Giáo trình An toàn và bảo mật thông tin được biên soạn với mục tiêu nhằm giúp sinh viên trình bày được các nguy cơ mất an toàn; một số kỹ thuật bảo vệ hệ thống máy tính, hệ thống mạng; Hiểu được các nguyên lý an toàn thông tin; Trình bày được các thành phần khác nhau trong mô hình bảo mật. Mời các bạn cùng tham khảo!
TỔNG QUAN VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN
Các khái niệm chung
- Mô tả được các đối tượng tấng công hệ thống mạng ;
- Xác định được các lỗ hổng bảo mật
1.1 Đối tƣợng tấn công mạng (Intruder)
Các cá nhân hoặc tổ chức tấn công mạng sử dụng kiến thức về mạng cùng với các công cụ phá hoại, bao gồm phần mềm và phần cứng, để tìm kiếm điểm yếu và lỗ hổng bảo mật trong hệ thống Họ thực hiện các hoạt động xâm nhập nhằm chiếm đoạt tài nguyên mạng một cách trái phép.
Hacker là những cá nhân xâm nhập trái phép vào hệ thống mạng bằng cách sử dụng công cụ phá mật khẩu hoặc khai thác những lỗ hổng trong các thành phần truy cập.
- Masquerader: Là những kẻ giả mạo thông tin trên mạng Một số hình thức giả mạo như giả mạo địa chỉ IP, tên miền, định danh người dùng
Eavesdropping là hành vi nghe trộm thông tin trên mạng bằng cách sử dụng các công cụ sniffer, sau đó phân tích và debug để thu thập thông tin giá trị Các đối tượng tấn công mạng có thể có nhiều mục đích khác nhau, bao gồm việc đánh cắp thông tin kinh tế, phá hoại hệ thống mạng một cách có chủ đích, hoặc thậm chí thực hiện các hành động vô ý thức do thử nghiệm các chương trình không được kiểm tra kỹ lưỡng.
1.2 Các lỗ hổng bảo mật
Các lỗ hổng bảo mật là những điểm yếu trong hệ thống hoặc dịch vụ, cho phép kẻ tấn công xâm nhập trái phép để thực hiện hành động phá hoại hoặc chiếm đoạt tài nguyên một cách bất hợp pháp.
Các lỗ hổng bảo mật xuất phát từ nhiều nguyên nhân khác nhau, bao gồm lỗi trong hệ thống, sai sót của phần mềm cung cấp, hoặc do sự thiếu hiểu biết của người quản trị về các dịch vụ mà họ quản lý.
Mức độ ảnh hưởng của các lỗ hổng rất đa dạng; một số lỗ hổng chỉ làm giảm chất lượng dịch vụ, trong khi những lỗ hổng khác có thể gây tác động nghiêm trọng đến toàn bộ hệ thống.
Nhu cầu bảo vệ thông tin
- Trình bày được các nhu cầu cần bảo vệ trên hệ thống mạng
Tài nguyên đầu tiên mà chúng ta nói đến chính là dữ liệu Đối với dữ liệu, chúng ta cần quan tâm những yếu tố sau:
Những thông tin lưu trữ trên hệ thống máy tính cần được bảo vệ do các yêu cầu sau:
- Bảo mật: những thông tin có giá trị về kinh tế, quân sự, chính sách vv cần đƣợc bảo vệ và không lộ thông tin ra bên ngoài
- Tính toàn vẹn: Thông tin không bị mất mát hoặc sửa đổi, đánh tráo
- Tính kịp thời: Yêu cầu truy nhập thông tin vào đúng thời điểm cần thiết
Trong các yêu cầu về thông tin lưu trữ trên mạng, bảo mật thường được xem là ưu tiên hàng đầu Tuy nhiên, tính toàn vẹn của thông tin cũng đóng vai trò quan trọng không kém Không ai, dù là cá nhân hay tổ chức, lại muốn lãng phí tài nguyên và thời gian để lưu trữ thông tin mà không đảm bảo tính chính xác của nó.
2.3 Bảo vệ tài nguyên sử dụng trên mạng
Kẻ tấn công, sau khi chiếm quyền kiểm soát hệ thống nội bộ, có thể lợi dụng các máy tính này để thực hiện các mục đích xấu như chạy chương trình dò mật khẩu của người dùng và sử dụng các liên kết mạng để tấn công các hệ thống khác.
2.4 Bảo bệ danh tiếng của cơ quan
Nhiều cuộc tấn công mạng không được công khai, chủ yếu do lo ngại về việc mất uy tín của các tổ chức, đặc biệt là các công ty lớn và cơ quan nhà nước Khi quản trị viên hệ thống chỉ nhận thức được vấn đề sau khi hệ thống của họ bị lợi dụng để tấn công các hệ thống khác, tổn thất về uy tín sẽ rất nghiêm trọng và có thể gây ra hậu quả lâu dài.
Bài tập thực hành của học viên
Câu 1: Trình bày các đối tƣợng tấng công hệ thống mạng
Câu 2: Đối với dữ liệu, chúng ta cần quan tâm những yếu tố nào?
MÃ HÓA THÔNG TIN
Cơ bản về mã hoá (Cryptography)
- Trình bày được nhu cầu sử dụng mã hóa;
- Mô tả được quá trình mã hóa và giải mã
Những điều căn bản về mã hoá
Khi bắt đầu khám phá mã hoá, chúng ta thường đặt ra những câu hỏi như: Tại sao mã hoá lại cần thiết? Và lý do gì khiến có nhiều thuật toán mã hoá khác nhau?
1.1 Tại sao cần phải sử dụng mã hoá
Thuật toán Cryptography là ngành khoa học nghiên cứu về mã hóa và giải mã thông tin, bao gồm việc chuyển đổi dữ liệu từ dạng rõ (clear text) sang dạng mờ (cipher text) và ngược lại Phương pháp này rất hiệu quả trong việc ngăn chặn truy cập trái phép vào dữ liệu được truyền tải trên mạng, bởi vì việc áp dụng mã hóa sẽ làm cho thông tin trở nên không thể đọc được đối với những ai cố gắng truy cập trái phép.
1.2 Nhu cầu sử dụng kỹ thuật mã hoá
Không phải mọi người hay ứng dụng đều cần sử dụng mã hóa Nhu cầu mã hóa phát sinh khi các bên muốn bảo vệ thông tin quan trọng hoặc gửi chúng một cách an toàn Những tài liệu quan trọng này có thể bao gồm tài liệu quân sự, tài chính, kinh doanh hoặc thông tin cá nhân.
