Đang tải... (xem toàn văn)
Firewall theo tiếng việt có nghĩa là Bức Tường lửa . Dùng để ngặn chặn và bảo vệ những thông tin và chống việc truy cập bất hợp pháp của các hacker. Firewall là một giải pháp dựa trên phần cứng và phần mềm dùng để kiểm tra dữ liệu đi từ bên ngoài vào máy tính hoặc từ máy tính ra ngoài mạng Internet, rộng hơn là giữa mạng nội bộ và Internet, và giữa các mạng con trong hệ thống mạng nội bộ của công ty. Có thể nói Firewall là nguời bảo vệ có nhiệm vụ kiểm tra “giấy thông hành” của bất kì gói dữ liệu đi vào hoặc đi ra. Nó chỉ cho phép những gói dữ liệu hợp lệ đi qua và loại bỏ tất cả các gói dữ liệu không hợp lệ .Vì vậy mà Firewall rất cần thiết cho việc đảm bảo an toàn trên hệ thống mạng
MẠNG MÁY TÍNH TÊN ĐỀ TÀI : TÌM HIỂU VỀ TƯỜNG LỬA (FIREWALL) MỤC LỤC 1.Khái niệm Firewall Firewall theo tiếng việt có nghĩa Bức Tường lửa Dùng để ngặn chặn bảo vệ thông tin chống việc truy cập bất hợp pháp hacker Firewall giải pháp dựa phần cứng phần mềm dùng để kiểm tra liệu từ bên vào máy tính từ máy tính mạng Internet, rộng mạng nội Internet, mạng hệ thống mạng nội công ty Có thể nói Firewall nguời bảo vệ có nhiệm vụ kiểm tra “giấy thông hành” gói liệu vào Nó cho phép gói liệu hợp lệ qua loại bỏ tất gói liệu không hợp lệ Vì mà Firewall cần thiết cho việc đảm bảo an toàn hệ thống mạng 1.1 Tại phải sử dụng Firewall cho mạng máy tính kết nối Internet Internet đời đem lại nhiều lợi ích lớn cho người, nhân tố hàng đầu góp phần vào phát triển nhanh chóng giới nói Internet kết nối người tới gần Chính khả kết nối rộng rãi mà nguy an toàn mạng máy tính lớn Đó nguy bị công mạng máy tính, công để lấy liệu, công nhằm mục đích phá hoại làm tê liệt hệ thống máy tính lớn, công thay đổi sở liệu …Trước nguy đó, vấn đề đảm bảo an toàn cho mạng máy tính trở nên cấp thiết quan trọng hết Các nguy bị công ngày nhiều ngày tinh vi hơn, nguy hiểm Đã có nhiều giải pháp bảo mật cho mạng máy tính đưa dùng phần mềm, chương trình để bảo vệ tài nguyên, tạo tài khoản truy xuất mạng đòi hỏi có mật … giải pháp bảo vệ phần mạng máy tính mà thôi, kẻ phá hoại mạng máy tính thâm nhập sâu vào bên mạng có nhiều cách để phá hoại hệ thống mạng Vì đặt yêu cầu phải có công cụ để chống xâm nhập mạng bất hợp pháp từ bên mạng, nguyên nhân dẫn tới đời Firewall (Tường lửa) Một Firewall lọc lưu lượng Internet nguy hiểm hacker, loại sâu, số loại virus trước chúng gây trục trặc hệ thống Ngoài ra, Firewall giúp cho máy tính tránh tham gia công vào máy tính khác mà không hay biết Việc sử dụng Firewall cực kỳ quan trọng máy tính kết nối Internet, trường hợp có kết nối băng thông rộng kết nối DSL/ADSL Ngoài tin tặc sử dụng mã hiểm độc, virus, sâu Trojan, để tìm cách phát cửa không khóa máy tính không bảo vệ Một tường lửa giúp bảo vệ máy tính khỏi bị hoạt động công bảo mật khác Vậy tin tặc làm gì? Tùy thuộc vào chất việc công Trong số đơn giản quấy rầy với Trang trò đùa nghịch đơn giản, số khác tạo với ý định nguy hiểm Những loại nghiêm trọng tìm cách xóa thông tin từ máy tính, phá hủy nó, chí ăn căp thông tin cá nhân, mật số thẻ tín dụng Một số tin tặc thích đột nhập vào máy tính dễ bị công Các virus, sâu Trojan đáng sợ May mắn giảm nguy lây nhiễm cách sử dụng Firewall 1.2 Sự đời Firewall Chữ Firewall có nguồn gốc từ kỹ thuật thiết kế xây dựng để ngăn chặn, hạn chế hỏa hoạn Trong công nghệ mạng thông tin, Firewall kỹ thuật tích hợp vào hệ thống mạng để chống truy cập trái phép, nhằm bảo vệ nguồn thông tin nội hạn chế xâm nhập không mong muốn vào hệ thống Có thể hiểu