[Programming] viết một firewall? |
20/06/2007 03:24:11 (+0700) | #1 | 65711 |
bgate
Member
|
0 |
|
|
Joined: 18/06/2007 16:33:29
Messages: 21
Offline
|
|
Xin chào các bạn.Mình là member mới của diễn đàn,rât mong được các bạn giúp đỡ
cho mình hỏi là muốn viết được một firewall sử dụng ngôn ngữ C# thì phải làm như nào ? |
|
|
|
|
[Question] viết một firewall? |
20/06/2007 03:35:39 (+0700) | #2 | 65715 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
bgate wrote:
Xin chào các bạn.Mình là member mới của diễn đàn,rât mong được các bạn giúp đỡ
cho mình hỏi là muốn viết được một firewall sử dụng ngôn ngữ C# thì phải làm như nào ?
Thì trước tiên phải hiểu thật rõ firewall là gì và có những chức năng gì.
Sau đó hiểu rõ giới hạn của C# nằm ở chỗ nào và liệu nó có thích hợp để viết một firewall hay không. |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Question] viết một firewall? |
20/06/2007 04:04:26 (+0700) | #3 | 65727 |
bgate
Member
|
0 |
|
|
Joined: 18/06/2007 16:33:29
Messages: 21
Offline
|
|
cảm ơn bác conmale đã trả lời.Firewall em muốn nói đến ở đây là những chương trình như bkav,zonelarm,bitdefender,....
bác có thể nói rõ hơn phần thích hợp để viết một firewall ko
|
|
|
|
|
[Question] viết một firewall? |
20/06/2007 04:10:37 (+0700) | #4 | 65729 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
bgate wrote:
cảm ơn bác conmale đã trả lời.Firewall em muốn nói đến ở đây là những chương trình như bkav,zonelarm,bitdefender,....
bác có thể nói rõ hơn phần thích hợp để viết một firewall ko
Tại sao bồ không thử tìm hiểu xem bkav, zonelarm, bitdefender làm việc như thế nào? "phần thích hợp" là cái gì vậy? |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Question] viết một firewall? |
20/06/2007 04:23:04 (+0700) | #5 | 65733 |
bgate
Member
|
0 |
|
|
Joined: 18/06/2007 16:33:29
Messages: 21
Offline
|
|
vậy theo bác C# có điểm nào không thích hợp để viết một firewall?
|
|
|
|
|
[Question] viết một firewall? |
20/06/2007 05:50:15 (+0700) | #6 | 65757 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
bgate wrote:
vậy theo bác C# có điểm nào không thích hợp để viết một firewall?
E hèm.... tôi đưa ra một số điểm cốt lõi để bồ khảo sát và nghiên cứu nhưng bồ lại hỏi ngược lại.
Bồ hỏi như thế, tôi không nghĩ là có ai có thể trả lời cho bồ một cách cụ thể và cặn kẽ, ngay cả chính thầy của bồ, huống hồ chi, đây là diễn đàn.
Hơn ai hết, bồ là người duy nhất cần đặt câu hỏi và cần nghiên cứu vì chính bồ sẽ là người viết nên cái firewall nào đó theo ý tưởng của bồ. Bởi thế, giá trị khảo sát để đi đến quyết định là do bồ.
Ở giai đoạn này, bồ khoan hẵng nghĩ đến chuyện dùng C# như thế nào mà nên dành thời gian để tìm hiểu firewall là cái gì. Nếu bồ muốn viết một cái firewall, nó sẽ có những tính năng nào. Trong quá trình nghiên cứu, bồ sẽ thấy rằng cái API của C# khiếm khuyết ở đâu với nhu cầu của bồ (và tất nhiên bồ phải nắm trong tay cái API đó).
