Bài giảng Thiết kế hệ thống mạng LAN: Chương 2 - TS. Lương Minh Huấn

Bài giảng Thiết kế hệ thống mạng LAN - Chương 2: Firewall cung cấp cho người học một số kiến thức: Giới thiệu Firewall, nhiệm vụ của Firewall, kiến trúc của Firewall, các loại Firewall và cách hoạt động, những hạn chế của Firewall. Mời các bạn cùng tham khảo nội dung chi tiết.

Chương 2 : Firewall GV: LƯƠNG MINH HUẦN

3iới thiệu Eewall

Nhiệm vụ của Firewall

Kiên trúc của Firewall

_ác loại FIrewall và cách hoạt động

Những hạn chê của Firewall

ernet là € ống mở, đó là điêm mạnh và cũng là điểm

1 no Chinh điểm yêu này làm giảm khả năng bảo mật thôn

¡ bộ của hệ thông

ính vì vậy, việc đảm bảo các thông tin được bảo mật luôn Ì:

1 câu câp thiệt đặt ra

ên nay có nhiêu cách thức, phương pháp bảo mật

uật ngữ firew: có nguồn sốc từ một kỹ thuật thiết kế trong

nơ đề ngăn chặn, hạn chế hỏa hoạn

ng công nghệ thông tin, firewall là một kỹ thuật được tích

› hệ thông mạng đề chống lại việc truy cập trái phép, bảo vị

nôn tài nguyên cũng như hạn chế sự xâm nhập vào hệ thông

t số thông tin khác không mong muốn Cu thé hon, có thé ewall là một cơ chế bảo vệ giữa mạng tin tưởng (tru Iwork)

mặt vật: ~tirewall bao gøôm một hoặc nhiêu hệ thông máy

noi với bộ dinh tuyén (Router) hoặc có chức năng Routei

t chức năng, firewall có nhiệm vụ:

Fât cả các trao đối dữ liệu từ trong ra ngoài và ngược lại đêu

hực hiện thông qua firewall

"hỉ có những trao đôi được cho phép bởi hệ thông mạng n( trusted network) mdi duoc quyén luu thong qua firewall

C phan r án lý an ninh chạy trên hệ thông máy chủ bao ; Quản lý xác thực (Authenficafion): có chức năng ngăn cản

ập trái phép vào hệ thông mạng nội bộ Mỗi người sử dụng r

ruy cập hợp lệ phải có một tài khoản (account) bao gom mé Iøười dùng (username) và mật khâu (password)

Juan ly cap=quyén (Authorization): cho phép xac dinh quyé

lụng tài nguyên cũng như các nguôn thông tin trên mang theo

\PƯỜI, từng nhóm người sử dụng

yuan ly kiém todn (Accounting Management): cho phér thận tât cả các sự kiện xảy ra liên quan đến việc truy cập v lụng nguôn tài nguyên trên mạng theo từng thời điểm (ngày

à thời gian truy cập đôi với vùng tài nguyên nào đã được sử ‹

\oặc thay đôi bô sung

ỨC năng của Firewall là kiểm soát luông thông tin từ ranet và Internet Thiêt lập cơ chê điêu khiên dòng thông tin

ng bén trong (Intranet) va mạng Internet Cụ thê là:

"ho phép hoặc câm những dịch vụ truy nhập ra ngoài (từ Int

reWall bảo'

)ữ liệu : Những thông tin cân được bảo vệ do những yêu câu :

= Bao mat

" Tinh toan ven

® Tinh kip thoi

2 Nhiệm vụ của Firewall

NetApp

:

Network Compute Storage Network Compute ise

=e 4 ¬ : _ bi ⁄ _ ° ~ A A N A ` ®

‘ireWall baoeve chong lại những sự tân công từ bên ngoài

= Tân công trực tiếp

" Nohe trộm

=" Gia mao dia chi IP

“ Vô hiệu hoá các chức năng của hệ thông (deny service)

