TƯỜNG LỬA CÓ TRẠNG THÁI VÀ TƯỜNG LỬA PHI TRẠNG THÁI (STATELESS FIREWALL STATEFUL FIREWALL).

Một phần của tài liệu BÁO CÁO BÀI TẬP LỚN MÔN MẠNG NÂNG CAO ĐỀ TÀI TƯỜNG LỬA FIREWALL (Trang 28)

1. Tường lửa phi trạng thái (staleless firewall).

• Tường lửa là một phần quan trọng nhất của hệ thống an ninh mạng, bởi vì hầu hết lưu lượng dữ liệu thông qua chúng, trong đó tường lửa phi trạng thái là cơ bản nhất và phổ biến nhất của các loại tương lửa, nó là thệ hệ tiếp theo của tường lửa lọc gói tin.

• Tường lửa phi trạng thái theo dõi lưu lượng và so sánh gói tin với quy tắc từ cơ sở dữ liệu của nó, cho phép nhận những gói tin dựa trên địa chỉ nguồn và cổng từ những mạng tin cậy.

• Được giới thiệu để tạo nên nhiều sự linh hoạt hơn cho việc cấu hình mạng, đồ thị trên cung cấp mức độ theo dõi của stateless firewall, nó theo dõi đến lớp thứ 3 của mô hình OSI tức là lớp mạng , theo dõi thông tin trên mạng dựa trên địa chỉ IP nguồn và địa chỉ đích và giao thức giữa cổng nguồn và -cổng đích.

• Không quan tâm tới cờ IP, chúng xem xét một kết nối đến cổng số 80 trên máy chủ web cho nó qua và báo cáo, nó cũng không thể ngừng máy chủ web từ một kết nối từ một nơi nào đó sử dụng cổng 80 như một cổng nguồn.

• Cho phép kết nối trực tiếp từ một mạng bên ngoài đến máy chủ bên trong và được tích hợp phần mềm cấu hình router hoặc hệ điều hành nguồn mở.

• Phân tích một các gói tin đến tách biệt và độc lập với kết nối TCP và dòng dữ liệu nó theo sau.

• Nó không thể nhận biết được các gói trước đó vốn tạo ra sự nguy hiểm từ những cuộc tấn công lừa đảo IP, trừ khi chúng có thiết lập chuyên biệt để ngăn cản điều đó.

• Đặc điểm bảo mật không đầy đủ.

• Có chi phí thấp và tôc độ xử lý cao, giá thành rẻ

2. Tường lửa có trạng thái (stateful firewall).

• Ra đờitrước bức tường lửa trạng thái là bức tường lửa phi trạng thái cô lập với mỗi khung hình mạng (gói). Bộ lọc gói tin này hoạt động ở lớp mạng (lớp 3) và hoạt động hiệu quả hơn bởi vì chúng chỉ nhìn vào phần header của gói tin.

• Ví dụ cổ điển của một hoạt động mạng có thể thất bại với một bức tường lửa phi trạng thái là File Transfer Protocol (FTP). Theo thiết kế, các giao thức như vậy cần để có thể mở các kết nối đến cổng cao tùy ý để hoạt động chính xác.Khi một bức tường lửa phi trạng thái không có cách nào biết được rằng các gói tin đến mạng lưới bảo vệ là một phần của một phiên FTP hợp pháp, nó sẽ thả các gói tin. Tường lửa trạng thái giải quyết vấn đề này bằng cách duy trì một bảng kết nối mở và kết hợp thông minh các yêu cầu kết nối mới với kết nối hợp pháphiện tại.

• Người phát minh ra các bức tường lửa trạng thái thường được tham gia vào Nir Zuk và nhóm nghiên cứu của ông tại điểm kiểm tra vào giữa những năm 1990.Nỗ lực đầu tiên sản xuất tường lửa hoạt động ở lớp ứng dụng, đó là phần đầu của mô hình OSI bảy lớp. Phương pháp này yêu cầu chi phí quá cao trong tính toán và hiếm khi được sử dụng trong việc triển khai hiện đại. Một bức tường lửa trạng thái có thể tổ chức các thuộc tính quan trọng của mỗi kết nối trong bộ nhớ, từ đầu đến cuối. Những thuộc tính này, được gọi là trạng thái của kết nối, có thể bao gồm các chi tiết như địa chỉ IP và cổng liên quan đến kết nối và số thứ tự của các gói dữ liệu đi qua kết nối. Việc kiểm tra CPU chuyên sâu nhất được thực hiện tại thời gian thiết lập kết nối. Tất cả các gói sau đó được xử lý nhanh chóng bởi vì nó rất đơn giản và nhanh chóng để xác định xem nó thuộc về một phiên đã tồn tại chưa trước khi sàng lọc,. Sau khi phiên đã kết thúc mục của nó trong bảng trạng thái được loại bỏ.

