Tải bản đầy đủ (.docx) (56 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Quản trị mạng

XÂY DỰNG HỆ THỐNG FIREWALL CHO HỆ THỐNG MẠNG

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (7.38 MB, 56 trang )

Chuyên đề 2

TRƯỜNG CAO ĐẲNG CÔNG NGHỆ THỦ ĐỨC
KHOA CÔNG NGHỆ THÔNG TIN

ĐỒ ÁN MÔN HỌC
CHUYÊN ĐỀ QUẢN TRỊ HỆ THỐNG MẠNG 2
ĐỀ TÀI

XÂY DỰNG HỆ THỐNG FIREWALL CHO HỆ THỐNG MẠNG

Nhóm 2
Thành viên:

TP.HCM, tháng 10 năm 2021

Lê Huỳnh Hồng Trường
Lê Trường Phước
Nghiêm Quốc Duy
Nguyễn Minh Trọng
GVHD: Nguyễn Thanh Vũ


MỤC LỤC
CHƯƠNG 1: GIỚI THIỆU TỔNG QUAN VỀ FIREWALL............................................4
1.1.

Lịch sử ra đời và phát triển của công nghệ firewall..........................................4

1.2.


Định nghĩa FIREWALLD.................................................................................7

1.3.

Nhiệm vụ chính của FIREWALL.....................................................................7

1.4.

Các kiến thức cơ bản về firewalld....................................................................8

1.4.1 Packet Filtering – Bộ lọc gói tin....................................................................9
1.4.2 Application Gateway – Cổng ứng dụng...................................................11
1.4.3 Circuit Level Gate – Cổng mạch..............................................................14
1.4.4 Firewall pháo đài phòng ngự....................................................................16
1.4.5 Kỹ thuật kiểm tra trạng thái (Stateful packet filtering).........................17
1.4.6 Phân loại....................................................................................................18
1.5.

Các hệ thống tường lửa hiện nay....................................................................28

1.5.1 Software Firewalls......................................................................................28
1.5.2 Integrated firewalls.....................................................................................29
1.5.3 So sánh các hệ thống tường lửa phổ biến....................................................30
1.6.

Xây dựng hệ thống mô phỏng Azure Firewall..................................................1

1.6.1 Azure Firewall là gì ?..................................................................................1
1.6.2 Tính năng của Azure Firewall....................................................................2
2.1 Mơ hình triển khai...................................................................................................4

2.2 Triển khai Azure Firewall trên Microsoft Azure.....................................................4

2


2.2.1.

NAT PORT WEB , SSH, FTP..................................................................20

2.2.2.

Chặn SSH................................................................................................23

2.2.3.

Chặn WEB...............................................................................................25

2.2.4.

Chặn FTP.................................................................................................26

CHƯƠNG III : KẾT LUẬN............................................................................................28
3.1

Thuận lợi...........................................................................................................28

3.2

Khó khăn...........................................................................................................28


3.3 Kết luận................................................................................................................. 28
TÀI LIỆU THAM KHẢO...............................................................................................29

3


CHƯƠNG 1: GIỚI THIỆU TỔNG QUAN VỀ FIREWALL
1.1. Lịch sử ra đời và phát triển của công nghệ firewall
Công nghệ Firewall bắt đầu xuất hiện vào cuối những năm 1980 khi Internet vẫn
cịn là một cơng nghệ khá mới mẻ theo khía cạnh kết nối và sử dụng trên tồn cầu. Ý
tưởng đầu tiên được đã hình thành sau khi hàng loạt các vụ xâm phạm nghiêm trọng đối
với an ninh liên mạng xảy ra vào cuối những năm 1980. Năm 1988, một nhân viên tại
trung tâm nghiên cứu NASA Ames tại California gửi một bản ghi nhớ qua thư điện tử tới
đồng nghiệp rằng: "Chúng ta đang bị một con VIRUS Internet tấn cơng! Nó đã đánh
Berkeley, UC San Diego, Lawrence Livermore, Stanford, và NASA Ames." Con virus
được biết đến với tên Sâu Morris này đã được phát tán qua thư điện tử và khi đó đã là
một sự khó chịu chung ngay cả đối với những người dùng vô thưởng vô phạt nhất. Sâu
Morris là cuộc tấn công diện rộng đầu tiên đối với an ninh Internet. Cộng đồng mạng đã
không hề chuẩn bị cho một cuộc tấn cơng như vậy và đã hồn tồn bị bất ngờ. Sau đó,
cộng đồng Internet đã quyết định rằng ưu tiên tối cao là phải ngăn chặn không cho một
cuộc tấn cơng bất kỳ nào nữa có thể xảy ra, họ bắt đầu cộng tác đưa ra các ý tưởng mới,
những hệ thống và phần mềm mới để làm cho mạng Internet có thể trở lại an tồn.
Năm 1988, bài báo đầu tiên về công nghệ tường lửa được công bố, khi Jeff
Mogul thuộc Digital Equipment Corp phát triển các hệ thống lọc đầu tiên được biết đến
với tên các tường lửa lọc gói tin(packet filtering firewall ). Hệ thống khá cơ bản này đã
là thế hệ đầu tiên của cái mà sau này sẽ trở thành một tính năng kỹ thuật an toàn mạng
được phát triển cao. Từ năm 1980 đến năm 1990, hai nhà nghiên cứu tại phịng thí
nghiệm AT&T Bell, Dave Presetto và Howard Trickey, đã phát triển thế hệ tường lửa thứ
hai, được biết đến với tên các tường lửa tầng mạch (circuit level firewall). Các bài báo
của Gene Spafford ở Đại học Purdue, Bill Cheswick ở phịng thí nghiệm AT&T và

