Bài giảng Mạng máy tính và thông tin - Chương 7: Tường lửa

Nội dung text: Bài giảng Mạng máy tính và thông tin - Chương 7: Tường lửa

1. Chương 7 TTưưngng ll aa (Firewall)(Firewall) • Khái ni m • Phân lo i • Cu hình • Các h th ng tín nhi m B môn MMT&TT 14/05/2010 1
2. MMcc tiêutiêu • Cung cấp cho người học một cái nhìn tổng quan các loại tường lửa và cách thức sử dụng tường lửa. • Sau khi hoàn tất chương, sinh viên có những khả năng: ▫ Trình bày được tường lửa là gì, vị trí của tường lửa trong mô hình mạng máy tính. ▫ Mô tả được các đặc điểm của tường lửa ▫ Phân biệt được các loại tường lửa. ▫ Hiểu được nguyên lý cấu hình tường lửa. ▫ Trình bày được khái niệm hệ thống tín nhiệm và ứng dụng của chúng trong việc ngăn ngừa các tấn công bằng mã độc hại. B môn MMT&TT 14/05/2010 2
3. KhKhááii nini mm • Khái niệm FirewallFirewall cócó th th làlà : : •• 1 1 routerrouter •• 1 1 PCPC thth cc thithi phph nn mmmm chuyênchuyên dd ngng •T•Tpp hh pp nhinhiuu thithitt bb phph nn cc ng.ng. MMcc tiêutiêu thithi tt kk •• FirewallFirewall đưđưcc đđtt gigiaa mm ngng nn ii bb •T•Ttt cc lưulưu thôngthông tt ngoàingoài vàovào trongtrong vàvà m mngng ngoàingoài (Internet).(Internet). vàvà ngưngưcc llii đđuu phph ii đđii quaqua Firewall.Firewall. •• Firewall Firewall ss ddngng đđiiuu khikhinn truytruy cc pp đđ •• Ch Ch cócó nh nh ngng llưưuu thôngthông hh pp ll mmii bboo đđmm tínhtính anan toàntoàn chocho mm ngng nn ii bb đưđưcc phépphép đđii quaqua •• NgănNgăn chchnn cáccác xâmxâm nhnh pp vàovào mm ng.ng. B môn MMT&TT 14/05/2010 3
4. KhKhááii nini mm • Các kỹ thuật sử dụng trong Firewall 44 kk thuthu tt FirewallFirewall ss ddngng :: •• ĐĐiiuu khikhi nn dd chch vv :: xácxác đđnhnh cáccác lolo ii dd chch vv mmngng nàonào cócó th th đưđưcc truytruy cc pp vàovào hoho cc ra,ra, llcc llưưuu thôngthông mm ngng dd aa theotheo đđaa chch IPIP vàvà c cng.ng. •• ĐĐiiuu khikhi nn hh ưưngng :: xácxác đđnhnh hh ưưngng truytruy cc pp chocho phépphép cc aa tt ngng lolo ii dd chch vv •• ĐĐiiuu khikhi nn ngng ưưii dùngdùng :: dd aa vàovào kk tt ququ chch ngng thth cc đđ xácxác đđnhnh đđii tt ưưngng cócó th th truytruy ccp.p. •• ĐĐiiuu khikhi nn ngng xx :: xácxác đđnhnh nhnh ngng dd chch vv đđcc bibitt đưđưcc ss ddngng nhnh ưư thth nào.nào. VD:VD: chocho phépphép truytruy cc pp tt ngoàingoài vàovào 11 phph nn thôngthông tintin nàonào đđóó trên trên webweb server.server. B môn MMT&TT 14/05/2010 4
