự ấ ừ

§ T n công tr c ti p ấ ự ế

§ Nghe tr m ộ

§ Gi  m o đ a ch  IP ả ạ ị ỉ

§ Vô hi u hoá các ch c năng c a h  th ng (deny service) ệ ứ ủ ệ ố

§ L i ng ỗ ườ i qu n tr  h  th ng ả ị ệ ố

§ Y u t  con ng ế ố ườ i 

3 Kiến trúc của firewall

Ø Ki n trúc Dual home hostế

Ø Ki n trúc Screened hostế

Ø Ki n trúc Screened subnetế

3.1 Kiến trúc Dual homed host

Firewall ki n trúc ki u ế ể Dual­homed host đ c xây d ng d a trên ượ ự ựmáy tính dual­homed host. M t máy tính đ c g i là ộ ượ ọ dual­homed host n u nó có ít nh t hai ế ấ network interfaces, có nghĩa là máy đó 

có g n hai card m ng giao ti p v i hai m ng khác nhau và nh  th  ắ ạ ế ớ ạ ư ếmáy tính này đóng vai trò là Router m m. Ki n trúc ề ế dual­homed host r t đ n gi n. ấ ơ ả Dual­homed host   gi a, m t bên đ c k t n i ở ữ ộ ượ ế ố

v i ớ Internet và bên còn l i n i v i m ng n i b  (ạ ố ớ ạ ộ ộ LAN)

3.1 Kiến trúc Dual homed host

Dual­homed host ch  có th  cung c p các d ch v  b ng cách  y ỉ ể ấ ị ụ ằ ủquy n (ề proxy) chúng ho c cho phép ặ users đăng nh p tr c ti p vào ậ ự ếdual­homed host. M i giao ti p t  m t ọ ế ừ ộ host trong m ng n i b  và ạ ộ ộhost bên ngoài đ u b  c m, ề ị ấ dual­homed host là n i giao ti p duy ơ ế

nh t.ấ

3.2 Kiến trúc Screened host

Screened  Host  có  c u  trúc  ng c  l i  v i  c u  trúc ấ ượ ạ ớ ấ Dual­homed host.  Ki n  trúc  này cung  c p  các  d ch  v   t  m t ế ấ ị ụ ừ ộ host  bên  trong 

m ng  n i  b ,  dùng  m t ạ ộ ộ ộ Router  tách  r i  v i  m ng  bên  ngoài. ờ ớ ạTrong ki u ki n trúc này,  b o m t chính là phể ế ả ậ ương pháp  Packet  Filtering.

3.2 Kiến trúc Screened host

Bastion  host  đ c  đ t  bên  trong  m ng  n i  b  ượ ặ ạ ộ ộ Packet  Filtering 

được cài trên Router. Theo cách này, Bastion host là h  th ng duy ệ ố

nh t  trong m ng n i b  mà nh ng ấ ạ ộ ộ ữ host trên Internet có th  k t ể ế

n i t i. M c dù v y, ch  nh ng ki u k t n i phù h p (đố ớ ặ ậ ỉ ữ ể ế ố ợ ược thi t ế

l p trong ậ Bastion host) m i đ c cho phép k t n i. B t k  m t ớ ượ ế ố ấ ỳ ộ

h  th ng bên ngoài nào c  g ng truy c p vào h  th ng ho c các ệ ố ố ắ ậ ệ ố ặ

d ch  v   bên  trong  đ u  ph i  k t  n i  t i  host  này.  Vì  th  ị ụ ề ả ế ố ớ ế Bastion host là host c n ph i đ c duy trì   ch  đ  b o m t cao.ầ ả ượ ở ế ộ ả ậ

3.2 Kiến trúc Screened host

Packet filtering cũng cho phép bastion host có th  m  k t n i ra ể ở ế ốbên  ngoài.  C u  hình  c a ấ ủ packet  filtering  trên  screening  router 

3.2 Kiến trúc Screened host

Ø Có th  k t h p nhi u l i vào cho nh ng d ch v  khác nhau.ể ế ợ ề ố ữ ị ụ

Ø M t s  d ch v  độ ố ị ụ ược phép đi vào tr c ti p qua ự ế packet filtering

Ø M t  s   d ch  v   khác  thì  ch   độ ố ị ụ ỉ ược  phép  đi  vào  gián  ti p  qua ếproxy

3.3 Kiến trúc Screened Subnet

Nh m tăng cằ ường kh  năng b o v  m ng n i b , th c hi n chi n ả ả ệ ạ ộ ộ ự ệ ế

lược phòng th  theo chi u sâu, tăng củ ề ường s  an toàn ự cho  bastion  host, tách bastion host kh i các ỏ host khác, ph n nào tránh lây lan ầ

m t  khi ộ bastion  host  b   t n  th ng,  ng i  ta  đ a  ra  ki n  trúc ị ổ ươ ườ ư ếfirewall có tên là Sreened Subnet

