Tìm hiểu về Firewall

Mục Lục Phân chia công việc 1 Danh mục hình vẽ 3 Danh mục từ viết tắt 4 Tóm tắt đề tài 5 Lời nói đầu 5 Chương I: Tổng quan về Firewall 7 1. Lịch sử 7 2. Khái niệm 7 3. Chức năng chính 8 4. Các loại firewall 9 Chương II: Mô hình và nguyên lí hoạt động của firewall 10 1. Packet Filtering 10 2. Application Gateway 12 3. Circuit Level Gateway 14 Chương III: Kiến trúc Firewall 18 1. Kiến trúc Dual – homed Host 18 2. Kiến trúc Screened Host 20 3. Kiến trúc Screened Subnet Host 21 3.1. Sử dụng nhiều Bastion Host 23 3.2. Kiến trúc ghép chung router trong và router ngoài 25 3.3. Kiến trúc ghép chung Bastion host và router ngoài 26 Chương IV: Kết Luận 27 Tài liệu tham khảo 28 Danh mục hình vẽ Hình 1: Packet filtering router Trang 11 Hình 2: Application gateway Trang 12 Hình 3: Sử dụng kết nối telnet qua cổng vòng Trang 14 Hình 4: Cổng vòng (circuitLevel Gateway) Trang 17 Hình 5: Mô hình kiến trúc dualhomed host Trang 18 Hình 6: Mô hình kiến trúc Screened Host Trang 20 Hình 7: Mô hình kiến trúc Screened Subnet Host Trang 22 Hình 8: Mô hình sử dụng nhiều Bastion Host Trang 24 Hình 9: Kiến trúc ghép chung router trong và router ngoài Trang 25 Hình 10: Kiến trúc ghép chung Bastion host và router ngoài Trang 26 Danh mục từ viết tắt IP Internet protocol TCP Transmission Control Protocol FTP Filer Transfer Protocol SMTP Simple mail Transfer protocol DNS Doimain Name Server DMZ Demilitarized Zone UDP User Datagram Protocol SLIP Serial Line Internet Protocol ICMP Internetwork Control Message Protocol SSH Secure Shell SNMP Simple Network Management Protocol PPP Point to Point Protocol Tóm tắt đề tài Tìm hiểu về tường lửa GV: Vũ Thị Vân Nhóm sinh viên thực hiện: Đỗ Văn Tuấn Bùi Văn Chinh Nguyễn Trọng Thiệp Mục tiêu: Đề tài giúp chúng ta hiểu và nắm rõ hơn các khái niệm về firewall cũng như chức năng và nguyên lý hoạt động của nó. Phương pháp:  Đọc kỹ và nắm bắt các yêu cầu đề tài đề ra.  Đi sâu vào việc tìm và hiểu tài liệu, trình bày một cách hợp lý nhất.  Chăm chú lắng nghe và tiếp thu ý kiến đóng góp của giáo viên hướng dẫn Bố cục: Nội dung đề tài gồm các phần chính:  Tổng quan về Firewall.  Mô hình và nguyên lý hoạt động.  Các kiểu kiến trúc Firewall. Lời nói đầu Trong thời buổi công nghệ thông tin đang phát triển rất mạnh mẽ và sôi động, Internet phổ biến tất cả mọi nơi. Mọi hoạt động làm việc của chúng ta hầu hết thực hiện trên máy tính ,thì việc bảo mật hệ thống và bảo mật dữ liệu là một vấn đề rất cần thiết và đang được nghiên cứu và phát triển. Và khái niệm Firewall được đưa ra để giải quyết vấn đề này. Được sự đồng ý của nhà trường cùng cô Vũ Thị Vân nhóm chúng em đã tìm hiểu đề tài: “ Tìm hiểu Firewall “. Do thời gian tìm hiểu và thực hiện đề tài còn hạn chế nên vẫn còn nhiều thiếu sót mong được sự góp ý và giúp đỡ của thầy để chúng em có thể hoàn thành đề tài một cách tốt nhất. Chúng em xin cảm ơn cô Vũ Thị Vân trong thời gian tìm hiểu đề tài đã giúp đỡ và chỉ dẫn chúng em rất nhiều. Hà Nội Ngày 14 tháng 9 năm 2014

