An toàn thông tin trên mạng (phần 3) Cập nhật ngày: 14/05/2008
C ng vòng (circuit-Level Gateway)ổ C ng vòng là m t ch c năng đ c bi t cóổ ộ ứ ặ ệ
th th c hi n đ c b i m t c ng ng d ng. C ng vòng đ n gi n ch chuy nể ự ệ ươ ở ộ ổ ứ ụ ổ ơ ả ỉ ể
ti p (relay) các k t n i TCP mà không th c hi n b t kỳ m t hành đ ng x lý hayế ế ố ự ệ ấ ộ ộ ử
l c packet nào. Hình 2.2 minh ho m t hành đ ng s d ng n i telnet qua c ngọ ạ ộ ộ ử ụ ố ổ
vòng. C ng vòng đ n gi n chuy n ti p k t n i telnet qua firewall mà không th cổ ơ ả ể ế ế ố ự
hi n m t s ki m tra, l c hay đi u khi n các th t c Telnet nào.C ng vòng làmệ ộ ự ể ọ ề ể ủ ụ ổ
vi c nh m t s i dây,sao chép các byte gi a k t n i bên trong (insideệ ư ộ ợ ữ ế ố
connection) và các k t n i bên ngoài (outside connection). Tuy nhiên, vì s k tế ố ự ế
n i này xu t hi n t h th ng firewall, nó che d u thông tin v m ng n i b .ố ấ ệ ừ ệ ố ấ ề ạ ộ ộ
C ng vòng th ng đ c s d ng cho nh ng k t n i ra ngoài, n i mà các qu nổ ườ ượ ử ụ ữ ế ố ơ ả
tr m ng th t s tin t ng nh ng ng i dùng bên trong. u đi m l n nh t làị ạ ậ ự ưở ữ ườ Ư ể ớ ấ
m t bastion host có th đ c c u hình nh là m t h n h p cung c p C ng ngộ ể ượ ấ ư ộ ỗ ợ ấ ổ ứ
d ng cho nh ng k t n i đ n, và c ng vòng cho các k t n i đi. Đi u này làm choụ ữ ế ố ế ổ ế ố ề
h th ng b c t ng l a d dàng s d ng cho nh ng ng i trong m ng n i bệ ố ứ ườ ử ễ ử ụ ữ ườ ạ ộ ộ
mu n tr c ti p truy nh p t i các d ch v Internet, trong khi v n cung c p ch cố ự ế ậ ớ ị ụ ẫ ấ ứ
năng b c t ng l a đ b o v m ng n i b t nh ng s t n công bênứ ườ ử ể ả ệ ạ ộ ộ ừ ữ ự ấ
ngoài.1.1.2 Nh ng h n ch c a firewall ữ ạ ế ủ Firewall không đ thông minh nh conủ ư
ng i đ có th đ c hi u t ng lo i thông tin và phân tích n i dung t t hay x uườ ể ể ọ ể ừ ạ ộ ố ấ
c a nó. Firewall ch có th ngăn ch n s xâm nh p c a nh ng ngu n thông tinủ ỉ ể ặ ự ậ ủ ữ ồ
không mong mu n nh ng ph i xác đ nh rõ các thông s đ a ch . Firewall khôngố ư ả ị ố ị ỉ
th ngăn ch n m t cu c t n công n u cu c t n công này không `đi qua` nó. M tể ặ ộ ộ ấ ế ộ ấ ộ
cách c th , firewall không th ch ng l i m t cu c t n công t m t đ ng dial-ụ ể ể ố ạ ộ ộ ấ ừ ộ ườ
up, ho c s dò r thông tin do d li u b sao chép b t h p pháp lên đĩa m m.ặ ự ỉ ữ ệ ị ấ ợ ề
Firewall cũng không th ch ng l i các cu c t n công b ng d li u (data-drivenể ố ạ ộ ấ ằ ữ ệ
attack). Khi có m t s ch ng trình đ c chuy n theo th đi n t , v t quaộ ố ươ ượ ể ư ệ ử ượ
firewall vào trong m ng đ c b o v và b t đ u ho t đ ng đây. M t ví d làạ ượ ả ệ ắ ầ ạ ộ ở ộ ụ
các virus máy tính. Firewall không th làm nhi m v rà quét virus trên các dể ệ ụ ữ
li u đ c chuy n qua nó, do t c đ làm vi c, s xu t hi n liên t c c a các virusệ ượ ể ố ộ ệ ự ấ ệ ụ ủ
