Bài giảng Firewall

pdf 22 trang huongle 6860
Download
Bạn đang xem 20 trang mẫu của tài liệu "Bài giảng Firewall", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

  • pdfbai_giang_firewall.pdf

Nội dung text: Bài giảng Firewall

  1. Firewall
  2. MỤC TIÊU 04/2011 Giải thích đƣợc các khái niệm cơ bản về Firewall Mô tả đƣợc cách làm việc của Packet Filtering TTMTRANG Cấu hình dịch vụ Firewall cơ bản trên Windows 2003 - server BMMMT&VT - KHOACNTT - ĐH TP.HCMKHTN 2
  3. NỘI DUNG 04/2011 Đặt vấn đề Giới thiệu Firewall TTMTRANG Packet filtering - Triển khai firewall cơ bản BMMMT&VT - KHOACNTT - ĐH TP.HCMKHTN 3
  4. ĐẶT VẤN ĐỀ 04/2011 Kiểm soát?? TTMTRANG - BMMMT&VT - KHOACNTT - ĐH TP.HCMKHTN Inside Network Outside Network 4
  5. NỘI DUNG 04/2011 Đặt vấn đề Giới thiệu Firewall TTMTRANG Packet filtering - Triển khai firewall cơ bản BMMMT&VT - KHOACNTT - ĐH TP.HCMKHTN 5
  6. FIREWALL 04/2011 Bức tƣờng lửa (Firewall): nằm giữa 2 networks  Bảo vệ hệ thống TTMTRANG Cung cấp kết nối an toàn giữa các mạng (inside <> outside) Ngăn chặn các ngƣời dùng/chƣơng trình không có quyền truy - cập vào private network/computer BMMMT&VT Cài đặt các chính sách bảo mật Access Policy  Kiểm soát luồng dữ liệu Allow  - từ mạng bên trong đi ra ngoài HTTP  KHOACNTT All Destinations Từ bên ngoài đi vào mạng bên trong  Streaming Phần mềm Media/phần cứng - ĐH TP.HCMKHTN SMTP DNS Intrusion 6 Firewall Outside Network Inside Network
  7. FIREWALL 04/2011 Có thể:  Giới hạn đƣợc luồng dữ liệu (traffic) đi ra – đi vào mạng TTMTRANG  Khoá các gói tin không hợp lệ - Không thể kiểm soát BMMMT&VT  Các luồng dữ liệu không-đi-qua firewall Các luồng dữ liệu lƣu chuyển bên trong -  Cấu hình không đúng KHOACNTT - ĐH TP.HCMKHTN 7
  8. CÁC PHƢƠNG PHÁP BẢO VỆ 04/2011 Packet filtering  Mỗi gói tin đƣợc kiểm tra trƣớc khi cho qua firewall TTMTRANG  stateless - Session filtering BMMMT&VT  Quyết định dựa trên ngữ cảnh của gói tin Gói tin cho connection mới: kiểm tra policy Gói tin cho connection đã tồn tại: kiểm tra state table - KHOACNTT  stateful NAT -  Chuyển địa chỉ local thành global bên ngoài ĐH TP.HCMKHTN Dùng IP “giả” (bên ngoài chỉ nhìn thấy 1 IP) Bên ngoài không “tự” truy cập vào mạng bên trong đƣợc 8
  9. CÁC PHƢƠNG PHÁP BẢO VỆ 04/2011 VPN  Cho phép các ngƣời dùng/mạng “tin cậy” đƣợc phép truy TTMTRANG cập  Gói tin đƣợc mã hoá trên kênh truyền - BMMMT&VT Proxy service  Proxy server “thay mặt” các host bên trong thực hiện kết nối với bên ngoài - KHOACNTT Giấu các “ngƣời dùng” bên trong Virus Scanning -  Phát hiện thông qua các dấu hiệu “virus” để quyết định ĐH TP.HCMKHTN block gói tin 9
  10. FIREWALL – THIẾT KẾ 04/2011 Firewall: bao nhiêu và TTMTRANG đặt ở đâu? - BMMMT&VT - KHOACNTT - ĐH TP.HCMKHTN Firewall không thể kiểm soát khi Inside Network .Các luồng dữ liệu không-đi-qua firewall .Cấu hình không đúng 10
