Firewall

Nhóm 12:

Lê Thùy Dung V Qu c Huy ng Th Ph ng Nguy n Thanh Tùng Ph m Thành Công

1

‡ Khái ni m ‡ Phân lo i ‡ Ch c n ng ‡ C u trúc & cách th c ho t ng

2

3

4

5

‡ Firewall b o v & ch ng l i i u gì? ‡ H n ch

6

c tích h p vào h th ng m ng ch ng l i s truy c p trái phép nh m b o v các ngu n thông tin n i b c ng nh h n ch s xâm nh p vào h thông c a m t s hacker hay gián i p

FireWall là m t k thu t

€

Là nh ng firewall c tích h p s n trên router

€

Là nh ng firewall s n trên server

c cài

Firewall c ng

Firewall m m

o

o

o

o

Tính linh ho t: không b ng Firewall m m: (Không th thêm ch c n ng, thêm quy t c nh firewall m m) Ho t ng: t ng th p h n Firewall m m (T ng Network và t ng Transport) Firewall c ng không th ki m tra c n t dung c a gói tin. Ví d Firewall c ng: NAT (Network Address Translate).

o

o

o

Tính linh ho t cao: Có th thêm, b t các quy t c, các ch c n ng. Ho t ng: t ng cao h n Firewall c ng (t ng ng d ng) Firewal m m có th ki m tra c n i dung c a gói tin (thông qua các t khóa) Ví d v Firewall m m: Zone Alarm, Norton Firewall«

o

1 2

Ki m soát lu ng thông tin t gi a Intranet và Internet

Thi t l p c ch i u khi n dòng thông tin gi a m ng bên trong (Intranet) và m ng Internet

Cho phép ho c c m nh ng d ch v truy nh p ra ngoài (t Intranet ra Internet). € Cho phép ho c c m nh ng d ch v phép truy nh p vào trong (t Internet vào Intranet). € Theo dõi lu ng d li u m ng gi a Internet và Intranet. € Ki m soát a ch truy nh p, c m a ch truy nh p. € Ki m soát ng i s d ng và vi c truy nh p c a ng i s d ng. € Ki m soát n i dung thông tin thông tin l u chuy n trên m ng.
€

B l c packet (packet- filtering router).  C ng ng d ng (Application-level gateway hay proxy server).  C ng m ch (Circuite level gateway)


li u c chia nh thành các gói d li u (data packet) € B l c packet cho phép hay t ch i m i packet mà nó nh n c € Ki m tra o n d li u có th a mãn lu t l l c packet:
€D
ƒ ƒ ƒ ƒ ƒ

a ch IP n i xu t phát và n i nh n Th t c truy n tin (TCP, UDP, ICMP, IP tunnel) C ng TCP/UDP n i xu t phát và n i nh n D ng thông báo ICMP Giao di n packet n và i

€ Application-level
ƒ

gateway

(Ví d : telnet c ng 3389, http c ng 80)

€ Proxy
ƒ

server

(nhóm 13 s trình bày)

€C

ng vòng là m t ch c n ng c bi t có th th c hi n c b i m t c ng ng d ng. € C ng vòng n gi n ch chuy n ti p (relay) các k t n i TCP mà không th c hi n b t k m t hành ng x lý hay l c packet nào. € C ng vòng th ng c s d ng cho nh ng k t n i ra ngoài, n i mà các nhà qu n tr m ng th t s tin t ng nh ng ng i dùng bên trong.

li u : Nh ng thông tin c n cb ov do nh ng yêu c u sau: o B om t o Tính toàn v n o Tính k p th i € Tài nguyên h th ng € Danh ti ng c a công ty s h u các thông tin c n b o v
€D

T n công tr c ti p € Nghe tr m € Gi m o a ch IP. € Vô hi u hoá các ch c n ng c a h th ng (deny service) € L i ng i qu n tr h th ng. € Y u t con ng i v i nh ng tính cách ch quan và không hi u rõ t m quan tr ng c a vi c b o m t h th ng
€

