43 pages 1
an toµn m¹ng th«ng tin
Bøc têng löa
(Firewall)
43 pages 2
Bøc têng löa lµ g×?
•
Thuật ngữ bức tường lửa (firewall) có nguồn gốc từ một
kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế
hỏa hoạn.
•
Trong công nghệ mạng thông tin, firewall là một kỹ thuật
được tích hợp vào hệ thống mạng:
–
Chống truy cập trái phép vào các tài nguyên và dịch
vụ của mạng
–
Bảo vệ các nguồn thông tin nội bộ
–
Hạn chế các thông tin không mong muốn xâm nhập
vào hệ thống
43 pages 3
Bøc têng löa lµ g×?
•
Firewall là cơ chế bảo vệ mạng tin tưởng được (trusted
network) khỏi các mạng không đáng tin (chẳng hạn
Internet)
•
Thông thường, firewall được cài đặt ở vị trí tiếp giáp giữa
hai mạng nói trên
•

Như vậy, firewall điều khiển truy cập ở mức mạng con
43 pages 4
•
Về mặt chức năng hệ thống, firewall được đặt giữa hai
mạng để kiểm soát mọi lưu thông và truy cập giữa chúng
với nhau: chỉ những dữ liệu được cho phép bởi chế độ
an ninh của hệ thống mạng bên trong mới được lưu
thông qua firewall.
•
Về mặt vật lý, firewall bao gồm:
–
Một hoặc nhiều hệ thống máy chủ kết nối với các bộ
định tuyến (router).
–
Các phần mềm quản lý an ninh chạy trên các hệ
thống máy chủ.
Bøc têng löa lµ g×?
43 pages 5
Chøc n¨ng cña bøc têng löa
–
Kiểm tra trạng thái gói tin
–
Dịch địa chỉ mạng (NAT)
–
Đại diện (Proxy)
–
Theo dõi và điều khiển
43 pages 6
Firewall có thể làm được gì?



•
Hội tụ các quyết định bảo mật
•
Kiểm soát truy cập (tăng cường chính
sách bảo mật)
•
Giám sát các hoạt động liên quan tới
Internet
•
Hạn chế sự lan rộng các lỗi bảo mật (chỉ
trong phạm vi một khu vực nào đó của
mạng)
43 pages 7
Firewall không thể làm được gì?


•
Không thể chống lại được những nhân tố phá
hoại từ bên trong
•
Không thể bảo vệ mạng chống lại những kết nối
không đi qua firewall
–
VD: Nếu bên trong mạng có người sử dụng dịch vụ
dial-up qua modem (không qua firewall), thì firewall
không thể ngăn chặn những lưu thông phá hoại qua
dịch vụ đó
•
Không thể chống lại một cách toàn diện những

mối nguy cơ mới phát sinh
•
Không thể bảo vệ một cách toàn diện với virus
•
Không thể tự thiết lập các chức năng bảo vệ (cần
chi phí cho hoạt động)
43 pages 8
Các dịch vụ và giao thức internet
cần quan tâm?


•
Thư điện tử: simple mail transfer protocol (SMTP)
•
Trao đổi file: file transfer protocol (FTP), network file
protocol (NFS)
•
Truy cập và thực hiện lệnh đối với đầu cuối ở xa: telnet,
rlogin, ssh
•
Usernet news: network news transfer protocol (NNTP)
•
WWW: hypertext transfer protocol (HTTP)
•
Các dịch vụ real-time conferencing: các công cụ CUseeMe,
netmeeting, Nescape Conference, MBone
•
Các dịch vụ name: domain name service (DNS)
•
Quản lý mạng: simple network management protocol

(SNMP)
•
Dịch vụ định thời: network time protocol (NTP)
•
Hệ thống Windows: X-Windows
•
Các hệ thống in ấn: các giao thức line printing (LPR/LPD)
43 pages 9
Một số cơ sở về các dịch vụ Internet,
IP, TCP, UDP


•
Các dịch vụ Internet thường được hiện thực hóa bởi các
chương trình server và client, và các giao thức ứng dụng
được chạy trên các chương trình này
•
Các đơn vị dữ liệu giao thức (PDU) của ứng dụng thường
được truyền trong các TCP segment (phân đoạn) hoặc
các UDP datagram (gam dữ liệu)
•
Các TCP segment hoặc các UDP datagram được vận
chuyển trong các gói IP theo các PDU sử dụng các kết nối
(công nghệ data link) giữa nguồn và đích
–
Ví dụ: Ethernet, FDDI, ATM,
•
Địa chỉ của các ứng dụng được hiện thực hóa bằng các
phương pháp sau:
–

