Đang tải... (xem toàn văn)
Nghiên cứu về Firewall và các cơ chế đảm bảo an ninh mà Firewall có thể thực hiện
Bộ giáo dục và đào tạo trờng đại học s phạm kỹ thuật Hng yên KHOA CễNG NGH THễNG TIN B I TI U LUN MễN: AN TO N V B O MT THễNG TIN t i: Nghiờn cu v Firewall v cỏc c ch m bo an ninh m Firewall cú th thc hin Giỏo viờn hng dn : Nguyn Duy Tõn Sinh viờn thc hin : Nguyn Th Thuý Hnh Lp : TK6LC_1 Truờng ĐHSPKT Hưng Yên Khoa CNTT Hng Yªn , tháng 1 năm 2010 TỔNG QUAN VỀ FIREWALL . Mục đích, khái niệm và chức năng I.1 Mục đích: Nhu cầu an ninh hệ thống ngày càng trở nên tối quan trọng vì nhiều nguyên nhân : - Các đối thủ luôn tìm cách để nắm được mọi thông tin của những người cạnh tranh. - Ngày càng có nhiều kẻ cắp tin học có trình độ rất cao cố gắng truy nhập thông tin từ các mạng nội bộ, có khi chỉ nhằm mục đích đùa vui hay thử sức. Mục đích của Firewall, đó là ngăn chặn những kẻ xấu khỏi mạng của bạn trong khi vẫn để bạn thực hiện được công việc của mình. Một Firewall không chỉ cung cấp một sự an toàn thực sự, mà còn đóng một vai trò quan trọng như một lớp bảo vệ an toàn cho công tác quản lý. SV Thực hiện: Nguyễn Thị Thuý Hạnh 2 Truờng ĐHSPKT Hưng Yên Khoa CNTT I.2 Khái niệm: Trong công nghệ mạng thông tin, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để kiểm soát truy cập bằng cách cấm các lưu thông và người dùng không được phép nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế các thông tin không mong muốn xâm nhập vào hệ thống. Firewall cũng có thể hiểu là một cơ chế để bảo vệ mạng tin cậy (mạng nội bộ) khỏi các mạng không tin cậy (thường là Internet). I.3 Chức năng: Điều quan trọng nhất ở Firewall là nó thực hiện vấn đề kiểm soát truy nhập. Nó ngăn chặn người sử dụng không mong muốn truy cập mạng và cho phép người dùng hợp lệ thực hiện việc truy xuất. Về mặt chức năng hệ thống, Firewall là một thành phần được đặt giữa hai hay nhiều mạng để kiểm soát tất cả các lưu thông và truy cập giữa chúng với nhau bao gồm: - Tất cả các trao đổi dữ liệu từ trong ra ngoài và ngược lại phải thực hiện thông qua Firewall. - Chỉ có những trao đổi nào được phép của chế độ an ninh của hệ thống mạng nội bộ mới được quyền lưu thông qua Firewall. Nhìn chung, các Firewall chống lại các đăng nhập tương tác không được xác minh từ bên ngoài. Chúng có thể cung cấp một điểm nghẹt đơn nơi gánh vác trách nhiệm bảo mật và kiểm tra. Firewall cung cấp chức năng kiểm tra và các nhật ký hệ thống (logging)-các bản tổng kết về các loại và tổng số các lưu thông truyền qua nó, số các ý định xâm nhập cho người quản trị mạng. Các Firewall không thể chống lại được các vụ tấn công không đi qua nó (như các cuộc tấn công qua đường điện thoại hay do rò rỉ thông tin qua đĩa mềm). Firewall thật sự không thể bảo vệ bạn chống lại những kẻ phản bội hay những kẻ thiếu học thức. SV Thực hiện: Nguyễn Thị Thuý Hạnh 3 Truờng ĐHSPKT Hưng Yên Khoa CNTT Firewall chống các virus không đuợc tốt lắm. Firewall không thể chống lại một vụ tấn công kiểu hướng dữ liệu, khi chương trình tấn công được gửi hay được chép vào một host nội bộ và được thực hiện ngay tại đó. I.4 Cấu trúc Về mặt cấu trúc vật lý, Firewall bao gồm : - Một hay nhiều hệ thống máy chủ kết nối với các router. - Các phần mềm quản lý an ninh chạy trên hệ thống máy chủ. Thông thường là các hệ quản