2. C
ONTENTS
Nội dung
1. Definition - Các định nghĩa
2. Types of Firewalls - Các kiểu tường lửa
3. The Demilitarized Zone (DMZ) - Vùng ‘phi quân sự’
4. Improving Security Through the Firewall - Tăng cường an toàn bảo mật
với tường lửa
5. Firewall Services and Limitations - Những dịch vụ và hạn chế của
tường lửa
3. F
IREWALL
1. Definition – Định nghĩa
• Trong mạng máy tính, Firewall (tường lửa) là rào chắn mà một số cá
nhân, tổ chức, thiết lập nhằm ngăn chặn người dùng truy xuất các thông
tin không mong muốn trên Internet hoặc/và ngăn chặn người dùng từ bên
ngoài truy nhập các thông tin bảo mật nằm trong mạng nội bộ.
• Tường lửa là một thiết bị phần cứng và/hoặc một phần mềm hoạt động
trong một môi trường máy tính nối mạng để ngăn chặn một số kết nối bị
cấm bởi chính sách an ninh của cá nhân hay tổ chức. Tường lửa còn
được gọi là Thiết bị bảo vệ biên giới (Border Protection Device – BPD) hay
bộ lọc gói tin (packet filter).
• Nhiệm vụ cơ bản của tường lửa là kiểm soát lưu thông dữ liệu giữa hai
vùng tin cậy khác nhau. Các vùng tin cậy (zone of trust) điển hình bao
gồm: mạng Internet (vùng không đáng tin cậy) và mạng nội bộ (một vùng
có độ tin cậy cao). Mục đích cuối cùng là cung cấp kết nối có kiểm soát
giữa các vùng với độ tin cậy khác nhau thông qua việc áp dụng một chính
sách an ninh và mô hình kết nối dựa trên nguyên tắc quyền tối thiểu
(principle of least privilege).
4. F
IREWALL
1. Definition – Định nghĩa
• Mạng internet ngày càng phát triển và phổ biến rộng khắp mọi nơi, lợi ích
của nó rất lớn. Tuy nhiên cũng có rất nhiều ngoại tác không mong muốn
đối với các cá nhân là cha mẹ hay tổ chức như các trang web không phù
hợp lứa tuổi, nhiệm vụ, lợi ích, đạo đức, pháp luật hoặc trao đổi thông tin
bất lợi cho cá nhân, doanh nghiệp... Do vậy họ (các cá nhân, tổ chức) sử
dụng tường lửa để ngăn chặn.
• Để ngăn chặn các trang web không mong muốn, các trao đổi thông tin
không mong muốn người ta dùng cách lọc các địa chỉ web không mong
muốn mà họ đã tập hợp được hoặc lọc nội dung thông tin trong các trang
thông qua các từ khóa để ngăn chặn những người dùng không mong
muốn truy cập vào mạng và cho phép người dùng hợp lệ thực hiện việc
truy xuất.
• Tường lửa có thể là một thiết bị định hướng (Router, một thiết bị kết nối
giữa hai hay nhiều mạng và chuyển các thông tin giữa các mạng này) hay
trên một máy chủ (Server), bao gồm phần cứng và/hoặc phần mềm nằm
giữa hai mạng (chẳng hạn mạng Internet và mạng của các gia đình, tổ
chức)
5. F
IREWALL
1. Definition – Định nghĩa
• Theo định nghĩa, "tường lửa" là một bộ lọc các gói tin theo cả hai chiều
vào và ra hệ thống máy tính. Đa số những tường lửa thực hiện hai chức
năng:
1. Packet filtering based: Lọc các gói tin dựa vào các chính sách an toàn
bảo mật hiện có là chấp nhận (allow) hay từ chối (deny).
2. Application proxy gateways: cổng uỷ nhiệm ứng dụng, cung cấp những
dịch vụ cho người sử dụng đồng thời cũng bảo vệ các máy tính bên
trong mạng.
6. F
IREWALL
2. Types of Firewalls - Các kiểu tường lửa
• Có 5 kiểu tường lửa:
1. Packet Inspection : kiểm tra gói tin , là một bộ các quy tắc cho phép
hay khóa các gói tin truyền trên mạng.