Firewall chế (Mechanism) để bảo vệ mạng tin tưởng (Trusted network) khỏi mạng không tin tưởng (Untrusted network) Thông thường Firewall đặt mạng bên (Intranet) công ty, tổ chức, ngành hay quốc gia, Internet Vai trò bảo mật thông tin, ngăn chặn truy nhập không mong muốn từ bên (Internet) cấm truy nhập từ bên (Intranet) tới số địa định Internet Internet Firewall tập hợp thiết bị (bao gồm phần cứng phần mềm) mạng tổ chức, công ty, hay quốc gia (Intranet) Internet: (INTRANET - FIREWALL - INTERNET) Firewall thiết lập mạng nội cô lập miền an toàn Ví dụ mạng cục sử dụng Firewall để ngăn cách phòng máy hệ thống mạng tầng Một Firewall Internet giúp ngăn chặn người Internet không xâm nhập vào máy tính Nó làm việc cách kiểm tra thông tin đến Internet Nó nhận dạng bỏ qua thông tin đến từ nơi nguy hiểm nghi ngờ Nếu bạn cài đặt Firewall bạn cách thích hợp, tin tặc tìm kiếm máy tính dễ bị công phát máy tính Firewall giải pháp dựa phần cứng phần mềm dùng để kiểm tra liệu Một lời khuyên nên sử dụng Firewall cho bất kỳ máy tính hay mạng có kết nối tới Internet Đối với kết nối Internet băng thông rộng Firewall quan trọng, loại kết nối thường xuyên bật (always on) nên tin tặc có nhiều thời gian muốn tìm cách đột nhập vào máy tính Kết nối băng thông rộng thuận lợi cho tin tặc sử dụng để làm phương tiện tiếp tục công máy tính khác 1.3 Mục đích Firewall Với Firewall, người sử dụng yên tâm thực thi quyền giám sát liệu truyền thông máy tính họ với máy tính hay hệ thống khác Có thể xem Firewall người bảo vệ có nhiệm vụ kiểm tra "giấy thông hành" gói liệu vào máy tính hay khỏi máy tính Trang người sử dụng, cho phép gói liệu hợp lệ qua loại bỏ tất gói liệu không hợp lệ Các giải pháp Firewall thực cần thiết, xuất phát từ cách thức liệu di chuyển Internet Giả sử gửi cho người thân thư để thư chuyển qua mạng Internet, trước hết phải phân chia thành gói nhỏ Các gói liệu tìm đường tối ưu để tới địa người nhận thư sau lắp ráp lại (theo thứ tự đánh số trước đó) khôi phục nguyên dạng ban đầu Việc phân chia thành gói làm đơn giản hoá việc chuyển liệu Internet dẫn tới số vấn đề Nếu người với dụng ý không tốt gửi tới số gói liệu, lại cài bẫy làm cho máy tính cần phải xử lý gói liệu làm cho gói liệu lắp ghép theo thứ tự sai, nắm quyền kiểm soát từ xa máy tính gây nên vấn đề nghiêm trọng Kẻ nắm quyền kiểm soát trái phép sau sử dụng kết nối Internet để phát động công khác mà không bị lộ tung tích Firewall đảm bảo tất liệu vào hợp lệ, ngăn ngừa người sử dụng bên đoạt quyền kiểm soát máy tính Chức kiểm soát liệu Firewall quan trọng ngăn ngừa kẻ xâm nhập trái phép "cấy" virus có hại vào máy tính để phát động công cửa sau tới máy tính khác mạng Internet Hình Firewall đặt mạng riêng mạng công cộng Một Firewall gồm có hai giao diện mạng: Chung riêng, giao diện chung kết nối với Internet, phía mà người truy cập, giao diện riêng phía mà chứa liệu bảo vệ Trên Firewall có nhiều giao diện riêng tuỳ thuộc vào số đoạn mạng cần tách rời Ứng với giao diện có quy tắc bảo vệ riêng để xác định kiểu lưu thông qua từ mạng chung mạng riêng Firewall làm nhiều việc có nhiều thuận lợi khó khăn Trang Thông thường nhà quản trị mạng sử dụng Firewall thiết bị đầu nối VPN, máy chủ xác thực máy chủ DNS Tuy nhiên thiết bị mạng khác, nhiều dịch vụ hoạt động máy chủ rủi ro nhiều Do đó, Firewall không nên chạy nhiều dịch vụ Firewall lớp bảo vệ thứ hai hệ thống mạng, lớp thứ định tuyến mức định tuyến cho phép bị từ chối địa IP phát gói tin bất bình thường Firewall xem cổng phép hay từ chối Firewall đôi