Báo cáo đề tài môn
Truyền thông & An ninh thông n
Tên đề tài: Conguring
Firewall
Giảng viên hướng dẫn: ThS. NCS Tô Nguyễn Nhật Quang
Nhóm SV thực hiện: Nhóm 14 – Lớp MMT 02
Trương Quốc Hùng 07520159
Nguyễn Quốc Việt 07520508
Phạm Duy Lộc 07520481
Đoàn Duy Ninh 07520489
Nguyễn Khánh Thuật 07520501
Nhóm 14 - Lớp MMT02
19/04/2011
Nội dung trình bày
1. Tổng quan về Firewall
2. IP Table
3. Cấu hình tường lửa Microsoft ISA 2006 (Demo)
Nhóm 14 - Lớp MMT02
Tổng quan về Firewall
Nhóm 14 - Lớp MMT02
1
A. Tổng quan về Firewall
B. Phân loại Firewall
C. Xây dựng Firewall Rule
D. Các mô hình Firewall phổ biến
Firewall cho phép hoặc ngăn những dịch vụ truy cập từ bên ngoài
vào một vùng mạng hoặc một tài nguyên nào đó bên trong.
Firewall theo dõi và kiểm soát luồng dữ liệu đi từ hệ thống mạng
bên trong ra bên ngoài và ngược lại.
Firewall theo dõi và kiểm soát địa chỉ truy cập, cấm truy cập hoặc
truy cập một số địa chỉ đã được thiết lập.
Firewall kiểm soát việc truy cập của người dùng và những dữ liệu
mà người dùng nhận từ mạng bên ngoài.
Firewall có thể chống lại những đợt tấn công của hacker.
Sự phát triển của Firewall:
Nhóm 14 - Lớp MMT02
Packet
Filter
Application
Proxy
Stateful
Inspection
Bộ lọc gói tin
Proxy
Tường lưa có trạng
thái/phi trạng thái
Các thành phần của Firewall:
Nhóm 14 - Lớp MMT02
Một Firewall chuẩn sẽ gồm
các thành phần sau:
Bộ lọc gói tin (Packet Filter):
thông tin.
Các thành phần của Firewall:
Nhóm 14 - Lớp MMT02
Circuit-Lever Gateway:
Hoạt động ở lớp Session (mô
hình OSI) và tầng Transport
(lớp TCP, mô hình TCP/IP),
CLG giám sát việc bắt tay TCP
giữa các gói tin để xác định
một phiên truyền dữ liệu là
phù hợp, CLG giúp che dấu
client, hệ thống mạng mà nó
cần bảo vệ. CLG không lọc
các gói tin.
Phân loại Firewall
Nhóm 14 - Lớp MMT02
Phân loại theo phạm vi:
Tường lửa cá nhân (Personal Firewall): Thường là ứng dụng lọc dữ liệu
ra vào trong một máy tính đơn.
Tường lửa mạng (Network Firewall): Chạy trên các thiết bị mạng hoặc
máy tính chuyên dụng đặt tại vùng biên giữa các khu vực mạng
Phân loại theo tầng giao thức:
Tường lửa tầng mạng, còn được gọi là Packet Filter Firewall
Tưởng lửa tầng ứng dụng, được gọi là Application/Proxy Gateway
Firewall
Phân loại Firewall
đích của hệ thống nơi mà gói tin được gởi đến.
Giao thức nào sẽ được dùng để giao tiếp giữa nơi gởi và nơi nhận. Loại
tường lửa này hoạt đông ở tầng 2 và 3 trong mô hình OSI.
Một số loại Firewall phổ biến:
Nhóm 14 - Lớp MMT02
Stateful Packet Filtering Firewall:
Tường lửa này cũng có các tính năng và cách hoạt động giống với Simple
Packet Filtering Firewall như là lọc gói tin dựa trên các rule đã được thiết
lập, và nó còn giữ lại tất cả trạng thái của các kết nối đã được chấp nhận
(Accepted Connection) trong bộ nhớ. Khi một gói tin đến, firewall có thể
xác định được gói tin đó là của kết nối mới hoặc là của kết nối đã được
thiết lập.
Các trạng thái của các kết nối gồm LISTEN, SYN-SENT, SYN-RECEIVED,
ESTABLISHED, FIN-WAIT-1, FIN-WAIT-2, CLOSE-WAIT, CLOSING, LAST-
ACK, TIME-WAIT, CLOSED.
