Firewall
• Năm 1980 công nghệ tường
lửa hoạt động
• Năm 1988 Jeff Mogul thuộc
Digital Equipment Corp phát triển
hệ thống tường lửa lọc gói tin
• Từ năm 1980 tới 1990 hệ thống
tường lửa thứ 2 và thứ 3 lần lượt
ra đời
• Năm 1992 Bob Braden và
Annette DeSchon đã phát triển hệ
thống tường lửa gói lọc tin thế hệ
thứ tư “Visas”
• Năm 1994, FireWall-1 ra đời.
Một thế hệ thứ hai của các tường
lửa proxy đã được dựa trên công
nghệ Kernel Proxy.
• Firewall là một kỹ thuật
được tích hợp vào hệ thống
mạng để chống lại sự truy cập
trái phép
• nhằm bảo vệ các nguồn
thông tin nội bộ cũng như hạn
chế sự xâm nhập vào hệ thống
của một số thông tin khác
không mong muốn.
• Firewall là một ứng dụng chạy
giữa mạng cá nhân và Internet.
 Mục đích của
• firewall
Để tránh gây thiệt hại trên hệ
thống mạng
• Tránh những cuộc tấn công
trộm cắp phá hoại thông tin
• Gây suy yếu hoàn toàn hệ
thống, các dữ liệu bị
xóa, thông tin bị rò rỉ, sự
riêng tư bị xâm phạm, hệ
thống tê ệ

Sử dụng nhiều Firewall nhằm tăng khả năng

bảo mật
 Các lựa chọn firewall
Firewall phần cứng Đặc điểm:
Là những firewall được tích hợp trên bộ • Sử dụng có hiệu quả trong
định tuyến việc bảo vệ nhiều máy tính
mà vẫn có mức bảo mật cao
cho một máy tính đơn.
• Không được linh hoạt như
firewall phần mềm (Không thể
thêm chức năng, thêm quy
tắc như firewall phần mềm).
• Firewall phần cứng hoạt động ở
tầng thấp hơn firewall phần
mềm (Tầng network và tầng
transport ).
• Firewall phần cứng không thể
kiểm tra được nội dung của gói
tin.
 Các lựa chọn firewall
Đặc điểm:
Firewall phần mềm • Tính linh hoạt cao: có thể
Là những firewall được cài thêm bớt các chức năng
đặt trên máy chủ (server) • Hoạt động ở tầng cao
hơn firewall phần cứng
• Có thể kiểm tra được
nội dung các gói tin
Những gì Firewall làm
Chức năng chính của Firewall:
• Là kiểm soát luồng thông
tin từ giữa Intranet và Internet.
• Thiết lập cơ chế điều khiển dòng
thông tin giữa mạng bên trong
(Intranet) và mạng Internet
Firewall bảo vệ những vấn đề gì:
• Bảo vệ dữ liệu
• Bảo vệ tài nguyên hệ thống
• Danh tiếng của các công ty sở
hữu các thông tin cần bảo
vệ
Firewall bảo vệ chống lại những vấn đề gì
• Chống lại việc Hacking
• Chống lại việc sửa đổi mã
• Từ chối các dịch vụ đính kèm
• Tấn công trực tiếp
• Nghe trộm
• Vô hiệu hoá các chức năng của
hệ thống (Deny service)
• Lỗi người quản trị hệ thống
• Yếu tố con người
 Mô hình và nguyên lí hoạt
động của firewall
Các thành phần của
firewall
+ Bộ lọc packet
( packet-
filtering router ).
+ Cổng ứng dụng
( Application-level
gateway hay proxy server
).
+ Cổng mạch ( Circuite
level gateway ).
Bộ lọc paket ( Paket filtering router )

