Trường Cao Đẳng Kỹ Thuật Cao Thắng

Chương 2 : Firewall

GV: LƯƠNG MINH HUẤN


NỘI DUNG
Ø
Ø
Ø
Ø
Ø

Giới thiệu Firewall
Nhiệm vụ của Firewall
Kiến trúc của Firewall
Các loại Firewall và cách hoạt động
Những hạn chế của Firewall


1. Giới thiệu firewall
Internet  là  một  hệ  thống  mở,  đó  là  điểm  mạnh  và  cũng  là  điểm 
yếu  của  nó.  Chính  điểm  yếu  này  làm  giảm  khả  năng  bảo  mật 
thơng tin nội bộ của hệ thống.
Chính  vì  vậy,  việc  đảm  bảo  các  thông  tin  được  bảo  mật  ln  là 
các u cầu cấp thiết đặt ra.
Hiện nay có nhiều cách thức, phương pháp bảo mật


1. Giới thiệu firewall

Thuật ngữ  firewall  có nguồn gốc từ một kỹ thuật thiết kế trong 
xây dựng để ngăn chặn, hạn chế hỏa hoạn. 
Trong cơng nghệ thơng tin,  firewall là một kỹ thuật được tích hợp 
vào hệ thống mạng để chống lại việc truy cập trái phép, bảo vệ 
các nguồn tài ngun cũng như hạn chế sự xâm nhập vào hệ thống 
của một số thơng tin khác khơng mong muốn. Cụ thể hơn, có thể 
hiểu  firewall là một cơ chế bảo vệ giữa mạng tin tưởng (trusted 
network)


1. Giới thiệu firewall
Về  mặt  vật  lý,  firewall  bao  gồm  một  hoặc  nhiều  hệ  thống  máy 
chủ  kết  nối  với  bộ  định  tuyến  (Router)  hoặc  có  chức  năng 
Router. Về mặt chức năng, firewall có nhiệm vụ:
Ø
Tất cả các trao đổi dữ liệu từ trong ra ngồi và ngược lại đều 
phải thực hiện thơng qua firewall.
Ø
Chỉ có những trao đổi được cho phép bởi hệ thống mạng nội bộ 
(trusted network) mới được quyền lưu thơng qua firewall.


1. Giới thiệu firewall
Các phần mềm quản lý an ninh chạy trên hệ thống máy chủ bao 
gồm
Ø
Quản lý xác thực (Authentication): có chức năng ngăn cản truy 
cập  trái  phép  vào  hệ  thống  mạng  nội  bộ.  Mỗi  người  sử  dụng 
muốn truy cập hợp lệ phải có một tài khoản (account) bao gồm 
một tên người dùng (username) và mật khẩu (password).



1. Giới thiệu firewall
Ø

Ø

Quản  lý  cấp  quyền  (Authorization):  cho  phép  xác  định  quyền 
sử dụng tài ngun cũng như các nguồn thơng tin trên mạng theo 
từng người, từng nhóm người sử dụng.
Quản  lý  kiểm  tốn  (Accounting  Management):  cho  phép  ghi 
nhận tất cả các sự kiện xảy ra liên quan đến việc truy cập và sử 
dụng  nguồn  tài  nguyên  trên  mạng  theo  từng  thời  điểm 
(ngày/giờ) và thời gian truy cập đối với vùng tài nguyên nào đã 
được sử dụng hoặc thay đổi bổ sung …


1. Giới thiệu firewall
Khi phân loại firewall ta có thể chia thành :
Ø
Personal firewall
Ø
Network firewall
Chủ  yếu  tùy  vào  số  lượng  host  mà  ta  chia  thành  network  hay 
personal firewall


2. Nhiệm vụ của Firewall
Chức năng chính của Firewall là kiểm sốt luồng thơng tin từ giữa 
Intranet  và  Internet.  Thiết  lập  cơ  chế  điều  khiển  dịng  thơng  tin 

giữa mạng bên trong (Intranet) và mạng Internet. Cụ thể là:
Ø
Cho  phép  hoặc  cấm  những  dịch  vụ  truy  nhập  ra  ngoài  (từ 
Intranet ra Internet). 
Ø
Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ 
Internet vào Intranet). 
Ø
Theo dõi luồng dữ liệu mạng giữa Internet và Intranet. 


2. Nhiệm vụ của Firewall
Ø
Ø

Ø

Kiểm sốt địa chỉ truy nhập, cấm địa chỉ truy nhập. 
Kiểm sốt người sử dụng và việc truy nhập của người sử 
dụng. 
Kiểm sốt nội dung thơng tin thơng tin lưu chuyển trên mạng. 


