Network Security

Tài liệu tương tự
ISA Server - Installation ISA Server - Installation Bởi: Phạm Nguyễn Bảo Nguyên Chúng ta không thể phủ nhận rằng trong khoảng vài năm trở lại đây Inte

KIỂM TOÁN NHÀ NƯỚC CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự do - Hạnh phúc Số: 1173/QĐ-KTNN Hà Nội, ngày 27 tháng 7 nă

ThemeGallery PowerTemplate

Slide 1

Slide 1

Slide 1

Hướng dẫn KHG sử dụng dịch vụ BaaS do Mobifone Global cung cấp Tổng Công ty Viễn thông MOBIFONE là nhà cung cấp dịch vụ Viễn thông và CNTT hàng đầu tạ

HEADING 1: PHẦN 1: QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH

Microsoft Word - Giải pháp Kaspersky - NTS.docx

Microsoft Word - TN414.doc

Bức tường lửa Bức tường lửa Bởi: TS. Trần Văn Dũng Mở đầu Bức tường lửa là gì Là điểm cổ chai để kiểm soát và theo dõi. Các mạng liên kết với độ tin c

Slide 1

Internet Information Service - IIS Internet Information Service - IIS Bởi: Phạm Nguyễn Bảo Nguyên Chúng ta đã tìm hiểu về cách dựng một NAT Server...

Microsoft Word - 10 quy tac then chot ve bao mat.doc

Microsoft Word - Khai thac AWS EC2_Web hosting.docx

Kyõ Thuaät Truyeàn Soá Lieäu

XJ-UT311WN_XJ-UT351WN

LỖI PROXY Để tiết kiệm lượng dữ liệu tải về, kiểm soát thông tin và đảm bảo an toàn khi truy cập Internet thì một số hệ thống thiết lập thêm máy chủ p

Microsoft Word - Huong dan cau hinh mikrotik - Viet Tuan UNIFI.vn

Modbus RTU - Modbus TCP/IP Converter

Chuong 13 - Internet trong doanh nghiep - Quan ly Internet.ppt

Bài 3 Tựa bài

Bitdefender Total Security

Microsoft Word - thuat-ngu-thuong-mai-dien-tu.docx

Backup Cloud Server

Chương II - KIẾN TRÚC HỆ ĐIỀU HÀNH

Nội dung chương 3 IT1110 Tin học đại cương Phần I: Tin học căn bản Chương 3: Hệ thống máy tính 3.1. Giới thiệu 3.2. Chức năng và các thành phần của má

IEEE Paper Template in A4 (V1)

Hệ điều hành UNIX Hệ điều hành UNIX Bởi: Wiki Pedia UNIX Unix hay UNIX là một hệ điều hành máy tính viết vào những năm 1960 và 1970 do một số nhân viê

Tạo máy chủ ảo Linux và cấu hình SSH

HƯỚNG DẪN SỬ DỤNG UNIFI CONTROLLER

CHƯƠNG 4: SOCIAL ENGINEERING Nguyễn Tấn Thành Social engineering là phương pháp phi kỹ thuật đột nhập vào hệ thống hoặc mạng công ty. Đó là quá trình

UBND TỈNH LONG AN TRƯỜNG CAO ĐẲNG NGHỀ LONG AN CỘNG HOÀ XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự do - Hạnh phúc CHƯƠNG TRÌNH ĐÀO TẠO TRÌNH ĐỘ CAO ĐẲNG (

BÀI THỰC HÀNH 1: THỰC HÀNH KÍCH HOẠT IPV6 TRÊN HĐH WINDOW, LINUX

Hướng dẫn cấu hình tổng đài AsteriskNow và kết nối Trunk với tổng đài Cisco CME 1. Giới thiệu Bùi Quốc Kỳ Để nghiên cứu về tổng đài mã nguồn mở Asteri

bao-mat-truc-tuyen

Bảo mật hệ thống Bảo mật hệ thống Bởi: unknown Bảo vệ tài nguyên với NTFS Hệ thống tập tin NTFS cung cấp chế độ bảo mật cho tập tin và thư mục. Nghĩa