2. Application Proxy Server: cung cấp các dịch vụ được phép sử dụng
3. VPN (Virtual Private Networks): bảo mật các kết nối trên nền tảng
Internet
4. Tường lửa dùng cho doanh nghiệp nhỏ SOHO (Small Office Home
Office)
5. NAT (Network Address Translate): dịch và hướng địa chỉ
7. F
IREWALL
2. Types of Firewalls - Các kiểu tường lửa
• Stateless filtering: Không kiểm tra mỗi gói IP trong ngữ cảnh
• Static filtering: Chúng kiểm tra mỗi gói IP trong ngữ cảnh: giữ vết theo dõi
với các kỳ client-server, kiểm tra từng gói đúng thuộc vào một phiên. Có
khả năng tốt hơn phát hiện các gói giả tách khỏi ngữ cảnh.
2.1. Packet Inspection Firewalls - Tường lửa kiểm
tra/lọc gói tin
8. F
IREWALL
2. Types of Firewalls - Các kiểu tường lửa
1. Source address – địa chỉ nguồn: Các gói tin đi ra (outgoing) phải có
địa chỉ nguồn là địa chỉ trong mạng (internal), các gói tin đi vào
(incoming) có địa chỉ nguồn không phải là địa chỉ trong mạng.
2. Destination address – địa chỉ đích: Các gói tin đi ra không có địa chỉ
đích là địa chỉ trong mạng, các gói tin đi vào phải có địa chỉ đích là địa
chỉ trong mạng
3. Số hiệu cổng nguồn và cổng đích khi dùng TCP hoặc UDP
4. Kiểu thông điệp ICMP
5. Dữ liệu của gói tin
6. Số hiệu phiên, dữ liệu và bit ACK TCP
2.1. Packet Inspection Firewalls - Tường lửa kiểm
tra/lọc gói tin
9. F
IREWALL
2. Types of Firewalls - Các kiểu tường lửa
2.1. Packet Inspection Firewalls - Tường lửa kiểm
tra/lọc gói tin
2.1.1. IP Address Filtering – Lọc địa chỉ IP
Application
Protocol
Source IP Destination IP Action
HTTP Any 192.168.1.2 Allow
FTP Any 192.168.1.3 Allow
Telnet Any 192.168.1.4 Deny
10. F
IREWALL
2. Types of Firewalls - Các kiểu tường lửa
2.1. Packet Inspection Firewalls - Tường lửa kiểm
tra/lọc gói tin
2.1.2. TCP and UDP Port Filtering - Lọc cổng TCP và
UDP
Application Protocol Destination Port Action
HTTP TCP 80 Allow
SSL UDP 443 Allow
Telnet TCP 23 Deny
11. F
IREWALL
2. Types of Firewalls - Các kiểu tường lửa
2.1. Packet Inspection Firewalls - Tường lửa kiểm
tra/lọc gói tin
2.1.3. Packet Filtering Based on Initial Sequence
Numbers (ISN) and Acknowledgement (ACK) Bits -
Lọc gói tin trên cơ sở ISN và bit ACK
• Có thể điều khiển truy nhập được thực hiện bởi việc theo dõi bit ACK. Sử
dụng những bit ACK này có thể giới hạn những dữ liệu đầu vào chỉ là
những gói trả lời. Điều này có nghĩa rằng một hệ thống từ xa hay một
hacker không thể bắt đầu một kết nối TCP mà chỉ có thể chỉ trả lời những
gói tin đã được gửi tới nó.
• Tuy nhiên, những gói UDP không có bit ACK. Điều này cũng đúng khi
khởi tạo kết nối FTP. Những ứng dụng như vậy không thể chạy được qua
một tường lửa lọc bit ACK.
ISN Destination Address Port ACK Action
15 192.168.1.2 80 0 Deny
16 192.168.1.3 80 1 Allow
12. F
IREWALL
2. Types of Firewalls - Các kiểu tường lửa
2.1. Packet Inspection Firewalls - Tường lửa kiểm
tra/lọc gói tin
2.1.3. Packet Filtering Based on Initial Sequence
Numbers (ISN) and Acknowledgement (ACK) Bits -
Lọc gói tin trên cơ sở ISN và bit ACK
• Có thể điều khiển truy nhập được thực hiện bởi việc theo dõi bit ACK. Sử
dụng những bit ACK này có thể giới hạn những dữ liệu đầu vào chỉ là
những gói trả lời. Điều này có nghĩa rằng một hệ thống từ xa hay một
hacker không thể bắt đầu một kết nối TCP mà chỉ có thể chỉ trả lời những
gói tin đã được gửi tới nó.