Marcus Ranum đã mơ tả thế hệ Công nghệ Firewall bắt đầu xuất hiện vào cuối những
năm 1980 khi Internet vẫn cịn là một cơng nghệ khá mới mẻ theo khía cạnh kết nối và
sử dụng trên tồn cầu. Ý tưởng đầu tiên được đã hình thành sau khi hàng loạt các vụ xâm
4


phạm nghiêm trọng đối với an ninh liên mạng xảy ra vào cuối những năm 1980. Năm
1988, một nhân viên tại trung tâm nghiên cứu NASA Ames tại California gửi một bản
ghi nhớ qua thư điện tử tới đồng nghiệp rằng: "Chúng ta đang bị một con VIRUS
Internet tấn công! Nó đã đánh Berkeley, UC San Diego, Lawrence Livermore, Stanford,
và NASA Ames." Con virus được biết đến với tên Sâu Morris này đã được phát tán qua
thư điện tử và khi đó đã là một sự khó chịu chung ngay cả đối với những người dùng vô
thưởng vô phạt nhất. Sâu Morris là cuộc tấn công diện rộng đầu tiên đối với an ninh
Internet. Cộng đồng mạng đã không hề chuẩn bị cho một cuộc tấn công như vậy và đã
hồn tồn bị bất ngờ. Sau đó, cộng đồng Internet đã quyết định rằng ưu tiên tối cao là
phải ngăn chặn không cho một cuộc tấn công bất kỳ nào nữa có thể xảy ra, họ bắt đầu
cộng tác đưa ra các ý tưởng mới, những hệ thống và phần mềm mới để làm cho mạng
Internet có thể trở lại an tồn. Năm 1988, bài báo đầu tiên về cơng nghệ tường lửa được
công bố, khi Jeff Mogul thuộc Digital Equipment Corp phát triển các hệ thống lọc đầu
tiên được biết đến với tên các tường lửa lọc gói tin(packet filtering firewall ). Hệ thống
khá cơ bản này đã là thế hệ đầu tiên của cái mà sau này sẽ trở thành một tính năng kỹ
thuật an tồn mạng được phát triển cao. Từ năm 1980 đến năm 1990, hai nhà nghiên cứu
tại phịng thí nghiệm AT&T Bell, Dave Presetto và Howard Trickey, đã phát triển thế hệ
tường lửa thứ hai, được biết đến với tên các tường lửa tầng mạch (circuit level firewall).
Các bài báo của Gene Spafford ở Đại học Purdue, Bill Cheswick ở phịng thí nghiệm
AT&T và Marcus Ranum đã mô tả thế hệ tường lửa thứ ba, với tên gọi tường lửa tầng
ứng dụng (application layer firewall), hay tường lửa dựa proxy (proxy-based firewall).
Nghiên cứu công nghệ của Marcus Ranum đã khởi đầu cho việc tạo ra sản phẩn thương
mại đầu tiên. Sản phẩm này đã được Digital Equipment Corporation's (DEC) phát hành
với tên SEAL. Đợt bán hàng lớn đầu tiên của DEC là vào ngày 13 tháng 9 năm 1991 cho

một cơng ty hóa chất tại bờ biển phía Đơng của Mỹ.
Tại AT&T, Bill Cheswick và Steve Bellovin tiếp tục nghiên cứu của họ về lọc gói
tin và đã phát triển một mơ hình chạy được cho cơng ty của chính họ, dựa trên kiến trúc
của thế hệ tường lửa thứ nhất của mình. Năm 1992, Bob Braden và Annette DeSchon
5


tại Đại học Nam California đã phát triển hệ thống tường lửa lọc gói tin thế hệ thứ tư. Sản
phẩm có tên “Visas” này là hệ thống đầu tiên có một giao diện với màu sắc và các biểu
tượng, có thể dễ dàng cài đặt thành phần mềm cho các hệ điều hành chẳng hạn Microsoft
Windows và Mac/OS của Apple và truy nhập từ các hệ điều hành đó. Năm 1994, một
cơng ty Israel có tên Check Point Software Technologies đã xây dựng sản phẩm này
thành một phần mềm sẵn sàng cho sử dụng, đó là FireWall-1. Một thế hệ thứ hai của các
tường lửa proxy đã được dựa trên công nghệ Kernel Proxy. Thiết kế này liên tục được
cải tiến nhưng các tính năng và mã chương trình cơ bản hiện đang được sử dụng rộng rãi
trong cả các hệ thống máy tính gia đình và thương mại. Cisco, một trong những công ty
sản xuất thiết bị mạng lớn nhất trên thế giới đã phát hành sản phẩm này năm 1997.
Thế hệ FireWall-1 mới tạo thêm hiệu lực cho động cơ kiểm tra sâu gói tin
bằng cách chia sẻ chức năng này với một hệ thống ngăn chặn xâm nhập.