Domain Name System - DNS Domain Name System - DNS Bởi: Phạm Nguyễn Bảo Nguyên Như chúng ta đã biết DHCP Server có tác dụng cấp phát IP cho các Client

BỘ GIÁO DỤC VÀ ĐÀO TẠO

ETH-MOD-T BỘ CHUYỂN ĐỔI GIAO THỨC HAI CHIỀU MODBUS - ETHERNET 1 Thông tin chung: Tất cả dữ liệu của đồng hồ và relay trong đường dây được kết nối với

Phụ lục 1: Mẫu văn bản quản lý:

Tìm hiểu ngôn ngữ lập trình Visual Basic Tìm hiểu ngôn ngữ lập trình Visual Basic Bởi: Khuyet Danh Tìm hiểu ngôn ngữ lập trình Visual Basic Tổng quan

Microsoft Word - SGV-Q4.doc

HƯỚNG DẪN SỬ DỤNG 1) Các thông số cài đặt client (MS Outlook, Outlook Express, Thunder Bird ) 2) Hướng dẫn đổi password 3) Hướng dẫn

L Chuong 1 - Co ban ve mang may tinh

PowerPoint Presentation

Microsoft Word - status_code_trong_servlet.docx

Hướng dẫn sử dụng RT-AC53 Router Không Dây Gigabit Hai Băng Tần AC750

ZTE-U V889D Hướng dẫn sử dụng

Hướng Dẫn Sử Dụng Doanh Nghiệp với Giao AdminLTE Bao gồm: - Trỏ record - Quản trị với giao diện AdminLTE - Cấu hình trên Outlook 2013 ( PO

IPSec IPSec Bởi: Phạm Nguyễn Bảo Nguyên Chúng ta đã biết khi ta sao chép dữ liệu giữa 2 máy hoặc thông qua mạng VPN để nâng cao chế độ bảo mật người q

Slide 1

Microsoft Word - HDSD_NVR_304&3016.docx

PowerPoint 演示文稿

HƯỚNG DẪN SỬ DỤNG ĐẦU GHI LILIN DVR 708/716/ Cấu tạo đầu ghi 1.1 Đầu ghi DVR 816 Mặt trước: Stt Tên Chức năng 1 Phím sang trái Di chuyển sang tr

Hướng dẫn sử dụng Router Không Dây N

Hợp đồng Chính

Phân tích và thiết kế hệ thống thông tin

ĐIỀU KHOẢN SỬ DỤNG A. Thỏa thuận sử dụng chung Bạn vui lòng đọc kỹ các Điều khoản & Điều kiện này trước khi truy nhập và sử dụng dịch vụ trên website

11 tính năng hay trong Windows 10 mà Windows 8 không có Windows 10 là một sự cải tiến đáng kể so với Windows 8. Ngoài giao diện được làm mới, hầu hết

HỘI THI TIN HỌC TRẺ TỈNH AN GIANG ĐỀ CHÍNH THỨC ĐỀ THI LÝ THUYẾT BẢNG A - KHỐI TIỂU HỌC Khóa ngày: Thời gian : 20 phút (không kể thời gian

Microsoft Word - DE TAI KIEN TRUC MANG 2.doc

HƯỚNG DẪN SỬ DỤNG CÁC SẢN PHẨM CỦA OFFICE 365 Hợp đồng số: 25/KTQD-FPT Cung cấp hệ thống Office trực tuyến và thư điện tử Trường Đại Học Kinh Tế Quốc

1_GM730_VIT_ indd

TRUNG TÂM INTERNET VIỆT NAM - VNNIC

Distributed denial of service (DDOS) Distributed denial of service (DDOS) Bởi: Khuyet Danh Giới thiệu Distributed Denial Of Service (DDoS) là kỹ thuật

8/22/2016 TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI HANOI UNIVERSITY OF SCIENCE AND TECHNOLOGY Nội dung lý thuyết Phần 1 Nhập môn và các kỹ năng Bài 1 Giới thiệ

July 15 th 2017 Lê Hoàng Video Surveillance HƯỚNG DẪN SỬ DỤNG GuardingVision Guardingvision App Version V3.0.0xx Hỗ Trợ Kỹ Thuật (0283) Địa

Chöông 1 (tt.)

