Tải bản đầy đủ
TỔNG QUAN VỀ CƠ SỞ LÝ THUYẾT

TỔNG QUAN VỀ CƠ SỞ LÝ THUYẾT

Tải bản đầy đủ

tập trung trên một Máy phục vụ – Server) mà không phụ thuộc vào vị trí địa lý
của người sử dụng đó.

- Chia sẻ phần cứng: Tài nguyên chung của mạng cũng bao gồm các máy móc, thiết
bị như: Máy in (Printer), Máy quét (Scanner), Ổ đĩa mềm (Floppy), Ổ đĩa CD (CD
Rom), … được nối vào mạng. Thông qua mạng máy tính, người sử dụng có thể sử
dụng những tài nguyên phần cứng này ngay cả khi máy tính của họ không có
những phần cứng đó.

- Duy trì và bảo vệ dữ liệu: Một mạng máy tính có thể cho phép các dữ liệu được tự
động lưu trữ dự phòng tới một trung tâm nào đó trong mạng. Công việc này là
hết sức khó khăn và tốn nhiều thời gian nếu phải làm trên từng máy độc lập. Hơn
nữa, mạng máy tính còn cung cấp một môi trường bảo mật an toàn cho mạng
qua việc cung cấp cơ chế Bảo mật (Security) bằng Mật khẩu (Password) đối với
từng người sử dụng, hạn chế được việc sao chép, mất mát thông tin ngoài ý
muốn.

- Nâng cao độ tin cậy của hệ thống nhờ khả năng thay thế cho nhau khi xảy ra sự
cố kỹ thuật đối với một máy tính nào đó trong mạng.

- Khai thác có hiệu quả các cơ sở dữ liệu tập trung và phân tán, nâng cao khả năng
tích hợp và trao đổi các loại dữ liệu giữa các máy tính trên mạng.
1.1.3. Mạng diện rộng – WAN
Mạng diện rộng WAN (Wide Area Network) có phạm vi bao phủ một vùng
rộng lớn,có thể là quốc gia,lục địa hay toàn cầu. Mạng WAN thường là mạng của
các công ty đa quốc gia hay toàn cầu. Mạng WAN lớn nhất hiện nay là mạng
Internet. Mạng WAN là tập hợp của nhiều mạng LAN và MAN được nối lại với
nhau thông qua các phương tiện như vệ tinh ,sóng vi ba,cáp quang,điện thoại ….

7

Hình .1 Mạng diện rộng – WAN
Mạng WAN có các đặc điểm sau :
-

Băng thông thấp,dễ mất kết nối,thường chỉ phù hợp với các ứng dụng
online như e – mail ,ftp,web….

-

Phạm vi hoạt động không giới hạn

-

Do kết nối nhiều LAN và MAN với nhau nên mạng rất phức tạp và các tổ
chức toàn cầu phải đứng ra quy định và quản lý

-

Chi phí cho các thiết bị và công nghệ WAN rất đắt

1.1.3.1. Định tuyến trong WAN
Định tuyến là quá trình router sử dụng để chuyển tiếp các packet đến
mạng đích. Router đưa ra quyết định dựa trên địa chỉ IP đích của packet. Để có
thể đưa ra được quyết định chính xác router phải học cách làm sao để đi đến các
mạng ở xa.
Để định tuyến thì router cần phải biết các thông tin sau:
-

Địa chỉ đích
Các nguồn mà nó có thể học

8

Các tuyến (routes)
Tuyến tốt nhất (best route)
Bảo trì và kiểm tra thông tin định tuyến

-

-

Có 2 loại định tuyến :
-

Định tuyến tĩnh: Khi quá trình định tuyến tĩnh được sử dụng, nhà quản trị

-

mạng sẽ cấu hình thông tin về những mạng ở xa bằng tay cho router.
Định tuyến động: Khi router sử dụng quá trình định tuyến động, thông tin
này sẽ được học từ những router khác. Một số giao thức định tuyến động
như RIP, EIGRP, OSPF, IS-IS, BGP…

