Đối với lỗi gây đình trệ hệ thống, phần lớn do hệ thống nội bộ trong các doang nghiệp, tổ chức có lỗi, chẳng hạn như đường mạng bị đứt, thiết bị bị hỏng, mất điện cục bộ, ứng dụng bị lỗi
Trang 1TRƯỜNG ĐẠI HỌC NHA TRANG KHOA CÔNG NGHỆ THÔNG TIN - -
ĐỒ ÁN TỐT NGHIỆP
GVHD: Thạc sỹ Ngô Văn Công Sinh viên: Nguyễn Thị Luyến Lớp: 50TH1
Trang 2BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC NHA TRANG KHOA CÔNG NGHỆ THÔNG TIN - -
ĐỒ ÁN TỐT NGHIỆP
GVHD: Thạc sỹ Ngô Văn Công Sinh viên: Nguyễn Thị Luyến Lớp: 50TH1
Trang 3LỜI MỞ ĐẦU
Mỗi ngày có hàng ngàn người truy cập vào trang web của doang nghiệp, tổ chức, hàng triệu thuê bao sử dụng điện thoại và các dịch vụ gia tăng của nhà cung cấp, hàng nghìn tỷ đồng giao dịch giữa các ngân hàng Điều gì sẽ xảy nếu các dịch vụ đó hoạt động kém cỏi, ì ạch hay trong một giờ tất cả những hoạt động đó bị ngừng lại? Doanh nghiệp
sẽ mất đi cả trăm khách hàng, đối tác tiềm năng, nhà cung cấp bị phàn nàn, các hoạt động giao dịch, kinh doanh của khách hàng bị ảnh hưởng, hàng nghìn nhà đầu tư bị mất chi phí, cơ hội Đó không chỉ là thiệt hại về kinh tế mà còn về uy tín, hình ảnh, sức cạnh tranh
Nguyên nhân gây ra tình trạng trên có thể do hạ tầng mạng, phần cứng, phần mềm hiệu năng thấp, cũng có thể do hệ thống bị tấn công, hệ thống không được sử dụng tối ưu, không có cơ chế tăng tốc Đối với lỗi gây đình trệ hệ thống, phần lớn do hệ thống nội bộ trong các doang nghiệp, tổ chức có lỗi, chẳng hạn như đường mạng bị đứt, thiết bị bị hỏng, mất điện cục bộ, ứng dụng bị lỗi, máy chủ bị lỗi hay bị tấn công và có thể xảy ra ở bất cứ hệ thống nào, bất cứ lúc nào
Để tránh tình trạng trên, các doanh nghiệp đều đã và đang đầu tư hệ thống hạ tầng một cách bài bản nhằm đạt hiệu năng cao Đó là việc trang bị các máy chủ ứng dụng mạnh, có dự phòng Tuy nhiên, nếu tại mỗi thời điểm mỗi chức năng chi có một server hoạt động hoặc không có giải pháp chuyên dụng để cân bằng tải cho các server thì không thể đáp ứng được nhu cầu của hệ thống ứng dụng đồ sộ, đòi hỏi hoạt động liên tục như các trang web thương mại điện tử, các ứng dụng nhiều người dùng, các hoạt động tiền tệ, tài chính, các cửa ngõ giao tiếp với khách hàng của ngân hàng, chứng khoán, nhà cung cấp dịch vụ Do đó, cần phải có nhiều server cùng đồng thời cung cấp một dịch vụ cho hệ thống, cung cấp hiệu năng và tính sẳn sàng cao hơn, tính tin cậy cao hơn Làm sao để các server đó có thể phối hợp với nhau hiệu quả, đảm bảo tính sẳn sàng, liên tục, an toàn Đó
là lý do ra đời của các giải pháp cân bằng tải
Hiện nay, để cân bằng tải cho hệ thống mạng của doanh nghiệp thì chúng ta có nhiều giải pháp như sử dụng Router Cisco, dùng tường lửa của Microsoft như ISA…
Trang 4Tuy nhiên những thành phần kể trên tương đối tốn kém Vì vậy đối với người dùng không muốn tốn tiền nhưng lại muốn có một tường lửa bảo vệ hệ thống mạng bên trong (mạng nội bộ) khi mà chúng ta giao tiếp vối hệ thống mạng bên ngoài (Internet) thì PFSENSE là một giải pháp tiết kiệm và hiệu quả tương đối tốt nhất đối với người dùng
Firewall pfSense sẽ giải quyết các vấn đề bảo mật cho doanh nghiệp vừa và nhỏ Sau bài giới thiệu Trong luận văn này sẽ hiểu rõ hơn về các tính năng của pfsense cũng như các điểm mạnh và yếu của pfsense với các phần mềm khác
Luận văn bao gồm năm chương:
Chương 1: Tìm hiểu tổng quan về firewall
Chương 2: Lý thuyết cân bằng tải
Chương 3: Tìm hiểu pfsense
Chương 4: Xây dựng mô hình
Chương 5: Triển khai và đánh giá hệ thống
Trang 5LỜI CẢM ƠN
Trong thời gian thực hiện đồ án vừa qua, em đã rút ra được rất nhiều kinh nghiệm thực tế mà khi ngồi trên ghế nhà trường không thể có được Để hoàn thành bài thực tập này ngoài sự nỗ lực của bản thân, em còn nhận được sự giúp đỡ và động viên của nhiều người
Đầu tiên em xin gửi lời cảm ơn đến quý thầy cô trong khoa Công nghệ thông tin đã trang bị cho em những kiến thức vô cùng quý giá trong suốt quá trình học Đặc biệt là nhờ sự chỉ bảo hướng dẫn và góp ý tận tình của thầy Ngô Văn Công trong quá trình thực hiện đồ án này Bên cạnh đó, em gửi lời cảm ơn đến gia đình, bạn bè, những người đã luôn động viên, cổ vũ tinh thần và luôn tạo những điều kiện thuận lợi để em hoàn thành
đề tài này
Trong quá trình thực hiện đồ án và làm báo cáo, do còn thiếu nhiều kinh nghiệm thực tế nên không tránh khỏi những sai sót Em mong các thầy cô chỉ bảo thêm giúp em hoàn thành và xây dựng đồ án thành một ứng dụng thực tế
Em xin chân thành cảm ơn!