Exchange Server - Recipient Configuration - Create Mailbox Exchange Server - Recipient Configuration - Create Mailbox Bởi: Phạm Nguyễn Bảo Nguyên Chún

Chương trình dịch

Dien toan dam may.docx

2018 Nhận xét, phân tích, góp ý cho Chương trình môn Tin học trong Chương trình Giáo dục Phổ thông mới

TRƢỜNG ĐẠI HỌC BÁCH KHOA TRUNG TÂM CÔNG NGHỆ THÔNG TIN ĐỊA LÍ GIỚI THIỆU PHẦN MỀM QUẢN LÝ MẠNG LƢỚI CẤP NƢỚC Thành phố Hồ Chí Minh, tháng 12/2018

IPTV

Những khái niệm cơ bản của hệ điều hành mạng Windows Những khái niệm cơ bản của hệ điều hành mạng Windows Bởi: unknown Giới thiệu tổng quan về Windows

THÔNG BÁO TUYỂN DỤNG

PHỤ LỤC 01 CHUYỂN ĐỔI TRONG THỜI ĐẠI SỐ * * * I. TÊN CÁC ĐỀ TÀI STT LĨNH VỰC ĐỀ TÀI CHUNG ĐỀ TÀI DÀNH CHO KHỐI ĐỀ TÀI DÀNH CHO KHỐI C

Giới thiệu

Yeastar S50 VoIP PBX Installation Guide Version 1.0 Jun. 2016

Moduel 7:Trinh chiếu bài thuyết trình 163 Moduel 7: rình chiếu bài thuyết trình 7.1. rình chiếu bài thuyết trình Thiết lập các tùy ch n cho chế độ Sli

Chính sách bảo mật của RIM Research In Motion Limited và các công ty con và công ty chi nhánh ("RIM") cam kết có một chính sách lâu dài trong việc bảo

ĐÁP ÁN 150 CÂU HỎI TIN HỌC KỲ THI NÂNG HẠNG GIÁO VIÊN TỈNH QUẢNG NAM 2018 Tác giả: Lê Quang Lưu HĐH là tập hợp các chương trình được tổ

Microsoft Word - Tailieu win2003.doc

Vượt qua thách thức bảo vệ dữ liệu ở khắp mọi nơi

Slide 1

PowerPoint Presentation

Hướng dẫn sử dụng dịch vụ FTP

Dịch vụ điện tử FPT

Trung Tâm Gia Sư Tài Năng Việt A.PHẦN TRẮC NGHIỆM: (6,0 điểm) ĐỀ 1 I. Hãy điền đáp án đúng vào bảng đáp án ở phần bài làm:

ỨNG DỤNG INTERNET OF THINGS XÂY DỰNG NGÔI NHÀ THÔNG MINH APPLICATION OF INTERNET OF THINGS TO SMARTHOME NGUYỄN VĂN THẮNG (1), PHẠM TRUNG MINH (1), NGU

DICENTIS_Wireless_ConfigSWM

The Total Economic Impact™ Of IBM Security Guardium

Hướng dẫn sử dụng Virtualmin

Domain Controller - Join Domain Domain Controller - Join Domain Bởi: Phạm Nguyễn Bảo Nguyên Hãy tưởng tượng trong công ty bạn có khoảng 5 máy tính với

BẢO MẬT KỸ THUẬT SỐ THỰC HÀNH Bảo mật ngoài công nghệ practicaldigitalprotection.com

SM-G960F/DS SM-G965F/DS Sách hướng dẫn sử dụng Vietnamese. 03/2018. Rev.1.1

Bản ghi:

COMP1049 - Bảo mật và An ninh Mạng Network Security C3-1 HIENLTH Computer Network Security Lương Trần Hy Hiến

Chương 3: Tường lửa Presenter: Lương Trần Hy Hiến hienlth@hcmup.edu.vn COMP1049 - Bảo mật và An ninh Mạng Network Security C3-2 HIENLTH

