Trong công nghệ thông tin, firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống lại việc truy cập trái phép, bảo vệ các nguồn tài nguyên cũng như hạn chế sự xâm nhập vào hệ
Trang 1Trường Cao Đẳng Kỹ Thuật Cao Thắng
Chương 2 : Firewall
GV: LƯƠNG MINH HUẤN
Trang 2NỘI DUNG
Giới thiệu Firewall
Nhiệm vụ của Firewall
Kiến trúc của Firewall
Các loại Firewall và cách hoạt động
Những hạn chế của Firewall
Trang 31 Giới thiệu firewall
Internet là một hệ thống mở, đó là điểm mạnh và cũng là điểm yếu
của nó Chính điểm yếu này làm giảm khả năng bảo mật thông tin nội bộ của hệ thống
Chính vì vậy, việc đảm bảo các thông tin được bảo mật luôn là các yêu cầu cấp thiết đặt ra
Hiện nay có nhiều cách thức, phương pháp bảo mật
Trang 41 Giới thiệu firewall
Thuật ngữ firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây
dựng để ngăn chặn, hạn chế hỏa hoạn
Trong công nghệ thông tin, firewall là một kỹ thuật được tích hợp
vào hệ thống mạng để chống lại việc truy cập trái phép, bảo vệ các nguồn tài nguyên cũng như hạn chế sự xâm nhập vào hệ thống của một số thông tin khác không mong muốn Cụ thể hơn, có thể hiểu
firewall là một cơ chế bảo vệ giữa mạng tin tưởng (trusted network)
Trang 51 Giới thiệu firewall
Về mặt vật lý, firewall bao gồm một hoặc nhiều hệ thống máy chủ
kết nối với bộ định tuyến (Router) hoặc có chức năng Router Về mặt chức năng, firewall có nhiệm vụ:
Tất cả các trao đổi dữ liệu từ trong ra ngoài và ngược lại đều phải
thực hiện thông qua firewall.
Chỉ có những trao đổi được cho phép bởi hệ thống mạng nội bộ
(trusted network) mới được quyền lưu thông qua firewall.
Trang 61 Giới thiệu firewall
Các phần mềm quản lý an ninh chạy trên hệ thống máy chủ bao gồm
Quản lý xác thực (Authentication): có chức năng ngăn cản truy
cập trái phép vào hệ thống mạng nội bộ Mỗi người sử dụng muốn
truy cập hợp lệ phải có một tài khoản (account) bao gồm một tên người dùng (username) và mật khẩu (password).
Trang 71 Giới thiệu firewall
Quản lý cấp quyền (Authorization): cho phép xác định quyền sử
dụng tài nguyên cũng như các nguồn thông tin trên mạng theo từng người, từng nhóm người sử dụng
Quản lý kiểm toán (Accounting Management): cho phép ghi
nhận tất cả các sự kiện xảy ra liên quan đến việc truy cập và sử dụng nguồn tài nguyên trên mạng theo từng thời điểm (ngày/giờ)
và thời gian truy cập đối với vùng tài nguyên nào đã được sử dụng hoặc thay đổi bổ sung …
Trang 81 Giới thiệu firewall
Khi phân loại firewall ta có thể chia thành :
Personal firewall
Network firewall
Chủ yếu tùy vào số lượng host mà ta chia thành network hay personal firewall
Trang 92 Nhiệm vụ của Firewall
Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet và Internet Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và mạng Internet Cụ thể là:
Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet
Trang 102 Nhiệm vụ của Firewall
Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập
Kiểm soát người sử dụng và việc truy nhập của người sử dụng
Kiểm soát nội dung thông tin thông tin lưu chuyển trên mạng
Trang 112 Nhiệm vụ của Firewall
Trang 132 Nhiệm vụ của Firewall
Tài nguyên hệ thống
Trang 142 Nhiệm vụ của Firewall
Danh tiếng của công ty sở hữu các thông tin cần bảo vệ
Trang 152 Nhiệm vụ của Firewall
FireWall bảo vệ chống lại những sự tấn công từ bên ngoài
Tấn công trực tiếp
Nghe trộm
Giả mạo địa chỉ IP.
Vô hiệu hoá các chức năng của hệ thống (deny service)
Lỗi người quản trị hệ thống
Yếu tố con người
Trang 163 Kiến trúc của firewall
Kiến trúc Dual home host
Kiến trúc Screened host
Kiến trúc Screened subnet
Trang 173.1 Kiến trúc Dual homed host
Firewall kiến trúc kiểu Dual-homed host được xây dựng dựa trên
máy tính dual-homed host Một máy tính được gọi là dual-homed host nếu nó có ít nhất hai network interfaces, có nghĩa là máy đó có
gắn hai card mạng giao tiếp với hai mạng khác nhau và như thế máy
tính này đóng vai trò là Router mềm Kiến trúc dual-homed host rất đơn giản Dual-homed host ở giữa, một bên được kết nối với Internet và bên còn lại nối với mạng nội bộ (LAN).