5. KhKhááii nini mm • Đặc điểm của Firewall KhKh năngnăng ccaa FirewallFirewall •• Là Là điđimm chch nn nhnh ngng kk tráitrái phépphép ngoàingoài mm ngng riêngriêng cc aa tt chch c,c, ngng ăănn cc mm nhnh ngng dd chch vv nguynguy hihim,m, bb oo vv mmngng trtr ưưcc cáccác tt nn côngcông gigi mmoo vàvà t tnn côngcông vvchch đưđưng.ng. •• Là Là nơinơi đđ giámgiám sátsát vàvà c cnhnh báobáo cáccác ss kikinn bb oo mm tt trongtrong mm ng.ng. GiGi ii hh nn cc aa FirewallFirewall •• Cung Cung cc pp nn nn chocho cáccác chch cc nn ăăngng trêntrên InternetInternet nhnh ưư:: NAT,NAT, kikimm soát,soát, ghighi log.log. •• Không Không thth ngănngăn chchnn cáccác tt nn côngcông •• Có Có th th ss ddngng đđ càicài đđtt VPN.VPN. khôngkhông đđii quaqua FirewallFirewall nhnh ưư tt nn côngcông thôngthông quaqua đưđưngng truytruy xuxu tt Dialup.Dialup. •• Không Không thth bboo vv trưtrưcc cáccác mm ii nguynguy hh ii tt bênbên trong.trong. •• Không Không thth bboo vv trưtrưcc tt nn côngcông ccaa virusvirus vàovào dd liliuu hayhay phph nn mm m.m. B môn MMT&TT 14/05/2010 5
6. PhânPhân loloii • Firewall tầng ứng dụng (application layer firewall) CònCòn gg ii làlà ProxyProxy FirewallFirewall •• ThưThưngng đưđưcc cc uu hìnhhình chch chocho phépphép ss ddngng cáccác dd chch vv cơcơ bbnn nhnh ưư Web,Web, FTP,FTP, SMTP,SMTP, Telnet,Telnet, •• Che Che dd uu đđaa chch ngungu nn yêuyêu cc uu tt mmngng nn ii bb •• ĐaĐa ss làlà d dngng ngng dd ngng =>=> chch m,m, khôngkhông thíchthích hh pp vv ii mm ngng lln.n. B môn MMT&TT 14/05/2010 6
7. PhânPhân loloii • Firewall lọc gói (paket filtering) CònCòn gg ii làlà StatelessStateless FirewallFirewall CiscoCisco PIXPIX FirewallFirewall hh trtr cáccác FirewallFirewall lolo ii nàynày CàiCài đđtt cáccác quyquy tt cc (rule)(rule) điđiuu khikhinn llưưuu thôngthông mm ngng dd aa theo:theo: •• ĐĐaa chch IPIP cc aa nn ơơii gg ii •• ĐĐaa chch IPIP cc aa nn ơơii nhnh nn B môn MMT&TT 14/05/2010 7
8. PhânPhân loloii • Firewall đầy đủ trạng thái (stateful) KiKimm tratra cc ttngng 44 CiscoCisco PIXPIX FirewallFirewall hh trtr cáccác FirewallFirewall lolo ii nàynày CàiCài đđtt cáccác quyquy tt cc (rule)(rule) điđiuu khikhinn llưưuu thôngthông mm ngng dd aa theo:theo: •• ĐĐaa chch IPIP cc aa nn ơơii gg ii •• ĐĐaa chch IPIP cc aa nn ơơii nhnh nn MMtt ss kháckhác còncòn chocho phépphép kikimm •C•Cngng cc aa quáquá trình trình gg ii tratra nn ii dungdung dd liliuu vàvà tính tính bb tt •C•Cngng cc aa quáquá trình trình nhnh nn thth ưưngng cc aa giaogiao thth cc B môn MMT&TT 14/05/2010 8
9. PhânPhân loloii • Firewall duyệt sâu gói tin (deep packet layer) IDS và Cisco KiKimm tratra trêntrên tt tt IDS và Cisco Netscreen Firewall h cc cáccác tt ngng Netscreen Firewall h trtr FirewallFirewall lolo ii nàynày TTươươ ngng tt nhưnhư StatefulStateful packetpacket nhưngnhưng bb sungsung thêmthêm cáccác tínhtính nn ăăng:ng: Ch ng t n •• ĐĐmm bb oo cáccác góigói tintin phùphù h hpp vv ii giaogiao thth cc Ch ng t n công DoS •• ĐĐmm bb oo cáccác góigói tintin phùphù h hpp vv ii cáccác mômô tt chichi tititt công DoS và ch ng •• ĐĐmm bb oo cáccác góigói tintin khôngkhông phph ii làlà các các phph nn mm mm tt nn côngcông và ch ng virus •• ĐĐmm bb oo tínhtính toàntoàn vv nn cc aa dd liliuu truytruy nn đđii gigiaa cáccác thithitt bb virus B môn MMT&TT 14/05/2010 9
