BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ BÁO CÁO BÀI TẬP LỚN TÌM HIỂU VỀ TƯỜNG LỬA ( FIRE WALL ) Ngành: An tồn thơng tin Giảng Viên : Vũ Thị Vân Nhóm 19 Sinh viên thực hiện: Lại Văn Sơn Vũ Hà Quang Nguyễn Thị Quỳnh Khoa An tồn thơng tin – Học viện Kỹ thuật mật mã Hà Nội, 2021 BAN CƠ YẾU CHÍNH PHỦ MỤC LỤC Content MỤC LỤC I Tìm hiểu tường lửa Tổng quan tường lửa Firewall Phân loại tường lửa 2.1 Tường lửa cứng .3 2.2 Tường lửa mềm .4 Các kiến trúc tường lửa .5 3.1 Bộ lọc gói (Packet Filterling Router) 3.2 Cổng ứng dụng (Application-level gateway) 3.3 Cổng vòng (Circuit-level Gateway) 10 II Thực hành III Tài liệu tham khảo 11 I TÌM HIỂU VỀ TƯỜNG LỬA Tổng quan tường lửa Firewall Firewall thuật ngữ có nguồn gốc từ kỹ thuật thiết kế xây dựng để ngăn chặn hạn chế hỏa hoạn Trong công nghệ mạng thơng tin, Firewall kỹ thuật tích hợp vào hệ thống nhằm mục đích:  Ngăn chặn hạn chế truy nhập trái phép, nhằm bảo vệ nguồn tài nguyên, thông tin liệu  Cấm truy cập từ bên (Intranet) tới địa định Internet Cũng hiểu FireWall chế bảo vệ mạng tin cậy khỏi mạng không tin cậy mạng công cộng Internet Thông thường Firewall đặt mạng tin cậy bên mạng Internet công ty hay tổ chức mạng không tin cạy Internet Mô hình Fire Wall: Chức Năng Firewall kiểm sốt luồng thông tin ra, vào mạng tin cậy (Intranet) mạng không tin cậy Internet Thiết lập chế điều khiển luồng thông tin củ thể là:  Cho phép cấm dịch vụ truy nhập từ mạng tin cậy ngồi mạng khơng tin cậy (Từ mạng Intranet tới mạng Internet)  Cho phép cấm dịch vụ truy nhập từ mạng không tin cậy vào mạng tin cậy  Theo dõi điều khiển luồng liệu Internet Intranet  Kiểm soát địa truy nhập cấm địa truy nhập  Kiểm soát người dùng nhập người dùng Phân loại tường lửa 2.1 Tường lửa cứng Tường lửa phần cứng thiết bị vật lý triển khai để thực thi ranh giới mạng Tất liên kết mạng vượt qua ranh giới qua tường lửa Điều đồng nghĩa với việc tường lửa phần cứng thực kiểm tra lưu lượng mạng vào/ra, thực thi kiểm soát truy cập sách bảo mật khác  Ưu điểm: - Bảo mật quán: Tường lửa phần cứng cung cấp khả bảo mật quán cho tất thiết bị mà bảo vệ - Bảo vệ độc lập: Tường lửa phần cứng chạy phần cứng Do việc tăng lưu lượng truy cập yêu cầu bảo mật không ảnh hưởng đến hiệu suất máy bảo vệ - Quản lý đơn giản: Tường lửa phần cứng thiết bị bảo vệ toàn mạng Bất kỳ cập nhật thay đổi cấu hình yêu cầu áp dụng lần áp dụng cho tất thiết bị bảo vệ tường lửa - Cải thiện khả bảo mật: Như nói tường lửa phần cứng chạy phần cứng chuyên dụng thay dựa vào tài ngun máy tính mà cài đặt Điều giúp bảo vệ tường lửa khỏi công thiết kế để khai thác hệ điều hành sở (Underlying Operating System) chương trình chạy với - Khả hiển thị tập trung: Tường lửa phần cứng tập trung giám sát mạng đăng nhập vào thiết bị  Nhược điểm: - Bên cạnh ưu điểm, loại tường lửa có nhược điểm xuất phát từ hạn chế phần cứng (số lượng Card giao diện mạng (NIC), giới hạn băng thơng,…) Ngồi chi phí đầu tư cao Tường lửa khó cấu hình, cần đến giúp đỡ chuyên gia 2.2 Tường lửa mềm Tường lửa phần mềm triển khai Code máy tính Tường lửa phần mềm bao gồm tường lửa tích hợp hệ điều hành thơng thường thiết bị ảo có đầy đủ chức tường lửa phần cứng triển khai máy ảo  Ưu điểm: - Linh hoạt, dễ cấu hình: Người dùng dễ dàng thiết lập mức độ bảo vệ mong muốn, cung