Thiết kế tường lửa Tổng quan Trong bài học này, bạn sẽ được cung cấp những khái niệm và những công nghệ được sử dụng trong thiết kế hệ thống tường lửa.Bạn sẽ nhận biết được những phương pháp thi công tường lửa trong những viễn cảnh khác nhau,sử dụng những kỹ thuật khác nhau. Những chiến lược và khái niệm trong bài học này rất quan trọng để hiểu được những bài học sau. Mục tiêu 1A. Xem xét những nguyên tắc thiết kế và thi công tường lửa Một hệ thống tường lửa được mang đến, bạn sẽ phải nhận dạng và mô tả hệ phương pháp về chức năng của tường lửa và cách thi công nó. 1B. Tạo một chính sách tường lửa dựa trên những yếu tố đã được cung cấp. Trả lời những câu hỏi liên quan đến tường lửa, bạn sẽ tạo ra một chính sách tường lửa. 1C.Tạo ra những quy tắc được cài đặt để lọc gói tin Mang đến một ngữ cảnh mạng, bạn sẽ tạo ra một nguyên tắc cài đặt cho hệ thống tường lửa lọc gói tin. 1D. Mô tả chức năng của một máy chủ proxy. Mang đến một ngữ cảnh mạng, bạn sẽ mô tả quá trình các máy con nội bộ sử dụng một máy chủ proxy để truy cập các trang web ngoài Internet. 1E. Mô tả máy thành trì bao gồm như thế nào trong bảo mật mạng Mang đến một ngữ cảnh mạng, bạn sẽ mô tả cách tạo ra những chức năng của máy thành trì trong bảo mật mạng. Chủ đề 1A Thành phần của tường lửa Khái niệm an ninh mạng là một chủ đề đa dạng và đầy thử thách để thảo luận.Có quá nhiều khu vực khác nhau với những kiến trúc mạng khác nhau được dính líu tới, từ hệ thống tin nhắn đến cơ sở dữ liệu, từ những giải pháp in ấn và tập tin đến kết nối những hệ thống mạng từ xa.Giữa những khu vực đó của hệ thống mạng chúng ta tìm thấy nhiều thứ như những giải pháp kiểm soát truy cập, chính sách kiểm soát người dùng (chính sách nhóm trong môi trường Windows), và một loạt các chức năng, cài đặt và các tùy chọn phục vụ để làm nhầm lẫn và làm bối rối người dùng trung bình của một máy tính trong một miền của mạng. Bảo mật và bảo vệ mạng dựa trên những tài sản là miền (domain) của kỹ sư mạng, người có hiểu biết về kỹ thuật, có kỹ năng cao và nhiều điều nữa rất khó nói cho bạn hiểu nếu bạn không phải là một kỹ sư mạng. Hình ảnh sau đây là một ví dụ về tường lửa đơn giản Hình 1.1 Tường lửa thường có vị trí luận lý giữa mạng nội bộ(LAN) và mạng bên ngoài(WAN).Tường lửa đặt ở đó để thực hiện chức năng của nó,từ chối hay chấp nhận truy cập dựa trên những nguyên tắc mà nhà quản trị mạng đã cài đặt trên thiết bị. Qua nhiều năm qua,cung cấp chức năng này đơn giản để từ chối hay chấp nhận truy cập là đủ để tạo thành một mức bảo mật cơ bản cho hầu hết các mạng của chúng ta.Thách thức là phải tăng sự vững chắc hơn là cung cấp sự bảo mật cơ bản vì các hacker và các kẻ thù của mạng được bảo vệ bởi tường lửa luôn ngồi lại và tìm ra cách để phá vỡ sự bảo mật được tạo ra bởi tường lửa. Kết quả là, việc bổ sung các tính năng và các tùy chọn mới cho các bức tường lửa đã trở thành một phần rất quan trọng trong sự phát triển liên tục của an ninh mạng tổng thể, và khả năng bảo vệ mạng của chúng ta từ những lưu thông và những kết nối không mong đợi hay không được chứng thực. Ngoài việc từ chối hay chấp nhận truy cập, bây giờ tường lửa còn xuất hiện các dịch vụ sau: Network Address Translation (NAT): NAT được sử dụng bởi Router để chuyển đổi giữa địa chỉ IP riêng và địa chỉ IP chung. Đệm dữ liệu: Chức năng này cho phép Router lưu trữ dữ liệu được truy cập thường xuyên bởi các máy con trong mạng. Hạn chế nội dung: chức năng này được sử dụng trong nhiều hệ thống mới,cho phép nhà quản trị điều khiển truy cập Internet