1.2. Tổng quan về tường lửa - Firewall
Internet ra đời đã đem lại nhiều lợi ích rất lớn cho con người, nó là một
trong những nhân tố hàng đầu góp phần vào sự phát triển nhanh chóng của cả
thế giới và có thể nói Internet đã kết nối mọi người tới gần nhau hơn. Chính vì
khả năng kết nối rộng rãi như vậy mà các nguy cơ mất an toàn của mạng máy
tính rất lớn.
Đó là các nguy cơ bị tấn công của các mạng máy tính, tấn công để lấy dữ
liệu, tấn công nhằm mục đích phá hoại làm tê liệt cả một hệ thống máy tính lớn,
tấn công thay đổi cơ sở dữ liệu …Trước những nguy cơ đó, vấn đề đảm bảo an
toàn cho mạng máy tính trở nên rất cấp thiết và quan trọng hơn bao giờ hết. Các
nguy cơ bị tấn công ngày càng nhiều và ngày càng tinh vi hơn, nguy hiểm hơn.
Đã có nhiều giải pháp bảo mật cho mạng máy tính được đưa ra như dùng
các phần mềm, chương trình để bảo vệ tài nguyên, tạo những tài khoản truy xuất
mạng đòi hỏi có mật khẩu … nhưng những giải pháp đó chỉ bảo vệ một phần
mạng máy tính mà thôi, một khi những kẻ phá hoại mạng máy tính đã thâm nhập
sâu hơn vào bên trong mạng thì có rất nhiều cách để phá hoại hệ thống mạng. Vì
vậy đã đặt ra một yêu cầu là phải có những công cụ để chống sự xâm nhập mạng
bất hợp pháp ngay từ bên ngoài mạng, đó chính là nguyên nhân dẫn tới sự ra đời
của Firewall (Tường lửa).

9

Một Firewall có thể lọc các lưu lượng Internet nguy hiểm như hacker, các
loại sâu, và một số loại virus trước khi chúng có thể gây ra trục trặc trên hệ
thống. Ngoài ra, Firewall có thể giúp cho máy tính tránh tham gia các cuộc tấn
công vào các máy tính khác mà không hay biết. Việc sử dụng một Firewall là cực
kỳ quan trọng đối với các máy tính luôn kết nối Internet, như trường hợp có một
kết nối băng thông rộng hoặc kết nối DSL/ADSL.
Trên Internet, các tin tặc sử dụng mã hiểm độc, như là các virus, sâu và
Trojan, để tìm cách phát hiện những cửa không khóa của một máy tính không
được bảo vệ. Một tường lửa có thể giúp bảo vệ máy tính khỏi bị những hoạt động
này và các cuộc tấn công bảo mật khác.
Vậy một tin tặc có thể làm gì? Tùy thuộc vào bản chất của việc tấn công.
Trong khi một số chỉ đơn giản là sự quấy rầy với những trò đùa nghịch đơn giản,
một số khác được tạo ra với những ý định nguy hiểm. Những loại nghiêm trọng
hơn này tìm cách xóa thông tin từ máy tính, phá hủy nó, hoặc thậm chí ăn căp
thông tin cá nhân, như là các mật khẩu hoặc số thẻ tín dụng. Một số tin tặc chỉ
thích đột nhập vào các máy tính dễ bị tấn công. Các virus, sâu và Trojan rất đáng
sợ. May mắn là có thể giảm nguy cơ lây nhiễm bằng cách sử dụng một Firewall.
1.2.1. Định nghĩa Firewall
Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng
để ngăn chặn, hạn chế hỏa hoạn.
Trong công nghệ mạng thông tin, Firewall là một kỹ thuật được tích hợp
vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông
tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống. Cũng có thể
hiểu Firewall là một cơ chế (Mechanism) để bảo vệ mạng tin tưởng (Trusted
network) khỏi các mạng không tin tưởng (Untrusted network).
Thông thường Firewall được đặt giữa mạng bên trong (Intranet) của một
công ty, tổ chức, ngành hay một quốc gia và Internet. Vai trò chính là bảo mật