2. Nhiệm vụ của Firewall


2. Nhiệm vụ của Firewall
 FireWall bảo vệ những vấn đề :
Ø
Dữ liệu : Những thơng tin cần được bảo vệ do những u cầu 

sau:
§
§
§

Bảo mât.
Tính tồn vẹn.
Tính kịp thời.


2. Nhiệm vụ của Firewall
Ø

 Tài nguyên hệ thống.


2. Nhiệm vụ của Firewall
Ø

Danh tiếng của công ty sở hữu các thông tin cần bảo vệ.


2. Nhiệm vụ của Firewall
Ø

FireWall bảo vệ chống lại những sự tấn cơng từ bên ngồi.
§
§
§
§

§
§

Tấn cơng trực tiếp
Nghe trộm
Giả mạo địa chỉ IP.
Vơ hiệu hố các chức năng của hệ thống (deny service)
Lỗi người quản trị hệ thống
Yếu tố con người 


3. Kiến trúc của firewall
Ø
Ø
Ø

Kiến trúc Dual home host
Kiến trúc Screened host
Kiến trúc Screened subnet


3.1 Kiến trúc Dual homed host
Firewall kiến trúc kiểu  Dual­homed host được xây dựng dựa trên 
máy tính dual­homed host. Một máy tính được gọi là  dual­homed 
host nếu nó có ít nhất hai  network interfaces, có nghĩa là máy đó 
có gắn hai card mạng giao tiếp với hai mạng khác nhau và như thế 
máy tính này đóng vai trị là Router mềm. Kiến trúc  dual­homed 
host rất đơn giản. Dual­homed host ở giữa, một bên được kết nối 
với Internet và bên cịn lại nối với mạng nội bộ (LAN).




3.1 Kiến trúc Dual homed host
Dual­homed  host  chỉ  có  thể  cung  cấp  các  dịch  vụ  bằng  cách  ủy 
quyền (proxy) chúng hoặc cho phép users đăng nhập trực tiếp vào 
dual­homed host. Mọi giao tiếp từ một host trong mạng nội bộ và 
host bên ngoài đều bị cấm,  dual­homed host là nơi giao tiếp duy 
nhất.


3.2 Kiến trúc Screened host
Screened  Host  có  cấu  trúc  ngược  lại  với  cấu  trúc  Dual­homed 
host.  Kiến  trúc  này  cung  cấp  các  dịch  vụ  từ  một  host  bên  trong 
mạng  nội  bộ,  dùng  một  Router  tách  rời  với  mạng  bên  ngoài. 
Trong  kiểu  kiến  trúc  này,  bảo  mật  chính  là  phương  pháp  Packet 
Filtering.



3.2 Kiến trúc Screened host
Bastion  host  được  đặt  bên  trong  mạng  nội  bộ.  Packet  Filtering 
được cài trên Router. Theo cách này, Bastion host là hệ thống duy 
nhất  trong  mạng  nội  bộ  mà  những  host  trên  Internet  có  thể  kết 
nối tới. Mặc dù vậy, chỉ những kiểu kết nối phù hợp (được thiết 
lập  trong  Bastion  host)  mới  được  cho  phép  kết  nối.  Bất  kỳ  một 
hệ thống bên ngoài nào cố gắng truy cập vào hệ thống hoặc các 
dịch  vụ  bên  trong  đều  phải  kết  nối  tới  host  này.  Vì  thế  Bastion 
host là host cần phải được duy trì ở chế độ bảo mật cao.



3.2 Kiến trúc Screened host
Packet filtering cũng cho phép bastion host có thể mở kết nối ra 
bên  ngồi.  Cấu  hình  của  packet  filtering  trên  screening  router 
như sau:
Ø
Cho phép tất cả các host bên trong mở kết nối tới host bên ngồi 
thơng qua một số dịch vụ cố định.
Ø
Khơng  cho  phép  tất  cả  các  kết  nối  từ  các  host  bên  trong  (cấm 
những host này sử dụng dịch vụ proxy thông qua bastion host).


3.2 Kiến trúc Screened host
Ø
Ø
Ø

Có thể kết hợp nhiều lối vào cho những dịch vụ khác nhau.
Một số dịch vụ được phép đi vào trực tiếp qua packet filtering.
Một  số  dịch  vụ  khác  thì  chỉ  được  phép  đi  vào  gián  tiếp  qua 
proxy.


3.3 Kiến trúc Screened Subnet
Nhằm tăng cường khả năng bảo vệ mạng nội bộ, thực hiện chiến 
lược phịng thủ theo chiều sâu, tăng cường sự an tồn  cho bastion 
host, tách bastion host khỏi các  host khác, phần nào tránh lây lan 
một  khi  bastion  host  bị  tổn  thương,  người  ta  đưa  ra  kiến  trúc 
firewall có tên là Sreened Subnet.