Firewall không thông minh nh con ng i có th c hi u t ng lo i thông tin và phân tích n i dung t t hay x u c a nó. € Firewall không th ng n ch n m t cu c t n công n u cu c t n công này không " i qua" nó € Firewall c ng không th ch ng l i các cu c t n công b ng d li u (data-drivent attack). Vd: email € M t ví d là các virus máy tính. Firewall không th làm nhi m v rà quét virus trên các d li u c chuy n qua nó, do t c làm vi c, s xu t hi n liên t c c a các virus m i và do có r t nhi u cách mã hóa d li u, thoát kh i kh n ng ki m soát c a firewall.
€

€

Khi truy c p vào các trang web ho c t i các t p tin hay các e-mail có ính kèm t p tin, nh ng t p tin này có th ch a nh ng y u t gây nguy hi m n m ng c a b n. M t s có th có virus, ngoài ra có th ch a nh ng ch ng trình c nhúng trong ó gây phá ho i h th ng c a b n. Khái ni m : Trình di t virus là ph n m m có tính n ng phát hi n, lo i b các virus máy tính, kh c ph c (m t ph n ho c hoàn toàn) h u qu c a virus gây ra và có kh n ng c nâng c p nh n bi t các lo i virus trong t ng lai.

€

N i dung b o m t c a t ng l a cho phép b n b o v m ng c a b n kh i virus và các ch ng trình c h i ng y trang d i v b c c a ActiveX hay ng d ng Java. i u này cho phép b n ki m soát c cái gì có th c thông qua m ng c a b n t các trang web, e-mail và nh ng th khác. € Ch c n ng c a trình di t virus là b o v m ng c a b n kh i virus thông qua c ch b o m t c a t ng l a.
€

€

€

€

Trong FireWall b n có th ch n ch ng trình quét virus mà b n mu n s d ng. i u này cho phép b n mua nh ng ch ng trình ch ng virus riêng bi t mà b n mu n và tích h p nó trong t ng l a. B n có th cài ch ng trình ch ng virus vào cùng m t máy ch v i t ng l a ho c trên m t máy ch khác trong m ng c a b n. M t khi các ph n m m này c cài t, các quy t c x lý quét virus s c t o ra b ng cách s d ng Security Policy Editor (t o chính sách b o m t), ó là giao di n thi t l p các quy t c b o m t. Ch ng trình quét virus (anti-virus scans) s x lý và cho phép nh ng y u t có th i vào m ng c a b n m t cách an toàn.

Ph n m m di t virus th ng ho t ng trên các nguyên lí c b n nh t nh sau: € Ki m tra (quét) các t p tin phát hi n các virus ã bi t trong c s d li u nh n d ng v virus c a chúng. € Phát hi n các hành ng c a các ph n m m gi ng nh các hành ng c a virus ho c các ph n m m c h i.

Các k thu t phát hi n, di t virus : + So sánh v i m u virus bi t tr + Nh n d ng hành vi áng ng . + Ki m soát liên t c. c.

B n có th t o ra quy ch , yêu c u e-mail ph i c quét virus tr c khi c i qua t ng l a c a b n. Khi t ng l a tìm th y các thông tin c n ph i x lý b ng quy t c này, các e-mail s c chuy n h ng sang s d ng Content Vectoring Protocol (CVP). Các e-mail ch a t p tin ính kèm s c chuy n n máy ch ch y ph n m m ch ng virus và nó s c ki m tra. N u quét virus xong mà an toàn, thì e-mail s c chuy n tr l i t ng l a và cho phép nó i ti p t i ích. Ng i nh n th h u nh không bi t v i u này, nh ng có th t tin r ng m i file ính kèm nh n c có th m và s d ng an toàn.

Server là ph n m m share internet c a hãng ph n m m n i ti ng Microsoft € ISA Server (Microsoft Internet Security and Acceleration Sever )
€ ISA

€

Có th nói ây là m t ph n m m share internet khá hi u qu , n nh, d c u hình, firewall t t, nhi u tính n ng cho phép b n c u hình sao cho t ng thích v i m ng LAN c ab n

T c nhanh nh ch cache thông minh, v i tính n ng l u Cache vào RAM (Random Access Memory), giúp b n truy xu t thông tin nhanh h n, và tính n ng Schedule Cache (L p l ch cho t ng download thông tin trên các WebServer l u vào Cache và máy con ch c n l y thông tin trên các Webserver ó b ng m ng LAN). € Ngoài ra còn r t nhi u các tính n ng khác n a
€

