Đang tải... (xem toàn văn)
Tìm hiểu về Firewall 2.1. Khái niệm Firewall, mục tiêu, đặc tính khi thiết lập firewall 2.2. Tìm hiểu về các loại Firewall Tìm hiểu về Firewall 2.1. Khái niệm Firewall, mục tiêu, đặc tính khi thiết lập firewall 2.2. Tìm hiểu về các loại Firewall Tìm hiểu về Firewall 2.1. Khái niệm Firewall, mục tiêu, đặc tính khi thiết lập firewall 2.2. Tìm hiểu về các loại Firewall
ĐỊNH NGHĨA VÀ PHÂN LOẠI FIREWALL Định nghĩa: 1.1 Giới thiệu Firewall: Firewall thiết bị – hay hệ thống – điều khiển truy cập mạng, phần cứng phần mềm kết hợp hai Firewall thường đặt mạng vành đai để đóng vai trị cổng nối (gateway) bảo mật mạng tin cậy mạng không tin cậy, Intranet Internet mạng doanh nghiệp chủ với mạng đối tác Firewall thiết kế để ngăn chặn tất lưu lượng không phép cho phép lưu lượng phép qua Vì thế, thiết bị firewall thường bao gồm hai giao tiếp mạng (network interface): Một nối với mạng bên (vd: intranet: mạng cần bảo vệ); Một nối với mạng bên (vd: Internet: mạng không tin cậy) Ở cần phân biệt rõ, vài trò gateway, router firewall: Như biết, router thiết bị mạng, thường sử dụng cho mục tiêu định tuyến lưu lượng mạng (có thể từ chối lưu lượng đó) Trong đó, firewall thiết bị bảo mật, có nhiệm vụ giám sát điều khiển lưu lượng mạng (chỉ cho phép lưu lượng thích hợp qua) Trong thực tế, cấu hình hợp lệ router thực vài chức firewall, điều ngược lại khó Ngồi ra, firewall cung cấp chế cấu hình linh hoạt hơn, cấu hình phép/cấm (allow/deny) lưu lượng dựa dịch vụ, địa IP nguồn đích, ID người yêu cầu sử dụng dịch vụ Nó cấu hình để ghi lại (log) tất lưu lượng qua Người quản trị an ninh hệ thống cấu hình để firewall thực chức trung tâm quản lý bảo mật Tức là, firewall đóng vai trị cổng nối bảo mật mạng vành đai mạng Tổ chức Khi lưu lượng từ bên muốn đến tất hệ thống phạm vi mạng Tổ chức phải thông qua firewall 1.2 Mục tiêu thiết kế firewall: • Tất lưu lượng từ mạng bên bên ngược lại phải qua firewall Để đạt mục tiêu ta phải khóa tất “con đường” vào mạng bên trong, ngoại trừ thông qua firewall • Chỉ có lưu lượng cho phép, định nghĩa sách bảo mật cục (local security policy), phép qua firewall Nhiều loại firewall khác sử dụng để cài đặt loại sách bảo mật khác • Bản thân firewall phải có khả tránh xâm nhập bất hợp pháp Để đạt mục tiêu cần phải thiết kế hệ thống tin cậy Người quản trị an ninh hệ thống phải hồn thiện đặc tính cấu hình hệ thống, điều giúp loại bỏ số rủi ro xảy với hệ thống Nếu hệ thống không cấu hình hợp lệ tạo điều kiện cho hacker công vào mạng thông qua cácdịch vụ khơng hợp lệ 1.3 Đặc tính Firewall: Sau kỹ thuật chung mà firewall sử dụng để điều khiển truy cập làm cho sách bảo mật site có hiệu lực Trước firewall tập trung vào điều khiển dịch vụ, chúng thực bốn chức cụ thể sau: • Điều khiển dịch vụ (service control): Xác định loại dịch vụ Internet truy cập, vào Firewall lọc lưu lượng dựa vào địa IP số hiệu cổng TCP; Có thể cung cấp phần mềm proxy, mà tiếp nhận phiên dịch yêu cầu dịch vụ trước chuyển tiếp nó; Hoặc