Tường lửa(Firewall) Ngô Văn Công Nội dung  Khái quát firewall  Chức năng firewall  Cách bố trí các firewall  Firewall giải pháp toàn diện?  Chọn lựa giải pháp tường lửa Khái quát  Bức tường lửa:(NSA) là một hệ thống hay là một hệ thống kết hợp mà thiết lập một đường biên giữa hai hay là nhiều mạng  Firewall cài đặt các luật về bảo mật để phân cách giữa mạng với các kết nối không mong muốn  Giữ cho những thông tin quan trọng có thể tránh sự nguy hiểm trong khi vẫn cho phép thông tin được lưu thông  Firewall có thể hoạt động ở những tầng mạng khác nhau trong mô hình OSI và TCP/IP  Tầng thấp nhất mà firewall có thể hoạt động đó là tầng mạng  Firewall ở tầng vận chuyển cung cấp các chức năng phức tạp hơn ở tầng mạng  Firewall ở tầng ứng dụng có thể thực hiện các chức năng phức tạp hơn như lọc băng thông dựa vào nội dung gói tin Chức năng của firewall  Lọc gói tin(Packet filtering) lọc các gói tin vào và ra dựa trên thông tin về giao thức và địa chỉ  Chuyển đổi địa chỉ mạng(Network address tranlation) che dấu các host ở bên trong mạng với host từ bên ngoài mạng bằng cách chuyển đổi các địa chỉ và cổng(port) bên trong mạng với một địa chỉ IP chung của firewall  Proxy services: chịu trách nhiệm trao đổi dữ liệu thay cho ứng dụng client (tt)  Chứng thực người dùng(User Authentication) chức năng này được dùng khi người dùng từ xa dùng địa chỉ ip động để kết nối vào mạng riêng  Tunneling: Tạo đường hầm ảo(VPN:Virtual Private Network) Lọc gói tin(Packet Filtering)  Lọc gói tin là một trong những hình thức của bức tường lửa cơ bản.  Hoạt động ở tầng Mạng(Network)  Lọc gói tin dựa trên các luật(rules)  Nếu gói tin không thỏa mãn các điều kiện lọc thì sẽ bị vứt bỏ  Router, Network Operating System(NOS) Lọc gói tin  Có những vấn đề cố hữu vì không cung cấp một giải pháp bảo mật toàn bộ cho mạng cục bộ  Thường kết hợp với proxy server, NAT(Network Address Tranlator)  Lọc gói tin dựa trên thông tin chứa trong phần đầu(header) của mỗi gói tin Các thông tin Header sử dụng để lọc gói tin  Trường IP protocol:UDP,TCP,ICMP, và IGMP  Lọc địa chỉ IP: Han chế sự truy cập từ host hay mạng thông qua địa chỉ IP  Hầu hết các tường lửa hoạt động bằng cách chỉ ra các luật • Allow packets from 172.17.10.11 through 172.17.10.30 but block all others packets • packets comming from 128.162.11.14 are not permitted to pass • allow all packet except packets with IP address 172.17.10.11 through 172.17.10.30 Packet Filtering Minh họa Bộ lọc gói tin Bộ lọc gói tin phi trạng thái(stateless packet filtering)  Khống nhớ được phiên làm việc đã thiết lập giữa 2 host của mạng riêng và mạng công cộng  Ví dụ:  Một host trong mạng riêng gửu một yêu cầu truy cập vào một trang Web tại địa chỉ 10.0.0.1 port 80, gói tin được gửi ra ngoài mạng sẽ chứa cả thông tin của socket mà sẽ trả về câu trả lời(địa chỉ IP và Port)  Không thể nhớ được thông tin này  Nó không thể cho phép câu trả lời của giao thức HTTP được đi qua tường lửa chỉ cho các các yêu cầu HTTP  Với các ứng dụng dựa trên giao thức UDP như DNS, RPC, NFS với bộ lọc gói tin tĩnh thì rất khó vì không có khái niệm về yêu cầu và trả lời . Tường lửa (Firewall) Ngô Văn Công Nội dung  Khái quát firewall  Chức năng firewall  Cách bố trí các firewall  Firewall giải pháp toàn. thông  Firewall có thể hoạt động ở những tầng mạng khác nhau trong mô hình OSI và TCP/IP  Tầng thấp nhất mà firewall có thể hoạt động đó là tầng mạng  Firewall