10

thông tin, ngăn chặn sự truy nhập không mong muốn từ bên ngoài (Internet) và
cấm truy nhập từ bên trong (Intranet) tới một số địa chỉ nhất định trên Internet.
Internet Firewall là một tập hợp thiết bị (bao gồm phần cứng và phần
mềm) giữa mạng của một tổ chức, một công ty, hay một quốc gia (Intranet) và
Internet: (INTRANET - FIREWALL - INTERNET)
Trong một số trường hợp, Firewall có thể được thiết lập ở trong cùng một
mạng nội bộ và cô lập các miền an toàn. Ví dụ như một mạng cục bộ sử dụng
Firewall để ngăn cách phòng máy và hệ thống mạng ở tầng dưới.
Một Firewall Internet có thể giúp ngăn chặn người ngoài trên Internet
không xâm nhập được vào máy tính.
Một Firewall làm việc bằng cách kiểm tra thông tin đến và ra Internet. Nó
nhận dạng và bỏ qua các thông tin đến từ một nơi nguy hiểm hoặc có vẻ nghi ngờ.
Nếu bạn cài đặt Firewall của bạn một cách thích hợp, các tin tặc tìm kiếm các
máy tính dễ bị tấn công không thể phát hiện ra máy tính.
Firewall là một giải pháp dựa trên phần cứng hoặc phần mềm dùng để
kiểm tra các dữ liệu. Một lời khuyên là nên sử dụng firewall cho bất kỳ máy tính
hay mạng nào có kết nối tới Internet. Đối với kết nối Internet băng thông rộng thì
Firewall càng quan trọng, bởi vì đây là loại kết nối thường xuyên bật (always on)
nên những tin tặc sẽ có nhiều thời gian hơn khi muốn tìm cách đột nhập vào máy
tính. Kết nối băng thông rộng cũng thuận lợi hơn cho tin tặc khi được sử dụng để
làm phương tiện tiếp tục tấn công các máy tính khác.
1.2.2. Khả năng bảo vệ của Firewall
Hệ thống tường lửa có thể thực hiện nhiều chức năng và cung cấp nhiều
giải pháp.Tuy nhiên, một trong các mục đích chính là để kiểm soát quyền truy cập
vào các nguồn tài nguyên, có thể sử dụng nhiều phương pháp để thực hiện nhiệm
vụ này.
Ví dụ : Có thể bảo đảm cho hoạt động cho tất cả các máy chủ và máy tính
cá nhân với hệ thống tường lửa và tất cả chúng đều được cập nhật mới từng

11

ngày, các dịch vụ không cần thiết bị vô hiệu hóa, sử dụng một hình thức xác thực
mạnh mẽ cho phép truy cập, sử dụng các nguồn tài nguyên và có phần mềm bảo
mật được cài đặt trên chúng như trong Hình 1.1.Trong ví dụ này, phần mềm
tường lửa được cài đặt trên mỗi máy PC và máy chủ phục vụ tập tin được cấu
hình chỉ để cho phép một số loại lưu lượng truy cập vào hoặc rời khỏi máy
tính.Việc này trở thành đơn giản khi trong văn phòng có số lượng máy nhỏ, các
thiết bị này có thể chỉ cần chia sẻ tập tin, in ấn, cũng như truy cập mạng Internet
tốt nhất do đó việc thiết lập chính sách bảo mật này trên mỗi thiết bị là đơn giản.

Hình 1. Bảo vệ cho từng thiết bị mạng
Tuy nhiên trong một mạng lưới với hàng chục ngàn thiết bị thì điều này
trở nên khó khăn để quản lý tất cả các thiết bị để bảo đảm rằng chúng hoạt động
tốt. Bên cạnh việc cung cấp tập tin và các dịch vụ chia sẻ in ấn, có thể muốn thực
hiện mức độ Internet truy cập cho các nhóm người dùng khác nhau, cần để bảo vệ
tài nguyên nội bộ nhất định trên cơ sở thành viên nhóm của người dùng, có thể
cho phép các loại chỉ có một số lưu lượng truy cập Internet vào mạng…
Một phương pháp tiếp cận có khả năng mở rộng hơn sẽ được mở rộng để
tập trung vào giải pháp bảo mật của bạn, như thể hiện trong Hình 1.3. Sử dụng

12

cùng một ví dụ trong Hình 1.2, nhưng thay vì sử dụng một giải pháp tường lửa
trên mỗi thiết bị nội bộ, thì ta đặt nó trên các bộ định tuyến vành đai. Trong ví dụ
này, vì các giải pháp tường lửa được thực hiện trong một thiết bị, nó trở nên dễ
dàng hơn nhiều để quản lý các chính sách an ninh và xác thực. Với một thiết bị
duy nhất, nó trở nên dễ dàng hơn để hạn chế lưu lượng truy cập vào và ra trong
mạng. Thiết lập các chính sách chỉ một lần thay vì trên tất cả các thiết bị nội bộ.
Điều này cũng làm giảm tổng chi phí của giải pháp.

