1
Khoa Mạng máy tính và truyền thông
Trường Đại học Công Nghệ Thông
Tin
Ứng Dụng Truyền Thông Và An Ninh Thông Tin
Designing Firewalls
Designing Firewalls
2
Giảng Viên Hướng Dẫn : ThS. NCS. Tô Nguyễn Nhật Quang
Nhóm 2 :
• 08520435 Nguyễn Thành Trung
• 08520530 Trương Thị Thùy Duyên
• 08520292 Phạm Phú Phúc
• 08520548 Lê Kim Hùng
Contents
3
1. Các thành phần của Firewall
Những quan niệm về bảo mật mạng ngày nay rất đa dạng và những đề tài thách thức được
thảo luận. Có nhiều khu vực khác nhau của các loại kiến trúc mạng được quan tâm, nó bắt
đầu từ những thông báo hệ thống để cơ sở dữ liệu, từ tập tin đến in ra các giải pháp để
truy nhập mạng từ xa.
Nó không bắt đầu chưa lâu mà bảo mật và bảo vệ mạng là tài sản căn bản được làm làm
rõ lĩnh vực của kỹ sư mạng, đó là người có sự hiểu biết về công nghệ, kỹ năng cao và
thường chăm chỉ để nói và hiểu các vấn đề nếu bạn không phải là một kỹ sư mạng.
Những thử thách mà người kỹ sư mạng phải đối mặt đó là khả năng truy nhập, bảo vệ tài
sản và giảm thiểu nguy cơ không an toàn, không có sự thay đổi cho tất cả và tại cùng một
thời điểm, công nghệ được sử dụng địa chỉ cấp phát trải qua sự biến đổi trong cả một khu
vực phức tạp. Chie cần nhìn vào duy nhất một khu vực mở rộng trong khu vực tường lửa
để thấy cụ thể làm thế nào để biến đổi một cách trực tiếp, và tác động sâu để hệ thống bảo
mật mạng và trên khả năng nhận biết của người dùng về bảo mật và cả người cung cấp
nó.

trị đặt ra.
Mặc dù có nhiều loại tường lửa thực hiện chức năng lọc, chúng bị giới hạn bởi chúng chỉ
được thiết kế để phân tích tiêu đề của gói tin. Ví dụ chúng ta có thể cấm FTP nhưng
chúng ta chỉ cấm lệnh PUT trong FTP.
Thêm vào máy chủ proxy giúm cho tường lửa có khả năng tạo ra nhiều cơ sở bảo mật hơn
là sử dụng lọc gói tin chính thống. Phần mềm proxy được sử dụng để tạo ra để có thể
phân tích nhiều hơn các tiêu đề của gói tin.
Proxy servers sử dụng phần mềm để chặn đứng các truyền thông trên mạng mà được định
trù từ trước. Chương trình có thể nhận ra các yêu cầu và đại diện cho người dùng tạo ra
các yêu cầu để gửi cho máy chủ. Trong trường hợp này một người dùng bên trong không
thể có một kết nối trực tiếp đến môt máy chủ ở bên ngoài, thay vì một kết nối trực tiếp,
một cấu trúc proxy giống như man-in-middle giúp tạo ra một kết nối giữa người dùng mà
máy chủ này.
Thuận lợi chính trong việc sử dụng phần mềm proxy là có thể thực hiện cho phép hay
cấm sự giao tiếp dựa trên dữ liệu thật sự của gói tin, chứ không chỉ header. Trong những
công việc khác thì proxy giúp nhận ra những phương thức giao tiếp, và sẻ phản ứng lại,
không chỉ là đóng mở các cổng theo sự chỉ đạo.
3. Tường lửa có thể làm gì
5
Vì thế nếu một tường lữa có thể dùng để lọc gói tin, máy chủ proxy, một sự kết hợp cả
hai hay tùy chọn lọc được tạo ra môi trường an toàn cho dữ liệu của bạn.
Một cách không may, giống như những trường hợp thông thường, đây là phạm vi của
việc hợp nhất, không có những cuộc trao đổi khác tại nơi mà sẽ có sự cho phép của người
quản lý mạng để thu được những hiểu biết tốt hơn về những nguyên nhân phía sau cần
cho một tường lửa. Và những tiêu chí cho nơi đặt tường lửa bên trong một mô hình mạng
để có được sự phục vụ tốt nhất.
Trong những mối quan hệ của người quản trị mạng chúng ta và những băn khoăn về việc
mua một thiết bị mà sẻ làm một lượng lớn công việc, tất cả hay hầu hết những thức đó, có
hoặc không có sự bảo mật mạng được thiết lập trong câu hỏi. Nó sẽ giúp cho chúng ta
tóm tắc được việc tường lửa không thế làm gì, vì thế chúng ta có thể bắt đầu hiểu những