Nha Trang, ngày 20 tháng 6 năm 2012
Sinh viên thực tập Nguyễn Thị Luyến
Trang 6LỜI NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN
Trang 7
LỜI NHẬN XÉT CỦA GIẢNG VIÊN PHẢN BIỆN
Trang 8
MỤC LỤC
Chương 1: Tổng quan firewall 1
I Khái quát về firewall 1
1 Khái niệm firewall 1
2 Chức năng 1
2.1 Quản lý và điều khiển luồng dữ liệu trên mạng 2
2.2 Chuyển đổi địa chỉ mạng (NAT) 2
2.3 Xác thực quyền truy cập 4
2.4 Hoạt động như một thiết bị trung gian 4
2.5 Bảo vệ tài nguyên 5
2.6 Ghi nhận và báo cáo các sự kiện 6
3 Hạn chế 6
II Phân loại firewall 7
1 Phân loại theo các sản phầm firewall 8
1.1 Firewall phần mềm (Software firewalls) 8
1.2 Firewall phần cứng (Appliance firewalls) 9
1.3 Firewall tích hợp (Intergrated firewalls) 10
2 Phân loại theo các công nghệ firewall 10
3 Firewall mã nguồn mở và firewall mã nguồn đóng 14
III Các thành phần của firewall 14
1 Bộ lọc gói tin(Packet filleting route) 14
2 Cổng ứng dụng( Application level gateway hay proxy server) 16
3 Cổng mạch (Circuite level gateway) 18
IV Các kiến trúc firewall cơ bản 19
1 Kiến trúc Dual – Homed Host(Máy chủ trung gian) 21
2 Kiến trúc Screend Host 22
3 Kiến trúc Screened Subnet 24
V Lựa chọn giải pháp firewall 26
Trang 9I Khái niệm cân bằng tải 27
1 Cân bằng tải chiều ra - Outbound Load-balancing 27
2 Cân bằng tải chiều vào - Load-balancing Inbound 28
3 Cân bằng tải cho server - Server Loadbacing 29
II Các tính năng cân bằng tải 30
III Các giải pháp cân bằng tải 32
1 Cân bằng tải bằng phần mềm cài trên máy chủ 32
2 Cân bằng tải nhờ proxy 32
3 Cân bằng tải nhờ thiết bị chia kết nối 33
IV Một số kịch bản cân bằng tải 34
1 Kịch bản Active - Standby (hoạt động - chờ) 34
2 Kịch bản Active – Active 35
3 VRRP 36
4 xxRP 37
5 Cáp Fail – Over 37
6 Stateful Fail – Over (Fail – Over có trạng thái) 38
Chương 3: Tổng quan về pfsense 39
I Giới thiệu pfsense 39
II Cài đặt và cấu hình 41
1 Yêu cầu phần cứng 41
2 Cài đặt pfsense 41
3 Thiết lập card mạng cho máy pfsense 44
4 Đặt IP và thiết lập DHCP cấp phát vào bên trong mạng LAN 45
5 Cấu hình Pfsense qua giao diện web – WebGUI 46
6 Cài đặt Packages 51
7 Backup and Recovery 53
III Một số dịch vụ và ứng dụng của Pfsense 54
1 Một số tính năng của Pfsense firewall 54
1.1 Pfsense Aliases 54
Trang 101.2 Network Address Translation(NAT) 55
1.3 Pfsense rules 56
1.4 Pfsense schedules 57
1.5 Traffic Shapers 58
1.6 Virtual IPs 62
2 Một số dịch vụ của Pfsense 63
2.1 Captive Portal 63
2.2 DHCP Server 67
2.3 Load Balancer 67
3 VPN trên Pfsense 71
3.1 VPN PPTP 71
3.2 Open VPN 74
Chương 4: Xây dựng mô hình 79
I Xây dựng mô hình cân bằng tải cho các farm server 79
1 Mô hình thực tế 79
2 Mô hình Lab 80
II Xây dựng mô hình cân bằng tải đường WAN 81
1 Mô hình thực tế 81
2 Mô hình Lab 82
III Xây dựng mô hình cân bằng tải firewall 83
Chương 5: Triển khai và đánh giá hệ thống 85
I Triển khai mô hình cân bằng tải cho các farm server 85
1 Cài đặt server Apache 85
2 Triển khai mô hình 88
3 Kiểm tra, đánh giá 91
II Triển khai mô hình cân bằng tải đường WAN 93
1 Cấu hình Routing and remote access trên server 2003 93
2 Cài đặt, cấu hình pfsense 99
Trang 113.1 Kiểm tra, chỉnh sửa Gateway 103
3.2 Thêm Gateway Group 104
3.3 Sử dụng Gateway Group trong rules firewall của interface LAN 107
4 Kiếm tra, đánh giá 114
III Triển khai mô hình cân bằng tải firewall 116
1 Cài đặt, cấu hình primary firewall 116
2 Cài đặt, cấu hình Backup firewall 119
3 Kiểm tra, đánh giá 120
Chương 6: Tổng kết 122
TÀI LIỆU THAM KHẢO 123
Trang 12DANH MỤC HÌNH
Hình 1-1 Firewall cơ bản 1
Hình 1-2 Ví dụ về firewall NAT 4
Hình 1-3 Proxy Firewall 5
Hình 1-4 Phân loại firewall 7
Hình 1-5 Packet filtering firewall 11
Hình 1-6 Circuit-level firewalls 12
Hình 1-7 Proxy firewalls 12
Hình 1-8 Stateful firewalls 13
Hình 1-9 Packet filtering router 15
Hình 1-10 Application gateway 16
Hình 1-11 Hành động sử dụng telnet qua cổng vòng 19
Hình 1-12 Kiến trúc firewall cơ bản 20
Hình 1-13 Cấu trúc chung của một hệ thống Firewall 20
Hình 1-14 Kiến trúc Dual-homed host 22
Hình 1-15 Kiến trúc Screened host 24
Hình 1-16 Kiến trúc Screened subnet 25
Hình 2-1 Outbound Load-balancing 28
Hình 2-2 Load-balancing Inbound 29
Hình 2-3 Server Loadbalancing 29
Hình 2-4 Kịch bản Active- Standby 34
Hình 2-5 Hoạt động của kịch bản active - standby 35
Hình 2-6 Kịch bản Active - Active 35
Hình 2-7 Hoạt động của kịch bản Active - Active 36
Hình 2-8 Hoạt động của VRRP 36
Hình 3-1 Logo Pfsense 39
Hình 3-2 Cấu trúc fireưall pfsense 40
Hình 3-3 Màn hình wellcome to FressBSD 41
Trang 13Hình 3-5 Chọn Accept these Setting để cài đặt 42
Hình 3-6 Chọn quick/ Easy Install để cài đặt vào ổ cứng 43
Hình 3-7 Chọn Reboot để khởi động lại hệ thống 43
Hình 3-8 Giao diện textmode 44
Hình 3-9 Thiết lập card mạngcho máy pfsense 44
Hình 3-10 Thông tin card mạng sau khi thiết lập 45
Hình 3-11 Thiết lập địa chỉ IP cho LAN 45
Hình 3-12 Đặt IP và thiết lập DHCP cho mạng LAN 46
Hình 3-13 Màn hình đăng nhập 46
Hình 3-14 Giao diện WEBGUI 47
Hình 3-15 Khai báo DNS 47
Hình 3-16 Chọn múi giờ cho máy pfsense 48
Hình 3-17 Cấu hình interface WAN 48
Hình 3-18 Đặt địa chỉ IP cho LAN trên giao diện web 49
Hình 3-19 Cấu hình DHCP LAN trên giao diện web 49
Hình 3-20 Thiết lập lại mật khẩu cho admin 50
Hình 3-21 Reload lại hệ thống 50
Hình 3-22 Giao diện pfsense trên nền web 51
Hình 3-23 Giao diện cài đặt packages 51
Hình 3-24 Cài đặt packages 52
