9/28/2015

1

Giảng viên: Lê Phúc

Email: lephuc@ptithcm.edu.vn

Website: http://is.ptithcm.edu.vn/~lephuc

Firewall

INT1303 Information security, PTITHCM, 2015

Mục tiêu thiết kế firewall

InfSec, PTIT 2013

2

Lưu lượng ra/vào bắt buộc phải qua firewall

Firewall chỉ cho phép lưu được hợp lệ đi qua

(theo định nghĩa của policy)

Bản thân firewall phải đủ an toàn

9/28/2015

2

Firewall policy

InfSec, PTIT 2013

3

Chính sách truy xuất của firewall thường được

thiết lập dựa trên các thông tin:

Địa chỉ IP, protocol number

Application protocol: port number

User identity: username/password

Network activity: giờ, thao tác, ...

Phân loại firewall

InfSec, PTIT 2013

4

Packet filtering Stateful Inspection

9/28/2015

3

Phân loại firewall

InfSec, PTIT 2013

5

Application Circuit level

IP header

InfSec, PTIT 2013

6

9/28/2015

4

TCP header

InfSec, PTIT 2013

7

UDP header

InfSec, PTIT 2013

8

9/28/2015

5

Packet filtering firewall

InfSec, PTIT 2013

9

Dựa trên các thông tin trong IP/TCP header:

Source / Destination IP addresses

Source / Destination port

Protocol number

Interface

Packet filtering firewall

InfSec, PTIT 2013

10

Firewall policy

9/28/2015

6

Packet filtering firewall

InfSec, PTIT 2013

11

Điểm yếu của packet filtering firewall:

Không ngăn chặn được các tấn công phụ thuộc

ứng dụng, không lọc được “nội dung”.

Thông tin logging nghèo nàn.

Đa số không cung cấp chức năng xác thực.

Không phát hiện các tấn công giả mạo địa chỉ.

Packet filtering firewall

InfSec, PTIT 2013

12

Các tấn công điển hình khái thác điểm yếu

của packet filtering firewall:

IP address spoofing

Source routing

Tiny fragments

9/28/2015

7

Stateful Inspection Firewall

InfSec, PTIT 2013

13

Dựa trên các thông số trong tiêu đề IP/TCP

Quản lý trạng thái kết nối

Bảo vệ được các port cao của hệ thống, tránh

backdoor

Stateful Inspection Firewall

InfSec, PTIT 2013

14

Quản lý trạng thái kết nối TCP

9/28/2015

8

Application firewalls

InfSec, PTIT 2013

15

Dựa trên tiêu đề gói và nội dung gói

Có thể lọc nội dung

Dễ dàng tích hợp chức năng user

authentication

Có thể tạo ra điểm nghẽn cổ chai tại firewall

Application firewalls

InfSec, PTIT 2013

16

Application proxy:

Thiết kế riêng cho từng ứng dụng

Cấu hình trên từng client

Socks proxy:

Hoạt động trong suốt với ứng dụng

Dùng chung phần giao tiếp phía client

9/28/2015

9

Xây dựng tập luật firewall

InfSec, PTIT 2013

17

Match policy:

First-match

Last-match

Best-match

Policy optimization:

Re-order rule

Combination rule

Change default: accept/deny

Triển khai firewall

InfSec, PTIT 2013

18

DMZ

VPN

Distrubuted firewall