trị xác thực (authentication), cấp quyền (authoziration) và tính toán (acounting) - được gọi là các dịch vụ AAA. Một Firewall chuẩn bao gồm một hay nhiều thành phần sau đây: (các thành phần này sẽ được đề cập chi tiết hơn ở phần sau) - Bộ lọc gói tin (Packet Filter hay Screened Router). - Cổng mức ứng dụng (Application-Level Gateway hay Proxy Server- Server uỷ quyền). - Cổng mức mạng (Circuit -Level Gateway). - Cơ chế lọc phiên thông minh (Smat Session Filtering). . Phân loại II.1. Firewall mức mạng(Network_Level Firewall) Các Firewall mức mạng là các Firewall mà trên đó lưu thông được kiểm tra ở cấp gói tin của giao thức mạng (quyết định của chúng được dựa trên các cổng,các địa chỉ nguồn và đích của các gói tin IP). Ví dụ như một Router. Hiện Firewall mức mạng phức tạp hơn, chúng duy trì các thông tin nội tại về trạng thái của các liên kết truyền qua chúng, nội dung của một số dòng dữ liệu Firewall mức mạng trực tiếp chọn đường cho lưu thông đi qua chúng, nên được sử dụng khi bạn có các khối địa chỉ IP hợp lệ. - Ưu điểm: Các Firewall mức mạng rất nhanh và trong suốt đối với người sử dụng. SV Thực hiện: Nguyễn Thị Thuý Hạnh 4 Truờng ĐHSPKT Hưng Yên Khoa CNTT - Hạn chế : Thiếu khả năng "nhận thức" thông tin truyền qua nó. II.2 Firewall mức ứng dụng(Application_Level Firewall) Firewall mức ứng dụng là một hệ thống Firewall mà các dịch vụ trên đó được cung cấp bởi các quá trình có tác dụng duy trì thứ tự và trạng thái của một liên kết TCP đầy đủ. Các Firewall mức ứng dụng thường chạy proxy server, do đó các lưu thông hướng ngoại như có nguồn gốc từ Firewall hơn là từ các host nội bộ. Các proxy server còn thực hiện việc logging (ghi nhật ký hệ thống) và kiểm tra các lưu thông truyền qua chúng. - Ưu điểm: Firewall mức ứng dụng cung cấp các báo cáo kiểm tra chi tiết hơn và duy trì nhiều mô hình bảo mật hơn so với Firewall mức mạng. - Hạn chế : Thiếu tính trong suốt và dễ hiểu. KIẾN TRÚC VỀ FIREWALL I. Các khái niệm cơ bản I.1 Mạng vành đai Là một mạng thêm vào giữa mạng ngoài và mạng nội bộ. Nếu một kẻ tấn công xâm nhập thành công vào Firewall, mạng vành đai này sẽ đưa thêm một lớp bảo vệ giữa kẻ tấn công và mạng nội bộ. Trong rất nhiều các thiết đặt mạng, một máy tính bất kì của một mạng đã cho có thể “thấy” được lưu thông trên các máy khác ở mạng này. Điều này là đúng đối với các công nghệ mạng Ethernet, token ring, FDDI. Những kẻ rình mò có thể biết được mật khẩu bằng cách quan sát các phiên sử dụng chúng trong Telnet, FTP, rlogin. Thậm chí nếu các mật khẩu không được chấp nhận, những kẻ rình mò có thể xem lén nội dung của các file nhạy cảm mà người dùng có thể truy cập, các email thú vị mà họ có thể sẽ đọc.v.v. SV Thực hiện: Nguyễn Thị Thuý Hạnh 5 Truờng ĐHSPKT Hưng Yên Khoa CNTT Với một mạng vành đai, nếu ai đó xâm nhập được vào một bastion host trên mạng vành đai, hắn có thể sẽ rình mò trên các lưu thông của mạng này. Tất cả các lưu thông ở trên mạng vành đai nên được hướng tới hoặc xuất phát từ bastion host, hoặc từ Internet. Bởi vì không có lưu thông hoàn toàn nội bộ nào (lưu thông giữa hai host nội bộ) truyền qua mạng vành đai. Lưu thông nội bộ sẽ được bảo đảm an toàn khỏi các cặp mắt tò mò nếu như bastion host bị phá hoại. Rõ ràng, lưu thông đến và xuất phát từ bastion host hoặc thế giới bên ngoài vẫn có thể "thấy" được. Phần công việc trong thiết kế một Firewall là bảo đảm rằng lưu thông này tự nó đủ bí mật để cho việc đọc nó không phá hoại toàn bộ hệ thống nội bộ. I.2 Bastion Host: Là một hệ thống đã được củng cố vững chắc để chống lại các vụ tấn công, và được cài đặt trên một mạng với mong muốn vượt qua được các vụ tấn công một cách có hiệu quả. Bastion host thường là một thành phần của Firewall hoặc có thể ở "bên ngoài" các Web server hoặc các hệ thống truy nhập chung. Đối với kiến trúc Screened Subnet, bạn nối một bastion host (hoặc các host) với một mạng vành đai. Host này là điểm tiếp xúc cho các liên kết đi vào từ thế giới bên ngoài. Ví dụ: - Cho các phiên email (SMTP) hướng nội phân phát thư điện tử tới site. - Cho các liên kết FTP hướng nội tới server FTP nặc danh của site. - Cho các yêu cầu DNS hướng nội về mạng nội bộ Các dịch vụ hướng ngoại (từ các client nội bộ đến các server trên Internet) được xử lí theo các cách sau: - Thiết đặt cơ chế lọc gói tin trên các router nội bộ và router ngoài để cho phép các client nội bộ truy nhập các server ngoài một cách trực tiếp. SV Thực hiện: Nguyễn Thị Thuý Hạnh 6 Truờng ĐHSPKT Hưng Yên Khoa CNTT - Thiết đặt các proxy server chạy trên bastion host (nếu Firewall có sử dụng phần mềm proxy) để cho phép các client nội bộ truy cập các server ngoài một cách gián tiếp. Bạn cũng sẽ thiết đặt cơ chế lọc gói tin để cho phép các client nội bộ giao tiếp với các proxy server trên bastion host và ngược lại, nhưng cấm giao tiếp trực tiếp giữa các client nội bộ và thế giới bên ngoài. Bastion host hoạt động giống như một proxy server đối với các dịch vụ khác nhau, hoặc bằng cách chạy các phần mềm proxy server đặc biệt cho các giao thức cụ thể (như HTTP, FTP) hoặc bằng cách chạy các server chuẩn cho các giao thức tự uỷ quyền (như SMTP). I.3 Router nội bộ(interior Router) Router nội bộ còn gọi là router nghẹt (choke router), bảo vệ mạng nội bộ khỏi Internet và mạng vành đai. Nó thực hiện hầu hết các công việc lọc gói tin cho Firewall của bạn và cho phép các dịch vụ đã qua chọn lọc đi từ mạng nội bộ ra ngoài, những dịch vụ mà mạng của bạn có thể cung cấp và trợ giúp an toàn bằng cách sử dụng cơ chế lọc gói tin hơn là proxy( sự an toàn phụ thuộc các nhu cầu, khả năng và các ràng buộc của chính bạn). Các dịch vụ được phép có thể sẽ bao gồm FTP,WAIS, Archie, Gopher Cần hạn chế các dịch vụ giữa một bastion host và mạng nội bộ để giảm thiểu số máy tính (và đồng thời số dịch vụ trên các máy này) có thể bị tấn công từ bastion host. Bạn cũng nên hạn chế các dịch vụ được phép giữa bastion host và mạng vành đai thành các dịch vụ cần thiết, như SMTP, DNS. Hơn nữa bạn nên hạn chế các dịch vụ bằng cách chỉ cho phép chúng đi tới hoặc đến từ các liên kết giữa bastion host và server nội bộ. Cẩn trọng với tính năng bảo mật hệ chủ và các dịch vụ nội bộ, nơi mà có thể được bastion host tiếp xúc, bởi vì các host và các dịch vụ này sẽ là những thứ mà kẻ tấn công có thể tính đến nếu như hắn ta xâm nhập được vào bastion host của bạn. SV Thực hiện: Nguyễn Thị Thuý Hạnh 7 Truờng ĐHSPKT Hưng Yên Khoa CNTT I.4 Router ngoài (exterior Router) Về mặt lí thuyết, router ngoài (còn gọi là access router) bảo vệ cả mạng vành đai và mạng nội bộ khỏi Internet. Thực tế, các router ngoài cho phép hầu hết các lưu thông