Tìm hiểu về tường lửa Firewall

Tường lửa là một thiết bị phần cứng và/hoặc một phần mềm hoạt động trong một môi trường máy tính nối mạng để ngăn chặn một số liên lạc bị cấm bởi chính sách an ninh của cá nhân hay tổ chức, việc này tương tự với hoạt động của các bức tường ngăn lửa trong các tòa nhà. Tường lửa còn được gọi là Thiết bị bảo vệ biên giới (Border Protection Device - BPD), đặc biệt trong các ngữ cảnh của NATO, hay bộ lọc gói tin (packet filter) trong hệ điều hành BSD - một phiên bản Unix của Đại học California, Berkeley.

Nhiệm vụ cơ bản của tường lửa là kiểm soát giao thông dữ liệu giữa hai vùng tin cậy khác nhau. Các vùng tin cậy (zone of trust) điển hình bao gồm: mạng Internet (vùng không đáng tin cậy) và mạng nội bộ (một vùng có độ tin cậy cao). Mục đích cuối cùng là cung cấp kết nối có kiểm soát giữa các vùng với độ tin cậy khác nhau thông qua việc áp dụng một chính sách an ninh và mô hình kết nối dựa trên nguyên tắc quyền tối thiểu (principle of least privilege).

pdf74 trang | Chia sẻ: hungpv | Lượt xem: 2101 | Lượt tải: 1download
Bạn đang xem trước 20 trang nội dung tài liệu Tìm hiểu về tường lửa Firewall, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
1 2 M•c l•c 1. An toàn thông tin trên mng _____________ Error! Bookmark not defined. 1.1 Ti sao cn có Internet Firewall ___________ Error! Bookmark not defined. 1.2 Bn mun bo v cái gì?__________________ Error! Bookmark not defined. 1.2.1 D liu ca bn ____________________ Error! Bookmark not defined. 1.2.2 Tài nguyên ca bn _________________ Error! Bookmark not defined. 1.2.3 Danh ting ca bn _________________ Error! Bookmark not defined. 1.3 Bn mun bo v chng li cái gì? _________ Error! Bookmark not defined. 1.3.1 Các kiu tn công __________________ Error! Bookmark not defined. 1.3.2 Phân loi k tn công _______________ Error! Bookmark not defined. 1.4 Vy Internet Firewall là gì? _______________ Error! Bookmark not defined. 1.4.1 nh ngh a________________________ Error! Bookmark not defined. 1.4.2 Ch c n ng ________________________ Error! Bookmark not defined. 1.4.3 Cu trúc__________________________ Error! Bookmark not defined. 1.4.4 Các thành phn ca Firewall và c ch hot ng Error! Bookmark not defined. 1.4.5 Nhng hn ch ca firewall __________ Error! Bookmark not defined. 1.4.6 Các ví d firewall __________________ Error! Bookmark not defined. 2. Các dch v Internet ______________Error! Bookmark not defined. 2.1 World Wide Web - WWW________________ Error! Bookmark not defined. 2.2 Electronic Mail (Email hay th in t ). ____ Error! Bookmark not defined. 2.3 Ftp (file transfer protocol hay d ch v chuy n file) ___ Error! Bookmark not defined. 2.4 Telnet và rlogin _________________________ Error! Bookmark not defined. 2.5 Archie_________________________________ Error! Bookmark not defined. 2.6 Finger _________________________________ Error! Bookmark not defined. 3 3. H thng Firewall xây dng bi CSE_Error! Bookmark not defined. 3.1 T ng quan _____________________________ Error! Bookmark not defined. 3.2 Các thành phn ca b chng trình proxy:_ Error! Bookmark not defined. 3.2.1 Smap: D ch v SMTP _______________ Error! Bookmark not defined. 3.2.2 Netacl: công c iu khin truy nhp mng _____ Error! Bookmark not defined. 