Hình 3-25 Danh sách các packages được cài đặt 52
Hình 3-26 Sao lưu hệ thống 53
Hình 3-27 Phục hồi hệ thống 53
Hình 3-28 Pfsense Aliases 54
Hình 3-29 Tạo alias webport quy định các cổng cho server 55
Hình 3-30 Pfsense rules 56
Hình 3-31 Hai rules được mặc định trong tab LAN 56
Hình 3-32 Tạo rule cấm truy cập web sử dụng cổng 80 cho các máy LAN 57
Hình 3-33 Pfsense schedules 57
Trang 14Hình 3-34 Lịch giờ làm việc 58
Hình 3-35 Chi tiết lịch làm việc 58
Hình 3-36 Traffic Sharper 59
Hình 3-37 Cấu hình Traffic Sharper 59
Hình 3-38 Voice over IP 60
Hình 3-39 Penalty Box 60
Hình 3-40 Peer to peer netwworking 61
Hình 3-41 Network Games 61
Hình 3-42 Raise of lower other Applications 62
Hình 3-43 Captive portal 63
Hình 3-44 Các tính năng trong menu Captive Portal 64
Hình 3-45 Các tính năng trong menu Captive Portal 65
Hình 3-46 Các tính năng trong menu Captive Portal 66
Hình 3-47 DHCP server 67
Hình 3-48 Load balancer 68
Hình 3-49 Tạo pool cân bằng tải 68
Hình 3-50 Chọn monitor cho pool load balacing 69
Hình 3-51 Tạo một rules áp dụng pool cân bằng tải 69
Hình 3-52 Các thông số tùy chỉnh trong firewall rules 70
Hình 3-53 Tình trang cân bằng tải khi 2 đường truyền online 70
Hình 3-54 Cân bằng tải khi 1 đường truyền offline, 1 đường truyền online 71
Hình 3-55 Cấu hình PPTP VPN 72
Hình 3-56 Chọn mã hóa 128 bit 72
Hình 3-57 Tạo rule cho phép PPTP client kết nối đến mạng LAN 73
Hình 3-58 Tạo kết nối VPN 73
Hình 3-59 Nhập IP PPTP server 74
Hình 3-60 Nhập username, password để kết nối 74
Hình 3-61 Chọn loại server chứng thực 74
Trang 15Hình 3-63 Tạo server chứng thực 76
Hình 3-64 Thông tin cấu hinh server certificate 76
Hình 3-65 Cấu hình Tunneling network 77
Hình 3-66 Thêm rule cho OpenVPN server 77
Hình 3-67 Kết quả sau khi cấu hình 77
Hình 3-68 OpenVPN client đã được cài đặt 78
Hình 4-1 Mô hình cân bằng tải server thực tế 79
Hình 4-2 Mô hình cân bằng tải webserver trong bài LAB 80
Hình 4-3 Mô hình cân bằng tải đường WAN thực tế 81
Hình 4-4 Mô hình LAB cân bằng tải đường WAN 82
Hình 4-5 Mô hình cân bằng tải firewall 83
Hình 5-1 Giao diện cài đặt Apache 85
Hình 5-2 Chọn "I accept the terms in the license agreement" để tiếp tục cài đặt 85
Hình 5-3 Thiết lập thông tin cho Apache 86
Hình 5-4 Chọn kiểu cài đặt Apache 86
Hình 5-5 Chọn nơi lưu Appche 87
Hình 5-6 Chọn Install để cài đặt Apache 87
Hình 5-7 Giao diện web localhost 88
Hình 5-8 Tạo Monitor 89
Hình 5-9 Monitor sau khi tạo 89
Hình 5-10 Tạo Server Pool 90
Hình 5-11 Thêm webserver vào pool 90
Hình 5-12 Pool sau khi tạo 90
Hình 5-13 Tạo virtual server 91
Hình 5-14 Server ảo sau khi tạo 91
Hình 5-15 Tình trang webserver khi online 91
Hình 5-16 Trạng thái khi có 1 server offline 92
Hình 5-17 Client nhận phản hồi từ server apache 1 92
Hình 5-18 Client nhận phản hồi từ server apache 1 93
Trang 16Hình 5-19 Thiết lập card mạng cho máy ảo 2003 94
Hình 5-20 Thiết lập IP cho interfaces 2 94
Hình 5-21 Thiết lập ip cho interfaces 3 95
Hình 5-22 Bật chức năng Rooting and remote access 95
Hình 5-23 Chọn customconfigution 96
Hình 5-24 Chọn NAT and basic firewall 96
Hình 5-25 Thêm interface cho NAT 97
Hình 5-26 Cấu hình interface brigde làm public interface 97
Hình 5-27 Cấu hình 2 interface còn lại làm private interface 98
Hình 5-28 Các interface sau khi cấu hình NAT 98
Hình 5-29 Địa chỉ MAC của các interface 99
Hình 5-30 Gán IP cho interface WAN 100
Hình 5-31 Gán IP cho interface OPT1 100
Hình 5-32 Đặt địa chỉ IP cho interface LAN 101
Hình 5-33 Cấp phát DHCP cho các máy trong LAN 101
Hình 5-34 Kiểm tra trạng thái Gateway 102
Hình 5-35 Khai báo DNS cho pfsense 102
Hình 5-36 Kiểm tra Gateway 103
Hình 5-37 Tạo Gateway Group Load Balancing 105
Hình 5-38 Tạo Gateways WANFailToOPT1 106
Hình 5-39 Tạo Gateways OPT1FailToWAN 106
Hình 5-40 Tạo Rule Load Balancing 107
Hình 5-41 Chọn Gateways Load Balancing 108
Hình 5-42 Tạo Rule WANFailToOPT1 108
Hình 5-43 Chọn Gateways WANFailToOPT1 109
Hình 5-44 Tạo Rule OPT1FailToWAN 109
Hình 5-45 Chọn Gateways OPT1FailToWAN 110
Hình 5-46 Tạo rule LANtoWAN 111
Trang 17Hình 5-48 Tạo Rule LANtoOPT1 112
Hình 5-49 Chọn gateway LANtoOPT1 112
Hình 5-50 Rule LAN 113
Hình 5-51 Cấu hình DNS 113
Hình 5-52 Kiểm tra cân bằng tải 114
Hình 5-53 Cân bằng tải chuyển qua WAN 2 115
Hình 5-54 Tạo IP WAN ảo 116
Hình 5-55 Tạo IP LAN ảo 117
Hình 5-56 IP mạng ảo sau khi tạo 117
Hình 5-57 Đồng bộ hóa CARP trên tường lửa chính 118
Hình 5-58 Đồng bộ hóa CARP trên tường lửa chính 118
Hình 5-59 Tạo một firewall rule mới 119
Hình 5-60 Cấu hình firewall rules 119
Hình 5-61 Trạng thái CARP primary firewall khi 2 firewall hoạt động 120
Hình 5-62 Trạng thái CARP bckup firewall khi 2 firewall hoạt động 120
Hình 5-63 Trạng thái CARP primary firewall khi tắt primary firewall 121
Trang 18Chương 1: Tổng quan firewall
1 Khái niệm firewall
Firewall là một hệ thống hay một hệ thống kết hợp trong đó có thiết lập một đường biên giữa hai hay nhiều mạng Firewall cài đặt các luật về bảo mật để phân cách giữa mạng với các kết nối không mong muốn để giữ cho những thông tin quan trọng tránh sự hiểm trong khi vẫn cho lưu thông cũng như hạn chế sự xâm nhập vào hệ thống của một số thông tin khác không mong muốn Cũng có thể hiểu rằng Firewall là một cơ chế để bảo vệ mạng tin tưởng(trusted network) khỏi các mạng không tin tưởng(untrusted network)
Hình 1-1 Firewall cơ bản
Firewall có thể hoạt động ở những tầng mạng khác nhau trong mô hình OSI