định:
c. Một Screened Host:
Giống như hình ở dưới đây, một mạng được bảo vệ bởi sự kết hợp của các cấu trúc
của máy chủ proxy và cấu trúc lọc gói tin. Bộ lọc gói tin cho phép vào bên trong
nếu nó lưu thông qua máy chủ proxy. Nếu một người dùng giao tiếp trực tiếp với
bộ lọc proxy thì dữ liệu sẽ bị từ chối.
7
d. Miền phi quân sự:
Trong hình mô phỏng dưới đây, một mạng được chỉ định là một “zone” hay một
miền, nó được tạo ra để cho đặt máy chủ, cần được cho phép để vào internet và cả
các người dùng bên trong. Đây là một vùng đặc biệt, nó yêu cầu 2 thiết bị lọc, và
có thể có nhiều máy tồn tại bên trong đường biên giới.
5. Xây dựng một chính sách tường lửa
Trước khi tiến hành cấu hình ta cần phải có một Firewall Policy (Chính sách về tường
lửa). Để tránh trường hợp lựa chọn và cài đặt Firewall không chính xác, hiệu quả.
8
Một tường được thiết kế và triển khai một cách chính xác, phải dựa trên một chính sách
cụ thể. Đó là một phần trong chính sách bảo mật tổng thể của tổ chức sử dụng firewall đó.
Thường firewall policy thực hiện theo hai hướng sau :
- Từ chối tất cả, chỉ cho phép những lưu thông hợp lệ.
- Cho phép tất cả, cấm những lưu thông không hợp lệ.
Công việc này là một phần của việc quản trị và bảo mật mạng, ví dụ : tạo một danh sách
các cổng mà trojan, các ứng dụng mà người dùng không đươc phép sử dụng … sau đó tạo
ra các chính sách để chặn chúng. Ngược lại sẽ cho phép những lưu thông hợp lệ.
Có nhiều thành phần khác nhau trong chính sách bảo mật, phổ biến như :
- Acceptable Usage Statement
- Network Connection Statement
- Contracted Worker Statement
- Firewall Administrator Statement.
Sau khi xây dựng chính sách bảo mật tổng thể, nó sẽ bao gồm nhiều vấn đề khác nhau

- Chỉ quản trị viên mới có quyền thực hiện quét mạng.
- Người dùng có thể truy cập vào các trang site FTP để upload và
download các tập tin cần thiết, nhưng máy tính nội bộ có thể sẽ không cài đặt
FTP server.
- Người dùng có thể truy cập WWW trên cổng 80 và Email trên cổng 25. Nhưng
không thể truy cập NNTP trên mọi cổng.
- Người sử dụng subnet 10.0.10.0 được phép sử dụng SSH cho việc quản trị từ
xa và ngược lại.
- Người dùng có thể không được chạy bất kỳ phần mềm chat Internet nào.
- Không được download file lớn hơn 5Mb
- Phần mềm Anti-virus phải được cài đặt, hoạt động tốt, cập nhật thường xuyên
hàng tuần trên máy trạm và cập nhật hằng ngày trên server.
- Chỉ có quản trị viên mới được phép cài đặt phần cứng mới trên máy tính (Bao
gồm cả NIC và modem)
- Không cho phép những kết nối trái phép ra internet dưới bất kỳ hình thức nào.
Trong phần này nhựng kỹ thuật cho phép các cổng, subnet hay các máy tính trong
mạng. Những vấn đề này có thể được thực thi trên tường lửa
c. The Contracted Worker Statement
Phần này thường bị bỏ qua. Đó là các chính sách phải giải quyết các vấn đề của người
lao động theo hợp đồng, hoặc chỉ là tạm thời. Những cá nhân có thể chỉ yêu cầu truy
cập thường xuyên đển các tài nguyên trên mạng.
Một số vấn đề cần chú ý là :
10
- Không có những người sử dụng tạm thời, hoặc theo hợp đồng không được phép
truy cập trái phép đến các tài nguyên, hay thực hiện quét mạng, copy dữ liệu từ
máy tính ra bất kỳ thiết bị nào khác.
- Không được sử dụng FTP, telnet, SSH cho khi chưa được sự cho phép dựa trên
văn bản.
d. The Firewall Administrator Statement
- Firewall administrator phải được chứng nhận bởi các nhà cung cấp firewall.