m i và do có r t nhi u cách đ mã hóa d li u, thoát kh i kh năng ki m soátớ ấ ề ể ữ ệ ỏ ả ể
c a firewall.ủ1.1.3 Các ví d firewallụ 1.1.3.1 Packet-Filtering Router (B trungộ
chuy n có l c gói) H th ng Internet firewall ph bi n nh t ch bao g m m tể ọ ệ ố ổ ế ấ ỉ ồ ộ
packet-filtering router đ t gi a m ng n i b và Internet (Hình 2.3). M t packet-ặ ữ ạ ộ ộ ộ
filtering router có hai ch c năng: chuy n ti p truy n thông gi a hai m ng và sứ ể ế ề ữ ạ ử
d ng các quy lu t v l c gói đ cho phép hay t ch i truy n thông. Căn b n, cácụ ậ ề ọ ể ừ ố ề ả
quy lu t l c đ c đ nh nghĩa sao cho các host trên m ng n i b đ c quy n truyậ ọ ựơ ị ạ ộ ộ ượ ề
nh p tr c ti p t i Internet, trong khi các host trên Internet ch có m t s gi i h nậ ự ế ớ ỉ ộ ố ớ ạ
các truy nh p vào các máy tính trên m ng n i b . T t ng c a mô c u trúcậ ạ ộ ộ ư ưở ủ ấ
firewall này là t t c nh ng gì không đ c ch ra rõ ràng là cho phép thì có nghĩaấ ả ữ ượ ỉ
là b t ch i. Hình 2.3 Packet-filtering router u đi m: giá thành th p (vì c uị ừ ố Ư ể ấ ấ
hình đ n gi n) trong su t đ i v i ng i s d ng H n ch : Có t t c h n chơ ả ố ố ớ ườ ử ụ ạ ế ấ ả ạ ế
c a m t packet-filtering router, nh là d b t n công vào các b l c mà c u hìnhủ ộ ư ễ ị ấ ộ ọ ấ
đ c đ t không hoàn h o, ho c là b t n công ng m d i nh ng d ch v đãượ ặ ả ặ ị ấ ầ ướ ữ ị ụ
đ c phép. B i vì các packet đ c trao đ i tr c ti p gi a hai m ng thông quaượ ở ượ ổ ự ế ữ ạ
router , nguy c b t n công quy t đ nh b i s l ng các host và d ch v đ cơ ị ấ ế ị ở ố ượ ị ụ ượ
phép. Đi u đó d n đ n m i m t host đ c phép truy nh p tr c ti p vào Internetề ẫ ế ỗ ộ ượ ậ ự ế
c n ph i đ c cung c p m t h th ng xác th c ph c t p, và th ng xuyênầ ả ượ ấ ộ ệ ố ự ứ ạ ườ
ki m tra b i ng i qu n tr m ng xem có d u hi u c a s t n công nào không.ể ở ườ ả ị ạ ấ ệ ủ ự ấ
N u m t packet-filtering router do m t s c nào đó ng ng ho t đ ng, t t c hế ộ ộ ự ố ừ ạ ộ ấ ả ệ
th ng trên m ng n i b có th b t n công. 1.1.3.2 Screened Host Firewall Hố ạ ộ ộ ể ị ấ ệ
th ng này bao g m m t packet-filtering router và m t bastion host (hình 2.4). Hố ồ ộ ộ ệ
th ng này cung c p đ b o m t cao h n h th ng trên, vì nó th c hi n c b oố ấ ộ ả ậ ơ ệ ố ự ệ ả ả
m t t ng network( packet-filtering ) và t ng ng d ng (application level).ậ ở ầ ở ầ ứ ụ
Đ ng th i, k t n công ph i phá v c hai t ng b o m t đ t n công vào m ngồ ờ ẻ ấ ả ỡ ả ầ ả ậ ể ấ ạ
n i b . Hình 2.4 Screened host firewall (Single- Homed Bastion Host) Trong hộ ộ ệ
th ng này, bastion host đ c c u hình trong m ng n i b . Qui lu t filteringố ượ ấ ở ạ ộ ộ ậ
trên packet-filtering router đ c đ nh nghĩa sao cho t t c các h th ng bênượ ị ấ ả ệ ố ở