Nội dung 3.1. Giới thiệu 3.2. Các kiểu tường lửa 3.3. Các thành phần cơ bản của Rule 3.4. Các mô hình 3.5. DMZ 3.6. Tổng kết COMP1049 - Bảo mật và An ninh Mạng Network Security C3-3 HIENLTH

COMP1049 - Bảo mật và An ninh Mạng Network Security C3-4 HIENLTH Network security topologies ` Server ` Router Modem ISP ` ` Access Point Remote Access Server Laptop PDA `

COMP1049 - Bảo mật và An ninh Mạng Network Security C3-5 HIENLTH Network security topologies IDS/IPS ` ` Inside ` ` VLAN3 VLAN2 Firewall Modem ISP Outside VLAN4 ` ` Access Point DMZ Laptop PDA file Server web Server mail Server

Router / Switch COMP1049 - Bảo mật và An ninh Mạng Network Security C3-6 HIENLTH

COMP1049 - Bảo mật và An ninh Mạng Network Security C3-7 HIENLTH 3.1 Giới thiệu From Webopedia.com, a firewall is defined as A system designed to prevent unauthorized access to or from a private network. Firewalls can be implemented in both hardware and software, or a combination of both. Firewalls are frequently used to prevent unauthorized Internet users from accessing private networks connected to the Internet, especially intranets. All messages entering or leaving the intranet pass through the firewall, which examines each message and blocks those that do not meet the specified security criteria.

COMP1049 - Bảo mật và An ninh Mạng Network Security C3-8 HIENLTH 3.1 Giới thiệu (tt) Tường lửa, cổng an ninh vòng ngoài (securityedge gateway) là sự kết hợp giữa phần cứng và phần mềm nhằm tăng cường an ninh, ngăn chặn các truy nhập bất hợp pháp giữa hai mạng có mức độ tin tưởng khác nhau. VD: Mạng công cộng với mạng nội bộ, DMZ với mạng riêng, Làm việc trên cơ sở tập luật mà quản trị mạng cấu hình trước (cho phép hay cấm).

3.1 Giới thiệu (tt) Chức năng: Chức năng chính của tường lửa là điều khiển, kiểm soát truy nhập. Kiểm soát dịch vụ (service control) Kiểm soát hướng (direction control) Kiểm soát người dùng (user control) Kiểm soát hành vi (behaviour control) COMP1049 - Bảo mật và An ninh Mạng Network Security C3-9 HIENLTH

COMP1049 - Bảo mật và An ninh Mạng Network Security C3-10 HIENLTH Firewall Một số loại firewall tốt có thể đảm bảo cho một hệ thống an ninh?

3.1 Giới thiệu (tt) Firewall có hai loại : Firewall cứng : Thiết bị mạng Checkpoint, Cisco ASA, Astaro, Cyberoam, Firewall mềm : Ứng dụng bảo mật được cài trên máy tính ISA Server, IPCop, Smoothwall, Pfsense, COMP1049 - Bảo mật và An ninh Mạng Network Security C3-11 HIENLTH

3.1 Giới thiệu (tt) Chính sách an ninh của tường lửa: Cấm thâm nhập bất hợp pháp từ bên ngoài Chỉ cho phép truy nhập từ các địa điểm ấn định, cho một số người dùng, thực hiện các hoạt động nhất định. Một trong những thách thức của tường lửa là xác định chính sách an ninh phù hợp với yêu cầu cài đặt nhưng vẫn đảm bảo an toàn hệ thống. COMP1049 - Bảo mật và An ninh Mạng Network Security C3-12 HIENLTH

COMP1049 - Bảo mật và An ninh Mạng Network Security C3-13 HIENLTH 3.1 Giới thiệu (tt) Vị trí đặt tường lửa

Firewall COMP1049 - Bảo mật và An ninh Mạng Network Security C3-14 HIENLTH

COMP1049 - Bảo mật và An ninh Mạng Network Security C3-15 HIENLTH 3.1 Giới thiệu (tt) Firewall phân thành các vùng (zones): Internal Zone (inside): là vùng tin cậy (trusted zone), vùng này là nơi làm việc của Client. External Zone (outside): là vùng không tin cậy (untrusted zone), vùng này là Internet. DMZ (De-Militerized Zone): vùng phi quân sự, vùng này thông thường sẽ đặt những dịch vụ để public ra Internet.