• Các bức tường lửa trạng thái phụ thuộc vào những cái bắt tay ba chiều của giao thức TCP khi các giao thức được sử dụng là TCP, khi các giao thức là UDP, tường lửa trạng thái không phụ thuộc vào bất cứ điều gì liên quan đến TCP. Khi một khách hàng khởi tạo một kết nối mới, nó sẽ gửi một gói dữ liệu với các thiết lập bit SYN trong phần header của gói tin. Tất cả gói dữ liệu với các thiết lập bit SYN được xem xét bởi các bức tường lửa như các kết nối mới. Nếu các dịch vụ mà khách hàng đã yêu cầu có sẵn trên máy chủ, dịch vụ sẽ trả lời các gói tin SYN với một gói tin trong đó có cả SYN và ACK bit được thiết lập. Các khách hàng sau đó sẽ trả lời với một gói tin

trong đó chỉ có bit ACK được thiết lập, và kết nối sẽ nhập vào trạng thái thành lập. Một bức tường lửa sẽ vượt qua tất cả các gói tin gửi đi thông qua, nhưng sẽ chỉ cho phép các gói tin đến nếu chúng là một phần của một kết nối thành lập, các tin tặc có thể bắt đầu các kết nối không mong muốn với máy được bảo vệ.

• Để ngăn chặn các bảng trạng thái tự làm đầy lên, phiên thời gian ra nếu không có lưu lượng truy cập được thông qua trong một thời gian nhất định. Những kết nối cũ được loại bỏ từ bảng trạng thái. Do đó, nhiều ứng dụng gửi thông báo keepalive định kỳ để ngăn chặn bức tường lửa từ bỏ các kết nối trong thời gian không hoạt động với người sử dụng, mặc dù một số bức tường lửa có thể được hướng dẫn để gửi thông báo này cho các ứng dụng. Nhiều bức tường lửa trạng thái có thể theo dõi trạng thái của dòng chảy trong các giao thức kết nối. UDP lỗ đục lỗ là kỹ thuật kết hợp với UDP. Phiên như vậy thường có được trạng thái thiết lập ngay lập tức sau khi các gói tin đầu tiên được nhìn thấy bởi các bức tường lửa. Các phiên trong các giao thức kết nối chỉ có thể kết thúc trong thời gian nghỉ.

• Bằng cách theo dõi trạng thái kết nối, tường lửa trạng thái cung cấp thêm hiệu quả về kiểm tra gói tin. Điều này là bởi vì cho các kết nối có các bức tường lửa chỉ cần kiểm tra bảng trạng thái, thay vì kiểm tra các gói dữ liệu so với bộ quy tắc của tường lửa, có thể được mở rộng. Ngoài ra, khái niệm kiểm tra gói tin sâu là không liên quan đến bức tường lửa trạng thái, bởi vì tính năng trạng thái của nó, kiểm tra lưu lượng truy cập đến chống lại trạng thái của bảng đầu tiên thay vì nhảy vào bộ quy tắc của tường lửa. Trong trường hợp này nếu bảng trạng thái là phù hợp, sau đó nó không cần kiểm tra gói sâu nữa, trạng thái kiểm tra gói thường được đạt được bằng cách sử dụng thiết bị tăng tốc ASIC được thiết kế đặc biệt để xử lý các giao dịch lớp ứng dụng. Tuy nhiên, lọc gói một mình không được coi là cung cấp bảo vệ đủ. Để có hiệu quả ngăn chặn lưu lượng mạng peer-to-peer liên quan đến, những gì cần thiết là một bức tường lửa lọc ứng dụng, có thể được coi là một phần mở rộng để kiểm tra trạng thái gói tin. Kiểm tra trạng thái gói tin có thể xác định loại giao thức đang được gửi qua mỗi cổng, nhưng ở cấp ứng dụng bộ lọc nhìn vào những gì một giao thức được sử dụng cho. Ví dụ, một bộ lọc ứng dụng có thể có thể cho biết sự khác biệt giữa giao thông HTTP được sử dụng để truy cập vào một trang Web và lưu lượng truy cập HTTP được sử dụng để chia sẻ tập tin, trong khi một bức tường lửa mà chỉ được thực hiện lọc gói tin sẽ xử lý tất cả lưu lượng HTTP như nhau.