Hình 1. Bảo vệ cho tất cả các thiết bị mạng
Điều này không phải là nói rằng chỉ phải sử dụng một trong hai giải pháp
này, cần tập trung vào việc thiết kế đông thời phải cân bằng giữa an ninh, chức
năng và chi phí trong thiết kế. Ví dụ, cần phải quan tâm về những mối đe dọa nội
bộ đến các nguồn tài nguyên nội bộ, vì vậy một số các nguồn tài nguyên quan
trọng nội bộ có thể thực hiện một giải pháp tường lửa.
Trước khi tìm hiểu về các loại tường lửa khác nhau và chức năng của
chúng, ta cần hiểu một số vấn đề hoạt động cơ bản của tường lửa: làm thế nào
bức tường lửa đối phó với lưu lượng truy cập. Ta xem xét mô hình tham chiếu hệ
thống kết nối mở (OSI), được phát triển bởi Tổ chức tiêu chuẩn quốc tế (ISO). ISO
là một cơ quan tiêu chuẩn xác định các tiêu chuẩn cho khả năng tương tác, bao
gồm các tiêu chuẩn mạng. Sử dụng mô hình tham chiếu OSI sẽ cho thấy quá trình

13

lọc lưu lượng truy cập của tường lửa như thế nào. Nhiều chủng loại khác nhau
của các giải pháp tường lửa tồn tại, mỗi chức năng khác nhau. Điều này đặc biệt
đúng với bức tường lửa lọc lưu lượng truy cập.
ISO phát triển mô hình tham chiếu OSI để mô tả làm thế nào các thiết bị
giao tiếp với nhau. Mô hình này được phát triển để giúp hướng dẫn mọi người về
quá trình truyền thông tin, đơn giản hóa nhiệm vụ xử lý sự cố, chia thành phần
liên quan thành một cấu trúc mô-đun, dễ dàng phát triển và thực hiện nhiệm vụ
cho các nhà cung cấp.
Các mô hình tham chiếu OSI chia quá trình truyền thông thành 7 lớp, thể
hiện trong Hình 1.4. Nó xác định quá trình diễn ra khi một người dùng ngồi tại
một vị trí gõ bàn phím truyền thông tin và làm thế nào thông tin đó được vận
chuyển qua mạng và xử lý tại một thiết bị đích.

Hình 1. Mô hình OSI
Khi nói về các giao thức và mô hình tham chiếu OSI, không phải tất cả các
giao thức được sử dụng đều có 7 tầng. Các mô hình tham chiếu OSI chỉ là một mô
hình sử dụng tổng quát để mô tả tương tác giữa các tầng. Ví dụ, trong giao thức
TCP/IP, các tầng Application, Presentation, và Session được nhóm lại thành một
lớp chung, gọi là tầng Ứng dụng. Còn các tầng Transport, Network, Data Link và

14

Physical được sử dụng để xử lý các cơ chế của việc truyền tải dữ liệu giữa các
thiết bị.

Nhiệm vụ của các tầng trong mô hình OSI như sau :
- Tầng ứng dụng (Application layer): Gần với người sử dụng nhất, nó
cung cấp phương tiện cho người dùng truy nhập các thông tin và dữ liệu trên
mạng thông qua chương trình ứng dụng. Tầng này là giao diện chính để người
dùng tương tác với chương trình ứng dụng, và qua đó với mạng. Một số ví dụ về
các ứng dụng trong tầng này bao gồm Telnet, Giao thức truyền tập tin FTP và
Giao thức truyền thư điện tử SMTP, HTTP, X.400 Mail remote
- Tầng trình diễn (Presentation layer) : Biến đổi dữ liệu để cung cấp một
giao diện tiêu chuẩn cho tầng ứng dụng. Nó thực hiện các tác vụ như mã hóa dữ
liệu sang dạng MIME (Multipurpose Internet Mail Extensions – mở rộng của
SMTP)- nén dữ liệu và các thao tác tương tự đối với biểu diễn dữ liệu để trình
diễn dữ liệu theo như cách mà chuyên viên phát triển giao thức hoặc dịch vụ cho
là thích hợp. Chẳng hạn: chuyển đổi tệp văn bản từ mã EBCDIC sang mã ASCII,
hoặc tuần tự hóa các đối tượng (object serialization) hoặc các cấu trúc dữ liệu
(data structure)…
- Tầng phiên (Session layer) : Kiểm soát các (phiên) hội thoại giữa các
máy tính. Tầng này thiết lập, quản lý và kết thúc các kết nối giữa trình ứng dụng
địa phương và trình ứng dụng ở xa. Tầng này còn hỗ trợ hoạt động song công
(duplex) hoặc bán song công (half-duplex) hoặc đơn công (Single) và thiết lập các
qui trình đánh dấu điểm hoàn thành (checkpointing) – giúp việc phục hồi truyền
thông nhanh hơn khi có lỗi xảy ra, vì điểm đã hoàn thành đã được đánh dấu – trì
hoãn (adjournment), kết thúc (termination) và khởi động lại (restart).
- Tầng giao vận (Transport Layer) : Cung cấp dịch vụ chuyên dụng
chuyển dữ liệu giữa các người dùng tại đầu cuối. Tầng giao vận kiểm soát độ tin