truyền từ một mạng vành đai ra ngoài. Chúng rất ít khi lọc các gói tin. Có sự giống nhau về các quy tắc lọc gói tin trên router nội bộ và router ngoài. Nếu có một lỗi ở trong các quy tắc này cho phép một kẻ tấn công xâm nhập, lỗi đó sẽ thể hiện trên cả hai router. Router ngoài thường được cung cấp bởi nột nhóm ở bên ngoài (ví dụ nhà cung cấp dịch vụ Internet), và các truy nhập của bạn tới đó có thể bị hạn chế. Nhóm bên ngoài này thường duy trì một số ít các quy tắc lọc gói tin, nhưng không muốn phức tạp hoá hoặc thường xuyên biến đổi chúng. Khi router đó bị xâm phạm , họ cài đặt một cái mới, họ có thể không nhớ cài lại các bộ lọc này và còn cảm thấy phiền toái khi đề cập đến vấn đề thay thế router để nhờ đó mà bạn biết để kiểm tra. Chỉ những qui tắc lọc gói tin thực sự đặc biệt trên router ngoài mới bảo vệ được các máy trên mạng vành đai (các bastion host và router nội bộ). Tuy nhiên, không cần thiết phải bảo vệ nhiều bởi vì các host trên mạng vành đai được bảo vệ chủ yếu thông qua bảo mật hệ chủ. Các quy tắc còn lại trên router ngoài chính là các bản sao của các quy tắc trên router nội bộ: các quy tắc cấm các lưu thông không an toàn giữa host nội bộ và Internet. Trên lí thuyết router ngoài chỉ cấm các gói tin đã bị cấm bởi router nội bộ rồi. Nếu các gói tin đó vẫn tồn tại, suy ra hoặc router nội bộ hỏng hoặc ai đó đã liên kết một host không mong đợi vào một mạng vành đai. Một trong các nhiệm vụ mà router ngoài thường thực hiện, một nhiệm vụ không dễ thực hiện ở một nơi khác, đó là cấm các gói tin giả mạo có nguồn gốc từ Internet. Router nội bộ có thể làm như thế nhưng nó không thể nhận biết được các gói tin giả mạo có nguồn gốc từ mạng vành đai. Router ngoài là một SV Thực hiện: Nguyễn Thị Thuý Hạnh 8 Truờng ĐHSPKT Hưng Yên Khoa CNTT biên giới rõ ràng hơn. Router nội bộ cũng có thể không bảo vệ được các hệ thống trên mạng vành đai chống lại các gói tin giả mạo. I.5. Packet filtering(Cơ chế lọc gói tin) I.5.1 Sơ lược về gói tin(packet) Để truyền thông tin qua một mạng, thông tin đó phải được tách thành các gói nhỏ và được gửi đi một cách hoàn toàn riêng biệt. Điều này cho phép nhiều hệ thống có thể chia sẻ một mạng, tới phiên thì gửi gói tin này đi. Trong kỹ thuật mạng IP , những gói nhỏ dữ liệu này được gọi là các gói tin. Tất cả các dữ liệu truyền qua mạng IP đều là các gói tin . Để có thể hiểu được cơ chế lọc gói tin, trước tiên bạn phải hiểu được các gói tin và cách mà nó được kiểm soát trên mỗi tầng của họ giao thức TCP/IP: - Tầng ứng dụng (FTP,Telnet, HTTP). - Tầng giao vận (TCP hay UDP). - Tầng liên mạng (IP) - Tầng truy nhập mạng (Ethernet, FDDI, ATM ). Ở mỗi tầng các gói tin bao gồm hai phần: phần header và phần thân. Phần header chứa các thông tin của giao thức ở tầng tương ứng còn phần thân chứa dữ liệu của tầng đó, thường là toàn bộ gói tin của tâng trước đó. Mỗi tầng coi các thông tin mà nó nhận được ở tầng trước như chính dữ liệu của nó và thêm vào đó phần header của chính tầng đó. Quá trình bảo quản dữ liệu bằng cách thêm vào một header mới này được gọi là quá trình bao bọc dữ liệu (encapsulation). Tại tầng ứng dụng, gói tin chỉ đơn giản bao gồm dữ liệu được truyền (Ví dụ một phần của một file trong một phiên làm việc của FTP). Khi nó chuyển SV Thực hiện: Nguyễn Thị Thuý Hạnh 9 Truờng ĐHSPKT Hưng Yên