3.2.3 Ftp-Gw: Proxy server cho Ftp ________ Error! Bookmark not defined. 3.2.4 Telnet-Gw: Proxy server cho Telnet____ Error! Bookmark not defined. 3.2.5 Rlogin-Gw: Proxy server cho rlogin____ Error! Bookmark not defined. 3.2.6 Sql-Gw: Proxy Server cho Oracle Sql-net______ Error! Bookmark not defined. 3.2.7 Plug-Gw: TCP Plug-Board Connection server___ Error! Bookmark not defined. 3.3 Cài t ________________________________ Error! Bookmark not defined. 3.4 Thit lp cu hình: ______________________ Error! Bookmark not defined. 3.4.1 Cu hình mng ban u______________ Error! Bookmark not defined. 3.4.2 Cu hình cho Bastion Host ___________ Error! Bookmark not defined. 3.4.3 Thit lp tp hp quy tc_____________ Error! Bookmark not defined. 3.4.4 Xác thc và d ch v xác thc _________ Error! Bookmark not defined. 3.4.5 S dng màn hình iu khin CSE Proxy: ______ Error! Bookmark not defined. 3.4.6 Các vn  cn quan tâm vi ngi s dng ____ Error! Bookmark not defined. 4 1. An toàn thông tin trên mng 1.1 Ti sao cn có Internet Firewall Hin nay, khái nim mng toàn cu - Internet không còn mi m. Nó ã tr nên ph bin ti m c không cn phi chú gii gì thêm trong nhng tp chí k thut, còn trên nhng tp chí khác thì tràn ngp nhng bài vit dài, ngn v Internet. Khi nhng tp chí thông thng chú tr ng vào Internet thì gi ây, nhng tp chí k thut li tp trung vào khía cnh khác: an toàn thông tin. ó cùng là mt quá trình tin trin hp logic: khi nhng vui thích ban u v mt siêu xa l thông tin, bn nht  nh nhn thy r!ng không ch" cho phép bn truy nhp vào nhiu ni trên th gii, Internet còn cho phép nhiu ngi không mi mà t ý ghé th m máy tính ca bn. Thc vy, Internet có nhng k thut tuyt vi cho phép m i ngi truy nhp, khai thác, chia s thông tin. Nhng nó c#ng là nguy c chính d$n n thông tin ca bn b h h%ng ho&c phá hu' hoàn toàn. Theo s( liu ca CERT(Computer Emegency Response Team - “ i cp c u máy tính”), s( lng các v tn công trên Internet c thông báo cho t ch c này là ít hn 200 vào n m 1989, khong 400 vào n m 1991, 1400 vào n m 1993, và 2241 vào n m 1994. Nhng v tn công này nh!m vào tt c các máy tính có m&t trên Internet, các máy tính ca tt c các công ty ln nh AT&T, IBM, các trng i h c, các c quan nhà nc, các t ch c quân s, nhà b ng... Mt s( v tn công có quy mô khng l) (có ti 100.000 máy tính b tn công). Hn na, nhng con s( này ch" là phn ni ca tng b ng. Mt phn rt ln các v tn công 5 không c thông báo, vì nhiu lý do, trong ó có th k n n*i lo b mt uy tín, ho&c n gin nhng ngi qun tr h th(ng không h hay bit nhng cuc tn công nh!m vào h th(ng ca h . Không ch" s( lng các cuc tn công t ng lên nhanh chóng, mà các phng pháp tn công c#ng liên tc c hoàn thin. iu ó mt phn do các nhân viên qun tr h th(ng c kt n(i vi Internet ngày càng  cao cnh giác. C#ng theo CERT, nhng cuc tn công thi k+ 1988- 1989 ch yu oán tên ngi s dng-mt kh,u (UserID- password) ho&c s dng mt s( l*i ca các chng trình và h iu hành (security hole) làm vô hiu h th(ng bo v, tuy nhiên các cuc tn công vào thi gian gn ây bao g)m c các thao tác nh gi mo  a ch" IP, theo dõi thông tin truyn qua mng, chim các phiên làm vic t- xa (telnet ho&c rlogin). 6 1.2 Bn mun bo v cái gì? Nhim v c bn ca Firewall là bo v. Nu bn mu(n xây dng firewall, vic u tiên bn cn xem xét chính là bn cn bo v cái gì. 1.2.1 D liu ca bn Nhng thông tin lu tr trên h th(ng máy tính cn c bo v do các yêu cu sau:  Bo mt: Nhng thông tin có giá tr v kinh t, quân s, chính sách vv... cn c gi kín.  