Firewall có nhiều dạng hoặc tổng hợp nhiều dạng, nó trải dài từ IP layer lên đến application layer. Bởi thế, kiến thức về mạng, về socket programming, về events trên system, về cơ chế thông tin đi xuyên qua system, về bảo mật, về những thứ gọi là "bất hợp lệ" đối với một system..... là những thứ bồ phải nắm hết sức vững. C# chỉ là một cái cọ để giúp bồ vẽ nên bức ảnh "firewall" đó. |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Question] viết một firewall? |
20/06/2007 07:41:01 (+0700) | #7 | 65777 |
bgate
Member
|
0 |
|
|
Joined: 18/06/2007 16:33:29
Messages: 21
Offline
|
|
Cảm ơn bác conmale đã chỉ giáo .Bác có thể cho em biết phải nghiên cứu từ đâu ko và tài liệu để nghiên cứu
|
|
|
|
|
[Question] viết một firewall? |
20/06/2007 20:57:17 (+0700) | #8 | 65834 |
bgate
Member
|
0 |
|
|
Joined: 18/06/2007 16:33:29
Messages: 21
Offline
|
|
em phải bắt đầu từ đâu hả bác conmale |
|
|
|
|
[Question] viết một firewall? |
20/06/2007 21:55:49 (+0700) | #9 | 65840 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
bgate wrote:
em phải bắt đầu từ đâu hả bác conmale
Bắt đầu bằng: search google với từ khóa "what is firewall". |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Question] viết một firewall? |
20/06/2007 23:54:36 (+0700) | #10 | 65868 |
bgate
Member
|
0 |
|
|
Joined: 18/06/2007 16:33:29
Messages: 21
Offline
|
|
đươc rồi bác ơi .em nắm đươc định nghĩa ,các thành phần của nó rồi:FireWall là một kỹ thuật được tích hợp vào hệ thống mạng để chống lại sự truy cập trái phép nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ thông của một số thông tin khác không mong muốn.
bác conmale ơi,bước tiếp theo đi
|
|
|
|
|
[Question] viết một firewall? |
21/06/2007 00:00:20 (+0700) | #11 | 65869 |
|
nil
Elite Member
|
0 |
|
|
Joined: 12/12/2006 18:37:46
Messages: 271
Location: Thùng rác
Offline
|
|
bgate wrote:
đươc rồi bác ơi .em nắm đươc định nghĩa ,các thành phần của nó rồi:FireWall là một kỹ thuật được tích hợp vào hệ thống mạng để chống lại sự truy cập trái phép nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ thông của một số thông tin khác không mong muốn.
bác conmale ơi,bước tiếp theo đi
Hì hì, bgate lôi ra một khái niệm rồi bảo em nắm đươc định nghĩa ,các thành phần của nó rồi
Thế theo bgate thì firewall nó dựa vào đâu để nó "chống lại sự truy cập trái phép"?
|
|
|
|
|
[Question] viết một firewall? |
21/06/2007 00:10:46 (+0700) | #12 | 65870 |
bgate
Member
|
0 |
|
|
Joined: 18/06/2007 16:33:29
Messages: 21
Offline
|
|
bác hỏi câu này khó quá .FireWall quyết định những dịch vụ nào từ bên trong được phép truy cập từ bên ngoài, những người nào từ bên ngoài được phép truy cập đến các dịch vụ bên trong, và cả những dịch vụ nào bên ngoài được phép truy cập bởi những người bên trong(bkad),theo em nghĩ thì firewall dựa vào điều này để"chống lại sự truy cập trái phép"
Em là người mới học mong các bác chỉ dạy thêm
|
|
|
|
|
[Question] viết một firewall? |
21/06/2007 00:38:53 (+0700) | #13 | 65877 |
|
nil
Elite Member
|
0 |
|
|
Joined: 12/12/2006 18:37:46
Messages: 271
Location: Thùng rác
Offline
|
|
Không rõ bạn bgate đã đọc đoạn này của anh conmale chưa?
conmale wrote:
Firewall có nhiều dạng hoặc tổng hợp nhiều dạng, nó trải dài từ IP layer lên đến application layer. Bởi thế, kiến thức về mạng, về socket programming, về events trên system, về cơ chế thông tin đi xuyên qua system, về bảo mật, về những thứ gọi là "bất hợp lệ" đối với một system..... là những thứ bồ phải nắm hết sức vững. C# chỉ là một cái cọ để giúp bồ vẽ nên bức ảnh "firewall" đó.
