BÀI THUYẾT TRÌNH: TÌM HIỂU VỀ FIREWALL

Giáo viên : Vũ Văn Đốc

Bộ môn : Mạng máy tính
Lớp : DHMT 14A2 HN

Danh sách nhóm :

1. Hoàng Thị Minh Ánh
2. Đào Duy Hợp
 1. Khái niệm Firewall
• Firewall là một kỹ thuật được tích hợp vào hệ
thống mạng để chống lại sự truy cập trái phép
nhằm bảo vệ các nguồn thông tin nội bộ cũng
như hạn chế sự xâm nhập vào hệ thống của một
số thông tin khác không mong muốn.
• Firewall là một ứng dụng chạy giữa mạng cá
nhân và Internet.
 2. Chức năng
Chức năng của Firewall:
• Firewall quyết định những dịch vụ nào từ bên trong được phép
truy cập từ bên ngoài, những người nào từ bên ngoài được phép
truy cập đến các dịch vụ bên trong, và cả những dịch vụ nào bên
ngoài được phép truy cập bởi những người bên trong.
• Để firewall làm việc hiệu quả, tất cả trao đổi thông tin từ trong ra
ngoài và ngược lại đều phải thực hiện thông qua Firewall.
• Chỉ có những trao đổi nào được phép bởi chế độ an ninh của hệ
thống mạng nội bộ mới được quyền lưu thông qua Firewall.
 3.Firewall bảo vệ, chống lại
- Firewall bảo vệ
• Bảo vệ dữ liệu
• Bảo vệ tài nguyên hệ thống
• Danh tiếng của các công ty
sở hữu các thông tin cần
bảo vệ
- Firewall chống lại:
• Chống lại việc sửa đổi mã
• Tấn công trực tiếp
• Nghe trộm
• Vô hiệu hoá các chức năng
của hệ thống (Deny
service)
• Lỗi người quản trị hệ
thống
• Yếu tố con người
4. Kiến trúc, cấu trúc,mô hình và nguyên lý hoạt
động
 4.1 Kiến trúc của Firewall
- Kiến trúc tường lửa là ứng
dụng phần cứng, hoặc phần
mềm đặt ở vị trí quan trọng.
Đặc điểm kiến trúc firewall
là đóng vai trò như người
kiểm soát luồng ra và luồng
vào của mạng.
- Các kiến trúc thường dùng
• Kiến trúc Dual – homed Host
• Kiến trúc Screened Host
• Kiến trúc Screened Subnet
Host
4.1.1 Kiến trúc Dual – homed Host

• Là hình thức xuất hiện

đầu tiên trong cuộc
đấu để bảo vệ mạng
nội bộ
• Là một máy tính có hai
giao tiếp mạng
• Để làm việc được với
một máy trên Internet,
người dùng ở mạng
cục bộ trước hết phải
login vào Dual–homed
Host, và từ đó bắt đầu
phiên làm việc.
 4.1.1 Kiến trúc Dual - homed Host
Ưu điểm: Những đánh giá về kiến trúc dual- homed
• Cài đặt dễ dàng, không host :
yêu cầu phần cứng hoặc • Để cung cấp dịch vụ cho những người sử
phần mềm đặc biệt.
dụng internal network
• Chỉ yêu cầu cấm khả
• Cấp các account cho user trên máy dual–
năng chuyển các gói tin
homed host này-> gây phiền phức cho user
Nhược điểm:
• Không đáp ứng được • Kết hợp với các Proxy Server cung cấp
những yêu cầu bảo mật những Proxy Service -> khó có thể cung cấp
ngày càng phức tạp, cũng • Dễ bị tấn công nên chỉ thích hợp khi dùng
như những hệ phần mềm với mạng nhỏ.
mới được tung ra thị
trường.
• Không có khả năng chống
đỡ những cuộc tấn công
nhằm vào chính bản thân
nó
 4.1.2 Kiến trúc Screened Host