và TCP/IP Tầng thấp nhất là tầng mạng và có thể thực hiện các chức năng phức tạp hơn như lọc băng thông dựa vào gói tin ở tầng ứng dụng
2 Chức năng
Về cơ bản firewall có khả năng thực hiện các nhiệm vụ sau đây:
Quản lý và điều khiển luồng dữ liệu trên mạng
Chuyển đổi địa chỉ mạng(Network address tranlation)
Xác thực quyền truy cập
Trang 19Hoạt động như một thiết bị trung gian
Bảo vệ tài nguyên
Ghi nhận và báo cáo các sự kiện
2.1 Quản lý và điều khiển luồng dữ liệu trên mạng
Việc đầu tiên và cơ bản nhất mà tất cả các firewall đều có là quản lý và kiểm soát luồng dữ liệu trên mạng, firewall kiểm tra các gói tin và giám sát các kết nối đang thực hiện và sau đó lọc các kết nối dựa trên kết quả kiểm tra gói tin và các kết nối được giám sát
Kiểm tra gói tin (Packet inspection) là quá trình chặn và xử lý dữ liệu trong một gói tin để xác định xem nó được phép hay không được phép đi qua firewall Kiểm tra gói tin có thể dựa vào các thông tin sau:
- Địa chỉ IP, port nguồn hay đích: Hạn chế sự truy cập từ host hay mạng thông qua địa chỉ IP
- Trường IP protocol: UDP, TCP, ICMP và IGMP
- Thông tin chứa trong phần đầu của mỗi gói tin (sequence numbers, checksums, data flags, payload information…)
Connections và state: Khi hai TCP/IP host muốn giao tiếp với nhau, chúng cần thiêt lập một số kết nối với nhau Các kết nối phục vụ hai mục đích Thứ nhất,
nó dùng để xác thực bản thân các host với nhau Friewall dùng các thông tin kết nối này để xác định kết nối nào được phép và các kết nối nào không được phép.Thứ hai, các kết nối dùng để xác định cách thức mà hai host sẽ liên lạc với nhau (dùng TCP hay dùng UDP…)
Stateful Packet Inspection (giám sát gói tin theo trạng thái): Statefull packet inspection không những kiểm tra gói tin bao gồm cấu trúc, dữ liệu gói tin … mà kiểm tra cả trạng thái gói tin
2.2 Chuyển đổi địa chỉ mạng (NAT)
Giải pháp bắt nguồn từ sự khan hiếm của địa chỉ mạng cho các host trong mạng riêng Firewall chuyển đổi địa chỉ IP trong mạng riêng thành địa chỉ IP chung, duy nhất có thể được sử dụng trên internet Nó sẽ che dấu các thông tin về
Trang 20các host bên trong mạng của mạng riêng bằng cách tạo ra tất cả các kênh truyền thông với một địa chỉ IP duy nhất
NAT che dấu bất kì địa dải IP nào cho địa chỉ mạng bên trong mạng riêng bằng cách chuyển đổi các địa chỉ này sang địa chỉ của tường lửa khi gói tin qua tường lửa này
Một firewall cài đặt chức năng NAT bằng cách tạo một bảng chuyể đổi để ánh xạ các socket bên trong với các socket bên ngoài Khi một host trong mạng riêng muốn thiết lập một kết nối với mạng bên ngoài, firewall sẽ tự động trao đổi socket bên trong với socket của firewall và tạo một mục trong bảng chuyển đổi Sau đó firewall sẽ gửi yêu cầu tới host bên ngoài thay cho client bên trong mạng Khi firewall nhận được câu trả lời từ host bên ngoài nó sẽ thự hiện quá trình chuyể đổi ngược lại
Ví dụ: Một host trong mạng với địa chỉ IP 25.0.10.20:1234 muốn truy cập
vào trang web trên mạng với địa chỉ IP 172.17.20.30 tới firewall 127.110.121.1
Firewall nhận yêu cầu sẽ tạo mục tỏng bảng chuyển đổi:
Source: 25.0.10.20:1234 Destination: 172.17.20.30:80 Tralation: 127.110.121.1:15485 Host đích sẽ nhận gói tin từ 127.110.121.1:15485
Trang 21Hình 1-2 Ví dụ về firewall NAT
2.3 Xác thực quyền truy cập
Firewall có thể xác thực quyền truy cập bằng nhiều cơ cấu xác thực khác nhau Thứ nhất, firewall có thể yêu cầu username và password của người dùng khi người dùng truy cập (thường được biết đến như là extended authentication hoặc xauth) Sau khi firewall xác thực xong người dùng, firewall cho phép người dùng thiết lập kết nối và sau đó không hỏi username và password lại cho các lần truy cập sau (thời gian firewall hỏi lại username và password phụ thuộc vào cách cấu hình của người quản trị) Thứ hai, firewall có thể xác thực người dùng bằng certificates và public key Thứ ba, firewall có thể dùng pre-shared keys (PSKs) để xác thực người dùng
2.4 Hoạt động nhƣ một thiết bị trung gian
Khi user thực hiện kết nối trực tiếp ra bên ngoài sẽ đối mặt với vô số nguy
cơ về bảo mật như bị virus tấn công, nhiễm mã độc hại… do đó việc có một thiết
Trang 22bị trung gian đứng ra thay mặt user bên trong để thực hiện kết nối ra bên ngoài là cần thiết để đảm bảo an toàn Firewall được cấu hình để thực hiện chức năng này
và firewall được ví như một proxy trung gian
Hình 1-3 Proxy Firewall
Proxy server thay thế kết nối trực tiếp giữa client và server với dịch vụ của
nó, được thiết kế để lưu bản copy của các web server trên server nhằm giảm sự lặp lại quá trình truy cập vào một trang web
Khi host bên trong network muốn truy cập vào trang web trên internet, proxy nhận yêu cầu từ host, tìm trang web trong bộ nhớ đệm, nếu có trong bộ đệm thì nó sẽ gửi trang web về cho host, nếu không có thì nó sẽ chuyển yêu cầu này đến đích thay cho host
2.5 Bảo vệ tài nguyên
Nhiệm vụ quan trọng nhất của một firewall là bảo vệ tài nguyên khỏi các mối đe dọa bảo mật Việc bảo vệ này được thực hiện bằng cách sử dụng các quy
Trang 23kết hợp tất cả để bảo vệ tài nguyên khỏi bị truy cập bất hợp pháp hay bị lạm dụng Tuy nhiên, firewall không phải là một giải pháp toàn diện để bảo vệ tài nguyên của chúng ta
2.6 Ghi nhận và báo cáo các sự kiện
Ta có thể ghi nhận các sự kiện của firewall bằng nhiều cách nhưng hầu hết các firewall sử dụng hai phương pháp chính là syslog và proprietaty logging format Bằng cách sử dụng một trong hai phương pháp này, chúng ta có thể dễ dàng báo cáo các sự kiện xẩy ra trong hệ thống mạng