6


1.2. Định nghĩa FIREWALLD
Firewall theo tiếng việt có nghĩa là bức tường lửa. Dùng để ngặn chặn và bảo vệ
những thông tin và chống việc truy cập bất hợp pháp của các hacker. Firewall là một giải
pháp dựa trên phần cứng và phần mềm dùng để kiểm tra dữ liệu đi từ bên ngồi vào máy
tính hoặc từ máy tính ra ngoài mạng Internet, rộng hơn là giữa mạng nội bộ và Internet,
và giữa các mạng con trong hệ thống mạng nội bộ của cơng ty


Hình 1.1: Firewall làm màn chắn ngăn cách giữa mạng nội bộ và Internet
Có thể nói Firewall là nguời bảo vệ có nhiệm vụ kiểm tra “giấy thơng hành” của
bất kì gói dữ liệu đi vào hoặc đi ra. Nó chỉ cho phép những gói dữ liệu hợp lệ đi qua và
loại bỏ tất cả các gói dữ liệu khơng hợp lệ .Vì vậy mà Firewall rất cần thiết cho việc đảm
bảo an toàn trên hệ thống mạng.
1.3. Nhiệm vụ chính của FIREWALL
Firewall hỗ trợ máy tính kiểm sốt luồng thơng tin giữa Intranet và Internet,
Firewall sẽ quyết định dịch vụ nào từ bên trong được phép truy cập ra bên ngoài, những
người nào bên ngoài được phép truy cập vào bên trong hệ thống, hay là giới hạn truy cập
những dịch vụ bên ngoài của những người bên trong hệ thống. Sau đây là một số nhiệm
vụ chính của Firewall:
7




Cho phép hoặc vơ hiệu hóa các dịch vụ truy cập ra bên ngồi, đảm bảo





thơng tin chỉ có trong mạng nội bộ.
Cho phép hoặc vơ hiệu hóa các dịch vụ bên ngoài truy cập vào trong.
Phát hiện và ngăn chặn các cuộc tấn cơng từ bên ngồi.
Hỗ trợ kiểm sốt địa chỉ truy cập (bạn có thể đặt lệnh cấm hoặc là cho







phép).
Kiểm sốt truy cập của người dùng.
Quản lý và kiểm soát luồng dữ liệu trên mạng.
Xác thực quyền truy cập.
Hỗ trợ kiểm sốt nội dung thơng tin và gói tin lưu chuyển trên hệ thống



mạng.
Lọc các gói tin dựa vào địa chỉ nguồn, địa chỉ đích và số Port ( hay các



cổng), giao thức mạng.
Người quản trị có thể biết được kẻ nào đang cố gắng để truy cập vào hệ




thống mạng. • Firewall hoạt động như một Proxy trung gian.
Bảo vệ tài nguyên của hệ thống bởi các mối đe dọa bảo mật.
Cân bằng tải: bạn có thể sử dụng nhiều đường truyền internet cùng một



lúc, việc chia tải sẽ giúp đường truyền internet ổn định hơn rất nhiều.
Tính năng lọc ứng dụng cho phép ngăn chặn một số ứng dụng mà bạn
muốn. Ví dụ như: Facebook, Messenger, Skype, Zalo…


1.4. Các kiến thức cơ bản về firewalld
Khi nói đến việc lưu thơng dữ liệu giữa các mạng với nhau thơng qua firewall thì
điều đó có nghĩa rằng firewall hoạt động kết hợp chặt chẽ với giao thức TCP/IP. Vì giao
thức này làm việc theo thuật tốn chia nhỏ các dữ liệu nhận được từ các ứng dụng trên
mạng, hay chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DSN,
SMNP, NFS,...) thành các gói dữ liệu (data packets) rồi gán cho các packet này những
địa chỉ để có thể được định tuyến, nhận dạng và tái lập lại ở đích cần gửi đến, do đó các
loại firewall cũng liên quan rất nhiều đến các packet và những con số địa chỉ của chúng.
Ngày nay Firewall được xây dựng dựa trên cơ sở bộ lọc gói (packet filter), trên cổng ứng
dụng (Application gateway), kĩ thuật giám sát trạng thái (Stateful inspecting) và một số