• Kết hợp 2 kỹ thuật đó là

Packet Filtering và Proxy
Services.
• Kiến trúc screened host
hay hơn kiến trúc dual–
homed host khi đã tách
chức năng lọc các gói IP và
các Proxy Server ở hai máy
riêng biệt
• Cũng tương tự như kiến
trúc Dual–Homed Host khi
mà Packet Filtering system
cũng như Bastion Host
chứa các Proxy Server bị
đột nhập vào thì lưu thông
của internal network bị
người tấn công thấy.
 4.1.3 Kiến trúc Screened subnet host
• Độ an toàn cao nhất vì nó cung
cấp cả mức bảo mật: Network
và Application
• Hợp đối với những hệ thống yêu
cầu cung cấp dịch vụ nhanh, an
toàn cho nhiều người sử dụng
• Kẻ tấn công cần phá vỡ ba tầng
bảo vệ: Router ngoài, Bastion
Host và Router trong.
• Router trong chỉ quảng cáo DMZ
Network tới mạng nội bộ, các hệ
thống trong mạng nội bộ không
thể truy nhập trực tiếp vào
Internet
• Router ngoài chỉ quảng bá DMZ
Network tới Internet, hệ thống
mạng nội bộ là không thể nhìn
thấy
4.2 Cấu trúc, mô hình và nguyên lí hoạt động của
firewall

Cấu trúc:
- Một hoặc nhiều hệ thống máy chủ kết nối với các bộ
định tuyến (router) hoặc có chức năng router.
- Các phần mềm quản lý an ninh chạy trên hệ thống
máy chủ. Thông thường là các hệ quản trị xác thực
(Authentication), cấp quyền (Authorization) và kế
toán (Accounting).
 Mô hình và nguyên lí hoạt động của firewall

Các thành phần của

firewall
+ Bộ lọc packet
( packet-filtering
router ).
+ Cổng ứng dụng
( Application-level
gateway hay proxy
server ).
+ Cổng mạch ( Circuite
level gateway ).
4.2.1 Bộ lọc packet ( Paket filtering router )

• Firewall hoạt động chặt chẽ

với giao thức TCI/IP ,chúng
chia nhỏ các dữ liệu nhận
được thành các gói dữ liệu
• Mỗi gói được so sánh với
tập hợp các tiêu chí trước
khi được chuyển riếp
• Những bức tường này
thường chứa ACL Ưu điểm Nhược điểm

• Chi phí thấp • Việc định nghĩa

• Không yêu cầu sự các chế độ lọc
huấn luyện đặc package là một
biệt nào việc khá phức tạp
• bộ lọc packet
không kiểm soát
được nôi dung
thông tin của
packet
 4.2.2 Cổng ứng dụng ( application-level getway )

Cổng ứng dụng được thiết kế như một

pháo đài với những biện pháp đảm
bảo an ninh :
• luôn chạy các version an toàn
(secure version) của các phần
mềm hệ thống
• Chỉ những dịch vụ mà người quản
trị mạng cho là cần thiết mới được
cài đặt trên bastion host Ưu điểm Nhược điểm
• Bastion host có thể yêu cầu nhiều • Cho phép người quản trị • Yêu cầu các users thay
mức độ xác thực khác nhau mạng điều khiển được đổi thao tác, hoặc thay
• Mỗi proxy được đặt cấu hình để từng dịch vụ trên mạng đổi phần mềm đã cài đặt
cho phép truy nhập chỉ một sồ các • cho phép kiểm tra độ xác trên máy client cho truy
thực rất tốt nhập vào các dịch vụ
máy chủ nhất định • Luật lệ lọc filltering dễ proxy.
• Mỗi proxy duy trì một quyển nhật dàng cấu hình và kiểm tra
ký hơn so với bộ lọc packet
• Mỗi proxy đều độc lập với các
proxies khác trên bastion host
 4.2.3 Cổng vòng ( circuit-Level Gateway )

• Là một chức năng đặc biệt có

thể thực hiện được bởi một
cổng ứng dụng
• chuyển tiếp các kết nối TCP mà
không thực hiện bất kỳ một
hành động xử lý hay lọc packet
• Cổng vòng thường được sử
dụng cho những kết nối ra
ngoài, nơi mà các quản trị mạng
thật sự tin tưởng những người
dùng bên trong
• Một bastion host có thể được
cấu hình như là một hỗn hợp
cung cấp cổng ứng dụng cho
những kết nối đến, và cổng
vòng cho các kết nối đi.
 5. Phân loại firewall
5.1 Firewall phần cứng
- Là những firewall được tích hợp
trên bộ định tuyến
Đặc điểm:
• Sử dụng có hiệu quả trong việc bảo
vệ nhiều máy tính mà vẫn có mức bảo
mật cao cho một máy tính đơn.
• Không được linh hoạt như firewall
phần mềm (Không thể thêm chức
năng, thêm quy tắc như firewall phần
mềm).
• Firewall phần cứng hoạt động ở tầng
thấp hơn firewall phần mềm (Tầng
network và tầng transport ).
• Firewall phần cứng không thể kiểm
tra được nội dung của gói tin.
5.2 Firewall phần mềm
- Là những firewall được cài
đặt trên máy chủ (server)
Đặc điểm:
• Tính linh hoạt cao: có thể thêm
bớt các chức năng
• Hoạt động ở tầng cao hơn
firewall phần cứng
• Có thể kiểm tra được nội dung
các gói tin
5.2.1 MỘT SỐ PHẦN MỀM FIREWALL
HIỆN NAY