Khi một phiên kết nối bị ngắt hoặc do hết thời gian dành cho kết nối thì
thông tin về kết nối đó sẽ được xóa khỏi bộ nhớ của firewall. Tường lửa
này hoạt động ở Layer 2, 3 và 4 trong mô hình OSI.
Một số loại Firewall phổ biến:
Nhóm 14 - Lớp MMT02
Applicaon Lever Firewall:
Đây là một loại tường lửa phức tạp (còn được gọi là Application - Proxy
Gateway), vì nó thực hiện nhiều sự kiểm tra các gói dữ liệu từ tầng 2 đến
tầng 7 (trong mô hình OSI). Application Lever Firewall kiểm soát và dẫn
đường các gói tin giữa các vùng mạng (tin cậy và không tin cậy) theo các
cơ chế đã được cấu hình trên nó, kiểm soát các ứng dụng hoặc dịch vụ
nào đang gởi hoặc nhận dữ liệu. Tường lửa này cũng có chưc năng như
là một Applicaton Proxy.
Accept: Tường lửa chấp nhận cho gói tin/kết nối đi qua và đến nơi
cần đến.
Deny: Tường lửa bỏ qua gói tin/kết nối, sau đó một thông báo lỗi sẽ
được gởi đến nơi xuất phát của gói tin.
Discard: Tường lửa bỏ qua gói tin và không thông báo gì cho nơi gửi.
Xây dựng Firewall Rule:
Nhóm 14 - Lớp MMT02
Các thông tin trong packet sẽ được tường lửa kiểm tra và so sánh với
các rule đã có để quyết định cho phép hay hủy bỏ một gói tin. Chúng ta
có thể tạo rule dựa trên các thông tin này. Chúng bao gồm:
Địa chỉ nguồn
Đỉa chỉ đích
Giao thức
Port nguồn
Port đích
Dịch vụ
Giá trị TTL
Three Legged (DMZ) Firewall Topology: Mô hình này thường được
sử dụng khi chúng ta muốn công khai các nguồn tài nguyên ra các hệ
thống mạng bên ngoài, khu vực mạng chứa các tài nguyên này được gọi
là DMZ. Cũng giống như mô hình Perimeter Firewall, mô hình này sử
dụng một tường lửa nhưng có thêm một card mạng khác để kết nối với
DMZ. Tường lửa sẽ được cấu hình cho phép bên ngoài chỉ có thể truy
cập đến những tài nguyên được chỉ định.
Một số mô hình Firewall phổ biến
Nhóm 14 - Lớp MMT02
Chained (DMZ) Firewall Topology: Mô hình này sử dụng 2 tường lửa
để tạo DMZ nằm ở giữa hệ thống mạng nội bộ và bên ngoài. Việc cấu
hình cho 2 firewall này tương đối phức tạp, nhưng nếu cấu hình đúng thì
mô hình tường lửa này mang lại hiệu quả bảo mật rát cao
Mô hình này thường được áp dụng khi mạng nội bộ và bên ngoài muốn
truy cập vào DMZ, sẽ có các rule ở mỗi tường lửa cho từng truy cập từ
bên trong và bên ngoài.
IPTables
Nhóm 14 - Lớp MMT02
2
A. Khái niệm IPTable
B. Cấu hình IPTable (demo)
Khái niệm IPTable:
Nhóm 14 - Lớp MMT02
Khái niệm IPTable:
IPTable là một loại tường lửa được phát triển bởi Netfilter Organiztion để
tăng tính bảo mật trong các hệ điều hành Linux, nó là một Packet-
Filtering Firewall. IPTables kiểm tra các packet vào và ra khỏi một
Interface thông qua các rule được thiết lập sẵn. Thông qua IPTables,
Input Chain: Lọc những gói tin đi vào hệ thống.
Output Chain: Lọc những gói tin đi ra khỏi hệ thống.
NAT:
Sửa địa chỉ gói tin gồm các chain được thiết lập sẵn
:
•
Pre-Routing: Sửa địa chỉ đích của gói tin trước khi nó được routing bởi
bảng routing của hệ thống (destination NAT hay DNAT).
•
Post-Routing: Ngược lại với Pre-routing, nó sửa địa chỉ nguồn của gói
tin sau khi gói tin đã được routing bởi hệ thống (SNAT).
Copyright: Tài liệu đại học ©