ngoài ch có th truy nh p bastion host; Vi c truy n thông t i t t c các hỉ ể ậ ệ ề ớ ấ ả ệ
th ng bên trong đ u b khoá. B i vì các h th ng n i b và bastion host trênố ề ị ở ệ ố ộ ộ ở
cùng m t m ng, chính sách b o m t c a m t t ch c s quy t đ nh xem các hộ ạ ả ậ ủ ộ ổ ứ ẽ ế ị ệ
th ng n i b đ c phép truy nh p tr c ti p vào bastion Internet hay là chúngố ộ ộ ượ ậ ự ế
ph i s d ng d ch v proxy trên bastion host. Vi c b t bu c nh ng user n i bả ử ụ ị ụ ệ ắ ộ ữ ộ ộ
đ c th c hi n b ng cách đ t c u hình b l c c a router sao cho ch ch p nh nượ ự ệ ằ ặ ấ ộ ọ ủ ỉ ấ ậ
nh ng truy n thông n i b xu t phát t bastion host. u đi m: Máy ch cungữ ề ộ ộ ấ ừ Ư ể ủ
c p các thông tin công c ng qua d ch v Web và FTP có th đ t trên packet-ấ ộ ị ụ ể ặ
filtering router và bastion. Trong tr ng h p yêu c u đ an toàn cao nh t, bastionườ ợ ầ ộ ấ
host có th ch y các d ch v proxy yêu c u t t c các user c trong và ngoài truyể ạ ị ụ ầ ấ ả ả
nh p qua bastion host tr c khi n i v i máy ch . Tr ng h p không yêu c u đậ ướ ố ớ ủ ườ ợ ầ ộ
an toàn cao thì các máy n i b có th n i th ng v i máy ch . N u c n đ b oộ ộ ể ố ẳ ớ ủ ế ầ ộ ả
m t cao h n n a thì có th dùng h th ng firewall dual-home (hai chi u) bastionậ ơ ữ ể ệ ố ề
host (hình 2.5). M t h th ng bastion host nh v y có 2 giao di n m ngộ ệ ố ư ậ ệ ạ
(network interface), nh ng khi đó kh năng truy n thông tr c ti p gi a hai giaoư ả ề ự ế ữ
di n đó qua d ch v proxy là b c m. Hình 2.5 Screened host firewall (Dual-ệ ị ụ ị ấ
Homed Bastion Host) B i vì bastion host là h th ng bên trong duy nh t có thở ệ ố ấ ể
truy nh p đ c t Internet, s t n công cũng ch gi i h n đ n bastion host màậ ượ ừ ự ấ ỉ ớ ạ ế
thôi. Tuy nhiên, n u nh ng i dùng truy nh p đ c vào bastion host thì h cóế ư ườ ậ ượ ọ
th d dàng truy nh p toàn b m ng n i b . Vì v y c n ph i c m không choể ễ ậ ộ ạ ộ ộ ậ ầ ả ấ
ng i dùng truy nh p vào bastion host.ườ ậ 1.1.3.3 Demilitarized Zone (DMZ - khu
v c phi quân s ) hay Screened-subnet Firewallự ự H th ng này bao g m haiệ ố ồ
packet-filtering router và m t bastion host (hình 2.6). H th ng firewall này có độ ệ ố ộ
an toàn cao nh t vì nó cung c p c m c b o m t : network và application trongấ ấ ả ứ ả ậ
khi đ nh nghĩa m t m ng “phi quân s ”. M ng DMZ đóng vai trò nh m t m ngị ộ ạ ự ạ ư ộ ạ
nh , cô l p đ t gi a Internet và m ng n i b . C b n, m t DMZ đ c c u hìnhỏ ậ ặ ữ ạ ộ ộ ơ ả ộ ượ ấ
sao cho các h th ng trên Internet và m ng n i b ch có th truy nh p đ cệ ố ạ ộ ộ ỉ ể ậ ượ
m t s gi i h n các h th ng trên m ng DMZ, và s truy n tr c ti p qua m ngộ ố ớ ạ ệ ố ạ ự ề ự ế ạ
DMZ là không th đ c. V i nh ng thông tin đ n, router ngoài ch ng l i nh ngể ượ ớ ữ ế ố ạ ữ
s t n công chu n (nh gi m o đ a ch IP), và đi u khi n truy nh p t i DMZ.ự ấ ẩ ư ả ạ ị ỉ ề ể ậ ớ
Nó cho phép h th ng bên ngoài truy nh p ch bastion host, và có th cệ ố ậ ỉ ể ả
information server. Router trong cung c p s b o v th hai b ng cách đi uấ ự ả ệ ứ ằ ề
khi n DMZ truy nh p m ng n i b ch v i nh ng truy n thông b t đ u tể ậ ạ ộ ộ ỉ ớ ữ ề ắ ầ ừ
bastion host. V i nh ng thông tin đi, router trong đi u khi n m ng n i b truyớ ữ ề ể ạ ộ ộ
nh p t i DMZ. Nó ch cho phép các h th ng bên trong truy nh p bastion host vàậ ớ ỉ ệ ố ậ
có th c information server. Quy lu t filtering trên router ngoài yêu c u s dungể ả ậ ầ ử
dich v proxy b ng cách ch cho phép thông tin ra b t ngu n t bastion host. uụ ằ ỉ ắ ồ ừ Ư
đi m: K t n công c n phá v ba t ng b o v : router ngoài, bastion host vàể ẻ ấ ầ ỡ ầ ả ệ
router trong. B i vì router ngoài ch qu ng cáo DMZ network t i Internet, hở ỉ ả ớ ệ
th ng m ng n i b là không th nhìn th y (invisible). Ch có m t s h th ngố ạ ộ ộ ể ấ ỉ ộ ố ệ ố
đã đ c ch n ra trên DMZ là đ c bi t đ n b i Internet qua routing table vàượ ọ ượ ế ế ở
DNS information exchange (Domain Name Server). B i vì router trong ch qu ngở ỉ ả
cáo DMZ network t i m ng n i b , các h th ng trong m ng n i b không thớ ạ ộ ộ ệ ố ạ ộ ộ ể
truy nh p tr c ti p vào Internet. Đi u nay đ m b o r ng nh ng user bên trongậ ự ế ề ả ả ằ ữ
b t bu c ph i truy nh p Internet qua d ch v proxy. Hình 2.6 Screened-Subnetắ ộ ả ậ ị ụ
Firewall
An toàn thông tin trên mạng (phần 2) Cập nhật ngày: 14/05/2008
1.1.1.1 Vô hi u hoá các ch c năng c a h th ng (denial of service)ệ ứ ủ ệ ố Đây là
k u t n công nh m tê li t h th ng, không cho nó th c hi n ch c năng mà nóể ấ ằ ệ ệ ố ự ệ ứ
thi t k . Ki u t n công này không th ngăn ch n đ c, do nh ng ph ng ti nế ế ể ấ ể ặ ượ ữ ươ ệ
đ c t ch c t n công cũng chính là các ph ng ti n đ làm vi c và truy nh pượ ổ ứ ấ ươ ệ ể ệ ậ
thông tin trên m ng. Ví d s d ng l nh ping v i t c đ cao nh t có th , bu cạ ụ ử ụ ệ ớ ố ộ ấ ể ộ
m t h th ng tiêu hao toàn b t c đ tính toán và kh năng c a m ng đ tr l iộ ệ ố ộ ố ộ ả ủ ạ ể ả ờ
các l nh này, không còn các tài nguyên đ th c hi n nh ng công vi c có íchệ ể ự ệ ữ ệ
khác.1.1.1.2 L i c a ng i qu n tr h th ngỗ ủ ườ ả ị ệ ố Đây không ph i là m t ki uả ộ ể
t n công c a nh ng k đ t nh p, tuy nhiên l i c a ng i qu n tr h th ngấ ủ ữ ẻ ộ ậ ỗ ủ ườ ả ị ệ ố
th ng t o ra nh ng l h ng cho phép k t n công s d ng đ truy nh p vàoườ ạ ữ ỗ ổ ẻ ấ ử ụ ể ậ
m ng n i b .ạ ộ ộ 1.1.1.3 T n công vào y u t con ng iấ ế ố ườ K t n công có th liênẻ ấ ể
