DESIGNING FIREWALLS Nhóm 2 : 08520435 Nguyễn Thành Trung 08520530 Trương Thị Thùy Duyên 08520292 Phạm Phú Phúc 08520548 Lê Kim Hùng I. Firewall Components II. Create a Firewall Policy III. Rule Sets Packet Filters IV. Proxy Server V. The Bastion Host VI. The Honeypot I. Firewall Components  Tường lửa được tạo ra do nhu cầu về bảo mật và an ninh thông tin ngày càng tăng.  Tường lửa nằm tại vị trí giữa mạng nội bộ và mạng Wan.  Thực hiện mục đích của nó chính là cấm và cho phép các kết nối trên các luật mà được người quản trị tạo ra và đăng ký trên thiết bị. Firewall Components  Sơ đồ cơ bản về Firewall: Firewall Components  Ngày nay tường lửa còn cung cấp các dịch vụ sau:  NAT: được dùng bởi router để có thể dịch một địa chỉ nội bộ thành một địa chỉ bên ngoài  Data Caching: tùy chọn này cho phép router lưu trữ dữ liệu được cho phép bởi các người dùng mạng. Firewall Components  Restriction on Content: Tùy chọn này có giá trị trên những hệ thống mới. Cho phép người quản trị hạn chế truy nhập nội dung internet bằng cách sử dụng từ khóa. Firewall Methodologies  Tường lửa có 2 phương thức chính dùng để thực hiện bảo mật bên trong một mạng. Mặc dù có nhiều biến thể xong chúng vẫn xoay quanh 2 loại chính đó là :  Packet filtering  Proxy servers (application gateway) Packet filtering  Lọc gói tin là loại đầu tiên của tường lửa được sử dụng trong nhiều hệ thống để bảo vệ mạng. Nó có nhiều phương thức phổ biến được thực thi để bắt một gói tin sử dụng router.  Chúng bị giới hạn bởi chúng chỉ được thiết kế để phân tích tiêu đề của gói tin Packet filtering  Ưu điểm: - Giá thành thấp, cấu hình đơn giản - Trong suốt(transparent) đối với user.  Hạn chế: - Dễ bị tấn công vào các bộ lọc. - Nếu một packet-filtering router do một sự cố nào đó ngừng hoạt động,tất cả hệ thống trên mạng nội bộ có thể bị tấn công Proxy servers (application- gateway)  Phần mềm proxy được sử dụng để tạo ra để có thể phân tích nhiều hơn các tiêu đề của gói tin.  Proxy servers sử dụng phần mềm để chặn đứng các truyền thông trên mạng đã được định trù từ trước. [...]... Statement  Các ứng dụng không được phép cài đặt.(Từ những nguồn như internet, CD, USB, đĩa mềm … )  Việc sao lưu ứng dụng được cài đặt tại một máy tính của tổ chức (cho phép / không do tổ chức đó quyết định )  Việc sử dụng tài khoản tại các máy tính, khi không có người sử dụng, máy phải ở trong trạng thái khóa và có chế độ bảo vệ mật khẩu  Máy tính và các ứng dụng cài đặt trên nó chỉ liên quan đến hoạt... chọn lọc được tạo ra môi trường an toàn cho dữ liệu của bạn  FireWall bảo vệ chống lại những sự tấn công từ bên ngoài What a Firewall Cannot Do  Firewall sẽ đảm bảo tất cả các dữ liệu đi vào là hợp lệ, ngăn ngừa những người sử dụng bên ngoài đoạt quyền kiểm soát đối với máy tính của bạn  Tóm lại Firewall mang lại cho dữ liệu của chúng ta tính bảo mật, tính toàn vẹn và tính sẵn sàng Difficulty in... Không được phép sử dụng để đe dọa hay quấy rối bất cứ cá nhân nào  Các dịch vụ email được phép sử dụng The Network Connection Statement  Chỉ quản trị viên mới có quyền thực hiện quét mạng  Người dùng có thể truy cập vào các trang site FTP để upload và download các tập tin cần thiết, nhưng máy tính nội bộ có thể sẽ không cài đặt FTP server  Người dùng có thể truy cập WWW trên cổng 80 và Email trên cổng... lửa)  Để lựa chọn và cài đặt tường lửa chính xác, hiệu quả  Một