Tìm hiểu hệ thống Firewall và ứng dụng Firewall trong thực tế

Đồ án tốt nghiệp
Bảo mật mạng máy tính và Firewall
MỤC LỤC
Hình 4.2.b: Stateful Firewall
Hình4.2.c: Deep Packet Layer Firewall
Hình 4.2.1b: B trí NetScreen Firewall.ố
4.2.2Ph n m m Check Point Firewallsầ ề
Network-based IDSs l ph n to n b c a pha ki m tra c a chính à ầ à ộ ủ ể ủ
sách b o m t. Network-based IDS l s phát tri n c a s ki m tra ả ậ à ự ể ủ ự ể
th i gian th c ki m tra t i các v trí t n t i trong c u trúc h t ng ờ ự ể ạ ị ồ ạ ấ ạ ầ
m ng. Ki m tra n y g i l network sensors, phân tích ng truy nạ ể à ọ à đườ ề
v phát hi n các tác ng không xát th c nh các tác ng nguy à ệ độ ự ư độ
h i. Ph thu c v o các chi m l c t n công t ch c c l a ạ ụ ộ à ế ượ ấ ổ ứ đượ ự
ch n, ki m tra các tác ng thích h p mang l i.ọ ể độ ợ ạ
M t trong nh ng u i m chính c a vi c tri n khai h th ng ộ ữ ư đ ể ủ ệ ể ệ ố
Network-based trên h th ng host-based l th c t m qu n lý m ngệ ố à ự ế à ả ạ
có kh n ng ti p t c ki m tra m ng c a nó không ph i vi c l m thêả ă ế ụ ể ạ ủ ả ệ à
1
Tìm hiểu hệ thống Firewall và ứng dụng Firewall trong thực tế
n o m ng phát tri n.vi c c ng thêm các host không c n thi t à để ạ ể ệ ộ ầ ế
yêu c u thêm các network-based intrusion sensors.ầ
Các c u trúc v th nh ph n c a Network sensors.ấ à à ầ ủ
Network IDS có 2 giao di n, nó l i n hình k t n i t i các ệ à đ ể ế ố ớ
segments khác nhau c a m ng c a t ch c. M t l ki m tra các portủ ạ ủ ổ ứ ộ à ể
l áp ng i v i vi c b t d li u i v i vi c phân tích. Ki m à đ ứ đố ớ ệ ắ ữ ệ đố ớ ệ ể
tra c ng c k t n i t i các o n m ng m có kh n ng m c tiêuổ đượ ế ố ớ đ ạ ạ à ả ă ụ
c k t n i nh web servers, mail servers C ng th 2 l th ng …đượ ế ố ư ổ ứ à ườ
c tham chi u t i các c ng l nh v c ng i u khi n nó áp ng đượ ế ớ ổ ệ à ổ đ ề ể đ ứ
vi c gây ra c nh báo t i flatform qu n lý.Gi ng nh host-based ệ ả ớ ả ố ư

Cisco Secure Agent Manager, flatform n y c dùng c u hình à đượ để ấ
network sensors truy nh p v hi n th c nh báo v các báo cáo ậ à ể ị ả à
chung c a yêu c u.ủ ầ
Hình 5.1.3.1T ng quan v Network-Based IDS ổ ề
T quan i m v c u trúc, network-based có 3 th nh ph n khác ừ đ ể ề ấ à ầ
nhau: network sensor, director v k thu t giao ti p 2 ph n trên.à ỹ ậ ế ầ
Hình 5.1.3.1b. Ki n trúc Network-Based IDSế
Network-based IDS sensor ch y trên Linux v có nhi u th nh ph n ạ à ề à ầ
v m i k t n i bên trong v i u khi n x lý khác nhau. M t trong à ỗ ế ố à đ ề ể ử ộ
nh ng th nh ph n chính l cidWebServer . Web server c dùng ữ à ầ à đượ
các servlets khác nhau cung c p các d ch v . cidWebServer giao đẻ ấ ị ụ
ti p cùng các tr ng thái c a server, s th c hi n server v IP log ế ạ ủ ự ự ệ à
server servlets c dùng Remote Data Exchange Protocol (RDEP). đượ
RDEP ph c v nh các giao th c giao ti p c a các sensor.ụ ụ ư ứ ế ủ
Network IDSs c phát tri n b i vì khi s phát tri n l lên k đượ ể ở ự ể à ế
ho ch c n th n t i các i m thi t k , các m ng qu n lý, các t ạ ẩ ậ ạ đ ể ế ế ạ ả ổ
ch c b o m t có th ki m tra d li u.Khi s ki m tra c th c ự ả ậ ể ể ữ ệ ự ể đượ ự
hi n d li u ch ang c truy n trong m ng.B i v y các nh ệ ữ ệ ỉ đ đượ ề ạ ở ậ à
qu n lý có c h i tác ng v o t i kho n m không c n bi t ả ơ ộ để độ à à ả à ầ ế
chính xác ích t n công l gì b i vì các IDS ki m tra ho n th nh đ ấ à ở ể à à
t ng o n m t.ừ đ ạ ộ
M t s các b c v nhi m v c n l khi tri n khai các network ộ ố ướ à ệ ụ ầ à ể
sensor trong m ng c a b n. Vi c c i t các network sensor yêu ạ ủ ạ ệ à đặ
c u có k ho ch tr c khi có tác ng k t n i các sensors t i ầ ế ạ ướ độ ế ố ớ
m ng. ó l nhi m v c a nh qu n lý b o m t m ng xác nhạ Đ à ệ ụ ủ à ả ả ậ ạ để đị
rõ ng truy n c n gì c hi n th t i vi c b o v t t c các t iđườ ề ầ đượ ể ị ớ ệ ả ệ ấ ả à
nguyên c a t ch c.ủ ổ ứ
Khi lên k ho ch cho vi c t các IDS, nh qu n lý m ng ph i tínhế ạ ệ đặ à ả ạ ả
n s l ng v ph c t p c a m ng k t n i v i m ng khác v đế ố ượ à độ ứ ạ ủ ạ ế ố ớ ạ à
2