Trang 193.1 Kiến trúc Dual homed host
Dual-homed host chỉ có thể cung cấp các dịch vụ bằng cách ủy quyền (proxy) chúng hoặc cho phép users đăng nhập trực tiếp vào dual-homed host Mọi giao tiếp từ một host trong mạng nội bộ và host bên ngoài đều bị cấm, dual-homed host là nơi giao tiếp duy
nhất
Trang 203.2 Kiến trúc Screened host
Screened Host có cấu trúc ngược lại với cấu trúc Dual-homed host Kiến trúc này cung cấp các dịch vụ từ một host bên trong mạng nội
bộ, dùng một Router tách rời với mạng bên ngoài Trong kiểu kiến
trúc này, bảo mật chính là phương pháp Packet Filtering.
Trang 223.2 Kiến trúc Screened host
Bastion host được đặt bên trong mạng nội bộ Packet Filtering được cài trên Router Theo cách này, Bastion host là hệ thống duy nhất trong mạng nội bộ mà những host trên Internet có thể kết nối
tới Mặc dù vậy, chỉ những kiểu kết nối phù hợp (được thiết lập
trong Bastion host) mới được cho phép kết nối Bất kỳ một hệ thống
bên ngoài nào cố gắng truy cập vào hệ thống hoặc các dịch vụ bên
trong đều phải kết nối tới host này Vì thế Bastion host là host cần
phải được duy trì ở chế độ bảo mật cao
Trang 233.2 Kiến trúc Screened host
Packet filtering cũng cho phép bastion host có thể mở kết nối ra bên ngoài Cấu hình của packet filtering trên screening router như
Trang 243.2 Kiến trúc Screened host
Có thể kết hợp nhiều lối vào cho những dịch vụ khác nhau
Một số dịch vụ được phép đi vào trực tiếp qua packet filtering.
Một số dịch vụ khác thì chỉ được phép đi vào gián tiếp qua proxy.
Trang 253.3 Kiến trúc Screened Subnet
Nhằm tăng cường khả năng bảo vệ mạng nội bộ, thực hiện chiến
lược phòng thủ theo chiều sâu, tăng cường sự an toàn cho bastion
host, tách bastion host khỏi các host khác, phần nào tránh lây lan
một khi bastion host bị tổn thương, người ta đưa ra kiến trúc firewall có tên là Sreened Subnet.
Trang 263.3 Kiến trúc Screened Subnet
Kiến trúc Screened subnet dẫn xuất từ kiến trúc screened host bằng
cách thêm vào phần an toàn: mạng ngoại vi (perimeter network) nhằm cô lập mạng nội bộ ra khỏi mạng bên ngoài, tách bastion host
ra khỏi các host thông thường khác Kiểu screened subnet đơn giản bao gồm hai screened router:
Trang 283.3 Kiến trúc Screened Subnet
Router ngoài (External router còn gọi là access router): nằm giữa
mạng ngoại vi và mạng ngoài có chức năng bảo vệ cho mạng ngoại
vi (bastion host, interior router) Nó cho phép hầu hết những gì outbound từ mạng ngoại vi Một số qui tắc packet filtering đặc biệt được cài đặt ở mức cần thiết đủ để bảo vệ bastion host và interior router vì bastion host còn là host được cài đặt an toàn ở mức cao
Ngoài các qui tắc đó, các qui tắc khác cần giống nhau giữa hai
Router.
Trang 293.3 Kiến trúc Screened Subnet
Interior Router (còn gọi là choke router): nằm giữa mạng ngoại vi
và mạng nội bộ, nhằm bảo vệ mạng nội bộ trước khi ra ngoài và
mạng ngoại vi Nó không thực hiện hết các qui tắc packet filtering của toàn bộ firewall Các dịch vụ mà interior router cho phép giữa bastion host và mạng nội bộ, giữa bên ngoài và mạng nội bộ không nhất thiết phải giống nhau Giới hạn dịch vụ giữa bastion host và
mạng nội bộ nhằm giảm số lượng máy (số lượng dịch vụ trên các
máy này) có thể bị tấn công khi bastion host bị tổn thương và thoả
hiệp với bên ngoài
Trang 303.4 Một số mô hình firewall trên ISA
Mô hình Edge Firewall
Mô hình 3-Leg Firewall
Mô hình Front back Firewall
Trang 313.4 Một số mô hình firewall trên ISA
Mô hình Edge Firewall
Trang 323.4 Một số mô hình firewall trên ISA
Mô hình 3-Leg Firewall
Trang 333.4 Một số mô hình firewall trên ISA
Mô hình Front Back Firewall
Trang 344 Các loại firewall và cách hoạt động
Packet filtering (Bộ lọc gói tin).