Nhƣ chúng ta đã biết, Internet hình thành và phát triển từ yêu cầu của chính phủ
Mã hóa là một biện pháp quan trọng nhằm bảo vệ thông tin cá nhân trong môi trường Internet không an toàn và đầy rủi ro Khi tham gia trao đổi thông tin, chúng ta không thể đảm bảo rằng dữ liệu không bị đọc trộm Do đó, việc áp dụng mã hóa không chỉ giúp tự bảo vệ thông tin mà còn đảm bảo tính toàn vẹn của dữ liệu trong quá trình truyền tải.
Tại sao lại có quá nhiều thuật toán mã hoá
Theo một số tài liệu, trước đây, tính an toàn và bí mật của một thuật toán phụ thuộc vào cách thức hoạt động của nó Nếu an toàn của thuật toán chỉ dựa vào sự bí mật của chính nó, thì thuật toán đó được coi là hạn chế.
Thuật toán hạn chế (Restricted Algorithm) từng có vai trò quan trọng trong lịch sử, nhưng hiện nay đã trở nên lỗi thời Sự hạn chế của nó là lý do chính khiến nhiều người không còn sử dụng: khi một người dùng rời khỏi nhóm, toàn bộ nhóm phải chuyển sang thuật toán khác Thêm vào đó, nếu thông tin về thuật toán bị rò rỉ hoặc bị phát hiện, thuật toán sẽ bị coi là bị phá vỡ, dẫn đến việc tất cả người dùng còn lại trong nhóm phải thay đổi thuật toán, gây tốn thời gian và công sức.
Hệ thống mã hoá hiện nay giải quyết vấn đề an toàn thông qua việc sử dụng khoá (Key), một yếu tố tách rời khỏi thuật toán mã hoá Vì các thuật toán thường được công khai, nên tính an toàn của mã hoá phụ thuộc vào khoá, có thể là bất kỳ giá trị chữ hoặc số nào Phạm vi các giá trị khả dĩ của khoá được gọi là Keyspace Cả hai quá trình mã hoá và giải mã đều cần khoá, và hiện nay, các thuật toán được phân loại dựa trên số lượng và đặc tính của khoá sử dụng.
Mã hoá là quá trình che giấu thông tin bằng thuật toán, chuyển đổi dữ liệu từ dạng tỏ sang dạng mờ Thuật toán là tập hợp các câu lệnh hướng dẫn chương trình xáo trộn hoặc phục hồi dữ liệu Một ví dụ đơn giản về thuật toán là cách mã hoá thông điệp trước khi gửi đi.
Bước 1: Thay thế toàn bộ chữ cái “e” thành số “3”
Bước 2: Thay thế toàn bộ chữ cái “a” thành số “4”
Bước 3: Đảo ngược thông điệp
Thuật toán mã hoá là một công cụ quan trọng trong bảo mật thông tin Để hiểu rõ hơn về nó, chúng ta cần nắm vững một số thuật ngữ cơ bản Những khái niệm này sẽ giúp chúng ta hình dung cách thức hoạt động của thuật toán mã hoá một cách dễ dàng hơn.
Hinh1: Minh hoạ quá trình mã hóa và giải mã Sender/Receiver: Người gửi/Người nhận dữ liệu
- Plaintext (Cleartext): Thông tin trước khi được mã hoá Đây là dữ liệu ban đầu ở dạng rõ
- Ciphertext: Thông tin, dữ liệu đã đƣợc mã hoá ở dạng mờ
- Key: Thành phần quan trọng trong việc mã hoá và giải mã
- CryptoGraphic Algorithm: Là các thuật toán đƣợc sử dụng trong việc mã hoá hoặc giải mã thông tin
- CryptoSystem: Hệ thống mã hoá bao gồm thuật toán mã hoá, khoá, Plaintext, Ciphertext
Kí hiệu chung: P là thông tin ban đầu, trước khi mã hoá E() là thuật toán mã hoá D() là thuật toán giải mã C là thông tin mã hoá K là khoá
1.3 Quá trình mã hoá và giải mã nhƣ sau:
- Quá trình mã hoá đƣợc mô tả bằng công thức: EK(P)=C
- Quá trình giải mã đƣợc mô tả bằng công thức: DK(C)=P
Mã hóa không chỉ giúp che giấu nội dung thông tin mà còn đảm bảo các mục tiêu quan trọng như tính bí mật, xác thực, toàn vẹn và tính không thể chối bỏ Tính bí mật đảm bảo rằng dữ liệu được truyền đi an toàn và chỉ những người được phép mới có thể đọc được Tính xác thực giúp người nhận xác định chắc chắn rằng dữ liệu họ nhận là gốc, ngăn chặn kẻ giả mạo Tính toàn vẹn cho phép người nhận kiểm tra rằng dữ liệu không bị thay đổi trong quá trình truyền, ngăn cản việc thay thế dữ liệu ban đầu bằng dữ liệu giả mạo Cuối cùng, tính không thể chối bỏ đảm bảo rằng cả người gửi và người nhận không thể phủ nhận việc đã gửi hoặc nhận thông tin.
Độ an toàn của thuật toán
- Trình bày được các thuật toán mã hóa
Nguyên tắc cơ bản trong mã hóa là "Tất cả các thuật toán đều có thể bị phá vỡ" Mỗi thuật toán cung cấp một mức độ an toàn khác nhau, dựa trên độ phức tạp của việc phá vỡ chúng Độ an toàn của một thuật toán phụ thuộc vào nhiều yếu tố khác nhau.
Nếu chi phí để phá vỡ một thuật toán lớn hơn giá trị của thông tin mà thuật toán đó bảo vệ, thì thuật toán đó được xem là tạm thời an toàn.
- Nếu thời gian cần thiết dùng để phá vỡ một thuật toán là quá lâu thì thuật toán đó tạm thời đƣợc coi là an toàn
Nếu lượng dữ liệu cần thiết để phá vỡ một thuật toán lớn hơn nhiều so với dữ liệu đã được mã hóa, thì thuật toán đó có thể được coi là tạm thời an toàn.
Thuật toán bảo mật chỉ đảm bảo an toàn trong một khoảng thời gian nhất định, vì luôn có khả năng cho phép kẻ xấu tìm cách phá vỡ Sự an toàn này phụ thuộc vào thời gian, công sức, đam mê và tính kiên trì của những kẻ tấn công Với sự gia tăng tốc độ xử lý của CPU và khả năng tính toán của máy tính, không ai có thể khẳng định rằng thuật toán sẽ an toàn mãi mãi Trong lĩnh vực mạng máy tính và truyền thông, luôn tồn tại hai phe đối lập: những kẻ tấn công khai thác lỗ hổng và những người bảo vệ xây dựng hệ thống phòng thủ Cuộc chiến giữa hai bên giống như một ván cờ, mỗi bước đi đều có thể quyết định số phận của cả hai.
