COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 1 HIENLTH Network Security Lương Trần Hy Hiến COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 2 HIENLTH Chương 3: Tường lửa Presenter: Lương Trần Hy Hiến hienlth@hcmup.edu.vn COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 3 HIENLTH Nội dung 3.1. Giới thiệu 3.2. Các kiểu tường lửa 3.3. Các thành phần cơ bản của Rule 3.4. Các mô hình 3.5. DMZ 3.6. Tổng kết COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 4 HIENLTH Router / Switch COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 5 HIENLTH 3.1 Giới thiệu • From Webopedia.com, a firewall is defined as “A system designed to prevent unauthorized access to or from a private network. Firewalls can be implemented in both hardware and software, or a combination of both. Firewalls are frequently used to prevent unauthorized Internet users from accessing private networks connected to the Internet, especially intranets. All messages entering or leaving the intranet pass through the firewall, which examines each message and blocks those that do not meet the specified security criteria.” COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 6 HIENLTH 3.1 Giới thiệu (tt) • Tường lửa, cổng an ninh vòng ngoài (security- edge gateway) là sự kết hợp giữa phần cứng và phần mềm nhằm tăng cường an ninh, ngăn chặn các truy nhập bất hợp pháp giữa hai mạng có mức độ tin tưởng khác nhau. VD: Mạng công cộng với mạng nội bộ, DMZ với mạng riêng,… • Làm việc trên cơ sở tập luật mà quản trị mạng cấu hình trước (cho phép hay cấm). COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 7 HIENLTH 3.1 Giới thiệu (tt) • Firewall có hai loại : – Firewall cứng : Thiết bị mạng • Checkpoint, Cisco ASA, Astaro, Cyberoam,… – Firewall mềm : Ứng dụng bảo mật được cài trên máy tính • ISA Server, IPCop, Smoothwall, Pfsense,… COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 8 HIENLTH 3.1 Giới thiệu (tt) • Chính sách an ninh của tường lửa: – Cấm thâm nhập bất hợp pháp từ bên ngoài – Chỉ cho phép truy nhập từ các địa điểm ấn định, cho một số người dùng, thực hiện các hoạt động nhất định. • Một trong những thách thức của tường lửa là xác định chính sách an ninh phù hợp với yêu cầu cài đặt nhưng vẫn đảm bảo an toàn hệ thống. COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 9 HIENLTH 3.1 Giới thiệu (tt) • Vị trí đặt tường lửa COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 10 HIENLTH 3.1 Giới thiệu (tt) • Các Vùng : – External Zone : là vùng không tin cậy (untrusted zone), vùng này là Internet. – Internal Zone : là vùng tin cậy (trusted zone), vùng này là nơi làm việc của Client. – DMZ Zone : vùng phi quân sự, vùng này thông thường sẽ đặt những dịch vụ để public ra Internet. [...]... HIENLTH e Tường lửa cá nhân • Trang bị cho người dùng lẻ hệ tường lửa đơn giản bảo vệ truy nhập mạng với chi phí thấp • Độc lập với tường lửa hệ thống mạng, tường lửa cá nhân là ứng dụng chạy ở máy trạm che chắn các luồng tin nguy hiểm đến từ mạng như virus, worm, trojan horse, ActiveX, Java applet… • Sử dụng kết hợp phần mềm quét virus và tường lửa cá nhân là phương án hiệu quả thiết thực • Các tường lửa. .. • Firewall hoạt động ở những lớp nào trong mô hình OSI ??? COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 13 HIENLTH 3.2 Các kiểu tường lửa • Tùy đặc điểm hệ thống, yêu cầu sử dụng… tường lửa được cài đặt theo nhiều kiểu khác nhau • Phân loại tường lửa (tương đối): – Lọc gói cổng vào (gateway), bộ định tuyến kiểm tra (screening router) – Thanh tra trạng thái (stateful inspection firewall)...3.1 Giới thiệu (tt) • Các nguyên tắc thiết kế tường lửa: – Mạng được cô lập tốt, chống tấn công hiệu quả – Dễ tinh chỉnh, gia cố, mở rộng các chức năng tường lửa – Đảm bảo quyền hợp thức, truy nhập thông suốt COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 11 HIENLTH Vai trò tường lửa • Làm được - Kiểm soát luồng dữ liệu đi qua nó - Bảo vệ các lớp bên trong... Mạng – Network Security C3 - 19 HIENLTH Screening Router COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 20 HIENLTH b Tường lửa thanh tra trạng thái • Stateful Packet Filter Firewalls COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 21 HIENLTH b Tường lửa thanh tra trạng thái • Kiểm tra trạng thái thông tin, thanh tra tính hợp lệ của các gói tin • Các gói tin bất thường tiềm ẩn... Bảo mật và An ninh Mạng – Network Security C3 - 25 HIENLTH c Tường lửa ủy nhiệm ứng dụng • Còn được gọi Application-Proxy Gateways • Thông thường, các gói tin chỉ được kiểm tra header, phần dữ liệu ít được quan tâm • Phần lớn các ứng dụng phức tạp thường có lỗi, sẽ rất nguy hiểm nếu cài đặt cho các user đặc quyền • Bastion host là loại tường lửa tạo ứng dụng giả, mô phỏng các tác động của ứng dụng khi... HIENLTH c Tường lửa ủy nhiệm ứng dụng • Có khả năng xác thực : – – – – UserID và Password Hardware hoặc Software Token Source Address Biometric • Những ưu điểm : – – – – Extensive Logging Capabilities Enforcement of Authentication Less Susceptible to TCP/IP Vulnerabilities Có khả năng tạo rule ngăn cản gói tin đã mã hóa COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 27 HIENLTH d Tường lửa canh... nhiệm ứng dụng (application proxies firewall) – Canh phòng (guard firewall) – Bảo vệ cá nhân (personal firewall) COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 14 HIENLTH a Tường lửa lọc gói • Dạng tường lửa cơ bản, giám sát các gói tin truy nhập mạng căn cứ vào các địa chỉ gửi-nhận, giao thức truyền (HTTP, Telnet…) COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 15 HIENLTH Nguyên... – Thiếu địa chỉ gửi (tấn công nặc danh) – Quá ngắn, quá nhiều (tấn công gây nhiễu) – Trùng lắp, trống rỗng (tấn công dội lũ)… COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 22 HIENLTH b Tường lửa thanh tra trạng thái • Lưu lại dấu kết nối giữa các host, network – Lưu vết trạng thái kết nối vào file “state table” – Cho phép gói dữ liệu từ Internet đi qua chỉ khi nào có host nội bộ đã gửi... (TCP/UDP destination port) Giao diện Packet đến (Incomming interface of Packet) Giao diện Packet đi (Outgoing interface of Packet) COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 17 HIENLTH Tường Lửa lọc gói - packet filter • Ưu điểm : – Tất cả firewall đều có thành phần này – Tốc độ xử lý tương đối nhanh, vì chỉ thao tác trên Header của gói tin và cụ thể là IP, Port • Hạn chế : – Không kiểm . unauthorized access to or from a private network. Firewalls can be implemented in both hardware and software, or a combination of both. Firewalls are frequently used to prevent unauthorized