Tìm hiểu hệ thống Firewall và ứng dụng Firewall trong thực tế
t ng s v ki u ng truy n trong m ng. Sau khi l a ch n các ổ ố à ể đườ ề ạ ự ọ
thông tin ó v bi t c thông tin gì c b o v , v trí v ki u đ à ế đượ đượ ả ệ ị à ể
sensor c xác nh. Các sensor c t mi n inside ph i có đượ đị đượ đặ ở ề ả
tránh nhi m khác v i các sensor t mi n outside: ệ ớ đặ ở ề
Hình 5.1.3.1c B trí Network-Based IDS Sensor ố
Hi n nay t t c các nh qu n lý m ng u quan tâm n v n ệ ấ ả à ả ạ đề đế ấ đề
b o m t m ng v i cái nhìn ti p t c xây d ng x lý thông qua các ả ậ ạ ớ ế ụ ự ử
chính sách b o m t m ng. X lý n y l ph ng th c 4 b c bao ả ậ ạ ử à à ươ ứ ướ
g m: b o m t h th ng (secure the system), ki m tra m ng (monitor ồ ả ậ ệ ố ể ạ
the network), ki m tra hi u qu c a các gi i pháp v c i thi n các ể ệ ả ủ ả à ả ệ
tri n khai b o m t.ể ả ậ
Host IDS có th mô t b ng cách phân ph i các agent t p trung ể ả ằ ố ậ
trong m i server c a m ng hi n th các tác ng c a m ng trongỗ ủ ạ để ể ị độ ủ ạ
th i gian th c.Host IDS xác nh ph m vi b o m t v có th c u ờ ự đị ạ ả ậ à ể ấ
hình m các áp ng t ng c ng n ch n t n công t các đề à đ ứ ự độ đượ ă ặ ấ ừ
nguyên nhân các m i nguy hi m tr c khi nó t n công v o h ố ể ướ ấ à ệ
th ng.ố
C u trúc v các th nh ph n c a Host sensorấ à à ầ ủ
Cisco IDS sensor có hai th nh ph n chính:à ầ
Cisco Secure Agent
Cisco secure Agent l ph n m m b t gói tin c ch y trên m i à ầ ề ắ đượ ạ ỗ
server riêng bi t ho c trên workstation b o v ch ng l i các k ệ ặ để ả ệ ố ạ ẻ
t n công.ấ
Cisco IDS sensor cung c p các phân tích th i gian th c v tác ng ấ ờ ự à độ
tr l i các t n công xâm nh p. Host sensor x lý v phân tích m i ở ạ ấ ậ ử à ỗ
v m i yêu c u t i h i u h nh v các giao di n ch ng trình à ọ ầ ớ ệ đ ề à à ệ ươ
ng d ng v phòng ch ng các host n u c n thi t. Các agent ó có ứ ụ à ố ế ầ ế đ
th i u khi n t t c các tr ng thái trong các files, các b m c a ể đ ề ể ấ ả ạ ộ đệ ủ
m ng, vi c ng ký v truy nh p COM. C u trúc c a Cisco secure ạ ệ đă à ậ ấ ủ

Agent l c u trúc các ph ng ti n lu t l ánh ch n c a b o m t à ấ ươ ệ ậ ệ đ ặ ủ ả ậ
agent INCORE (Security Agent’s Intercept Correlate rules engine
architecture).
Các Host sensor Agent c c i t h i u h nh. Các ph n m m đượ à đặ ệ đ ề à ầ ề
n y c ch y cùng h i u h nh s b o v c m b o à đượ ạ ệ đ ề à đề ự ả ệ đượ đả ả
chính h i u h nh ó. Các agents b o v các hosts ch ng l i các ệ đ ề à đ ả ệ ố ạ
t n công c b t u thông qua m ng v c ng b o v ch ng l i ấ đượ ắ đầ ạ à ũ ả ệ ố ạ
các t n công các tác ng nguy hi m c a ng i dùng ng i m log ấ độ ể ủ ườ ườ à
v o h i u h nh, web v các lu t FTP. C s d li u ch a ng à ệ đ ề à à ậ ơ ở ữ ệ ứ đự
các tham s chính sách b o m t, các xác nh ng i dùng ngo i l ố ả ậ đị ườ ạ ệ
v danh sách các ng d ng c b o v . à ứ ụ đượ ả ệ
3
Tìm hiểu hệ thống Firewall và ứng dụng Firewall trong thực tế
Hình 5.1.3.2a: C u trúc c a Host Sensor Agentấ ủ
Chúng ta u th a nh n r ng s t n công l m h i n các d ch v đề ừ ậ ằ ự ấ à ạ đế ị ụ
thông tin Internet (IIS) trong web server.Các agent core d oán lu ngự đ ồ
d li u n theo các lu t FTP chúng c l u tr trong Rules ữ ệ đế ậ đượ ư ữ
engine, các ng d ng cho chính sách v các thông s ngo i l . N u ứ ụ à ố ạ ệ ế
các h nh ng nguy hi u c phát hi n, các tác ng thích h p à độ ể đượ ệ độ ợ
c xác nh rõ. đượ đị
Nh qu n lý Cisco Secure Agent:à ả
Cisco secure Agent manager ch u tránh nhi m trong vi c qu n lý ị ệ ệ ả
Cisco secure Agent v vi c giao ti p t các agent. Cisco secure Agentà ệ ế ừ
manager cung c p các ch c n ng qu n lý i v i t t c các agent ấ ứ ă ả đố ớ ấ ả
trong ki u ki m soát. Nó c ng c c u th nh t các thông báo c aể ể ũ đượ ấ à ừ ủ
t chuwcs b o m t trong tr ng h p t n công v các báo cáo chung. ổ ả ậ ườ ợ ấ à
Các phiên qu n lý n y c dùng các k thu t mã hóa d li u l ả à đượ ỹ ậ ữ ệ à
thi t th c, kín áo v an to n. Cisco secure Agent manager có 3 ế ự đ à à
th nh ph n chính: Giao di n h a ng i dung (GUI), server, các à ầ ệ đồ ọ ườ
c nh báo ng i i u khi n. C hai GUI v server u c link t iả ườ đ ề ể ả à đề đượ ớ