3 Hạn chế
Tuy firewall có những ưu điểm nổi trội nhưng vẫn tồn tại những hạn chế khiến firewall không thể bảo vệ hệ thống an toàn một cách tuyệt đối Một số hạn chế của firewall có thể kể ra như sau:
Firewall chỉ có thể ngăn chặn sự xâm nhập của những nguồn thông tin không mong muốn nhưng phải xác định rõ các thông số địa chỉ
Firewall không thể bảo vệ chống lại các cuộc tấn công bỏ qua tường lửa Ví
dụ như một hệ thống bên trong có khả năng dial-out kết nối với một ISP hoặc mạng LAN bên trong có thể cung cấp một modem pool có khả năng dial-in cho các nhân viên di động hay các kiểu tấn công dạng social engineering nhắm đếm đối tượng là các người dùng trong mạng
Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu drivent attack) Bởi vì sự đa dạng của các hệ điều hành và các ứng dụng được hỗ trợ từ bên trong nội bộ Sẽ không thực thế và có lẽ là không thể cho các firewall quét các tập tin gởi đến, email… nhằm phát hiện virus Khi đó một số chương trình được chuyển theo thư điện tử, vượt qua Firewall vào trong mạng được bảo vệ
(data-và bắt đầu hoạt động ở đây
Một ví dụ là các virus máy tính Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả năng kiểm soát của Firewall Firewall có thể ngǎn chặn những kẻ xấu từ bên ngoài
Trang 24nhưng còn những kẻ xấu ở bên trong thì sao Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu được áp dụng rộng rãi
Firewall không bảo vệ chống lại các đe dọa từ bên trong nội bộ ví dụ như một nhân viên cố ý hoặc một nhân viên vô tình hợp tác với kẻ tấn công bên ngoài
Firewall có thể được phân loại theo hai loại sau:
Personal firewall
Network firewall
Sự khác biệt chính giữa hai loại trên chính là số lượng host được firewall bảo vệ Trong khi Personal firewall chỉ bảo vệ cho một máy duy nhất thì Network firewall lại bảo vệ cho một hệ thống mạng, trong Network firewall nó lại được chia thành các nhóm chính như sau:
Packet-filtering firewalls (stateful và nonstateful)
Circuit-level gateways
Application-level gateways.Hình dưới đây sẽ mô tả các kiểu firewall chính hiện có trong hai loại personal firewall và network firewall:
Trang 25Personal Firewalls:
Personal firewalls được thiết kế để bảo vệ một máy trước những truy cập trái phép Trong quá trình phát triển, personal firewall đã được tích hợp thêm nhiều chức năng bổ sung như theo dõi phần mềm chống virus, phần mềm phát hiện xâm nhập để bảo vệ thiết bị Một số personal firewalls phổ biến như Cisco Security Agent, Microsoft Internet connection firewall, Symantec personal
firewall…
Personal firewall rất hữu ích đối với người dùng gia đình và cá nhân bởi vì
họ đơn giản chỉ cần bảo vệ từng máy tính riêng rẻ của họ nhưng đối với doanh nghiệp điều này lại gây bất tiện, khi số lượng host quá lớn thì chi phí cho việc thiết lập, cấu hình và vận hành personal firewall là một điều cần phải xem xét
Network Firewalls:
Network firewall được thiết kế để bảo vệ các host trong mạng trước sự tấn công Một số ví dụ về appliance-based network firewalls như Cisco PIX, Cisco ASA, Juniper NetScreen firewall, Nokia firewalls, Symantec’s Enterprise
Firewall Và một số ví dụ về software-base firewalls include Check Point’s
Firewall, Microsoft ISA Server, Linux-based IPTables
Cùng với sự phát triển của công nghệ, firewall dần được tích hợp nhiều tính năng mới như phát hiện xâm nhập, thiết lập kết nối VPN cũng như nhiều sản phẩm firewall mới ra đời
1 Phân loại theo các sản phầm firewall
1.1 Firewall phần mềm (Software firewalls)
Software firewalls – firewall mềm – là những firewall được cài đặt trên một
hệ điều hành Firewall mềm bao gồm các sản phẩm như SunScreen firewall, IPF, Microsoft ISA server, Check Point NG, Linux’s IPTables …Firewall mềm thường đảm nhận nhiều vai trò hơn firewall cứng, nó có thể đóng vai trò như một DNS server hay một DHCP server
Trang 26mô nhỏ
Tính linh hoạt cao: Có thể thêm bớt các quy tắc, chức năng
Hoạt động ở tầng cao hơn firewall phần cứng: tầng ứng dụng
Có thể kiểm tra được nội dung của gói tin thông qua các từ khóa
Firewall phần mềm cũng là một lựa chọn phù hợp đối với máy tính xách tay
vì máy tính sẽ vẫn được bảo vệ cho dù mang máy tính đi bất kỳ nơi nào
Nhƣợc điểm:
Một nhược điểm của firewall mềm là nó được cài đặt trên một hệ điều hành
và do đó khả năng có lỗ hổng trên hệ điều hành này là có thể xẩy ra Khi lỗ hổng được phát hiện và được cập nhật bản vá lỗi, rất có thể sau khi cập nhật bản vá lỗi cho hệ điều hành thì firewall không hoạt động bình thường như trước, do đó cần tiến hành cập nhật bản vá cho firewall từ nhà cung cấp sản phẩm firewall
Do hệ điều hành mà firewall mềm chạy trên nó không được thiết kế tối ưu cho firewall nên firewall mềm có hiệu suất thấp hơn firewall cứng
Do phải cài đặt và cấu hình để sử dụng nên cần có một bản sao riêng cho mỗi máy tính
1.2 Firewall phần cứng (Appliance firewalls)
Firewall phần cứng là những firewall được tích hợp sẵn trên các phần cứng chuyên dụng, thiết kế dành riêng cho firewall Các sản phẩm firewall cứng đáng chú ý như Cisco PIX, NetScreen firewall, SonicWall Appliaces, WatchGuard Fireboxes, Nokia firewall…
Trang 27Nhƣợc điểm:
Hạn chế của firewall cứng là khả năng tích hợp thêm các chức năng bổ sung khó khăn hơn firewall mềm, chẳng hạn như chức năng kiểm soát thư rác đối với firewall mềm chỉ cần cài đặt chức năng này như một ứng dụng còn đối với firewall cứng phải có thiết bị phần cứng hỗ trợ cho chức năng này