8


firewall khác Bastion Host Firewall (pháo Đài Phòng Ngự). Trong phần này sẽ trình bày
3 kiến trúc firewall cơ bản dựa theo sư phân loại đó.
1.4.1 Packet Filtering – Bộ lọc gói tin.
Bộ lọc gói tin cho phép hay từ chối gói tin mà nó nhận được. Nó kiểm tra toàn bộ
đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thỏa mãn một trong các số các luật
hay không. Các luật này dựa trên các thông tin ở packet header (tiêu đề gói tin) bao gồm
các thơng tin sau:
-

Địa chỉ IP nguồn (IP Source Address).
Địa chỉ IP đích (IP Destination Address).
Protocol (TCP, UDP, ICMP, IP tunnel)
TCP/UDP source port
TCP/UDP destination port
Dạng thơng báo ICMP (ICMP message type)

Cổng gói tin đến (Incomming interface of packet)
Cổng gói tin đi (Outcomming interface of packet)

Hình 1.2: Packet Filtering
Nếu các luật lọc gói được thỏa mãn thì packet được chuyển qua firewall, nếu
khơng packet sẽ bị bỏ đi. Nhờ vậy mà firewall có thể ngăn cản được các kết nối vào các
máy chủ hoặc mạng nào đó được xác định, hoặc khóa việc truy cập vào hệ thống mạng
nội bộ từ những địa chỉ khơng cho phép. Ngồi ra, việc kiểm sốt các cổng làm cho
firewall có khả năng chỉ cho phép một số loại kết nối nhất định vào các loại máy chủ nào
đó hoặc những dịch vụ nào đó (SSH, SMTP, FTP…) được phép mới chạy được trên hệ
thống mạng cục bộ.
Ưu điểm :
9


-

Đa số các hệ thống firewall đều được sử dụng bộ lọc gói tin. Một trong
những ưu điểm của phương pháp dùng bộ lọc gói là chi phí thấp vì cơ chế

-

lọc gói đã có sẵn trong các router.
Ngồi ra, bộ lọc gói là trong suốt đối với người sử dụng và các ứng dụng
vì vậy nó khơng u cầu người sử dụng phải thao tác gì cả.

Nhược điểm:
-

Việc định nghĩa các chế độ lọc gói là một việc khá phức tạp, nó địi hỏi


-

người quản trị mạng cần có hiểu biết chi tiết về các dịch vụ internet,
các dạng packet header. Khi yêu cầu về lọc gói tin càng lớn, các rules càng

-

trở nên phức tạp do đó rất khó quản lý và điều khiển.
Do làm việc dựa trên header của các packet nên bộ lọc khơng kiểm sốt
được nội dung thông tin của packet. Các packet chuyển qua vẫn có thể
mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ
xấu.

10


các dạng packet header. Khi yêu cầu về lọc gói tin càng lớn, các rules càng
trở nên phức tạp do đó rất khó quản lý và điều khiển.
-

Do làm việc dựa trên header của các packet nên bộ lọc không kiểm sốt
được nội dung thơng tin của packet. Các packet chuyển qua vẫn có thể
mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ
xấu.

1.4.2 Application Gateway – Cổng ứng dụng
Đây là một loại firewall được thiết kế để tăng cường chức năng kiểm soát các loại
dịch vụ, giao thức truy cập vào hệ thống mạng. Cơ chế hoạt động của nó dựa trên cách
thức gọi là proxy service. Proxy service là các bộ code đặc biệt cài đặt trên cổng ra

(gateway) cho từng ứng dụng. Nếu người quản trị mạng không cài đặt proxy service cho
một ứng dụng nào đó, dịch vụ tương ứng sẽ khơng được cung cấp và do đó khơng thể
chuyển thơng tin qua firewall. Ngồi ra, proxy code có thể được định cấu hình để hỗ trợ
chỉ một số đặc điểm trong ứng dụng mà người quản trị cho là chấp nhận được trong khi
từ chối những đặc điểm khác.

Hình 1.3: Application Gateway
Một cổng ứng dụng thường được coi như là một Bastion Host (máy chủ) bởi vì nó
được thiết kế đặt biệt để chống lại sự tấn công từ bên ngoài.
11


Những biện pháp đảm bảo an ninh của một Bastion Host (máy chủ) là:
-

Bastion Host (máy chủ) luôn chạy các phiên bản an toàn (secure version)
của các phần mềm hệ điều hành (Operating system). Các version an toàn
này được thiết kế chun cho mục đích chống lại sự tấn cơng vào hệ điều

-

hành (Operating system) cũng như là đảm bảo sự tích hợp firewall.
Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài
đặt trên máy chủ, đơn giản chỉ vì nếu một dịch vụ khơng được cài đặt, nó
khơng thể bị tấn cơng. Thơng thường, chỉ một số giới hạn các ứng dụng
cho các dịch vụ telnet, DNS, FTP, SMTP và xác thực tài khoản người dùng

-

là được cài đặt trên máy chủ.

