Giáo Trình Xây Dựng Hệ Thống Firewall Nghề Quản Trị Mạng Máy Tính Trình Độ Cao Đẳng

ỦY BAN NHÂN DÂN TỈNH AN GIANG TRƯỜNG CAO ĐẲNG NGHỀ AN GIANG GIÁO TRÌNH D H T NGHỀ QUẢN TRỊ MẠNG MÁY TÍNH T ì độ c o đẳ (Ban hành theo Quyết định số: /QĐ-CĐN ngày tháng năm 20 của Hiệu trưởng trường Cao đẳng nghề An Giang) Tên tác giả : Lê Thị Ngọc Trâm Năm ban hành: 2019 TUYÊN BỐ BẢN QUYỀN Tài liệu này thuộc loại sách giáo trình nên các nguồn thông tin có thể được phép dùng nguyên bản hoặc trích dùng cho các mục đích về đào tạo và tham khảo. Mọi mục đích khác mang tính lệch lạc hoặc sử dụng với mục đích kinh doanh thiếu lành mạnh sẽ bị nghiêm cấm. LỜI GIỚI THIỆU An toàn thông tin là nhu cầu rất quan trọng đối với các cá nhân cũng như xã hội và các quốc gia trên thế giới. Mạng máy tính an toàn thông tin được tiến hành thông qua các phương pháp vật lý và hành chính. Từ khi ra đời cho đến nay mạng máy tính đã đem lại hiệu quả vô cùng to lớn trong tất cả các lĩnh vực của đời sống. Bên cạnh đó người sử dụng phải đối mặt với các hiềm họa do thông tin trên mạng của họ bị tấn công. An toàn thông tin trên mạng máy tính bao gồm các phương pháp nhằm bảo vệ thông tin được lưu giữ và truyền trên mạng. An toàn thông tin trên mạng máy tính là một lĩnh vực đang được quan tâm đặc biệt đồng thời cũng là một công việc hết sức khó khăn và tphức tạp. Thực tế đã chứng tỏ rằng có một tình trạng rất đáng lo ngại khi bị tấn công thông tin trong quá trình xử lý, truyền và lưu giữ thông tin. Những tác động bất hợp pháp lên thông tin với mục đích làm tổn thất, sai lệch, lấy cắp các tệp lưu giữ tin, sao chép các thông tin mật, giả mạo người được phép sử dụng thông tin trong các mạng máy tính. Tường lửa (Firewall) không chỉ là một dạng phần mềm (như tường lửa trên Windows) mà nó còn có thể là phần cứng chuyên dụng trong các mạng doanh nghiệp. Các tường lửa là phần cứng này giúp máy tính của các công ty có thể phân tích dữ liệu ra để đảm bảo rằng malware không thể thâm nhập vào mạng, kiểm soát hoạt động trên máy tính mà nhân viên của họ đang sử dụng. Nó cũng có thể lọc dữ liệu để chỉ cho phép một máy tính chỉ có thể lướt web, vô hiệu hóa việc truy cập vào các loại dữ liệu khác. Nội dung cuốn sách được dùng để giảng dạy bậc cao đẳng và trung cấp chuyên ngành công nghệ thông tin. Giúp cho sinh viên có kiến thức cơ bản nhất về tường lửa (Firewall). Tài liệu gồm các nội dung chính sau: - Bài 1: Giới thiệu Firewall - Bài 2: Tăng cường bảo mật cho thiết bị - Bài 3: Triển khai hệ thống Firewall - Bài 4: Giới thiệu về Forefront Threat Managerment Gateway (TMG) Do thời gian còn hạn chế, tài liệu chắc chắn không thể tránh khỏi những thiếu sót. Rất mong nhận được các ý kiến đóng góp và xây dựng của bạn đọc. Xin chân thành cảm ơn! An Giang, ngày tháng năm 2019 Tham gia biên soạn 1. Chủ biên: Lê Thị Ngọc Trâm 2. Phản biện: Phương Phương Thúy 1 MỤC LỤC ĐỀ MỤC TRANG Lời giới thiệu . 2 BÀI 1: GIỚI THIỆU FIREWALL . Mô hình triển khai. Các thành phần cơ bản của Firewall. Nguyên lý hoạt động của Firewall .9 BÀI 2: TĂNG CƯỜNG BẢO MẬT CHO THIẾT BỊ . Các loại tấn công vào hệ thống mạng . Cấu hình bảo mật . 17 BÀI 3: TRIỂN KHAI HỆ THỐNG FIREWALL . Giới thiệu Cisco IOS Firewall . Cấu hình Cisco IOS Firewall . 