cấp mức độ bảo mật khác tùy theo máy người dùng - Bảo vệ lúc, nơi: Tường lửa phần mềm bảo vệ máy tính cài đặt máy tính kết nối đâu - Chi phí triển khai thấp  Nhược điểm: - Sử dụng nhiều tài nguyên hệ thống hơn, chẳng hạn nhớ dung lượng đĩa - Để sử dụng tường lửa phần mềm, máy tính cần cấu hình, quản lý cập nhật riêng - Triển khai tường lửa phần mềm độc lập thiết bị mạng tổ chức đồng nghĩa với việc thiếu khả hiển thị toàn mạng nhân viên IT phải nỗ lực nhiều để tổng hợp đồng thông tin từ tất thiết bị khác Các kiến trúc tường lửa Firewall dược chia làm dạng bản:  Bộ lọc (Packet Filters)  Máy phụ vụ ủy nhiệm (Proxy Server) bao gồm: - Cổng ứng dụng (Application Gateway) - Cổng mạch (Circuit level gateway)  Bộ lọc gói có trạng thái (Statefull Packet Filters) 3.1 Bộ lọc gói (Packet Filterling Router) Khi nói đến việc lưu thơng liệu mạng với thơng qua Firewall điều có nghĩa Firewall hoạt động chặ chẽ với giao thức TCP/IP Bộ lọc packet cho phép hay từ chối paket mà nhận Nó kiểm tra toàn đoạn liệu để định xem đoạn liệu có thỏa mãn số luật lệ packet hay không Các luật lệ lọc paket dựa thông tin đầu packet (Packet header) dùng phép truyền paket mạng Đó là: - Địa IP nơi xuất phát (IP Source address) - Địa IP noi nhận (IP Destination address) - Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel) - Cổng TCP/UDP nơi xuất phát - Cổng TCP/UDP nơi nhận - Dạng thông báo ICMP (ICMP message type) - Giao diện packet đến (Incomming interface of packet) - Giao diện packet (Outcomming interface of packet) Nếu luật lệ lọc packet thỏa mãn paket chuyển qua Firewall Nếu không thỏa mãn, packet bị bỏ Nhờ mà Firewall ngăn cản kết nối vào máy chủ mạng xác định, khóa việc truy cập vào hệ thống mạng nội từ địa không cho phếp Hơn nữa, việc kiểm sốt cổng làm cho Firewall có khả cho phép số loại kết nối định vào loại máy chủ đó, có dịch vụ (Telnet, SMTP, FTP…) phép chạy hệ thống mạng cục  Ưu điểm: - Đa số hệ thống Firewall sử dụng lọc packet Một ưu điểm phương pháp dùng lọc paket chi phí thấp chế lọc paket bao gồm phần mềm Router - Ngoài lọc packet suốt người sử dụng ứng dụng, khơng u cầu huấn luyện, đào tạo đặc biệt  Nhược điểm: - Việc định nghĩa chế độ lọc packet việc phức tạp, đòi hỏi người quản trị mạng cần có hiểu biết chi tiết dịch vụ Internet, dạng packet header, giá trị cụ thể nhận trường Khi đòi hỏi lọc lớn, luật lọc trở lên dài phức tạp, khó để quản lý điều khiển - Do làm việc dựa header packet, rõ ràng lọc packet khơng kiểm sốt nội dung thơng tin packet Các packet chuyển qua mang theo hành động với ý đồ lấy cắp thông tin hay phá hoại kẻ xấu 3.2 Cổng ứng dụng (Application-level gateway) Đây loại Firewall thiết để tăng cường chức kiểm soát loại dịch vụ, giao thức phép truy cập vào hệ thống Cơ chế hoạt động dựa thức gọi Proxy service Procy service mã đặc biệt cài đặt gateway cho ứng dụng Nếu người quản lý mạng không cài đặt Proxy code cho ứng dụng đó, dịch vụ tương ứng khơng cung cấp khơng thể chuyển thơng tin qua Firewall Ngồi ra, Proxy code định cấu hình để hỗ trợ số đặc điểm ứng dụng mà người quản trị mạng cho chấp nhận từ chối đặc điểm khác Một số ứng dụng thường coi pháo đài (Bastion host), thiết kế đặc biệt để chống lại công từ bên Những biện pháp đảm bảo an toàn an ninh mạng bastion host là: - Bastion host ln chạy version