Trong cuộc chiến, người giỏi hơn sẽ chiến thắng, và trong thế giới mã hóa cũng vậy, mọi thứ phụ thuộc vào trình độ và thời gian Không ai có thể dự đoán trước điều gì, tạo nên sự hấp dẫn của trò chơi này.
Phân loại các thuật toán mã hoá
Có nhiều thuật toán mã hóa khác nhau, bao gồm cả những thuật toán công khai cho mọi người sử dụng làm chuẩn mã hóa dữ liệu và những thuật toán không được công bố Các thuật toán mã hóa có thể được phân loại thành nhiều loại khác nhau.
Phân loại theo các phương pháp:
- Mã hoá cổ điển (Classical cryptography)
- Mã hoá đối xứng (Symetric cryptography)
- Mã hoá bất đối xứng(Asymetric cryptography)
Phân loại theo số lƣợng khoá:
- Mã hoá khoá bí mật (Private-key Cryptography)
- Mã hoá khoá công khai (Public-key Cryptography)
Trong lịch sử mã hóa, có những phương pháp không sử dụng khóa, với thuật toán đơn giản và dễ hiểu Những từ chính trong các phương pháp này đã tạo nền tảng cho các thuật toán mã hóa đối xứng hiện đại Hai phương pháp nổi bật trong mã hóa cổ điển là:
- Mã hoá thay thế (Substitution Cipher):
Phương pháp mã hóa này thay thế từng ký tự hoặc nhóm ký tự trong bản rõ (Plaintext) bằng các ký tự khác để tạo ra bản mờ (Ciphertext) Để khôi phục lại bản rõ ban đầu, bên nhận chỉ cần thực hiện quá trình đảo ngược thay thế trên bản mờ.
Các hệ mật mã cổ điển- Hệ mã hóa thay thế(Substitution Cipher)
Chọn một hoán vị p: Z26 Z26 làm khoá
- Mã hoá hoán vị (Transposition Cipher):
Trong mã hoá cổ điển, bên cạnh phương pháp mã hoá thay thế, mã hoá hoán vị cũng là một phương pháp nổi tiếng Khác với mã hoá thay thế, trong mã hoá hoán vị, các ký tự trong Plaintext không bị thay đổi mà chỉ được sắp xếp lại vị trí để tạo ra Ciphertext Điều này có nghĩa là các ký tự trong Plaintext vẫn giữ nguyên, chỉ có thứ tự của chúng được điều chỉnh.
Mã hoán vị - Permutation Cipher
Chuyển đổi vị trí bản thân các chữ cái trong văn bản gốc từng khối m chữ cái
Trong đó, π: Z26 Z26 là một hoán vị, π‟ :=π-1 là nghịch đảo của π
“shesellsseashellsbytheseashore” shesel | lsseas | hellsb | ythese | ashore
EESLSH | SALSES | LSHBLE | HSYEET | HRAEOS
3.2 Mã hoá đối xứng: Ở phần trên, chúng ta đã tìm hiểu về mã hoá cổ điển, trong đó có nói rằng mã hoá cổ điển không dùng khoá Nhƣng trên thực nếu chúng ta phân tích một cách tổng quát, chúng ta sẽ thấy đƣợc nhƣ sau:
Mã hoá cổ điển sử dụng khoá để bảo vệ thông tin, ví dụ như trong phương pháp Ceaser Cipher, khoá là phép dịch ký tự, cụ thể là dịch 3 ký tự Trong phương pháp mã hoá hoán vị, khoá được xác định bởi số hàng hoặc số cột mà người dùng quy định Khoá này có thể thay đổi tùy theo mục đích mã hoá, nhưng cần nằm trong một phạm vi cho phép nhất định.
Để sử dụng mã hóa cổ điển, bên mã hóa và bên giải mã cần thống nhất về cơ chế mã hóa và giải mã Nếu không đạt được sự đồng thuận này, hai bên sẽ không thể tương tác hiệu quả.
Mã hóa đối xứng, còn được biết đến với các tên gọi như Mã hóa Khóa Bí mật (Secret Key Cryptography) hay Mã hóa Khóa Riêng (Private Key Cryptography), là phương pháp sử dụng một khóa duy nhất cho cả quá trình mã hóa và giải mã.
Quá trình thực hiện nhƣ sau:
Trong hệ thống mã hoá đối xứng, hai bên gửi và nhận cần thoả thuận về khoá chung trước khi truyền dữ liệu Bên gửi sẽ mã hoá bản rõ bằng khoá bí mật và gửi thông điệp đã mã hoá cho bên nhận Sau khi nhận được thông điệp, bên nhận sử dụng khoá bí mật đã thoả thuận để giải mã và khôi phục bản rõ.
Mã hóa đối xứng là phương pháp trao đổi thông tin giữa bên gửi và bên nhận, trong đó khoá là thành phần quan trọng nhất cần được giữ bí mật Mặc dù thuật toán mã hóa có thể được thảo luận công khai, nhưng việc thỏa thuận về khoá mã hóa và giải mã phải được thực hiện bí mật Thuật toán này rất hữu ích cho các cơ quan hoặc tổ chức đơn lẻ, nhưng khi cần trao đổi thông tin với bên thứ ba, việc bảo mật khoá trở nên cực kỳ quan trọng.
Mã hoá đối xứng có thể đƣợc phân thành 02 loại:
Loại thứ nhất của thuật toán mã hóa tác động lên bản rõ theo từng nhóm bits, được gọi là khối (Block), và thuật toán này được biết đến với tên gọi Block Cipher Mỗi khối dữ liệu trong văn bản gốc sẽ được thay thế bằng một khối dữ liệu khác có cùng độ dài, với kích thước chung của một khối hiện nay thường là 64 bits.
Loại mã hóa thứ hai là mã hóa dòng (Stream Cipher), trong đó dữ liệu được mã hóa từng bit một Các thuật toán mã hóa dòng như DES, Triple DES (3DES), RC4 và AES có tốc độ nhanh hơn so với mã hóa khối, thường được sử dụng khi lượng dữ liệu cần mã hóa chưa được xác định trước.
