Tìm hiểu về Firewall

Mục Lục Phân chia công việc 1 Danh mục hình vẽ 3 Danh mục từ viết tắt 4 Tóm tắt đề tài 5 Lời nói đầu 5 Chương I: Tổng quan về Firewall 7 1. Lịch sử 7 2. Khái niệm 7 3. Chức năng chính 8 4. Các loại firewall 9 Chương II: Mô hình và nguyên lí hoạt động của firewall 10 1. Packet Filtering 10 2. Application Gateway 12 3. Circuit Level Gateway 14 Chương III: Kiến trúc Firewall 18 1. Kiến trúc Dual – homed Host 18 2. Kiến trúc Screened Host 20 3. Kiến trúc Screened Subnet Host 21 3.1. Sử dụng nhiều Bastion Host 23 3.2. Kiến trúc ghép chung router trong và router ngoài 25 3.3. Kiến trúc ghép chung Bastion host và router ngoài 26 Chương IV: Kết Luận 27 Tài liệu tham khảo 28 Danh mục hình vẽ Hình 1: Packet filtering router Trang 11 Hình 2: Application gateway Trang 12 Hình 3: Sử dụng kết nối telnet qua cổng vòng Trang 14 Hình 4: Cổng vòng (circuitLevel Gateway) Trang 17 Hình 5: Mô hình kiến trúc dualhomed host Trang 18 Hình 6: Mô hình kiến trúc Screened Host Trang 20 Hình 7: Mô hình kiến trúc Screened Subnet Host Trang 22 Hình 8: Mô hình sử dụng nhiều Bastion Host Trang 24 Hình 9: Kiến trúc ghép chung router trong và router ngoài Trang 25 Hình 10: Kiến trúc ghép chung Bastion host và router ngoài Trang 26 Danh mục từ viết tắt IP Internet protocol TCP Transmission Control Protocol FTP Filer Transfer Protocol SMTP Simple mail Transfer protocol DNS Doimain Name Server DMZ Demilitarized Zone UDP User Datagram Protocol SLIP Serial Line Internet Protocol ICMP Internetwork Control Message Protocol SSH Secure Shell SNMP Simple Network Management Protocol PPP Point to Point Protocol Tóm tắt đề tài Tìm hiểu về tường lửa GV: Vũ Thị Vân Nhóm sinh viên thực hiện: Đỗ Văn Tuấn Bùi Văn Chinh Nguyễn Trọng Thiệp Mục tiêu: Đề tài giúp chúng ta hiểu và nắm rõ hơn các khái niệm về firewall cũng như chức năng và nguyên lý hoạt động của nó. Phương pháp:  Đọc kỹ và nắm bắt các yêu cầu đề tài đề ra.  Đi sâu vào việc tìm và hiểu tài liệu, trình bày một cách hợp lý nhất.  Chăm chú lắng nghe và tiếp thu ý kiến đóng góp của giáo viên hướng dẫn Bố cục: Nội dung đề tài gồm các phần chính:  Tổng quan về Firewall.  Mô hình và nguyên lý hoạt động.  Các kiểu kiến trúc Firewall. Lời nói đầu Trong thời buổi công nghệ thông tin đang phát triển rất mạnh mẽ và sôi động, Internet phổ biến tất cả mọi nơi. Mọi hoạt động làm việc của chúng ta hầu hết thực hiện trên máy tính ,thì việc bảo mật hệ thống và bảo mật dữ liệu là một vấn đề rất cần thiết và đang được nghiên cứu và phát triển. Và khái niệm Firewall được đưa ra để giải quyết vấn đề này. Được sự đồng ý của nhà trường cùng cô Vũ Thị Vân nhóm chúng em đã tìm hiểu đề tài: “ Tìm hiểu Firewall “. Do thời gian tìm hiểu và thực hiện đề tài còn hạn chế nên vẫn còn nhiều thiếu sót mong được sự góp ý và giúp đỡ của thầy để chúng em có thể hoàn thành đề tài một cách tốt nhất. Chúng em xin cảm ơn cô Vũ Thị Vân trong thời gian tìm hiểu đề tài đã giúp đỡ và chỉ dẫn chúng em rất nhiều. Hà Nội Ngày 14 tháng 9 năm 2014 Chương I: Tổng quan về Firewall 1. Lịch sử  Năm 1980 công nghệ tường lửa hoạt động.  Năm 1988 Jeff Mogul thuộc Digital Equipment Corp phát triển hệ thống tường lửa lọc gói tin.  Từ năm 1980 tới 1990 hệ thống tường lửa thứ 2 và thứ 3 lần lượt ra đời.  Năm 1992 Bob Braden và Annette DeSchon đã phát triển hệ thống tường lửa gói lọc tin thế hệ thứ tư “Visas”.  Năm 1994, FireWall1 ra đời. Một thế hệ thứ hai của các tường lửa proxy đã được dựa trên công nghệ Kernel Proxy. 2. Khái niệm Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hoả hoạn. Trong công nghệ mạng thông tin, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống. Cũng có thể hiểu Firewall là một cơ chế (mechanism) để bảo vệ mạng tin tưởng (Trusted network) khỏi các mạng không tin tưởng (Untrusted network). Thông thường Firewall được đặt giữa mạng bên trong (Intranet) của một công ty, tổ chức, ngành hay một quốc gia, và Internet. Vai trò chính là bảo mật thông tin, ngăn chặn sự truy nhập không mong muốn từ bên ngoài (Internet) và cấm truy nhập từ bên trong (Intranet) tới một số địa chỉ nhất định trên Internet. 3. Chức năng chính Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet và Internet. Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và mạng Internet. Cụ thể là: • Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet). • Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet vào Intranet). • Theo dõi luồng dữ liệu mạng giữa Internet và Intranet. • Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập. • Kiểm soát người sử dụng và việc truy nhập của người sử dụng. • Kiểm soát nội dung thông tin thông tin lưu chuyển trên mạng Mục đích sử dụng firewall: Tường lửa được xem như 1 bức rào chắn giữa máy tính (hoặc mạng cục bộ local network) và 1 mạng khác (như Internet), điều khiển lưu lượng truy cập dữ liệu vào ra. Nếu không có tường lửa, các luồng dữ liệu có thể ra vào mà không chịu bất kì sự cản trở nào. Còn với tường lửa được kích hoạt, việc dữ liệu có thể ra vào hay không sẽ do các thiết lập trên tường lửa quy đinh. Nếu máy tính của bạn không được bảo vệ, khi bạn kết nối Internet, tất cả các giao thông ra vào mạng đều được cho phép, vì thế hacker, trojan, virus có thể truy cập và lấy cắp thông tin cá nhân cuả bạn trên máy tính. Chúng có thể cài đặt các đoạn mã để tấn công file dữ liệu trên máy tính. Chúng có thể sử dụng máy tính cuả bạn để tấn công một máy tính của gia đình hoặc doanh nghiệp khác kết nối Internet. Một firewall có thể giúp bạn thoát khỏi gói tin hiểm độc trước khi nó đến hệ thống của bạn.

