Đang tải... (xem toàn văn)
BẢO VỆ MÁY TÍNH KHỎI VI RÚT KHI KẾT NỐI INTERNETBẢO VỆ MÁY TÍNH KHỎI VI RÚT KHI KẾT NỐI INTERNETBẢO VỆ MÁY TÍNH KHỎI VI RÚT KHI KẾT NỐI INTERNETBẢO VỆ MÁY TÍNH KHỎI VI RÚT KHI KẾT NỐI INTERNETBẢO VỆ MÁY TÍNH KHỎI VI RÚT KHI KẾT NỐI INTERNETBẢO VỆ MÁY TÍNH KHỎI VI RÚT KHI KẾT NỐI INTERNETBẢO VỆ MÁY TÍNH KHỎI VI RÚT KHI KẾT NỐI INTERNETBẢO VỆ MÁY TÍNH KHỎI VI RÚT KHI KẾT NỐI INTERNET
Tường lửa (Firewall) Ho Duc Linh 1 Mục đính và yêu cầu • Mục đích bài học. Bài học này cung cấp cho người học những nội dung sau: – Firewall và các loại firewall – Chức năng và các thành phần của firewall – Ưu và nhược điểm của firewall – Các giải pháp đặt firewall Ho Duc Linh 2 Mục đính và yêu cầu • Yêu cầu sau khi học xong bài học. Sau khi học xong bài học này, người học phải nắm được: – Hiểu firewall là gì và phân biệt được các loại firewall – Chức năng và các thành phần của firewall – Nắm được ưu và nhược điểm của firewall để xây dựng một mô hình firewall thích hợp khi thiết kế và xây dựng một hệ thống mạng an toàn. Ho Duc Linh 3 Nội dung • Khái quát về firewall • Chức năng của firewall • Các thành phần của firewall • Firewall làm được và không làm được những gì? • Các giải pháp đặt firewall • Một số lưu ý khi chọn lựa các giải pháp firewall Ho Duc Linh 4 Khái quát về Firewall • Bức tường lửa (firewall) là một kỹ thuật được tích hợp vào hệ thống mạng để: – Chống lại sự truy cập trái phép từ bên ngoài (External network - Internet) vào trong mạng (Internal network - Intranet) và ngược lại. – Bảo vệ thông tin nội bộ cũng như hạn chế sự xâm nhập không mong muốn vào hệ thống mạng nội bộ. • Firewall được chia làm hai loại, gồm firewall cứng và firewall mềm. Ho Duc Linh 5 Khái quát về Firewall (tt) • Firewall cứng (phần cứng): Một hoặc nhiều hệ thống máy chủ kết nối với các bộ định tuyến (router) hoặc có chức năng router. Đặc điểm của firewall cứng: – Không linh hoạt (không thêm chức năng, quy tắc mới vào được). – Hoạt động ở tầng mạng và tầng vận chuyển – Không kiểm tra được nội dung gói tin • Ví dụ firewall cứng: Cisco Pix firewall, NAT (Network Address Translate). Ho Duc Linh 6 Khái quát về Firewall (tt) • Firewall mềm (phần mềm): Các phần mềm quản lí an ninh chạy trên hệ thống máy chủ. Đặc điểm của firewall mềm là: – Tính linh hoạt cao: có thể thêm, bớt các quy tắc, chắc năng. – Hoạt động ở tầng ứng dụng – Có thể kiểm tra được nội dung của gói tin (thông qua các từ khóa). • Ví dụ về firewall mềm: ISA Server của Microsoft, Zone Alarm, Norton firewall Ho Duc Linh 7 Chức năng của Firewall – Kiểm soát luồng thông tin giữa Intranet và Internet. – Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và mạng Internet. Cụ thể là: • Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet). • Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet vào Intranet). Ho Duc Linh 8 Chức năng của Firewall (tt) • Theo dõi luồng dữ liệu mạng giữa Internet và Intranet. • Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập. • Kiểm soát người sử dụng và việc truy nhập của người sử dụng. • Kiểm soát nội dung thông tin thông tin lưu chuyển trên mạng. Ho Duc Linh 9 Các thành phần của Firewall Một Firewall bao gồm một hay nhiều thành phần sau: • Bộ lọc gói tin (packet- filtering router); • Cổng ứng dụng (Application-level gateway hay proxy server); • Cổng mạch (Circuite level gateway). Ho Duc Linh 10 [...]... cập ra ngoài • Chỉ có 1 firewall và 1 kết nối tới internet nên chỉ có một điểm điều khi n và quản lý trong thiết kế này Ho Duc Linh 24 Các giải pháp đặt Firewall – Single Firewall (tt) • Khi tổ chức muốn cung cấp các dịch vụ cho khách hàng sử dụng:Web, FTP, Mail Server • Sẽ có 2 lựa chọn trong trường hợp này – Đặt các server công khai sau firewall sau đó mở kết nối với mạng bên ngoài để có thể truy... không bảo vệ được các tấn công đi vòng qua nó – Ví dụ như thiết bị modems, tổ chức tin cậy, dịch vụ tin cậy (SSL/SSH) Ho Duc Linh 21 Những hạn chế của Firewall (tt) • Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data-drivent