l c v i m t ng i qu n tr h th ng, gi làm m t ng i s d ng đ yêu c uạ ớ ộ ườ ả ị ệ ố ả ộ ườ ử ụ ể ầ
thay đ i m t kh u, thay đ i quy n truy nh p c a mình đ i v i h th ng, ho cổ ậ ẩ ổ ề ậ ủ ố ớ ệ ố ặ
th m chí thay đ i m t s c u hình c a h th ng đ th c hi n các ph ng phápậ ổ ộ ố ấ ủ ệ ố ể ự ệ ươ
t n công khác. V i ki u t n công này không m t thi t b nào có th ngăn ch nấ ớ ể ấ ộ ế ị ể ặ
m t cách h u hi u, và ch có m t cách giáo d c ng i s d ng m ng n i b vộ ữ ệ ỉ ộ ụ ườ ử ụ ạ ộ ộ ề
nh ng yêu c u b o m t đ đ cao c nh giác v i nh ng hi n t ng đáng nghi.ữ ầ ả ậ ể ề ả ớ ữ ệ ượ
Nói chung y u t con ng i là m t đi m y u trong b t kỳ m t h th ng b o vế ố ườ ộ ể ế ấ ộ ệ ố ả ệ
nào, và ch có s giáo d c c ng v i tinh th n h p tác t phía ng i s d ng cóỉ ự ụ ộ ớ ầ ợ ừ ườ ử ụ
th nâng cao đ c đ an toàn c a h th ng b o v .ể ượ ộ ủ ệ ố ả ệ 1.1.2 Phân lo i k t nạ ẻ ấ
công Có r t nhi u k t n công trên m ng toàn c u - Internet và chúng ta cũngấ ề ẻ ấ ạ ầ
không th phân lo i chúng m t cách chính xác, b t c m t b n phân lo i ki uể ạ ộ ấ ứ ộ ả ạ ể
này cũng ch nên đ c xem nh là m t s gi i thi u h n là m t cách nhìn r pỉ ượ ư ộ ự ớ ệ ơ ộ ậ
khuôn.1.1.2.1 Ng i qua đ ngườ ườ Ng i qua đ ng là nh ng k bu n chán v iườ ườ ữ ẻ ồ ớ
nh ng công vi c th ng ngày, h mu n tìm nh ng trò gi i trí m i. H đ t nh pữ ệ ườ ọ ố ữ ả ớ ọ ộ ậ
vào máy tính c a b n vì h nghĩ b n có th có nh ng d li u hay, ho c b i vìủ ạ ọ ạ ể ữ ữ ệ ặ ở
h c m th y thích thú khi s d ng máy tính c a ng i khác, ho c ch đ n gi nọ ả ấ ử ụ ủ ườ ặ ỉ ơ ả
là h không tìm đ c m t vi c gì hay h n đ làm. H có th là ng i tò mòọ ượ ộ ệ ơ ể ọ ể ườ
nh ng không ch đ nh làm h i b n. Tuy nhiên, h th ng gây h h ng h th ngư ủ ị ạ ạ ọ ườ ư ỏ ệ ố
khi đ t nh p hay khi xoá b d u v t c a h .ộ ậ ỏ ấ ế ủ ọ 1.1.2.2 K phá ho iẻ ạ K phá ho iẻ ạ
ch đ nh phá ho i h th ng c a b n, h có th không thích b n, h cũng có thủ ị ạ ệ ố ủ ạ ọ ể ạ ọ ể
không bi t b n nh ng h tìm th y ni m vui khi đi phá ho i. Thông th ng, trênế ạ ư ọ ấ ề ạ ườ
Internet k phá ho i khá hi m. M i ng i không thích h . Nhi u ng i cònẻ ạ ế ọ ườ ọ ề ườ
thích tìm và ch n đ ng nh ng k phá ho i. Tuy ít nh ng k phá ho i th ngặ ứ ữ ẻ ạ ư ẻ ạ ườ
gây h ng tr m tr ng cho h th ng c a b n nh xoá toàn b d li u, phá h ngỏ ầ ọ ệ ố ủ ạ ư ộ ữ ệ ỏ
các thi t b trên máy tính c a b n...ế ị ủ ạ 1.1.2.3 K ghi đi mẻ ể R t nhi u k quaấ ề ẻ
đ ng b cu n hút vào vi c đ t nh p, phá ho i. H mu n đ c kh ng đ nhườ ị ố ệ ộ ậ ạ ọ ố ượ ẳ ị
mình thông qua s l ng và các ki u h th ng mà h đã đ t nh p qua. Đ t nh pố ượ ể ệ ố ọ ộ ậ ộ ậ
đ c vào nh ng n i n i ti ng, nh ng n i phòng b ch t ch , nh ng n i thi t kượ ữ ơ ổ ế ữ ơ ị ặ ẽ ữ ơ ế ế
