Tài liệu Tường lửa

CHƯƠNG 7 TƯỜNG LỬA 10/15/2014 ThS.Nguyễn Duy [email protected] Nội dung 2 [email protected]     Tường lửa là gì? Phân loại tường lửa? Tính năng của tường lửa thế hệ mới? Mô hình triển khai tường lửa 10/15/2014 Nội dung 3 [email protected]     Tường lửa là gì? Phân loại tường lửa? Tính năng của tường lửa thế hệ mới? Mô hình triển khai tường lửa 10/15/2014 Tường lửa là gì 4 [email protected]  Firewall hay còn được còn là Tường Lửa. Là thiết bị hay phần mềm bảo mật được sử dụng để quản lý luồng gói tin qua nó : cho phép (permit) hay cấm (deny). 10/15/2014 Nội dung 5 [email protected]     Tường lửa là gì? Phân loại tường lửa? Tính năng của tường lửa thế hệ mới? Mô hình triển khai tường lửa 10/15/2014 Phân loại tường lửa 6 [email protected]  Phần cứng: Thiết bị mạng   Phần mềm : Ứng dụng bảo mật được cài trên máy tính   Checkpoint, Cisco ASA, Astaro, Cyberoam,… ISA Server, IPCop, Smoothwall, Pfsense,… Ảo hóa  SOPHOS, Palo Alto,….. 10/15/2014 Phân loại tường lửa 7 [email protected]  Firewall hoạt động ở những lớp nào trong mô hình OSI ??? 10/15/2014 Phân loại tường lửa 8 [email protected]  Cả Personal Firewall và Network Firewall được chia làm 3 loại chính :    Simple Packet Filter Firewalls Stateful Packet Filter Firewalls Application Level Firewalls 10/15/2014 Phân loại tường lửa 9 [email protected]  Simple Packet Filter Firewalls    Kiểm tra gói tin qua firewall bằng cách so sánh nó với những nguyên tắc (Rule) đã được đặt ra, để quyết định gói tin đó được cho phép hay bị từ chối. Những thông tin sẽ được kiểm tra :  IP Nguồn  IP Đích  Giao thức  Port Nguồn  Port Đích Hoạt động ở Layer 2 và Layer 3 10/15/2014 Phân loại tường lửa 10 [email protected]  Điểm yếu       Application Specific Vulnerabilities Limited Logging No Authentication Vulnerable to Spoofing Large Attack Surface Easy to Misconfigure 10/15/2014 Phân loại tường lửa 11 [email protected]  Stateful Packet Filter Firewalls 10/15/2014 Phân loại tường lửa 12 [email protected]  Stateful Packet Filter Firewalls  Hoạt động ở Layer 2, Layer 3 và Layer 4  Những khắc phục so với Simple Packet Filter Firewalls :     Lower Attack Footprint Less Susceptible to Spoofing Easy Black hole configuration Less Resource Intensive 10/15/2014 Phân loại tường lửa 13 [email protected]  Application Level Firewalls Còn được gọi Application-Proxy Gateways.  Là loại Firewall có độ phức tạm cao nhất do có khả năng điểu khiển truy cập từ Layer 2 đến Layer 7  Deep Packet Inspection : kiểm tra chi tiết gói tin nên có khả ngăn chặn các ứng dụng Instant Message, Peer to Peer,…  Hoạt động ở Layer 7  10/15/2014 Phân loại tường lửa 14 [email protected]  Application Level Firewalls  Có khả năng xác thực :  UserID và Password  Hardware hoặc Software Token  Source Address  Biometric  Những ưu điểm :  Extensive Logging Capabilities  Enforcement of Authentication  Less Susceptible to TCP/IP Vulnerabilities  Có khả năng tạo rule ngăn cản gói tin đã mã hóa 10/15/2014 Nội dung 15 [email protected]     Tường lửa là gì? Phân loại tường lửa? Tính năng của tường lửa thế hệ mới? Mô hình triển khai tường lửa 10/15/2014 Nội dung 16 [email protected]     Tường lửa là gì? Phân loại tường lửa? Tính năng của tường lửa thế hệ mới? Mô hình triển khai tường lửa 10/15/2014 Next Generation Firewall 17 [email protected] SECURITY APPLICATION AWARENESS PERFORMANCE 10/15/2014 Next Generation Firewall 18 [email protected] SECURITY • DEEP PACKET INSPECTION • INTRUSION PREVENTION • SSL DECRYPTION 10/15/2014 Stateful Packet Inspection INSPECT Stateful is limited that |can Version | Service Total Length Sourceinspection UDP Port | Flags | Fragment only ID block on ports Protocol | IP Checksum Source IP Address Data Inspection! Destination IP Address IP Options TTL Destination No UDP Port | Stateful Packet Inspection Firewall Traffic Path Source Destination 212.56.32.49 65.26.42.17 Source Port Dest Port 823747 80 Sequence Sequence 28474 2821 Syn state IP Option SYN none Deep Packet Inspection Signature Database Source UDP Port | | | Destination UDP Port INSPECT INSPECT ATTACK-RESPONSES 14BACKDOOR 58BAD-TRAFFIC 15DDOS 33DNS 19DOS 18EXPLOIT >35FINGER 13FTP 50ICMP 115Instant Version Service Total Length Messenger 25IMAP 16INFO 7Miscellaneous44MS-SQL 24MSID Flags Fragment SQL/SMB 19MULTIMEDIA 6MYSQL 2NETBIOS Protocol 25NNTP 2ORACLE TTL IP Checksum 25P2P 51POLICY 21POP2 4POP3 18RPC 124RSERVICES 13SCAN Source IP Address 25SMTP 23SNMP 17TELNET Destination IP Address 14TFTP 9VIRUS 3WEB-ATTACKS 47WEB-CGI 312WEB-CLIENT | | | IP Options Stateful Packet Inspection Deep Packet Inspection Deep Packet Inspection inspects all traffic moving through a device Firewall Traffic Path