) |
|
|
|
|
[Question] viết một firewall? |
21/06/2007 03:07:55 (+0700) | #14 | 65890 |
bgate
Member
|
0 |
|
|
Joined: 18/06/2007 16:33:29
Messages: 21
Offline
|
|
cảm ơn bác đã chỉ dạy.Em sẽ cố gắng nghiên cứu thêm
|
|
|
|
|
[Question] viết một firewall? |
22/06/2007 21:34:43 (+0700) | #15 | 66249 |
bgate
Member
|
0 |
|
|
Joined: 18/06/2007 16:33:29
Messages: 21
Offline
|
|
Mong được bác conmale chỉ giáo thêm |
|
|
|
|
[Question] viết một firewall? |
25/06/2007 09:34:09 (+0700) | #16 | 66775 |
This post is set hidden by a moderator because it may be violating forum's guideline or it needs modification before setting visible to members. |
|
|
|
|
[Question] viết một firewall? |
25/06/2007 09:42:49 (+0700) | #17 | 66781 |
Nếu ai muốn học cách viết FireWall thì trước hết học lập trình về socket đi.
Thư viện trên windows là : Winsck.lib
#include <winsck.h> //tùy phiên bản C/C++ quy định tui sài MSV C++
Thư vện cho Unix:
#include <socket.h>
Chú ý :
- Mỗi kết nối sẽ được định danh dưới dạng một số dang Long Integer khi biết được số này các bạn sẽ nắm ID của kết nối từ đó chi phối và điều khiển kết nối theo ý mình.
- Nếu muốn viết firewall cần tìm hiểu thêm chút ít về TASM32 vì đôi lúc cần viết thêm một vài thư viện liên kết tỉnh LIB và thư viện chuẩn OBJ. OKAY!
- Ngoài ra nên học thêm về mạng, các khái niệm IP / TCP / UDP...
- Nên vào các trang mã nguồn mở để tham khảo.
|
|
|
|
|
[Question] viết một firewall? |
28/06/2007 07:47:24 (+0700) | #18 | 67437 |
|
ngoalong
HVA Friend
|
Joined: 22/03/2003 04:33:38
Messages: 111
Offline
|
|
http://www.codeproject.com/internet/FwHookDrv.asp
tham khảo mã này nhé. Đây là pp làm firewall bằng Filter Hook Driver trong tài liệu lập trình DDK Win2K/XP. Có nhìu cách khác tùy theo lớp ứng dụng mà bạn cần firewall để giải quyết vấn đề. |
|
|
|
|
[Question] Re: viết một firewall? |
12/09/2007 09:06:19 (+0700) | #19 | 84613 |
|
monster55
Member
|
0 |
|
|
Joined: 07/05/2007 16:47:59
Messages: 30
Offline
|
|
Hix, bây giờ em cũng phải viết một con firewall trên nền Linux tích hợp vào hardware device tựa như con Router. Hix bác nào có kinh nghiệm nhiều rồi chỉ cho em một số bước cần thiết được ko ạ. Hix, one more question: Viết các phần mềm security cho thiết bị (trên nền Linux) thì thường dùng ngôn ngữ nào là hợp lý và có nhiều open source nhỉ?? Các bác hướng dẫn qua đường bước cho em được thì tốt quá, hix em chưa biết gì về Linux, hơi biết Java, C... Thanks a lot! |
|
|
|
|
[Question] Re: viết một firewall? |
12/09/2007 13:04:19 (+0700) | #20 | 84653 |
|
kid_b0d
Member
|
0 |
|
|
Joined: 16/08/2006 00:49:55
Messages: 70
Location: Phan thiết, Bình thu
Offline
|
|
Hix, bây giờ em cũng phải viết một con firewall trên nền Linux tích hợp vào hardware device tựa như con Router
vậy theo bạn router và firewall nó giống hay khác nhau? và nếu khác thì khác chỗ nào?hay là mìnhkhông hiểu vấn đề bạn nói?
về linux thì bạn hiểu về C tức bạn đã nắm 60% cấu trúc của nó., vì linux được xây dựng nên từ C mà . |
|
|
|
|
[Question] Re: viết một firewall? |
12/09/2007 18:33:38 (+0700) | #21 | 84671 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
kid_b0d wrote:
Hix, bây giờ em cũng phải viết một con firewall trên nền Linux tích hợp vào hardware device tựa như con Router
vậy theo bạn router và firewall nó giống hay khác nhau? và nếu khác thì khác chỗ nào?hay là mìnhkhông hiểu vấn đề bạn nói?
về linux thì bạn hiểu về C tức bạn đã nắm 60% cấu trúc của nó., vì linux được xây dựng nên từ C mà .