Firewall cứng không được linh hoạt như firewall mềm ( không thể thêm chức năng, thêm các quy tắc như trên firewall mềm)
Firewall cứng hoạt động ở tầng thấp hơn Firewall mềm (Tầng Network và tầng Transport)
Firewall cứng không thể kiểm tra được nột dung của gói tin
1.3 Firewall tích hợp (Intergrated firewalls)
Firewall tích hợp ngoài chức năng cơ bản của firewall thì nó còn đảm nhận các chức năng khác như VPN, phát hiện phòng chống xâm nhập, lọc thư rác, chống virus Lợi ích của việc dùng firewall tích hợp là đơn giản hóa thiết kế mạng bằng cách giảm lượng thiết bị mạng cũng như giảm chi phí quản lý, giảm gánh nặng cho các chuyên viên quản trị, ngoài ra nó còn tiết kiệm chi phí hơn so với việc dùng nhiều thiết bị cho nhiều mục đích khác nhau
Tuy nhiên việc tích hợp nhiều chức năng trên cùng một thiết bị dẫn đến khó khăn trong khắc phục sự cố vì tính phức tạp của hệ thống khi tích hợp
2 Phân loại theo các công nghệ firewall
Dựa vào công nghệ sử dụng trong firewall người ta chia firewall thành các loại như sau:
Trang 28Personal firewalls: được thiết kế để bảo vệ một host duy nhất, thường được
tích hợp sẵn trong các laptop, desktop…
Packet filters: là thiết bị được thiết kế để lọc gói tin dựa trên những đặc
điểm đơn giản của gói tin Packet filters tiêu biểu cho dạng statless vì nó không giữ bảng trạng thái các kết nối và không kiểm tra trạng thái các kết nối
Hình 1-5 Packet filtering firewall
Network Address Translations (NAT) firewalls: Thực hiện chức năng
chuyển đổi địa chỉ IP public thành địa IP private và ngược lại, nó cung cấp cơ chế che dấu IP các host bên trong
Circuit-level firewalls: Hoạt động tại lớp session của mô hình OSI, nó giám
sát các gói tin “handshaking” đi qua firewall, gói tin được chỉnh sửa sao cho nó xuất phát từ circuit-level firewall, điều này giúp che dấu thông tin của mạng được bảo vệ
Trang 30Stateful firewalls: Được kết hợp với các firewall khác như NAT firewall, circuit-level firewall, proxy firewall thành một hệ thống firewall, nó không những kiểm tra các đặc điểm của gói tin mà lưu giữ và kiểm tra trạng thái của các gói tin
đi qua firewall, một ví dụ cho statefull firewall là sản phẩm PIX firewall của Cisco
Hình 1-8 Stateful firewalls
Transparent firewall: Hoạt động ở layer 2 của mô hình OSI, nó hỗ trợ khả năng lọc các gói tin IP (bao gồm IP, TCP, UDP và ICMP) Transparent firewall thực chất chỉ là tính năng layer 2 brigde kết hợp với tính năng filter trên nền IP bằng cách sử dụng tính năng Context Based Access Control Vì nó hoạt động ở layer 2 nên ta không cần cấu hình IP cũng như thay đổi IP của các thiết bị được nó bảo vệ
Virtual firewalls: Bao gồm nhiều logical firewall hoạt động trên một thiết bị thật Một trong những ứng dụng của nó hiện nay là dùng trong việc quản lý các máy ảo trong vmware hay hyper-v
Trang 313 Firewall mã nguồn mở và firewall mã nguồn đóng
Có nhiều loại firewall trên thị trường hiện nay, một loại là mã nguồn mở như Linux IPTables, OpenDSD pf, Solaris IPF firewalls, và một loại khác là mã nguồn đóng như Cisco PIX, ASA firewall, Juniper ScreenOS, Check Point’s firewall Sự khác biệt đáng chú ý nhất đối với hai loại firewall này là khả năng thương mại hóa của các firewall
Hầu hết các firewall thương mại đều được tích hợp các tính năng thêm như VPN, phát hiện xâm nhập và khả năng kiểm tra sâu bên trong gói tin Trong khi
đó, các firewall mã nguồn mở chỉ tập trung vào việc lọc các gói tin mà không tích hợp thêm các chứng năng khác và nhường chổ các chức năng này cho các phần mềm khác
III Các thành phần của firewall
Một firewall bao gồm một hay nhiều thành phần sau:
Bộ lọc gói tin (Packet filleting route)
Cổng ứng dụng( Application level gateway hay proxy server)
Cổng mạch (Circuite level gateway)
1 Bộ lọc gói tin(Packet filleting route)
Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua Firewall thì điều đó có nghĩa rằng Firewall hoạt động chặt chẽ với giao thức TCI/IP Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được
từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS ) thành các gói dữ liệu (data pakets) rồi gán cho các paket này những địa chỉ để có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại Firewall cũng liên quan rất nhiều đến các gói tin và những con số địa chỉ của chúng Bộ lọc gói tin cho phép hay từ chối mỗi gói tin mà nó nhận được Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó
có thoả mãn một trong số các luật của bộ lọc gói tin hay không Các luật lọc gói tin này là dựa trên các thông tin ở đầu mỗi gói tin (packet header), dùng để cho phép truyền các packet đó ở trên mạng Đó là:
Trang 32- Địa chỉ IP nguồn ( IP Source address)
- Địa chỉ IP đích (IP Destination address)
- Các giao thức truyền tin (TCP, UDP, ICMP, IP tunnel)
- Cổng TCP/UDP nơi xuất phát (TCP/UDP source port)
- Cổng TCP/UDP nơi nhận (TCP/UDP destination port)
- Dạng thông báo ICMP ( ICMP message type)
- Interface gói tin đến ( incomming interface of packet)
- Interface gói tin đi (Outcoming interface of pacet)
Hình 1-9 Packet filtering router