Trang 1

BÀI THUY T TRÌNH: TÌM HI U V FIREWALL Ế Ể Ề

Danh sách nhóm :

1 Đỗ Văn Tuấn

2 Bùi Văn Chinh

3 Nguyễn Trọng Thiệp

Giáo viên :Vũ Th Vân ị

B môn CS An toàn thông tin ộ

L p: AT8B ớ

Trang 2

• Năm 1980 công nghệ tường lửa

hoạt động

• Năm 1988 Jeff Mogul thuộc Digital

Equipment Corp phát triển hệ

thống tường lửa lọc gói tin

• Năm 1994, FireWall-1 ra đời Một

thế hệ thứ hai của các tường lửa

proxy đã được dựa trên công nghệ

Kernel Proxy.

• Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống lại sự truy cập trái phép

• nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ thống của một số thông tin khác không mong muốn.

• Firewall là một ứng dụng chạy giữa mạng cá nhân và Internet.

Trang 3

Mục đích của firewall

• Để tránh gây thiệt hại trên hệ

thống mạng

• Tránh những cuộc tấn công trộm

cắp phá hoại thông tin

• Gây suy yếu hoàn toàn hệ thống,

các dữ liệu bị xóa, thông tin bị rò

rỉ, sự riêng tư bị xâm phạm, hệ

thống tê liệt

Sử dụng nhiều Firewall nhằm tăng khả năng

bảo mật

Trang 4

• Không được linh hoạt như firewall phần mềm (Không thể thêm chức năng, thêm quy tắc như firewall phần mềm).