tinh x o có giá tr nhi u đi m đ i v i h . Tuy nhiên h cũng s t n công t t cả ị ề ể ố ớ ọ ọ ẽ ấ ấ ả
nh ng n i h có th , v i m c đích s l ng cũng nh m c đích ch t l ng.ữ ơ ọ ể ớ ụ ố ượ ư ụ ấ ượ
Nh ng ng i này không quan tâm đ n nh ng thông tin b n có hay nh ng đ cữ ườ ế ữ ạ ữ ặ
tính khác v tài nguyên c a b n. Tuy nhiên đ đ t đ c m c đích là đ t nh p,ề ủ ạ ể ạ ượ ụ ộ ậ
vô tình hay h u ý h s làm h h ng h th ng c a b n. 1.1.2.4 Gián đi p Hi nữ ọ ẽ ư ỏ ệ ố ủ ạ ệ ệ
nay có r t nhi u thông tin quan tr ng đ c l u tr trên máy tính nh các thôngấ ề ọ ượ ư ữ ư
tin v quân s , kinh t ... Gián đi p máy tính là m t v n đ ph c t p và khó phátề ự ế ệ ộ ấ ề ứ ạ
hi n. Th c t , ph n l n các t ch c không th phòng th ki u t n công này m tệ ự ế ầ ớ ổ ứ ể ủ ể ấ ộ
cách hi u qu và b n có th ch c r ng đ ng liên k t v i Internet không ph iệ ả ạ ể ắ ằ ườ ế ớ ả
là con đ ng d nh t đ gián đi p thu l m thông tin.ườ ễ ấ ể ệ ượ 1.2 V y Internetậ
Firewall là gì? 1.2.1 Đ nh nghĩa Thu t ng Firewall có ngu n g c t m t kị ậ ữ ồ ố ừ ộ ỹ
thu t thi t k trong xây d ng đ ngăn ch n, h n ch ho ho n. Trong côngậ ế ế ự ể ặ ạ ế ả ạ
ngh m ng thông tin, Firewall là m t k thu t đ c tích h p vào h th ngệ ạ ộ ỹ ậ ượ ợ ệ ố
m ng đ ch ng s truy c p trái phép nh m b o v các ngu n thông tin n i bạ ể ố ự ậ ằ ả ệ ồ ộ ộ
cũng nh h n ch s xâm nh p vào h th ng c a m t s thông tin khác khôngư ạ ế ự ậ ệ ố ủ ộ ố
mong mu n. Cũng có th hi u r ng Firewall là m t c ch đ b o v m ng tinố ể ể ằ ộ ơ ế ể ả ệ ạ
t ng (trusted network) kh i các m ng không tin t ng (untrusted network).ưở ỏ ạ ưở
Internet Firewall là m t thi t b (ph n c ng+ph n m m) gi a m ng c a m t tộ ế ị ầ ứ ầ ề ữ ạ ủ ộ ổ
ch c, m t công ty, hay m t qu c gia (Intranet) và Internet. Nó th c hi n vai tròứ ộ ộ ố ự ệ
b o m t các thông tin Intranet t th gi i Internet bên ngoài.ả ậ ừ ế ớ 1.2.2 Ch c năngứ
Internet Firewall (t nay v sau g i t t là firewall) là m t thành ph n đ t gi aừ ề ọ ắ ộ ầ ặ ữ
Intranet và Internet đ ki m soát t t c các vi c l u thông và truy c p gi aể ể ấ ả ệ ư ậ ữ
chúng v i nhau bao g m: Firewall quy t đ nh nh ng d ch v nào t bên trongớ ồ ế ị ữ ị ụ ừ
đ c phép truy c p t bên ngoài, nh ng ng i nào t bên ngoài đ c phép truyượ ậ ừ ữ ườ ừ ượ
c p đ n các d ch v bên trong, và c nh ng d ch v nào bên ngoài đ c phépậ ế ị ụ ả ữ ị ụ ượ
truy c p b i nh ng ng i bên trong. Đ firewall làm vi c hi u qu , t t c traoậ ở ữ ườ ể ệ ệ ả ấ ả
đ i thông tin t trong ra ngoài và ng c l i đ u ph i th c hi n thông quaổ ừ ượ ạ ề ả ự ệ
Firewall. Ch có nh ng trao đ i nào đ c phép b i ch đ an ninh c a h th ngỉ ữ ổ ượ ở ế ộ ủ ệ ố
m ng n i b m i đ c quy n l u thông qua Firewall. S đ ch c năng hạ ộ ộ ớ ượ ề ư ơ ồ ứ ệ