dựa trên việc hạn chế từ khóa. Phương pháp xây dựng tường lửa Tường lửa có hai phương pháp phổ biến để thi hành bảo mật trong mạng,dù có nhiều biến thể của hai phương pháp trên,hầu hết các sự sửa đổi chung quy cũng là một trong hai loại trên.Hai phương pháp phổ biến đó là: - Lọc gói tin - Sử dụng máy chủ proxy (cổng ứng dụng) Lọc gói tin là loại tường lửa đầu tiên được sử dụng bởi nhiều tổ chức để bảo vệ mạng của họ.Phương pháp phổ biến để thực hiện lọc gói tin là sử dụng Router.Các Router có khả năng cho phép hoặc từ chối gói tin đi qua,dựa trên những quy tắc đơn giản mà nhà quản trị tạo ra. Mặc dù những tường lửa đó có thể thực hiện chức năng lọc,nhưng chúng đã bị hạn chế bởi thực tế là chúng được thiết kế chỉ để xem các thông tin tiêu đề của gói tin.Một ví dụ về hạn chế là bộ lọc có thể chặn truy cập FTP nhưng không thể chặn chỉ một lệnh PUT trong FTP. Việc bổ sung các máy chủ proxy (cũng được biết đến như là một cổng ứng dụng) khả năng các bức tường lửa tạo ra một sản phẩm an ninh vững chắc hơn nhiều so với một bộ lọc gói thuần túy nhờ khả năng cung cấp riêng tư của nó. Các phần mềm proxy có thể đưa ra quyết định dựa trên nhiều hơn tiêu đề của một gói tin. Các máy chủ proxy sử dụng phần mềm để ngăn chặn lưu thông mạng những cái được mang đến cho ứng dụng.Proxy nhận các yêu cầu và thay mặt cho máy khách gửi yêu cầu đến máy chủ.Trong trường hợp này máy khách nội bộ không bao giờ thực hiện kết nối trực tiếp đến máy chủ bên ngoài.Thay vì kết nối trực tiếp, chức năng của proxy như là người ở giữa và nói chuyện với cả máy khách và máy chủ,chuyển tiếp thông điệp qua lại. Lợi thế lớn cho việc này là các phần mềm proxy có thể được chỉ thị để chấp nhận hoặc từ chối lưu thông dựa trên các dữ liệu thực tế trong gói, không phải chỉ đơn giản là tiêu đề. Nói cách khác, proxy là sự nhận thức của các phương pháp truyền thông, và sẽ trả lời phù hợp, không phải chỉ mở và đóng cổng theo một hướng nhất định. Những thứ tường lửa không làm được Vì vậy, nếu một bức tường lửa có thể sử lọc gói tin, các dịch vụ proxy, một sự kết hợp của cả hai, hoặc lọc tuỳ chỉnh để tạo ra một môi trường an toàn cho dữ liệu của chúng ta, một câu hỏi hợp lý mà chúng ta phải hỏi là “tường lửa không thể làm gì để bảo vệ mạng” Thật không may, như là trường hợp thông thường, không có cuộc thảo luận nào xảy ra cho phép người quản trị hiểu thêm về những lý do đằng sau những cần thiết của tường lửa, và những gì là mục tiêu của tường lửa trong hệ thống mạng là : chúng được đòi hỏi là phải hoàn thành. Liên quan đến nhà bảo mật mạng và những khó khăn của họ về việc phải mua một thiết bị sẽ phải làm nhiều thứ, có thể cần thiết hoặc không cần thiết cho những vấn đề an ninh mạng,sẽ rất hữu ích cho chúng ta nếu biết nhìn sơ lược những gì tường lửa không thể làm được để có thể bắt đầu hiểu những gì tường lửa có thể làm. Một vài vấn đề mà tường lửa có thể sẽ gặp khó khăn trong bảo mật là: Virus: Một số tường lửa không có khả năng phát hiện virus, tuy nhiên kẻ tấn công có thể gửi virus trong nhiều hình thức và tường lửa không thiết kế như một hệ thống chống virus, đây không phải là chức năng chính của một tường lửa.Tường lửa của bạn có thể xác định một số loại virus, nhưng bạn nên luôn luôn sử dụng phần mềm chống virus bên trong Sai sót của nhân viên: Nhân viên thường làm những thứ vô tình.Họ có thể trả lời đến những địa chỉ email giả mạo,hoặc chạy những chương trình đến được gửi từ bạn bè mà họ cho rằng chúng an toàn. Kết nối thứ hai:Nếu những nhân viên có modem trong máy tính của họ và có thể sử dụng kết nối mạng không dây, họ có thể thực hiện những kết nối mới ra ngoài Internet vì những lý do cá nhân.Những kết nối đó tạo ra các bức tường lửa vô ích cho các máy con này.Nếu chức năng chia sẽ File được bật điều này có thể dẫn đến những kết quả bất lợi trong khi chính tường lửa của máy đó có thể vẫn được cấu hình đúng. Vấn đề xã hội: Nếu nhà quản trị mạng mang thông tin tường lửa ra ngoài cho những người đang gọi đến từ nhà cung cấp dịch vụ chẳng hạn mà không có bất cứ sự xác minh nào,đó là một vấn đề nghiêm trọng. Thi hành những tùy chọn cho tường lửa Không có một tiêu chuẩn chính xác để thực hiện một bức tường lửa trong mạng. Các khái niệm sau đây cho thấy nhiều khả năng khác nhau cho việc triển khai tường lửa: Thiết bị lọc gói tin đơn Như được thể hiện trong hình sau đây, mạng này đã được bảo vệ bởi một thiết bị đơn cấu hình như một bộ lọc gói tin, cho phép hoặc từ chối truy cập dựa trên nội dung của các tiêu đề gói tin. Hình 1.2.Một ví dụ về thiết bị lọc gói đơn Thiết bị Multi-homed Như được thể hiện trong hình sau đây, mạng này đang được bảo vệ bởi một thiết bị (hầu hết giống một máy tính) đã được cấu hình với nhiều giao diện mạng.Phần mềm Proxy sẽ chạy trên thiết bị để chuyển tiếp các gói tin giữa các giao diện. Hình 1.3.Ví dụ về thiết bị multi-home như một máy chủ proxy Máy chủ được che chắn Như được thể hiện trong hình sau đây, mạng được bảo vệ bằng cách kết hợp chức năng của các máy chủ proxy và các chức năng của lọc gói tin.Bộ lọc gói tin chỉ nhận thông tin đến từ proxy. Nếu máy khách trực tiếp liên lạc với bộ lọc proxy, dữ liệu sẽ bị loại bỏ. Hình 1.4. Ví dụ về máy chủ được bảo vệ chạy sau thiết bị lọc gói tin “Khu vực phi quân sự” DMZ Theo hình sau,mạng có một vùng đặc biệt được tạo ra để đặt các server cần kết nối với cả hai internet và intranet dựa trên các máy khách.Vùng đặc biệt này,DMZ,yêu cầu hai thiết bị lọc (tường lửa truyền thống thường sử dụng như vậy) và có thể có nhiều thiết bị tồn tại trong ranh giới của nó. Hình 1.5. Ví dụ về vùng phi quân sự (DMZ) Kế hoạch cho tường lửa Mục tiêu: Để thực hiện hệ thống tường lửa, bạn sẽ cần phải có sơ đồ các phương pháp khác nhau được sử dụng để triển khai. 1. Sơ đồ các phương pháp mô tả trong chủ đề này để triển khai tường lửa hầu hết phản ánh chính xác các thiết kế mạng hiện tại của bạn [...]... thực thi trực tiếp lên firewall Network Connection Statement Phần này của chính sách dính líu tới các loại thiết bị được cấp quyền kết nối vào mạng Đây là nơi bạn có thể xác định các vấn đề liên quan tới các hệ điều hành mạng, các thiết bị mạng, và những thiết bị này phải được cấu hình như thế nào để đảm bảo an toàn cho mạng Phần này bao gồm các khoản mục mà có can hệ mật thiết tới firewall như: • Không... ở đây là chính sách cho firewall Bạn nên thường xuyên điều chỉnh tài liệu về chính sách cho firewall Thế giới bảo mật đang thay đổi từng ngày, hãy đảm bảo rằng chính sách của bạn theo kịp và phù hợp với những thay đổi đó! Tác vụ 1B-1 Tạo một chính sách firewall đơn giản 1 Hãy đọc hết kịch bản của một mạng doanh nghiệp sau Một văn phòng có một mạng gồm 200 nút (node) Hiện tại, mạng này được kết nối tới... thống firewall được thiết kế và triển khai tốt thì trước hết bạn cần phải có một chính sách firewall đúng đắn Và chính sách firewall là một phần của chính sách bảo mật mà tổ chức của bạn đang áp dụng Nhìn chung, có hai quan điểm chính về chính sách firewall: hoặc là ngăn cấm mọi thứ ngoại trừ những cái được cho phép, hoặc là cho phép mọi thứ ngoại trừ những