lúc hữu ích cho đoạn mạng nhỏ địa IP riêng lẻ Bởi định tuyến thường làm việc tải, nên việc sử dụng định tuyến để lọc định tuyến IP đơn, lớp địa nhỏ tạo tải trọng không cần thiết Firewall có ích cho việc bảo vể mạng từ lưu lượng không mong muốn Nếu mạng máy chủ công cộng Firewall công cụ tốt để từ chối lưu lượng vào, lưu lượng mà không bắt đầu từ máy sau Firewall, Một Firewall cấu hình để từ chối tất lưu lượng ngoại trừ cổng 53 dành riêng cho máy chủ DNS Hình Mạng gồm có Firewall máy chủ Sức mạnh Firewall nằm khả lọc lưu lượng dựa tập hợp quy tắc bảo vệ, gọi quy tắc bảo vệ nhà quản trị đưa vào Đây nhược điểm lớn Firewall, quy tắc xấu không đầy đủ mở lối cho kẻ công, mạng không an toàn Nhiều nhà quản trị mạng không nghĩ Firewall hoạt động thiết bị mạng phức tạp Người ta quan tâm nhiều đến việc giữ lại lưu lượng không mong muốn đến mạng riêng, quan tâm đến việc giữ lại lưu lượng không mong muốn đến mạng công cộng Nên quan tâm đến hai kiểu Trang tập quy luật bảo vệ Nếu kẻ công muốn tìm cách xâm nhập vào máy chủ, chúng sử dụng máy chủ để công vào thiết bị mạng xa Để bảo vệ giúp cho lưu lượng bên đoạn mạng nhà quản lý thường chạy hai Firewall, thứ để bảo vệ toàn mạng, lại để bảo vể đoạn mạng khác Nhiều lớp Firewall cho phép nhà quản trị an toàn mạng kiểm soát tốt dòng thông tin, đặc biệt sở bên bên công ty phải xử lý thông tin nhảy cảm Các hoạt động trao đổi thông tin cho phép phần mạng bị giới hạn vùng nhạy cảm Hình Sử dụng nhiều Firewall nhằm tăng khả bảo mật 1.4 Các lựa chọn Firewall Firewall phần cứng Về tổng thể, Firewall phần cứng cung cấp mức độ bảo vệ cao so với Firewall phần mềm dễ bảo trì Firewall phần cứng có ưu điểm khác không chiếm dụng tài nguyên hệ thống máy tính Firewall phần mềm Firewall phần cứng lựa chọn tốt doanh nghiệp nhỏ, đặc biệt cho công ty có chia sẻ kết nối Internet Có thể kết hợp Firewall định tuyến hệ thống phần cứng sử dụng hệ thống để bảo vệ cho toàn mạng Firewall phần cứng lựa chọn đỡ tốn chi phí so với Firewall phần mềm thường phải cài máy tính cá nhân mạng.Trong số công ty cung cấp Firewall phần cứng kể tới Linksys (http://www.linksys.com) NetGear (http://www.netgear.com) Tính Firewall phần cứng Trang công ty cung cấp thường tích hợp sẵn định tuyến dùng cho mạng doanh nghiệp nhỏ mạng gia đình Firewall phần mềm Nếu không muốn tốn tiền mua Firewall phần cứng sử dụng Firewall phần mềm Về giá cả, Firewall phần mềm thường không đắt Firewall phần cứng, chí số miễn phí (phần mềm Comodo Firewall Pro 3.0, PC Tools Firewall Plus 3.0, ZoneAlarm Firewall 7.1 …) tải từ mạng Internet So với Firewall phần cứng, Firewall phần mềm cho phép linh động hơn, cần đặt lại thiết lập cho phù hợp với nhu cầu riêng công ty Chúng hoạt động tốt nhiều hệ thống khác nhau, khác với Firewall phần cứng tích hợp với định tuyến làm việc tốt mạng có qui mô nhỏ Firewall phần mềm lựa chọn phù hợp máy tính xách tay máy tính bảo vệ cho dù mang máy tính bất kỳ nơi Các Firewall phần mềm làm việc tốt với Windows 98, Windows ME Windows 2000 Chúng lựa chọn tốt cho máy tính đơn lẻ Các công ty phần mềm khác làm tường lửa Chúng không cần thiết cho Windows XP XP có tường lửa cài sẵn Ưu điểm: - Không yêu cầu phần cứng bổ sung - Không yêu cầu chạy thêm dây máy tính - Một lựa chọn tốt cho máy tính đơn lẻ Nhược điểm: - Chi phí thêm: hầu hết tường lửa phần mềm tốn chi phí - Việc cài đặt và đặt cấu hình cần để bắt đầu - Cần riêng cho máy tính Chức Firewall Firewall định dịch vụ từ bên phép truy cập từ bên ngoài, người từ bên phép truy cập đến dịch vụ bên