Không hẳn thế. C cũng giống như bột mì để làm bánh và bánh gì thì tùy cách nấu nướng của đầu bếp. Bản thân bột mì không thể dùng để nắm được bánh được làm ra thế nào và có đặc tính gì )
To monster55: không nên khai triển theo bước bởi vì chẳng cách gì hình thành "bước" cho một cái gì chưa rõ ràng. Nếu bồ "chưa biết gì về Linux" thì việc đầu tiên là cài Linux và làm quen với nó cái đã. Nếu bồ đã có nhiều kinh nghiệm với máy tính và các hệ điều hành khác thì việc làm quen với Linux có thể nhanh hơn. Tuy nhiên, bồ không thể lập trình trên một hệ điều hành khi chưa biết gì về nó. Nên gác qua dự định viết chương trình bảo mật trên Linux nếu chưa rành rẽ về Linux.
Thân mến. |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Question] Re: viết một firewall? |
13/09/2007 10:27:23 (+0700) | #22 | 84781 |
|
monster55
Member
|
0 |
|
|
Joined: 07/05/2007 16:47:59
Messages: 30
Offline
|
|
to kid_b0d: Firewall và Router khác nhau chứ ) trước tiên firewall là phần mềm (hình như cũng có cả firewall cứng) còn router là phần cứng trong đó nó tích hợp nhiều chức năng mềm như firewall, routing, ip sharing... (hix em chỉ đưa router ra đây làm ví dụ là firewall sẽ tích hợp vào một thiết bị phần cứng thôi mà)
to conmale: Hix, em đã thấy trong diễn đàn một số chỗ bác có hướng dẫn tìm hiểu các kiến thức cơ bản (self training) để viết được firewall em sẽ làm theo. Và sau khi survey em cũng đã tìm được một số tài liệu cần thiết để bắt đầu. Cám ơn rất nhiều lời cảnh tỉnh của bác, em đành cố gắng nhiều hơn nữa vậy Chắc trong quá trình sẽ vướng nhiều, mong các bác giúp đỡ nhiều hơn.
Thanks again! ) |
|
|
|
|
[Question] Re: viết một firewall? |
13/09/2007 14:01:31 (+0700) | #23 | 84798 |
mrro
Administrator
|
Joined: 27/12/2001 05:07:00
Messages: 745
Offline
|
|
to kid_b0d: Firewall và Router khác nhau chứ trước tiên firewall là phần mềm (hình như cũng có cả firewall cứng) còn router là phần cứng trong đó nó tích hợp nhiều chức năng mềm như firewall, routing, ip sharing... (hix em chỉ đưa router ra đây làm ví dụ là firewall sẽ tích hợp vào một thiết bị phần cứng thôi mà)
muốn nó mềm thì nó mềm, muốn nó cứng thì nó cứng thôi. Bất kỳ thiết bị nào cũng là sự kết hợp giữa phần mềm và phần cứng, firewall hay router không là ngoại lệ. Ví dụ như mấy con router của Cisco, phần cứng của nó là cái cục sắt có cả CPU và mấy cái mạch ASIC, còn phần mềm của nó là IOS. Không có IOS thì cái cục sắt đó cũng chẳng hoạt động được.
-m |
|
http://tinsang.net
TetCon 2013 http://tetcon.org
Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html |
|
|
|
[Question] Re: viết một firewall? |
14/09/2007 02:32:26 (+0700) | #24 | 84849 |
|
monster55
Member
|
0 |
|
|
Joined: 07/05/2007 16:47:59
Messages: 30
Offline
|
|
Thứ nhất: Mình chỉ muốn đưa ra router làm ví dụ để rõ hơn cho nghĩa firewall viết ra sẽ được tích hợp vào một thiết bị phần cứng tựa như vậy. Chứ không phải firewall viết ra chạy trực tiếp trên Desktop Computer. Để mọi người có thể biết cụ thể và giúp mình )
Thứ 2: Mình không có ý định tranh luận về phần cứng - phần mềm. Mình đã chỉ rõ ý của mình khi nêu ra Router và firewall.