Trang 1

Phân chia công việc

Tìm tài liệu : Bùi Văn Chinh

Nguyễn Trọng Thiệp Đỗ Văn Tuấn

Tổng hợp tài liệu: Nguyễn Trọng Thiệp

Tìm hiểu: Tổng quan về Firewall: Đỗ Văn Tuấn

Mô hình và nguyên lí hoạt động Firewall: Nguyễn Trọng Thiệp Kiến trúc Firewall: Bùi Văn Chinh

Trang 2

Mục Lục

Phân chia công việc 1

Mục Lục 2

Danh mục hình ve 3

Danh mục từ viết tắt 4

Tóm tắt đề tài 5

Tìm hiểu về tường lửa 5

GV: Vũ Thị Vân 5

Mục tiêu: 5

Phương pháp: 5

Bố cục: 5

Nội dung đề tài gồm các phần chính: 5

Lời nói đầu 7

Chương I: Tổng quan về Firewall 8

1 Lịch sử 8

2 Khái niệm 8

3 Chức năng chính 9

4 Các loại firewall 10

Chương II: Mô hình và nguyên lí hoạt động của firewall 11

1 Packet Filtering 11

2 Application Gateway 13

3 Circuit Level Gateway 15

Chương III: Kiến trúc Firewall 19

1 Kiến trúc Dual – homed Host 19

2 Kiến trúc Screened Host 21

3 Kiến trúc Screened Subnet Host 22

3.1 Sử dụng nhiều Bastion Host 24

3.2 Kiến trúc ghép chung router trong và router ngoài 26

Trang 3

3.3 Kiến trúc ghép chung Bastion host và router ngoài 27 Chương IV: Kết Luận 28 Tài liệu tham khảo 29

Danh mục hình ve

Hình 3: Sử dụng kết nối telnet qua cổng vòng Trang 14Hình 4: Cổng vòng (circuit-Level Gateway) Trang 17Hình 5: Mô hình kiến trúc dual-homed host Trang 18Hình 6: Mô hình kiến trúc Screened Host Trang 20Hình 7: Mô hình kiến trúc Screened Subnet Host Trang 22Hình 8: Mô hình sử dụng nhiều Bastion Host Trang 24Hình 9: Kiến trúc ghép chung router trong và router ngoài Trang 25Hình 10: Kiến trúc ghép chung Bastion host và router ngoài Trang 26

Trang 4

Danh mục từ viết tắt

Trang 5

Tóm tắt đề tài

Tìm hiểu về tường lửa

GV: Vũ Thị Vân Nhóm sinh viên thực hiện: Đỗ Văn Tuấn

Bùi Văn Chinh Nguyễn Trọng Thiệp

Mục tiêu:

Đề tài giúp chúng ta hiểu và nắm rõ hơn các khái niệm về firewall cũng nhưchức năng và nguyên lý hoạt động của nó

Phương pháp:

 Đọc kỹ và nắm bắt các yêu cầu đề tài đề ra

 Đi sâu vào việc tìm và hiểu tài liệu, trình bày một cách hợp lý nhất

 Chăm chú lắng nghe và tiếp thu ý kiến đóng góp của giáo viên hướng

dẫn

Bố cục:

Nội dung đề tài gồm các phần chính:

 Tổng quan về Firewall

 Mô hình và nguyên lý hoạt động

 Các kiểu kiến trúc Firewall

Trang 7

Lời nói đầu

Trong thời buổi công nghệ thông tin đang phát triển rất mạnh me và sôi động,Internet phổ biến tất cả mọi nơi Mọi hoạt động làm việc của chúng ta hầu hết thựchiện trên máy tính ,thì việc bảo mật hệ thống và bảo mật dữ liệu là một vấn đề rấtcần thiết và đang được nghiên cứu và phát triển Và khái niệm Firewall được đưa rađể giải quyết vấn đề này

Được sự đồng ý của nhà trường cùng cô Vũ Thị Vân nhóm chúng em đã tìm hiểu

đề tài: “ Tìm hiểu Firewall “

Do thời gian tìm hiểu và thực hiện đề tài còn hạn chế nên vẫn còn nhiều thiếu sótmong được sự góp ý và giúp đỡ của thầy để chúng em có thể hoàn thành đề tài mộtcách tốt nhất

Chúng em xin cảm ơn cô Vũ Thị Vân trong thời gian tìm hiểu đề tài đã giúpđỡ và chỉ dẫn chúng em rất nhiều