Máy chủ có thể u cầu nhiều mức độ khác nhau ví dụ như tài khoản và

-

mật khẩu hay thẻ thông minh (thẻ từ).
Mỗi proxy được cài đặt cấu hình để cho phép truy nhập chỉ một số các máy
chủ nhất định. Điều này có nghĩa rằng bộ lệnh và đặc điểm thiết lập cho

-

mỗi proxy chỉ đúng với một số máy chủ trên tồn hệ thống.
Mỗi proxy duy trì một quyển nhật ký ghi chép lại toàn bộ chi tiết của dữ
liệu mạng đi qua nó. Điều này có nghĩ là bộ lệnh và đặc điểm thiết lập cho

-

mỗi proxy chỉ đúng với một số máy chủ trên toàn hệ thống.
Mỗi proxy đều độc lập với các proxy khác trên Bastion Host (máy chủ).

Điều này cho phép dễ dàng cài đặt một proxy mới hay tháo gỡ một proxy.
 Ưu điểm :
- Cho phép người quản trị hoàn toàn điều khiển được từng dịch vụ trên
mạng, bởi vì ứng dụng proxy hạn chế bộ lệnh và quyết định những máy cá
-

nhân nào có thể truy cập bởi các dịch vụ.
Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt và nó có nhật ký ghi

-


chép lại thơng tin về truy cập hệ thống.
Các tập luật lọc cho cổng ứng dụng dễ dàng cấu hình và kiểm tra hơn so

với bộ lọc gói.
 Nhược điểm :
- Cần phải có sự cấu hình trên máy user để user truy cập vào các dịch vụ
proxy. Ví dụ telnet.
12


1.4.3 Circuit Level Gate – Cổng mạch.
Circuit Level Gateway là một chức năng đặc biệt có thể thực hiện bởi một cổng
ứng dụng. Cổng mạch đơn giản chỉ là chuyển tiếp các kết nối TCP mà khơng thực hiện
bất kì một hành động xử lý hay lọc gói nào.
Hình sau minh họa một hành động sử dụng kết nối telnet qua cổng mạch. Cổng
mạch đơn giản chuyển tiếp kết nối telnet qua firewall mà không thực hiện một sự kiểm
tra, lọc hay điều khiển các thủ tục telnet nào. Cổng mạch làm việc như một sợi dây, sao
chép các byte giữa kết nối bên trong và các kết nối bên ngồi. Tuy nhiên vì sự kết nối
này xuất hiện từ hệ thống firewall nên nó che dấu thơng tin về mạng nội bộ

13


Hình 1.4: Circuit Level Gateway
Cổng vịng thường được sử dụng cho những kết nối ra ngoài. Ưu điểm lớn nhất là
một Bastion Host (máy chủ) có thể được cấu hình để cung cấp cổng ứng dụng cho những
kết nối đến và cổng vòng cho các kết nối đi. Điều này làm cho hệ thống firewall dễ dàng
sử dụng cho người dùng trong mạng nội bộ muốn trực tiếp truy cập tới các dịch vụ
internet, trong khi vẫn cung cấp chức năng bảo vệ mạng nội bộ từ những sự tấn cơng bên
ngồi.


1.4.4 Firewall pháo đài phịng ngự
Là một trạm được cấu hình để chặn đứng mọi cuộc tấn cơng từ phía bên ngồi
vào. Đây là điểm giao tiếp trực tiếp với mạng khơng tin cậy bên ngồi do đó dễ bị tấn
cơng nhất. Có hai dạng của máy phịng thủ:

14


Hình 1.5: Pháo đài phịng ngự

15


1. Dạng thứ nhất là máy phịng thủ có hai card mạng.
Trong đó có một nối với hệ thống bên trong ( mạng nội bộ ) và card còn lại nối
với bên ngoài mạng Internet. Đây là dạng tường lửa có từ rất sớm, nó yêu cầu người sử
dụng bên trong phải kết nối với tường lửa trước khi làm việc với mạng bên ngoài. Với
giải pháp này tường lửa đã cô lập được mạng bên trong với mạng bên ngồi bằng những
máy phịng thủ (host) nhưng nó cũng tạo ra một sự thiếu tự nhiên trong việc kết nối giữa
người sử dụng bên trong với mạng bên ngoài.

2. Dạng thứ hai là máy phịng thủ có một card mạng.
Nó được nối trực tiếp đến một hệ riêng biệt trên mạng – proxy server hay gateway
mức úng dụng. Gateway này cung cấp điều khiển vào ra. Bộ định tuyến (rounter) có
nhiều chức năng trong cấu hình này. Nó khơng chỉ định hướng các gói đến hệ nội bộ, mà
cịn cho phép các hệ thống nội mở kết nối với Internet hoặc khơng cho phép kết nối.
Kiến trúc screening subnet cịn bổ sung thêm tầng an toàn để tách mạng nội bộ với
Internet. Lý do để làm việc này là tránh cho mạng nội bộ khỏi bị tấn công nếu như
bastion host bị đánh sập.


