CHƯƠNG TƯỜNG LỬA 12/19/2018 ThS.Nguyễn Duy duyn@uit.edu.vn Nội dung duyn@uit.edu.vn     Tường lửa gì? Phân loại tường lửa? Tính tường lửa hệ mới? Mơ hình triển khai tường lửa 12/19/2018 Nội dung duyn@uit.edu.vn     Tường lửa gì? Phân loại tường lửa? Tính tường lửa hệ mới? Mơ hình triển khai tường lửa 12/19/2018 Tường lửa duyn@uit.edu.vn  Firewall hay cịn cịn Tường Lửa Là thiết bị, ảo hóa hay phần mềm bảo mật sử dụng để quản lý luồng gói tin qua : cho phép (permit) hay cấm (deny) 12/19/2018 Nội dung duyn@uit.edu.vn     Tường lửa gì? Phân loại tường lửa? Tính tường lửa hệ mới? Mơ hình triển khai tường lửa 12/19/2018 Phân loại tường lửa duyn@uit.edu.vn  Phần cứng (Appliance): Thiết bị mạng   Phần mềm (Software): Ứng dụng bảo mật cài máy tính   Checkpoint, Cisco ASA, Astaro, Cyberoam,… ISA Server, IPCop, Smoothwall, Pfsense,… Ảo hóa (Virtual)  SOPHOS, Palo Alto,… 12/19/2018 Phân loại tường lửa duyn@uit.edu.vn  Firewall hoạt động lớp mơ hình OSI ??? 12/19/2018 Phân loại tường lửa duyn@uit.edu.vn  Cả Personal Firewall Network Firewall chia làm loại :    Simple Packet Filter Firewalls Stateful Packet Filter Firewalls Application Level Firewalls 12/19/2018 Phân loại tường lửa duyn@uit.edu.vn  Simple Packet Filter Firewalls    Kiểm tra gói tin qua firewall cách so sánh với nguyên tắc (Rule) đặt ra, để định gói tin cho phép hay bị từ chối Những thông tin kiểm tra :  IP Nguồn  IP Đích  Giao thức  Port Nguồn  Port Đích Hoạt động Layer Layer 12/19/2018 Phân loại tường lửa 10 duyn@uit.edu.vn  Điểm yếu       Application Specific Vulnerabilities Limited Logging No Authentication Vulnerable to Spoofing Large Attack Surface Easy to Misconfigure 12/19/2018 Network Analysis Tools Do I have P2P on my Network? YES Immediate Application Control Do I have P2P on my Network? YES Network Analysis Tools “Who’s watching YouTube?” Network Analysis Tools “Who’s watching YouTube?” User Identification  Single Sign On (AD/LDAP Integration)  Local Login  Identify Top Bandwidth users Identify Top Bandwidth Users Connection Tracking by Country Trace & Identify Network Connections Next Generation Firewall 35 duyn@uit.edu.vn SECURITY APPLICATION AWARENESS PERFORMANCE • HIGH THROUGHPUT • NO LATENCY • ANY SIZE NETWORK 12/19/2018 Nội dung 36 duyn@uit.edu.vn     Tường lửa gì? Phân loại tường lửa? Tính tường lửa hệ mới? Mơ hình triển khai tường lửa 12/19/2018 Cyberoam in Gateway Mode Router IP:61.0.5.1/29 INT IP:192.168.0.1/24 DMZ IP: 172.16.1.1/24 EXT IP: 61.0.5.2/29 Gateway IP: 61.0.5.1 DMZ Zone Console Switch Switch Network:192.168.0.x/24 Database Server Web Server Mail Server IP:172.16.1.4 IP:172.16.1.2 IP:172.16.1.3 Gateway: 172.16.1.1 Gateway: 172.16.1.1 Gateway: 172.16.1.1 Users Default Gateway: 192.168.0.1 Zone information when Cyberoam is in Gateway mode Gateway mode have Four default zone LAN Zone: Network connected to LAN interface of Cyberoam WAN Zone: Network connected to WAN interface of Cyberoam DMZ Zone: Network connected to DMZ interface of Cyberoam Local Zone: IP Addresses assigned on Cyberoam interfaces falls under Local Zone WAN Zone Local Zone DMZ Zone LAN Zone Cyberoam in Bridge Mode Bridge IP Address Subnet Mask IP address of the Default Gateway DNS IP Address System Time Zone System Date and Time Email ID of the administrator Router Firewall INT IP: 192.168.0.1/24 Network:192.168.0.x/24 Users Default Gateway: 192.168.0.1 _. _. _. _ 192.168 _. _. _. _ 255.255.255 _. _. _. _ 192.168 202 54 30 Zone information when Cyberoam is in Transparent mode Cyberoam in transparent mode have three default zone LAN Zone: Network connected to LAN interface of Cyberoam WAN Zone WAN Zone: Network connected to WAN interface of Cyberoam LOCAL Zone LAN Zone v Local Zone: IP Address assigned on the Bridge Interface falls under Local Zone 41 ... administrator Router Firewall INT IP: 192.168.0.1/24 Network:192.168.0.x/24 Users Default Gateway: 192.168.0.1 _. _. _. _ 192.168 _. _. _. _ 255 . 255 . 255 _. _. _. _ 192.168 202 54 30 ... a device Firewall Traffic Path Deep Packet Inspection / Prevention Signature Database ATTACK-RESPONSES 14BACKDOOR 58 BAD-TRAFFIC 15DDOS 33DNS 19DOS 18EXPLOIT >35FINGER 13FTP 50 ICMP 115Instant... Anti-Spyware Firewall Traffic Path Content Inspection Security Must Be Updated Signature Database ATTACK-RESPONSES 14BACKDOOR 58 BAD-TRAFFIC 15DDOS 33DNS 19DOS 18EXPLOIT >35FINGER 13FTP 50 ICMP 115Instant