3.1 Giới thiệu (tt) Các nguyên tắc thiết kế tường lửa: Mạng được cô lập tốt, chống tấn công hiệu quả Dễ tinh chỉnh, gia cố, mở rộng các chức năng tường lửa Đảm bảo quyền hợp thức, truy nhập thông suốt COMP1049 - Bảo mật và An ninh Mạng Network Security C3-16 HIENLTH

Vai trò tường lửa Làm được - Kiểm soát luồng dữ liệu đi qua nó - Bảo vệ các lớp bên trong - Cấm tất cả. Cấu hình những gì cho qua - Cho phép tất cả, cấu hình những gì cấm - Ghi nhận & báo cáo sự kiện Không làm được - Viruses - Lỗi con người (vô tình, cố ý) - Kết nối hở - Chính sách tồi - Social Engineering COMP1049 - Bảo mật và An ninh Mạng Network Security C3-17 HIENLTH

COMP1049 - Bảo mật và An ninh Mạng Network Security C3-18 HIENLTH Tầng hoạt động? Firewall hoạt động ở những lớp nào trong mô hình OSI???

3.2 Các kiểu tường lửa Tùy đặc điểm hệ thống, yêu cầu sử dụng tường lửa được cài đặt theo nhiều kiểu khác nhau Phân loại tường lửa (tương đối): Lọc gói cổng vào (gateway), bộ định tuyến kiểm tra (screening router) Thanh tra trạng thái (stateful inspection firewall) Ủy nhiệm ứng dụng (application proxies firewall) Canh phòng (guard firewall) Bảo vệ cá nhân (personal firewall) COMP1049 - Bảo mật và An ninh Mạng Network Security C3-19 HIENLTH

COMP1049 - Bảo mật và An ninh Mạng Network Security C3-20 HIENLTH a. Tường lửa lọc gói Dạng tường lửa cơ bản, giám sát các gói tin truy nhập mạng căn cứ vào các địa chỉ gửi-nhận, giao thức truyền (HTTP, Telnet )

Nguyên tắc hoạt động Cho phép/ngăn cấm các gói tin qua địa chỉ IP, cổng (hợp pháp/bất hợp pháp) Cho phép/ngăn cấm từng phần/toàn bộ các giao thức truyền (HTTP, Telnet ) Cho phép/ngăn cấm từng phần/toàn bộ các dịch vụ nhất định COMP1049 - Bảo mật và An ninh Mạng Network Security C3-21 HIENLTH

Nguyên tắc hoạt động Thông tin Header gói tin cần kiểm tra: Địa chỉ IP nơi xuất phát ( IP Source address) Địa chỉ IP nơi nhận (IP Destination address) Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel) Cổng TCP/UDP nơi xuất phát (TCP/UDP source port) Cổng TCP/UDP nơi nhận (TCP/UDP destination port) Giao diện Packet đến (Incomming interface of Packet) Giao diện Packet đi (Outgoing interface of Packet) COMP1049 - Bảo mật và An ninh Mạng Network Security C3-22 HIENLTH

Tường Lửa lọc gói - packet filter Ưu điểm : Tất cả firewall đều có thành phần này. Tốc độ xử lý tương đối nhanh, vì chỉ thao tác trên Header của gói tin và cụ thể là IP, Port. Hạn chế : Không kiểm soát được nội dung gói tin. Khi yêu cầu lọc càng lớn thì bộ luật trở nên dài dòng, phức tạp. COMP1049 - Bảo mật và An ninh Mạng Network Security C3-23 HIENLTH

The Role of the Rules File COMP1049 - Bảo mật và An ninh Mạng Network Security C3-24 HIENLTH

Screening Router COMP1049 - Bảo mật và An ninh Mạng Network Security C3-25 HIENLTH