Khoa CNTT đến tầng giao vận, TCP hoặc UDP (User Datagram Protocol) sẽ bảo quản và gắn vào dữ liệu này một header của nó. ở tầng kế, IP coi toàn bộ gói tin (hiện gồm cả dữ liệu ban đầu và phần header của TCP hoặc UDP) như là dữ liệu và gắn phần IP header của nó vào đó. cuối cùng đến tầng kế tiếp Ethernet hay một giao thức mạng khác coi toàn bộ gói tin mà IP chuyển cho nó là dữ liệu và gắn thêm vào đó header của nó. Phía bên kia của liên kết, quá trình này được đảo ngược. Khi dữ liệu được truyền từ một tầng lên tầng cao hơn, các header tương ứng với tầng đó sẽ bị cắt ra. Đối với cơ chế lọc gói tin, thông tin quan trọng nhất nằm trong các header của các tầng đó. I.5.2. Các thông tin trong header của gói tin Sau đây ta sẽ xem xét một số thông tin đáng chú ý đối với quy tắc lọc gói tin trong phần header của gói tin ở các tầng khác nhau. Các thông tin này trợ giúp chính cho các quyết định của cơ chế lọc gói tin. - Tầng Ethernet: Ở tầng này gói tin bao gồm hai phần: phần Ethernet header và phần thân Ethernet. Nhìn chung bạn sẽ không thể thực hiện được công việc lọc gói tin dựa trên các thông tin trong phần Ethernet header. Phần này chứa các thông tin : - Gói tin này thuộc loại gì ? IP, Apple, Novell, DECNET - Địa chỉ Ethernet của máy đặt nó vào trong đoạn mạng Ethernet đặc thù này: là một máy nguồn gốc nếu nó được nối với đoạn mạng này; ngược lại nó sẽ là một router trước đó trong đường đi từ nguồn tới đây. - Địa chỉ Ethernet của máy đích đến của gói tin này trên đoạn mạng Ethernet này: có thể là một máy đích nếu nó được nối với đoạn mạng này; ngược lại nó sẽ là một router kế tiếp trong đường đi từ đây tới đích. - Tầng IP: Tại tầng IP, gói tin IP được tạo thành từ hai phần là phần IP header và phần thân IP. Nhìn từ quan điểm của cơ chế lọc gói tin, phần IP header chứa các thông tin đáng chú ý : SV Thực hiện: Nguyễn Thị Thuý Hạnh 10 [...]... quyền, cơ chế lọc gói tin có thể được thực hiện mà không cần có sự hợp tác hoặc kiến thức của người dùng - Cơ chế lọc gói tin tồn tại rộng rãi trong rất nhiều các router Phầnlớn các site đã có tính năng lọc gói tin có sẵn trong các router mà họ sử dụng * Hạn chế: Mặc dù các tính năng lọc gói tin tồn tại một cách rộng rãi trong nhiều phần cứng và nhiều gói phần mềm khác nhau, cơ chế lọc gói tin hiện vẫư... nội bộ và nối nó với mạng vành đai bằng một router đơn (hình 4-12) Bạn có thể tìm được một cách có hiệu quả để hoà hợp các giải pháp bảo mật khác nhau giữa các mạng nội bộ khác nhau là nối chúng vào vành đai thông qua các router riêng rẽ (ví dụ : một mạng muốn cho phép các liên kết mà xem như là không an toàn với một mạng khác) Trong trường hợp này, mạng vành đai chỉ nên có một liên kết giữa các mạng... Dual-Homed Host để được đảm bảo rằng bạn nhận được các ưu điểm đầy đủ nhất có thể được (không có vấn đề nào trong việc chạy các proxy đơn giản, trung thực) II.9 Firewall nội bộ Các phần trước, ta đều giả thiết rằng bạn xây dựng một Firewall để bảo vệ mạng nội bộ khỏi Internet Tuy nhiên, trong một số tình huống, bạn cũng có thể bảo vệ một số phần trong mạng nội bộ khỏi các phần khác: - Bạn có các mạng thử nghiệm... lại có các nhu cầu thông tin và dịch vụ như nhau, và đối với một số bộ phận của tổ chức, bảo mật thường quan trọng (ví dụ phòng kế toán) hơn đối với các bộ phận khác SV