Tài liệu trình bày về tường lửa (firewall), lịch sử và các thế hệ phát triển của nó từ năm 1980 đến 1994, cũng như vai trò của firewall trong việc bảo vệ hệ thống mạng khỏi các truy cập trái phép. Nó phân loại firewall thành phần cứng và phần mềm, nêu rõ các ưu nhược điểm, và giới thiệu các kiến trúc như dual-homed, screened host và screened subnet. Cuối cùng, tài liệu nhấn mạnh rằng tường lửa chỉ là một phần trong hệ thống bảo vệ mạng cần phối hợp với nhiều biện pháp an toàn khác.

1. BÀI THUYẾT TRÌNH: TÌM HIỂU VỀ FIREWALL
Danh sách nhóm :
1. Nguyễn Kim Nhung
2. Trương Thành Luân
3. Nguyễn Thị Huế
4. Phạm Kiều Oanh
Giáo viên :
Bộ môn : Mạng máy tính
Lớp Tin kinh tế K55

2. Firewall
• Năm 1980 công nghệ tường lửa
hoạt động
• Năm 1988 Jeff Mogul thuộc Digital
Equipment Corp phát triển hệ
thống tường lửa lọc gói tin
• Từ năm 1980 tới 1990 hệ thống
tường lửa thứ 2 và thứ 3 lần lượt
ra đời
• Năm 1992 Bob Braden và Annette
DeSchon đã phát triển hệ thống
tường lửa gói lọc tin thế hệ thứ tư
“Visas”
• Năm 1994, FireWall-1 ra đời. Một
thế hệ thứ hai của các tường lửa
proxy đã được dựa trên công nghệ
Kernel Proxy.
• Firewall là một kỹ thuật được
tích hợp vào hệ thống mạng để
chống lại sự truy cập trái phép
• nhằm bảo vệ các nguồn thông
tin nội bộ cũng như hạn chế sự
xâm nhập vào hệ thống của một
số thông tin khác không mong
muốn.
• Firewall là một ứng dụng chạy
giữa mạng cá nhân và Internet.

3. Mục đích của firewall
• Để tránh gây thiệt hại trên hệ
thống mạng
• Tránh những cuộc tấn công
trộm cắp phá hoại thông tin
• Gây suy yếu hoàn toàn hệ
thống, các dữ liệu bị
xóa, thông tin bị rò rỉ, sự riêng
tư bị xâm phạm, hệ thống tê
liệt
Sử dụng nhiều Firewall nhằm tăng khả năng
bảo mật

4. Các lựa chọn firewall
Firewall phần cứng
Là những firewall được tích hợp trên bộ
định tuyến
Đặc điểm:
• Sử dụng có hiệu quả trong việc
bảo vệ nhiều máy tính mà vẫn
có mức bảo mật cao cho một
máy tính đơn.
• Không được linh hoạt như
firewall phần mềm (Không thể
thêm chức năng, thêm quy tắc
như firewall phần mềm).
• Firewall phần cứng hoạt động ở
tầng thấp hơn firewall phần
mềm (Tầng network và tầng
transport ).
• Firewall phần cứng không thể
kiểm tra được nội dung của gói
tin.

5. Các lựa chọn firewall
Firewall phần mềm
Là những firewall được cài
đặt trên máy chủ (server)
Đặc điểm:
• Tính linh hoạt cao: có thể
thêm bớt các chức năng
• Hoạt động ở tầng cao hơn
firewall phần cứng
• Có thể kiểm tra được nội
dung các gói tin

6. Những gì Firewall làm
Chức năng chính của Firewall:
• Là kiểm soát luồng thông tin từ
giữa Intranet và Internet.
• Thiết lập cơ chế điều khiển dòng
thông tin giữa mạng bên trong
(Intranet) và mạng Internet
Firewall bảo vệ những vấn đề gì:
• Bảo vệ dữ liệu
• Bảo vệ tài nguyên hệ thống
• Danh tiếng của các công ty sở
hữu các thông tin cần bảo vệ

7. Firewall bảo vệ chống lại những vấn đề gì
• Chống lại việc Hacking
• Chống lại việc sửa đổi mã
• Từ chối các dịch vụ đính kèm
• Tấn công trực tiếp
• Nghe trộm
• Vô hiệu hoá các chức năng của
hệ thống (Deny service)
• Lỗi người quản trị hệ thống
• Yếu tố con người

8. Mô hình và nguyên lí hoạt
động của firewall
Các thành phần của
firewall
+ Bộ lọc packet ( packet-
filtering router ).
+ Cổng ứng dụng (
Application-level gateway
hay proxy server ).
+ Cổng mạch ( Circuite
level gateway ).

