CHUYÊN ĐỀ 2 TRƯỜNG CAO ĐẲNG CÔNG NGHỆ THỦ ĐỨC KHOA CÔNG NGHỆ THÔNG TIN ĐỒ ÁN MÔN HỌC CHUYÊN ĐỀ QUẢN TRỊ HỆ THỐNG MẠNG 2 ĐỀ TÀI XÂY DỰNG HỆ THỐNG FIREWALL CHO HỆ THỐNG MẠNG Nhóm 2 Thành viên Lê Huỳnh H.
Chuyên đề TRƯỜNG CAO ĐẲNG CÔNG NGHỆ THỦ ĐỨC KHOA CÔNG NGHỆ THÔNG TIN ĐỒ ÁN MÔN HỌC CHUYÊN ĐỀ QUẢN TRỊ HỆ THỐNG MẠNG ĐỀ TÀI XÂY DỰNG HỆ THỐNG FIREWALL CHO HỆ THỐNG MẠNG Nhóm Thành viên: TP.HCM, tháng 10 năm 2021 Lê Huỳnh Hồng Trường Lê Trường Phước Nghiêm Quốc Duy Nguyễn Minh Trọng GVHD: Nguyễn Thanh Vũ MỤC LỤC CHƯƠNG 1: GIỚI THIỆU TỔNG QUAN VỀ FIREWALL 1.1 Lịch sử đời phát triển công nghệ firewall 1.2 Định nghĩa FIREWALLD .7 1.3 Nhiệm vụ FIREWALL 1.4 Các kiến thức firewalld 1.4.1 Packet Filtering – Bộ lọc gói tin 1.4.2 Application Gateway – Cổng ứng dụng 11 1.4.3 Circuit Level Gate – Cổng mạch 14 1.4.4 Firewall pháo đài phòng ngự 16 1.4.5 Kỹ thuật kiểm tra trạng thái (Stateful packet filtering) .17 1.4.6 Phân loại 18 1.5 Các hệ thống tường lửa 28 1.5.1 Software Firewalls 28 1.5.2 Integrated firewalls 29 1.5.3 So sánh hệ thống tường lửa phổ biến 30 1.6 Xây dựng hệ thống mô Azure Firewall 1.6.1 Azure Firewall ? 1.6.2 Tính Azure Firewall 2.1 Mơ hình triển khai 2.2 Triển khai Azure Firewall Microsoft Azure 2.2.1 NAT PORT WEB , SSH, FTP 20 2.2.2 Chặn SSH 23 2.2.3 Chặn WEB .25 2.2.4 Chặn FTP .26 CHƯƠNG III : KẾT LUẬN 28 3.1 Thuận lợi 28 3.2 Khó khăn 28 3.3 Kết luận 28 TÀI LIỆU THAM KHẢO .29 CHƯƠNG 1: GIỚI THIỆU TỔNG QUAN VỀ FIREWALL 1.1 Lịch sử đời phát triển công nghệ firewall Công nghệ Firewall bắt đầu xuất vào cuối năm 1980 Internet cịn cơng nghệ mẻ theo khía cạnh kết nối sử dụng toàn cầu Ý tưởng hình thành sau hàng loạt vụ xâm phạm nghiêm trọng an ninh liên mạng xảy vào cuối năm 1980 Năm 1988, nhân viên trung tâm nghiên cứu NASA Ames California gửi ghi nhớ qua thư điện tử tới đồng nghiệp rằng: "Chúng ta bị VIRUS Internet cơng! Nó đánh Berkeley, UC San Diego, Lawrence Livermore, Stanford, NASA Ames." Con virus biết đến với tên Sâu Morris phát tán qua thư điện tử khó chịu chung người dùng vô thưởng vô phạt Sâu Morris công diện rộng an ninh Internet Cộng đồng mạng không chuẩn bị cho công hồn tồn bị bất ngờ Sau đó, cộng đồng Internet định ưu tiên tối cao phải ngăn chặn không cho công xảy ra, họ bắt đầu cộng tác đưa ý tưởng mới, hệ thống phần mềm để làm cho mạng Internet trở lại an tồn Năm 1988, báo công nghệ tường lửa công bố, Jeff Mogul thuộc Digital Equipment Corp phát triển hệ thống lọc biết đến với tên tường lửa lọc gói tin(packet filtering firewall ) Hệ thống hệ mà sau trở thành tính kỹ thuật an tồn mạng phát triển cao Từ năm 1980 đến năm 1990, hai nhà nghiên cứu phịng thí nghiệm AT&T Bell, Dave Presetto Howard Trickey, phát triển hệ tường lửa thứ hai, biết đến với tên tường lửa tầng mạch (circuit level firewall) Các báo Gene