Tính toàn v.n: Thông tin không b mt mát ho&c sa i, ánh tráo.  Tính k p thi: Yêu cu truy nhp thông tin vào úng thi im cn thit. Trong các yêu cu này, thông thng yêu cu v bo mt c coi là yêu cu s( 1 (i vi thông tin lu tr trên mng. Tuy nhiên, ngay c khi nhng thông tin này không c gi bí mt, thì nhng yêu cu v tính toàn v.n c#ng rt quan tr ng. Không mt cá nhân, mt t ch c nào lãng phí tài nguyên vt cht và thi gian  lu tr nhng thông tin mà không bit v tính úng n ca nhng thông tin ó. 1.2.2 Tài nguyên ca bn Trên thc t, trong các cuc tn công trên Internet, k tn công, sau khi ã làm ch c h th(ng bên trong, có th s dng các máy này  phc v cho mc ích ca mình nh chy các chng trình dò mt kh,u ngi s dng, s dng các liên kt mng s/n có  tip tc tn công các h th(ng khác vv... 7 1.2.3 Danh ting ca bn Nh trên ã nêu, mt phn ln các cuc tn công không c thông báo rng rãi, và mt trong nhng nguyên nhân là n*i lo b mt uy tín ca c quan, &c bit là các công ty ln và các c quan quan tr ng trong b máy nhà nc. Trong trng hp ngi qun tr h th(ng ch" c bit n sau khi chính h th(ng ca mình c dùng làm bàn p  tn công các h th(ng khác, thì tn tht v uy tín là rt ln và có th  li hu qu lâu dài. 8 1.3 Bn mun bo v chng li cái gì? Còn nhng gì bn cn phi lo lng. Bn s0 phi ng u vi nhng kiu tn công nào trên Internet và nhng k nào s0 thc hin chúng? 1.3.1 Các ki u tn công Có rt nhiu kiu tn công vào h th(ng, và có nhiu cách  phân loi nhng kiu tn công này.  ây, chúng ta chia thành 3 kiu chính nh sau: 1.3.1.1 Tn công trc ti p Nhng cuc tn công trc tip thông thng c s dng trong giai on u  chim c quyn truy nhp bên trong. Mt phng pháp tn công c in là dò c&p tên ngi s dng-mt kh,u. ây là phng pháp n gin, d1 thc hin và không òi h%i mt iu kin &c bit nào  bt u. K tn công có th s dng nhng thông tin nh tên ngi dùng, ngày sinh,  a ch", s( nhà vv..  oán mt kh,u. Trong trng hp có c danh sách ngi s dng và nhng thông tin v môi trng làm vic, có mt trng trình t ng hoá v vic dò tìm mt kh,u này. mt trng trình có th d1 dàng ly c t- Internet  gii các mt kh,u ã mã hoá ca các h th(ng unix có tên là crack, có kh n ng th các t hp các t- trong mt t- in ln, theo nhng quy tc do ngi dùng t  nh ngh a. Trong mt s( trng hp, kh n ng thành công ca phng pháp này có th lên ti 30%. Phng pháp s dng các l*i ca chng trình ng dng và bn thân h iu hành ã c s dng t- nhng v tn công u tiên và v$n c tip tc  chim quyn truy 9 nhp. Trong mt s( trng hp phng pháp này cho phép k tn công có c quyn ca ngi qun tr h th(ng (root hay administrator). Hai ví d thng xuyên c a ra  minh ho cho phng pháp này là ví d vi chng trình sendmail và chng trình rlogin ca h iu hành UNIX. Sendmail là mt chng trình ph c tp, vi mã ngu)n bao g)m hàng ngàn dòng lnh ca ngôn ng C. Sendmail c chy vi quyn u tiên ca ngi qun tr h th(ng, do chng trình phi có quyn ghi vào hp th ca nhng ngi s dng máy. Và Sendmail trc tip nhn các yêu cu v th tín trên mng bên ngoài. ây chính là nhng yu t( làm cho sendmail tr thành mt ngu)n cung cp nhng l* hng v bo mt  truy nhp h th(ng. Rlogin cho phép ngi s dng t- mt máy trên mng truy nhp t- xa vào mt máy khác s dng tài nguyên ca máy này. Trong quá trình nhn tên