COMP1049 - Bảo mật và An ninh Mạng Network Security C3-26 HIENLTH b. Tường lửa thanh tra trạng thái Stateful Packet Filter Firewalls

b. Tường lửa thanh tra trạng thái Kiểm tra trạng thái thông tin, thanh tra tính hợp lệ của các gói tin Các gói tin bất thường tiềm ẩn tấn công: Thiếu địa chỉ gửi (tấn công nặc danh) Quá ngắn, quá nhiều (tấn công gây nhiễu) Trùng lắp, trống rỗng (tấn công dội lũ) COMP1049 - Bảo mật và An ninh Mạng Network Security C3-27 HIENLTH

b. Tường lửa thanh tra trạng thái Lưu lại dấu kết nối giữa các host, network Lưu vết trạng thái kết nối vào file state table Cho phép gói dữ liệu từ Internet đi qua chỉ khi nào có host nội bộ đã gửi yêu cầu trước đó. COMP1049 - Bảo mật và An ninh Mạng Network Security C3-28 HIENLTH 28

29 COMP1049 - Bảo mật và An ninh Mạng Network Security C3-29 HIENLTH

c. Tường lửa ủy nhiệm ứng dụng Còn được gọi Application-Proxy Gateways. Thông thường, các gói tin chỉ được kiểm tra header, phần dữ liệu ít được quan tâm Phần lớn các ứng dụng phức tạp thường có lỗi, sẽ rất nguy hiểm nếu cài đặt cho các user đặc quyền Bastion host là loại tường lửa tạo ứng dụng giả, mô phỏng các tác động của ứng dụng khi đáp ứng yêu cầu từ user Hoạt động ở tầng ứng dụng của mô hình OSI, proxy có nhiệm vụ kiểm tra các gói tin liên lạc mạng ở mức dữ liệu COMP1049 - Bảo mật và An ninh Mạng Network Security C3-30 HIENLTH

c. Tường lửa ủy nhiệm ứng dụng Có khả năng xác thực : UserID và Password Hardware hoặc Software Token Source Address Biometric Những ưu điểm : Extensive Logging Capabilities Enforcement of Authentication Less Susceptible to TCP/IP Vulnerabilities Có khả năng tạo rule ngăn cản gói tin đã mã hóa COMP1049 - Bảo mật và An ninh Mạng Network Security C3-31 HIENLTH

d. Tường lửa canh phòng Pha trộn nhiều kỹ thuật khác nhau, nguyên tắc hoạt động của guard firewall là: Tiếp nhận, phân tích các đơn thể giao thức dữ liệu Đồng dạng các đơn thể giao thức dữ liệu, chuyển giao (dữ liệu + giao thức) cho các dịch vụ hệ thống Căn cứ vào quyền hạn, sự ủy nhiệm người dùng, guard firewall quyết định dịch vụ nào sẽ tiếp nhận và xử lý dữ liệu Không có ranh giới rõ ràng giữa guard và proxy Có thể cấu hình proxy hoạt động như guard firewall COMP1049 - Bảo mật và An ninh Mạng Network Security C3-32 HIENLTH

e. Tường lửa cá nhân Trang bị cho người dùng lẻ hệ tường lửa đơn giản bảo vệ truy nhập mạng với chi phí thấp Độc lập với tường lửa hệ thống mạng, tường lửa cá nhân là ứng dụng chạy ở máy trạm che chắn các luồng tin nguy hiểm đến từ mạng như virus, worm, trojan horse, ActiveX, Java applet Sử dụng kết hợp phần mềm quét virus và tường lửa cá nhân là phương án hiệu quả thiết thực Các tường lửa cá nhân phổ biến: Norton Personal Firewall, McAfee Personal Firewall, Zone Alarm COMP1049 - Bảo mật và An ninh Mạng Network Security C3-33 HIENLTH

COMP1049 - Bảo mật và An ninh Mạng Network Security C3-34 HIENLTH Ví dụ cấu hình firewall Hệ thống sử dụng bộ định tuyến kiểm tra đặt giữa mạng LAN và liên kết mạng ngoài

COMP1049 - Bảo mật và An ninh Mạng Network Security C3-35 HIENLTH Phương án đề xuất Sử dụng proxy firewall bảo vệ mạng LAN