Spafford Đại học Purdue, Bill Cheswick phịng thí nghiệm AT&T Marcus Ranum mô tả hệ Công nghệ Firewall bắt đầu xuất vào cuối năm 1980 Internet cịn cơng nghệ mẻ theo khía cạnh kết nối sử dụng toàn cầu Ý tưởng hình thành sau hàng loạt vụ xâm phạm nghiêm trọng an ninh liên mạng xảy vào cuối năm 1980 Năm 1988, nhân viên trung tâm nghiên cứu NASA Ames California gửi ghi nhớ qua thư điện tử tới đồng nghiệp rằng: "Chúng ta bị VIRUS Internet cơng! Nó đánh Berkeley, UC San Diego, Lawrence Livermore, Stanford, NASA Ames." Con virus biết đến với tên Sâu Morris phát tán qua thư điện tử khó chịu chung người dùng vô thưởng vô phạt Sâu Morris công diện rộng an ninh Internet Cộng đồng mạng không chuẩn bị cho cơng hồn tồn bị bất ngờ Sau đó, cộng đồng Internet định ưu tiên tối cao phải ngăn chặn không cho công xảy ra, họ bắt đầu cộng tác đưa ý tưởng mới, hệ thống phần mềm để làm cho mạng Internet trở lại an toàn Năm 1988, báo công nghệ tường lửa công bố, Jeff Mogul thuộc Digital Equipment Corp phát triển hệ thống lọc biết đến với tên tường lửa lọc gói tin(packet filtering firewall ) Hệ thống hệ mà sau trở thành tính kỹ thuật an toàn mạng phát triển cao Từ năm 1980 đến năm 1990, hai nhà nghiên cứu phòng thí nghiệm AT&T Bell, Dave Presetto Howard Trickey, phát triển hệ tường lửa thứ hai, biết đến với tên tường lửa tầng mạch (circuit level firewall) Các báo Gene Spafford Đại học Purdue, Bill Cheswick phịng thí nghiệm AT&T Marcus Ranum mô tả hệ tường lửa thứ ba, với tên gọi tường lửa tầng ứng dụng (application layer firewall), hay tường lửa dựa proxy (proxy-based firewall) Nghiên cứu công nghệ Marcus Ranum khởi đầu cho việc tạo sản phẩn thương mại Sản phẩm Digital Equipment Corporation's (DEC) phát hành với tên SEAL Đợt bán hàng lớn DEC vào ngày 13 tháng năm 1991 cho cơng ty hóa chất bờ biển phía Đơng Mỹ Tại AT&T, Bill Cheswick Steve Bellovin tiếp tục nghiên cứu họ lọc gói tin phát triển mơ hình chạy cho cơng ty họ, dựa kiến trúc hệ tường lửa thứ Năm 1992, Bob Braden Annette DeSchon Đại học Nam California phát triển hệ thống tường lửa lọc gói tin hệ thứ tư Sản phẩm có tên “Visas” hệ thống có giao diện với màu sắc biểu tượng, dễ dàng cài đặt thành phần mềm cho hệ điều hành chẳng hạn Microsoft Windows Mac/OS Apple truy nhập từ hệ điều hành Năm 1994, cơng ty Israel có tên Check Point Software Technologies xây dựng sản phẩm thành phần mềm sẵn sàng cho sử dụng, FireWall-1 Một hệ thứ hai tường lửa proxy dựa công nghệ Kernel Proxy Thiết kế liên tục cải tiến tính mã chương trình sử dụng rộng rãi hệ thống máy tính gia đình thương mại Cisco, công ty sản xuất thiết bị mạng lớn giới phát hành sản phẩm năm 1997 Thế hệ FireWall-1 tạo thêm hiệu lực cho động kiểm tra sâu gói tin cách chia sẻ chức với hệ thống ngăn chặn xâm nhập 1.2 Định nghĩa FIREWALLD Firewall theo