DES (Data Encryption Standard) là một thuật toán mã hóa phổ biến, sử dụng khối 64 bits và khóa 64 bits, nhưng chỉ 56 bits được sử dụng thực sự, với 8 bits còn lại dùng để kiểm tra tính chẵn lẻ Mặc dù từng được sử dụng rộng rãi, DES hiện không còn được đánh giá cao do kích thước khóa quá nhỏ, dễ bị tấn công Để cải thiện độ bảo mật, Triple DES (3DES) đã ra đời, sử dụng ba khóa khác nhau trong quá trình mã hóa và giải mã Dữ liệu đầu tiên được mã hóa bằng khóa thứ nhất, sau đó giải mã bằng khóa thứ hai và cuối cùng mã hóa lại bằng khóa thứ ba, giúp tăng cường bảo mật cho thông tin.
+ AES: Viết tắt của Advanced Encryption Standard, đƣợc sử dụng để thay thế cho
DES Nó hỗ trợ độ dài của khoá từ 128 bits cho đến 256 bits
3.3 Mã hoá bất đối xứng:
Mã hoá khoá công khai (Public Key Cryptography) là một phương pháp mã hoá trong đó khoá sử dụng để mã hoá khác với khoá dùng để giải mã Khoá giải mã không thể được suy ra từ khoá mã hoá, mặc dù chúng có mối quan hệ toán học Phương pháp này cho phép khoá mã hoá được công khai, bất kỳ ai cũng có thể sử dụng khoá này để mã hoá dữ liệu, nhưng chỉ người sở hữu khoá giải mã tương ứng mới có khả năng đọc dữ liệu Trong hệ thống này, có hai loại khoá: khoá mã hoá (Public Key) và khoá giải mã (Private Key).
Mã hoá khoá công khai được phát triển nhằm khắc phục những hạn chế trong việc quản lý và phân phối khoá của các phương pháp mã hoá đối xứng Hệ thống này cho phép truyền tin an toàn, đảm bảo thông tin được bảo vệ trong quá trình giao tiếp Quá trình sử dụng mã hoá khoá công khai diễn ra theo các bước cụ thể để đảm bảo tính bảo mật và an toàn cho dữ liệu.
Hình 3: mã hóa bất đối xứng
- Bên gửi yêu cầu cung cấp hoặc tự tìm khoá công khai của bên nhận trên một server chịu trách nhiệm quản lý khoá
NAT ( Network Address Translation)
Giới thiệu
- Trình bày được quá trình NAT của một hệ thống mạng;
- Trình bày được NAT tĩnh và NAT động
NAT, ban đầu được phát minh để giải quyết vấn đề thiếu địa chỉ IP, đã chứng minh rằng nó còn có nhiều ứng dụng hữu ích khác Thực tế, nhiều lợi ích của NAT vẫn chưa được khám phá hết, cho thấy tiềm năng lớn của công nghệ này trong các lĩnh vực khác nhau.
Trong bối cảnh hiện nay, nhiều người đang nghiên cứu vai trò và lợi ích của NAT trong tương lai Khi IPv6 được triển khai, nó không chỉ giải quyết vấn đề thiếu hụt địa chỉ IP mà còn mang lại nhiều lợi ích khác Các thử nghiệm cho thấy việc chuyển đổi hoàn toàn sang IPv6 là khả thi và nhanh chóng Tuy nhiên, việc giải quyết các vấn đề liên quan giữa IPv6 và IPv4 gặp nhiều khó khăn Do đó, IPv4 có khả năng vẫn sẽ là giao thức chính cho Internet và Intranet trong thời gian dài hơn dự kiến.
Trước khi phân tích vai trò của NAT trong hiện tại và tương lai, bài viết sẽ chỉ ra sự khác biệt về phạm vi sử dụng NAT trong quá khứ Phần giải thích sẽ cung cấp cái nhìn tổng quan mà không khuyến nghị cách thức hay loại NAT nào nên được áp dụng Bài viết này chỉ giới thiệu và phân loại các loại NAT, trong khi các chi tiết sẽ được thảo luận kỹ lưỡng trong chương sau về việc hiện thực hóa NAT.
Phần trình bày được chia làm 2 phần :
CLASSIC NAT là một tập hợp các kỹ thuật NAT được phát triển vào đầu những năm 90, được mô tả chi tiết trong RFC 1931 Nó chủ yếu được ứng dụng để giải quyết vấn đề thiếu hụt địa chỉ IP trên Internet.
- Phần hai trình bày những kỹ thuật NAT đƣợc tìm ra gần đây và ứng dụng trong nhiều mục đích khác.
Các kỹ thuật NAT cổ điển
NAT có hai loại chính: NAT tĩnh và NAT động NAT tĩnh cho phép một địa chỉ IP nguồn luôn được chuyển đổi thành một địa chỉ IP đích cố định, trong khi NAT động cho phép địa chỉ IP này thay đổi theo thời gian và trong các kết nối khác nhau Sự phân chia IP trong NAT tĩnh rất rõ ràng, trái ngược với NAT động, nơi mà sự phân chia này không cố định.
Trong phần này, chúng ta sẽ định nghĩa các khái niệm quan trọng liên quan đến quá trình chuyển đổi địa chỉ IP Cụ thể, m đại diện cho số IP cần được chuyển đổi, hay còn gọi là IP nguồn, trong khi n là số IP sẵn có để thực hiện việc chuyển đổi, được biết đến với tên gọi IP NATs hay IP đích.
Yêu cầu m, n >= 1; m = n (m, n là số tự nhiên)
Với cơ chế IP tĩnh, chúng ta có thể chuyển đổi giữa các IP nguồn và đích, đặc biệt khi cả hai chỉ chứa một IP duy nhất, ví dụ như netmask 255.255.255.255 Việc thực hiện NAT tĩnh rất đơn giản, vì toàn bộ cơ chế dịch địa chỉ được thực hiện thông qua một công thức dễ hiểu: Địa chỉ đích = Địa chỉ mạng mới OR (Địa chỉ nguồn AND (NOT netmask)).
Không có thông tin về trạng thái kết nối, chỉ cần xác định các địa chỉ IP đích thích hợp Các kết nối từ bên ngoài vào trong hệ thống chỉ khác nhau về địa chỉ IP, do đó, cơ chế NAT tĩnh hầu như hoàn toàn trong suốt.