Hà Nội

Ngày 14 tháng 9 năm 2014

Trang 8

Chương I: Tổng quan về Firewall

1 Lịch sử

 Năm 1980 công nghệ tường lửa hoạt động

 Năm 1988 Jeff Mogul thuộc Digital Equipment Corp phát triển hệ thốngtường lửa lọc gói tin

 Từ năm 1980 tới 1990 hệ thống tường lửa thứ 2 và thứ 3 lần lượt ra đời

 Năm 1992 Bob Braden và Annette DeSchon đã phát triển hệ thống tườnglửa gói lọc tin thế hệ thứ tư “Visas”

 Năm 1994, FireWall-1 ra đời Một thế hệ thứ hai của các tường lửa proxyđã được dựa trên công nghệ Kernel Proxy

2 Khái niệm

Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng đểngăn chặn, hạn chế hoả hoạn Trong công nghệ mạng thông tin, Firewall là một kỹthuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảovệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ

thống Cũng có thể hiểu Firewall là một cơ chế (mechanism) để bảo vệ mạng tin tưởng (Trusted network) khỏi các mạng không tin tưởng (Untrusted network).

Thông thường Firewall được đặt giữa mạng bên trong (Intranet) của một công

ty, tổ chức, ngành hay một quốc gia, và Internet Vai trò chính là bảo mật thông tin,

ngăn chặn sự truy nhập không mong muốn từ bên ngoài (Internet) và cấm truy nhậptừ bên trong (Intranet) tới một số địa chỉ nhất định trên Internet

Trang 9

3 Chức năng chính

Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet và Internet Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet)

và mạng Internet

Cụ thể là:

• Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet raInternet)

• Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internetvào Intranet)

• Theo dõi luồng dữ liệu mạng giữa Internet và Intranet

• Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập

• Kiểm soát người sử dụng và việc truy nhập của người sử dụng

• Kiểm soát nội dung thông tin thông tin lưu chuyển trên mạng

Mục đích sử dụng firewall:

Tường lửa được xem như 1 bức rào chắn giữa máy tính (hoặc mạng cục bộ local network) và 1 mạng khác (như Internet), điều khiển lưu lượng truy cập dữ liệuvào ra Nếu không có tường lửa, các luồng dữ liệu có thể ra vào mà không chịu bấtkì sự cản trở nào Còn với tường lửa được kích hoạt, việc dữ liệu có thể ra vào haykhông se do các thiết lập trên tường lửa quy đinh

-Nếu máy tính của bạn không được bảo vệ, khi bạn kết nối Internet, tất cả cácgiao thông ra vào mạng đều được cho phép, vì thế hacker, trojan, virus có thể truycập và lấy cắp thông tin cá nhân cuả bạn trên máy tính Chúng có thể cài đặt cácđoạn mã để tấn công file dữ liệu trên máy tính Chúng có thể sử dụng máy tính cuảbạn để tấn công một máy tính của gia đình hoặc doanh nghiệp khác kết nối Internet.Một firewall có thể giúp bạn thoát khỏi gói tin hiểm độc trước khi nó đến hệ thốngcủa bạn

Trang 10

Firewall bảo vệ chống lại những vấn đề gì

• Chống lại việc Hacking

• Chống lại việc sửa đổi mã

• Từ chối các dịch vụ đính kèm

• Tấn công trực tiếp

• Nghe trộm

• Vô hiệu hoá các chức năng của hệ thống (Deny service)

• Lỗi người quản trị hệ thống

• Yếu tố con người

• Firewall phần cứng không thể kiểm tra được nội dung của gói tin

 Firewall phần mềm:

Là những firewall được cài đặt trên máy chủ (server)

Đặc điểm:

• Tính linh hoạt cao: có thể thêm bớt các chức năng

• Hoạt động ở tầng cao hơn firewall phần cứng

Trang 11

• Có thể kiểm tra được nội dung các gói tin

Chương II: Mô hình và nguyên lí hoạt động của

firewall

Các thành phần của firewall:

• Bộ lọc packet ( packet-filtering router )

• Cổng ứng dụng ( Application-level gateway hay proxyserver )

• Cổng mạch ( Circuite level gateway )

1 Packet Filtering

a Nguyên lý hoạt động

Bộ lọc gói tin cho phép hay từ chối packet mà nó nhận được Nó kiểm tra toànbộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thỏa mãn một trong các sốcác rules hay không Các rules này dựa trên các thông tin ở packet header bao gồmcác thông tin sau:

• Địa chỉ IP nguồn (IP Source Address)

• Địa chỉ IP đích (IP Destination Address)