  11. 04/2011 TTMTRANG - BM MMT&VT - KHOA CNTT - ĐH KHTN TP.HCM 11 KẾ THIẾT – Inside Network Inside IREWALL F
  12. 04/2011 TTMTRANG - BM MMT&VT - KHOA CNTT - ĐH KHTN TP.HCM 12 ROUTER CREENING S
  13. 04/2011 TTMTRANG - BM MMT&VT - KHOA CNTT - ĐH KHTN TP.HCM 13 ARCHITECTURE HOST CREENED S
  14. 04/2011 TTMTRANG - BM MMT&VT - KHOA CNTT - ĐH KHTN TP.HCM 14 FIREWALLS NTERNAL I
  15. NỘI DUNG 04/2011 Đặt vấn đề Giới thiệu Firewall TTMTRANG Packet filtering - Triển khai firewall cơ bản BMMMT&VT - KHOACNTT - ĐH TP.HCMKHTN 15
  16. PACKET FILTERING 04/2011 So sánh gói tin với CSDL các luật và cho phép các gói tin hợp lệ TTMTRANG  Access Control List (ACL) Cấm (block/deny) hoặc cho phép(allow) gói tin nào? - BMMMT&VT Thực hiện trên từng gói tin Không lƣu lại thông tin (stateless) - Sử dụng thông tin KHOACNTT  IP nguồn, IP đích đến  Port nguồn, port đích đến - ĐH TP.HCMKHTN  Giao thức  ICMP type 16
  17. PACKET FILTERING – VÍ DỤ 04/2011 172.29.1.0/24 TTMTRANGTTMTRANG - - BMMMT&VT 172.29.2.0/24 BMMMT&VT - - KHOAKHOACNTTCNTT - 172.29.3.3/24 - ĐHĐH TP.HCMTP.HCMKHTNKHTN Inside Network Không cho phép các máy bên trong truy cập vào trang www.hcmus.edu.vn 17
  18. PACKET FILTERING – VÍ DỤ 04/2011 172.29.1.0/24 203.162.44.68 TTMTRANGTTMTRANG HTTP Request Src: inside IP: * - - BMMMT&VT 172.29.2.0/24 Dst: 203.162.44.68:80 BMMMT&VT - - KHOAKHOACNTTCNTT Action Type Src IP Port Dst IP Port block Outbound * * 203.162.44.68 80 - 172.29.3.3/24 - ĐH TP.HCMKHTN Allow Outbound * * * * ĐH TP.HCMKHTN Default Rule Inside Network Không cho phép các máy bên trong truy cập vào trang www.hcmus.edu.vn 18
  19. PACKET FILTERING – VÍ DỤ 04/2011 172.29.1.0/24 TTMTRANGTTMTRANG - - BMMMT&VT 172.29.2.0/24 BMMMT&VT - - KHOAKHOACNTTCNTT - 172.29.3.3/24 - ĐHĐH TP.HCMTP.HCMKHTNKHTN Inside Network Không cho phép các máy bên trong truy cập vào trang www.hcmus.edu.vn Chỉ cho phép bên ngoài truy cập vào webserver đặt tại máy 172.29.3.3 19
  20. NỘI DUNG 04/2011 Đặt vấn đề Giới thiệu Firewall TTMTRANG Packet filtering - Triển khai firewall cơ bản BMMMT&VT - KHOACNTT - ĐH TP.HCMKHTN 20
  21. CẤU HÌNH BASIC FIREWALL 04/2011 172.29.1.0/24 TTMTRANGTTMTRANG - - BMMMT&VT 172.29.2.0/24 BMMMT&VT - - KHOAKHOACNTTCNTT - 172.29.3.3/24 - ĐHĐH TP.HCMTP.HCMKHTNKHTN Inside Network Không cho phép các máy bên trong truy cập vào trang www.hcmus.edu.vn 21
  22. CẤU HÌNH BASIC FIREWALL 04/2011 Routing and Remote Access  NAT and basic firewall TTMTRANG  Cấu hình basic firewall Outbound - BMMMT&VT Tạo rule mới Action Type Src IP Port Dst IP Port Pro - KHOACNTT block Outbound * * 203.162.44.68 80 TCP Allow Outbound * * * * TCP - ĐH TP.HCMKHTN 22