và mt kh,u ca ngi s dng, rlogin không kim tra  dài ca dòng nhp, do ó k tn công có th a vào mt xâu ã c tính toán trc  ghi è lên mã chng trình ca rlogin, qua ó chim c quyn truy nhp. 1.3.1.2 Nghe tr m Vic nghe trm thông tin trên mng có th a li nhng thông tin có ích nh tên-mt kh,u ca ngi s dng, các thông tin mt chuyn qua mng. Vic nghe trm thng c tin hành ngay sau khi k tn công ã chim c quyn truy nhp h th(ng, thông qua các chng trình cho phép a v" giao tip mng (Network Interface Card-NIC) vào ch  nhn toàn b các thông tin lu truyn trên mng. 10 Nhng thông tin này c#ng có th d1 dàng ly c trên Internet. 1.3.1.3 Gi mo a ch Vic gi mo  a ch" IP có th c thc hin thông qua vic s dng kh n ng d$n ng trc tip (source- routing). Vi cách tn công này, k tn công gi các gói tin IP ti mng bên trong vi mt  a ch" IP gi mo (thông thng là  a ch" ca mt mng ho&c mt máy c coi là an toàn (i vi mng bên trong), )ng thi ch" rõ ng d$n mà các gói tin IP phi gi i. 1.3.1.4 Vô hiu hoá các chc nng ca h thng (denial of service) ây là ku tn công nh!m tê lit h th(ng, không cho nó thc hin ch c n ng mà nó thit k. Kiu tn công này không th ng n ch&n c, do nhng phng tin c t ch c tn công c#ng chính là các phng tin  làm vic và truy nhp thông tin trên mng. Ví d s dng lnh ping vi t(c  cao nht có th, buc mt h th(ng tiêu hao toàn b t(c  tính toán và kh n ng ca mng  tr li các lnh này, không còn các tài nguyên  thc hin nhng công vic có ích khác. 1.3.1.5 Li ca ngi qu n tr h thng ây không phi là mt kiu tn công ca nhng k t nhp, tuy nhiên l*i ca ngi qun tr h th(ng thng to ra nhng l* hng cho phép k tn công s dng  truy nhp vào mng ni b. 11 1.3.1.6 Tn công vào y u t con ngi K tn công có th liên lc vi mt ngi qun tr h th(ng, gi làm mt ngi s dng  yêu cu thay i mt kh,u, thay i quyn truy nhp ca mình (i vi h th(ng, ho&c thm chí thay i mt s( cu hình ca h th(ng  thc hin các phng pháp tn công khác. Vi kiu tn công này không mt thit b nào có th ng n ch&n mt cách hu hiu, và ch" có mt cách giáo dc ngi s dng mng ni b v nhng yêu cu bo mt   cao cnh giác vi nhng hin tng áng nghi. Nói chung yu t( con ngi là mt im yu trong bt k+ mt h th(ng bo v nào, và ch" có s giáo dc cng vi tinh thn hp tác t- phía ngi s dng có th nâng cao c  an toàn ca h th(ng bo v. 1.3.2 Phân loi k tn công Có rt nhiu k tn công trên mng toàn cu – Internet và chúng ta c#ng không th phân loi chúng mt cách chính xác, bt c mt bn phân loi kiu này c#ng ch" nên c xem nh là mt s gii thiu hn là mt cách nhìn rp khuôn. 1.3.2.1 Ngi qua ng Ngi qua ng là nhng k bu)n chán vi nhng công vic thng ngày, h mu(n tìm nhng trò gii trí mi. H t nhp vào máy tính ca bn vì h ngh bn có th có nhng d liu hay, ho&c bi vì h cm thy thích thú khi s dng máy tính ca ngi khác, ho&c ch" n gin là h không tìm c mt vic gì hay hn  làm. H có th là ngi tò mò nhng không ch  nh làm hi bn. Tuy nhiên, h thng gây h h%ng h th(ng khi t nhp hay khi xoá b% du vt ca h . 