9. Bộ lọc paket ( Paket filtering router )
Application
Presentation
Session
transport
Network
Data Link
PHY
• Firewall hoạt động chặt chẽ với
giao thức TCI/IP ,chúng chia nhỏ
các dữ liệu nhận được thành
các gói dữ liệu
• Mỗi gói được so sánh với tập
hợp các tiêu chí trước khi được
chuyển riếp
• Những bức tường này thường
chứa ACL
Ưu điểm Nhược điểm
• Chi phí thấp
• Không yêu cầu sự
huấn luyện đặc
biệt nào
• Việc định nghĩa
các chế độ lọc
package là một
việc khá phức tạp
• bộ lọc packet
không kiểm soát
được nôi dung
thông tin của
packet

10. Cổng ứng dụng ( application-level getway )
Cổng ứng dụng được thiết kế như
một pháo đài với những biện pháp
đảm bảo an ninh :
• luôn chạy các version an toàn
(secure version) của các phần
mềm hệ thống
• Chỉ những dịch vụ mà người
quản trị mạng cho là cần thiết
mới được cài đặt trên bastion
host
• Bastion host có thể yêu cầu
nhiều mức độ xác thực khác
nhau
• Mỗi proxy được đặt cấu hình để
cho phép truy nhập chỉ một sồ
các máy chủ nhất định
• Mỗi proxy duy trì một quyển
nhật ký
• Mỗi proxy đều độc lập với các
proxies khác trên bastion host
• Ưu điểm • Nhược điểm
• Cho phép người quản
trị mạng điều khiển
được từng dịch vụ trên
mạng
• cho phép kiểm tra độ
xác thực rất tốt
• Luật lệ lọc filltering dễ
dàng cấu hình và kiểm
tra hơn so với bộ lọc
packet
• Yêu cầu các users thay
đổi thao tác, hoặc thay
đổi phần mềm đã cài
đặt trên máy client
cho truy nhập vào các
dịch vụ proxy.

11. Cổng vòng ( circuit-Level Gateway )
• Là một chức năng đặc biệt có
thể thực hiện được bởi một
cổng ứng dụng
• chuyển tiếp các kết nối TCP mà
không thực hiện bất kỳ một
hành động xử lý hay lọc packet
• Cổng vòng thường được sử
dụng cho những kết nối ra
ngoài, nơi mà các quản trị
mạng thật sự tin tưởng những
người dùng bên trong
• Một bastion host có thể được
cấu hình như là một hỗn hợp
cung cấp cổng ứng dụng cho
những kết nối đến, và cổng
vòng cho các kết nối đi.

12. Kiến trúc của Firewall
Contain:
• Kiến trúc Dual – homed
Host
• Kiến trúc Screened Host
• Kiến trúc Screened
Subnet Host

13. Kiến trúc Dual – homed Host
• Là hình thức xuất hiện
đầu tiên trong cuộc
đấu để bảo vệ mạng
nội bộ
• Là một máy tính có hai
giao tiếp mạng
• Để làm việc được với
một máy trên
Internet, người dùng ở
mạng cục bộ trước hết
phải login vào Dual–
homed Host, và từ đó
bắt đầu phiên làm
việc.

14. Kiến trúc Dual - homed
Host
Những đánh giá về kiến trúc dual- homed
host :
• Để cung cấp dịch vụ cho những người sử
dụng internal network
• Cấp các account cho user trên máy dual–
homed host này-> gây phiền phức cho user
• Kết hợp với các Proxy Server cung cấp
những Proxy Service -> khó có thể cung cấp
• Dễ bị tấn công nên chỉ thích hợp khi dùng
với mạng nhỏ.
Ưu điểm:
• Cài đặt dễ dàng, không
yêu cầu phần cứng hoặc
phần mềm đặc biệt.
• Chỉ yêu cầu cấm khả
năng chuyển các gói tin
Nhược điểm:
• Không đáp ứng được
những yêu cầu bảo mật
ngày càng phức tạp, cũng
như những hệ phần mềm
mới được tung ra thị
trường.
• Không có khả năng chống
đỡ những cuộc tấn công
nhằm vào chính bản thân
nó

15. Kiến trúc Screened Host
• Kết hợp 2 kỹ thuật đó là
Packet Filtering và Proxy
Services.
• Kiến trúc screened host
hay hơn kiến trúc dual–
homed host khi đã tách
chức năng lọc các gói IP và
các Proxy Server ở hai máy
riêng biệt
• Cũng tương tự như kiến
trúc Dual–Homed Host khi
mà Packet Filtering system
cũng như Bastion Host
chứa các Proxy Server bị
đột nhập vào thì lưu thông
của internal network bị
người tấn công thấy.