• Firewall phần cứng hoạt động ở tầng thấp hơn firewall phần mềm (Tầng network và tầng transport ).

• Firewall phần cứng không thể kiểm tra được nội dung của gói tin.

Trang 5

Các lựa chọn firewall

Firewall phần mềm

Là những firewall được cài đặt

trên máy chủ (server)

Trang 6

Những gì Firewall làm

Chức năng chính của Firewall:

• Là kiểm soát luồng thông tin từ giữa Intranet và Internet

• Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và mạng Internet Firewall bảo vệ những vấn đề gì:

• Bảo vệ dữ liệu

• Bảo vệ tài nguyên hệ thống

• Danh tiếng của các công ty sở hữu các thông tin cần bảo vệ

Trang 7

Firewall bảo vệ chống lại những vấn đề gì

• Chống lại việc Hacking

• Chống lại việc sửa đổi mã

• Lỗi người quản trị hệ thống

• Yếu tố con người

Trang 8

Mô hình và nguyên lí hoạt động của

Trang 9

Bộ lọc paket ( Paket filtering router )

• Firewall hoạt động chặt chẽ với

giao thức TCI/IP ,chúng chia nhỏ

các dữ liệu nhận được thành các

gói dữ liệu

• Mỗi gói được so sánh với tập hợp

các tiêu chí trước khi được

• Không yêu cầu sự

huấn luyện đặc biệt

nào

• Việc định nghĩa các chế độ lọc package là một việc khá phức tạp

• bộ lọc packet không kiểm soát được nôi dung thông tin của packet

Trang 10

Cổng ứng dụng ( application-level getway )

Cổng ứng dụng được thiết kế như một pháo

đài với những biện pháp đảm bảo an ninh :

• luôn chạy các version an toàn (secure

version) của các phần mềm hệ thống

• Chỉ những dịch vụ mà người quản trị

mạng cho là cần thiết mới được cài đặt

trên bastion host

• Bastion host có thể yêu cầu nhiều mức

độ xác thực khác nhau

• Mỗi proxy được đặt cấu hình để cho

phép truy nhập chỉ một sồ các máy chủ

nhất định

• Mỗi proxy duy trì một quyển nhật ký

• Mỗi proxy đều độc lập với các proxies

khác trên bastion host

• Ưu điểm • Nhược điểm

• Cho phép người quản trị mạng điều khiển được từng dịch vụ trên mạng

• cho phép kiểm tra độ xác thực rất tốt

• Luật lệ lọc filltering dễ dàng cấu hình và kiểm tra hơn so với bộ lọc packet

• Yêu cầu các users thay đổi thao tác, hoặc thay đổi phần mềm đã cài đặt trên máy client cho truy nhập vào các dịch vụ proxy.

Trang 11

người dùng bên trong

• Một bastion host có thể được

Trang 12

Kiến trúc của Firewall

Trang 13

• Là hình thức xuất hiện đầu tiên trong cuộc đấu để bảo vệ mạng nội bộ

• Là một máy tính có hai giao tiếp mạng

• Để làm việc được với một máy trên Internet, người dùng ở mạng cục

bộ trước hết phải login vào Dual–homed Host,

và từ đó bắt đầu phiên làm việc.

Trang 14

Kiến trúc Dual - homed Host

Những đánh giá về kiến trúc dualhomed host :

• Để cung cấp dịch vụ cho những người sử dụng internal network

• Cấp các account cho user trên máy dual– homed host này-> gây phiền phức cho user

• Kết hợp với các Proxy Server cung cấp những Proxy Service -> khó có thể cung cấp

• Dễ bị tấn công nên chỉ thích hợp khi dùng với mạng nhỏ.

Ưu điểm:

• Cài đặt dễ dàng, không

yêu cầu phần cứng hoặc

phần mềm đặc biệt.

• Chỉ yêu cầu cấm khả năng

chuyển các gói tin

Trang 15

Kiến trúc Screened Host

• Kết hợp 2 kỹ thuật đó là

Packet Filtering và Proxy

Services

• Kiến trúc screened host hay

hơn kiến trúc dual–homed

host khi đã tách chức năng

lọc các gói IP và các Proxy

Server ở hai máy riêng biệt

• Cũng tương tự như kiến trúc

Dual–Homed Host khi mà

Packet Filtering system cũng

như Bastion Host chứa các

Proxy Server bị đột nhập vào

thì lưu thông của internal

network bị người tấn công

thấy.