• Firewall hoạt động chặt chẽ với

giao thức TCI/IP ,chúng chia
nhỏ các dữ liệu nhận được
thành các gói dữ liệu
• Mỗi gói được so sánh với tập
hợp các tiêu chí trước khi được
chuyển riếp
• Những bức tường này thường Applicatio
chứa ACL n
Presentation
Ưu điểm Nhược điểm
Session
• Chi phí thấp • Việc định
• Không yêu cầu sự nghĩa các chế độ transport
huấn luyện đặc lọc package là
biệt nào một việc khá
Network
phức tạp
• bộ lọc packet
không kiểm soát
Data Link
được nôi dung
thông tin của PHY
 Cổng ứng dụng ( application-level getway )
Cổng ứng dụng được thiết kế như
một pháo đài với những biện
pháp đảm bảo an ninh :
• luôn chạy các version an
toàn (secure version) của các
phần mềm hệ thống
• Chỉ những dịch vụ mà người
quản trị mạng cho là cần thiết
mới được cài đặt trên
bastion host • Ưu điểm • Nhược điểm
• Bastion host có thể yêu cầu • Cho phép người quản • Yêu cầu các users thay
nhiều mức độ xác thực khác trị mạng điều khiển đổi thao tác, hoặc thay
nhau được từng dịch vụ trên đổi phần mềm đã cài
• Mỗi proxy được đặt cấu hình để mạng đặt trên máy client
• cho phép kiểm tra độ cho truy nhập vào các
cho phép truy nhập chỉ một sồ
xác thực rất tốt dịch vụ proxy.
các máy chủ nhất định
• Luật lệ lọc filltering dễ
• Mỗi proxy duy trì một quyển dàng cấu hình và kiểm
nhật ký tra hơn so với bộ lọc
• Mỗi proxy đều độc lập với các packet
proxies khác trên bastion host
 Cổng vòng ( circuit-Level Gateway )
• Là một chức năng đặc biệt có
thể thực hiện được bởi một
cổng ứng dụng
• chuyển tiếp các kết nối TCP mà
không thực hiện bất kỳ một
hành động xử lý hay lọc packet
• Cổng vòng thường được sử
dụng cho những kết nối ra
ngoài, nơi mà các quản trị
mạng thật sự tin tưởng những
người dùng bên trong
• Một bastion host có thể được
cấu hình như là một hỗn hợp
cung cấp cổng ứng dụng cho
những kết nối đến, và cổng
vòng cho các kết nối đi.
 Kiến trúc của Firewall
Contain:
• Kiến trúc Dual – homed
Host
• Kiến trúc Screened Host
• Kiến trúc Screened
Subnet Host
Kiến trúc Dual – homed Host

• Là hình thức xuất hiện

đầu tiên trong cuộc
đấu để bảo vệ mạng
nội bộ
• Là một máy tính có hai
giao tiếp mạng
• Để làm việc được
với một máy trên
Internet, người dùng ở
mạng cục bộ trước
hết phải login vào
Dual– homed Host, và
từ đó bắt đầu phiên
làm việc.
Kiến trúc Dual - homed Những đánh giá về kiến trúc dual-
Host homed host :
• Để cung cấp dịch vụ cho những người
Ưu điểm: sử dụng internal network
• Cài đặt dễ dàng, • Cấp các account cho user trên máy dual–
không yêu cầu phần homed host này-> gây phiền phức cho user
cứng hoặc phần mềm • Kết hợp với các Proxy Server cung cấp
đặc biệt.
những Proxy Service -> khó có thể cung
• Chỉ yêu cầu cấm cấp
khả năng chuyển các
gói tin • Dễ bị tấn công nên chỉ thích hợp khi
Nhược điểm: dùng với mạng nhỏ.
• Không đáp ứng
được những yêu cầu bảo
mật ngày càng phức tạp,
cũng như những hệ
phần mềm mới được
tung ra thị trường.
• Không có khả năng
chống đỡ những cuộc tấn
công nhằm vào chính bản
thân nó
 Kiến trúc Screened Host

