Thông tin tài liệu
Tường lửa(Firewall)
Ngô Văn Công
Nội dung
Khái quát firewall
Chức năng firewall
Cách bố trí các firewall
Firewall giải pháp toàn diện?
Chọn lựa giải pháp tường lửa
Khái quát
Bức tường lửa:(NSA) là một hệ thống hay là một hệ thống
kết hợp mà thiết lập một đường biên giữa hai hay là nhiều
mạng
Firewall cài đặt các luật về bảo mật để phân cách giữa
mạng với các kết nối không mong muốn
Giữ cho những thông tin quan trọng có thể tránh sự nguy
hiểm trong khi vẫn cho phép thông tin được lưu thông
Firewall có thể hoạt động ở những tầng mạng khác nhau
trong mô hình OSI và TCP/IP
Tầng thấp nhất mà firewall có thể hoạt động đó là tầng
mạng
Firewall ở tầng vận chuyển cung cấp các chức năng phức
tạp hơn ở tầng mạng
Firewall ở tầng ứng dụng có thể thực hiện các chức năng
phức tạp hơn như lọc băng thông dựa vào nội dung gói tin
Chức năng của firewall
Lọc gói tin(Packet filtering) lọc các gói tin
vào và ra dựa trên thông tin về giao thức
và địa chỉ
Chuyển đổi địa chỉ mạng(Network address
tranlation) che dấu các host ở bên trong
mạng với host từ bên ngoài mạng bằng
cách chuyển đổi các địa chỉ và cổng(port)
bên trong mạng với một địa chỉ IP chung
của firewall
Proxy services: chịu trách nhiệm trao đổi
dữ liệu thay cho ứng dụng client
(tt)
Chứng thực người dùng(User
Authentication) chức năng này được dùng
khi người dùng từ xa dùng địa chỉ ip động
để kết nối vào mạng riêng
Tunneling: Tạo đường hầm ảo(VPN:Virtual
Private Network)
Lọc gói tin(Packet Filtering)
Lọc gói tin là một trong những hình thức
của bức tường lửa cơ bản.
Hoạt động ở tầng Mạng(Network)
Lọc gói tin dựa trên các luật(rules)
Nếu gói tin không thỏa mãn các điều kiện
lọc thì sẽ bị vứt bỏ
Router, Network Operating System(NOS)
Lọc gói tin
Có những vấn đề cố hữu vì không cung
cấp một giải pháp bảo mật toàn bộ cho
mạng cục bộ
Thường kết hợp với proxy server,
NAT(Network Address Tranlator)
Lọc gói tin dựa trên thông tin chứa trong
phần đầu(header) của mỗi gói tin
Các thông tin Header sử dụng để lọc gói tin
Trường IP protocol:UDP,TCP,ICMP, và
IGMP
Lọc địa chỉ IP: Han chế sự truy cập từ host
hay mạng thông qua địa chỉ IP
Hầu hết các tường lửa hoạt động bằng cách
chỉ ra các luật
•
Allow packets from 172.17.10.11 through
172.17.10.30
but block all others packets
•
packets comming from 128.162.11.14 are not
permitted to pass
•
allow all packet except packets with IP address
172.17.10.11 through 172.17.10.30
Packet Filtering
Minh họa Bộ lọc gói tin
Bộ lọc gói tin phi trạng thái(stateless
packet filtering)
Khống nhớ được phiên làm việc đã thiết lập giữa 2
host của mạng riêng và mạng công cộng
Ví dụ:
Một host trong mạng riêng gửu một yêu cầu truy cập vào
một trang Web tại địa chỉ 10.0.0.1 port 80, gói tin được gửi
ra ngoài mạng sẽ chứa cả thông tin của socket mà sẽ trả
về câu trả lời(địa chỉ IP và Port)
Không thể nhớ được thông tin này
Nó không thể cho phép câu trả lời của giao thức HTTP
được đi qua tường lửa chỉ cho các các yêu cầu HTTP
Với các ứng dụng dựa trên giao thức UDP như DNS,
RPC, NFS với bộ lọc gói tin tĩnh thì rất khó vì không có
khái niệm về yêu cầu và trả lời
. Tường lửa (Firewall)
Ngô Văn Công
Nội dung
Khái quát firewall
Chức năng firewall
Cách bố trí các firewall
Firewall giải pháp toàn. thông
Firewall có thể hoạt động ở những tầng mạng khác nhau
trong mô hình OSI và TCP/IP
Tầng thấp nhất mà firewall có thể hoạt động đó là tầng
mạng
Firewall
Ngày đăng: 11/03/2014, 16:07
Xem thêm: lecture7_firewall