• Protocol (TCP, UDP, ICMP, IP tunnel)

• TCP/UDP source port

• TCP/UDP destination port

• Dạng thông báo ICMP (ICMP message type)

• Cổng gói tin đến (Incomming interface of packet)

• Cổng gói tin đi (Outcomming interface of packet)

Trang 12

Hình 1: Packet filtering router

Nếu rules lọc gói được thỏa mãn thì packet được chuyển qua firewall, nếukhông packet se bị bỏ đi Nhờ vậy mà firewall có thể ngăn cản được các kết nối vàocác máy chủ hoặc mạng nào đó được xác định, hoặc khóa việc truy cập vào hệthống mạng nội bộ từ những địa chỉ không cho phép Ngoài ra, việc kiểm soát cáccổng làm cho firewall có khả năng chỉ cho phép một số loại kết nối nhất định vàocác loại máy chủ nào đó hoặc những dịch vụ nào đó (SSH, SMTP, FTP…) đượcphép mới chạy được trên hệ thống mạng cục bộ

b Ưu điềm và nhược điểm

Ưu điểm:

- Đa số các hệ thống firewall đều được sử dụng bộ lọc gói tin Một trong những ưuđiểm của phương pháp dùng bộ lọc gói là chi phí thấp vì cơ chế lọc gói đã có sẵntrong các router

- Ngoài ra, bộ lọc gói là trong suốt đối với người sử dụng và các ứng dụng vì vậynó không yêu cầu người sử dụng phải thao tác gì cả

Nhược điểm:

- Việc định nghĩa các chế độ lọc gói là một việc khá phức tạp, nó đòi hỏi ngườiquản trị mạng cần có hiểu biết chi tiết về các dịch vụ internet, các dạng packetheader Khi yêu cầu về lọc gói tin càng lớn, các rules càng trở nên phức tạp do đórất khó quản lý và điều khiển

Trang 13

- Do làm việc dựa trên header của các packet nên bộ lọc không kiểm soát được nộidung thông tin của packet Các packet chuyển qua vẫn có thể mang theo nhữnghành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu.

2 Application Gateway

a Nguyên lý hoạt động

Đây là một loại firewall được thiết kế dể tăng cường chức năng kiểm soát cácloại dịch vụ, giao thức truy cập vào hệ thống mạng Cơ chế hoạt động của nó dựatrên cách thức gọi là proxy service Proxy service là các bộ code đặc biệt cài đặttrên cổng ra (gateway) cho từng ứng dụng Nếu người quản trị mạng không cài đặtproxy service cho một ứng dụng nào đó, dịch vụ tương ứng se không được cungcấp và do đó không thể chuyển thông tin qua firewall Ngoài ra, proxy code có thểđược định cấu hình để hỗ trợ chỉ một số đặc điểm trong ứng dụng mà người quảntrị cho là chấp nhận được trong khi từ chối những đặc điểm khác

Hình 2: Application gateway

Một cổng ứng dụng thường được coi như là một Bastion host bởi vì nó đượcthiết kế đặt biệt để chống lại sự tấn công từ bên ngoài Những biện pháp đảm bảo

an ninh của một Bastion host là:

Trang 14

- Bastion host luôn chạy các version an toàn (secure version) của cácphần mềm hệ điều hành (Operating system) Các version an toàn nàyđược thiết kế chuyên cho mục đích chống lại sự tấn công vào hệ điềuhành (Operating system) cũng như là đảm bảo sự tích hợp firewall.

- Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mớiđược cài đặt trên Bastion host, đơn giản chỉ vì nếu một dịch vụ khôngđược cài đặt, nó không thể bị tấn công Thông thường, chỉ một số giớihạn các ứng dụng cho các dịch vụ telnet, DNS, FTP, SMTP và xác thựcuser là được cài đặt trên Bastion host

- Bastion host có thể yêu cầu nhiều mức độ khác nhau ví dụ nhưusername và password hay smart card

Mỗi proxy được cài đặt cấu hình để cho phép truy nhập chỉ một số các máy chủnhất định Điều này có nghĩa rằng bộ lệnh và đặc điểm thiết lập cho mỗi proxy chỉđúng với một số máy chủ trên toàn hệ thống

Mỗi proxy duy trì một quyển nhật ký ghi chép lại toàn bộ chi tiết của dữ liệumạng đi qua nó Điều này có nghĩ là bộ lệnh và đặc điểm thiết lập cho mỗi proxychỉ đúng với một số máy chủ trên toàn hệ thống