Thanks các góp ý của các bạn. |
|
|
|
|
[Question] Re: viết một firewall? |
14/09/2007 06:48:30 (+0700) | #25 | 84888 |
|
kid_b0d
Member
|
0 |
|
|
Joined: 16/08/2006 00:49:55
Messages: 70
Location: Phan thiết, Bình thu
Offline
|
|
Một firewall là một tập hợp các qui tắc, ứng dụng và chính sách đảm bảo cho người dùng truy cập các dịch vụ mạng trong khi mạng bên trong vẫn an toàn đối với các kẻ tấn công từ Internet hay từ các mạng khác. Có hai loại kiến trúc firewall cơ bản là : Proxy/Application firewall và filtering gateway firewall. Hầu hết các hệ thống firewall hiện đại là loại lai (hybrid) của cả hai loại trên.
Tính năng firewall chuẩn được cung cấp sẵn trong kernel của Linux được xây dựng từ hai thành phần : ipchains và IP Masquerading.
Linux IP Firewalling Chains là một cơ chế lọc gói tin IP. Những tính năng của IP Chains cho phép cấu hình máy chủ Linux như một filtering gateway/firewall dễ dàng. Một thành phần quan trọng khác của nó trong kernel là IP Masquerading, một tính năng chuyển đổi địa chỉ mạng (network address translation- NAT) mà có thể che giấu các địa chỉ IP thực của mạng bên trong.
Để sử dụng ipchains, bạn cần thiết lập một tập các luật mà qui định các kết nối được cho phép hay bị cấm. Ví dụ:
# Cho phép các kết nối web tới Web Server của bạn
/sbin/ipchains -A your_chains_rules -s 0.0.0.0/0 www -d 192.16.0.100 1024: -j ACCEPT
# Cho phép các kết nối từ bên trong tới các Web Server bên ngoài
/sbin/ipchains -A your_chains_rules -s 192.168.0.0/24 1024: -d 0.0.0.0/0 www -j ACCEPT
# Từ chối truy cập tất cả các dịch vu khác
/sbin/ipchains -P your_chains_rules input DENY
Ngoài ra, bạn có thể dùng các sản phẩm firewall thương mại như Check Point FireWall-1, Phoenix Adaptive Firewall, Gateway Guardian, XSentry Firewall, Raptor, ... hay rất nhiều các phiên bản miễn phí, mã nguồn mở cho Linux như T.Rex Firewall, Dante, SINUS, TIS Firewall Toolkit, ...
Một số thông tin này có thể giúp bạn được không? |
|
|
|
|
[Question] Re: viết một firewall? |
17/09/2007 22:14:30 (+0700) | #26 | 85440 |
|
monster55
Member
|
0 |
|
|
Joined: 07/05/2007 16:47:59
Messages: 30
Offline
|
|
Có lẽ em cũng khá hiểu về firewall từ tìm hiểu các nguồn thông tin mà mọi người đưa ra. Thanks rất nhiều. )
Bây giờ em có vài thắc mắc, mong mọi người chỉ đường cho nhé. :? Về cơ bản, một device phải có một số thứ như Processor, memory, instructions set, clock speed, OS compatibility... Vậy em muốn làm hoàn chỉnh một device gồm chức năng của một firewall + some other features thì ko biết phải làm thế nào? Từ thiết kế phần cứng, cho đến phát triển các software cho nó, deploy vào đó... Và có thể học hỏi được từ những sách, nguồn tài liệu nào ạ? Cuối cùng, nếu có thêm một device tựa như vậy với specification cụ thể từng phần thì tốt quá, ai có thì share hoặc chỉ cho em nhé!!
Thanks so much!
|
|
|
|
|
[Question] Re: viết một firewall? |
17/09/2007 22:35:35 (+0700) | #27 | 85443 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
monster55 wrote:
Có lẽ em cũng khá hiểu về firewall từ tìm hiểu các nguồn thông tin mà mọi người đưa ra. Thanks rất nhiều. )
Bây giờ em có vài thắc mắc, mong mọi người chỉ đường cho nhé. :? Về cơ bản, một device phải có một số thứ như Processor, memory, instructions set, clock speed, OS compatibility... Vậy em muốn làm hoàn chỉnh một device gồm chức năng của một firewall + some other features thì ko biết phải làm thế nào? Từ thiết kế phần cứng, cho đến phát triển các software cho nó, deploy vào đó... Và có thể học hỏi được từ những sách, nguồn tài liệu nào ạ? Cuối cùng, nếu có thêm một device tựa như vậy với specification cụ thể từng phần thì tốt quá, ai có thì share hoặc chỉ cho em nhé!!