Trang 16

Kiến trúc Screened subnet host

• Độ an toàn cao nhất vì nó

cung cấp cả mức bảo mật:

Network và Application

• Hợp đối với những hệ thống

yêu cầu cung cấp dịch vụ

nhanh, an toàn cho nhiều

người sử dụng

• Kẻ tấn công cần phá vỡ ba

tầng bảo vệ: Router ngoài,

Bastion Host và Router trong

• Router trong chỉ quảng cáo

DMZ Network tới mạng nội

bộ, các hệ thống trong mạng

nội bộ không thể truy nhập

trực tiếp vào Internet

• Router ngoài chỉ quảng bá

DMZ Network tới Internet, hệ

thống mạng nội bộ là không

thể nhìn thấy

Trang 17

Nhược điểm của firewall

• Không thế ngăn chặn sự xâm nhập của

những nguồn thông tin không mong

muốn nếu không được xác định rõ các

thông số địa chỉ

• Không thể ngăn chặn một cuộc tấn công

nếu cuộc tấn công này không “đi qua” nó

• Không thể chống lại các cuộc tấn công

bằng dữ liệu (data-driven attack)

• Firewall không thể làm nhiệm vụ và quét

virus trên các dữ liệu được chuyền qua

nó

• Có thể làm chậm kết nối khi xử lý các

thông tin

• Chỉ hữu hiệu đối với những người không

thành thạo kĩ thuật vượt firewall.

Trang 18

• Tính năng của một firewall

là tham số cho hình cho

Trang 19

Firewall có thể bị phá không?

Câu trả lời là có.

Quá trình phá firewall gồm 2 giai đoạn:

1 Đầu tiên phải tìm ra dạng firewall

mà mạng sử dụng cùng các loại

dịch vụ hoạt động phía sau nó ,tiếp

theo là phát hiện khe hở trên

firewall

2 Hacker sẽ tìm cách để nhận được

một thông điệp từ bên trong hệ

thống ,khi đó đường đi được kiểm

tra và có thể tìm ra những manh

mối về cấu trúc hệ thống.

Bên cạnh firewall, bạn nên

tăng cường các biện pháp bảo vệ khác

Trang 20

MỘT SỐ PHẦN MỀM

FIREWALL HIỆN NAY

• Khả năng bảo vệ toàn diện hệ thống khỏi các Hacker, Spyware, Trojans và các đối tượng gây hại chưa xác định khác

• Cảnh báo những ứng dụng cài đặt trái phép

• Khả năng quét Malware trong bản Comodo Firewall Pro sẽ giúp tăng cường sự

“miễn dịch” của hệ thống trước các viruses, spyware and Trojans

• Miễn phí

Comodo Firewall

Trang 21

ESET Smart Security

• Đa tính năng: tường lửa (Firewall), chống virus (Antivirus), Chống thư rác (Antispam)

• Bảo vệ toàn diện

• Chiếm ít tài nguyên hệ thống

Trang 22

ZoneAlarm

• ZoneAlarm sẽ bảo vệ máy tính của bạn khỏi các Rootkit

• Tính năng Firewall Hệ Điều Hành (OSFirewall™) giúp ngăn chặn những spyware khó diệt và những đe dọa bên sâu khỏi xâm nhập vào PC của bạn

Trang 23

Kết luận

Không có cánh cửa bảo vệ nào có thể chống

được hoàn toàn kẻ trộm lọt vào nhà cả, nhưng

nếu cánh cửa đó có khoá tốt, ngôi nhà đó có

tường cao bao quanh và chủ nhà nuôi nhiều chó

dữ, kẻ trộm sẽ khó lòng lọt vào hơn

Firewall chỉ là một công cụ bảo vệ hệ thống

mạng máy tính, nó phải được kèm theo với rất

nhiều biện pháp an toàn khác

Và điều cần nhớ nữa là người ta không thể cất

một viên kim cương quý giá chỉ trong một cái tủ

gỗ có khoá bình thường thay vì một cái két sắt

kiên cố, hãy đầu tư cho firewall một cách hợp lý

Trang 24

Thank for watching!

And thanks!

Định dạng
Số trang	24
Dung lượng	4,09 MB