Tải bản đầy đủ (.doc) (63 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật

đồ án bảo mật tường lửa ASTARO

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.64 MB, 63 trang )

CHƯƠNG I: TỔNG QUAN VỀ FIREWALL
1.1. KHÁI NIỆM VỀ FIREWALL
1.1.1. Firewall là gì?
Thuật ngữ firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn
chặn, hạn chế hỏa hoạn. Trong công nghệ thông tin, Firewall là một kỹ thuật được tích
hợp vào hệ thống mạng để chống sự truy cập trái phép nhằm bảo vệ các nguồn thông tin
nội bộ cũng như hạn chế sự xâm nhập vào hệ thống cuả một số thông tin khác không
mong muốn. Cũng có thể hiểu rằng Firewall là một cơ chế để bảo vệ mạng tin tưởng
(trusted network) khỏi các mạng không tin tưởng (untrusted network).
Một cách vắn tắt, tường lửa (firewall) là hệ thống ngăn chặn việc truy nhập trái
phép từ bên ngoài vào mạng. Tường lửa thực hiện việc lọc bỏ những địa chỉ không hợp lệ
dựa theo các quy tắc hay chỉ tiêu định trước.
Tường lửa có thể là hệ thống phần cứng, phần mềm hoặc kết hợp cả hai. Nếu là
phần cứng, nó chỉ bao gồm duy nhất bộ định tuyến (router). Bộ định tuyến có các tính
năng bảo mật cao cấp, trong đó có khả năng kiểm soát địa chỉ IP (IP Address ố là sơ đồ
địa chỉ hoá để định nghĩa các trạm (host) trong liên mạng). Quy trình kiểm soát cho phép
bạn định ra những địa chỉ IP có thể kết nối với mạng của bạn và ngược lại. Tính chất
chung của các tường lửa là phân biệt địa chỉ IP hay từ chối việc truy nhập không hợp
pháp căn cứ trên địa chỉ nguồn.
1.1.2. Sự ra đời của Firewall
Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn
chặn, hạn chế hỏa hoạn.
Trong công nghệ mạng thông tin, Firewall là một kỹ thuật được tích hợp vào hệ
thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và
hạn chế sự xâm nhập không mong muốn vào hệ thống. Cũng có thể hiểu Firewall là một
cơ chế (Mechanism) để bảo vệ mạng tin tưởng (Trusted network) khỏi các mạng không
tin tưởng (Untrusted network).
GVHD: NGUYỄN DUY SVTH: LÊ CHÍ NÀO
CAM THỊ MỸ BÌNH
1/63 NGUYỄN BẢO QUỐC
ĐINH HIẾU NHÂN


Thông thường Firewall được đặt giữa mạng bên trong (Intranet) của một công ty,
tổ chức, ngành hay một quốc gia, và Internet. Vai trò chính là bảo mật thông tin, ngăn
chặn sự truy nhập không mong muốn từ bên ngoài (Internet) và cấm truy nhập từ bên
trong (Intranet) tới một số địa chỉ nhất định trên Internet.
Internet FireWall là một tập hợp thiết bị (bao gồm phần cứng và phần mềm) giữa
mạng của một tổ chức, một công ty, hay một quốc gia (Intranet) và Internet: (INTRANET
- FIREWALL - INTERNET)
Trong một số trường hợp, Firewall có thể được thiết lập ở trong cùng một mạng
nội bộ và cô lập các miền an toàn. Ví dụ như một mạng cục bộ sử dụng Firewall để ngăn
cách phòng máy và hệ thống mạng ở tầng dưới.
Một Firewall Internet có thể giúp ngăn chặn người ngoài trên Internet không xâm
nhập được vào máy tính.
Một Firewall làm việc bằng cách kiểm tra thông tin đến và ra Internet. Nó nhận
dạng và bỏ qua các thông tin đến từ một nơi nguy hiểm hoặc có vẻ nghi ngờ. Nếu bạn cài
đặt Firewall của bạn một cách thích hợp, các tin tặc tìm kiếm các máy tính dễ bị tấn công
không thể phát hiện ra máy tính.
Firewall là một giải pháp dựa trên phần cứng hoặc phần mềm dùng để kiểm tra các
dữ liệu. Một lời khuyên là nên sử dụng firewall cho bất kỳ máy tính hay mạng nào có kết
nối tới Internet. Đối với kết nối Internet băng thông rộng thì Firewall càng quan trọng, bởi
vì đây là loại kết nối thường xuyên bật (always on) nên những tin tặc sẽ có nhiều thời
gian hơn khi muốn tìm cách đột nhập vào máy tính. Kết nối băng thông rộng cũng thuận
lợi hơn cho tin tặc khi được sử dụng để làm phương tiện tiếp tục tấn công các máy tính
khác.
1.1.3. Mục đích của Firewall
Với Firewall, người sử dụng có thể yên tâm đang được thực thi quyền giám sát các
dữ liệu truyền thông giữa máy tính của họ với các máy tính hay hệ thống khác. Có thể
xem Firewall là một người bảo vệ có nhiệm vụ kiểm tra "giấy thông hành" của bất cứ gói
dữ liệu nào đi vào máy tính hay đi ra khỏi máy tính của người sử dụng, chỉ cho phép
những gói dữ liệu hợp lệ đi qua và loại bỏ tất cả các gói dữ liệu không hợp lệ.
GVHD: NGUYỄN DUY SVTH: LÊ CHÍ NÀO