• Tuy nhiên, những gói UDP không có bit ACK. Điều này cũng đúng khi
khởi tạo kết nối FTP. Những ứng dụng như vậy không thể chạy được qua
một tường lửa lọc bit ACK.
ISN Destination Address Port ACK Action
15 192.168.1.2 80 0 Deny
16 192.168.1.3 80 1 Allow
13. F
IREWALL
2. Types of Firewalls - Các kiểu tường lửa
2.1. Packet Inspection Firewalls - Tường lửa kiểm
tra/lọc gói tin
2.1.2. Problems with Packet Filtering Firewalls – Các vấn
đề phát sinh với tường lửa lọc gói tin
• UDP Port Filtering: Do đặc tính của gói tin UDP là broadcast và không có
bit ACK. Một giải pháp có thể là từ chối tất cả các gói tin đi vào (incoming)
nhưng chấp nhận tất cả các gói tin đi ra (outgoing). Tất nhiên chính sách
này có thể gây ra những vấn đề tới một số người sử dụng mạng bởi vì có
một số dịch vụ sử dụng UDP như NFS, NTP, DNS, WINS, NetBIOS- over-
TCP/IP và ứng dụng như IRC
• Không hỗ trợ kiểm soát lưu lượng VPN
• Việc giả mạo/ẩn địa chỉ
• Không có bất kỳ sự kiểm tra tính sự hợp lệ về giao thức ở của bên trong
gói.
14. F
IREWALL
2. Types of Firewalls - Các kiểu tường lửa
2.2. Application Proxy Server: Filtering Based on
Known Services – Cổng giao tiếp chuyên dùng cho
ứng dụng: Lọc trên cơ sở các dịch vụ đã biết
• Proxy là một server làm nhiệm vụ chuyển tiếp thông tin và kiểm soát tạo
sự an toàn cho việc truy cập Internet của các máy trạm
• Những yêu cầu của người sử dung sẽ qua trung gian proxy server thay
thế cho server thật sự mà người sử dụng cần giao tiếp, tại điểm trung gian
này người ta kiểm soát được mọi giao tiếp từ bên trong ra ngoài internet
và từ internet vào mạng bên trong của công ty. Sử dụng Proxy, công ty có
thể cấm nhân viên truy cập những địa chỉ web không cho phép, cải thiện
tốc độ truy cập nhờ sự lưu trữ cục bộ các trang web trong bộ nhớ của
proxy server và giấu định danh địa chỉ của mạng nội bộ gây khó khăn cho
việc thâm nhập từ bên ngoài vào các máy của công ty.
15. F
IREWALL
2. Types of Firewalls - Các kiểu tường lửa
2.2. Application Proxy Server: Filtering Based on
Known Services – Cổng giao tiếp chuyên dùng cho
ứng dụng: Lọc trên cơ sở các dịch vụ đã biết
• Proxy server có các đặc tính:
1. Che giấu địa chỉ, các địa chỉ bên trong mạng gửi một yêu cầu
ứng dụng tới tường lửa và tường lửa sẽ gửi yêu cầu đến với bên
ngoài. Vì thế bên ngoài sẽ chỉ nhìn thấy địa chỉ IP tường lửa mà
không thấy IP của các máy bên trong.
2. Header của các gói tin được sửa lại để bên ngoài chỉ thấy địa chỉ
của tường lửa, điều này ngăn chặn các tấn công dưa và header
của gói tin.
