Firewall Here comes your footer Nhóm 3  Đỗ Hoàng Chương. MSSV: 06520049  Nguyễn Thái Bình. MSSV: 06520030  Nguyễn Hải Long. MSSV:06520265  Bùi Tuấn Anh. MSSV: 06520010  Phan Thanh Vy. MSSV:06520585  Nguyễn Quốc Đại. MSSV:06520065  Trần Viễn Chinh. MSSV:06520046  Nguyễn Kim Cương. MSSV:06520056  Nguyễn Đình Huy. MSSV: 06520204  Nguyễn Phước Biển. MSSV: 06520026 Here comes your footer Firewall Here comes your footer Firewall  Định nghĩa  Chức năng  Cấu trúc  Những hạn chế của Firewall  Các thành phần của Firewall  Các ví dụ Firewall  Firewall trên Linux - IPTables Here comes your footer Định nghĩa  Firewall là một kĩ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ thống của một số thông tin khác không mong muốn.  Cũng có thể hiểu Firewall là một cơ chế để bảo vệ mạng tin tưởng (trusted network) khỏi các mạng không tin tưởng (unstrusted network). Here comes your footer Chức năng  Firewall quyết định những dịch vụ nào từ bên trong được phép truy cập từ bên ngoài, những người nào từ bên ngoài được truy cập đến các dịch vụ bên trong, và cả những dịch vụ nào bên ngoài được phép truy cập bởi những người bên trong.  Để firewall làm việc hiệu quả, tất cả trao đổi thông tin từ trong ra ngoài và ngược lại đều phải thực hiện thông qua firewall.  Chỉ có những trao đổi nào được phép bởi chế độ an ninh của hệ thống mạng nội bộ mới được quyền lưu thông qua Firewall. Here comes your footer Cấu trúc  Một hoặc nhiều hệ thống máy chủ kết nối với các bộ định tuyến (router) hoặc có chức năng router.  Các phần mềm quản lý an ninh chạy trên hệ thống máy chủ. Thông thường là cá hệ quản trị xác thực (Authentication), cấp quyền (Authorization) và kế toán (Accounting). Here comes your footer Cấu trúc Here comes your footer Hạn chế của Firewall  Firewall không đủ thông minh như con người để có thệ đọc hiểu từng loại thông tin và phân biệt nội dung tốt hay xấu của nó. Firewall có thể ngăn chặn các nguồn thông tin không mong muốn nhưng phải xác định rõ thông số.  Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data – driver attacks) khi có một chương trình được chuyển theo email vượt qua Firewall và bắt đầu hoạt động trong mạng. Here comes your footer Thành phần và cơ chế hoạt động  Bộ lọc packet (Packet Filtering)  Cổng ứng dụng (Application Gateway)  Cổng mạch ( Circuit Level Gateway) [...]... Filtering Here comes your footer Packet Filtering – Ưu điểm  Tương đối đơn giản và tính dễ thực thi  Nhanh và dễ sử dụng  Chi phí thấp và ít ảnh hưởng đến performance của mạng  Rất hiệu quả trong việc block các kiểu riêng biệt của lưu lượng, và đôi khi nó là một phần của hệ thống firewall tổng quan Ví dụ, telnet có thể dễ dàng được block bằng cách áp dụng một filter để block TCP cổng 23 (telnet) Here... qua firewall nếu không packet sẽ bị loại bỏ  Hơn nữa việc kiểm soát các cổng làm cho firewall có khả năng chỉ cho phép một số loại kết nối nhất định vào các loại máy chủ nào đó, hoặc chỉ cho phép một số dịch vụ nào đó (FTP, SSH, HTTP … ) mới được chạy trên hệ thống mạng cục bộ (LAN) Here comes your footer Packet Filtering Here comes your footer Packet Filtering – Ưu điểm  Tương đối đơn giản và tính... (inside conection) và kết nối bên ngoài (outside conection) Tuy nhiên vì sự kết nối này trên firewall nên nó che dấu mạng nội bộ Here comes your footer Circuit Level Gateway – Nguyên lý  Một kết nối được xem là hợp lệ phải dựa vào các yếu tố sau: - Địa chỉ IP và/ hoặc cổng đích Địa chỉ IP và/ hoặc cổng nguồn Thời