16. Kiến trúc Screened subnet host
• Độ an toàn cao nhất vì nó
cung cấp cả mức bảo
mật: Network và
Application
• Hợp đối với những hệ
thống yêu cầu cung cấp
dịch vụ nhanh, an toàn cho
nhiều người sử dụng
• Kẻ tấn công cần phá vỡ ba
tầng bảo vệ: Router
ngoài, Bastion Host và
Router trong.
• Router trong chỉ quảng cáo
DMZ Network tới mạng
nội bộ, các hệ thống trong
mạng nội bộ không thể
truy nhập trực tiếp vào
Internet
• Router ngoài chỉ quảng bá
DMZ Network tới
Internet, hệ thống mạng
nội bộ là không thể nhìn
thấy

17. • Không thế ngăn chặn sự xâm nhập của
những nguồn thông tin không mong
muốn nếu không được xác định rõ các
thông số địa chỉ
• Không thể ngăn chặn một cuộc tấn
công nếu cuộc tấn công này không “đi
qua” nó
• Không thể chống lại các cuộc tấn công
bằng dữ liệu (data-driven attack)
• Firewall không thể làm nhiệm vụ và quét
virus trên các dữ liệu được chuyền qua
nó
• Có thể làm chậm kết nối khi xử lý các
thông tin
• Chỉ hữu hiệu đối với những người
không thành thạo kĩ thuật vượt

18. Lựa chọn Firewall
• Cấu hình cho firewall là sự
áp dụng chính sách an toàn
thông tin cho mạng máy
tính của bạn
• Tính năng của một firewall
là tham số cho hình cho
firewall là sự áp dụng chính
sách an toàn thông tin cho
mạng máy tính của bạn
Chính sách chính là chìa khoá để
quản trị firewall

19. Firewall có thể bị phá không?
Câu trả lời là có.
Quá trình phá firewall gồm 2 giai đoạn:
1. Đầu tiên phải tìm ra dạng firewall
mà mạng sử dụng cùng các loại
dịch vụ hoạt động phía sau nó ,tiếp
theo là phát hiện khe hở trên
firewall
2. Hacker sẽ tìm cách để nhận được
một thông điệp từ bên trong hệ
thống ,khi đó đường đi được kiểm
tra và có thể tìm ra những manh
mối về cấu trúc hệ thống.
Bên cạnh firewall, bạn nên
tăng cường các biện pháp bảo vệ khác

20. MỘT SỐ PHẦN
MỀM FIREWALL
HIỆN NAY
• Khả năng bảo vệ toàn diện hệ thống khỏi các Hacker, Spyware, Trojans
và các đối tượng gây hại chưa xác định khác
• Cảnh báo những ứng dụng cài đặt trái phép
• Khả năng quét Malware trong bản Comodo Firewall Pro sẽ giúp tăng
cường sự “miễn dịch” của hệ thống trước các viruses, spyware and
Trojans
• Miễn phí
Comodo Firewall

21. ESET Smart Security
• Đa tính năng: tường lửa (Firewall), chống virus (Antivirus), Chống thư
rác (Antispam)
• Bảo vệ toàn diện
• Chiếm ít tài nguyên hệ thống

22. ZoneAlarm
• ZoneAlarm sẽ bảo vệ máy tính của bạn khỏi các Rootkit
• Tính năng Firewall Hệ Điều Hành (OSFirewall™) giúp ngăn chặn
những spyware khó diệt và những đe dọa bên sâu khỏi xâm nhập
vào PC của bạn

23. Kết luận
Không có cánh cửa bảo vệ nào có thể
chống được hoàn toàn kẻ trộm lọt vào
nhà cả, nhưng nếu cánh cửa đó có khoá
tốt, ngôi nhà đó có tường cao bao quanh
và chủ nhà nuôi nhiều chó dữ, kẻ trộm
sẽ khó lòng lọt vào hơn.
Firewall chỉ là một công cụ bảo vệ hệ
thống mạng máy tính, nó phải được kèm
theo với rất nhiều biện pháp an toàn
khác.
Và điều cần nhớ nữa là người ta không
thể cất một viên kim cương quý giá chỉ
trong một cái tủ gỗ có khoá bình thường
thay vì một cái két sắt kiên cố, hãy đầu
tư cho firewall một cách hợp lý.

24. Thank for watching!
And thanks!