c s d li u n i m các thông tin c u hình c l u tr .ơ ở ữ ệ ơ à ấ đượ ư ữ
Các agents c k t n i tr c ti p v i server.Khi agent g i c nh báo đượ ế ố ự ế ớ ử ả
t i server, server cung c p các ch d n ng i i u khi n m t cách ớ ấ ỉ ẫ ườ đ ề ể ộ
c n th n t t c các yêu c u chú thích c u hình nh e-mail v trangẩ ậ ấ ả ầ ấ ư à
chú thích.
S tri n khai HIDS trong m ng:ự ể ạ
S phát tri n c a các Host-based IDS thông qua các th ch c m ng ự ể ủ ổ ứ ạ
yêu c u các thi t k thông qua r t t t.ầ ế ế ấ ố
V n c b n l xác nh nh ng gì trong chính sách b o m t c aấ đề ơ ả à đị ữ ả ậ ủ
các công ty, nh thi t k c áp ng nh n ra v quy t nh h à ế ế đượ đ ứ ậ à ế đị ệ
th ng n o c b o v . To n v n i t ng trong phase thi t k ố à đượ ả ệ à ẹ đố ượ ế ế
xác nh các ki u h th ng khác nhau: l servers UNIX hay đị ể ệ ố à
Windows platforms, chúng ta c n b o v ch server hay chúng ta lo ầ ả ệ ỉ
l ng v máy tính laptop t t nh desktop…ắ ề ố ư
Hình 5.1.3.2b Tri n khai Host IDS ể
Vi c xem xét s quan tr ng trong phase thi t k l s giao ti p ệ ự ọ ế ế à ự ế
qu n lý IDS. Các agents giao ti p v i các Agent Manager trên port ả ế ớ
TCP c bi t. i u n y tr nên quan tr ng khi các agents c trú đặ ệ Đ ề à ở ọ ư
trong m ng khác trong m ng Agent Manager. i u c bi t ó ạ ạ Đ ề đặ ệ đ
úng v i các agents ch y trong mi n DMZ hay trong nhánh hay đ ớ ạ ề
remote home office.
Các k ho ch chung i v i h t ng công ty l s phát tri n các ế ạ đố ớ ạ ầ à ự ể
web server, các mail server, DNS (domain name system), FTP v các à
4
Tìm hiểu hệ thống Firewall và ứng dụng Firewall trong thực tế
agents khác trong m ng DMZ. ng truy n t i v t các agents ạ Đườ ề ớ à ừ
ch y trong các server ó t i các Agents Manager c cho phép ạ đ ớ đượ
thông qua firewall.
i v i mote offices hay home offices, VPN v IPSec c ng c Đố ớ à ũ đượ
tính toán n khi thi t k kênh giao ti p qu n lý gi a các agent v đế ế ế ế ả ữ à

Agent Manager.
H th ng phát hi n xâm nh p HIPS l m t lo i k thu t t ng i ệ ố ệ ậ à ộ ạ ỹ ậ ươ đố
m i trong th tr ng b o m t. Ngay t ng y u, nó ã có nhi u l iớ ị ườ ả ậ ừ à đầ đ ề ợ
ích c ch p thu n v s s d ng v c d oán l s phát đượ ấ ậ à ự ử ụ à đượ ự đ à ẽ
tri n nhanh chóng trong t ng lai. M c dù có c l i th ó, song ể ươ ặ đượ ợ ế đ
lo i thi t b n y không c xác nh rõ r ng h n các k thu t ạ ế ị à đượ đị à ơ ỹ ậ
c thi t l p nh firewall v antivirus. Các t i li u k thu t còn đượ ế ậ ư à à ệ ỹ ậ
m h , các thu t ng m h v s phát tri n s n ph m nhanh ơ ồ ậ ữ ơ ồ à ự ể ả ẩ
chóng l m o l n th tr ng t i i m m th t l khó xác nh à đả ộ ị ườ ớ đ ể à ậ à để đị
các s n ph m th c s l h th ng phát hi n xâm nh p HIPS (Host ả ẩ ự ự à ệ ố ệ ậ
Intrusion Prevention Systems).
5.2.3.2.a Các kh n ng c a h th ng ng n ch n xâm nh p t máy ả ă ủ ệ ố ă ặ ậ ừ
ch (HIPS):ủ
5
Tìm hiểu hệ thống Firewall và ứng dụng Firewall trong thực tế
LỜI NÓI ĐẦU
Máy tính và mạng máy tính có vai trò hết sức quan trọng trong cuộc sống
ngày nay. Ngày nay trong bất kỳ lĩnh vực nào cũng cần đến máy tính, máy tính
rất hữu ích với chúng ta. Chính nhờ có máy tính và sự phát triển của nó đã làm
cho khoa học kỹ thuật phát triển vượt bậc, kinh tế phát triển nhanh chóng và thần
kỳ.
Cùng với sự ra đời và phát triển của máy tính và mạng máy tính là vấn đề bảo
mật thông tin, ngăn chặn sự xâm phạm và đánh cắp thông tin trong máy tính và
thông tin cá nhân trên mạng máy tính khi mà ngày càng có nhiều hacker xâm
nhập và phá huỷ dữ liệu quan trọng làm thiệt hại đến kinh tế của công ty nhà
nước.
Được sự hướng dẫn nhiệt tình và chu đáo của cô giáo Đỗ Đình Hưng em đã
tìm hiểu và nghiên cứu đồ án tốt nghiệp: “Bảo mật mạng máy tính và Firewall”.
Đồ án trình bày những vấn đề tổng quan về bảo mật mạng, firewall, giới thiệu
về IDS, IPS - hai hệ thống bảo vệ mạng hiệu quả hiện nay.