attack) Khi có một số chương trình được chuyển theo thư điện tử, vượt qua firewall vào trong mạng được bảo vệ và bắt đầu hoạt động ở đây • Firewall không thể bảo. .. không thể bảo vệ chống lại vi c truyền các chương trình hoặc file nhiễm virut • Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu được áp dụng rộng rãi Ho Duc Linh 22 Các giải pháp đặt Firewall • • • • Single Firewall Demilitarized Zone(DMZ) Screened host firewall Screened subnet firewall Ho Duc Linh 23 Các giải pháp đặt Firewall – Single Firewall • Firewall cấu hình không chỉ bảo vệ mạng riêng từ internet. .. (relay) các kết nối TCP mà không thực hiện bất kỳ một hành động xử lý hay lọc gói nào • Thường được sử dụng cho những kết nối ra ngoài, nơi mà các nhà quản trị mạng thật sự tin tưởng những người dùng bên trong Ho Duc Linh 19 Cổng vòng (Circuit–Level Gateway) • Cổng vòng là một chức năng đặc biệt có thể thực hiện đươc bởi một cổng ứng dụng • Cổng vòng đơn giản chỉ chuyển tiếp (relay) các kết nối TCP mà... người dùng và máy chủ thực hiện yêu cầu – Kiểm soát các thông tin chuyển qua lại giữa Server và Client sau khi đã thiết lập được kết nối – Cho phép hoặc không cho phép một thao tác cụ thể của một chương trình ứng dụng – Dễ dàng sử dụng và kiểm tra hơn so với bộ lọc gói tin (có nhật ký ghi chép lại thông tin truy cập hệ thống) • Nhược điểm: – Buộc người sử dụng phải thay đổi tiến trình làm vi c Ho Duc... pháp đặt Firewall – DMZ Ho Duc Linh 28 Các giải pháp đặt Firewall – DMZ (tt) Firewall đầu chứa 3 card mạng, 1 kết nối với mạng bên ngoài, 1 với mạng riêng và một với mạng của các server công khai với 3 chiến lược bảo mật khác nhau, một chiến lược có thể được tùy chọn hóa để cho ngăn chặn các kết nối vào mạng riêng nhưng có thể đi qua mạng server chung Ho Duc Linh 29 Các giải pháp đặt Firewall - Screen... suốt đối với người sử dụng và các ứng dụng • Nhược điểm – Người quản trị mạng cần có hiểu biết chi tiết về các dịch vụ Internet, kiến trúc của gói tin, và các giá trị số hiệu cổng – Khi đòi hỏi vể sự lọc càng lớn, các luật lệ về lọc càng trở nên dài và phức tạp, rất khó để quản lý và điều khi n – Bộ lọc packet không kiểm soát được nội dung thông tin của packet Ho Duc Linh 13 Cổng ứng dụng/Firewall mức... thay thế kết nối trực tiếp giữa client và server với dịch vụ của nó • Proxy server mới đầu được thiết kế để lưu bản copy của các Web trên server -> giảm sự lặp lại quá trình truy cập vào cùng một trang web • Proxy server dùng để che dấu các host bên trong mạng sau một host duy nhất • Có thể lọc các URL, kiểm tra nội dung của gói tin Ho Duc Linh 14 Cổng ứng dụng/Firewall mức ứng dụng(tt) • Khi host... dịch vụ có thể truy cập từ internet: Web, Email, DNS Ho Duc Linh 30 Các giải pháp đặt Firewall - Screen Host Firewall (tt) Ho Duc Linh 31 Các giải pháp đặt Firewall - Screened Subnet Firewall • Có 2 firewall và bastion host • 1 bastion host và một vài máy tinh khác tạo thành một subnet (mạng con) • Subnet được đặt giữa 2 screening router Ho Duc Linh 32 Các vấn đề cần lưu ý khi chọn lựa một giải pháp... Email • Ước lượng giá thành – Giá thành của sản phẩn firewall – Cài đặt – Quản trị – Bảo trì Ho Duc Linh 33 Các vấn đề cần lưu ý khi chọn lựa một giải pháp Firewall (tt) • Chọn một giải pháp firewall phù hợp – Firewall mức ứng dụng – Firewall mức mạng • Đánh giá giải pháp lựa chọn – Hiệu năng – Độ phức tạp – Các đặc tính phụ Ho Duc Linh 34 Q&A Ho Duc Linh 35 . và Internet. – Thiết lập cơ chế điều khi n dòng thông tin giữa mạng bên trong (Intranet) và mạng Internet. Cụ thể là: • Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet) Server – “Trong suốt” đối với người dùng và máy chủ thực hiện yêu cầu. – Kiểm soát các thông tin chuyển qua lại giữa Server và Client sau khi đã thiết lập được kết nối. – Cho phép hoặc không cho phép. vòng đơn giản chỉ chuyển tiếp (relay) các kết nối TCP mà không thực hiện bất kỳ một hành động xử lý hay lọc gói nào. • Thường được sử dụng cho những kết nối ra ngoài, nơi mà các nhà quản trị mạng