15

cậy của một kết nối được cho trước tức là có thể theo dõi các gói tin và truyền lại
các gói bị thất bại. Một ví dụ điển hình của giao thức tầng 4 là TCP. Tầng này là
nơi các thông điệp được chuyển sang thành các gói tin TCP hoặc UDP. Ở tầng 4
địa chỉ được đánh là address ports, thông qua address ports để phân biệt được
ứng dụng trao đổi.
- Tầng mạng (Network Layer) : Cung cấp các chức năng và qui trình cho
việc truyền các chuỗi dữ liệu có độ dài đa dạng, từ một nguồn tới một đích, thông
qua một hoặc nhiều mạng, trong khi vẫn duy trì chất lượng dịch vụ (quality of
service) mà tầng giao vận yêu cầu. Tầng mạng thực hiện chức năng định tuyến,
.Các thiết bị định tuyến (router) hoạt động tại tầng này - gửi dữ liệu ra khắp
mạng mở rộng, làm cho liên mạng trở nên khả thi (còn có thiết bị chuyển mạch
(switch) tầng 3, còn gọi là chuyển mạch IP). Đây là một hệ thống định vị địa chỉ
lôgic (logical addressing scheme) – các giá trị được chọn bởi kỹ sư mạng. Ví dụ
điển hình của giao thức tầng 3 là giao thức IP.
- Tầng liên kết dữ liệu (Data Link Layer) : Cung cấp các phương tiện có
tính chức năng và quy trình để truyền dữ liệu giữa các thực thể mạng, phát hiện
và có thể sửa chữa các lỗi trong tầng vật lý nếu có. Tầng liên kết dữ liệu chính là
nơi các cầu nối (bridge) và các thiết bị chuyển mạch (switches) hoạt động. Kết nối
chỉ được cung cấp giữa các nút mạng được nối với nhau trong nội bộ mạng.
- Tầng vật lí (Physical Layer) : Định nghĩa tất cả các đặc tả về điện và vật
lý cho các thiết bị. Trong đó bao gồm bố trí của các chân cắm (pin), các hiệu điện
thế, và các đặc tả về cáp nối (cable). Các thiết bị tầng vật lí bao gồm Hub, bộ lặp
(repeater), thiết bị tiếp hợp mạng (network adapter) và thiết bị tiếp hợp kênh
máy chủ (Host Bus Adapter)- (HBA dùng trong mạng lưu trữ (Storage Area
Network).
1.2.3. Tường lửa và mô hình OSI
Một hệ thống tường lửa có thể hoạt động tại 5/7 tầng của mô hình OSI.Tuy
nhiên hầu hết các hệ thống tường lửa hoạt động chỉ ở 4 tầng : Liên kết dữ liệu

16

(Data Link), Mạng (Network), Giao vận (Transport) và có thể tầng Ứng dụng
(Application) nhưng cơ bản dựa trên sự đơn giản hay phức tạp của một sản
phẩm tường lửa hoặc giải pháp bảo mật đưa ra hoặc số lượng các tầng được bảo
vệ.Ví dụ một danh sách kiểm soát truy cập tiêu chuẩn IP (ACL) trên một bộ định
tuyến của Cisco có chức năng tại tầng 3 của mô hình OSI và IP ACL mở rộng tại
tầng 3 và 4.

Hình 1. Tường lửa và mô hình OSI
Khi một tường lửa hoặc giải pháp bảo mật sử dụng trên càng nhiều tầng
của mô hình OSI thì khả năng bảo mật càng hiệu quả và triệt để hơn, nó có thể
hạn chế quyền truy cập đến và đi từ các thiết bị. Ví dụ: Một tường lửa chỉ hoạt
động ở tầng 3 hoặc 4 chỉ có thể lọc thông tin trên giao thức IP, địa chỉ IP, số cồng
TCP hoặc UDP, nó không thể lọc thông tin ứng dụng như : xác thực người dùng
hoặc mã lệnh người dùng nhập…
1.3. Giới thiệu công nghệ tường lửa Static Packet Filtering
Ở thời điểm hiện tại có rất nhiều công nghệ Firewall được áp dụng trong
các hệ thống bảo mật mạng như ISA, ASA,….ở đây xin giới thiệu công nghệ Static
packet filtering.

17