tiếng việt có nghĩa tường lửa Dùng để ngặn chặn bảo vệ thông tin chống việc truy cập bất hợp pháp hacker Firewall giải pháp dựa phần cứng phần mềm dùng để kiểm tra liệu từ bên ngồi vào máy tính từ máy tính ngồi mạng Internet, rộng mạng nội Internet, mạng hệ thống mạng nội cơng ty Hình 1.1: Firewall làm chắn ngăn cách mạng nội Internet Có thể nói Firewall nguời bảo vệ có nhiệm vụ kiểm tra “giấy thơng hành” gói liệu vào Nó cho phép gói liệu hợp lệ qua loại bỏ tất gói liệu khơng hợp lệ Vì mà Firewall cần thiết cho việc đảm bảo an toàn hệ thống mạng 1.3 Nhiệm vụ FIREWALL Firewall hỗ trợ máy tính kiểm sốt luồng thơng tin Intranet Internet, Firewall định dịch vụ từ bên phép truy cập bên ngoài, người bên phép truy cập vào bên hệ thống, giới hạn truy cập dịch vụ bên người bên hệ thống Sau số nhiệm vụ Firewall: • Cho phép vơ hiệu hóa dịch vụ truy cập bên ngồi, đảm bảo • • • thơng tin có mạng nội Cho phép vơ hiệu hóa dịch vụ bên ngồi truy cập vào Phát ngăn chặn cơng từ bên ngồi Hỗ trợ kiểm sốt địa truy cập (bạn đặt lệnh cấm cho • • • • phép) Kiểm sốt truy cập người dùng Quản lý kiểm soát luồng liệu mạng Xác thực quyền truy cập Hỗ trợ kiểm sốt nội dung thơng tin gói tin lưu chuyển hệ thống • mạng Lọc gói tin dựa vào địa nguồn, địa đích số Port ( hay • cổng), giao thức mạng Người quản trị biết kẻ cố gắng để truy cập vào hệ • • thống mạng • Firewall hoạt động Proxy trung gian Bảo vệ tài nguyên hệ thống mối đe dọa bảo mật Cân tải: bạn sử dụng nhiều đường truyền internet • lúc, việc chia tải giúp đường truyền internet ổn định nhiều Tính lọc ứng dụng cho phép ngăn chặn số ứng dụng mà bạn muốn Ví dụ như: Facebook, Messenger, Skype, Zalo… 1.4 Các kiến thức firewalld Khi nói đến việc lưu thơng liệu mạng với thông qua firewall điều có nghĩa firewall hoạt động kết hợp chặt chẽ với giao thức TCP/IP Vì giao thức làm việc theo thuật toán chia nhỏ liệu nhận từ ứng dụng mạng, hay xác dịch vụ chạy giao thức (Telnet, SMTP, DSN, SMNP, NFS, ) thành gói liệu (data packets) gán cho packet địa để định tuyến, nhận dạng tái lập lại đích cần gửi đến, loại firewall liên quan nhiều đến packet số địa chúng Ngày Firewall xây dựng dựa sở lọc gói (packet filter), cổng ứng dụng (Application gateway), kĩ thuật giám sát trạng thái (Stateful inspecting) số firewall khác Bastion Host Firewall (pháo Đài Phịng Ngự) Trong phần trình bày kiến trúc firewall dựa theo sư phân loại 1.4.1 Packet Filtering – Bộ lọc gói tin Bộ lọc gói tin cho phép hay từ chối gói tin mà nhận Nó kiểm tra tồn đoạn liệu để định xem đoạn liệu có thỏa mãn số luật hay không Các luật dựa thông tin packet header (tiêu đề gói tin) bao gồm thông tin sau: - Địa IP nguồn (IP Source Address) Địa IP đích (IP Destination Address) Protocol (TCP, UDP, ICMP, IP tunnel) TCP/UDP source port TCP/UDP destination port Dạng