• Tường lửa ứng dụng khác nhau từ trạng thái gói tin lọc và mạch cấp cổng trong một số cách. Tường lửa lớp ứng dụng hỗ trợ nhiều proxy ứng dụng trên một bức tường lửa duy nhất. Các proxy ngồi giữa máy khách và máy chủ, đi qua các dữ liệu giữa hai thiết bị đầu cuối. Dữ liệu đáng ngờ được giảm xuống và các máy khách và máy chủ không bao giờ giao tiếp trực tiếp với nhau. Proxy ứng dụng có thể được minh bạch cho khách hàng và máy chủ, không có cấu hình yêu cầu trên máy khách hoặc máy chủ, hoặc có thể là không minh bạch, cho phép các địa chỉ máy khách và máy chủ máy chủ proxy trực tiếp. Minh bạch so với không minh bạch là một vấn đề thực hiện và che giấu địa chỉ, chứ không phải là về an ninh.

• Một nhược điểm của các bộ lọc gói tin thuần túy là chúng không có trạng thái, không có bộ nhớ của các gói tin trước đó cái mà làm cho chúng dễ bị tấn công giả mạo. Một bức tường lửa như vậy không có cách nào biết được nếu có gói tin được đưa ra là một phần của kết nối đã tồn tại rồi, cố gắng để thiết lập một kết nối mới, hoặc chỉ là một gói tin giả mạo. Tường lửa hiện đại kết nối để nhận biết và cung cấp cho các quản trị viên mạng lưới

kiểm soát chi tiết hơn của mạng lưới giao thông mạng.

E. TÀI LIỆU THAM KHẢO.

http://vi.wikipedia.org/wiki/T%C6%B0%E1%BB%9Dng_l%E1%BB%ADahttp://en.wikipedia.org/wiki/Firewall_%28computing%29http://en.wikipedia.org/wiki/Application_layer_firewallhttp://en.wikipedia.org/wiki/Stateful_firewallhttp://en.wikipedia.org/wiki/Proxy_serverhttp://en.wikipedia.org/wiki/Network_address_translationhttp://en.wikipedia.org/wiki/Access_control_listhttp://en.wikipedia.org/wiki/Bastion_hosthttp://en.wikipedia.org/wiki/Circuit-level_gatewayhttp://en.wikipedia.org/wiki/Circuit-level_gateway

http://en.wikipedia.org/wiki/Computer_securityhttp://en.wikipedia.org/wiki/Egress_filteringhttp://en.wikipedia.org/wiki/End-to-end_connectivityhttp://en.wikipedia.org/wiki/Firewall_pinholehttp://en.wikipedia.org/wiki/Firewalls_and_Internet_Securityhttp://en.wikipedia.org/wiki/Golden_Shield_Projecthttp://en.wikipedia.org/wiki/List_of_Linux_router_or_firewall_distributionshttp://en.wikipedia.org/wiki/Mangled_packethttp://en.wikipedia.org/wiki/Vulnerability_scannerhttp://en.wikipedia.org/wiki/Packet_%28information_technology%29http://en.wikipedia.org/wiki/Personal_firewallhttp://en.wikipedia.org/wiki/Sandbox_%28computer_security%29http://en.wikipedia.org/wiki/Screened-subnet_firewallhttp://en.wikipedia.org/wiki/Unified_threat_managementhttp://en.wikipedia.org/wiki/Virtual_firewallhttp://www.faqs.org/faqs/firewalls-faq/http://en.wikipedia.org/wiki/Iptables

Một phần của tài liệu BÁO CÁO BÀI TẬP LỚN MÔN MẠNG NÂNG CAO ĐỀ TÀI TƯỜNG LỬA FIREWALL (Trang 28)

(32 trang)