€V

kh n ng qu n lý € D dàng qu n lý € R t nhi u Wizard € Backup và Restore n gi n. € Cho phép y quy n qu n tr cho các User/Group € Log và Report chi ti t c th . € C u hình 1 n i, ch y m i n i (b n ISA Enterprise) € Khai báo thêm server vào array d dàng (không khó kh n nh h i ISA 2000, 2004 )

Các tính n ng khác € H tr nhi u CPU và RAM ( b n standard h tr n 4CPU, 2GB RAM) € Max 32 node Network Loadbalancing € H tr nhi u network, € Route/NAT theo t ng network, € Firewall rule a d ng € IDS € Flood Resiliency: € HTTP compression € Diffserv
€

€ €

€

€

V kh n ng Publishing Service Cho phép public Terminal Server theo chu n RDP over SSL, m b o d li u trong phiên k t n i c mã hóa trên Internet (k c password). Block các k t n i non-encrypted MAPI n Exchange Server, cho phép Outlook c a ng i dùng k t n i an toàn n Exchange Server R t nhi u các Wizard cho phép ng i qu n tr public các Server n i b ra internet 1 cách an toàn. h tr c các s n ph m m i nh Exchange 2007.

Kh n ng k t n i VPN € Cung c p Wizard cho phép c u hình t ng siteto-site VPN 2 v n phòng riêng bi t. t t nhiên ai thích c u hình b ng tay t i t ng i m m t c ng c. tích h p hoàn toàn Quanratine, € Stateful filtering and inspection (cái này thì quen thu c r i), ki m tra y các i u ki n trên VPN Connection, Site to site, secureNAT for VPN Clients, ... € Cho phép Public luôn 1 VPN Server khác trong Intranet ra ngoài Internet, h tr PPTP, L2TP/IPSec, IPSec Tunnel site-to-site (v i các s n ph m VPN khác).
€

€

t

a ch IP cho m ng Lan c a b n

€ Ch

y ph n m m setup € Ch n Install ISA sever 2006

€ Quá

trình cài

t hoàn t t

€ NAT

gi ng nh m t router, nó chuy n ti p các gói tin gi a nh ng l p m ng khác nhau trên m t m ng l n. NAT d ch hay thay i m t ho c c hai a ch bên trong m t gói tin khi gói tin ó i qua m t router, hay m t s thi t b khác. Thông th ng, NAT th ng thay i a ch (th ng là a ch riêng) c dùng bên trong m t m ng sang a ch công c ng.

NAT c ng có th coi nh m t firewall c b n. th c hi n c công vi c ó, NAT duy trì m t b ng thông tin v m i gói tin cg i qua. € Khi m t PC trên m ng k t n i n 1 website trên Internet header c a a ch IP ngu n c thay i và thay th b ng a ch Public mà ã c c u hình s n trên NAT server , sau khi có gói tin tr v NAT d a vào b ng record mà nó ã l u v các gói tin, thay i a ch IP ích thành a ch c a PC trong m ng và chuy n ti p i. € Thông qua c ch ó qu n tr m ng có kh n ng l c các gói tin c g i n hay g i t m t a ch IP và cho phép hay c m truy c p n m t port c th .
€

NAT s d ng IP c a chính nó làm IP công c ng cho m i máy con (client) v i IP riêng. € Khi m t máy con th c hi n k t n i ho c g i d li u t i m t máy tính nào ó trên internet, d li u s c g i t i NAT, sau ó NAT s thay th a ch IP g c c a máy con ó r i g i gói d li u i v i a ch IP c a NAT. € Máy tính t xa ho c máy tính nào ó trên internet khi nh n c tín hi u s g i gói tin tr v cho NAT computer b i vì chúng ngh r ng NAT computer là máy ã g i nh ng gói d li u i. € NAT ghi l i b ng thông tin c a nh ng máy tính ã g i nh ng gói tin i ra ngoài trên m i c ng d ch v và g i nh ng gói tin nh n c v úng máy tính ó (client).
€

² Ban u, NAT c a ra nh m gi i quy t v n thi u h t a ch c a IPv4 . ² NAT giúp chia s k t n i Internet (hay 1 m ng khác) v i nhi u máy trong LAN ch v i 1 IP duy nh t. ² NAT che gi u IP bên trong LAN ² NAT giúp qu n tr m ng l c các gói tin c g i n hay g i t m t a ch IP và cho phép hay c m truy c p n m t port c th .