thơng báo ICMP (ICMP message type) Cổng gói tin đến (Incomming interface of packet) Cổng gói tin (Outcomming interface of packet) Hình 1.2: Packet Filtering Nếu luật lọc gói thỏa mãn packet chuyển qua firewall, không packet bị bỏ Nhờ mà firewall ngăn cản kết nối vào máy chủ mạng xác định, khóa việc truy cập vào hệ thống mạng nội từ địa khơng cho phép Ngồi ra, việc kiểm sốt cổng làm cho firewall có khả cho phép số loại kết nối định vào loại máy chủ dịch vụ (SSH, SMTP, FTP…) phép chạy hệ thống mạng cục Ưu điểm : - Đa số hệ thống firewall sử dụng lọc gói tin Một ưu điểm phương pháp dùng lọc gói chi phí thấp chế - lọc gói có sẵn router Ngồi ra, lọc gói suốt người sử dụng ứng dụng khơng u cầu người sử dụng phải thao tác Nhược điểm: - Việc định nghĩa chế độ lọc gói việc phức tạp, địi hỏi - người quản trị mạng cần có hiểu biết chi tiết dịch vụ internet, dạng packet header Khi yêu cầu lọc gói tin lớn, rules - trở nên phức tạp khó quản lý điều khiển Do làm việc dựa header packet nên lọc khơng kiểm sốt nội dung thông tin packet Các packet chuyển qua mang theo hành động với ý đồ ăn cắp thông tin hay phá hoại kẻ xấu 10 CHUYÊN ĐỀ MAIL thành công !! 2.2.2 Chặn SSH Lúc chưa chặn chạy bình thường CHUYÊN ĐỀ Tiến hành chặn SSH Như chặn thành công !! CHUYÊN ĐỀ 2.2.3 Chặn WEB Lúc chưa chặn text ip firewall chạy bình thường Tiến hành chặn WEB CHUYÊN ĐỀ Như chặn thành công !!! 2.2.4 Chặn FTP Lúc chưa chặn FTP bình thường CHUYÊN ĐỀ Tiến hành chặn FTP CHUYÊN ĐỀ Như chặn thành cơng !!! 2.2.5 Chặn MAIL Trước lúc chặn truy cập bình thường CHUYÊN ĐỀ Tiến hành chặn mail Như chặn MAIL thành công !!! CHƯƠNG III : KẾT LUẬN 3.1 Thuận lợi - Tài liệu cơng cụ có sẵn mạng, đề tài dễ hiểu, ngắn gọn 3.2 Khó khăn - Đầu tiên vấn đề tạo tài khoản Microsoft Azure khó CHUYÊN ĐỀ - Các bạn nhóm thiếu thiết bị nên làm trở nên khó khăn với nhóm - Tồn tài liệu tiếng anh nên nhóm tìm hiểu lâu làm 3.3 Kết luận Đề tài thú vị dễ hiểu Trong trình thực đồ án xuất nhiều lỗi chúng em cố gắng hoàn thành thời hạn mà thầy đưa TÀI LIỆU THAM KHẢO [1] https://azure.microsoft.com/en-us/ [2] https://docs.microsoft.com/en-us/azure/firewall/overview [3] https://docs.microsoft.com/en-us/azure/firewall/tutorial-firewall-deploy-portalpolicy ... Personal firewall Network firewall 19 Sự khác biệt hai loại số lượng host firewall bảo vệ Trong Personal firewall bảo vệ cho máy Network firewall lại bảo vệ cho hệ thống mạng Personal Firewall. .. Software Firewalls 28 1.5.2 Integrated firewalls 29 1.5.3 So sánh hệ thống tường lửa phổ biến 30 1.6 Xây dựng hệ thống mô Azure Firewall 1.6.1 Azure Firewall ?... qua firewall, khơng packet bị bỏ Nhờ mà firewall ngăn cản kết nối vào máy chủ mạng xác định, khóa việc truy cập vào hệ thống mạng nội từ địa khơng cho phép Ngồi ra, việc kiểm sốt cổng làm cho firewall