th ng c a firewall đ c mô t nh trong hình 2.1 Hình 2.1 S đ ch c năng hố ủ ượ ả ư ơ ồ ứ ệ
th ng c a firewallố ủ 1.2.3 C u trúc ấFirewall bao g m: M t ho c nhi u h th ngồ ộ ặ ề ệ ố
máy ch k t n i v i các b đ nh tuy n (router) ho c có ch c năng router. Cácủ ế ố ớ ộ ị ế ặ ứ
ph n m m qu n lý an ninh ch y trên h th ng máy ch . Thông th ng là các hầ ề ả ạ ệ ố ủ ườ ệ
qu n tr xác th c (Authentication), c p quy n (Authorization) và k toánả ị ự ấ ề ế
(Accounting). Chúng ta s đ c p k h n các ho t đ ng c a nh ng h này ẽ ề ậ ỹ ơ ạ ộ ủ ữ ệ ở
ph n sau. 1.2.4 Các thành ph n c a Firewall và c ch ho t đ ng M t Firewallầ ầ ủ ơ ế ạ ộ ộ
chu n bao g m m t hay nhi u các thành ph n sau đây: B l c packet ( packet-ẩ ồ ộ ề ầ ộ ọ
filtering router ) C ng ng d ng (application-level gateway hay proxy server )ổ ứ ụ
C ng m ch (circuite level gateway) 1.2.4.1 B l c gói tin (Packet filtering router)ổ ạ ộ ọ
1.2.4.1.1 Nguyên lý: Khi nói đ n vi c l u thông d li u gi a các m ng v i nhauế ệ ư ữ ệ ữ ạ ớ
thông qua Firewall thì đi u đó có nghĩa r ng Firewall ho t đ ng ch t ch v iề ằ ạ ộ ặ ẽ ớ
giao th c liên m ng TCP/IP. Vì giao th c này làm vi c theo thu t toán chia nhứ ạ ứ ệ ậ ỏ
các d li u nh n đ c t các ng d ng trên m ng, hay nói chính xác h n là cácữ ệ ậ ượ ừ ứ ụ ạ ơ
d ch v ch y trên các giao th c (Telnet, SMTP, DNS, SMNP, NFS...) thành cácị ụ ạ ứ
gói d li u (data packets) r i gán cho các packet này nh ng đ a ch đ có thữ ệ ồ ữ ị ỉ ể ể
nh n d ng, tái l p l i đích c n g i đ n, do đó các lo i Firewall cũng liên quanậ ạ ậ ạ ở ầ ử ế ạ
r t nhi u đ n các packet và nh ng con s đ a ch c a chúng. B l c packet choấ ề ế ữ ố ị ỉ ủ ộ ọ
phép hay t ch i m i packet mà nó nh n đ c. Nó ki m tra toàn b đo n dừ ố ỗ ậ ượ ể ộ ạ ữ
li u đ quy t đ nh xem đo n d li u đó có tho mãn m t trong s các lu t lệ ể ế ị ạ ữ ệ ả ộ ố ậ ệ
c a l c packet hay không. Các lu t l l c packet này là d a trên các thông tin ủ ọ ậ ệ ọ ự ở
đ u m i packet (packet header), dùng đ cho phép truy n các packet đó trênầ ỗ ể ề ở
m ng. Đó là: Đ a ch IP n i xu t phát ( IP Source address) Đ a ch IP n i nh n (IPạ ị ỉ ơ ấ ị ỉ ơ ậ
Destination address) Nh ng th t c truy n tin (TCP, UDP, ICMP, IP tunnel) C ngữ ủ ụ ề ổ
TCP/UDP n i xu t phát (TCP/UDP source port) C ng TCP/UDP n i nh nơ ấ ổ ơ ậ
(TCP/UDP destination port) D ng thông báo ICMP ( ICMP message type) giaoạ
di n packet đ n ( incomming interface of packet) giao di n packet điệ ế ệ
![Tài liệu tập huấn nâng cao nhận thức về an toàn thông tin mạng cho cán bộ cơ sở [Mới nhất]](https://cdn.tailieu.vn/images/document/thumbnail/2023/20230307/bapnuong06/135x160/991678178243.jpg)