Application gateway.
Trang 354.1 Packet Filtering
Loại firewall này thực hiện việc kiểm tra số nhận dạng địa chỉ của các packet để từ đó cấp phép cho chúng lưu thông hay ngăn chặn Các thông số có thể lọc được của một packet như:
Địa chỉ IP nơi xuất phát (source IP address).
Địa chỉ IP nơi nhận (destination IP address).
Cổng TCP nơi xuất phát (source TCP port).
Cổng TCP nơi nhận (destination TCP port).
Trang 364.1 Packet Filtering
Loại Firewall này cho phép kiểm soát được kết nối vào máy chủ,
khóa việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép Ngoài ra, nó còn kiểm soát hiệu suất sử dụng những dịch
vụ đang hoạt động trên hệ thống mạng nội bộ thông qua các cổng
TCP tương ứng.
Trang 374.2 Application Gateway
Đây là loại firewall được thiết kế để tăng cường chức năng kiểm soát
các loại dịch vụ dựa trên những giao thức được cho phép truy cập vào
hệ thống mạng Cơ chế hoạt động của nó dựa trên mô hình Proxy Service Trong mô hình này phải tồn tại một hay nhiều máy tính đóng vai trò Proxy Server Một ứng dụng trong mạng nội bộ yêu cầu một đối tượng nào đó trên Internet, Proxy Server sẽ nhận yêu cầu này và chuyển đến Server trên Internet Khi Server trên Internet trả lời, Proxy Server sẽ nhận và chuyển ngược lại cho ứng dụng đã gửi yêu cầu Cơ chế lọc của packet filtering kết hợp với cơ chế “đại diện” của application gateway cung cấp một khả năng an toàn và uyển
chuyển hơn, đặc biệt khi kiểm soát các truy cập từ bên ngoài
Trang 394.2 Application Gateway
Thực hiện telnet vào máy chủ bên trong cần truy cập.
Gateway kiểm tra địa chỉ IP nơi xuất phát của người truy cập để
cho phép hoặc từ chối
Người truy cập phải vượt qua hệ thống kiểm tra xác thực
Proxy Service tạo một kết nối Telnet giữa gateway và máy chủ
cần truy nhập
Proxy Service liên kết lưu thông giữa người truy cập và máy chủ
trong mạng nội bộ
Trang 404.2 Application Gateway
Cơ chế bộ lọc packet kết hợp với cơ chế proxy có nhược điểm là
hiện nay các ứng dụng đang phát triển rất nhanh, do đó nếu các
proxy không đáp ứng kịp cho các ứng dụng, nguy cơ mất an toàn
sẽ tăng lên
Thông thường những phần mềm Proxy Server hoạt động như một gateway nối giữa hai mạng, mạngbên trong và mạng bên ngoài.
Trang 424.2 Application Gateway
Đường kết nối giữa Proxy Server và Internet thông qua nhà cung cấp dịch vụ Internet (Internet Service Provider - ISP)
Phần cứng dùng để kết nối tùy thuộc vào việc nối kết trực tiếp
Proxy Server với Internet hoặc thông qua một Router.
Việc chọn lựa cách kết nối và một ISP thích hợp tùy thuộc vào
yêu cầu cụ thể của công ty, ví dụ như số người cần truy cập
Internet, các dịch vụ và ứng dụng nào được sử dụng, các đường kết nối và cách tính cước mà ISP có thể cung cấp.
Trang 435 Những hạn chế của firewall
Tuy firewall có những ưu điểm nổi trội nhưng vẫn tồn tại những hạn chế khiến firewall không thể bảo vệ hệ thống an toàn một cách tuyệt đối Một số hạn chế của firewall có thể kể ra như sau:
Trang 445 Những hạn chế của firewall
Firewall không bảo vệ chống lại các đe dọa từ bên trong nội bộ ví
dụ như một nhân viên cố ý hoặc một nhân viên vô tình hợp tác với
kẻ tấn công bên ngoài
Firewall không thể bảo vệ chống lại việc chuyển giao giữa các
chương trình bị nhiễm virus hoặc các tâp tin Bởi vì sự đa dạng
của các hệ điều hành và các ứng dụng được hỗ trợ từ bên trong nội
bộ Sẽ không thực tế và có lẽ là không thể cho các firewall quét
các tập tin gởi đến, email… nhằm phát hiện virus
Trang 455 Những hạn chế của firewall
Firewall không thể bảo vệ chống lại các cuộc tấn công bỏ qua tường lửa Ví dụ như một hệ thống bên trong có khả năng dial-out kết nối với một ISP hoặc mạng LAN bên trong có thể cung cấp một modem pool có khả năng dial-in cho các nhân viên di động hay các kiểu tấn công dạng social engineering nhắm đếm đối tượng là các người dùng trong mạng