Comodo Firewall
• Khả năng bảo vệ toàn diện hệ thống khỏi các Hacker, Spyware,
Trojans và các đối tượng gây hại chưa xác định khác
• Cảnh báo những ứng dụng cài đặt trái phép
• Khả năng quét Malware trong bản Comodo Firewall Pro sẽ
giúp tăng cường sự “miễn dịch” của hệ thống trước các viruses,
spyware and Trojans
• Miễn phí
 ESET Smart Security
• Đa tính năng: tường lửa (Firewall), chống virus (Antivirus), Chống thư rác
(Antispam)
• Bảo vệ toàn diện
• Chiếm ít tài nguyên hệ thống
 ZoneAlarm

• ZoneAlarm sẽ bảo vệ máy tính của bạn khỏi các Rootkit

• Tính năng Firewall Hệ Điều Hành (OSFirewall™) giúp ngăn chặn
những spyware khó diệt và những đe dọa bên sâu khỏi xâm nhập
vào PC của bạn
6. ƯU NHƯỢC ĐIỂM CỦA FIREWALL
 6.1 ƯU ĐIỂM CỦA FIREWALL
• Firewall cho ta khả năng to lớn
để bảo vệ mạng nội bộ bởi
công việc cần làm chỉ tập trung
tại nút thắt này.
• Firewall đóng vai trò kiểm soát
các dịch vụ này. Nó sẽ thiết lập
chính sách an ninh cho phép
những dịch vụ thoả mãn tập
luật trên Firewall đang hoạt
động.
• Firewall có thể ghi chép lại
những gì xảy ra giữa mạng
được bảo vệ và mạng bên
ngoài.
 6.2 NHƯỢC ĐIỂM CỦA FIREWALL
• Không thế ngăn chặn sự xâm nhập của
những nguồn thông tin không mong
muốn nếu không được xác định rõ các
thông số địa chỉ
• Không thể ngăn chặn một cuộc tấn công
nếu cuộc tấn công này không “đi qua” nó
• Không thể chống lại các cuộc tấn công
bằng dữ liệu (data-driven attack)
• Firewall không thể làm nhiệm vụ và quét
virus trên các dữ liệu được chuyền qua
nó
• Có thể làm chậm kết nối khi xử lý các
thông tin
• Chỉ hữu hiệu đối với những người không
thành thạo kĩ thuật vượt firewall.
 7. Kết luận
Không có cánh cửa bảo vệ nào có thể chống
được hoàn toàn kẻ trộm lọt vào nhà cả, nhưng
nếu cánh cửa đó có khoá tốt, ngôi nhà đó có
tường cao bao quanh và chủ nhà nuôi nhiều chó
dữ, kẻ trộm sẽ khó lòng lọt vào hơn.
Firewall chỉ là một công cụ bảo vệ hệ thống
mạng máy tính, nó phải được kèm theo với rất
nhiều biện pháp an toàn khác.
Và điều cần nhớ nữa là người ta không thể cất
một viên kim cương quý giá chỉ trong một cái tủ
gỗ có khoá bình thường thay vì một cái két sắt
kiên cố, hãy đầu tư cho firewall một cách hợp lý.
 Tài liệu tham khảo
• Bức tường lửa Internet và An ninh mạng – NXB Bưu Điện.
• An toàn và bảo mật tin tức trên mạng – Học viện Công nghệ Bưu chính
Viễn thông (NXB Bưu Điện).
• Mạng máy tính và các hệ thống mở – Tg: Nguyễn Thúc Hải (NXB Giáo
Dục).
• Network and Internetwork Security – Tg: William Stallings.
• Firewalls 24Seven, Second Edition - Tg :Matthew Strebe , Charles Perkins
• Firewall Technologies – Tg: Habtamu Abie
• Cisco - Cisco ASA and PIX Firewall Handbook(2005)
• Các bài viết về mạng máy tính và bức tường lửa – Tham khảo qua Internet.
• Website: http://www.quantrimang.com
• Website: http://vi.wikipedia.org
Thank for watching!

And thanks!