1.4.5 Kỹ thuật kiểm tra trạng thái (Stateful packet filtering)
Một trong những vấn đề với proxy server là nó phải đánh giá một lượng lớn thơng
tin trong một lượng lớn các gói dữ liệu. Ngồi ra, phải cài đặt từng proxy cho mỗi ứng
dụng. Điều này ảnh hưởng đến hiệu suất và làm tăng chi phí. Với kỹ thuật kiểm tra trạng
thái, các mẫu bit của gói dữ liệu được so sánh với các gói “tin cậy” đã biết.
Ví dụ, nếu bạn truy cập một dịch vụ bên ngoài, proxy server sẽ nhớ mọi thứ về
yêu cầu ban đầu, như số hiệu cổng, địa chỉ nguồn và đích. Cách “nhớ” này được gọi là
lưu trạng thái. Khi hệ thống bên ngoài phản hồi yêu cầu của bạn, firewall server so sánh
các gói nhận được với trạng thái đã lưu để xác định chúng được phép vào hay không.

16


Vào thời điểm mà kết nối TCP hoặc UDP được thiết lập theo hướng đi vào hay đi
ra khỏi mạng thì thơng tin được đưa vào 1 bảng gọi là bảng “stateful session flow table”.
Bảng này còn được gọi là bảng trạng thái, nó bao gồm những thơng tin về địa
chỉ nguồn, địa chỉ đích, địa chỉ cổng, thơng tin về số hiệu gói tin TCP và cờ dấu thêm
vào mỗi kết nối TCP hay UDP, các kết nối này đều liên kết với 1 phiên nào đó. Thơng tin
này tạo ra các đối tượng kết nối và do đó các gói tin đi vào hoặc đi ra được so sánh với
các phiên trong “bảng phiên có trạng thái”. Dữ liệu chỉ được phép đi qua firewall nếu đã
tồn tại một kết nối tương ứng xác nhận sự luân chuyển đó.

1.4.6 Phân loại
1.4.6.1 Phân loại tầng giao thức
 Packet-filtering router (Tường lửa lọc gói tin)
Packet-filtering router áp dụng một bộ quy tắc để mỗi gói tin IP vào và ra và sau
đó là chuyển tiếp hay loại bỏ gói tin. Router thường được cấu hình để lọc các gói tin theo
cả hai hướng (từ trong và ngoài vào mạng nội bộ). Quy tắc lọc dựa trên các thông tin
chứa trong một gói tin mạng (packet):

-

Địa chỉ IP nguồn (Source IP address): Địa chỉ IP của hệ thống là nguồn gốc

-

của các gói tin (sender). Ví dụ: 192.178.1.1
Địa chỉ IP đích (Destination IP address): Địa chỉ IP của hệ thống mà gói tin

-

IP đang cần được chuyển tới. Ví dụ 192.168.1.2
Địa chỉ nguồn và đích của tầng giao vận: gói tin là TCP hay UDP, port

-

number, xác định các ứng dụng như SNMP hay TELNET.
IP protocol field: Xác định giao thức vận chuyển.
Interface: Đối với một router có nhiều port, các gói tin sẽ đến từ interface
nào và đi đến interface nào.

17


-

Packet-filtering thường được thiết lập là một danh sách các quy tắc dựa
trên phù hợp cho các trường trong IP header hoặc TCP header. Nếu có
tương ứng với một trong các quy tắc, quy tắc này sẽ được gọi để xác định
xem sẽ chuyển tiếp hay loại bỏ các gói tin. Nếu không phù hợp với bất kỳ

một quy tắc nào thì hành động mặc định sẽ được thực hiện. Hai hành động

-

được mặc định đó là: Default = discard: gói tin sẽ bị cấm và bị loại bỏ.
Default = forward: gói tin được cho phép đi qua.
Tuy nhiên, default discard thường được dùng hơn. Vì như vậy, ban đầu,
mọi thứ đều bị chặn và các dịch vụ phải được thêm vào trong từng trường
hợp cụ thể. Chính sách này rõ ràng hơn cho người dùng, những người mà
không am hiểu nhiều lắm về firewall. Cịn cách thứ hai thì liên quan đến
vấn đề bảo mật nhiều hơn, đòi hỏi người quản trị phải thường xuyên kiểm

tra để có phản ứng với những kiểu đe dọa mới.
 Application-Level Gateway
Application-Level Gateway, còn được gọi là một proxy server, hoạt động như một
trạm chuyển tiếp của các lưu lượng lớp ứng dụng. Người sử dụng sẽ liên lạc với gateway
sử dụng các ứng dụng TCP/IP như TELNET hay FTP và gateway sẽ hỏi user name của
máy chủ từ xa sẽ được truy cập. Khi user đáp lại và cung cấp một ID người dùng hợp lệ
và xác thực thông tin, gateway sẽ liên lạc đến cổng ứng dụng tương ứng trên máy chủ từ
xa và chuyển tiếp các đoạn TCP chứa các dữ liệu giữa hai thiết bị đầu cuối này. Nếu các
cổng không thực hiện các proxy code cho một ứng dụng cụ thể, dịch vụ không được hỗ
trợ và không thể được chuyển tiếp qua tường lửa. Hơn nữa, gateway có thể được cấu
hình để chỉ hỗ trợ tính năng cụ thể của một ứng dụng mà người quản trị xem xét chấp
nhận được trong khi từ chối tất cả các tính năng khác.
Application-Level gateway có xu hướng an tồn hơn packet-filtering router. Thay
vì cố gắng để đối phó với hàng loạt kết hợp có thể có từ việc cấm và cho phép ở tầng
TCP/IP, application-level gateway chỉ cần rà soát lại một