trong, dịch vụ bên phép truy cập người bên 2.1 Firewall bảo vệ vấn đề gì? Trang - Bảo vệ liệu: Theo dõi luồng liệu mạng Internet Intranet Những thông tin cần bảo vệ yêu cầu sau: - Bảo mật: Một số chức Firewall cất giấu thông tin mạng tin cậy nội so với mạng không đáng tin cậy mạng bên khác Firewall cung cấp mũi nhọn trung tâm để đảm bảo quản lý, có lợi nguồn nhân lực tài tổ chức có giới hạn - Tính toàn vẹn (Tài nguyên hệ thống) - Tính kịp thời (Danh tiếng công ty sở hữu thông tin cần bảo vệ) 2.2 Firewall bảo vệ chống lại vấn đề gì? Firewall bảo vệ chống lại công từ bên Chống lại việc Hacking Hacker người hiểu biết dụng máy tính thành thạo người lập trình giỏi Khi phân tích khám phá lổ hổng hệ thống đó, tìm cách thích hợp để truy cập công hệ thống Có thể sử dụng kỹ khác để công vào hệ thống máy tính Ví dụ truy cập vào hệ thống mà không phép truy cập tạo thông tin giả, lấy cắp thông tin Nhiều công ty lo ngại liệu bảo mật bị đánh cắp hacker Vì vậy, để tìm phương pháp để bảo vệ liệu Firewall làm điều Chống lại việc sửa đổi mã Khả xảy kẻ công sửa đổi, xóa thay tính xác thực đoạn mã cách sử dụng virus, worm chương trình có chủ tâm Khi tải file internet dẫn tới download đọan mã có dã tâm, thiếu kiến thức bảo mật máy tính, file download thực thi quyền theo mục đích người dùng số trang website Từ chối dịch vụ đính kèm Từ chối dịch vụ loại ngắt hoạt động công Lời đe dọa tới tính liên tục hệ thống mạng kết từ nhiều phương thức công giống làm tràn ngập thông tin sửa đổi đường không phép Bởi thuật ngữ làm tràn ngập thông tin, người xâm nhập tạo môt số thông tin không xác thực để gia tăng lưu lượng mạng làm giảm dịch vụ tới người dùng thực Hoặc kẻ công ngắm ngầm phá hoại hệ thống máy tính thêm vào phần mềm có dã tâm, mà phần mềm công hệ thống theo thời gian xác đinh trước Trang Tấn công trực tiếp Cách thứ nhất: dùng phương pháp dò mật trực tiếp Thông qua chương trình dò tìm mật với số thông tin người sử dụng ngày sinh, tuổi, địa … kết hợp với thư viện người dùng tạo ra, kẻ công dò mật Trong số trường hợp khả thành công lên tới 30% Ví dụ chương trình dò tìm mật chạy hệ điều hành Unix có tên Crack Cách thứ hai: sử dụng lỗi chương trình ứng dụng thân hệ điều hành sử dụng từ vụ công để chiếm quyền truy cập (có quyền người quản trị hệ thống) Nghe trộm Có thể biết tên, mật khẩu, thông tin truyền qua mạng thông qua chương trình cho phép đưa giao tiếp mạng (NIC) vào chế độ nhận toàn thông tin lưu truyền qua mạng Vô hiệu hoá chức hệ thống (Deny service) Đây kiểu công nhằm làm tê liệt toàn hệ thống không cho thực chức thiết kế Kiểu công ngăn chặn phương tiện tổ chức công phương tiện để làm việc truy nhập thông tin mạng Lỗi người quản trị hệ thống Ngày nay, trình độ hacker ngày giỏi hơn, hệ thống mạng chậm chạp việc xử lý lỗ hổng Điều đòi hỏi người quản trị mạng phải có kiến thức tốt bảo mật mạng để giữ vững an toàn cho thông tin hệ thống Đối với người dùng cá nhân, biết hết thủ thuật để tự xây dựng cho Firewall, nên hiểu rõ tầm quan trọng bảo mật thông tin cho cá nhân Qua đó, tự tìm hiểu để biết số cách phòng tránh công đơn giản hacker Vấn đề ý thức, có ý thức để phòng tránh khả an toàn cao Yếu tố người Với tính cách chủ quan không hiểu rõ tầm quan trọng việc bảo mật hệ thống nên dễ dàng để lộ thông tin quan trọng cho hacker Ngoài dùng Firewall để chống lại “ giả mạo địa IP “ Trang Những hạn chế Firewall Firewall không đủ thông minh người để đọc hiểu loại thông tin phân tích nội dung tốt hay xấu Firewall ngăn chặn xâm nhập nguồn thông tin không mong