an tồn (Secure version) phần mềm hệ thống Các Version an toàn thiết kế chuyên cho mục đích chống lại cơng vào Openrating System, đảm bảo tích hợp Firewall - Chỉ dịch vụ mà người quản trị mạng cho cần thiết cài đặt bastion hót, đơn giản dịch vụ khơng cài đặt , khơng thể bị công Thông thường, số giới hạn ứng dụng cho dịch vụ telnet, DNS, FTP, SMTP xác thực user cài đặt bastion host - Bastion host yêu cầu nhiều mức độ xác thực khác nhau, ví dụ như: use name, password hay smart card - Mỗi proxy đặt cấu hình phép truy nhập số máy chủ định Điều có nghĩa lệnh đặc điểm thiết lập cho proxy với số máy chủ toàn hệ thống - Mỗi proxy trì nhật ký ghi chếp lại tồn chi tiết giao thơng qua nó, kết nối, khonagr thời gian kết nối Nhật ký có ích việc tìm theo dấu vết hay ngăn chặn - Mỗi proxy độc lập với proxies khác bastion host Điều cho phép dễ dàng trình cài đặt proxy mới, hay thao gỡ proxy có vấn đề  Ưu điểm: - Cho phép người quản trị mạng hoàn toàn điều khiển dịch vụ mạng, ứng dụng proxy hạn chế lệnh định máy chủ truy cập dịch vụ - Cho phép người quản trị mạng hoàn toàn điều khiển dịch vụ cho phép, vắng mặt proxy cho dịch vụ tương ứng có nghĩa dịch vụ bị khóa - Cổng ứng dụng cho phép kiểm tra độ xác thực tốt, có nhật ký ghi chép lại thông tin truy nhập hệ thống - Luật lệ lọc Filltering cho cổng ứng dụng dễ dàng cấu hình kiểm tra so với bọ lọc packet  Nhược điểm: - Yêu cầu user thay đổi thao tác, thay đổi phần mềm cài đặt máy client cho truy nhập vào dịch vụ proxy Chẳng hạn, dịch vụ telnet truy nhập qua cổng ứng dụng đòi hỏi hai bước để nối với máy chủ bước Tuy nhiên có số phần mềm client cho phép chạy ứng dụng cổng ứng dụng suốt cách cho phép user máy đích cổng ứng dụng Telnet 3.3 Cổng vòng (Circuit-level Gateway)  Nguyên lý: - Cổng vòng chức đặc biệt thực cổng ứng dụng Cổng vòng đơn giản chuyển tiếp (relay) kết nối TCP không thực hành động xử lý hay lọc packet - Cổng vòng làm việc sợi dây chép byte kết nối bên (inside connection) kết nối bên (outside connection) Tuy nhiên kết nối xuất từ hệ thống Firewall, che dấu thơng tin mạng nội - Cổng vòng thường sử dụng cho kết nối , nơi mà người quản trị mạng thật tin tưởng người dùng bên - Ưu điểm lớn bastion host cấu hỗn hợp cung cấp cổng ứng dụng cho kết nối đến, cổng vòng cho kết nối Điều làm cho hệ thống tường lửa dễ dàng sử dụng cho người mạng nội muốn trực tiếp truy nhập tới dịch vụ Internet, cung cấp chức tường lửa để bảo vệ mạng nội từ công bên 10 TÀI LIỆU THAM KHẢO [1] https://tailieu.vn/doc/firewall-phan-loai-chuc-nang-va-cau-tao 275160.html [2] https://us.norton.com/internetsecurity-emerging-threats-what-is-firewall.html [3] https://en.wikipedia.org/wiki/Firewall_(computing) [4] https://quantrimang.com/tong-quan-ve-firewall-84474 11 ... I Tìm hiểu tường lửa Tổng quan tường lửa Firewall Phân loại tường lửa 2.1 Tường lửa cứng .3 2.2 Tường lửa mềm .4 Các kiến trúc tường lửa. .. loại tường lửa 2.1 Tường lửa cứng Tường lửa phần cứng thiết bị vật lý triển khai để thực thi ranh giới mạng Tất liên kết mạng vượt qua ranh giới qua tường lửa Điều đồng nghĩa với việc tường lửa. .. chuyên gia 2.2 Tường lửa mềm Tường lửa phần mềm triển khai Code máy tính Tường lửa phần mềm bao gồm tường lửa tích hợp hệ điều hành thông thường thiết bị ảo có đầy đủ chức tường lửa phần cứng