Ở ví dụ thứ hai, Packet Filtercần được cấu hình sao cho mạng ngoài và mạng nội bộ
không được kết nối trực tiếp với nhau. Các phiên giao tiếp cần thiết được thực hiện
qua Proxy Server.
Ở ví dụ thứ ba, vùng DMZ được thiết lập. Ta có 2 thiết bị đóng vai trò Packet
Filtervà chúng sẽ được cấu hình khác nhau. Thiết bị có kết nối trực tiếp ra mạng
ngoài cần đảm bảo mạng ngoài chỉ có thể thực hiện kết nối tới các proxe server trong
12
DMZ, không vào được mạng nội bộ. Tương tự, thiết bị kết nối trực tiếp với mạng nội
bộ kiểm soát các kết nối từ mạng nội bộ, không cho phép ra mạng ngoài.
6.2. Các quy tắc trong Packet Filter
6.2.1. Các vấn đề cần quan tâm
Packet Filterhoạt động dựa trên các quy tắc. Các quy tắc này được đưa ra đảm
bảo thực thi đúng mục đích của chính sách ban đầu.
Một vài vấn đề cần quan tâm khi thiết lập tập các quy tắc:
- Mạng nội bộ được truy cập dịch vụ nào trên internet?
- Internet được truy cập vào dịch vụ nào của mạng nội bộ?
- Máy nào được quyền truy cập đặc biệt nào đó, mà máy khác không có?
Mặc dù mỗi thiết bị có các cách khác nhau để thực thi các quy tắc này, nhưng
thường vẫn phải quan tâm đến các vấn đề sau:
- Bộ luật được đặt tại interface nào? Là interface kết nối tới mạng nội bộ, hay
interface kết nối tới mạng ngoài?
- Hướng của gói tin. Bộ luật thực thi trên các gói tin đi vào interface đó, hay là
đi ra?
- Địa chỉ. Luật này được thiết lập dựa trên ip nguồn, ip đích, hay cả hai?
- Số hiệu cổng (port)
- Các giao thức tầng cao hơn. Bộ luật có được thiết lập dựa trên giao thức sử
dụng IP, như UDP? TCP?
6.2.2. Port, Socket và ACK bit
Trước khi đi vào việc thiết lập các luật như thê nào, ta lướt qua lại các khái
niệm TCP/IP, port, socket.

eo đó, chỉ những gói tin trả lời cho kết nối xuất phát từ mạng nội bộ có port
nguồn 80 mới được đi qua Packet Filter.
6.2.3. Tính nhất quán, trọn vẹn và súc tích của tập quy tắc
Thiết kế tập quy tắc cho Packet Filtercần đảm bảo 3 yếu tố sau: tính nhất quán,
tính trọn vẹn, và tính súc tích. Tính nhất quán đảm bảo không có sự mâu thuẫn
giữa các quy tắc với nhau. Tính trọn vẹn đảm bảo tập quy tắc đã liệt kê hết các
trường hợp có thể xảy ra. Và tính súc tích đảm bảo sự ngắn gọn và không bị
trùng lấp của tập quy tắc. Ba tính chất này sẽ được giải thích trong ví dụ sau:
15
Ở mô hình trên, Packet Filterđược đặt trên Gateway Router nối mạng nội bộ và
mạng Internet. Bộ quy tắc trên được thiết kế nhằm cho phép mạng ngoài truy
cập vào dịch vụ Mail trên Mail Server. Mạng bên trong được phép kết nối tới
mạng bên ngoài. Và cấm các kết nối xuất phát từ các host được cho là nguy
hiểm từ Internet.
Tính nhất quán: Ta xét quy tắc thứ 2. Mục đích của nó là hủy tất cả các gói tin
xuất phát từ các host không đáng tin cậy ngoài Internet. Tuy nhiên, vì r
2
được
đặt sau r
1
nên các gói tin xuất phát từ các host không đáng tin cậy, nhưng sử
dụng dịch vụ SMTP, thì lại được cho qua. Tập quy tắc này không đạt được tính
nhất quán.
Tính trọn vẹn: ở tập quy tắc trên, với quy tắc r
4
, các gói tin nếu không trùng với
các trường hợp phía trên, sẽ được cho qua. Như vậy tập quy tắc này sẽ chấp
nhận các gói tin không phải là mail, tới Mail Server, và các gói tin mail, tới các
host thông thường. Đây có thể là một lỗ hổng bị khai thác bởi các attacker, do
đó các luồng giao tiếp này cần bị cấm. Ta có thể thêm vào sau quy tắc r

