1
BÀI 3.
HỆ THỐNG TƯỜNG LỬA(FIREWALL)
Bùi Trọng Tùng, SoICT, HUST
1
Nội dung
•Tổng quan về tường lửa
•Kiến trúc của tường lửa
•Các mô hình triển khai hệ thống tường lửa
2
1
2
2
1. GIỚI THIỆU CHUNG VỀ TƯỜNG LỬA
Bùi Trọng Tùng, SoICT, HUST
3
Giới thiệu chung
•Là hệ thống có khả năng ngăn chặn các truy cập không
hợp lệ và đã biết từ bên ngoài và trong khu vực tài
nguyên cần bảo vệ
•Tường lửa có thể triển khai ở nhiều vị trí, tùy thuộc cách
thức định nghĩa, phạm vi tài nguyên cần bảo vệ:
•Mạng ngoại vi
•Mạng nội bộ
•Nút mạng(Host-based firewall)
•Ứng dụng(Application firewall)
4
Network-based firewall
3
4
1 dạng IPS Intrusion Prevention System
ngăn chặn tấn công từ một nguồn đã biết nào đó
phải là đã biết:
bảo vệ những thứ phía sau đó, từ những hành vi bên ngoài
3
Tường lửa có thể làm gì?
•Thi hành các chính sách an toàn bảo mật: hoạt động như
một hệ thống cảnh vệ(traffic cop) cho phép/từ chối lưu
lượng mạng nào đó đi qua tường lửa dựa trên các đặc
điểm(giao thức, địa chỉ, nội dung…) đã xác định
•Hạn chế các hành vi tấn công vào mạng
•Từ mạng bên ngoài(Internet) vào mạng nội bộ
•Từ phân vùng mạng nội bộ này tới những phân vùng mạng nội bộ
khác
•Lưu nhật ký các lưu lượng mạng
5
Tường lửa không thể làm gì?
•Không bảo vệ được tài nguyên trước các mối nguy cơ từ
bên trong
•Không kiểm soát được các lưu lượng mạng không đi qua
•Không kiểm soát đầy đủ đối với các lưu lượng đã được
mã hóa
•Không ngăn chặn được các truy cập tấn công chưa biết
•Không chống lại được hoàn toàn các nguy cơ từ phần
mềm độc hại
•Do đó cần được:
•Triển khai ở nhiều vị trí khác nhau
•Kết hợp với các giải pháp khác: phòng chống phần mềm độc hại,
IDS/IPS, điều khiển truy cập, kiểm toán(auditing)
•Cập nhật liên tục các chính sách mới 6
5
6
IDS: phát hiện
từ bên ngoài vào mạng nội bộ
được bảo vệ
4
Một số sản phẩm tường lửa
•Check Point , Fortinet Fortigate, Cisco PIX, Cisco ASA,
Proventia, Bkav IPS Firewall
•Network-based firewall
•Thiết bị phần cứng
•Thường tích hợp thêm các tính năng khác: IPS, VPN, anti-malware
•Đắt tiền
•Microsoft ISA Server, Microsoft Forefront TMG
•Network-based firewall
•Phần mềm: hiệu năng thấp hơn thiết bị phần cứng
•Tích hợp thêm các tính năng: VPN, Single-Sign-On, quản trị, giám
sát hệ thống…
7
Một số sản phẩm tường lửa(tiếp)
•pfSense, SmoothWall
•Network-based firewall
•Phần mềm: hiệu năng thấp hơn thiết bị phần cứng
•Tích hợp nhân hệ điều hành Linux, Unix vào sản phẩm(distro)
•Đa tính năng: định tuyến, cân bằng tải, IPS…
•Miễn phí
•Host-based firewall
•Thương mại: Kaspersky, Norton…
•Miễn phí: Comodo, Zone alarm, iptables, FirewallD…
•Application firewall
•Web: ModSecurity, WAFEC
8
7
8
5
2. CÁC CÔNG NGHỆ TƯỜNG LỬA
Bùi Trọng Tùng, SoICT, HUST
9
Các thế hệ tường lửa
•Thế hệ 1(1985) – Packet filter: kiểm soát lưu lượng dựa trên
các thông tin trong phần tiêu đề
•Thế hệ 2(1989) – Proxy server: có thể ngăn chặn lưu lượng
tấn công dựa trên sự hiểu biết về các giao thức chuẩn của
tầng ứng dụng
•Thế hệ 3(1991) – Stateful inspector firewall: kiểm soát thêm
trạng thái của luồng dữ liệu
•Thế hệ 4(1994) – Dynamic packet filter: giao tiếp với hệ thống
phát hiện tấn công để cung cấp các cơ chế phản ứng với tấn
công
•Thế hệ 5(1996) – Kiểm soát quá trình xử lý gói tin dựa trên
toàn bộ chồng giao thức TCP/IP
•Hiện nay: tích hợp với các giải pháp an toàn bảo mật khác
10
9
10
![Bài giảng Quản trị mạng ThS. Nguyễn Thái Sơn [chuẩn SEO]](https://cdn.tailieu.vn/images/document/thumbnail/2025/20250806/kimphuong1001/135x160/95261754455042.jpg)
![Câu hỏi trắc nghiệm Mạng máy tính: Tổng hợp [mới nhất]](https://cdn.tailieu.vn/images/document/thumbnail/2025/20251001/kimphuong1001/135x160/15231759305303.jpg)
![Câu hỏi ôn tập An toàn mạng môn học: Tổng hợp [mới nhất]](https://cdn.tailieu.vn/images/document/thumbnail/2025/20250919/kimphuong1001/135x160/30511758269273.jpg)
![Giáo trình Công nghệ mạng không dây (Nghề Quản trị mạng máy tính, Trình độ Cao đẳng) - Trường Cao đẳng Thủ Thiêm [Mới nhất]](https://cdn.tailieu.vn/images/document/thumbnail/2025/20250916/kimphuong1001/135x160/13561758013095.jpg)