Thanks so much!
Không có một cuốn sách nào như thế đâu. Bồ phải nghiên cứu và tham khảo rất nhiều nguồn khác nhau. Trên Linux, để program một device, bồ phải nắm vững kernel và userspace (trực tiếp liên quan đến processor, process, memory, instruction set, system calls, scheduling....). Trang sau có khá nhiều thông tin ích lợi:
http://www.techbooksforfree.com/linux.shtml
Sau đó nghiên cứu phần embedded system cho phần cứng. Xem trang này (và những trang có trên đường dẫn từ trang này):
http://www.ibm.com/developerworks/library/l-embdev.html
Good luck. |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Question] Re: viết một firewall? |
03/10/2007 04:00:59 (+0700) | #28 | 88378 |
|
monster55
Member
|
0 |
|
|
Joined: 07/05/2007 16:47:59
Messages: 30
Offline
|
|
Hix, sau một hồi tìm hiểu. Cũng có nhiều vướng mắc và thắc mắc. Có cái vẫn chưa hiểu cặn kẽ mong các anh giúp cho:
- Em chưa hiểu cặn kẽ về Security Policy trong firewall các anh có thể ví dụ qua được ko ạ. Vì em cũng hiểu nhưng thực tế thì không biết cụ thể thế nào.
- Và liệu có cách nào để online update được các Security Policy đó ko ạ? cả các thông tin về trusted system/untrusted system, các dải IP không đáng tin cậy... Chắc các 3rd party company có cung cấp nhưng em chưa tìm được. Hix, mà chắc cả Microsoft cũng sẽ cung cấp thông tin về cái này vì nó hỗ trợ cho filewall của Window mà nhưng em không biết tìm ở đâu cả.
- Như Iptables thì mình làm sao để analyse nó bây giờ ạ. Để mình có thể khái quát được chức năng, khoanh vùng được từng modun của nó ạ.
Thanks các anh nhiều. and Goodluck for all ) |
|
|
|
|
[Question] Re: viết một firewall? |
03/10/2007 05:51:44 (+0700) | #29 | 88390 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
monster55 wrote:
Hix, sau một hồi tìm hiểu. Cũng có nhiều vướng mắc và thắc mắc. Có cái vẫn chưa hiểu cặn kẽ mong các anh giúp cho:
- Em chưa hiểu cặn kẽ về Security Policy trong firewall các anh có thể ví dụ qua được ko ạ. Vì em cũng hiểu nhưng thực tế thì không biết cụ thể thế nào.
Security Policy của một firewall là một bộ "chính sách" ấn định bảo mật cho chính firewall và những hệ thống mà firewall đó chịu trách nhiệm bảo vệ. Security Policy có thể cực kỳ đơn giản hoặc cực kỳ phức tạp tùy theo quy định của cơ cấu và tổ chức làm việc.
Một Security Policy có thể có dạng:
- inbound (đường vào): cản mọi traffic ngoại trừ traffic đi vào cổng 80 (HTTP) và cổng 25 (SMTP).
- outbound (đường ra): cho phép mọi traffic đi ra.
Một Security Policy cũng có thể phức tạp hơn:
- inbound: nếu LAN khởi tạo connection thì cho phép traffic từ bên ngoài vào ở dạng "trả lời". Ngoài ra, mọi traffic đi đến cổng 80 từ 8 giờ sáng đến 8 giờ tối được chấp thuận.
- outbound: mọi traffic phải đi qua proxy ở cổng 8080. Cản tất cả các traffic khác.
Lý do tôi không đưa policies trên theo dạng cú pháp vì đúng tính chất, Security Policy hoàn toàn độc lập với cú pháp của từng loại firewall.
monster55 wrote:
- Và liệu có cách nào để online update được các Security Policy đó ko ạ? cả các thông tin về trusted system/untrusted system, các dải IP không đáng tin cậy... Chắc các 3rd party company có cung cấp nhưng em chưa tìm được. Hix, mà chắc cả Microsoft cũng sẽ cung cấp thông tin về cái này vì nó hỗ trợ cho filewall của Window mà nhưng em không biết tìm ở đâu cả.