gian trong ngày (time of day) Giao thức (protocol) Người dùng (user) Mật khẩu (password)... vẫn cung cấp chức năng firewall để bảo vệ mạng nội bộ tránh sự tấn công bên ngoài  Circuit Level Filtering có ưu điểm nổi trội hơn so với Packet Filter Nó khắc phục được sự thiếu sót của giao thức UDP đơn giản và dể bị tấn công Here comes your footer Circuit Level Gateway – Nhược điểm  Bất lợi của Circuit Level Filtering là hoạt động ở lớp Transport và cần có sự cải tiến đáng kể của việc cài đặt... dịch vụ, giao thức được cho phép truy cập vào hệ thống mạng  Cơ chế hoạt động của nó dựa trên cách thức gọi là Proxy service Proxy service là các bộ chương trình đặc biệt cài đặt trên gateway cho từng ứng dụng  Nếu người quản trị mạng không cài đặt proxy cho ứng dụng nào đó, thì dịch vụ tương ứng sẽ không được cung cấp, và do đó không thể chuyển thông tin qua firewall Here comes your footer Application... (malformed packet) và ngăn chặn việc truy cập từ nội bộ đến một mạng khác bất chấp IP của nó - Ghi chép hệ thống (System logging) cho phép việc điều chỉnh mức độ của báo cáo - Hỗ trợ việc tích hợp các chương trình Web proxy chẳng hạn như Squid - Ngăn chặn các kiểu tấn công từ chối dịch vụ Here comes your footer Here comes your footer Firewall – Attack - Defense  Các kĩ thuật phát hiện tường lửa - Quét bằng... kết nối, khoảng thời gian kết nối - Mỗi proxy đều độc lập với các proxy khác trên Basion host Here comes your footer Application Gateway Here comes your footer Application Gateway – Ưu điểm  Cho phép người quản trị mạng hoàn toàn điều khiển dịch vụ trên mạng  Cho phép người quản trị mạng điều khiển được những dịch vụ nào cho phép  Cổng ứng dụng kiểm tra độ xác thực rất tốt, và nó có nhật ký ghi lại... như Winsock) Here comes your footer Các ví dụ Firewall  Packet-Filtering Router Here comes your footer Các ví dụ Firewall  Screened Host Firewall Here comes your footer Các ví dụ Firewall  Demilitarized Zone Here comes your footer FIREWALL TRÊN LINUX - IPTABLES Here comes your footer IPTables Here comes your footer Giới thiệu IPTables  Một trong những firewall thông dụng nhất chạy trên Linux là Iptables... kernel, để cải thiện sự tin cậy và tốc độ chạy Iptables - Quan sát kỹ tất cả các gói dữ liệu Điều này cho phép firewall theo dõi mỗi một kết nối thông qua nó, và dĩ nhiên là xem xét nội dung của từng luồng dữ liệu để từ đó tiên liệu thành hành động kế tiếp của các giao thức Điều này rất quan trọng trong việc hỗ trợ các giao thức FTP, DNS… - Lọc gói trên dựa trên địa chỉ MAC và các cờ trong TCP header Điều... được kiểm tra và giám sát Tất cả các luồng lưu lượng đều bị cấm trừ khi một phiên được mở Here comes your footer Circuit Level Gateway Here comes your footer Circuit Level Gateway – Ưu điểm  Ưu điểm lớn nhất là một Basion host có thể cấu hình như một hỗn hợp cung cấp cổng ứng dụng cho kết nối đến, và cổng vòng cho kết nối đi Điều này làm cho hệ thống firewall dễ dàng sử dụng cho người trong mạng nội bộ . footer Định nghĩa  Firewall là một kĩ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ thống của một. qua firewall.  Chỉ có những trao đổi nào được phép bởi chế độ an ninh của hệ thống mạng nội bộ mới được quyền lưu thông qua Firewall. Here comes your footer Cấu trúc  Một hoặc nhiều hệ thống.  Chi phí thấp và ít ảnh hưởng đến performance của mạng.  Rất hiệu quả trong việc block các kiểu riêng biệt của lưu lượng, và đôi khi nó là một phần của hệ thống firewall tổng quan. Ví dụ, telnet