10. CCuu hhììnhnh • Các quy tắc – Packet filter firewall Action Our host Port Their host Port Comment Mọi truy cập từ Block * * 203.1.2.3 * 203.1.2.3 đều bị cấm Cho phép truy cập từ Allow Server1 25 * * ngoài vào Server1 với dịch vụ SMTP Block * * * * Default ĐĐâyây làlà chính chính sáchsách mm cc nhiên,nhiên, thưthưngng đưđưcc thêmthêm vàovào cucu ii bb ngng quyquy tt cc =>=> NgoàiNgoài cáccác quyquy tt cc đđnhnh nghngh ĩĩaa phíaphía trên,trên, mm ii thth truytruy cc pp kháckhác đđuu bb ccmm B môn MMT&TT 14/05/2010 10
11. CCuu hhììnhnh • Các quy tắc – Packet filter firewall Action Our host Port Their host Port Comment Nối kết đến SMTP Allow * * * 25 Server ở ngoài ChoCho phépphép tt tt cc máymáy tínhtính bênbên trongtrong mm ngng cc cc bb cócó th th ggii mailmail trtr cc titipp đđnn cáccác SMTPSMTP ServerServer mmngng bênbên ngoài.ngoài. CóCó th th bb HackerHacker llii dd ngng bb ngng cáchcách gigi mmoo 11 ngng dd ngng ccngng 2525 đđ kktt nn ii ngng ưưcc llii cáccác máymáy tínhtính bênbên trong.trong. B môn MMT&TT 14/05/2010 11
12. CCuu hhììnhnh • Các quy tắc – Packet filter firewall Source Dest Action Source Dest Flag Comment Port Port Our Nối kết đến SMTP Allow * * 25 hosts Server ở ngoài Cho phép các trả lời từ Allow * 25 * * ACK SMTP Server gửi lại ThayThay đđii cáchcách đđnhnh nghngh ĩĩaa cáccác quyquy tt cc (tránh(tránh tt oo ll hhngng chocho khaikhai thác):thác): •• Các Các máymáy tínhtính bênbên trongtrong mm ngng cócó th th ggii mailmail trtr cc titipp đđnn cáccác SMTPSMTP Server.Server. •M•Mii trtr llii tt cáccác SMTPSMTP ServerServer đđuu chocho phépphép đđii vàovào mm ng.ng. B môn MMT&TT 14/05/2010 12
13. CCuu hhììnhnh • Các quy tắc – Packet filter firewall MMtt víví d d thth cc tt vv cáccác quyquy ttcc tt ii FirewallFirewall B môn MMT&TT 14/05/2010 13
14. CCuu hhììnhnh • Các quy tắc – Stateful firewall Source Destination Destination Connection Source Port Address Address Port State 192.168.1.100 1030 210.9.88.29 80 Established 192.168.1.102 1031 216.32.42.123 80 Established QuyQuy đđnhnh các giao các giao 192.168.1.101 1033 173.66.32.122 25 Established ddchch cc thth nàonào đưđưcc 192.168.1.106 1035 177.231.32.12 79 Established ss ddngng 223.43.21.231 1990 192.168.1.6 80 Established 219.22.123.32 2112 192.168.1.6 80 Established 210.99.212.18 3321 192.168.1.6 80 Established 24.102.32.23 1025 192.168.1.6 80 Established B môn MMT&TT 14/05/2010 14