thông tin khác nhau được sử dụng, tuy nhiên có thể tóm gọn lại thành một số
trường thường dùng như sau:
 Ip address filtering:
Là hình thức lâu đời nhất của packet filtering, chỉ sử dụng địa chỉ ip để đưa ra
quyết định cấm/ cho phép một traffic.
Như ta đã biết, có hai cách thiết kế một tập quy tắc. Hoặc là từ chối tất cả, chỉ
cho phép những kết nối được liệt kê. Hoặc là mặc định chấp nhận tất cả, chỉ
cấm những quy tắc được nêu ra. Với số lượng lớn địa chỉ IP, nếu thiết kế theo
kiểu mặc định chấp nhận tập quy tắc sẽ rất dài, tăng khả năng lỗi và không phù
hợp với tổ chức lớn. Do đó phương pháp mặc định từ chối thường được sử
dụng. Nó giúp thực thi các quy tắc một cách dễ dàng hơn và gây khó khăn cho
kẻ tấn công. Kẻ tấn công buộc phải tìm hiểu, xác định các địa chỉ được cho
17
phép, từ đó có thể giả dạng địa chỉ của gói tin để vượt qua bộ lọc. Đặc biệt hiệu
quả đối với các kiểu tấn công không cần gói tin trả về, ví dụ như DoS.
 TCP/UDP Port:
Giúp bảo mật tốt hơn, và cũng như với địa chỉ IP, sẽ dễ dàng quản lý hơn nếu
chỉ mở những port cần thiết và cấm tất cả các port còn lại.
 Protocol Filter:
Trong trường hợp lọc thêm theo port vẫn chưa đảm bảo, ta có thể dùng đến
protocol filtering. Protocol filtering sẽ kiểm tra nội dung của header để xác
định giao thức được dùng ở tầng kế trên, từ đó cho phép gói tin đi qua hay
không. Một vài giao thức thường được kiểm tra:
• TCP
• UDP
• ICMP
• IGMP
 Fragmentation:
Sự phân mảnh xảy ra khi một gói tin đi từ mạng này qua mạng kia có đơn vị
truyền tải tối đa (MTU) nhỏ hơn kích thước của gói tin. Chẳng hạn, các packet