Do nội dung đồ án rộng và bao gồm nhiều kiến thức mới mẻ, thời gian và
kiến thức còn hạn chế, việc nghiên cứu chủ yếu dựa trên lý thuyết nên chắc chắn
đề tài không tránh khởi những thiếu sót. Em rất mong nhận được sự đóng góp ý
kiến của thầy cô giáo và bạn bè.
Với lòng biết ơn sâu sắc, em xin chân thành cảm ơn thầy Đỗ Đình Hưng cùng
các thầy cô giáo trong khoa Điện Tử - Viễn Thông trường Đại Học Bách Khoa
Hà Nội và các anh trong phòng kỹ thuật trong công ty Cổ phần công nghệ Sao
Bắc Đẩu đã nhiệt tình hướng dẫn giúp đỡ em hoàn thành đợt thực tập này.
Cuối cùng xin cảm ơn bạn bè, người thân đã luôn bên tôi, kịp thời động viên
và giúp đỡ tôi trong thời gian vừa qua.
Em xin chân thành cảm ơn !
6
Tìm hiểu hệ thống Firewall và ứng dụng Firewall trong thực tế
Hà Nội, tháng 5 năm 2014
Sinh viên
Tóm tắt đồ án
Tên đồ án: Bảo mật mạng máy tính & Firewalls
Với mục đích tìm hiểu về mạng máy tính và các vấn đề về bảo mật mạng, các
cách đảm bảo an ninh mạng như Firewall, IDS, IPS. Đồ án gồm hai phần chính:
Phần I: Tổng quan về mạng máy tính.
Phần II: Các chính sách bảo mật mạng.
Đồ án chia thành 6 chương:
Chương 1: Giới thiệu về máy tính và mạng máy tính.
Giới thiệu cấu trúc máy tính và tổng quan về mạng máy tính, các đặc
trưng, phân loại và một số mạng máy tính thông dụng hiện nay.
Chương 2: Chuẩn hóa mạng máy tính.
Giới thiệu tại sao cần chuẩn hóa mạng, mô hình tham chiếu 7 lớp OSI,
các giao thức mạng TCP/IP cũng như giới thiệu tổng quan về mạng
Internet.
Chương 3: Tổng quan về bảo mật mạng.

Giới thiệu tổng quan về bảo mật mạng, các hình thức tấn công, các
mức độ bảo mật, các biện pháp bảo vệ và kế hoạch thiết kế chính sách bảo
mật mạng.
Chương 4: Tổng quan về Firewall.
Giới thiệu tổng quan về Firewall chức năng, phân loại firewall, các
kiểu kiến trúc và các thành phần của firewall.
Chương 5: Tổng quan về hệ thống IDS và hệ thống IPS.
7
Tìm hiểu hệ thống Firewall và ứng dụng Firewall trong thực tế
Giới thiệu tổng quan về hai hệ thống pháp hiện xâm nhập và ngăn chặn
xâm nhập, định nghĩa, chức năng,vai trò thành phần và phân loại của
chúng.
Chương 6: Mô phỏng hệ thống Firewall.
Xây dựng hệ thống Firewall được dùng rộng rãi trong thực tế. Các
phần mềm sử dụng và các cách thức tiến hành mô phỏng.
Summary of final year project
Final year project’name: Computer network security and firewall
For learning purpose about computer network and issue of network security,
protections of netowrk security such as Firewall, IDS(instrusion detection
system) and IPS(Instrusion prevention system). Project include 2 main part:
Part I: Computer network overview.
Part II: Network security Prolicies.
This project is individed 6 chapters:
Chapter 1: Introduction to computer and computer network.
Introduction computer architechture and computer network overview,
characters, indivision and some common computer network now.
Chapter 2: Standard computer network.
Introduction to why standard network is needed, 7layer OSI reference
model, TCP/IP protocols, like introduction tion Internet network overview.
Chapter 3: Network security overview.

Network security overview, method of attracks, security levels, method
of security and plan design network security prolicies.
Chapter 4: Firewall overview.
8
Tìm hiểu hệ thống Firewall và ứng dụng Firewall trong thực tế
Introduction to characters of Firewall overview, division of Firewall,
architectures mode and mebers of Firewall.
Chapter 5: IDS and IPS overview.
Introduction to IDS and IPS overview, definition, feature, role, element
and indivision of them.
Chapter 6: Simulation Firewall System.
Build Firewall system that is use wide in fact. Sofwares are use and
methods proccess simulation.
_________________________________________________________________
_____
CÁC HÌNH VẼ SỬ DỤNG TRONG ĐỒ ÁN
Hình 1.1.1a: Cấu trúc tổng quát của máy tính 14
Hình 1.1.1b: Bộ xử lý trung tâm của máy tính (CPU) 15
Hình 1.1. 1c: Đơn vị điều khiển của CPU 16
Hình 1. 1.2: Các chức năng cơ bản của máy tính 17
Hình 1.2. 1: Mạng máy tính với bộ tiền xử lý 18
Hình 1.2.4.3.1: Mạng hình sao (Star) 25
Hình 1.2.4.3.2: Mạng hình vòng (Ring) 26
Hình 1.2.4.3.3: Mạng trục tuyến tính (Bus) 26
Hình 1.2.4.3.4: Mạng vô tuyến – Satellite (Vệ tinh) hoặc Radio 27
Hình 1.2.4.3.5: Mạng kết nối hỗn hợp 28
9
Tìm hiểu hệ thống Firewall và ứng dụng Firewall trong thực tế
Hình 1.2.5.2: Mạng diện rộng với kết nối LAN to LAN 30
Hình 2.2.2: Mô hình tham chiếu OSI 7 lớp 33