tự quản lý phần mềm server dịch vụ Web Mail • Điều khiển hướng (direction control): Xác định hướng mà dịch vụ cụ thể yêu cầu, khởi tạo phép thơng qua firewall • Điều khiển người sử dụng (user control): Điều khiển truy cập đến dịch vụ, mà người sử dụng cố gắng truy cập đến Đặc trưng thường áp dụng cho người sử dụng bên firewall vành đai (người sử dụng cục bộ) Nó áp dụng cho lưu lượng vào, từ người sử dụng bên ngồi • Điề khiển hành vi (Behaviour Control): Điều khiển dịch vụ đặc biệt sử dụng Ví dụ: firewall lọc e-mail để hạn chế thư rác, cho phép truy cập bên ngồi đến phần thơng tin server Web cục 1.4 Thuận lợi hạn chế Firewall: Thuận lợi: • Firewall định nghĩa “choke point” đơn, làm cho người sử dụng bất hợp pháp không tiếp cận mạng bảo vệ, giúp bảo vệ mạng chống lại công theo kiểu spoofing IP routing IP Việc sử dụng “choke point” đơn làm cho việc quản lý bảo mật trở nên đơn giản hơn, khả bảo mật kết hợp hệ thống đơn tập hệ thống • Firewall cung cấp vị trí để giám sát kiện liên quan đến bảo mật Việc kiểm toán (audit) cảnh báo (alarm) cài đặt hệ thống firewall • Firewall hệ tiện lợi cho nhiều chức Internet không liên quan đến bảo mật, bao gồm, chức NAT (network address translator): ánh xạ địa mạng cục thành địa Internet, chức quản trị mạng: kiểm toán ghi lại thông tin liên quan đến việc sử dụng Internet • Firewall phục vụ hệ cho IPSec Khi chế độ đường hầm triển khai, firewall sử dụng để cài đặt mạng riêng ảo Hạn chế: • Firewall khơng thể bảo vệ để chống lại công không qua firewall Các hệ thống nội có khả dial-out để kết nối với ISP Một LAN nội hỗ trợ modem pool, mà cung cấp khả dial-in cho nhân viên lưu động • Firewall khơng thể chống lại nguy cơng từ bên mạng nội mà bảo vệ, có người sử dụng từ bên hợp tác với kẻ cơng bên ngồi • Firewall khơng thể bảo vệ chống lại việc chuyển chương trình file có virus qua Phân loại ffirewall: FIREWALL TẦNG ỨNG DỤNG & FIREWALL LỌC GÓI: Nếu dựa vào nguyên lý hoạt động firewall ta chia thành hai loại chính: Firewall tầng ứng dụng Firewall lọc gói tin Mặc dầu hoạt động theo hai nguyên lý khác nhau, với cấu hình phù hợp hai thực chức bảo mật mạng, việc ngăn chặn lưu lượng/gói tin khơng phép qua Ngồi ra, xem: Circuite-level Gateway; Stateful Inspection Firewall; Bastion Host loại firewall khác Sau xem xét, làm để sách bảo mật có hiệu lực loại firewall Firewall tầng ứng dụng (Application Level firewalls) Firewall tầng ứng dụng, gọi Proxy, gói phần mềm hoạt động hệ điều hành đa – hệ điều hành Windown NT Unix, thiết bị firewall Loại có nhiều giao diện (interface) mạng – giao diện, giao diện dùng để nối với mạng kết nối với Một tập luật sách định nghĩa, để lưu lượng phép chuyển từ mạng sang mạng khác – hay từ giao diện qua giao diện khác Nếu luật không cho phép lưu lượng qua, firewall từ chối hủy bỏ gói tin lưu lượng Tập luật sách có hiệu lực thông qua việc sử dụng proxy firewall Trên firewall tầng ứng dụng, giao thức “được phép” phải có proxy riêng Một proxy tốt proxy xây dựng cách cụ thể cho giao thức cụ thể Ví dụ, proxy FTP hiểu giao thức FTP định, cho phép qua bị chặn lại, với lưu lượng mang giao thức này, tất nhiên phải dựa tập luật sách định nghĩa Với firewall tầng ứng dụng, tất kết nối kết thúc firewall Xem hình sau: Hình cho thấy, kết nối bắt đầu hệ thống Client tới giao diện bên firewall Firewall chấp nhận kết nối này, phân tích nội dung gói giao thức sử dụng, tập luật sách cho phép lưu lượng qua firewall khởi tạo kết nối từ giao diện bên ngồi đến hệ thống Server Firewall tầng ứng dụng sử dụng proxy để kiểm soát kết nối vào Trong trường hợp này, proxy firewall nhận kết nối vào thực xử lý cần thiết trước lưu lượng gửi tới hệ thống đích Nhờ mà firewall bảo vệ hệ thống mạng bên trong, ngăn chặn công khởi tạo thông qua ứng dụng Đa số Firewall tầng ứng dụng thiết kế proxy cho giao thức thường sử dụng dịch vụ Internet nay, HTTP, SMTP, FTP,Telnet,… Theo đó, gói tin mang giao thức xem xét, qua hay bị chặn lại, qua qua Proxy Tất nhiên, gói tin mang giao thức khác không qua Proxy Firewall tầng ứng dụng “ẩn” địa IP hệ thống phía sau Bởi vì, tất kết nối khởi tạo kết thúc giao diện firewall, hệ thống bên (internal) không “hiện” trực tiếp bên ngồi nhờ mà lược đồ địa IP mạng bên “ẩn” với giới Internet bên ngồi Firewall lọc gói (IP Packet Filter Firewalls) Firewall lọc gói (tin) gói phần mềm hoạt động hệ điều hành đa – Windows NT Unix, thiết bị firewall Firewall loại có nhiều giao diện mạng – hai giao diện, giao diện dùng để nối với mạng kết nối với Cũng firewall tầng ứng dụng, tập luật sách định nghĩa, lưu lượng phép chuyển từ mạng sang mạng khác Nếu luật khơng cho phép lưu lượng qua, firewall từ chối hủy bỏ gói tin lưu lượng Với Firewall lọc gói, kết nối khơng kết thúc firewall, xem hình sau, trực tiếp đến hệ thống đích Khi gói tin gửi đến firewall, firewall kiểm tra xem gói trạng thái kết nối có cho phép luật sách định nghĩa hay khơng Nếu phép, gói tin gửi theo hướng truyền Nếu khơng, gói bị từ chối bị hủy bỏ Các firewall lọc gói khơng dựa vào proxy cho giao thức, sử dụng với giao thức chạy IP Một số giao thức yêu cầu firewall phải hiểu chúng làm Ví dụ, FPT sử dụng kết nối cho khởi tạo logon số lệnh đó, kết nối khác sử dụng để truyền file Kết nối sử dụng để truyền file xem phần kết nối FTP firewall phải có khả đọc lưu lượng hiểu cổng kết nối sử dụng Nếu firewall làm điều này, chuyển giao file thất bại Chú ý: Một cách tương đối: firewall lọc gói có khả xử lý lượng lưu lượng lớn firewall ứng dụng Firewall lọc gói hồn tồn khơng sử dụng proxy, tức lưu lượng từ Client gửi truyền trực tiếp đến Server Trong trường hợp này, hacker thực công chống lại Server dịch vụ mở đó, mà dịch vụ cho phép luật sách firewall, firewall khơng cản trở hacker Firewall lọc gói cho phép lược đồ địa bên nhìn thấy từ bên ngồi Địa bên khơng cần ẩn kết nối khơng kết thúc firewall Các luật sách có hiệu lực sử dụng lọc kiểm tra gói Các lọc kiểm tra gói định lưu lượng có phép qua hay khơng, dựa luật sách trạng thái kết nối giao thức