muốn phải xác định rõ thông số địa Firewall ngăn chặn công công không "đi qua" Một cách cụ thể, Firewall chống lại công từ đường dial-up, rò rỉ thông tin liệu bị chép bất hợp pháp lên đĩa mềm Firewall chống lại công liệu (data-drivent attack) Khi có số chương trình chuyển theo thư điện tử, vượt qua Firewall vào mạng bảo vệ bắt đầu hoạt động Một ví dụ virus máy tính Firewall làm nhiệm vụ rà quét virus liệu chuyển qua nó, tốc độ làm việc, xuất liên tục virus có nhiều cách để mã hóa liệu, thoát khỏi khả kiểm soát Firewall Firewall ngǎn chặn kẻ xấu từ bên kẻ xấu bên Tuy nhiên, Firewall giải pháp hữu hiệu áp dụng rộng rãi Để có khả nǎng bảo mật tối ưu cho hệ thống, Firewall nên sử dụng kết hợp với biện pháp an ninh mạng phần mềm diệt virus, phần mềm đóng gói, mã hoá liệu Đặc biệt, sách bảo mật thực cách phù hợp có chiều sâu vấn đề sống để khai thác tối ưu hiệu phần mềm bảo mật Và cần nhớ công nghệ phần giải pháp bảo mật Một nhân tố quan trọng định thành công giải pháp hợp tác nhân viên, đồng nghiệp Phân loại Firewall Hiện có nhiều loại Firewall, để tiện cho trình nghiên cứu phát triển, người ta chia Firewall làm hai loại bao gồm: - Packet Filtering Firewall: hệ thống tường lửa thành phần bên mạng bên mạng có - kiểm soát Application-proxy Firewall: hệ thống cho phép kết nối trực tiếp máy khách host 4.1 Packet Filtering Firewall Đây kiểu Firewall thông dụng hoạt động dựa mô hình OSI mức mạng Firewall mức mạng thường hoạt động theo nguyên tắc router hay gọi router, tức tạo luật lệ quyền truy cập mạng dựa mức mạng Mô hình hoạt động theo nguyên tắc lọc gói Trang 10 tin Ở kiểu hoạt động gói tin kiểm tra địa nguồn nơi chúng xuất phát Sau địa IP nguồn xác định, tiếp tục kiểm tra với luật đặt router Với phương thức hoạt động vậy, Firewall hoạt động lớp mạng có tốc độ xử lý nhanh kiểm tra địa IP nguồn mà không cần biết địa địa sai hay bị cấm Đây hạn chế kiểu Firewall không đảm bảo tính tin cậy Lỗ hổng kiểu Firewall sử dụng địa IP nguồn để làm thị Khi gói tin mang địa nguồn địa giả vượt qua số mức truy nhập để vào bên mạng Firewall kiểu packet filtering chia làm hai loại: - Packet filtering Firewall: Hoạt động lớp mạng (Network Layer) mô hình OSI Các luật lọc gói tin dựa trường IP header, transport header, địa IP nguồn địa IP đích … Hình Packet filtering Firewall - Circuit level gateway: Hoạt động lớp phiên (Session Layer) mô hình OSI Mô hình không cho phép kết nối end to end Trang 11 Hình Circuit level gateway 4.2 Application-proxy Firewall Khi mộ kết nối từ người dùng đến mạng sử dụng Firewall kiểu kết nối bị chặn lại, sau Firewall kiểm tra trường có liên quan gói tin yêu cầu kết nối Nếu việc kiểm tra thành công, có nghĩa trường thông tin đáp ứng luật đặt Firewall Firewall tạo mộ cầu kết nối cho gói tin qua Ưu điểm: - Không có chức chuyển tiếp gói tin IP - Điều khiển cách chi tiết kết nối thông qua Firewall - Đưa công cụ cho phép ghi lại trình kết nối Nhược điểm: - - Tốc độ xử lý chậm Sự chuyển tiếp gói tin IP mộ máy chủ nhận mộ yêu cầu từ mạng chuyển chúng vào mạng lỗ hổng cho hacker xâm nhập - Kiểu Firewallnày hoạt động dựa ứng dựng phần mềm nên phải tạo cho dịch vụ mạng trình ứng dựng uỷ quyền (proxy) Firewall (Ex Ftp proxy, Http proxy) Firewall kiểu Application- proxy chia thành hai loại: Trang 12 - Applicatin level gateway: Hoạt động lớp ứng dụng (Application Layer) mô hình TCP/IP Hình Application-proxy Firewall - Stateful multilayer inspection Firewall: Đây loại Firewall kết hợp tính loại Firewall trên, mô hình lọc gói tin lớp mạng