Hình 2. 2.4: Quá trình truyền dữ liệu trong mô hình OSI 36
Hình 2.3.1.1a: Mô hình OSI và mô hình kiến trúc của TCP/IP 38
Hình 2.3.1.1.b: Cấu trúc dữ liệu tại các lớp của TCP/IP 39
Hình 2.3.1.2.1a: Cách đánh địa chỉ TCP/IP 40
Hình 2.3.1.2.1b: Bổ sung vùng subnetid 41
Hình 2.3.1.2a: Cấu trúc gói dữ liệu TCP/IP 42
Hình 2.3.1.2.2c: Cổng truy nhập dịch vụ TCP 43
Hình 2.3.1.3: Dùng các gateway để gửi các gói dữ liệu 44
Hình 3.1 Sơ đồ mạng thông dụng hiện nay 48
Hình 3.3 Các mức độ bảo mật mạng 50
Hình 4.2.a: Stateless Firewall 63
Hình 4.2.b: Stateful Firewall 64
Hình 4.2.c: Deep Packet Layer Firewall 64
Hình 4.2.1a: Giao diện PIX 65
Hình 4.2.1b: Bố trí NetScreen Firewall 66
Hình 4.3.1: Sơ đồ kiến trúc Dual–homed Host 67
Hình 4.3.2: Sơ đồ kiến trúc Screened Host 69
Hình 4.3.3: Sơ đồ kiến trúc Screened Subnet Host 70
Hình 4.4.1: Sơ đồ làm việc của Packet Filtering 72
10
Tìm hiểu hệ thống Firewall và ứng dụng Firewall trong thực tế
Hình 4.4.2: Kết nối giữa người dùng (Client) với Server qua Proxy 74
Hình 4.4.3: Kết nối qua cổng vòng (Circuit–Level Gateway 77
Hình 5.1.3.1:ổng quan về Network-Based IDS 80
Hình 5.1.3.1b: Kiến trúc Network-Based IDS 80
Hình 5.1.3.1c: Bố trí Network-Based IDS Sensor 81
Hình 5.1.3.2a: Cấu trúc của Host Sensor Agent 83
Hình 5.1.3.2b: Triển khai Host IDS 84
Hình 5.2.3.1: Triển khai Intrusion Prevention Sensor 88
Hình 5.2.3.2 : Xử lý điều khiển truy nhập 93

Các từ viết tắt
ARP Address resolution protocol
ASYN Asychronous
CPU Central Processing Unit
11
Tìm hiểu hệ thống Firewall và ứng dụng Firewall trong thực tế
DNS Domain Name System
EDVAC Electronic Discrete Variable Computer
ENIAC Electronic Numerical Integrator And Computer
FTP File Transfer Protocol
GAN Global Area Network
HIDS Host-based Instrusion Detection System
HIPS Host-based Instrusion Prevension System
HTML Hyper Text Markup Language
HTTP Hyper Text Transport Protocol
IP Internet Protocol
ICMP Internet control message protocol
IGMP Internet group management protocol
ISDN Integated Services Digital Network
IDS Instrusion Detection System
IPS Instrusion Prevension System
LAN Local Area Network
MAC Media Access Control
MAN Metropolitan Area Network
NIC Network Interface Card
NIDS Network-based Instrusion Detection System
NIPS Network-based Instrusion Prevension System
NSF National Science Foundation
RARP Reverse address resolution protocol
RCP Remote Call Procedure

RIP Routing Information Protocol
SH Session Header
SLIP Serial Line Internet Protocol
12
Tìm hiểu hệ thống Firewall và ứng dụng Firewall trong thực tế
SMTP Simple Mail Transfer Protocol
SNMP Simple Network Management Protocol
RST Reset
SYN Sychronous
TCP Transmission Control Protocol
TFTP Trivial File Transfer Protocol
TTL Time To Live
VER Version
WAN Wide Area Network
13
Tìm hiểu hệ thống Firewall và ứng dụng Firewall trong thực tế
PHẦN I: TỔNG QUAN VỀ MẠNG MÁY TÍNH
CHƯƠNG 1: GIỚI THIỆU VỀ MÁY TÍNH VÀ MẠNG MÁY TÍNH
1.1. Lịch sử máy tính
1.1.1. Cấu trúc tổng quát của máy tính
Máy tính là một hệ thống phức tạp với hàng triệu thành phần điện tử cơ sở. Ở
mức đơn giản nhất, máy tính có thể được xem như một thực thể tương tác theo
một cách thức nào đó với môi trường bên ngoài. Một cách tổng quát, các mối
quan hệ của nó với môi trường bên ngoài có thể phân loại thành các thiết bị
ngoại vi hay đường liên lạc.
Hình 1.1.1a: Cấu trúc tổng quát của máy tính
14
Tìm hiểu hệ thống Firewall và ứng dụng Firewall trong thực tế
 Thành phần chính, quan trọng nhất của máy tính là Đơn vị xử lý trung tâm
(CPU – Central Processing Unit): Điều khiển hoạt động của máy tính và thực

hiện các chức năng xử lý dữ liệu.
Hình 1.1.1b: Bộ xử lý trung tâm của máy tính (CPU)
CPU thường được đề cập đến với tên gọi bộ xử lý. Máy tính có thể có một
hoặc nhiều thành phần nói trên, ví dụ như một hoặc nhiều CPU. Trước đây đa
phần các máy tính chỉ có một CPU nhưng gần đây có sự gia tăng sử dụng nhiều
CPU trong một hệ thống máy đơn. CPU luôn luôn là đối tượng quan trọng vì đây
là thành phần phức tạp nhất của hệ thống. Cấu trúc của CPU gồm các thành phần
chính:
- Đơn vị điều khiển: Điều khiển hoạt động của CPU và do đó điều khiển hoạt
động của máy tính.
- Đơn vị luận lý và số học (ALU – Arithmetic and Logic Unit): Thực hiện các
chức năng xử lý dữ liệu của máy tính.
- Tập thanh ghi: Cung cấp nơi lưu trữ bên trong CPU.
15
Tìm hiểu hệ thống Firewall và ứng dụng Firewall trong thực tế
- Thành phần nối kết nội CPU: Cơ chế cung cấp khả năng liên lạc giữa đơn vị
điều khiển, ALU và tập thanh ghi.
Trong các thành phần con nói trên của CPU, đơn vị điều khiển lại giữ vai trò
quan trọng nhất. Sự cài đặt đơn vị này dẫn đến một khái niệm nền tảng trong chế
tạo bộ vi xử lý máy tính. Đó là khái niệm vi lập trình. Hình dưới đây mô tả tổ
chức bên trong một đơn vị điều khiển với ba thành phần chính gồm:
- Bộ lập dãy logic.
- Bộ giải mã và tập các thanh ghi điều khiển.
- Bộ nhớ điều khiển.
Hình 1.1. 1c: Đơn vị điều khiển của CPU
Các thành phần khác của máy tính:
 Bộ nhớ chính: Dùng để lưu trữ dữ liệu.
 Các thành phần nhập xuất: Dùng để di chuyển dữ liệu giữa máy tính và môi
trường bên ngoài.
16