Ví dụ một rule cho NAT tĩnh:
Dịch toàn bộ IP trong mạng 138.201.148.0 đến mạng có địa chỉ là 94.64.15.0, netmask là 255.255.255.0 cho cả hai mạng
Dưới đây là mô tả việc dịch từ địa chỉ có IP là 138.201.148.27 đến 94.64.15.27, các cái khác tương tự
NAT động được áp dụng khi số IP nguồn khác với số IP đích, và số lượng host chia sẻ thường bị giới hạn bởi số IP đích có sẵn So với NAT tĩnh, NAT động phức tạp hơn vì nó cần lưu trữ thông tin kết nối và tìm kiếm thông tin TCP trong gói tin.
Nhƣ đã đề cập ở trên NAT động cũng có thể sử dụng nhƣ một NAT tĩnh khi m
Một số người sử dụng NAT động thay cho NAT tĩnh nhằm mục đích bảo mật, vì kẻ tấn công bên ngoài không thể xác định được địa chỉ IP nào đang kết nối với máy chủ chỉ định Điều này xảy ra vì máy chủ có thể nhận được một địa chỉ IP hoàn toàn khác trong thời gian tiếp theo Trong một số trường hợp đặc biệt, số lượng địa chỉ đích có thể nhiều hơn số địa chỉ nguồn (m < n).
Kết nối từ bên ngoài chỉ khả thi khi các host vẫn giữ được một địa chỉ IP trong bảng NAT động NAT router lưu trữ thông tin về địa chỉ IP nội bộ (IP nguồn) được liên kết với địa chỉ NAT-IP (IP đích).
In a session of FPT non-passive mode, the server attempts to establish a data transmission channel When the server sends an IP packet to the FTP client, it requires an entry for the client in the NAT table, ensuring a continuous connection.
Khi một client sử dụng IP NAT-IPs để bắt đầu một kênh truyền control trong giao thức FTP, nó sẽ giữ kết nối cho đến khi phiên FTP bị timeout Giao thức FTP hoạt động với hai cơ chế là passive và non-passive, sử dụng hai cổng (control và data) Trong cơ chế passive, host kết nối nhận thông tin về cổng dữ liệu từ server, trong khi ở cơ chế non-passive, host sẽ chỉ định cổng dữ liệu và yêu cầu server lắng nghe kết nối Để tìm hiểu thêm về giao thức FTP, bạn có thể tham khảo RFC 959 Khi một kẻ tấn công bên ngoài cố gắng kết nối vào một host bên trong mạng, chỉ có hai trường hợp xảy ra.
+ Host bên trong không có một entry trong bảng NAT khi đó sẽ nhận đƣợc thông tin
“host unreachable” hoặc có một entry nhƣng NAT-IPs là không biết
Khi một kết nối từ host nội bộ ra ngoài mạng, chúng ta có thể xác định IP của kết nối đó Tuy nhiên, đây chỉ là địa chỉ NAT và không phải là IP thật của host Thông tin này sẽ bị mất sau một thời gian timeout trong bảng NAT của router.
Ví dụ về một rule cho NAT động:
Dịch toàn bộ các địa chỉ IP trong lớp B, từ 138.201.0.0 đến 178.201.112.0 Mỗi kết nối mới từ bên trong sẽ được liên kết với tập hợp các địa chỉ IP lớp B, miễn là địa chỉ IP đó chưa được sử dụng.
Vd: xem quá trình NAT trong trường hợp sau:
Hình 5: Mô tả quá trình NAT tĩnh
Quá trình NAT: Khi Client gởi yêu cầu đến webserver, Header sẽ báo tin gói tin bắt đầu tại:
Gói tin từ địa chỉ 10.1.1.170/1074 được gửi đến cổng 80 của Webserver có địa chỉ 203.154.1.20, nhưng bị chặn tại cổng 80 của NAT Server 10.1.1.1 Trước khi chuyển tiếp đến Webserver, NAT Server sẽ gắn header mới cho gói tin, cho biết nguồn gốc của gói tin là từ địa chỉ 203.154.1.5 / 1563, trong khi đích đến vẫn không thay đổi.
- Webserver nhận yêu cầu tại cổng 80 của nó và đáp ứng yêu cầu trở lại cho NAT server
- Header của gói tin cho biết gói tin đƣợc gởi lại từ Webserver và đích của nó là cổng 1563 trên 203.154.1.5
NAT (Network Address Translation) là phương pháp giúp che giấu địa chỉ IP của các server trong mạng nội bộ, đồng thời tiết kiệm địa chỉ IP công cộng Bằng cách này, NAT bảo vệ các server dịch vụ bên trong khỏi các cuộc tấn công trực tiếp từ bên ngoài, vì địa chỉ IP của chúng không thể nhìn thấy được Do đó, NAT đóng vai trò quan trọng trong việc tăng cường bảo mật cho mạng LAN.
NAT hoạt động trên một kết nối giữa mạng nội bộ và mạng bên ngoài, giúp chuyển đổi địa chỉ IP Công nghệ này thường được áp dụng cho các mạng sử dụng địa chỉ lớp A, B và C.
- Hoạt động NAT bao gồm các bước sau:
Địa chỉ IP trong header IP có thể được thay thế bằng một địa chỉ mới, có thể là từ bên trong hoặc bên ngoài, trong khi số hiệu cổng trong header TCP cũng được cập nhật thành số hiệu cổng mới.
NAT trong Window server
- Trình bày được khái niệm và các thành phần Nat trong Windows server
- Thiết lập cấu hình NAT trên Windows server
3.1 Win 2003 cung cấp khái niệm NAT
NAT (Network Address Translation) cho phép kết nối nhiều mạng LAN vào Internet, giúp các mạng nhỏ như IPSec truy cập vào Internet chỉ với một địa chỉ IP công cộng Điều này cho phép một số lượng lớn thiết bị kết nối hiệu quả với Internet.
Máy chủ NAT cần có địa chỉ của một mạng LAN nội bộ, giúp bảo vệ các máy chủ bên trong khỏi các cuộc tấn công từ Internet, vì người dùng bên ngoài không thể nhìn thấy địa chỉ của các máy chủ này.
- NAT của Win 2003 bao gồm các thành phần sau:
Máy tính chạy Windows 2003 với chức năng NAT hoạt động như một bộ chuyển đổi địa chỉ IP, chuyển đổi số hiệu cổng của mạng LAN nội bộ thành các địa chỉ của máy chủ bên ngoài Intranet.
Địa chỉ là một máy tính hoạt động như bộ chuyển đổi địa chỉ mạng, cung cấp thông tin địa chỉ IP cho các máy tính Nó cũng được coi như một máy chủ DHCP, cung cấp thông tin về địa chỉ IP, Subnet Mask, Default Gateway và DNS Server.