COMP1049 - Bảo mật và An ninh Mạng Network Security C3-36 HIENLTH Giải pháp tăng cường Bổ sung bộ định tuyến kiểm tra giữa LAN và proxy gateway

3.3 Các thành phần cơ bản của Rule Rule là chính sách mà Firewall sử dụng để kiểm tra gói tin đi qua nó. Các thành phần cơ bản của Rule là : Source Address Destination Address Protocol Source Port Destination Port User Schedule Action.. COMP1049 - Bảo mật và An ninh Mạng Network Security C3-37 HIENLTH

3.3 Các thành phần cơ bản của Rule Source Address : địa chỉ nguồn Any Zone : Internal Zone, External Zone,.. Range IP : 192.168.1.10/24 192.168.1.100/24 IP : 192.168.1.200/24. Destination Address : địa chỉ đích Any Zone : Internal Zone, External Zone,.. Range IP : 192.168.1.10/24 192.168.1.100/24 IP : 192.168.1.200/24. COMP1049 - Bảo mật và An ninh Mạng Network Security C3-38 HIENLTH

3.3 Các thành phần cơ bản của Rule Protocol : giao thức TCP, UDP, ICMP, Source Port : port nguồn HTTP : 80 FTP : 21 SMTP : 25 POP3 : 110 Destination Port : port đích Remote Desktop : 3389 DNS : 53 SSH : 22 COMP1049 - Bảo mật và An ninh Mạng Network Security C3-39 HIENLTH

3.3 Các thành phần cơ bản của Rule User All User Chỉ định User hoặc Group Schedule Chỉ định thời gian mà Rule sẽ có hiệu lực Action Accept : chấp nhận Deny : không chấp nhận và gởi thông báo lỗi Discard : không chấp nhận COMP1049 - Bảo mật và An ninh Mạng Network Security C3-40 HIENLTH

3.3 Các thành phần cơ bản của Rule COMP1049 - Bảo mật và An ninh Mạng Network Security C3-41 HIENLTH

3.4 Các mô hình Windows Firewall Linux Firewall COMP1049 - Bảo mật và An ninh Mạng Network Security C3-42 HIENLTH

Windows Firewall Hệ tường lửa cá nhân do Microsoft thiết kế cho máy sử dụng hệ điều hành Windows Các yêu cầu liên lạc từ bên ngoài vào mạng sẽ bị Windows Firewall (WF) ngăn chặn Khi các ứng dụng mạng yêu cầu thực thi (popup, messenger, multi-player network game, ActiveX, Java applet ), WF sẽ chất vấn user để có quyết định xử lý thích ứng Nếu user từ chối, WF sẽ khóa các yêu cầu tương tự cho các phiên làm việc tiếp theo COMP1049 - Bảo mật và An ninh Mạng Network Security C3-43 HIENLTH

Sử dụng Windows Firewall Để gia tăng độ linh hoạt, Windows cho phép user cấu hình các tính năng WF theo tùy chọn Thiết lập tùy chọn bừa, trả lời hù họa sẽ làm WF mất tác dụng, bởi vì: WF chỉ giúp ngăn chận mà không diệt virus, user cần sử dụng anti-virus WF chỉ giúp ngăn chận mà không cô lập nguồn phát tán thư rác, user cần xác nhận địa chỉ người gửi WF chỉ giúp ngăn chận mà không vô hiệu popup, user cần xác nhận tình trạng hợp pháp của app. kích hoạt chúng Một số ứng dụng xấu có khả năng tinh chỉnh cấu hình WF mà user không hay biết COMP1049 - Bảo mật và An ninh Mạng Network Security C3-44 HIENLTH

COMP1049 - Bảo mật và An ninh Mạng Network Security C3-45 HIENLTH Bài tập Bạn set deny ICMP và HTTP trên firewall đối với Webserver. Hỏi: 1. Những host nào có thể ping đến Webserver 2. Làm thế nào để tất cả các host không được ping đến Webserver Host A FIREWALL Host B WEBSERVERS