cái bị cấm Và đa số đều nhất trí với quan điểm... trí với quan điểm đầu tiên Theo đó thì chỉ có các lưu lượng mạng nào mà bạn chỉ định rõ là được phép mới có thể đi qua firewall và tất cả các lưu lượng mạng còn lại đều bị firewall chặn lại Điều này cũng giúp giảm bớt gánh nặng công việc cho các quản trị mạng/ bảo mật Cứ tưởng tượng bạn phải lên danh sách cấm tất cả các cổng (port) mà Trojan thường sử dụng cũng như chặn tất cả các cổng dành cho các... chính sách tốt là một phần quan trọng trong bước chuẩn bị để triển khai firewall Mặt khác, bạn cũng cần hiểu rõ sự khác nhau giữa các loại firewall hiện có Ở phần trước, chúng ta đã thảo luận ngắn gọn về các chức năng mà firewall cung cấp, và bây giờ chúng ta sẽ tập trung vào tính năng lọc gói tin (packet filtering) Packet filter là loại firewall đầu tiên được dùng để bảo vệ mạng Trước đây (và cả bây... lượng mạng đi tới nó Để tạo được các luật đúng đắn, bạn cần tham khảo chính sách firewall như được thảo luận ở phần trước Bạn cũng nên trả lời các câu hỏi sau: • • • Những dịch vụ nào trên Internet được phép truy cập từ mạng nội bộ? Những dịch vụ nào trong mạng nội bộ được phép truy cập từ Internet? Các máy nào trên Internet được/không được phép truy cập vào mạng nội bộ và ngược lại các máy nào trong mạng. .. filter cho mạng nội bộ Thiết bị này sẽ cần được cấu hình tốt vì sự an toàn của mạng nội bộ tùy thuộc vào các luật của nó Trong ví dụ thứ hai, packet filter cần phải được cấu hình cẩn thận để không cho phép các máy trạm trong mạng nội bộ truy cập trực tiếp tới Internet Tương tự, nó cũng phải được cấu hình đúng để các lưu lượng mạng đến từ Internet không thể trực tiếp tới được các máy trạm bên trong mạng nội... rules liên quan đến dịch vụ (trong truờng hợp này là www),và quyết định yêu cầu sẽ đuợc chấp nhận hay không Một khi Proxy quyết định cho phép client yêu cầu trang web,một gói tin mới sẽ đuợc tạo ra với địa chỉ IP source là proxy server.Gói tin mới này yêu cầu trang web từ destination server.Các máy chủ web nhận đuợc yêu cầu,và trả về trang web cho host đã yêu cầu trang web.Khi proxy đang chạy,các host... Người quản trị firewall phải biết rõ về tất cả các ứng dụng được phép cài đặt trên • các máy tính trong mạng Người quản trị firewall sẽ làm báo cáo và gửi trực tiếp cho CSO (Chief Security • Officer) Có thể liên hệ với người quản trị firewall bất kể khi nào – 24 giờ trong một ngày, 7 ngày trong một tuần Như bạn thấy, phần này được coi như là yêu cầu công việc đối với người quản trị firewall Một số... và xem xét chính sách firewall được dễ dàng hơn Nhiều tổ chức hiện này có một web server nội bộ mà lưu trữ các tài liệu quan trọng để các nhân viên có thể truy cập tới Chính sách là một trong các tài liệu đó và việc đọc tài liệu phụ về chính sách firewall ở trên sẽ dễ dàng hơn so với việc phải cuộn qua 200 trang nội dung Acceptable Usage Statement Có thể sẽ phải mất nhiều thời gian và công sức để tạo . trong bảo mật mạng Mang đến một ngữ cảnh mạng, bạn sẽ mô tả cách tạo ra những chức năng của máy thành trì trong bảo mật mạng. Chủ đề 1A Thành phần của tường lửa Khái niệm an ninh mạng là một chủ. không phải là một kỹ sư mạng. Hình ảnh sau đây là một ví dụ về tường lửa đơn giản Hình 1.1 Tường lửa thường có vị trí luận lý giữa mạng nội bộ(LAN) và mạng bên ngoài(WAN).Tường lửa đặt ở đó để. hệ điều hành mạng, các thiết bị mạng, và những thiết bị này phải được cấu hình như thế nào để đảm bảo an toàn cho mạng. Phần này bao gồm các khoản mục mà có can hệ mật thiết tới firewall như: •