24 BÀI 4: GIỚI THIỆU VỀ FOREFRONT THREAT MANAGERMENT GATEWAY (TMG) . Tìm Hiểu Forefrent TMG . Triển khai cài đặt TMG . 36 Thuật ngữ chuyên môn . 65 Tài liệu tham khảo. 66 2 GIÁO TRÌNH MÔN HỌC/MÔ ĐUN Tên mô đun: XÂY DỰNG HỆ THỐNG FIREWALL Mã mô đun: MĐ 24 Vị trí, tính chất, ý nghĩa và vai trò của môn học/mô đun: - Vị trí: Mô đun được bố trí sau khi sinh viên học xong môn học, mô đun Mạng máy tính, Quản trị mạng 1, Công nghệ mạng không dây, Cấu hình và quản trị thiết bị mạng. - Tính chất: Là môn học chuyên ngành bắt buộc. - Ý nghĩa và vai trò của môn học/mô đun: Mục tiêu của môn học/mô đun: - Về Kiến thức: + Nhận biết được các thành phần cơ bản Firewall, mô hình triển khai thực tế. + Trình bày các loại tấn công vào hệ thống mạng. + Trình bày được vai trò các kỹ thuật packet filtering. + Trình bày được vai trò và ứng dụng của proxy. + Trình bày được tầm quan trọng của TMG trong việc bảo vệ hệ thống mạng + Hiểu được các tính năng trên TMG + Hiểu được khái quát các khả năng và nét đặc trưng của TMG - Về kỹ năng: + Cài đặt và cấu hình được các chính sách mặc định của Firewall, thực hiện chính xác thao tác sao lưu cấu hình mặc định của Firewall; + Thực hiện được thao tác xuất, nhập các chính sách của Firewall ra thành file; + Cài đặt và cấu hình được ISA Server trên windows Server. + Cài đặt được TMG trên Windows Server theo đúng qui định + Thiết lập được các rule để bảo mật cho hệ thống + Thiết lập Web Client Protection để bảo vệ các mối đe dọa duyệt Web + Thiết lập E-mail Protection để bảo vệ người dùng khỏi các mối đe dọa từ e-mail + Thiết lập Network Intrusion System để bảo vệ máy tính và các máy chủ khỏi các nổ lực xâm nhập - Về năng lực tự chủ và trách nhiệm: Bố trí làm việc khoa học đảm bảo an toàn cho người và phương tiện học tập. Nội dung của môn học/mô đun: được thể hiện qua các bài sau: - Bài 1: Giới thiệu Firewall - Bài 2: Tăng cường bảo mật cho thiết bị - Bài 3: Triển khai hệ thống Firewall - Bài 4: Giới thiệu về Forefront Threat Managerment Gateway (TMG) 3 BÀI 1: GIỚI THIỆU FIREWALL -------------- Giới thiệu Qua bài này trình bày được giới thiệu Firewall, các mô hình triển khai và nguyên lý hoạt động của Firewall. Mục tiêu: - Nhận biết được các thành phần cơ bản của Firewall, mô hình triển khai thực tế - Trình bày được vai trò và các kỹ thuật packet filtering - Trình bày được vai trò và ứng dụng của proxy - Thực hiện các thao tác an toàn với máy tính. Nội dung chính: I. MÔ HÌNH TRIỂN KHAI 1. Mô hình Bastion Host: Bastion Host Firewall là một trạm được cấu hình để chặn đứng mọi cuộc tấn công từ phía bên ngoài vào. Đây là điểm giao tiếp trực tiếp với mạng không tin cậy bên ngoài, do đó dễ bị tấn công nhất. Có hai dạng của máy phòng thủ: Máy phòng thủ có hai card mạng, một nối với hệ thống bên trong (mạng nội bộ) và card còn lại nối với bên ngoài mạng Internet. Đây là dạng tường lửa có từ rất sớm, nó yêu cầu người sử dụng bên trong phải kết nối với tường lửa trước khi làm việc với mạng bên ngoài. Với giải pháp này tường lửa đã cô lập được mạng bên trong với mạng bên ngoài bằng những máy phòng thủ (host) nhưng nó cũng tạo ra một sự thiếu