đã bị chia ra như vậy, khả năng Packet Filterlọc sót ra rất lớn. Như vậy gói tin
dễ dàng đi qua Packet Filtervà được ghép lại hoàn chỉnh tại điểm nhận.
• Overlapping fragment attack: tại host destination, sau khi nhận đủ các
fragment từ một packet ban đầu (bằng cách nhìn vào field MF và tính tổng
cộng chiều dài của các fragment đã nhận được), công việc tái lập packet ban
đầu sẽ bắt đầu. Rất không may là thuật toán tái lập nằm trong RFC của IP hiện
tại cho phép các fragment có thể ghi đè lên nhau. Kẻ tấn công gửi fragment đầu
tiên (offset = 0) với đầy đủ thông tin hợp lệ để vượt qua static packet filter, sau
đó sẽ dùng các fragment tiếp theo (offset !=0, không bị kiểm tra bởi static
packet filter) để ghi đè lên vùng thông tin header của fragment đầu tiên.
Teardrop attack: chỉnh sửa trường offset của các phân mảnh. Khi offset +
length của packet 1 khác với offset của packet 2 thì overlapping xảy ra, có thể
khiến máy bị crash.
Giải pháp
• Thiết lập độ dài tối thiểu của fragment đầu tiên sao cho đảm bảo đầy đủ
thông tin cần thiết để kiểm tra.
20
• Cấm tất cả các gói tin phân mảnh.
• Cấu hình trên router buộc gói tin phải được ghép lại hoàn chỉnh trước
khi truyền.
6.3.2. Stateful Packet Inspection
Có thể nhận thấy rằng mặc dù đã rất nỗ lực nhưng Stateless Packet Filterđơn
giản và không đảm bảo độ bảo mật trong môi trường internet hiện nay.
Statefull Packet Filterhoạt động dựa trên các kĩ thuật tương tự như stateless
packet filter, tuy nhiên nó không thực thi trên từng gói tin một cách độc lập với
nhau, mà còn dựa vào trạng thái kết nối tại tầng Session để lọc các gói tin.
Thông tin này được lưu lại và sử dụng cho những lần kế tiếp.
Trong mô hình TCP/IP và mô hình OSI thì stateful firewall hoạt động từ lớp
Transport trở lên cho đến lớp Application. Tất cả các stateful firewall đều hoạt
động dựa vào một bộ luật đã được các nhà quản trị qui định khi cấu hình sao

Proxy server ban đầu thường được sử dụng để cache truy cập các trang web, tăng tốc
mạng và sử dụng Internet. Chúng được phát triển không chỉ để cache các trang web, mà
còn trở thành một phần an ninh của hệ thống mạng.
Packet filter hoạt động bằng cách kiểm tra các thông tin header và căn cứ quyết định trên
các quy tắc được xác định hoặc các polocies. Proxy hoạt động ở lớp application, và có thể
cung cấp các dịch vụ mạng. Proxy hoạt động như một loại gateway (đó là lý do tại sao nó
cũng được gọi là một cổng ứng dụng), cho tất cả các gói tin thông qua.
Khi một proxy được cấu hình và chạy trên mạng, không có giao tiếp trực tiếp giữa client
và server. Các packet filter cho phép giao tiếp trực tiếp này, trong khi các proxy chặn nó.
Một khác biệt đáng kể giữa packet filter và proxy sever là proxy hiểu các ứng dụng hoặc
dịch vụ được sử dụng, và packet filter không làm được. Proxy server sau đó có thể cho
phép hoặc từ chối truy cập, dựa trên thực tế chức năng mà người dùng đang cố gắng để
thực hiện.
7.1. Tiến trình Proxy
Trong ví dụ này, client đã yêu cầu một trang web, và xác định server có trang web.
Các yêu cầu cho trang web thông qua proxy server. Tại thời điểm này, proxy server
không hoạt động như một bộ định tuyến và chuyển tiếp gói tin. Những gì nó làm lấy
từ các điều luật liên quan đến dịch vụ này và quyết định nếu yêu cầu được cấp hay
không.
Một khi các proxy đã quyết định cho phép các yêu cầu, một gói tin mới là tạo với một
địa chỉ IP nguồn của proxy server. Gói tin mới này là yêu cầu cho các trang web từ
các sever đích. Các web server nhận được yêu cầu, và trả về trang web cho các máy
chủ yêu cầu. Trong khi các proxy đang chạy, các máy chủ yêu cầu là proxy server.
23
Khi proxy nhận được các trang web, nó sẽ kiểm tra điều luật của nó để xem trang này
là được phép. Một khi quyết định được thực hiện để proceed, proxy tạo một gói tin
mới với các trang web như là payload, và sẽ gửi đến client ban đầu.
Hình dưới đây là một minh hoạ của các chức năng cơ bản mà một proxy server có thể
làm được trong mạng. Chú ý các gói tin của client không bao giờ trực tiếp đến máy
chủ, và ngược lại.

7.2.3. Truy nhập đơn điểm
Một trong những lợi ích đáng kể của proxy server là khả năng có một điểm duy
nhất để đăng nhập truyền tải dữ liệu. Khi tất cả lưu lượng đi qua một điểm duy
nhất, nó tương đối dễ dàng để tạo lại toàn bộ một phiên duyệt web cho người sử
dụng để xác định lỗi.
7.3. Các vấn đề Proxy
25

Trích đoạn Honeypot (tạm gọi là mắt ong)

---