Tìm hiểu hệ thống Firewall và ứng dụng Firewall trong thực tế
 Các thành phần nối kết hệ thống: Cung cấp cơ chế liên lạc giữa CPU, bộ
nhớ chính và các thành phần nhập xuất.
1.1.2. Chức năng của máy tính
Một cách tổng quát, một máy tính có thể thực hiện bốn chức năng cơ bản sau:
- Di chuyển dữ liệu.
- Điều khiển.
- Lưu trữ dữ liệu.
- Xử lý dữ liệu.
Hình 1. 1.2: Các chức năng cơ bản của máy tính
 Xử lý dữ liệu: Máy tính phải có khả năng xử lý dữ liệu. Dữ liệu có thể có
rất nhiều dạng và phạm vi yêu cầu xử lý cũng rất rộng. Tuy nhiên chỉ có một số
phương pháp cơ bản trong xử lý dữ liệu.
 Lưu trữ dữ liệu: Máy tính cũng cần phải có khả năng lưu trữ dữ liệu. Ngay
cả khi máy tính đang xử lý dữ liệu, nó vẫn phải lưu trữ tạm thời tại mỗi thời
điểm phần dữ liệu đang được xử lý. Do vậy cần thiết phải có chức năng lưu trữ
ngắn hạn. Tuy nhiên, chức năng lưu trữ dài hạn cũng có tầm quan trọng tương
17
Điều
khiển
Di
chuyển
dữ liệu
Lưu trữ
dữ liệu
Xử lý
dữ liệu
Tìm hiểu hệ thống Firewall và ứng dụng Firewall trong thực tế
đãng đối với dữ liệu cần được lưu trữ trên máy cho những lần cập nhật và tìm
kiếm kế tiếp.

 Di chuyển dữ liệu: Máy tính phải có khả năng di chuyển dữ liệu giữa nó và
thế giới bên ngoài. Khả năng này được thể hiện thông qua việc di chuyển dữ liệu
giữa máy tính với các thiết bị nối kết trực tiếp hay từ xa đến nó. Tùy thuộc vào
kiểu kết nối và cự ly di chuyển dữ liệu, mà có tiến trình nhập xuất dữ liệu hay
truyền dữ liệu:
- Tiến trình nhập xuất dữ liệu: Thực hiện di chuyển dữ liệu trong cự ly ngắn
giữa máy tính và thiết bị nối kết trực tiếp.
- Tiến trình truyền dữ liệu: Thực hiện di chuyển dữ liệu trong cự ly xa giữa
máy tính và thiết bị nối kết từ xa.
- Điều khiển: Bên trong hệ thống máy tính, đơn vị điều khiển có nhiệm vụ
quản lý các tài nguyên máy tính và điều phối sự vận hành của các thành phần
chức năng phù hợp với yêu cầu nhận được từ người sử dụng.
1.2 Mạng máy tính
Mạng máy tính là một hệ thống kết nối các máy tính đơn lẻ thông qua các
đường truyền vật lý theo một kiến trúc nào đó.
Đường truyền vật lý dùng để chuyển các tín hiệu số hay tín hiệu tương tự
giữa các máy tính. Đường truyền vật lý thường là:
- Đường dây điện thoại thông thường.
- Cáp đồng trục.
- Sóng vô tuyến điện từ.
- Cáp sợi quang.
1.2.1. Lịch sử phát triển mạng máy tính
18
Tìm hiểu hệ thống Firewall và ứng dụng Firewall trong thực tế
Từ những năm 60, đã xuất hiện những mạng nối các máy tính và các
Terminal để sử dụng chung nguồn tài nguyên, giảm chi phí khi muốn thông tin,
trao đổi số liệu và sử dụng trong công tác văn phòng một cách tiện lợi.
Hình 1.2. 1: Mạng máy tính với bộ tiền xử lý.
Việc tăng nhanh các máy tính mini, các máy tính cá nhân làm tăng nhu cầu
truyền số liệu giữa các máy tính, các Terminal và giữa các Terminal với các máy