Trong trường hợp này tất cả máy tính bên trong LAN phải được cấu hình DHCP client
Name Resolution là một mạng máy tính hoạt động như một máy chủ NAT và đồng thời là máy chủ DNS Khi một máy tính trong mạng nội bộ gửi yêu cầu đến máy chủ NAT, máy chủ này sẽ chuyển tiếp yêu cầu đến máy chủ DNS để thực hiện việc đổi tên Sau khi nhận được kết quả, máy chủ NAT sẽ gửi lại thông tin đó cho máy tính yêu cầu.
Khi một client trong mạng cục bộ gửi yêu cầu, NAT server sẽ gửi dữ liệu của nó, bao gồm địa chỉ IP riêng và địa chỉ cổng trong Header IP NAT server sẽ chuyển đổi địa chỉ này để đảm bảo kết nối hiệu quả.
IP và địa chỉ cổng này thành địa chỉ công cộng và địa chỉ của nó rồi gởi gói dữ liệu
Khi sử dụng địa chỉ IP mới để kết nối đến một host hoặc server trên Internet, NAT server cần lưu giữ địa chỉ IP và cổng của Client trong mạng cục bộ Điều này giúp NAT server có cơ sở để chuyển kết quả trở lại cho Client sau này.
Khi nhân đƣợc yêu cầu từ host Internet, NATserver sẽ thay Header của gói tin thành Header nguyên thuỷ và gởi lại về cho Client yêu cầu
3.3 Cài Đặt và cấu hình:
Phân tích bảng luật sau:
Rule S_Addr D_Addr Service Action log NAT
A Firewall Any Any Permit Yes
C 192.168.1.15 Any Any Permit No Nat(LAN )
D Any Firewall TCP/80 Permit Yes MAP
E Any Any Any Deny Na
- Luật A không cho phép các máy trọng mạng nội bộ đi ra ngoài
Luật B cho phép máy Client trong mạng nội bộ truy cập vào mọi dịch vụ qua Firewall mà không ghi lại File lưu Ngoài ra, NAT chỉ được phép hướng đến đích của Firewall.
Luật C cho phép các thiết bị có địa chỉ nguồn như vậy truy cập Internet thông qua bất kỳ dịch vụ nào mà không cần ghi lại tệp lưu sử dụng NAT trong mạng LAN.
- Luật D cho phép từ bên ngoài với Firewall sử dụng giao thức TCP với cổng
Bài tập thực hành của học viên
Câu 1: So sánh Nat tĩnh và Nat động
Câu 2: Trình bày khái niệm và cơ chế hoạt động Nat trong Window
Thực hiện Nat trên nền Windows Server 2003 theo mô hình sau
1.Cấu hình máy PC09 làm NAT Server
B1: Mở Routing and Remote Access -> Click phải chuột lên NAT Server (PC09) chọn Configure and Enable Routing and Remote Access -> Trong Welcome chọn
Next -> Trong Configuration chọn ô Custom configuration -> Next
-Trong Custome Configuration -> Đánh dấu chọn ô NAT and basic firewall và ô
Note: Khi kết thúc quá trình cấu hình hệ thống yêu cầu restart Service, chọn Yes
B2:Trong Routing and Remote Access, Click chuột phải lên NAT/Basic Firewall, chọn New Interface -> trong New Interface for Network Address Tranlation
(NAT) -> Chọn card LAN -> OK
-Trong Network Address Translation Properties -> LAN Properties -> Chọn ô
Public interface connected to private network -> Đánh dấu chọn ô Enable NAT on this interface -> OK
To configure NAT in Routing and Remote Access, right-click on NAT/Basic Firewall and select New Interface In the New Interface for Network Address Translation (NAT) window, choose the LAN card and click OK.
-Trong Network Address Translation Properties -> CROSS Properties -> Chọn ô
Private interface connected to private network -> OK
B4: Trong Routing and Remote Access -> vào IP Routing -> Click phải chuột trên Static Routes chọn New Static Route… -> Trong cửa Static Route cấu hình nhƣ sau:
Note: Gateway phải cùng NetID với địa chỉ IP card LAN
B5: Trong Routing and Remote Access -> Click phải chuột lên PC09 chọn All
Các máy trong NetID 10.0.0.0/8 đều có thể truy cập Internet Ta có thể dùng lệnh
Tracert (phân tích đường đi của gói dữ liệu) để kiểm tra
II.NAT Inbound ( NAT vào)
1.Cấu hình Web Server trên máy PC08
B1:Start -> Programs -> Administrator Tools -> Configure Your Server Wizard -
> Next -> Chọn Application Server (IIS, ASP.NET) -> Next Làm theo các hướng dẫn để hoàn thành việc cài đặt
Note: Trong quá trình cài đặt IIS, chỉ đường dẫn vào thư mục I386 trong đĩa CD Windows Server 2003 khi hệ thống yêu cầu
B2:Mở Windows Explore -> Vào thƣ mục C:\Inetpub\wwwroot -> Tạo file index.htm có nội dung ( Vd: Welcome to website)
B3:Mở Internet Explore -> Truy cập vào địa chỉ IP hoặc địa chỉ Webserver
Note: Kiểm tra đã truy cập đƣợc vào trang web vừa mới tạo
2.Cấu hình NAT Server trên máy PC09
B1:Mở Routing and Remote Access -> chọn mục NAT/Basic Firewall -> Click chuột phải lên LAN chọn Properties
-chọn tab Services and Ports -> Kéo thanh trượt xuống phía dưới chọn mục Web
-Trong mục Edit Service nhập địa chỉ IP vào ô Private Address:
B2: Trong Routing and Remote Access -> Click chuột phải lên PC09 chọn All Tasks -> Restart
Máy PC10 mở Internet Explorer -> Truy cập vào địa chỉ IP hoặc địa chỉ Webserver Nếu truy cập thành công là kết quả đúng.
BẢO VỆ MẠNG BẰNG TƯỜNG LỬA
Các kiểu tấn công
Mục tiêu: Liệt kê được các tình huống tấn công mạng
Tấn công máy tính nhằm dò tìm mật khẩu và tên tài khoản có thể được thực hiện thông qua việc sử dụng các chương trình giải mã Những kẻ tấn công có khả năng giải mã các file chứa thông tin nhạy cảm trên hệ thống máy tính của nạn nhân Vì vậy, mật khẩu ngắn và đơn giản thường dễ bị phát hiện và không đảm bảo an toàn.