Mỗi proxy đều độc lập với các proxy khác trên Bastion host Điều này cho phépdễ dàng cài đặt một proxy mới hay tháo gỡ một proxy

b Ưu điểm và nhược điểm

Ưu điểm:

- Cho phép người quản trị hoàn toàn điều khiển được từng dịch vụ trênmạng, bởi vì ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủnào có thể truy cập bởi các dịch vụ

- Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt và nó có nhậy ký ghichép lại thông tin về truy cập hệ thống

Trang 15

- Rule lọc cho cổng ứng dụng dễ dàng cấu hình và kiểm tra hơn so với bộ lọcgói.

Nhược điểm:

- Cần phải có sự cấu hình trên máy user để user truy cập vào các dịch vụproxy Ví dụ: telnet

3 Circuit Level Gateway

Circuit Level Gateway – cổng vòng – là một chức năng đặc biệt có thể thựchiện bởi một cổng ứng dụng Cổng vòng đơn giản chỉ là chuyển tiếp các kết nốiTCP mà không thực hiện bất kì một hành động xử lý hay lọc gói nào

Hình sau minh họa một hành động sử dụng kết nối telnet qua cổng vòng Cổngvòng đơn giản chuyển tiếp kết nối telnet qua firewall mà không thực hiện một sựkiểm tra, lọc hay điều khiển các thủ tục telnet nào Cổng vòng làm việc như một sợidây, sao chép các byte giữa kết nối bên trong (inside connection) và các kết nối bênngoài (outside connection) Tuy nhiên vì sự kết nối này xuất hiện từ hệ thốngfirewall nên nó che dấu thông tin về mạng nội bộ

Hình 3: Sử dụng kết nối telnet qua cổng vòng

Cổng vòng thường được sử dụng cho những kết nối ra ngoài Ưu điểm lớn nhấtlà một Bastion host có thể được cấu hình như là một hỗn hợp cung cấp cổng ứng

Trang 16

dụng cho những kết nối đến và cổng vòng cho các kết nối đi Điều này làm cho hệthống firewall dễ dàng sử dụng cho người dùng trong mạng nội bộ muốn trực tiếptruy câp tới các dịch vụ internet, trong khi vẫn cung cấp chức năng bảo vệ mạngnội bộ từ những sự tấn công bên ngoài.

 Nguyên lý

Đây là một loại Firewall được thiết kế để tăng cường chức năng kiểm soát cácloại dịch vụ, giao thức được cho phép truy cập vào hệ thống mạng Cơ chế hoạtđộng của nó dựa trên cách thức gọi là Proxy service Proxy service là các bộ codeđặc biệt cài đặt trên gateway cho từng ứng dụng Nếu người quản trị mạng khôngcài đặt proxy code cho một ứng dụng nào đó, dịch vụ tương ứng se không đợc cungcấp và do đó không thể chuyển thông tin qua firewall Ngoài ra, proxy code có thểđược định cấu hình để hỗ trợ chỉ một số đặc điểm trong ứng dụng mà người quảntrị mạng cho là chấp nhận được trong khi từ chối những đặc điểm khác

Một cổng ứng dụng thường được coi như là một pháo đài (bastion host), bởi vìnó được thiết kế đặt biệt để chống lại sự tấn công từ bên ngoài Những biện phápđảm bảo an ninh của một bastion host là:

• Bastion host luôn chạy các version an toàn (secure version) của các phầnmềm hệ thống (Operating system) Các version an toàn này đợc thiết kếchuyên cho mục đích chống lại sự tấn công vào Operating System, cũng nhlà đảm bảo sự tích hợp firewall

• Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài đặttrên bastion host, đơn giản chỉ vì nếu một dịch vụ không được cài đặt, nókhông thể bị tấn công Thông thường, chỉ một số giới hạn các ứng dụng chocác dịch vụ Telnet, DNS, FTP, SMTP và xác thực user là được cài đặt trênbastion host

• Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau, ví dụ như userpassword hay smart card

Tiêu đề	Tìm hiểu về Firewall
Tác giả	Bùi Văn Chinh, Nguyễn Trọng Thiệp, Đỗ Văn Tuấn
Người hướng dẫn	GV: Vũ Thị Vân
Trường học	Trường Đại Học
Thể loại	Đề tài

Định dạng
Số trang	30
Dung lượng	622,5 KB