12 1.3.2.2 K phá hoi K phá hoi ch  nh phá hoi h th(ng ca bn, h có th không thích bn, h c#ng có th không bit bn nhng h tìm thy nim vui khi i phá hoi. Thông thng, trên Internet k phá hoi khá him. M i ngi không thích h . Nhiu ngi còn thích tìm và ch&n  ng nhng k phá hoi. Tuy ít nhng k phá hoi thng gây h%ng trm tr ng cho h th(ng ca bn nh xoá toàn b d liu, phá h%ng các thit b trên máy tính ca bn... 1.3.2.3 K ghi im Rt nhiu k qua ng b cu(n hút vào vic t nhp, phá hoi. H mu(n c kh2ng  nh mình thông qua s( lng và các kiu h th(ng mà h ã t nhp qua. t nhp c vào nhng ni ni ting, nhng ni phòng b ch&t ch0, nhng ni thit k tinh xo có giá tr nhiu im (i vi h . Tuy nhiên h c#ng s0 tn công tt c nhng ni h có th, vi mc ích s( lng c#ng nh mc ích cht lng. Nhng ngi này không quan tâm n nhng thông tin bn có hay nhng &c tính khác v tài nguyên ca bn. Tuy nhiên  t c mc ích là t nhp, vô tình hay hu ý h s0 làm h h%ng h th(ng ca bn. 1.3.2.4 Gián ip Hin nay có rt nhiu thông tin quan tr ng c lu tr trên máy tính nh các thông tin v quân s, kinh t... Gián ip máy tính là mt vn  ph c tp và khó phát hin. Thc t, phn ln các t ch c không th phòng th kiu tn công này mt cách hiu qu và bn có th chc r!ng ng liên kt 13 vi Internet không phi là con ng d1 nht  gián ip thu lm thông tin. 14 1.4 Vy Internet Firewall là gì? 1.4.1  nh ngha Thut ng Firewall có ngu)n g(c t- mt k thut thit k trong xây dng  ng n ch&n, hn ch ho hon. Trong công ngh mng thông tin, Firewall là mt k thut c tích hp vào h th(ng mng  ch(ng s truy cp trái phép nh!m bo v các ngu)n thông tin ni b c#ng nh hn ch s xâm nhp vào h th(ng ca mt s( thông tin khác không mong mu(n. C#ng có th hiu r!ng Firewall là mt c ch  bo v mng tin tng (trusted network) kh%i các mng không tin tng (untrusted network). Internet Firewall là mt thit b (phn c ng+phn mm) gia mng ca mt t ch c, mt công ty, hay mt qu(c gia (Intranet) và Internet. Nó thc hin vai trò bo mt các thông tin Intranet t- th gii Internet bên ngoài. 1.4.2 Chc nng Internet Firewall (t- nay v sau g i tt là firewall) là mt thành phn &t gia Intranet và Internet  kim soát tt c các vic lu thông và truy cp gia chúng vi nhau bao g)m: • Firewall quyt  nh nhng d ch v nào t- bên trong c phép truy cp t- bên ngoài, nhng ngi nào t- bên ngoài c phép truy cp n các d ch v bên trong, và c nhng d ch v nào bên ngoài c phép truy cp bi nhng ngi bên trong. 15 •  firewall làm vic hiu qu, tt c trao i thông tin t- trong ra ngoài và ngc li u phi thc hin thông qua Firewall. • Ch" có nhng trao i nào c phép bi ch  an ninh ca h th(ng mng ni b mi c quyn lu thông qua Firewall. S ) ch c n ng h th(ng ca firewall c mô t nh trong hình 2.1 Intranet firewall Internet Hình 2.1 S ) ch c n ng h th(ng ca firewall 1.4.3 Cu trúc Firewall bao g)m: • Mt ho&c nhiu h th(ng máy ch kt n(i vi các b  nh tuyn (router) ho&c có ch c n ng router. • Các phn mm qun lý an ninh chy trên h th(ng máy ch. Thông thng là các h qun tr xác thc (Authentication), cp quyn (Authorization) và k toán (Accounting). Chúng ta s0  cp k hn các hot ng ca nhng h này  phn sau. 16 1.4.4 Các thành phn ca Firewall và c ch hot ng Mt Firewall chu,n bao g)m mt hay nhiu các thành phn sau ây: • B l c packet ( packet-filtering router ) • Cng ng dng (application-level gateway hay proxy server ) • Cng mch (circuite level gateway) 1.4.4.1 B lc gói tin (Packet filtering router) 1.4.4.1.1 Nguyên lý: Khi nói n vic lu thông d liu gia các mng vi nhau thông qua Firewall thì iu ó có ngh a r!ng Firewall hot ng ch&t ch0 vi giao th c liên mng TCP/IP. Vì giao th c này làm vic theo thut toán chia nh% các d liu nhn c t- các ng dng trên mng, hay nói chính xác hn là các d ch v chy trên các giao th c (Telnet, SMTP, DNS, SMNP, NFS...) thành các gói d liu (data packets) r)i gán cho các packet này nhng  a ch"  có th nhn dng, tái lp li  ích cn gi n, do ó các loi Firewall c#ng liên quan rt nhiu n các packet và nhng con s(  a ch" ca chúng. B l c packet cho phép hay t- ch(i m*i packet mà nó nhn c. Nó kim tra toàn b on d liu  quyt  nh xem on d liu ó có tho mãn mt trong s( các lut l ca l c packet hay không. Các lut l l c packet này là da trên các thông tin  u m*i packet (packet header), dùng  cho phép truyn các packet ó  trên mng. ó là: • a ch" IP ni xut phát ( IP Source address) 17 • a ch" IP ni nhn (IP Destination address) • Nhng th tc truyn tin (TCP, UDP, ICMP, IP tunnel) • Cng TCP/UDP ni xut phát (TCP/UDP source port) • Cng TCP/UDP ni nhn (TCP/UDP destination port) • Dng thông báo ICMP ( ICMP message type) • giao din packet n ( incomming interface of packet) • giao din packet i ( outcomming interface of packet) Nu lut l l c packet c tho mãn thì packet c chuyn qua firewall. Nu không packet s0 b b% i. Nh vy mà Firewall có th ng n cn c các kt n(i vào các máy ch ho&c mng nào ó c xác  nh, ho&c khoá vic truy cp vào h th(ng mng ni b t- nhng  a ch" không cho phép. Hn na, vic kim soát các cng làm cho Firewall có kh n ng ch" cho phép mt s( loi kt n(i nht  nh vào các loi máy ch nào ó, ho&c ch" có nhng d ch v nào ó (Telnet, SMTP, FTP...) c phép mi chy c trên h th(ng mng cc b. 1.4.4.1.2 3u im  a s( các h th(ng firewall u s dng b l c packet. Mt trong nhng u im ca phng pháp dùng b l c packet là chi phí thp vì c ch l c packet ã c bao g)m trong m*i phn mm router.  Ngoài ra, b l c packet là trong su(t (i vi ngi s dng và các ng dng, vì vy nó không yêu cu s hun luyn &c bit nào c. 1.4.4.1.3 Hn ch: 18 Vic  nh ngh a các ch  l c packet là mt vic khá ph c tp, nó òi h%i ngi qun tr mng cn có hiu bit chi tit v các d ch v Internet, các dng packet header, và các giá tr c th mà h có th nhn trên m*i trng. Khi òi h%i v s l c càng ln, các lut l v l c càng tr nên dài và ph c tp, rt khó  qun lý và iu khin. Do làm vic da trên header ca các packet, rõ ràng là b l c packet không kim soát c ni dung thông tin ca packet. Các packet chuyn qua v$n có th mang theo nhng hành ng vi ý ) n cp thông tin hay phá hoi ca k xu. 1.4.4.2 Cng ng dng (application-level gateway) 1.4.4.2.1 Nguyên lý ây là mt loi Firewall c thit k  t ng cng ch c n ng kim soát các loi d ch v, giao th c c cho phép truy cp vào h th(ng mng. C ch hot ng ca nó da trên cách th c g i là Proxy service (d ch v i din). Proxy service là các b chng trình &c bit cài &t trên gateway cho t-ng ng dng. Nu ngi qun tr mng không cài &t chng trình proxy cho mt ng dng nào ó, d ch v tng ng s0 không c cung cp và do ó không th chuyn thông tin qua firewall. Ngoài ra, proxy code có th c  nh cu hình  h* tr ch" mt s( &c im trong ng dng mà ngòi qun tr mng cho là chp nhn c trong khi t- ch(i nhng &c im khác. Mt cng ng dng thng c coi nh là mt pháo ài (bastion host), bi vì nó c thit k &t bit  ch(ng li s tn công t- bên ngoài. Nhng bin pháp m bo an ninh ca mt bastion host là: 19  Bastion host luôn chy các version an toàn (secure version) ca các phn mm h th(ng (Operating system). Các version an toàn này c thit k chuyên cho mc ích ch(ng li s tn công vào Operating System, c#ng nh là m bo s tích hp firewall.  