an toàn và bảo mật hệ thống thông tin - c9: firewall
TRANSCRIPT
![Page 1: An toàn và bảo mật hệ thống thông tin - C9: firewall](https://reader036.vdocuments.net/reader036/viewer/2022080901/5872c5351a28ab0c718b60eb/html5/thumbnails/1.jpg)
9/28/2015
1
Giảng viên: Lê Phúc
Email: [email protected]
Website: http://is.ptithcm.edu.vn/~lephuc
Firewall
INT1303 Information security, PTITHCM, 2015
Mục tiêu thiết kế firewall
InfSec, PTIT 2013
2
Lưu lượng ra/vào bắt buộc phải qua firewall
Firewall chỉ cho phép lưu được hợp lệ đi qua
(theo định nghĩa của policy)
Bản thân firewall phải đủ an toàn
![Page 2: An toàn và bảo mật hệ thống thông tin - C9: firewall](https://reader036.vdocuments.net/reader036/viewer/2022080901/5872c5351a28ab0c718b60eb/html5/thumbnails/2.jpg)
9/28/2015
2
Firewall policy
InfSec, PTIT 2013
3
Chính sách truy xuất của firewall thường được
thiết lập dựa trên các thông tin:
Địa chỉ IP, protocol number
Application protocol: port number
User identity: username/password
Network activity: giờ, thao tác, ...
Phân loại firewall
InfSec, PTIT 2013
4
Packet filtering Stateful Inspection
![Page 3: An toàn và bảo mật hệ thống thông tin - C9: firewall](https://reader036.vdocuments.net/reader036/viewer/2022080901/5872c5351a28ab0c718b60eb/html5/thumbnails/3.jpg)
9/28/2015
3
Phân loại firewall
InfSec, PTIT 2013
5
Application Circuit level
IP header
InfSec, PTIT 2013
6
![Page 4: An toàn và bảo mật hệ thống thông tin - C9: firewall](https://reader036.vdocuments.net/reader036/viewer/2022080901/5872c5351a28ab0c718b60eb/html5/thumbnails/4.jpg)
9/28/2015
4
TCP header
InfSec, PTIT 2013
7
UDP header
InfSec, PTIT 2013
8
![Page 5: An toàn và bảo mật hệ thống thông tin - C9: firewall](https://reader036.vdocuments.net/reader036/viewer/2022080901/5872c5351a28ab0c718b60eb/html5/thumbnails/5.jpg)
9/28/2015
5
Packet filtering firewall
InfSec, PTIT 2013
9
Dựa trên các thông tin trong IP/TCP header:
Source / Destination IP addresses
Source / Destination port
Protocol number
Interface
Packet filtering firewall
InfSec, PTIT 2013
10
Firewall policy
![Page 6: An toàn và bảo mật hệ thống thông tin - C9: firewall](https://reader036.vdocuments.net/reader036/viewer/2022080901/5872c5351a28ab0c718b60eb/html5/thumbnails/6.jpg)
9/28/2015
6
Packet filtering firewall
InfSec, PTIT 2013
11
Điểm yếu của packet filtering firewall:
Không ngăn chặn được các tấn công phụ thuộc
ứng dụng, không lọc được “nội dung”.
Thông tin logging nghèo nàn.
Đa số không cung cấp chức năng xác thực.
Không phát hiện các tấn công giả mạo địa chỉ.
Packet filtering firewall
InfSec, PTIT 2013
12
Các tấn công điển hình khái thác điểm yếu
của packet filtering firewall:
IP address spoofing
Source routing
Tiny fragments
![Page 7: An toàn và bảo mật hệ thống thông tin - C9: firewall](https://reader036.vdocuments.net/reader036/viewer/2022080901/5872c5351a28ab0c718b60eb/html5/thumbnails/7.jpg)
9/28/2015
7
Stateful Inspection Firewall
InfSec, PTIT 2013
13
Dựa trên các thông số trong tiêu đề IP/TCP
Quản lý trạng thái kết nối
Bảo vệ được các port cao của hệ thống, tránh
backdoor
Stateful Inspection Firewall
InfSec, PTIT 2013
14
Quản lý trạng thái kết nối TCP
![Page 8: An toàn và bảo mật hệ thống thông tin - C9: firewall](https://reader036.vdocuments.net/reader036/viewer/2022080901/5872c5351a28ab0c718b60eb/html5/thumbnails/8.jpg)
9/28/2015
8
Application firewalls
InfSec, PTIT 2013
15
Dựa trên tiêu đề gói và nội dung gói
Có thể lọc nội dung
Dễ dàng tích hợp chức năng user
authentication
Có thể tạo ra điểm nghẽn cổ chai tại firewall
Application firewalls
InfSec, PTIT 2013
16
Application proxy:
Thiết kế riêng cho từng ứng dụng
Cấu hình trên từng client
Socks proxy:
Hoạt động trong suốt với ứng dụng
Dùng chung phần giao tiếp phía client
![Page 9: An toàn và bảo mật hệ thống thông tin - C9: firewall](https://reader036.vdocuments.net/reader036/viewer/2022080901/5872c5351a28ab0c718b60eb/html5/thumbnails/9.jpg)
9/28/2015
9
Xây dựng tập luật firewall
InfSec, PTIT 2013
17
Match policy:
First-match
Last-match
Best-match
Policy optimization:
Re-order rule
Combination rule
Change default: accept/deny
Triển khai firewall
InfSec, PTIT 2013
18
DMZ
VPN
Distrubuted firewall