tính là một trong những động lực thúc đẩy sự ra đời và phát triển ngày càng
mạnh mẽ các mạng máy tính. Quá trình hình thành mạng máy tính có thể tóm tắt
qua một số thời điểm chính sau:
Những năm 60: Để tận dụng công suất của máy tính, người ta ghép nối các
Terminal vào một máy tính được gọi là máy tính trung tâm (main frame). Máy
tính trung tâm làm tất cả mọi việc từ quản lý các thủ tục truyền dữ liệu, quản lý
quá trình đồng bộ của các trạm cuối, cho đến việc xử lý các ngắt từ các trạm
cuối.
19
Tìm hiểu hệ thống Firewall và ứng dụng Firewall trong thực tế
Những năm 70: Các máy tính đã được nối với nhau trực tiếp thành một mạng
máy tính nhằm phân tán tải của hệ thống và tăng độ tin cậy và người ta đã bắt
đầu xây dựng mạng truyền thông trong đó các thành phần chính của nó là các nút
mạng (node) gọi là bộ chuyển mạch, dùng để hướng thông tin tới đích.
Từ thập kỷ 80 trở đi: Việc kết nối mạng máy tính đã bắt đầu được thực hiện
rộng rãi nhờ tỷ lệ giữa giá thành máy tính và chi phí truyền tin đã giảm đi rõ rệt
do sự bùng nổ của các thế hệ máy tính cá nhân.
1.2.2. Nhu cầu và mục đích của việc kết nối các máy tính thành mạng
Việc nối máy tính thành mạng từ lâu đã trở thành một nhu cầu khách quan bởi vì:
– Có rất nhiều công việc về bản chất là phân tán hoặc về thông tin, hoặc về
xử lý hoặc cả hai đòi hỏi có sự kết hợp truyền thông với xử lý hoặc sử dụng
phương tiện từ xa.
– Chia sẻ các tài nguyên trên mạng cho nhiều người sử dụng tại một thời điểm
(ổ cứng, máy in, ổ CD ROM ).
– Nhu cầu liên lạc, trao đổi thông tin nhờ phương tiện máy tính.
– Các ứng dụng phần mềm đòi hòi tại một thời điểm cần có nhiều người sử
dụng, truy cập vào cùng một cơ sở dữ liệu.
Chính vì vậy, việc kết nối các máy tính thành mạng nhằm mục đích:
 Chia sẻ tài nguyên:
- Chia sẻ dữ liệu: Về nguyên tắc, bất kỳ người sử dụng nào trên mạng đều

có quyền truy nhập, khai thác và sử dụng những tài nguyên chung của mạng
(thường là server).
- Chia sẻ phần cứng: Tài nguyên chung của mạng cũng bao gồm các máy
móc, thiết bị như: Máy in (Printer), máy quét (Scanner), ổ đĩa mềm (Floppy), ổ
20
Tìm hiểu hệ thống Firewall và ứng dụng Firewall trong thực tế
đĩa CD (CD Rom) được nối vào mạng. Thông qua mạng máy tính, người sử
dụng có thể sử dụng những tài nguyên phần cứng này ngay cả khi máy tính của
họ không có những phần cứng đó.
 Duy trì và bảo vệ dữ liệu: Một mạng máy tính có thể cho phép các dữ liệu
được tự động lưu trữ dự phòng tới một trung tâm nào đó trong mạng. Công việc
này là hết sức khó khăn và tốn nhiều thời gian nếu phải làm trên từng máy độc
lập. Hơn nữa, mạng máy tính còn cung cấp một môi trường bảo mật an toàn cho
mạng qua việc cung cấp cơ chế bảo mật (security) bằng mật khẩu (password) đối
với từng người sử dụng, hạn chế được việc sao chép, mất mát thông tin ngoài ý
muốn.
 Nâng cao độ tin cậy của hệ thống nhờ khả năng thay thế cho nhau khi xảy ra
sự cố kỹ thuật đối với một máy tính nào đó trong mạng.
 Khai thác có hiệu quả các cơ sở dữ liệu tập trung và phân tán, nâng cao khả
năng tích hợp và trao đổi các loại dữ liệu giữa các máy tính trên mạng.
1.2.3. Đặc trưng kỹ thuật của mạng máy tính
1.2.3.1. Đường truyền
Là thành tố quan trọng của một mạng máy tính, là phương tiện dùng để
truyền các tín hiệu điện tử giữa các máy tính. Các tín hiệu điệu tử đó chính là các
thông tin, dữ liệu được biểu thị dưới dạng các xung nhị phân (On – Off), mọi tín
hiệu truyền giữa các máy tính với nhau đều thuộc sóng điện từ.
- Các tần số radio có thể truyền bằng cáp điện (dây xoắn đôi hoặc đồng trục)
hoặc bằng phương tiện quảng bá (radio broadcasting).
- Sóng cực ngắn (viba) thường được dùng để truyền giữa các trạm mặt đất và
các vệ tinh. Chúng cũng được dùng để truyền các tín hiệu quảng bá từ một trạm

21
Tìm hiểu hệ thống Firewall và ứng dụng Firewall trong thực tế
phát đến nhiều trạm thu. Mạng điện thoại “tổ ong” (cellular phone network) là
một ví dụ cho cách dùng này.
- Tia hồng ngoại là lý tưởng đối với nhiều loại truyền thông mạng. Tia hồng
ngoại và các tần số cao hơn của ánh sáng có thể được truyền qua cáp sợi quang.
Các đặc trưng cơ bản của đường truyền là giải thông (bandwidth), độ suy hao
và độ nhiễu điện từ.
- Dải thông của một đường truyền chính là độ đo phạm vi tần số mà nó có thể
đáp ứng được, nó biểu thị khả năng truyền tải tín hiệu của đường truyền. Tốc độ
truyền dữ liệu trên đường truyền được gọi là thông lượng (throughput) của
đường truyền, thường được tính bằng số lượng bit được truyền đi trong một giây
(bps). Giải thông của cáp truyền phụ thuộc vào độ dài cáp (nói chung cáp ngắn
có thể có giải thông lớn hơn so với cáp dài). Bởi vậy, khi thiết kế cáp cho mạng
cần thiết phải chỉ rõ độ dài chạy cáp tối đa vì ngoài giới hạn đó chất lượng truyền
tín hiệu không còn được đảm bảo.
- Độ suy hao của một đường truyền là độ đo sự yếu đi của tín hiệu trên đường
truyền đó, nó cũng phụ thuộc vào độ dài cáp. Còn độ nhiễu điện từ EMI
(Electromangetic Interference) gây ra bởi tiếng ồn từ bên ngoài làm ảnh hưởng
đến tín hiệu trên đường truyền.
Thông thuờng người ta hay phân loại đường truyền theo hai loại:
• Đường truyền hữu tuyến: các máy tính được nối với nhau bằng các dây cáp
mạng. Đường truyền hữu tuyến gồm có:
- Cáp đồng trục (Coaxial cable).
- Cáp xoắn đôi (Twisted pair cable) gồm 2 loại có bọc kim (stp – shielded
twisted pair) và không bọc kim (utp – unshielded twisted pair).
22
Tìm hiểu hệ thống Firewall và ứng dụng Firewall trong thực tế
- Cáp sợi quang (Fiber optic cable).
• Đường truyền vô tuyến: các máy tính truyền tín hiệu với nhau thông qua các