3.3 Kiến trúc Screened Subnet

Ki n  trúc ế Screened  subnet  d n  xu t  t   ki n  trúc ẫ ấ ừ ế screened  host 

b ng  cách  thêm  vào  ph n  an  toàn:  m ng  ngo i  vi  (ằ ầ ạ ạ perimeter network) nh m cô l p m ng n i b  ra kh i m ng bên ngoài, tách ằ ậ ạ ộ ộ ỏ ạbastion  host  ra  kh i  các  host  thông  th ng  khác.  Ki u ỏ ườ ể screened subnet đ n gi n bao g m hai ơ ả ồ screened router:

3.3 Kiến trúc Screened Subnet

Router  ngoài  (External  router  còn  g i  là ọ access  router):  n m ằ

gi a m ng ngo i vi và m ng ngoài có ch c năng b o v  cho m ng ữ ạ ạ ạ ứ ả ệ ạngo i  vi  (ạ bastion  host,  interior  router).  Nó  cho  phép  h u  h t ầ ế

nh ng  gì ữ outbound  t   m ng  ngo i  vi.  M t  s   qui  t c ừ ạ ạ ộ ố ắ packet filtering  đ c  bi t  đ c  cài  đ t    m c  c n  thi t  đ   đ   b o  v  ặ ệ ượ ặ ở ứ ầ ế ủ ể ả ệbastion host  và interior router  vì bastion host  còn là host đ c ượcài đ t an toàn   m c cao. Ngoài các qui t c đó, các qui t c khác ặ ở ứ ắ ắ

c n gi ng nhau gi a hai ầ ố ữ Router

3.3 Kiến trúc Screened Subnet

Interior Router (còn g i là ọ choke router): n m gi a m ng ngo i ằ ữ ạ ạ

vi và m ng n i b , nh m b o v  m ng n i b  trạ ộ ộ ằ ả ệ ạ ộ ộ ước khi ra ngoài 

và  m ng  ngo i  vi.  Nó  không  th c  hi n  h t  các  qui  t c ạ ạ ự ệ ế ắ packet filtering c a toàn b  ủ ộ firewall. Các d ch v  mà ị ụ interior router cho phép gi a ữ bastion host và m ng n i b , gi a bên ngoài và m ng ạ ộ ộ ữ ạ

n i b  không nh t thi t ph i gi ng nhau. Gi i h n d ch v  gi a ộ ộ ấ ế ả ố ớ ạ ị ụ ữbastion host và m ng n i b  nh m gi m s  l ng máy (s  l ng ạ ộ ộ ằ ả ố ượ ố ượ

d ch v  trên các máy này) có th  b  t n công khi ị ụ ể ị ấ bastion host b  ị

t n thổ ương và tho  hi p v i bên ngoài.ả ệ ớ

3.4 Một số mô hình firewall trên ISA

Ø Mô hình Edge Firewall

Ø Mô hình 3­Leg Firewall

Ø Mô hình Front back Firewall

3.4 Một số mô hình firewall trên ISA

Ø Mô hình Edge Firewall

3.4 Một số mô hình firewall trên ISA

Ø Mô hình 3­Leg Firewall

3.4 Một số mô hình firewall trên ISA

Ø Mô hình Front Back Firewall

4 Các loại firewall và cách hoạt động

Ø Packet filtering (B  l c gói tin).ộ ọ

Ø Application gateway

4.1 Packet Filtering

Lo i ạ firewall  này th c hi n vi c ki m tra s  nh n d ng  đ a ch  ự ệ ệ ể ố ậ ạ ị ỉ

c a các ủ packet đ  t  đó c p phép cho chúng l u thông hay ngăn ể ừ ấ ư

ch n . Các thông s  có th  l c đặ ố ể ọ ượ ủc c a m t ộ packet nh :ư

Ø Đ a ch  IP n i xu t phát (ị ỉ ơ ấ source IP address)

Ø Đ a ch  IP n i nh n (ị ỉ ơ ậ destination IP address)

Ø C ng TCP n i xu t phát (ổ ơ ấ source TCP port)

Ø C ng TCP n i nh n (ổ ơ ậ destination TCP port)

4.1 Packet Filtering

Lo i ạ Firewall này cho phép ki m soát đ c k t n i vào máy ch , ể ượ ế ố ủkhóa  vi c  truy  c p  vào  h   th ng  m ng  n i  b   t   nh ng  đ a  ch  ệ ậ ệ ố ạ ộ ộ ừ ữ ị ỉkhông  cho  phép.  Ngoài  ra,  nó  còn  ki m  soát  hi u  su t  s   d ng ể ệ ấ ử ụ

nh ng d ch v  đang ho t đ ng trên h  th ng m ng n i b  thông ữ ị ụ ạ ộ ệ ố ạ ộ ộqua các c ng ổ TCP t ng  ng.ươ ứ

b  yêu c u m t đ i tộ ầ ộ ố ượng nào đó trên Internet,  Proxy Server s  ẽ

nh n yêu c u này và chuy n đ n ậ ầ ể ế Server trên Internet. Khi Server trên Internet tr  l i, ả ờ Proxy Server s  nh n và chuy n ng c l i ẽ ậ ể ượ ạcho  ng d ng đã g i yêu c u. C  ch  l c c a ứ ụ ử ầ ơ ế ọ ủ packet filtering k t ế

h p v i c  ch  “đ i di n” c a ợ ớ ơ ế ạ ệ ủ application gateway cung c p m t ấ ộ

kh  năng an toàn và uy n chuy n h n, đ c bi t khi ki m soát các ả ể ể ơ ặ ệ ểtruy c p t  bên ngoài.ậ ừ