“ Lỗi người quản trị hệ thông

" Yêu tÔ con người

x

kiên trúc Screened host

kiên trúc Screened subnet

“tric kiéu Dual-homed host được xây dựng dua

y tinh dual-homed host Mot may tinh được gọi là dual-ho

st néu n6 co it nhat hai network interfaces, c6 nghia 1a may ¢

1 hai card mang giao tiép véi hai mạng khác nhau và như thê

h nay dong vai tro 1a Router mém Kién tric dual-homed ho:

n giản Dual-homed host ở giữa, một bên được kết nỗi

ernet và bên còn lại nôi với mạng nội bộ (LAN)

al-hom chỉ có thê cung cấp các dịch vụ băng các yên (proxy) chúng hoặc cho phép users đăng nhập trực tiêy

al-homed host Moi giao tiép tu mot host trong mang noi Lt

st bén ngoai déu bi cam, dual-homed host 1a noi giao tiép

At

`

reened ó câu trúc ngược lại với câu trúc Dual-homed |

sn trúc này cung cấp các dịch vụ từ một host bên trong mạn dùng một Router tách rời với mạng bên ngoài Trong kiêu

c nay, bao mat chinh la phuong phap Packet Filtering

stion host € được đặt bén trong mang noi bo Packet Filte

oc cal trén Router Theo cach nay, Bastion host la he thông

it trong mang noi bộ mà những host trên Internet có thể kế Mặc dù vậy, chỉ những kiêu kết nỗi phủ hợp (được thiết lập t

Stion host) mới được cho phép kết nôi Bất kỳ một hệ thông Đài nào cô gắng truy cập vào hệ thông hoặc các dịch vụ ben {

1 phải kết nối tới host nay Vi thé Bastion host là host cân

oc duy tri 6 chế độ bảo mật cao

cket filtering cung cho phép bastion host có thê mở kêt n

ì ngoài Câu hinh cua packet filtering trén screening router I:

"ho phép tat ca cac host bên trong mé két ndi toi host bén r

hong qua mot số dịch vụ cô định

Không cho phép tất cả các kết nôi từ cdc host bên trong |

\hững host nay su dung dich vu proxy thong qua bastion hos

lêu lôi vào cho những dịch vụ khác nhau

Một số dịch vụ được phép đi vào trực tiếp qua packet filterins

Một sô dịch vu khac thi chi duoc phép di vao gian tiép qua pre

ăm tăng - ø khả năng bảo vệ mạng nội bộ, thực hiện ‹

¡c phòng thủ theo chiêu sâu, tăng cường sự an toàn cho ba:

st, tach bastion host khỏi các host khác, phân nào tránh lâ›

t khi bastion host bị tốn thương, người ta đưa ra kiến ewall có tên là Sreened Subnet

Sn tric Se ed subnet dan xuất từ kiên trúc screened host +h thêm vào phân an toàn: mạng ngoại vi (perimeter netw

ăm cô lập mạng nội bộ ra khỏi mạng bên ngoai, tach bastion

khỏi các host thông thường khác Kiéu screened subnet don

› ôm hai screened router:

: : Firewall Interior Router ===)

ufer ngoài" ernal router con goi la access router): nam

ng ngoai vi va mang ngoai co chuc năng bảo vệ cho mạng r (bastion host, interior router) No cho phép hau hét nhữr

tbound tu mang ngoại vi Một sô qui tac packet filtering dac

ơc cài đặt ở mức cân thiết đủ dé bao vé bastion host va int iter vi bastion host còn là host được cài đặt an toàn ở mức

oài các qui tắc đó, các qui tắc khác cân øiông nhau giữ:

uter

erior Router (con gọi la choke router): năm giữa mạng nøc

mạng nội bộ, nhăm bảo vệ mạng nội bộ trước khi ra nøgo:

ng ngoại vi Nó không thực hiện hết các qui tắc packet filtc

toàn bộ firewall Các dich vu ma interior router cho phép

sfion hosf và mạng nội bộ, giữa bên ngoài và mạng nội bộ k

it thiét phai giỗng nhau Giới hạn dịch vụ giữa bastion ho:

nø nội bộ nhăm giảm sô lượng máy (số lượng dịch vụ trêr

y này) có thê bị tân công khi bastion host bi ton thương và

p với bên ngoài

° ~~ Ses = —

id hinh Edee Firewall

M6 hinh 3-Leg Firewall

Vid hinh Front back Firewall

ộ lọc gói tin)

Application gateway

› packet đề từ đó câp phép cho chúng lưu thông hay ngăn c

c thông sô có thê lọc được của một packet như:

Jia chi IP noi xuat phat (source IP address)

dia chi IP noi nhan (destination IP address)

‘ong TCP noi xuat phat (source TCP port)

‘ong TCP nơi nhận (destination TCP port)

ai Fire ý cho phép kiểm soát được kết nôi vào máy

9a Việc truy cập vào hệ thông mạng nội bộ từ những địa chỉ k

› phép Ngoài ra, nó còn kiểm soát hiệu suất sử dụng những

đang hoạt động trên hệ thông mạng nội bộ thông qua các -P tuong ung

y là loại ftewẽ được thiết kế để tăng cường chức năng ©

it cac loại dịch vụ dựa trên những giao thức được cho phép

› vào hệ thông mạng Cơ chế hoạt động của nó dựa trên mô oxy Service Trong mô hình này phải tôn tại một hay nhiêu

h đóng vai trò Proxy Server Một ứng dụng trong mạng n(

1 cau mot đối tượng nào đó trên Internet, Proxy Server sẽ

¡ cầu này và chuyên đến Server trên Internet Khi Server

ernet trả lỜI, Proxy Server sẽ nhận và chuyén ngược lại cho

ng đã gửi yêu câu Cơ chế lọc của paeket filtering kết hợp v‹

` “đại di¢n” cua application gateway cung cap mot kha nar

n và uyên chuyên hơn, đặc biệt khi kiểm soát các truy cập tủ

al

dụ: Một hệ thống mạng có chức năng packet filteringø ngăn

: kết nôi băng TELNET vào hệ thống ngoại trừ một máy duy ELNET application gateway 1a duoc phép Mot ngudi mud:

| vao hé thông băng TELNET phải qua các bước sau:

'hực hiện vào máy chủ bên trong cân truy cập

sateway kiểm tra địa chỉ IP nơi xuất phát của người truy cập:

ho phép hoặc từ chôi

Người truy cập phải vượt qua hệ thông kiểm tra xác thực

roxy Service tao mét kết nối Telnet gitta gateway va may cl

‘an truy nhap

-roxy Service lién két luu thong gitra ngudi truy cap va may ¢

rong mạng nội bộ

*ơ chế bộ yo packet kết hop với cơ chế proxy có nhược dié

liện nay các ứng dụng đang phát triển rât nhanh, do đó nếu roxy không đáp ứng kịp cho các ứng dụng, nguy cơ mất an

ẽ tăng lên

Thong thường những phân mêm Proxy Server hoạt động nhu

"afeway nội g1ữa hai mạng, mạngbên trong và mạng bên nøo:

Private

network

ua Proxy Server va Internet thong qua nha

Đường kết ÔI Ø1

ấp dịch vụ Internet (Internet Service Provider - ISP)

"hân cứng dùng đề kết nôi tùy thuộc vào việc nôi kết trực -roxy Server với Internet hoặc thông qua mot Router

/iệc chọn lựa cách kết nối và một ISP thích hợp tùy thuộc vàc

âu cụ thê của công ty, ví dụ như số người cân truy cập Inte:

ác dịch vụ và ứng dụng nào được sử dụng, các đường két ne

Ach tinh cước mà ISP có thể cung cấp

> khién firewall không thê bảo vệ hệ thông an toàn một cách -

| Mot so han chê của firewall có thê kê ra như sau:

ne

'1rewall không bảo vệ chông lại các đe dọa từ bên trong nội |

lụ như một nhân viên cô ý hoặc một nhân viên vô tình hợp tá

é tan công bên ngoài

irewall không thê bảo vệ chống lại việc chuyền giao giữa các

hương trình bị nhiễm virus hoặc các tâp tin Bởi vì sự đa dạng

ác hệ điêu hành và các ứng dụng được hỗ trợ từ bên trong nội

›ẽ không thực tê và có lẽ là không thé cho cac firewall quét ca

âp tin gởi đến, email nhăm phát hiện virus

irewall không thể bảo vệ chông lại các cuộc tấn công bỏ

ường lửa Ví dụ như một hệ thông bên trong có kha nang dia

cết nôi với một ISP hoặc mạng LAN bên trong có thé cung

not modem pool co kha nang dial-in cho cac nhân viên dÌ ‹ lay các kiêu tân céng dang social engineering nham dém ượng là các người dùng trong mạng