18



vài ứng dụng cho phép. Ngồi ra, nó rất dễ dàng cho ghi lại và theo dõi tất cả các
lưu lượng đến ở tầng ứng dụng.
Một nhược điểm chính của loại này là chi phí xử lý bổ sung trên mỗi kết nối.
Trong thực tế, có hai kết nối ghép giữa các người dùng đầu cuối, với các cổng ở điểm kết
nối và gateway phải kiểm tra lưu lượng trên cả hai chiều.
 Circuit-Level Gateway (Tường lửa cổng mạch)
Dạng thứ 3 của firewall đó là Circuit-level gateway. Nó có thể là một hệ thống
độc lập hoặc có thể là một hoạt động chuyên biệt được thực hiện bởi một applicationlevel gateway cho các ứng dụng nhất định. Circuit-level gateway không cho phép một
kết nối TCP end-to-end mà thay vào đó, gateway sẽ thiết lập hai kết nối TCP, một là giữa
nó và TCP user bên trong và một giữa nó và TCP user bên ngoài. Khi hai kết nối này
được thiết lập, gateway sẽ chuyển tiếp các TCP segment từ đầu cuối này đến đầu cuối
khác mà không kiểm tra nội dung các segment này. Các chức năng bảo mật bao gồm
việc xác định cho phép kết nối.
Một điển hình của Circuit-level gateway là một tình huống mà trong đó người
quản trị hệ thống tin tưởng các user nội bộ. Gateway có thể được cấu hình để hỗ trợ
application-level hay dịch vụ proxy cho các kết nối bên trong và chức năng circuit-level
cho các kết nối bên ngoài. Trong trường hợp này, gateway có thể phải chịu các chi phí
kiểm tra các incoming data cho các chức năng bị cấm nhưng khơng chịu chi phí của
outgoing data.

1.4.6.2Phân loại theo đối tượng sử dụng
Firewall có thể được phân loại theo hai loại sau:
-

Personal firewall
Network firewall

19



Sự khác biệt chính giữa hai loại trên chính là số lượng host được firewall bảo vệ.
Trong khi Personal firewall chỉ bảo vệ cho một máy duy nhất thì Network firewall lại
bảo vệ cho một hệ thống mạng.
 Personal Firewall (Tường lửa cá nhân)
Personal firewall được thiết kế để bảo vệ một máy trước những truy cập trái phép.
Trong quá trình phát triển, personal firewall đã được tích hợp thêm nhiều chức năng bổ
sung như theo dõi phần mềm chống virus, phần mềm phát hiện xâm nhập để bảo vệ thiết
bị. Một số personal firewall phổ biến như Cisco Security Agent, Microsoft Internet
connection firewall, Symantec personal firewall…
Personal firewall rất hữu ích đối với người dùng gia đình và cá nhân bởi vì họ đơn
giản chỉ cần bảo vệ từng máy tính riêng rẻ của họ nhưng đối với doanh nghiệp điều này
lại gây bất tiện, khi số lượng host quá lớn thì chi phí cho việc thiết lập, cấu hình và vận
hành personal firewall là một điều cần phải xem xét.
 Network firewall (Tường lửa mạng)
Network firewall được thiết kế để bảo vệ các host trong mạng trước sự tấn cơng.
Một số ví dụ về appliance-based network firewall như Cisco PIX, Cisco ASA, Juniper
NetScreen firewall, Nokia firewalls, Symantec’s Enterprise Firewall. Và một số ví dụ về
software-based firewall bao gồm Check Point’s Firewall, Microsoft ISA Server, Linuxbased IPTables.
Cùng với sự phát triển của cơng nghệ, firewall dần được tích hợp nhiều tính năng
mới như phát hiện xâm nhập, thiết lập kết nối VPN cũng như nhiều sản phẩm firewall
mới ra đời.
1.4.6.3Phân loại theo công nghệ tường lửa
Dựa vào công nghệ sử dụng trong firewall người ta chia firewall thành các loại
như sau:
-

Personal firewall Packet filter
Network Address Translations (NAT) firewall Circuit-level firewall
Proxy firewall Stateful firewall Transparent firewall Virtual firewall.

20


 Personal firewall: Được thiết kế để bảo vệ một host duy nhất, thường
được tích hợp sẵn trong các laptop, desktop…
 Packet filter: Là thiết bị được thiết kế để lọc gói tin dựa trên những đặc
điểm đơn giản của gói tin. Packet filter tiêu biểu cho dạng staless vì nó
khơng giữ bảng trạng thái các kết nối và khơng kiểm tra trạng thái các kết
nối.