Hacker có thể tấn công trực tiếp vào hệ thống thông qua các lỗ hổng trong chương trình hoặc hệ điều hành, gây ra tình trạng tê liệt hoặc hư hỏng cho hệ thống Trong một số trường hợp, họ có thể chiếm quyền quản trị, tạo ra mối đe dọa nghiêm trọng cho an ninh thông tin.
Việc nghe trộm thông tin trên mạng có thể thu thập những dữ liệu quan trọng như tên và mật khẩu của người sử dụng, cũng như các thông tin nhạy cảm khác Thông thường, hành vi này xảy ra sau khi kẻ tấn công đã chiếm quyền truy cập vào hệ thống, sử dụng các phần mềm chuyên dụng để kiểm soát giao tiếp mạng.
Interface Card-NIC) vào chế độ nhận toàn bộ các thông tin lưu truyền trên mạng
Những thông tin này cũng có thể dễ dàng lấy đƣợc trên Internet
Giả mạo địa chỉ IP có thể được thực hiện thông qua việc sử dụng khả năng dẫn đường trực tiếp (source-routing), trong đó kẻ tấn công gửi các gói tin IP tới mạng bên trong với địa chỉ IP giả mạo, thường là địa chỉ của một mạng hoặc máy được coi là an toàn Đồng thời, kẻ tấn công cũng chỉ rõ đường dẫn mà các gói tin IP phải đi qua.
1.4 Vô hiệu hoá các chức năng của hệ thống Đây là kểu tấn công nhằm tê liệt hệ thống, không cho nó thực hiện chức năng mà nó thiết kế Kiểu tấn công này không thể ngăn chặn được, do những phương tiện được tổ chức tấn công cũng chính là các phương tiện để làm việc và truy nhập thông tin trên mạng Ví dụ sử dụng lệnh ping với tốc độ cao nhất có thể, buộc một hệ thống tiêu hao toàn bộ tốc độ tính toán và khả năng của mạng để trả lời các lệnh này, không còn các tài nguyên để thực hiện những công việc có ích khác
1.5 Lỗi của người quản trị hệ thống Đây không phải là một kiểu tấn công của những kẻ đột nhập, tuy nhiên lỗi của người quản trị hệ thống thường tạo ra những lỗ hổng cho phép kẻ tấn công sử dụng để truy nhập vào mạng nội bộ
1.6 Tấn công vào yếu tố con người
Kẻ tấn công có thể giả mạo người dùng để yêu cầu thay đổi mật khẩu hoặc quyền truy cập vào hệ thống, dẫn đến việc thay đổi cấu hình và thực hiện các cuộc tấn công khác Không có thiết bị nào có thể ngăn chặn hiệu quả kiểu tấn công này; do đó, việc giáo dục người dùng về các yêu cầu bảo mật là rất quan trọng để nâng cao cảnh giác với những hiện tượng đáng ngờ Yếu tố con người luôn là một điểm yếu trong hệ thống bảo vệ, và chỉ có sự giáo dục cùng với tinh thần hợp tác từ người sử dụng mới có thể cải thiện độ an toàn cho hệ thống.
Các mức bảo vệ an toàn
- Mô tả được xây dựng kiến trúc mạng sử dụng tường lửa
Vì không có giải pháp an toàn tuyệt đối, việc sử dụng nhiều mức bảo vệ khác nhau là cần thiết để tạo thành các lớp "rào chắn" chống lại xâm phạm Bảo vệ thông tin trên mạng chủ yếu tập trung vào việc bảo vệ dữ liệu lưu trữ trong máy tính, đặc biệt là trên các server Các lớp rào chắn phổ biến hiện nay được mô tả nhằm bảo vệ thông tin tại các trạm trong mạng.
Hình 7:Các mức độ bảo vệ mạng Nhƣ minh hoạ trong hình trên, các lớp bảo vệ thông tin trên mạng gồm:
Informatio n Access rights login/password data encrytion Physical firewalls
Lớp bảo vệ trong cùng của mạng đảm bảo quyền truy cập và kiểm soát thông tin, xác định quyền hạn thực hiện các thao tác trên tài nguyên Hiện nay, việc kiểm soát này được áp dụng mạnh mẽ nhất đối với các tệp.
Lớp bảo vệ tiếp theo trong hệ thống an ninh mạng là việc hạn chế truy cập thông qua tên đăng nhập và mật khẩu Đây là phương pháp bảo vệ phổ biến nhất nhờ vào tính đơn giản, chi phí thấp và hiệu quả cao Mỗi người dùng cần có tên và mật khẩu riêng để truy cập vào mạng và sử dụng tài nguyên Quản trị viên hệ thống có trách nhiệm quản lý và kiểm soát mọi hoạt động trên mạng, đồng thời xác định quyền truy cập của từng người dùng dựa trên thời gian và không gian.
Lớp thứ ba trong bảo mật dữ liệu liên quan đến việc sử dụng các phương pháp mã hoá, trong đó dữ liệu được chuyển đổi từ dạng "đọc được" sang dạng "không đọc được" thông qua các thuật toán cụ thể Bài viết sẽ xem xét các phương thức và thuật toán mã hoá phổ biến hiện nay.
Lớp thứ tƣ trong bảo vệ thông tin là bảo vệ vật lý, đóng vai trò quan trọng trong việc ngăn chặn truy nhập trái phép vào hệ thống Để thực hiện điều này, các biện pháp truyền thống như hạn chế người không có nhiệm vụ vào khu vực máy tính, sử dụng hệ thống khóa an toàn và thiết lập các hệ thống báo động khi có truy cập không hợp lệ được áp dụng.
Lớp thứ năm trong mô hình mạng tập trung vào việc cài đặt các hệ thống tường lửa (firewall) để ngăn chặn các truy cập trái phép Hệ thống này cũng cho phép lọc các gói tin không mong muốn, giúp bảo vệ dữ liệu và kiểm soát thông tin được gửi đi hoặc nhận vào một cách hiệu quả.
Internet Firwall
- Trình bày được định nghĩa Firewall;
- Mô tả chức năng và cấu trúc của Firewall
Thuật ngữ Firewall xuất phát từ kỹ thuật thiết kế xây dựng nhằm ngăn chặn hoả hoạn Trong lĩnh vực công nghệ thông tin, Firewall là một giải pháp được tích hợp vào hệ thống mạng nhằm ngăn chặn truy cập trái phép, bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập từ các thông tin không mong muốn Nói cách khác, Firewall là cơ chế bảo vệ mạng tin cậy khỏi các mạng không tin cậy.