sóng vô tuyến với các thiết bị điều chế/giải điều chế ở các đầu mút. Đường
truyền vô tuyến gồm có:
- Radio.
- Sóng cực ngắn (Viba).
- Tia hồng ngoại (Infrared).
1.2.3.2. Kiến trúc mạng
Kiến trúc mạng (network architecture) thể hiện cách nối giữa các máy tính
trong mạng và tập hợp các quy tắc, quy ước nào đó mà tất cả các thực thể tham
gia truyền thông trên mạng phải tuân theo để đảm bảo cho mạng hoạt động tốt.
1.2.3.2.1. Hình trạng mạng
Hình trạng mạng là cách kết nối các máy tính với nhau về mặt hình học mà
ta gọi là “topology” của mạng.
Có 2 kiểu nối mạng chủ yếu là điểm – điểm (point to point) và điểm – đa
điểm (point to multipoint).
- Theo kiểu điểm – điểm: Các đường truyền nối từng cặp nút với nhau và
mỗi nút đều có trách nhiệm lưu trữ tạm thời sau đó chuyển tiếp dữ liệu đi cho tới
đích. Một số mạng có cấu trúc điểm – điểm như: mạng hình sao, mạng chu trình,
…
- Theo kiểu điểm – đa điểm: Tất cả các nút phân chia chung một đường
truyền vật lý. Dữ liệu gửi đi từ một nút nào đó sẽ có thể được tiếp nhận bởi tất cả
các nút còn lại. Bởi vậy cần chỉ ra địa chỉ đích của dữ liệu để mỗi nút căn cứ vào
đó kiểm tra xem dữ liệu có phải gửi cho mình hay không. Mạng trục tuyến tính
23
Tìm hiểu hệ thống Firewall và ứng dụng Firewall trong thực tế
(bus), mạng hình vòng (ring), mạng vệ tinh (satellite) hay radio là những mạng
có cấu trúc điểm – đa điểm phổ biến.
1.2.3.2.2. Giao thức mạng
Việc trao đổi thông tin dù là đơn giản nhất, cũng phải tuân theo những quy
tắc nhất định. Đơn giản như khi hai người nói chuyện với nhau muốn cho cuộc
nói chuyện có kết quả thì ít nhất cả hai cũng phải ngầm hiểu và tuân thủ quy ước:

khi một người nói thì người kia phải nghe và ngược lại. Việc truyền thông trên
mạng cũng vậy, cần có các quy tắc, quy ước truyền thông về nhiều mặt: khuôn
dạng cú pháp của dữ liệu, các thủ tục gửi, nhận dữ liệu, kiểm soát hiệu quả và
chất lượng truyền tin Tập hợp những quy tắc quy ước truyền thông đó được
gọi là giao thức của mạng (network protocol).
Có rất nhiều giao thức mạng, các mạng có thể sử dụng các giao thức khác
nhau tùy sự lựa chọn của người thiết kế. Tuy vậy, các giao thức thường gặp nhất
là: TCP/IP, NETBIOS, IPX/SPX,
1.2.3.3. Hệ điều hành mạng
Hệ điều hành mạng là một phần mềm hệ thống có các chức năng sau:
- Quản lý tài nguyên của hệ thống, các tài nguyên này gồm:
Tài nguyên thông tin (về phương diện lưu trữ) hay nói một cách đơn giản là
quản lý tệp. Các công việc về lưu trữ, tìm kiếm, xoá, copy, nhóm, đặt các thuộc
tính cho tệp đều thuộc nhóm công việc này.
Tài nguyên thiết bị. Điều phối việc sử dụng CPU, các ngoại vi để tối ưu hoá
việc sử dụng.
- Quản lý người dùng và các công việc trên hệ thống: Hệ điều hành đảm bảo
giao tiếp giữa người sử dụng, chương trình ứng dụng với thiết bị của hệ thống.
- Cung cấp các tiện ích cho việc khai thác hệ thống thuận lợi (ví dụ format
đĩa, sao chép tệp và thư mục, in ấn chung )
24
Tìm hiểu hệ thống Firewall và ứng dụng Firewall trong thực tế
Các hệ điều hành mạng thông dụng nhất hiện nay là: WindowsNT,
Windows9x, Windows 2000, Unix, Novell …
1.2.4. Phân loại mạng máy tính:
Có nhiều cách phân loại mạng khác nhau tùy thuộc vào yếu tố chính được
chọn làm chỉ tiêu phân loại như:
- Khoảng cách địa lý của mạng.
- Kỹ thuật chuyển mạch áp dụng trong mạng.
- Hình trạng mạng.

- Giao thức mạng sử dụng.
- Hệ điều hành mạng sử dụng
1.2.4.1. Phân loại mạng theo khoảng cách địa lý:
Mạng máy tính có thể phân bổ trên một vùng lãnh thổ nhất định và cũng có
thể phân bổ trong phạm vi một quốc gia hay rộng hơn nữa là toàn thế giới. Dựa
vào phạm vi phân bổ của mạng, người ta có thể phân ra các loại mạng như sau:
1.2.4.1.1. Mạng toàn cầu (GAN – Global Area Network)
Là mạng kết nối các máy tính từ các châu lục khác nhau. Thông thường kết
nối này được thực hiện thông qua mạng viễn thông và vệ tinh.
1.2.4.1.1. Mạng diện rộng (WAN – Wide Area Network)
Là mạng kết nối các máy tính trong nội bộ các quốc gia hay giữa các quốc gia
trong cùng một châu lục. Thông thường các kết nối này được thực hiện thông
qua mạng viễn thông. Các WAN có thể kết nối với nhau tạo thành GAN hay tự
nó cũng có thể xem là một GAN.
1.2.4.1.2. Mạng đô thị (MAN – Metropolitan Area Network)
25