Thực hiện: Nguyễn Thị Thuý Hạnh 25 Truờng ĐHSPKT Hưng Yên Khoa CNTT KẾT LUẬN Firewall tự nó không phải là một biện pháp bảo mật hoàn thiện, bởi nó vẫn còn các hạn chế như: - Không phải tất cả các Router có bộ lọc gói tin đều có thể. .. hiệu suất và dự phòng Tuy nhiên sẽ có các vấn đề sau xuất hiện: - Có rất nhiều lưu thông qua lại mạng vành đai mà sau đó sẽ không đi ra mạng ngoài - Exterior gateway của bạn nhanh hơn rất nhiều so với interior gateway Một nguyên nhân khác của việc sử dụng nhiều interior router là bạn có các mạng nội bộ bội, mà các mạng đó có nguyên nhân về mặt kĩ thuật, về mặt tổ chức hoặc về mặt chính trị không thể sử... trên địa chỉ Cách này cho phép bạn hạn chế dòng các gói tin dựa trên các địa chỉ nguồn và/ hoặc các địa chỉ đích của gói tin mà không phải dính đến các giao thức Việc lọc như thế có thể được sử dụng để cho phép các Host bên ngoài nào đó giao tiếp với các Host bên trong nào đó, hoặc ngăn cản một kẻ chèn các gói tin giả mạo vào mạng của bạn Trong một router giứa mạng của bạn và Internet, bạn có thể áp dụng... với cơ chế an toàn qua đường lọc gói tin - Một số cơ chế quản lý không thể dễ dàng được duy trì bởi các cơ chế lọc gói tin Các thông tin mà một router lọc gói tin có sẵn sẽ không cho phép bạn xác định một số quy tắc mà bạn muốn I.6 Hệ thống uỷ quyền (Proxy system) I.6.1 Khái niệm: Cơ chế proxy cung cấp các truy cập Internet đến một hoặc một số rất ít các host, nhưng lại có vẻ như cung cấp các truy cập... II Các biến thể Trên đâylà một số kiến trúc Firewall thông dụng nhất Tuy nhiên, có rất nhiều biến thể của các kiến trúc này Có một giải pháp tốt và mềm dẻo trong các cấu hình và tổ hợp các thành phần Firewall sao cho phù hợp nhất với phần cứng, ngân sách, và chính sách bảo mật của bạn Sau đây là một số biến thể chung nhất, và các ưu điểm cũng như các hạn chế của chúng II.1 Bastion Host bội (Multi-Bastion... tất cả các lưu thông vào ra trên mạng - Một router lọc gói tin được đặt một cách chiến lược, có thể bảo vệ toàn vẹn một mạng Nếu chỉ có một router nối mạng của bạn với Internet, bạn sẽ có được một nguồn lực rất mạnh trong bảo mật mạng nội bộ của bạn, bằng cách cài dặt cơ chế lọc gói tin trên router này Tuỳ theo vị trí cụ thể trên mạng mà router lọc gói tin sẽ cung cấp một khả năng bảo vệ cụ thể nào... đến các nhật ký ngắn hơn và có ích hơn rất nhiều I.6.3 Hạn chế của cơ chế uỷ quyền: Những dịch vụ proxy tụt hậu so với dịch vụ phi proxy: Mặc dù phần mềm proxy là có sẵn cho các dịch vụ cũ và đơn giản như FTP và Telnet, phần mềm đã qua thử nghiệm dùng cho các dịch vụ mới hơn và ít được sử dụng rộng rãi hơn thì lại khó tìm Chúng thường có một sự tụt hậu rõ rệt giữa các chỉ thị của dịch vụ và khả năng có . dịch vụ mà mạng của bạn có thể cung cấp và trợ giúp an toàn bằng cách sử dụng cơ chế lọc gói tin hơn là proxy( sự an toàn phụ thuộc các nhu cầu, khả năng và các ràng buộc của chính bạn). Các dịch. được chấp nhận, những kẻ rình mò có thể xem lén nội dung của các file nhạy cảm mà người dùng có thể truy cập, các email thú vị mà họ có thể sẽ đọc.v.v. SV Thực hiện: Nguyễn Thị Thuý Hạnh 5 Truờng. bên ngoài ) - Cơ chế lọc gói tin không đòi hỏi kiến thức hay sự hợp tác của người dùng. Không giống như cơ chế uỷ quyền, cơ chế lọc gói tin có thể được thực hiện mà không cần có sự hợp tác