Internet Firewall là thiết bị kết hợp giữa phần cứng và phần mềm, hoạt động như một lớp bảo vệ giữa mạng nội bộ của tổ chức, công ty hoặc quốc gia (Intranet) và Internet Chức năng chính của nó là bảo đảm an toàn cho các thông tin trong Intranet, ngăn chặn các mối đe dọa từ thế giới bên ngoài.
Firewall là một thành phần quan trọng nằm giữa Intranet và Internet, có chức năng kiểm soát toàn bộ lưu thông và truy cập giữa hai mạng này.
Firewall đóng vai trò quan trọng trong việc kiểm soát truy cập giữa mạng nội bộ và bên ngoài Nó xác định các dịch vụ nội bộ nào được phép truy cập từ bên ngoài, ai có quyền truy cập vào dịch vụ nội bộ, và những dịch vụ bên ngoài nào có thể được truy cập bởi người dùng nội bộ Để đảm bảo hiệu quả hoạt động, tất cả các giao tiếp dữ liệu phải được thực hiện thông qua Firewall.
Chỉ có những trao đổi nào đƣợc phép bởi chế độ an ninh của hệ thống mạng nội bộ mới được quyền lưu thông qua Firewall
Hình 8 :Sơ đồ chức năng hệ thống của firewall
Một hoặc nhiều hệ thống máy chủ kết nối với các bộ định tuyến (router) hoặc có chức năng router
Các phần mềm quản lý an ninh thường chạy trên hệ thống máy chủ, bao gồm các hệ quản trị xác thực (Authentication), cấp quyền (Authorization) và kế toán (Accounting), giúp đảm bảo an toàn và bảo mật cho hệ thống.
3.4 Các thành phần của Firewall và cơ chế hoạt động
Một Firewall chuẩn bao gồm một hay nhiều các thành phần sau đây:
Bộ lọc packet ( packet-filtering router )
Cổng ứng dụng (application-level gateway hay proxy server )
Cổng mạch (circuite level gateway)
3.4.1.Bộ lọc gói tin (Packet filtering router)
Khi lưu thông dữ liệu giữa các mạng qua Firewall, Firewall hoạt động chặt chẽ với giao thức TCP/IP Giao thức này sử dụng thuật toán để chia nhỏ dữ liệu nhận từ các ứng dụng trên mạng, cụ thể là các dịch vụ hoạt động trên các giao thức.
In tra n e t fire w a ll In te rn e t
Các giao thức như Telnet, SMTP, DNS, SNMP và NFS chuyển đổi thông tin thành các gói dữ liệu (data packets) và gán địa chỉ để nhận diện, giúp tái lập thông tin tại đích gửi đến Do đó, các loại Firewall có mối liên hệ chặt chẽ với các gói dữ liệu và các địa chỉ của chúng.
Bộ lọc packet có khả năng cho phép hoặc từ chối từng packet mà nó nhận được bằng cách kiểm tra toàn bộ dữ liệu để xác định xem có đáp ứng các luật lệ lọc hay không Các luật lệ này dựa trên thông tin ở đầu mỗi packet, bao gồm địa chỉ IP nơi xuất phát và địa chỉ IP nơi nhận, nhằm quản lý việc truyền tải các packet trên mạng.
Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel)
Cổng TCP/UDP nơi xuất phát (TCP/UDP source port)
Cổng TCP/UDP nơi nhận (TCP/UDP destination port)
Dạng thông báo ICMP ( ICMP message type) giao diện packet đến ( incomming interface of packet) giao diện packet đi ( outcomming interface of packet)
Nếu luật lệ lọc packet được đáp ứng, packet sẽ được chuyển qua firewall; ngược lại, nó sẽ bị loại bỏ Điều này giúp firewall ngăn chặn các kết nối không mong muốn vào máy chủ hoặc mạng đã chỉ định, đồng thời hạn chế truy cập từ các địa chỉ không được phép vào hệ thống mạng nội bộ Hơn nữa, việc kiểm soát các cổng cho phép firewall chỉ chấp nhận một số loại kết nối nhất định vào các máy chủ cụ thể hoặc chỉ cho phép các dịch vụ như Telnet, SMTP, FTP hoạt động trên mạng cục bộ Một trong những ưu điểm của hầu hết các hệ thống firewall là sử dụng bộ lọc packet, mang lại lợi ích về chi phí thấp do tính năng này đã được tích hợp sẵn trong phần mềm router.
Bộ lọc packet hoạt động một cách trong suốt đối với người dùng và ứng dụng, do đó không cần thiết phải có sự huấn luyện đặc biệt để sử dụng.
Định nghĩa các chế độ lọc packet là một nhiệm vụ phức tạp, yêu cầu người quản trị mạng phải có kiến thức sâu về dịch vụ Internet, các loại header packet và các giá trị cụ thể trong từng trường Khi yêu cầu về lọc tăng cao, các quy tắc lọc trở nên dài dòng và phức tạp, gây khó khăn trong việc quản lý và điều khiển.
Bộ lọc packet chỉ dựa vào header của các packet, do đó không thể kiểm soát nội dung thông tin bên trong Điều này cho phép các packet vẫn có thể chứa đựng các hành động xấu, như ăn cắp thông tin hoặc phá hoại, từ những kẻ tấn công.
3.4.2 Cổng ứng dụng (application-level gateway)
Firewall này được thiết kế để kiểm soát các dịch vụ và giao thức truy cập vào mạng Nó hoạt động dựa trên dịch vụ đại diện (Proxy service), với các chương trình đặc biệt cài đặt trên gateway cho từng ứng dụng Nếu không có chương trình proxy cho ứng dụng, dịch vụ sẽ không hoạt động và không thể chuyển thông tin qua firewall Hơn nữa, mã proxy có thể được cấu hình để chỉ hỗ trợ những đặc điểm mà quản trị mạng chấp nhận, trong khi từ chối những đặc điểm khác.
Cổng ứng dụng được xem như một pháo đài (bastion host) vì được thiết kế đặc biệt để bảo vệ chống lại các cuộc tấn công từ bên ngoài Những biện pháp bảo mật của bastion host bao gồm việc kiểm soát truy cập nghiêm ngặt, giám sát liên tục và cập nhật thường xuyên để đảm bảo an toàn tối đa cho hệ thống.
A bastion host consistently operates secure versions of operating system software, specifically designed to defend against attacks These secure versions also ensure the integration of a firewall, enhancing overall system protection.