Địa chỉ IP của nguồn (source IP address), cổng nguồn
(source port)
–
Địa chỉ IP của đích (destination IP address), cổng đích
(destination port)
–
Cổng (port) là một số 2-byte dùng để nhận dạng ứng dụng
mà PDU đi tới đó hoặc đi ra từ đó
43 pages 10
Ví dụ: một gói IP mang một TCP
segment


43 pages 11
Các trường giao thức quan trọng
đối với firewall (1)


•
Giao thức truy cập:
–
Giao thức lớp mạng: IP, Appletalk, IPX
(Novell), DecNet
–
Địa chỉ giao thức truy cập: địa chỉ Ethernet
MAC, địa chỉ E.164
•
các địa chỉ này liên quan tới nguồn và đích cuối
cùng, hoặc liên quan tới các nút mạng trung
gian trên đường liên kết

43 pages 12
Các trường giao thức quan trọng đối
với firewall (2)


•
IP:
–
Địa chỉ nguồn (source address)
–
Địa chỉ đích (destination address)
–
Cờ (flag), chỉ số đặc biệt về một IP flagment
–
Loại giao thức (protocol type): TCP, UDP, ICMP
–
Tùy chọn:
•
Định tuyến nguồn (source routing):
–
bên gửi xác định trước con đường mà một gói IP sẽ đi qua
–
vì source routing thường bị hacker lợi dụng để tấn công
mạng nên hầu hết các firewall loại bỏ tùy chọn này
•
Nói chung, các tùy chọn IP ít khi được sử dụng
43 pages 13
Các trường giao thức quan trọng đối
với firewall (3)



•
TCP:
–
Cổng nguồn và cổng đích (source/destination port)
•
Việc đánh giá cổng nguồn và cổng đích cho phép xác
định ứng dụng nào đang gửi và nhận thông tin (với một
độ tin cậy nào đó), vì hầu hết các dịch vụ internet đều sử
dụng các cổng đã biết trước
–
Điều khiển:
•
ACK: bit này giúp nhận biết yêu cầu kết nối (bit ACK được
thiết lập trong mọi TCP segment, với bit ACK đầu tiên
được truyền đi trong một kết nối TCP)
•
SYN: bit này sử dụng để khẳng định việc kết nối (bit này
chỉ được thiết lập trong 2 segment đầu tiên của một kết
nối)
•
RST: bit này được sử dụng để tắt các thiết bị cùng cấp
giao thức(peer) mà không cần gửi thông báo lỗi trở về
(việc thiết lập bit này sẽ chỉ ra rằng một kết nối đã bị đóng
không đúng)
43 pages 14
Các trường giao thức quan trọng đối
với firewall (4)



•
Giao thức ứng dụng (application
protocol):
–
Trong một số trường hợp firewall có thể cần
đến các trường mào đầu (header) của giao
thức ứng dụng
43 pages 15
Một số thuật ngữ về firewall (1)

Bức tờng lửa (firewall)

Một bộ phận của mạng có chức năng hạn chế truy cập giữa
một mạng đợc bảo vệ với Internet hoặc giữa các phần khác
nhau của một mạng.

Lọc gói (packet filtering)

Điều khiển có chọn lọc sự lu thông dữ liệu vào/ra i v i
một mạng.

Lọc gói là một kỹ thuật điều khiển truy cập quan tr ng đối
với các mạng chuyển mạch gói (chẳng hạn nh Internet).

Tiếng Anh: packet filtering = screening (lọc gói hoặc đơn
giản là lọc)
43 pages 16
Một số thuật ngữ về firewall (2)

Máy tiền đồn (bastion host)


Một máy tính đóng vai trò điểm tiếp xúc chính giữa bên
trong và bên ngoài một mạng.

Phải đợc bảo mật mức độ cao hơn các máy khác trong
mạng vì là điểm nhạy cảm dễ bị tấn công hơn.

Máy hai mang (dual-homed host)

Một máy tính có hai hoặc nhiều card giao diện mạng, nên
có thể thuộc về hai hoặc nhiều mạng khác nhau.

Mạng vành đai (perimeter network)

Một mạng con đợc thêm vào giữa một mạng bên ngoài và
mạng bên trong để tăng cờng bảo mật.

Còn đợc gọi là khu phi quân sự (De-Milliterized Zone -
DMZ).
43 pages 17
Một số thuật ngữ về firewall (3)

Đại diện (proxy)

Một chơng trình thay mặt cho các máy bên trong mạng
làm việc với các máy chủ bên ngoài.

Proxy chuyển tiếp yêu cầu của các máy khách tới máy chủ
bên ngoài mạng, và chuyển tiếp đáp ứng của máy chủ bên
ngoài tới các máy khách bên trong mạng.