tường lửa được thiết kế và triển khai một cách chính xác, phải dựa trên một chính sách cụ thể Chính sách đó là một phần trong chính sách bảo mật tổng thể của tổ chức sử dụng tường lửa đó Hai quan điểm trong việc xây dựng tường lửa:  Từ chối tất cả, chỉ cho phép những lưu thông hợp lệ  Cho phép tất cả, cấm những lưu thông không hợp lệ... Thuận lợi chính trong việc sử dụng phần mềm proxy là thực hiện cho phép hay cấm sự giao tiếp dựa trên dữ liệu thật sự của gói tin, chứ không chỉ header  Trong những công việc khác thì proxy giúp nhận ra những phương thức giao tiếp và sẽ phản ứng lại, không chỉ là đóng mở các cổng theo sự chỉ đạo What a Firewall Cannot Do  Vì thế nếu một tường lửa có thể dùng để lọc gói tin, máy chủ proxy, một sự kết... phép để vào internet và cả các người dùng bên trong  Đây là một vùng đặc biệt, nó yêu cầu 2 thiết bị lọc và có thể có nhiều máy tồn tại bên trong đường biên giới A Demilitarized Zone (DMZ) A Demilitarized Zone (DMZ)  Hệ thống bao gồm hai packet-filtering router và một bastion host  Mạng DMZ đóngvai trò như một mạng nhỏ, cô lập đặt giữa Internet và mạng nội bộ  Các hệ thống trên Internet và mạng...  Người sử dụng subnet 10.0.10.0 được phép sử dụng SSH cho việc quản trị từ xa và ngược lại  Người dùng có thể sẽ không được chạy bất kỳ phần mềm chat Internet nào  Không được download file lớn hơn 5Mb  Phần mềm Anti-virus phải được cài đặt, hoạt động tốt, cập nhật thường xuyên hàng tuần trên máy trạm và cập nhật hằng ngày trên server  Chỉ có quản trị viên mới được phép cài đặt phần cứng mới trên... bộ lọc gói tin, cho phép hay cấm các truy cập dựa trên tiêu đề của gói tin A Multi-homed Device  Mạng được bảo vệ bởi một thiết bị có kết cấu gồm nhiều card mạng, trên đó sẽ cài phần mềm proxy, phần mềm này sẽ điều chỉnh các gói tin đi theo các hướng xác định: A Multi-homed Device A Screened Host  Một mạng được bảo vệ bởi sự kết hợp của các cấu trúc của máy chủ proxy và cấu trúc lọc gói tin A Screened... nội bộchỉ có thể truy nhập được một số giới hạn các hệ thống trên mạng DMZ, vàsự truyền trực tiếp qua mạng DMZ là không thể được A Demilitarized Zone (DMZ)  Hệ thốngchỉ cho phép bên ngoài truy nhập vào bastion host  Router trong cung cấp sự bảo vệ thứ hai bằng cách điều khiển DMZ truy nhập mạng nội bộ chỉ vớinhững truyền thông bắt đầu từ bastion host II Create a Firewall Policy  Trước khi tiến hành... bảo mật cao hơn hệ thống trên, vì nó thực hiện cả bảo mật ở tầng network (packet-filtering) và ở tầng ứng dụng (applicationlevel)  Qui luật filtering trên packet-filtering router được định nghĩa sao cho tất cảcác hệ thống ở bên ngoài chỉ có thể truy nhập bastion host A Screened Host  Chỉ chấp nhận những truyền thông nội bộ xuất phát từ bastion host  Bởi vì bastion host là hệ thống bên trong duy nhất . tạo ra do nhu cầu về bảo mật và an ninh thông tin ngày càng tăng.  Tường lửa nằm tại vị trí giữa mạng nội bộ và mạng Wan.  Thực hiện mục đích của nó chính là cấm và cho phép các kết nối trên. gateway)  Phần mềm proxy được sử dụng để tạo ra để có thể phân tích nhiều hơn các tiêu đề của gói tin.  Proxy servers sử dụng phần mềm để chặn ứng các truyền thông trên mạng đã được định trù. filtering  Lọc gói tin là loại đầu tiên của tường lửa được sử dụng trong nhiều hệ thống để bảo vệ mạng. Nó có nhiều phương thức phổ biến được thực thi để bắt một gói tin sử dụng router.  Chúng