Nếu luật lọc gói tin được thoả mãn thì gói tin được chuyển qua firewall Nếu không gói tin sẽ bị bỏ đi Nhờ vậy mà Firewall có thể ngăn cản được các kết nối vào các máy chủ hoặc mạng nào đó được xác định, hoặc khoá việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép Hơn nữa, việc kiểm soát các cổng làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất định vào các loại máy chủ nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP ) được phép chạy được trên hệ thống mạng cục bộ
Ƣu điểm:
Đa số các hệ thống firewall đều sử dụng bộ lọc gói tin Một trong những ưu điểm của phương pháp dùng bộ lọc gói tin là chi phí thấp vì cơ chế lọc gói tin đã được bao gồm trong mỗi phần mềm router
Ngoài ra, bộ lọc gói tin là dễ dàng đối với người sử dụng và các ứng dụng,
Trang 33Hạn chế:
Việc định nghĩa các chế độ lọc gói tin là một việc khá phức tạp; đòi hỏi người quản trị mạng cần có hiểu biết chi tiết vể các dịch vụ Internet, các dạng packet header, và các giá trị cụ thể có thể nhận trên mỗi trường Khi đòi hỏi vể sự lọc càng lớn, các luật về lọc gói tin càng trở nên dài và phức tạp, rất khó để quản
lý và điều khiển
Do làm việc dựa trên header của các gói tin, rõ ràng là bộ lọc packet không kiểm soát được nội dung thông tin của gói tin Các gói tin chuyển qua vẫn có thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu
2 Cổng ứng dụng( Application level gateway hay proxy server)
Đây là một loại Firewall được thiết kế để tăng cường chức năng kiểm soát các loại dịch vụ, giao thức được cho phép truy cập vào hệ thống mạng Cơ chế hoạt động của nó dựa trên cách thức gọi là Proxy service Proxy service là các bộ code đặc biệt cài đặt trên gateway cho từng ứng dụng Nếu người quản trị mạng không cài đặt proxy code cho một ứng dụng nào đó, dịch vụ tương ứng sẽ không được cung cấp và do đó không thể chuyển thông tin qua firewall Ngoài ra, proxy code có thể được định cấu hình để hỗ trợ chỉ một số đặc điểm trong ứng dụng mà ngưòi quản trị mạng cho là chấp nhận được trong khi từ chối những đặc điểm khác
Hình 1-10 Application gateway
Trang 34Một cổng ứng dụng thường được coi như là một pháo đài (bastion host), bởi vì nó được thiết kế đặt biệt để chống lại sự tấn công từ bên ngoài Những biện pháp đảm bảo an ninh của một bastion host là:
- Bastion host luôn chạy các phiên bản an toàn (secure version) của các phần mềm hệ thống (Operating system) Các phiên bản an toàn này được thiết kế chuyên cho mục đích chống lại sự tấn công vào hệ thống, cũng như là đảm bảo sự tích hợp firewall
- Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài đặt trên bastion host, đơn giản chỉ vì nếu một dịch vụ không được cài đặt,
nó không thể bị tấn công Thông thường, chỉ một số giới hạn các ứng dụng cho các dịch vụ Telnet, DNS, FTP, SMTP và xác thực user là được cài đặt trên bastion host
- Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau, ví dụ như user password hay smart card
- Mỗi proxy được đặt cấu hình để cho phép truy nhập chỉ một sồ các máy chủ nhất định Điều này có nghĩa rằng bộ lệnh và đặc điểm thiết lập cho mỗi proxy chỉ đúng với một số máy chủ trên toàn hệ thống
- Mỗi proxy duy trì một quyển nhật ký ghi chép lại toàn bộ chi tiết của lưu lượng qua nó, mỗi sự kết nối, khoảng thời gian kết nối Nhật ký này rất có ích trong việc tìm theo dấu vết hay ngăn chặn kẻ phá hoại
- Mỗi proxy đều độc lập với các proxies khác trên bastion host Điều này cho phép dễ dàng quá trình cài đặt một proxy mới, hay tháo gỡ môt proxy đang
Trang 35cho phép một tâp nhỏ lệnh cua telnet, và quyết định những máy chủ nội bộ nào outside client được phép truy nhập
Outside client chỉ ra máy chủ đích và telnet proxy tạo một kết nối của riêng
nó đến máy chủ bên trong, và chuyển các lệnh tới máy chủ dưới sự ủy quyền của outside client Outside client thì tin rằng telnet proxy là máy chủ thật ở bên trong, trong khi máy chủ ở bên trong thì tin rằng telnet proxy là client thật
Ƣu điểm:
Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ trên mạng, bởi vì ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủ nào
có thể truy nhập được bởi các dịch vụ
Cho phép người quản trị mạng hoàn toàn điều khiển được những dịch vụ nào cho phép, bởi vì sự vắng mặt của các proxy cho các dịch vụ tương ứng có nghĩa là các dịch vụ ấy bị khoá
Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt, và nó có nhật ký ghi chép lại thông tin về truy nhập hệ thống
Luật lọc cho cổng ứng dụng dễ dàng cấu hình và kiểm tra hơn so với bộ lọc gói tin
Hạn chế:
Yêu cầu các users thay đổi thao tác, hoặc thay đổi phần mềm đã cài đặt trên máy client cho truy nhập vào các dịch vụ proxy Chẳng hạn, Telnet truy nhập qua cổng ứng dụng đòi hỏi hai bước để nối với máy chủ chứ không phải là một bước thôi Tuy nhiên, cũng đã có một số phần mềm client cho phép ứng dụng trên cổng ứng dụng là trong suốt, bằng cách cho phép user chỉ ra máy đích chứ không phải cổng ứng dụng trên lệnh Telnet
3 Cổng mạch (Circuite level gateway)
Cổng vòng là một chức năng đặc biệt có thể thực hiện được bởi một cổng ứng dụng Cổng vòng đơn giản chỉ chuyển tiếp (relay) các kết nối TCP mà không thực hiện bất kỳ một hành động xử lý hay lọc packet nào
Trang 36Hình 1-11 Hành động sử dụng telnet qua cổng vòng
Hình trên minh hoạ một hành động sử dụng nối telnet qua cổng vòng.Cổng vòng đơn giản chuyển tiếp kết nối telnet qua firewall mà không thực hiện một sự kiểm tra, lọc hay điều khiển các thủ tục Telnet nào.Cổng vòng làm việc như một sợi dây, sao chép các byte giữa kết nối bên trong (inside connection) và các kết nối bên ngoài (outside connection) Tuy nhiên, vì sự kết nối này xuất hiện từ hệ thống firewall, nó che dấu thông tin về mạng nội bộ