Nếu một proxy có thể dịch và hiểu đợc các lệnh của một
giao thức ứng dụng thì đợc gọi là proxy mức ứng dụng
(application-level proxy), còn nếu nó chỉ đơn thuần chuyển
tiếp các gói dữ liệu thì đợc gọi là proxy mức chuyển mạch
(circuit-level proxy).
43 pages 18
Một số thuật ngữ về firewall (4)

Dịch địa chỉ mạng (Network Address Translation - NAT)

Một thủ tục mà router dùng để thay đổi dữ liệu trong các
gói nhằm thay đổi địa chỉ mạng.

NAT cho phép che giấu địa chỉ thực sự bên trong của mạng
(mặc dù NAT không thực sự là một kỹ thuật bảo mật).
43 pages 19
Các kiến trúc firewall

Firewall với bộ lọc gói đơn giản

Sử dụng router hoặc máy tính với phần mềm lọc gói

Firewall với dual-homed bastion host

Sử dụng một máy hai mang làm tiền đồn

Firewall với screened host

Kết hợp một bộ lọc gói với một máy tiền đồn cung cấp dịch vụ proxy


Firewall với screened subnet

Tạo mạng vành đai bằng hai bộ lọc gói và một máy tiền đồn

Firewall với split screened subnet

Tách mạng vành đai thành hai mạng riêng biệt bằng hai bộ lọc gói và
một máy tiền đồn
43 pages 20
Kiến trúc Bộ lọc gói đơn giản
•
Đây là kiến trúc đơn giản nhất chỉ gồm một router với chức năng
lọc gói
•
Firewall này có thể được thực hiện theo một trong hai cách sau:
–
Một máy trạm thông thường với ít nhất hai card mạng kết hợp
với phần mềm định tuyến và lọc
–
Một router chuyên dụng có khả năng lọc gói
43 pages 21
Kiến trúc Dual-Homed Host

Kiến trúc dual-homed host cung cấp:

Dịch vụ proxy cho các máy khách trong hoặc ngoài mạng

Khả năng lọc gói nếu dual-homed host cũng đóng vai trò router


Thuộc tính của dual-homed host:

Có ít nhất hai card mạng

Nhợc điểm: vì mọi lu lợng đợc phép đều đi qua bastion host nên có
thể xảy ra tắc nghẽn mạng
43 pages 22
Kiến trúc Screened Host



Lọc gói:

Cho phép lu lợng IP đợc phép lu thông giữa máy màn chắn (screened
host) và internet

Chặn mọi lu lợng trực tiếp giữa các máy khác bên trong mạng và
Internet

Screened host cung cấp các dịch vụ proxy:

Screened host đóng vai trò nh một bastion host, mặc dù mạng đã đợc
bảo vệ một phần bởi bộ lọc gói
43 pages 23
Kiến trúc Screened Subnet

Một mạng vành đai (perimeter) đợc tạo ra giữa hai bộ lọc gói

Bộ lọc gói bên trong tăng cờng bảo vệ cho mạng trong trờng hợp bastion
host bị "qua mặt (thoả hiệp).


Ví dụ, bastion host nếu đã bị thoả hiệp sẽ không thể nghe ngóng
(sniff) mạng bên trong

Mạng vành đai cũng là nơi thích hợp để đặt máy chủ truy cập thông tin
công cộng, chẳng hạn nh máy chủ web
43 pages 24
Kiến trúc Split Screened Subnet

Một dual-homed bastion host tách mạng vành đai thành hai mạng riêng biệt.

Kiến trúc này tạo ra mức độ bảo vệ sâu hơn:

Dual-homed bastion host kiểm soát chặt hơn các kết nối do các dịch vụ
proxy của nó có thể dịch đợc các giao thức ứng dụng

Bộ lọc gói bên ngoài bảo vệ bastion host khỏi các máy bên ngoài mạng

Bộ lọc gói bên trong bảo vệ các máy bên trong trong trờng hợp bastion
host bị thoả hiệp
43 pages 25
Lọc gói (1)
•
Lọc gói có thể làm được điều gì?
–
Về mặt lý thuyết, lọc gói có thể lọc được mọi thứ, vì
mọi trao đổi thông tin đều thực hiện bằng các gói
–
Trong thực tế, cần chú ý đến các điểm sau:
•

Các hệ thống proxy thích hợp với việc theo dõi các hoạt
động cần biết chi tiết về các giao thức lớp cao, hoặc các
hoạt động được kéo dài từ các sự kiện quá khứ
•
Các hệ thống lọc gói thích hợp với việc theo dõi các hoạt
động đơn giản, thực hiện nhanh hoặc các gói độc lập