Thiết kế tường lửa
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (332.68 KB, 34 trang )
Tactical Perimeter Defense
Designing Firewall
Thiết kế tường lửa
Mục tiêu
- Xem xét những nguyên tắc thiết kế tường lửa
- Tạo một chính sách tường lửa dựa trên những yếu tố
đã được cung cấp.
- Tạo ra những quy tắc được cài đặt để lọc gói tin
- Mô tả chức năng của một máy chủ proxy
- Mô tả bastion host trong bảo mật mạng
- Mô tả chức năng của một honeypot trong một môi
trường mạng.
Những thành phần của tường lửa
Từ chối hay chấp nhận truy cập dựa trên những điều
luật được cấp phát bởi người quản trị mạng
Các dịch vụ:
–
Network Address Translation (NAT)
–
Đệm dữ liệu (Data caching)
–
Hạn chế nội dung
Ví dụ về tường lửa đơn giản
Hai phương pháp sử dụng trong tường lửa
Lọc gói tin
•
Được thiết kế chỉ để xem thông tin tiêu đề của gói
tin
Sử dụng máy chủ proxy (cổng ứng dụng)
•
Proxy nhận các yêu cầu và thay mặt cho client gửi
yêu cầu đến server
•
Có thể từ chối gói tin dựa vào dữ liệu bên trong
Những thứ tường lửa không làm được
Dò tìm virus
–
Tường lửa không thể dò tìm virus,chúng ta phải luôn cài đặt
phần mềm chống virus bên trong
Sai sót của nhân viên
–
Nhân viên mở email/chương trình một cách vô tình
Kết nối thứ hai
–
Một số nhân viên sử dụng modem trong máy tính cá nhân để ra
ngoài internet
Vấn đề xã hội
–
Nhân viên đem thông tin ra ngoài
Chính sách bảo mật kém
–
Cần phải có một chính sách bảo mật tốt
Tạo một chính sách tường lửa
Có 2 cách phổ biến:
- Cho phép mọi thứ trừ những cái bị cấm
- Ngăn cấm mọi thứ trừ những cái được cho phép
(cách này thường được sử dụng hơn)
Chính sách tường lửa
Các khoản mục có thể có trong một chính
sách bảo mật:
–
Acceptable Use Statement
–
Network Connection Statement
–
Contracted Worker Statement
–
Firewall Administrator Statement
Các điều luật(Rule)
và bộ lọc gói tin (Packet filter)
Bộ lọc gói tin
–
Thường được triển khai dưới dạng danh sách kiểm soát
truy cập(access control list-ACL) được cài đặt trên các
router.
Vị trí của các bộ lọc gói tin
Các điều luật (Rules)
Cần tham khảo chính sách tường lửa(firewall policy)
trước khi cài đặt các điều luật.
Có thể đặt các câu hỏi để có thể đưa ra các điều luật
chẳng hạn:
•
Những dịch vụ nào trên Internet được phép truy cập từ
mạng nội bộ?
•
Những dịch vụ nào trong mạng nội bộ được phép truy cập
từ Internet?
•
Những máy nào được phép truy cập đặc biệt mà các máy
khác không có?
Những điều cần xem xét về thiết bị lọc gói
•
Giao tiếp mạng nào sẽ áp dụng các điều luật
•
Hướng của gói tin
•
Địa chỉ được sử dụng để ra quyết định (địa chỉ
nguồn, địa chỉ đích hay cả hai)
•
Cổng được sử dụng để ra quyết định (cổng nguồn,
cổng đích hay cả hai)
•
Các giao thức ở tầng trên (trong mô hình
OSI).Luật này dựa trên UDP hay TCP?
Các quy luật được xây dựng cho firewall