kiểm tra nội dung gói tin lớp ứng dụng Loại Firewall cho phép kết nối trực tiếp client host nên giảm thiểu lỗi, cung cấp tính bảo mật cao suốt End Users 5.Mô hình kiến trúc Firewall Kiến trúc hệ thống sử dụng Firewall sau: Trang 13 Hình Kiến trúc hệ thống sử dụng Firewall Các hệ thống Firewall có điểm chung cấu trúc cụ thể sau: Hình Cấu trúc chung hệ thống Firewall Trong đó: - Screening Router: chặng kiểm soát cho LAN - DMZ: vùng có nguy bị công từ internet - Gateway Host: cổng vào mạng LAN DMZ, kiểm soát liên lạc, thực thi chế bảo mật - IF1 (Interface 1): card giao tiếp với vùng DMZ - IF2 (Interface 2): card giao tiếp với vùng mạng LAN - FTP Gateway: Kiểm soát truy cập FTP LAN vùng FTP từ mạng LAN internet tự Các truy cập FTP vào LAN đòi hỏi xác thực thông qua Authentication server - Telnet gateway: Kiểm soát truy cập telnet tương tự FTP, người dùng telnet tự do, telnet từ vào yêu cầu phải xác thực thông qua Authentication server - Authentication server: nơi xác thực quyền truy cập dùng kỹ thuật xác thực mạnh onetime password/token (mật sử dụng lần) Tất Firewall có chung thuộc tính cho phép phân biệt đối xử hay khả từ chối truy nhập dựa địa nguồn Nhờ mô hình Firewall mà máy chủ dịch vụ mạng LAN bảo vệ an toàn, thôn tin trao đổi với internet kiểm soát thông qua gateway Trang 14 5.1 Kiến trúc Dual - Homed host (máy chủ trung gian) Firewall kiến trúc kiểu Dual-homed host xây dựng dựa máy tính Dual-homed host Một máy tính gọi Dual-homed host có hai Network interfaces, có nghĩa máy có gắn hai card mạng giao tiếp với hai mạng khác máy tính đóng vai trò router phần mềm Kiến trúc Dual-homed host đơn giản Dual-homed host giữa, bên kết nối với Internet bên lại nối với mạng nội (LAN) Dual-homed host cung cấp dịch vụ cách ủy quyền (proxy) chúng cho phép users đăng nhập trực tiếp vào Dual-homes host Mọi giao tiếp từ host mạng nội host bên bị cấm, Dual-homed host nơi giao tiếp Hình Kiến trúc Dual - Homed host 5.2 Kiến trúc Screend Host Screened host có cấu trúc ngược lại với cấu trúc Dual-homed host, kiến trúc cung cấp dịch vụ từ host bên mạng nội bộ, dùng router tách rời với mạng bên Trong kiểu kiến trúc này, bảo mật phương pháp Packet Filtering Bastion host đặt bên mạng nội bộ, Packet Filtering cài router Theo cách này, Bastion host hệ thống mạng nội mà host Internet kết nối tới Mặc dù vậy, kiểu kết nối phù hợp (được thiết lập Bastion host) phép kết nối Bất kỳ hệ thống bên cố gắng truy cập vào hệ Trang 15 thống dịch vụ bên phải kết nối tới host Vì thế, Bastion host host cần phải trì chế độ bảo mật cao Packet Filtering cho phép Bastion host mở kết nối bên Cấu hình packet filtering screening router sau : + Cho phép tất host bên mở kết nốt tới host bên thông qua số dịch vụ cố định + Không cho phép tất kết nối từ host bên (cấm host sử dụng dịch vụ proxy thông qua Bastion host) + Có thể kết hợp nhiều lối vào cho dịch vụ khác + Một số dịch vụ phép vào trực tiếp qua packet filtering + Một số dịch vụ khác phép vào gián tiếp qua proxy Bởi kiến trúc cho phép packet từ bên vào mạng bên trong, dường nguy hiểm kiến trúc Dual-homed host, thiết kế để không packet tới mạng bên Tuy nhiên thực tế kiến trúc Dual-homes host có lỗi mà cho phép packet thật từ bên vào bên (bởi lỗi hoàn toàn trước, không bảo vệ để chống lại kiểu công này) Hơn nữa, kiến trúc Dual-homes host dễ dàng bảo vệ router (là máy cung cấp dịch vụ) bảo vệ host bên mạng Xét toàn diện kiến trúc Screened host cung cấp độ tin cậy cao an toàn kiến trúc Dual-homed host So sánh với mộ số kiến