Update Policy dựa trên cái gì? Firewall policy không phải là một dạng anti-virus cần cập nhật signature. Tuy nhiên, có một số dạng firewall tích hợp khả năng thu thập thông tin từ các "storm center" để phòng bị. Ví dụ, hiện đang có CodeRed2007 tấn công. Nếu máy con bị nhiễm, nó sẽ gởi hàng loạt packets đi đến các hệ thống mail... chẳng hạn. Nếu ứng dụng "storm center" thì firewall có thể trợ giúp cản lọc tất cả các traffic đi từ LAN ra Internet để đến cổng 25. Mỗi công ty, mỗi tổ chức, mỗi mô hình hoạt động có một Security Policy khác nhau và không có "online update" nào ấn định policy cho mỗi hoàn cảnh cả. Nếu bồ hỏi thế này chứng tỏ bồ biết rất ít (hoặc thậm chí không biết gì) về firewall policy cả.
Riêng phần trusted / untrusted networks thì cũng thuộc một phần policy ở trên. Nếu network 192.168.0.0 là network bồ quản lý và bảo đảm không có gì đe dọa thì bồ có thể trust nó (trusted network). Nếu không, nó là untrusted network.
monster55 wrote:
- Như Iptables thì mình làm sao để analyse nó bây giờ ạ. Để mình có thể khái quát được chức năng, khoanh vùng được từng modun của nó ạ.
Thanks các anh nhiều. and Goodluck for all )
Bồ muốn analyse cái gì của iptables? Bồ đã tìm hiểu những gì về iptables?
Good luck to you thì đúng hơn ). |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Question] Re: viết một firewall? |
10/10/2007 02:55:44 (+0700) | #30 | 89736 |
|
monster55
Member
|
0 |
|
|
Joined: 07/05/2007 16:47:59
Messages: 30
Offline
|
|
Thanks bạn conmale rất nhiều. Mình hiểu thêm được nhiều điều từ bài viết của bạn.
Đúng là beginner nên hiểu biết của mình còn hạn chế lắm và đây cũng là một lĩnh vực khó (Security) nên đúng là good luck for me . Mong mọi người không bị phiền ( và nếu được thì rất mong sự giúp đỡ của tất cả mọi người. Em xin hỏi tiếp một số thắc mắc ạ:
- Security Policy: Với từng ứng dụng cụ thể mình sẽ có các Proxy service(Gateway) riêng biệt quản lý. Ví dụ như SMTP, FTP, IMAP... sẽ có các Proxy cho từng loại. Như với IMAP hay POP, khi ta get mail về mà địa chỉ mail của người gửi ko hợp lệ sẽ bị chặn luôn. Ví dụ khác là các request từ các illegal networks, untrusted networks sẽ bị chặn. Hoặc với một cổng N của ứng dụng A nào đó mình sẽ không cho các gói mà nội dung của nó trùng với 1 một số illegal pattern mà ta đã định nghĩa trước cho A (Hoặc ta có thể get, update từ một nhà cung cấp nào đó). Như vậy em nghĩ hoàn toàn có thể update được loại Security Policy kiểu này chứ nhỉ? Không biết nó có phải là kiểu ứng dụng với "storm center" mà anh conmale đã nói ko.
- IPTables: is the userspace command line program used to configure the Linux 2.4.x and 2.6.x IPv4 packet filtering ruleset.
Theo mình nghĩ nó sẽ được gói gọn trong một package. Tất nhiên có thể nó gọi đến một số hàm,chức năng của của kernel. Vậy mình hoàn toàn có thể phân tích được nó chứ? Về cấu trúc, các chức năng, thậm chí có thể phân tích sâu vào các module của nó để có thể tích hợp thêm chức năng, hoặc đơn giản chỉ là giao diện hóa nó thôi. Không biết có phải vậy không nữa vì mình hầu như ko biết gì về nó. Nếu ai biết, có thể giới thiệu mình một số nguồn cung cấp mô tả về nó được ko vậy (càng chi tiết càng tốt), và làm thế nào để có code của nó để xem thử ).
(Mình đã đọc qua một số bài viết về Iptables trong diễn đàn)
Anyway, Good luck for all |
|
|
|
|
|
|
|
Users currently in here |
1 Anonymous
|
|
Powered by JForum - Extended by HVAOnline
hvaonline.net | hvaforum.net | hvazone.net | hvanews.net | vnhacker.org
1999 - 2013 ©
v2012|0504|218|
|
|