tự nhiên trong việc kết nối giữa người sử dụng bên trong với mạng bên ngoài. Dạng thứ hai của cơ cấu phòng thủ này là máy phòng thủ có một card mạng được nối trực tiếp đến một hệ riêng biệt trên mạng – gateway mức ứng dụng. Gateway này cung cấp điều khiển vào ra. Bộ định tuyến (rounter) có nhiều chức năng trong cấu hình này. Nó không chỉ định hướng các gói đến hệ nội bộ, mà còn cho phép các hệ thống nội mở kết nối với Internet hoặc không cho phép kết nối. Kiến trúc screening subnet còn bổ sung thêm tầng an toàn để tách mạng nội bộ với Internet. Lý do để làm việc này là tránh cho mạng nội bộ khỏi bị tấn công nếu như bastion host bị đánh sập. Mô hình Back-End Firewall: Back-End Firewall có một NIC nối với external interface và NIC còn lại nối với mạng internal interface. Back-end firewall này có nhiệm vụ kiểm soát traffic từ external và Internet tới mạng internal. Mô hình 3-leg (Three-homed) Cần tới một thiết bị có ba NIC (network interface card). Trong đó, một NIC nối với mạng external, NIC thứ hai nối với mạng DMZ, và NIC còn lại nối với mạng internal. Đó là lý do tại sao người ta gọi nó là “3-legged firewall” (mỗi “chân” của firewall chính là một NIC của nó). Lúc này “3- legged firewall” phải có khả năng kiểm soát toàn bộ traffic vào/ra giữa ba mạng (internal, external và DMZ) và nó trở thành điểm chịu lỗi duy nhất (single point of failure) cho toàn hệ thống mạng. Nếu có sự cố xảy ra với “3- legged firewall” này thì cả DMZ và mạng internal đều không còn được bảo vệ nhưng bù lại không phải tốn chi phí đầu tư thêm một firwewall nữa. CÁC THÀNH PHẦN CƠ BẢN CỦA FIREWALL 1. Packet Filter: - Là chức năng chính của Firewall, điều khiển truy cập mạng bằng phân tích các gói tin đi vào/ đi ra. - Thành phần quan trọng trong bảo mật ở mạng vành đai (Perimeter Security) - Ưu điểm: Không làm tốn băng thông - Packets bao gồm 2 loại nội dung chính: Thông tin điều khiển (Header), dữ liệu (Data). - Nội dung Header trong Packet được dùng để cho phép hoặc cấm packet đó khi đi qua firewall trên 5 cơ sở Port, IP address và Protocol. Các thiết bị hỗ trợ Packet Filtering - Router: Packet Filter ngăn chặn các traffic xâm nhập trái phép. - Hệ điều hành: Windows và Linux xây dựng sẵn công cụ thực thi Packet Filtering trên chồng giao thức TCP/IP. Ví dụ: ZoneAlarm, Check Point Firewall – 1 đều hỗ trợ packet filtering. Các loại Packet Filtering - Stateless (static) packet filtering + Xem nội dung trong header của packet và quyết định cho phép hoặc loại bỏ packet đó. + Cấm traffic từ một subnet. - Stateful Packet Filtering (Stateful Inspection): duy trì trạng thái của kết nối trong khi thực thi tất cả chức năng của Stateful Packet Filtering . - Không quan tâm đến kết nối đã được thiết lập hay không. - Kỹ thuật này thường dùng khi muốn ngăn cấm hoàn toàn một traffic xác định. - Cấu hình Stateful Packet Filtering dựa trên: + Thông tin IP header + TCP/UDP Port number + ICMP message type + Fragmentation flags (ACK, SYN) - Duy trì bảng trạng thái của các kết nối hiện tại. - Kiểm tra tính hợp lệ của gói tin trên cơ sở bảng trạng thái và các luật. - Cho phép các Packets trên cơ sở các Packets mới trước đây đã được chấp nhận.