trúc khác, chẳn hạn kiến trúc Screened subnet kiến trúc Screened host có số bất lợi Bất lợi kẻ công tìm cách xâm nhập Bastion host cách để ngăn tách Bastion host host lại bên mạng nội Router có số điểm yếu router bị tổn thương, toàn mạng bị công Vì lý mà Screened subnet trở thành kiến trúc phổ biến Trang 16 Hình 10 Kiến trúc Screened host 5.3 Kiến trúc Screened Subnet Nhằm tăng cường khả bảo vệ mạng nội bộ, thực chiến lược phòng thủ theo chiều sâu, tăng cường an toàn cho bastion host, tách bastion host khỏi host khác, phần tránh lây lan bastion host bị tổn thương, người ta đưa kiến trúc Firewall có tên Screened subnet Kiến trúc Screened subnet dẫn xuất từ kiến trúc Screened host cách thêm vào phần an toàn: mạng ngoại vi (perimeter network) nhằm cô lập mạng nội khỏi mạng bên ngoài, tách bastion host khỏi host thông thường khác Kiểu Screen subnet đơn giản bao gồm hai screened router: - Router (External router gọi access router): nằm mạng ngoại vi mạng có chức bảo vệ cho mạng ngoại vi (bastion host, interior router) Nó cho phép ngững outbound từ mạng ngoại vi Một số quy tắc packet filtering đặc biệt cài mức cần thiết đủ để bảo vệ bastion host interior router bastion host host cài đặt an toàn mức cao Ngoài quy tắc đó, quy tắc khác cần giống hai router - Router (Interior router gọi choke router): nằm mạng ngoại vi mạng nội bộ, nhằm bảo vệ mạng nôi trước mạng ngoại vi Nó không thực hết quy tắc packet filtering toàn Firewall Các dịch vụ mà interior router cho phép bastion host mạng nội bộ, bên mạng nội không thiết phải giống Giới hạn dịch vụ bastion host mạng nội nhằm giảm số lượng máy (số lượng dịch vụ máy này) bị công bastion host bị tổn thương thỏa hiệp với bên Chẳng hạn nên giới hạn dịch vụ phép bastion host mạng nội SMTP có Email từ bên vào, có lẽ giới hạn kết nối SMTP bastion host email server bên Hình 11 Kiến trúc Screened Subnet Trang 17 DANH MỤC TÀI LIỆU THAM KHẢO Bức tường lửa Internet An ninh mạng – NXB Bưu Điện An toàn bảo mật tin tức mạng – Học viện Công nghệ Bưu Viễn thông (NXB Bưu Điện) Mạng máy tính hệ thống mở – Tg: Nguyễn Thúc Hải (NXB Giáo Dục) Network and Internetwork Security – Tg: William Stallings Firewalls 24Seven, Second Edition - Tg :Matthew Strebe , Charles Perkins Firewall Technologies – Tg: Habtamu Abie Cisco - Cisco ASA and PIX Firewall Handbook(2005) Các viết mạng máy tính tường lửa – Tham khảo qua Internet Website: http://www.quantrimang.com Website: http://vi.wikipedia.org Trang 18 [...]... trên mạng – Học viện Công nghệ Bưu chính Viễn thông (NXB Bưu Điện) Mạng máy tính và các hệ thống mở – Tg: Nguyễn Thúc Hải (NXB Giáo Dục) Network and Internetwork Security – Tg: William Stallings Firewalls 24Seven, Second Edition - Tg :Matthew Strebe , Charles Perkins Firewall Technologies – Tg: Habtamu Abie Cisco - Cisco ASA and PIX Firewall Handbook(2005) Các bài viết về mạng máy tính. .. toàn: mạng ngoại vi (perimeter network) nhằm cô lập mạng nội bộ ra khỏi mạng bên ngoài, tách bastion host ra khỏi các host thông thường khác Kiểu Screen subnet đơn giản bao gồm hai screened router: - Router ngoài (External router còn gọi là access router ): nằm giữa mạng ngoại vi và mạng ngoài có chức năng bảo vệ cho mạng ngoại vi (bastion host, interior router) Nó cho phép ngững gì outbound từ mạng. .. choke router ): nằm giữa mạng ngoại vi và mạng nội bộ, nhằm bảo vệ mạng nôi bộ trước khi ra ngoài và mạng ngoại vi Nó không thực hiện hết các quy tắc packet filtering của toàn bộ Firewall Các dịch vụ mà interior router cho phép