4.2 Application Gateway

Ví  d :  M t  h   th ng  m ng  có  ch c  năng ụ ộ ệ ố ạ ứ packet  filtering  ngăn 

ch n các k t n i b ng ặ ế ố ằ TELNET vào h  th ng ngo i tr  m t máy ệ ố ạ ừ ộduy  nh t  ­ ấ TELNET  application  gateway  là  đ c  phép.  M t ượ ộ

người  mu n  k t  n i  vào  h   th ng  b ng ố ế ố ệ ố ằ TELNET  ph i  qua  các ả

bước sau:

4.2 Application Gateway

Ø Th c hi n ự ệ telnet vào máy ch  bên trong c n truy c p.ủ ầ ậ

Ø Gateway ki m tra đ a ch  ể ị ỉ IP n i xu t phát c a ng i truy c p ơ ấ ủ ườ ậ

đ  cho phép ho c t  ch i.ể ặ ừ ố

Ø Người truy c p ph i vậ ả ượt qua h  th ng ki m tra xác th c.ệ ố ể ự

Ø Proxy Service t o m t k t n i ạ ộ ế ố Telnet gi a ữ gateway và máy ch  ủ

c n truy nh p.ầ ậ

Ø Proxy Service liên k t l u thông gi a ng i truy c p và máy ế ư ữ ườ ậ

ch  trong m ng n i b ủ ạ ộ ộ

4.2 Application Gateway

Ø C  ch  b  l c ơ ế ộ ọ packet k t h p v i c  ch  ế ợ ớ ơ ế proxy có nh c đi m ượ ể

là hi n nay các  ng d ng đang phát tri n r t nhanh, do đó n u ệ ứ ụ ể ấ ếcác proxy không đáp  ng k p cho các  ng d ng, nguy c  m t an ứ ị ứ ụ ơ ấtoàn s  tăng lên.ẽ

Ø Thông thường nh ng ph n m m ữ ầ ề Proxy Server ho t đ ng nh  ạ ộ ư

m t ộ gateway n i gi a hai  m ng, m ngbên trong và m ng bên ố ữ ạ ạ ạngoài

k t n i và cách tính cế ố ước mà ISP có th  cung c p.ể ấ

5 Những hạn chế của firewall

Tuy firewall có nh ng  u đi m n i tr i nh ng v n t n t i nh ng ữ ư ể ổ ộ ư ẫ ồ ạ ữ

h n  ch   khi n  firewall  không  th   b o  v   h   th ng  an  toàn  m t ạ ế ế ể ả ệ ệ ố ộcách tuy t đ i. M t s  h n ch  c a firewall có th  k  ra nh  sau:ệ ố ộ ố ạ ế ủ ể ể ư

5 Những hạn chế của firewall

Ø Firewall không b o v  ch ng l i các đe d a t  bên trong n i b  ả ệ ố ạ ọ ừ ộ ộ

ví d  nh  m t nhân viên c  ý ho c m t nhân viên vô tình h p ụ ư ộ ố ặ ộ ợtác v i k  t n công bên ngoài.ớ ẻ ấ

Ø Firewall không th  b o v  ch ng l i vi c chuy n giao gi a các ể ả ệ ố ạ ệ ể ữ

chương trình b  nhi m virus ho c các tâp tin. B i vì s  đa d ng ị ễ ặ ở ự ạ

c a các h  đi u hành và các  ng d ng đủ ệ ề ứ ụ ược h  tr  t  bên trong ỗ ợ ừ

n i b  S  không th c t  và có l  là không th  cho các firewall ộ ộ ẽ ự ế ẽ ểquét các t p tin g i đ n, email… nh m phát hi n virus.ậ ở ế ằ ệ

5 Những hạn chế của firewall

Ø Firewall không th  b o v  ch ng l i các cu c t n công b  qua ể ả ệ ố ạ ộ ấ ỏ

tường l a. Ví d  nh  m t h  th ng bên trong có kh  năng dial­ử ụ ư ộ ệ ố ảout k t n i v i m t ISP ho c m ng LAN bên trong có th  cung ế ố ớ ộ ặ ạ ể

c p  m t  modem  pool  có  kh   năng  dial­in  cho  các  nhân  viên  di ấ ộ ả

đ ng hay các ki u t n công d ng social engineering nh m đ m ộ ể ấ ạ ắ ế

đ i tố ượng là các người dùng trong m ng.ạ