43 pages 1 an toµn m¹ng th«ng tin Bøc têng löa (Firewall) 43 pages 2 Bøc têng löa lµ g×? • Thuật ngữ bức tường lửa (firewall) có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hỏa hoạn. • Trong công nghệ mạng thông tin, firewall là một kỹ thuật được tích hợp vào hệ thống mạng: – Chống truy cập trái phép vào các tài nguyên và dịch vụ của mạng – Bảo vệ các nguồn thông tin nội bộ – Hạn chế các thông tin không mong muốn xâm nhập vào hệ thống 43 pages 3 Bøc têng löa lµ g×? • Firewall là cơ chế bảo vệ mạng tin tưởng được (trusted network) khỏi các mạng không đáng tin (chẳng hạn Internet) • Thông thường, firewall được cài đặt ở vị trí tiếp giáp giữa hai mạng nói trên • Như vậy, firewall điều khiển truy cập ở mức mạng con 43 pages 4 • Về mặt chức năng hệ thống, firewall được đặt giữa hai mạng để kiểm soát mọi lưu thông và truy cập giữa chúng với nhau: chỉ những dữ liệu được cho phép bởi chế độ an ninh của hệ thống mạng bên trong mới được lưu thông qua firewall. • Về mặt vật lý, firewall bao gồm: – Một hoặc nhiều hệ thống máy chủ kết nối với các bộ định tuyến (router). – Các phần mềm quản lý an ninh chạy trên các hệ thống máy chủ. Bøc têng löa lµ g×? 43 pages 5 Chøc n¨ng cña bøc têng löa – Kiểm tra trạng thái gói tin – Dịch địa chỉ mạng (NAT) – Đại diện (Proxy) – Theo dõi và điều khiển 43 pages 6 Firewall có thể làm được gì? • Hội tụ các quyết định bảo mật • Kiểm soát truy cập (tăng cường chính sách bảo mật) • Giám sát các hoạt động liên quan tới Internet • Hạn chế sự lan rộng các lỗi bảo mật (chỉ trong phạm vi một khu vực nào đó của mạng) 43 pages 7 Firewall không thể làm được gì? • Không thể chống lại được những nhân tố phá hoại từ bên trong • Không thể bảo vệ mạng chống lại những kết nối không đi qua firewall – VD: Nếu bên trong mạng có người sử dụng dịch vụ dial-up qua modem (không qua firewall), thì firewall không thể ngăn chặn những lưu thông phá hoại qua dịch vụ đó • Không thể chống lại một cách toàn diện những mối nguy cơ mới phát sinh • Không thể bảo vệ một cách toàn diện với virus • Không thể tự thiết lập các chức năng bảo vệ (cần chi phí cho hoạt động) 43 pages 8 Các dịch vụ và giao thức internet cần quan tâm? • Thư điện tử: simple mail transfer protocol (SMTP) • Trao đổi file: file transfer protocol (FTP), network file protocol (NFS) • Truy cập và thực hiện lệnh đối với đầu cuối ở xa: telnet, rlogin, ssh • Usernet news: network news transfer protocol (NNTP) • WWW: hypertext transfer protocol (HTTP) • Các dịch vụ real-time conferencing: các công cụ CUseeMe, netmeeting, Nescape Conference, MBone • Các dịch vụ name: domain name service (DNS) • Quản lý mạng: simple network management protocol (SNMP) • Dịch vụ định thời: network time protocol (NTP) • Hệ thống Windows: X-Windows • Các hệ thống in ấn: các giao thức line printing (LPR/LPD) 43 pages 9 Một số cơ sở về các dịch vụ Internet, IP, TCP, UDP • Các dịch vụ Internet thường được hiện thực hóa bởi các chương trình server và client, và các giao thức ứng dụng được chạy trên các chương trình này • Các đơn vị dữ liệu giao thức (PDU) của ứng dụng thường được truyền trong các TCP segment (phân đoạn) hoặc các UDP datagram (gam dữ liệu) • Các TCP segment hoặc các UDP datagram được vận chuyển trong các gói IP theo các PDU sử dụng các kết nối (công nghệ data link) giữa nguồn và đích – Ví dụ: Ethernet, FDDI, ATM, • Địa chỉ của các ứng dụng được hiện thực hóa bằng các phương pháp sau: – Địa chỉ IP của nguồn (source IP address), cổng nguồn (source port) – Địa chỉ IP của đích (destination IP address), cổng đích (destination port) – Cổng (port) là một số 2-byte dùng để nhận dạng ứng dụng mà PDU đi tới đó hoặc đi ra từ đó 43 pages 10 Ví dụ: một gói IP mang một TCP segment [...]... quan trng i vi firewall (4) Giao thc ng dng (application protocol): Trong mt s trng hp firewall cú th cn n cỏc trng mo u (header) ca giao thc ng dng 43 pages 14 Một số thuật ngữ về firewall (1) Bức tường lửa (firewall) Một bộ phận của mạng có chức năng hạn chế truy cập giữa một mạng được bảo vệ với Internet hoặc giữa các phần khác nhau của một mạng Lọc gói (packet filtering) Điều khiển có chọn lọc . diện với virus • Không thể tự thiết lập các chức năng bảo vệ (cần chi phí cho hoạt động) 43 pages 8 Các dịch vụ và giao thức internet cần quan tâm? • Thư điện tử: simple mail transfer protocol. chuyển tiếp các gói dữ liệu thì đợc gọi là proxy mức chuyển mạch (circuit-level proxy). 43 pages 18 Một số thuật ngữ về firewall (4) Dịch địa chỉ mạng (Network Address Translation - NAT) Một thủ