giữa bastion host và mạng nội bộ, giữa bên ngoài và mạng nội bộ không nhất thiết phải giống nhau Giới hạn dịch vụ giữa bastion host và mạng nội bộ nhằm giảm số lượng máy (số lượng... mà các máy chủ dịch vụ trong mạng LAN được bảo vệ an toàn, mọi thôn tin trao đổi với internet đều được kiểm soát thông qua gateway Trang 14 5.1 Kiến trúc Dual - Homed host (máy chủ trung gian) Firewall kiến trúc kiểu Dual-homed host được xây dựng dựa trên máy tính Dual-homed host Một máy tính được gọi là Dual-homed host nếu có ít nhất hai Network interfaces, có nghĩa là máy đó có gắn hai card mạng. .. là chặng kiểm soát đầu tiên cho LAN - DMZ: là vùng có nguy cơ bị tấn công từ internet - Gateway Host: là cổng ra vào giữa mạng LAN và DMZ, kiểm soát mọi liên lạc, thực thi các cơ chế bảo mật - IF1 (Interface 1 ): là card giao tiếp với vùng DMZ - IF2 (Interface 2 ): là card giao tiếp với vùng mạng LAN - FTP Gateway: Kiểm soát truy cập FTP giữa LAN và vùng FTP từ mạng LAN ra internet là tự do Các truy cập... host nên giảm thiểu được lỗi, nó cung cấp các tính năng bảo mật cao và trong suốt đối với End Users 5.Mô hình và kiến trúc của Firewall Kiến trúc của hệ thống sử dụng Firewall như sau: Trang 13 Hình 7 Kiến trúc của hệ thống sử dụng Firewall Các hệ thống Firewall đều có điểm chung ở các cấu trúc cụ thể như sau: Hình 8 Cấu trúc chung của một hệ thống Firewall Trong đ : - Screening Router: là chặng kiểm... Strebe , Charles Perkins Firewall Technologies – Tg: Habtamu Abie Cisco - Cisco ASA and PIX Firewall Handbook(2005) Các bài viết về mạng máy tính và bức tường lửa – Tham khảo qua Internet Website: http://www.quantrimang.com Website: http://vi.wikipedia.org Trang 18 ... Firewall - Đưa ra công cụ cho phép ghi lại quá trình kết nối Nhược điểm: - - Tốc độ xử lý khá chậm Sự chuyển tiếp các gói tin IP khi mộ máy chủ nhận được mộ yêu cầu từ mạng ngoài rồi chuyển chúng vào mạng trong chính là lỗ hổng cho hacker xâm nhập - Kiểu Firewallnày hoạt động dựa trên ứng dựng phần mềm nên phải tạo cho mỗi dịch vụ trên mạng một trình ứng dựng uỷ quyền (proxy) trên Firewall (Ex Ftp proxy,... trên các máy này) có thể bị tấn công khi bastion host bị tổn thương và thỏa hiệp với bên ngoài Chẳng hạn nên giới hạn các dịch vụ được phép giữa bastion host và mạng nội bộ như SMTP khi có Email từ bên ngoài vào, có lẽ chỉ giới hạn kết nối SMTP giữa bastion host và email server bên trong Hình 11 Kiến trúc Screened Subnet Trang 17 DANH MỤC TÀI LIỆU THAM KHẢO Bức tường lửa Internet và An ninh mạng –... với hai mạng khác nhau và như thế máy tính này đóng vai trò là router phần mềm Kiến trúc Dual-homed host rất đơn giản Dual-homed host ở giữa, một bên được kết nối với Internet và bên còn lại nối với mạng nội bộ (LAN) Dual-homed host chỉ có thể cung cấp các dịch vụ bằng cách ủy quyền (proxy) chúng hoặc cho phép users đăng nhập trực tiếp vào Dual-homes host Mọi giao tiếp từ một host trong mạng nội ... dây máy tính - Một lựa chọn tốt cho máy tính đơn lẻ Nhược điểm: - Chi phí thêm: hầu hết tường lửa phần mềm tốn chi phí - Việc cài đặt và đặt cấu hình cần để bắt đầu - Cần riêng cho máy tính. .. tài khoản truy xuất mạng đòi hỏi có mật … giải pháp bảo vệ phần mạng máy tính mà thôi, kẻ phá hoại mạng máy tính thâm nhập sâu vào bên mạng có nhiều cách để phá hoại hệ thống mạng Vì đặt yêu cầu... Dual-homed host xây dựng dựa máy tính Dual-homed host Một máy tính gọi Dual-homed host có hai Network interfaces, có nghĩa máy có gắn hai card mạng giao tiếp với hai mạng khác máy tính đóng vai trò router