CHƯƠNG 7
TƯỜNG LỬA
10/15/2014
ThS.Nguyễn Duy
[email protected]
Nội dung
2
[email protected]
Tường lửa là gì?
Phân loại tường lửa?
Tính năng của tường lửa thế hệ mới?
Mô hình triển khai tường lửa
10/15/2014
Nội dung
3
[email protected]
Tường lửa là gì?
Phân loại tường lửa?
Tính năng của tường lửa thế hệ mới?
Mô hình triển khai tường lửa
10/15/2014
Tường lửa là gì
4
[email protected]
Firewall hay còn được còn là Tường Lửa. Là thiết
bị hay phần mềm bảo mật được sử dụng để quản
lý luồng gói tin qua nó : cho phép (permit) hay
cấm (deny).
10/15/2014
Nội dung
5
[email protected]
Tường lửa là gì?
Phân loại tường lửa?
Tính năng của tường lửa thế hệ mới?
Mô hình triển khai tường lửa
10/15/2014
Phân loại tường lửa
6
[email protected]
Phần cứng: Thiết bị mạng
Phần mềm : Ứng dụng bảo mật được cài trên
máy tính
Checkpoint, Cisco ASA, Astaro, Cyberoam,…
ISA Server, IPCop, Smoothwall, Pfsense,…
Ảo hóa
SOPHOS, Palo Alto,…..
10/15/2014
Phân loại tường lửa
7
[email protected]
Firewall hoạt động ở những lớp nào trong mô
hình OSI ???
10/15/2014
Phân loại tường lửa
8
[email protected]
Cả Personal Firewall và Network Firewall
được chia làm 3 loại chính :
Simple Packet Filter Firewalls
Stateful Packet Filter Firewalls
Application Level Firewalls
10/15/2014
Phân loại tường lửa
9
[email protected]
Simple Packet Filter Firewalls
Kiểm tra gói tin qua firewall bằng cách so sánh nó với
những nguyên tắc (Rule) đã được đặt ra, để quyết định
gói tin đó được cho phép hay bị từ chối.
Những thông tin sẽ được kiểm tra :
IP Nguồn
IP Đích
Giao thức
Port Nguồn
Port Đích
Hoạt động ở Layer 2 và Layer 3
10/15/2014
Phân loại tường lửa
10
[email protected]
Điểm yếu
Application Specific Vulnerabilities
Limited Logging
No Authentication
Vulnerable to Spoofing
Large Attack Surface
Easy to Misconfigure
10/15/2014
Phân loại tường lửa
11
[email protected]
Stateful Packet Filter Firewalls
10/15/2014
Phân loại tường lửa
12
[email protected]
Stateful Packet Filter Firewalls
Hoạt động ở Layer 2, Layer 3 và Layer 4
Những khắc phục so với Simple Packet Filter
Firewalls :
Lower Attack Footprint
Less Susceptible to Spoofing
Easy Black hole configuration
Less Resource Intensive
10/15/2014
Phân loại tường lửa
13
[email protected]
Application Level Firewalls
Còn được gọi Application-Proxy Gateways.
Là loại Firewall có độ phức tạm cao nhất do có khả
năng điểu khiển truy cập từ Layer 2 đến Layer 7
Deep Packet Inspection : kiểm tra chi tiết gói tin
nên có khả ngăn chặn các ứng dụng Instant
Message, Peer to Peer,…
Hoạt động ở Layer 7
10/15/2014
Phân loại tường lửa
14
[email protected]
Application Level Firewalls
Có khả năng xác thực :
UserID
và Password
Hardware hoặc Software Token
Source Address
Biometric
Những ưu điểm :
Extensive
Logging Capabilities
Enforcement of Authentication
Less Susceptible to TCP/IP Vulnerabilities
Có khả năng tạo rule ngăn cản gói tin đã mã hóa
10/15/2014
Nội dung
15
[email protected]
Tường lửa là gì?
Phân loại tường lửa?
Tính năng của tường lửa thế hệ mới?
Mô hình triển khai tường lửa
10/15/2014
Nội dung
16
[email protected]
Tường lửa là gì?
Phân loại tường lửa?
Tính năng của tường lửa thế hệ mới?
Mô hình triển khai tường lửa
10/15/2014
Next Generation Firewall
17
[email protected]
SECURITY
APPLICATION AWARENESS
PERFORMANCE
10/15/2014
Next Generation Firewall
18
[email protected]
SECURITY
• DEEP PACKET INSPECTION
• INTRUSION PREVENTION
• SSL DECRYPTION
10/15/2014
Stateful Packet Inspection
INSPECT
Stateful is limited
that |can
Version | Service
Total Length
Sourceinspection
UDP Port
| Flags
| Fragment
only ID
block
on ports
Protocol | IP Checksum
Source IP Address
Data
Inspection!
Destination IP Address
IP Options
TTL
Destination
No
UDP Port
|
Stateful
Packet
Inspection
Firewall Traffic Path
Source
Destination
212.56.32.49
65.26.42.17
Source Port
Dest Port
823747
80
Sequence
Sequence
28474
2821
Syn state
IP Option
SYN
none
Deep Packet Inspection
Signature Database
Source
UDP Port
|
|
|
Destination
UDP Port
INSPECT
INSPECT
ATTACK-RESPONSES 14BACKDOOR
58BAD-TRAFFIC 15DDOS 33DNS
19DOS 18EXPLOIT >35FINGER
13FTP 50ICMP
115Instant
Version
Service
Total Length
Messenger 25IMAP 16INFO
7Miscellaneous44MS-SQL
24MSID
Flags Fragment
SQL/SMB 19MULTIMEDIA 6MYSQL
2NETBIOS Protocol
25NNTP 2ORACLE
TTL
IP Checksum
25P2P 51POLICY 21POP2 4POP3
18RPC 124RSERVICES
13SCAN
Source IP Address
25SMTP 23SNMP 17TELNET
Destination
IP Address
14TFTP
9VIRUS 3WEB-ATTACKS
47WEB-CGI 312WEB-CLIENT
|
|
|
IP Options
Stateful
Packet
Inspection
Deep
Packet
Inspection
Deep Packet Inspection inspects
all traffic moving through a
device
Firewall Traffic Path