Hình 1.6 : Simple Access List Sample Network

 Network Address Translations (NAT) firewall
Thực hiện chức năng chuyển đổi địa chỉ IP public thành địa chỉ IP private và
ngược lại, nó cung cấp cơ chế che dấu IP của các host bên trong.

Hình 1.7: NAT firewall

21


 Circuit-level firewall
Hoạt động tại lớp session của mơ hình OSI, nó giám sát các gói tin “handshaking”
đi qua firewall, gói tin được chỉnh sửa sao cho nó xuất phát từ circuit-level firewall, điều
này giúp che dấu thông tin của mạng được bảo vệ.

Hình 1.8: Circuit-level firewall
 Proxy firewall
Hoạt động tại lớp ứng dụng của mơ hình OSI, nó đóng vai trò như người trung
gian giữa hai thiết bị đầu cuối. Khi người dùng truy cập dịch vụ ngoài Internet, proxy

đảm nhận việc yêu cầu thay cho client và nhận trả lời từ server trên Internet và trả lời lại
cho người dùng bên trong.

22


Hình 1.9: Proxy firewall

 Stateful firewall
Được kết hợp với các firewall khác như NAT firewall, circuit-level firewall,
proxy firewall thành một hệ thống firewall, nó khơng những kiểm tra các đặc điểm của
gói tin mà lưu giữ và kiểm tra trạng thái của các gói tin đi qua firewall, một ví dụ cho
stateful firewall là sản phẩm PIX firewall của Cisco.

Hình 1.10: Stateful firewall

 Transparent firewall
Hoạt động ở layer 2 của mơ hình OSI, nó hỗ trợ khả năng lọc các gói tin IP (bao
gồm IP, TCP, UDP và ICMP). Transparent firewall thực chất chỉ là tính năng layer 2
brigde kết hợp với tính năng filter trên nền IP bằng cách sử dụng tính năng Context
Based Access Control. Vì nó hoạt động ở layer 2 nên ta khơng cần cấu hình IP cũng như
thay đổi IP của các thiết bị được nó bảo vệ.
23


 Virtual firewall
Bao gồm nhiều logical firewall hoạt động trên một thiết bị thật. Một trong những
ứng dụng của nó hiện nay là dùng trong việc quản lý các máy ảo trong VMWare hay
Hyper-V.


1.4.6.4Những nhược điểm của firewall
Khơng cái gì là tồn diện cả, tuy Firewall cung cấp nhiều tính năng hữu ích để
bảo vệ người dùng, song nó vẫn có những nhược điểm như:
+ Firewall khơng thể bảo vệ các mối nguy hiểm từ bên trong nội bộ. Tác hại
thì khỏi cần nói các bạn cũng đã biết, nếu một ai trong cơng ty có ý đồ xấu,
muốn phá hoại thì Firewall cũng đành bó tay.
+ Firewall khơng có đủ thơng minh để có thể đọc và hiểu từng loại thơng tin
và tất nhiên là nó khơng thể biết được đâu là nội dung tốt và đâu là nội dung
xấu. Mà đơn thuần Firewall chỉ hỗ trợ chúng ta ngăn chặn sự xâm nhập của
những nguồn thông tin không mong muốn nhưng phải xác định rõ các thông
số địa chỉ.
+ Firewall không thể ngăn chặn các cuộc tấn công nếu như cuộc tấn
cơng đó khơng “đi qua” nó. Ví dụ cụ thể đó là Firewall khơng thể chống lại
một cuộc tấn công từ một đường dial-up, hoặc là sự dị rỉ thơng tin do dữ liệu
bị sao chép bất hợp pháp ra đĩa mềm.
+ Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (datadrivent attack). Khi có một số ứng dụng hay phần mềm.. được chuyển qua thư
điện tử (ví dụ như Gmail, Yahoo mail…), nó có thể vượt qua Firewall vào
trong mạng được bảo vệ.

24


+ Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyển
qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có rất
nhiều cách để mã hóa dữ liệu để có thể thốt khỏi khả năng kiểm sốt của
firewall. Tuy nhiên, chúng ta không thể phủ nhận một điều rằng Firewall vẫn
là giải pháp hữu hiệu được áp dụng khá rộng rãi hiện nay.
1.5.

Các hệ thống tường lửa hiện nay


1.5.1 Software Firewalls
Là các thiết bị phần cứng chuyên dụng có chức năng và mức độ bảo vệ cao hơn
so với Firewall phần mềm và dễ bảo trì hơn do không chiếm dụng tài nguyên hệ thống
như Firewall phần mềm. Một trong những hãng chuyên cung cấp Firewall phần cứng là
Linkksys và NetGar. Các sản phẩm firewall cứng được sử dụng rộng rãi hiện nay là dòng
ASA, PIX của Cisco System và Netscreen của Juniper.

Ưu điểm:
25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×