Ch" nhng d ch v mà ngi qun tr mng cho là cn thit mi c cài &t trên bastion host, n gin ch" vì nu mt d ch v không c cài &t, nó không th b tn công. Thông thng, ch" mt s( gii hn các ng dng cho các d ch v Telnet, DNS, FTP, SMTP và xác thc user là c cài &t trên bastion host.  Bastion host có th yêu cu nhiu m c  xác thc khác nhau, ví d nh user password hay smart card.  M*i proxy c &t cu hình  cho phép truy nhp ch" mt s) các máy ch nht  nh. iu này có ngh a r!ng b lnh và &c im thit lp cho m*i proxy ch" úng vi mt s( máy ch trên toàn h th(ng.  M*i proxy duy trì mt quyn nht ký ghi chép li toàn b chi tit ca giao thông qua nó, m*i s kt n(i, khong thi gian kt n(i. Nht ký này rt có ích trong vic tìm theo du vt hay ng n ch&n k phá hoi.  M*i proxy u c lp vi các proxies khác trên bastion host. iu này cho phép d1 dàng quá trình cài &t mt proxy mi, hay tháo g4 môt proxy ang có vn . Ví d: Telnet Proxy Ví d mt ngi (g i là outside client) mu(n s dng d ch v TELNET  kt n(i vào h th(ng mng qua môt bastion host có Telnet proxy. Quá trình xy ra nh sau: 20 1. Outside client telnets n bastion host. Bastion host kim tra password, nu hp l thì outside client c phép vào giao din ca Telnet proxy. Telnet proxy cho phép mt tp nh% nhng lnh ca Telnet, và quyt  nh nhng máy ch ni b nào outside client c phép truy nhp. 2. Outside client ch" ra máy ch ích và Telnet proxy to mt kt n(i ca riêng nó ti máy ch bên trong, và chuyn các lnh ti máy ch di s u' quyn ca outside client. Outside client thì tin r!ng Telnet proxy là máy ch tht  bên trong, trong khi máy ch  bên trong thì tin r!ng Telnet proxy là client tht. 1.4.4.2.2 3u im:  Cho phép ngi qun tr mng hoàn toàn iu khin c t-ng d ch v trên mng, bi vì ng dng proxy hn ch b lnh và quyt  nh nhng máy ch nào có th truy nhp c bi các d ch v.  Cho phép ngi qun tr mng hoàn toàn iu khin c nhng d ch v nào cho phép, bi vì s vng m&t ca các proxy cho các d ch v tng ng có ngh a là các d ch v y b khoá.  Cng ng dng cho phép kim tra  xác thc rt t(t, và nó có nht ký ghi chép li thông tin v truy nhp h th(ng.  Lut l filltering (l c) cho cng ng dng là d1 dàng cu hình và kim tra hn so vi b l c packet. 1.4.4.2.3 Hn ch: 21 Yêu cu các users bin i (modìy) thao tác, ho&c modìy phn mm ã cài &t trên máy client cho truy nhp vào các d ch v proxy. Ví d, Telnet truy nhp qua cng ng dng òi h%i hai bc ê n(i vi máy ch ch không phi là mt bc thôi. Tuy nhiên, c#ng ã có mt s( phn mm client cho phép ng dng trên cng ng dng là trong su(t, b!ng cách cho phép user ch" ra máy ích ch không phi cng ng dng trên lnh Telnet. 1.4.4.3 Cng vòng (circuit-Level Gateway) Cng vòng là mt ch c n ng &c bit có th thc hin c bi mt cng ng dng. Cng vòng n gin ch" chuyn tip (relay) các kt n(i TCP mà không thc hin bt k+ mt hành ng x lý hay l c packet nào. Hình 2.2 minh ho mt hành ng s dng n(i telnet qua cng vòng. Cng vòng n gin chuyn tip kt n(i telnet qua firewall mà không thc hin mt s kim tra, l c hay iu khin các th tc Telnet nào.Cng vòng làm vic nh mt si dây,sao chép các byte gia kt n(i bên trong (inside connection) và các kt n(i bên ngoài (outside connection). Tuy nhiên, vì s kt n(i này xut hin t- h th(ng firewall, nó che du thông tin v mng ni b. Cng vòng th

Các file đính kèm theo tài liệu này:

  • pdfTìm hiểu về tường lửa Firewall.pdf