Linux Firewall Thực hiện chức năng Packet filter (lọc theo thông tin trong header). Sử dụng iptables (http://www.iptables.org) Là giao diện của netfilter. Cú pháp chung: iptables <mô tả> COMP1049 - Bảo mật và An ninh Mạng Network Security C3-46 HIENLTH

Một số rule (IpTables) Tùy chọn: Mô tả: -A Nối thêm -D Xoá -I Chèn -R Thay thế -L Liệt kê -F Xoá mọi rule trong một chain hoặc trong mọi chain -Z Đặt counter về không cho một chain hoặc mọi chain -C Kiểm tra packet này trên chain -N Tạo chain riêng COMP1049 - Bảo mật và An ninh Mạng Network Security C3-47 HIENLTH

COMP1049 - Bảo mật và An ninh Mạng Network Security C3-48 HIENLTH Một số rule (IpTables) Tùy chọn: Mô tả: -X Xoá chain tự tạo -P Thay đổi chính sách của chain -E Đổi tên chain -p Giao thức -s Địa chỉ/mặt nạ nguồn -d Địa chỉ/mặt nạ đích -i Tên input (tên Ethernet) -o Tên Output (tên Ethernet) -j Nhảy (đích của quy tắc) -m So khớp mở rộng (có thể dùng phần mở rộng)

COMP1049 - Bảo mật và An ninh Mạng Network Security C3-49 HIENLTH Một số rule (IpTables) Tùy chọn: Mô tả: -n Địa chỉ và cổng output dạng số -t Bảng cần xử lý -v Chế độ Verbose -x Số mở rộng (hiển thị chính xác giá trị) -f Chỉ so khớp gói thứ hai hoặc sau đó -V Phiên bản Packet --line-numbers In số dòng khi liệt kê

3.5 DMZ Mạng trung gian, nằm giữa mạng công cộng và mạng riêng. Các dịch vụ được truy xuất cả từ bên ngoài mạng công cộng lẫn phía trong được đặt tại khu vực này. Web Server Mail Server FTP Server VoIP Server COMP1049 - Bảo mật và An ninh Mạng Network Security C3-50 HIENLTH

3.5 DMZ (tt) COMP1049 - Bảo mật và An ninh Mạng Network Security C3-51 HIENLTH

3.5 DMZ (tt) COMP1049 - Bảo mật và An ninh Mạng Network Security C3-52 HIENLTH

Bastion host Là máy tính được thiết kế để chịu các cuộc tấn công từ bên ngoài. Được cài đặt các dịch vụ với quyền và tài nguyên tối thiểu. Đặt phía ngoài tường lửa hoặc trong vùng DMZ. COMP1049 - Bảo mật và An ninh Mạng Network Security C3-53 HIENLTH

COMP1049 - Bảo mật và An ninh Mạng Network Security C3-54 HIENLTH

Bài tập So sánh tường lửa của các hãng nổi tiếng Check Point, NetScreen và Cisco. Tìm hiểu Dual-Homed Host/Screened Host DMZ Screened Subnet COMP1049 - Bảo mật và An ninh Mạng Network Security C3-55 HIENLTH

3.6 Tổng kết Firewall là gì? Firewall làm được gì? So sánh các loại Firewall? Các thành phần cơ bản của RULE? Các mô hình thông dụng của Firewall? COMP1049 - Bảo mật và An ninh Mạng Network Security C3-56 HIENLTH

Tham khảo Nội dung Firewall, chương 5, Bài giảng An ninh Mạng, Trương Minh Nhật Quang, ĐH CNTT. Bài giảng Firewall, Nguyễn Phan Anh, ĐH KHTN. Bài giảng An ninh Mạng, Võ Văn Khang (soạn khi dạy ở Đại học CNTT) COMP1049 - Bảo mật và An ninh Mạng Network Security C3-57 HIENLTH

Q & A COMP1049 - Bảo mật và An ninh Mạng Network Security C3-58 HIENLTH

THE END COMP1049 - Bảo mật và An ninh Mạng Network Security C3-59 HIENLTH

2024 © DocPlayer.vn Chính sách bảo mật | Điều khoản dịch vụ | Phản hồi