• Kết hợp 2 kỹ thuật đó là

Packet Filtering và Proxy
Services.
• Kiến trúc screened host
hay hơn kiến trúc dual–
homed host khi đã tách
chức năng lọc các gói IP và
các Proxy Server ở hai
máy riêng biệt
• Cũng tương tự như kiến
trúc Dual–Homed Host khi
mà Packet Filtering system
cũng như Bastion Host
chứa các Proxy Server bị
đột nhập vào thì lưu thông
của internal network bị
người tấn công thấy.
 Kiến trúc Screened subnet host
• Độ an toàn cao nhất vì
nó cung cấp cả mức bảo
mật: Network và
Application
• Hợp đối với những hệ
thống yêu cầu cung cấp
dịch vụ nhanh, an toàn
cho nhiều người sử dụng
• Kẻ tấn công cần phá vỡ
ba tầng bảo vệ: Router
ngoài, Bastion Host và
Router trong.
• Router trong chỉ quảng cáo
DMZ Network tới mạng
nội bộ, các hệ thống trong
mạng nội bộ không thể
truy nhập trực tiếp vào
Internet
• Router ngoài chỉ quảng
bá DMZ Network tới
Internet, hệ thống mạng
nội bộ là không thể nhìn
thấy
• Không thế ngăn chặn sự xâm nhập của
những nguồn thông tin không mong
muốn nếu không được xác định rõ các
thông số địa chỉ
• Không thể ngăn chặn một cuộc tấn
công nếu cuộc tấn công này không “đi
qua” nó
• Không thể chống lại các cuộc tấn
công
bằng dữ liệu (data-driven attack)
• Firewall không thể làm nhiệm vụ và
quét virus trên các dữ liệu được
chuyền qua nó
• Có thể làm chậm kết nối khi xử lý các
thông tin
• Chỉ hữu hiệu đối với những người
 Lựa chọn Firewall
• Cấu hình cho firewall là sự
áp dụng chính sách an toàn
thông tin cho mạng máy
tính của bạn
• Tính năng của một firewall
là tham số cho hình cho
firewall là sự áp dụng chính
sách an toàn thông tin cho
mạng máy tính của bạn

Chính sách chính là chìa khoá để

quản trị firewall
 Firewall có thể bị phá không?

Câu trả lời là có.

Quá trình phá firewall gồm 2 giai đoạn:
1. Đầu tiên phải tìm ra dạng firewall
mà mạng sử dụng cùng các loại
dịch vụ hoạt động phía sau nó ,tiếp
theo là phát hiện khe hở trên
firewall
2. Hacker sẽ tìm cách để nhận được
một thông điệp từ bên trong hệ
thống ,khi đó đường đi được kiểm
tra và có thể tìm ra những manh
mối về cấu trúc hệ thống.

Bên cạnh firewall, bạn nên

tăng cường các biện pháp bảo vệ khác
MỘT SỐ PHẦN
MỀM FIREWALL Comodo Firewall
HIỆN NAY
• Khả năng bảo vệ toàn diện hệ thống khỏi các Hacker, Spyware, Trojans
và các đối tượng gây hại chưa xác định khác
• Cảnh báo những ứng dụng cài đặt trái phép
• Khả năng quét Malware trong bản Comodo Firewall Pro sẽ giúp tăng
cường sự “miễn dịch” của hệ thống trước các viruses, spyware and
Trojans
• Miễn phí
 ESET Smart Security
• Đa tính năng: tường lửa (Firewall), chống virus (Antivirus), Chống
thư rác (Antispam)
• Bảo vệ toàn diện
• Chiếm ít tài nguyên hệ thống
 ZoneAlarm

• ZoneAlarm sẽ bảo vệ máy tính của bạn khỏi các Rootkit

• Tính năng Firewall Hệ Điều Hành (OSFirewall™) giúp ngăn chặn
những spyware khó diệt và những đe dọa bên sâu khỏi xâm nhập
vào PC của bạn
 Kết luận
Không có cánh cửa bảo vệ nào có thể
chống được hoàn toàn kẻ trộm lọt vào
nhà cả, nhưng nếu cánh cửa đó có khoá
tốt, ngôi nhà đó có tường cao bao quanh
và chủ nhà nuôi nhiều chó dữ, kẻ trộm
sẽ khó lòng lọt vào hơn.
Firewall chỉ là một công cụ bảo vệ hệ
thống mạng máy tính, nó phải được kèm
theo với rất nhiều biện pháp an toàn
khác.
Và điều cần nhớ nữa là người ta không
thể cất một viên kim cương quý giá chỉ
trong một cái tủ gỗ có khoá bình thường
thay vì một cái két sắt kiên cố, hãy đầu
tư cho firewall một cách hợp lý.