3. Chỉ ra các giao thức bắt buộc, tường lửa kiểm tra gói để cho phép
những gói thông qua dựa vào dịch vụ (port) cung cấp, chỉ giải
quyết yều cầu từ một vài ứng dụng chỉ định
• Có 2 loại tường lửa là: application proxy và SOCKS proxy
16. F
IREWALL
2. Types of Firewalls - Các kiểu tường lửa
2.2. Application Proxy Server: Filtering Based on
Known Services – Cổng giao tiếp chuyên dùng cho
ứng dụng: Lọc trên cơ sở các dịch vụ đã biết
2.2.1. Application Proxy – Cổng giao tiếp chuyên dùng
cho ứng dụng
17. F
IREWALL
2. Types of Firewalls - Các kiểu tường lửa
2.2. Application Proxy Server: Filtering Based on
Known Services – Cổng giao tiếp chuyên dùng cho
ứng dụng: Lọc trên cơ sở các dịch vụ đã biết
2.2.2. SOCKS – Cổng giao tiếp mức mạch vòng
• Một ví dụ proxy server cho ứng dụng Web cung cấp các dịch vụ:
1. HTTP (port 80)
2. FTP (port 20 and 21)
3. SSL (port 443)
4. Gopher (port 70)
5. Telnet (port 23)
6. Mail (port 25)
• Những tường lửa mới, cung cấp sẵn các proxies: HTTP/Secure HTTP,
FTP, SSL, Gopher, Email, Telnet một vài dịch vụ khác. Các tường lửa này
làm việc cả hai chiều vào-ra của mạng.
18. F
IREWALL
2. Types of Firewalls - Các kiểu tường lửa
2.2. Application Proxy Server: Filtering Based on
Known Services – Cổng giao tiếp chuyên dùng cho
ứng dụng: Lọc trên cơ sở các dịch vụ đã biết
2.2.2. SOCKS – Cổng giao tiếp mức mạch vòng
• SOCKS là một giao thức Internet cho phép những ứng dụng khách/chủ
làm việc một cách trong suốt khi khai thác các dịch vụ sau tường lủa.
• Những client đằng sau tường lửa cần truy nhập đến server, có thể nối tới
SOCKS proxy. SOCKS proxy sẽ kiểm soát truy cập của client và chuyển
yêu cầu đến server. SOCKS proxy có thể làm việc hai chiều,, cho phép
những client bên ngoài tường lửa có thể nối đến server bên trong tường
lửa.
•Chuyển tiếp 2 kết nối TCP. Có sự an toàn bằng cách hạn chế các kết nối
cho phép. Các chuyển tiếp thông thường không kiểm tra nội dung. Thông
thường được sử dụng khi tin cậy người sử dụng bên trong bằng cách cho
phép các kết nối ra ngoài nói chung. Gói SOCKS được sử dụng rộng rãi
cho mục đích này.
19. F
IREWALL
2. Types of Firewalls - Các kiểu tường lửa
2.2. Application Proxy Server: Filtering Based on
Known Services – Cổng giao tiếp chuyên dùng cho
ứng dụng: Lọc trên cơ sở các dịch vụ đã biết
2.2.2. SOCKS – Cổng giao tiếp mức mạch vòng
20. F
IREWALL
2. Types of Firewalls - Các kiểu tường lửa
2.3. Virtual Private Network (VPN) Firewalls – Tường lửa
VPN
21. F
IREWALL
2. Types of Firewalls - Các kiểu tường lửa
2.4. Small Office or Home (SOHO) Firewalls – Tường lửa
SOHO
22. F
IREWALL
2. Types of Firewalls - Các kiểu tường lửa
2.5. NAT Firewalls – Tường lửa NAT
25. F
IREWALL
5. Firewall Services and Limitations - Những dịch vụ và
hạn chế của tường lửa
5.1. Firewall Services - Những dịch vụ của tường lửa
• Điều khiển dịch vụ: tường lửa có thể lọc trên cơ sở những địa chỉ IP,
TCP, UDP, port, cung cấp phần mềm uỷ nhiệm cho mỗi dịch vụ yêu cầu
đến nó.
• Điều khiển hướng cho phép của những yêu cầu.
• Kiểm soát người dùng theo các quyền được gán
• Kiểm soát hành vi: truy nhập nào được ban được dựa vào những dịch vụ
đã biết
26. F
IREWALL
5. Firewall Services and Limitations - Những dịch vụ và
hạn chế của tường lửa
5.2. Firewall Limitations - Những hạn chế của tường lửa
• Tường lửa không bảo vệ chống lại mối đe dọa vượt qua nó, như dùng IP
động/che giấu.
• Tường lửa không cung cấp sự toàn vẹn dữ liệu.
• Tường lửa không bảo đảm tính bí mật dữ liệu.
• Tường lửa không bảo vệ chống lại những đe dọa từ bên trong
• Tường lửa không bảo vệ chống lại những chương trình được lây lan bởi
virus.