Cổng vòng thường được sử dụng cho những kết nối ra ngoài, nơi mà các quản trị mạng thật sự tin tưởng những người dùng bên trong Ưu điểm lớn nhất là một bastion host có thể được cấu hình như là một kết hợp cung cấp cổng ứng dụng cho những kết nối đến, và cổng vòng cho các kết nối đi Điều này làm cho hệ thống firewall dễ dàng sử dụng cho những người trong mạng nội bộ muốn trực tiếp truy nhập tới các dịch vụ Internet, trong khi vẫn cung cấp chức năng bức tường lửa để bảo vệ mạng nội bộ từ những sự tấn công bên ngoài
Kiến trúc của hệ thống sử dụng Firewall như sau:
Trang 37Hình 1-12 Kiến trúc firewall cơ bản
Các hệ thống Firewall đều có điểm chung ở các cấu trúc cụ thể như sau:
Hình 1-13 Cấu trúc chung của một hệ thống Firewall
Trang 38Trong đó:
- Screening Router: là chặng kiểm soát đầu tiên cho LAN
- DMZ: là vùng có nguy cơ bị tấn công từ internet
- Gateway Host: là cổng ra vào giữa mạng LAN và DMZ, kiểm soát mọi liên lạc, thực thi các cơ chế bảo mật
- IF1 (Interface 1): là card giao tiếp với vùng DMZ
- IF2 (Interface 2): là card giao tiếp với vùng mạng LAN
- FTP Gateway: Kiểm soát truy cập FTP giữa LAN và vùng FTP từ mạng LAN
ra internet là tự do Các truy cập FTP vào LAN đòi hỏi xác thực thông qua Authentication server
- Telnet gateway: Kiểm soát truy cập telnet tương tự như FTP, người dùng có thể telnet ra ngoài tự do, các telnet từ ngoài vào yêu cầu phải xác thực thông qua Authentication server
- Authentication server: là nơi xác thực quyền truy cập dùng các kỹ thuật xác thực mạnh như one-time password/token (mật khẩu sử dụng một lần)
Tất cả các Firewall đều có chung một thuộc tính là cho phép phân biệt đối
xử hay khả năng từ chối truy nhập dựa trên các địa chỉ nguồn Nhờ mô hình Firewall mà các máy chủ dịch vụ trong mạng LAN được bảo vệ an toàn, mọi thôn tin trao đổi với internet đều được kiểm soát thông qua gateway
1 Kiến trúc Dual – Homed Host(Máy chủ trung gian)
Firewall kiến trúc kiểu Dual-homed host được xây dựng dựa trên máy tính Dual-homed host Một máy tính được gọi là Dual-homed host nếu có ít nhất hai Network interfaces, có nghĩa là máy đó có gắn hai card mạng giao tiếp với hai mạng khác nhau và như thế máy tính này đóng vai trò là router mềm Kiến trúc Dual-homed host rất đơn giản Dual-homed host ở giữa, một bên được kết nối với Internet và bên còn lại nối với mạng nội bộ (LAN) Các hệ thống bên trong và bên ngoài dual-homed host chỉ có thể liên lạc với dual-homes host mà không liên lạc trực tiếp được với nhau
Trang 39Dual-homed host chỉ có thể cung cấp các dịch vụ bằng cách ủy quyền (proxy) chúng hoặc cho phép users đăng nhập trực tiếp vào Dual-homes host (remote desktop) Mọi giao tiếp từ một host trong mạng nội bộ và host bên ngoài đều bị cấm, Dual-homed host là nơi giao tiếp duy nhất
Hình 1-14 Kiến trúc Dual-homed host
2 Kiến trúc Screend Host
Screened host có cấu trúc ngược lại với cấu trúc Dual-homed host, kiến trúc này cung cấp các dịch vụ từ một host bên trong mạng nội bộ, dùng một router tách rời với mạng bên ngoài Trong kiểu kiến trúc này, phương pháp bảo mật chính là Packet Filtering
Bastion host được đặt bên trong mạng nội bộ, Packet Filtering được cài trên router Theo cách này, Bastion host là máy duy nhất trong mạng nội bộ mà những host trên Internet có thể kết nối tới Mặc dù vậy, chỉ những kiểu kết nối phù hợp (được thiết lập trong Bastion host) mới được phép kết nối Bất kỳ một hệ thống bên ngoài nào cố gắng truy cập vào hệ thống hoặc các dịch vụ bên trong đều phải kết nối tới host này Vì thế, Bastion host là host cần phải được duy trì ở chế độ bảo mật cao Packet Filtering cũng cho phép Bastion host có thể mở kết nối ra bên ngoài
Trang 40Packet filtering trên screening router thường thực hiện các công việc như sau :
- Cho phép tất cả các host bên trong mở kết nốt tới host trên internet thông qua một số dịch vụ cố định được cho phép
- Cấm tất cả các kết nối từ host bên trong (cấm những host này sử dụng dịch vụ proxy thông qua Bastion host)
- Bạn có thể kết hợp nhiều lối vào cho những dịch vụ khác nhau
- Một số dịch vụ được phép đi vào trực tiếp qua packet filtering
- Một số dịch vụ khác thì chỉ được phép đi vào gián tiếp qua proxy
Bởi vì kiến trúc này cho phép các packet đi từ bên ngoài vào mạng bên trong, nó dường như nguy hiểm hơn kiến trúc Dual-homed host, vì thế nó được thiết kế để không một packet nào có thể tới được mạng bên trong Tuy nhiên trên thực tế thì kiến trúc Dual-homes host đôi khi cũng có lỗi mà cho phép một packet thật sự đi từ bên ngoài vào bên trong (bởi vì những lỗi này hoàn toàn không biết trước, nó hầu như không được bảo vệ để chống lại những kiểu tấn công này) Hơn nữa, kiến trúc Dual-homes host thì dễ dàng bảo vệ router (là máy cung cấp rất ít các dịch vụ) hơn là bảo vệ các host bên trong mạng
Xét về toàn diện thì kiến trúc Screened host cung cấp độ tin cậy cao hơn và
an toàn hơn kiến trúc Dual-homed host
So sánh với mộ số kiến trúc khác, chẳn hạn như kiến trúc Screened subnet thì kiến trúc Screened host có một số bất lợi Bất lợi chính là nếu kẻ tấn công tìm cách xâm nhập Bastion host thì không có cách nào để ngăn tách giữa Bastion host
và các host còn lại bên trong mạng nội bộ Router cũng có một số điểm yếu là nếu router bị tổn thương, toàn bộ mạng sẽ bị tấn công
Vì lý do này mà Screened subnet trở thành kiến trúc phổ biến nhất