CAM THỊ MỸ BÌNH
2/63 NGUYỄN BẢO QUỐC
ĐINH HIẾU NHÂN
Các giải pháp Firewall là thực sự cần thiết, xuất phát từ chính cách thức các dữ liệu
di chuyển trên Internet. Giả sử gửi cho người thân của mình một bức thư thì để bức thư
đó được chuyển qua mạng Internet, trước hết phải được phân chia thành từng gói nhỏ.
Các gói dữ liệu này sẽ tìm các con đường tối ưu nhất để tới địa chỉ người nhận thư và sau
đó lắp ráp lại (theo thứ tự đã được đánh số trước đó) và khôi phục nguyên dạng như ban
đầu. Việc phân chia thành gói làm đơn giản hoá việc chuyển dữ liệu trên Internet nhưng
có thể dẫn tới một số vấn đề. Nếu một người nào đó với dụng ý không tốt gửi tới một số
gói dữ liệu, nhưng lại cài bẫy làm cho máy tính của không biết cần phải xử lý các gói dữ
liệu này như thế nào hoặc làm cho các gói dữ liệu lắp ghép theo thứ tự sai, thì có thể nắm
quyền kiểm soát từ xa đối với máy tính của và gây nên những vấn đề nghiêm trọng. Kẻ
nắm quyền kiểm soát trái phép sau đó có thể sử dụng kết nối Internet của để phát động
các cuộc tấn công khác mà không bị lộ tung tích của mình.
Firewall sẽ đảm bảo tất cả các dữ liệu đi vào là hợp lệ, ngăn ngừa những người sử
dụng bên ngoài đoạt quyền kiểm soát đối với máy tính của bạn. Chức năng kiểm soát các
dữ liệu đi ra của Firewall cũng rất quan trọng vì sẽ ngăn ngừa những kẻ xâm nhập trái
phép "cấy" những virus có hại vào máy tính của để phát động các cuộc tấn công cửa sau
tới những máy tính khác trên mạng Internet.

Hình 1.1. Firewall được đặt ở giữa mạng riêng và mạng công cộng
GVHD: NGUYỄN DUY SVTH: LÊ CHÍ NÀO
CAM THỊ MỸ BÌNH
3/63 NGUYỄN BẢO QUỐC
ĐINH HIẾU NHÂN
Một Firewall gồm có ít nhất hai giao diện mạng: Chung và riêng, giao diện chung
kết nối với Internet, là phía mà mọi người có thể truy cập, giao diện riêng là phía mà chứa
các dữ liệu được bảo vệ. Trên một Firewall có thể có nhiều giao diện riêng tuỳ thuộc vào
số đoạn mạng cần được tách rời. Ứng với mỗi giao diện có một bộ quy tắc bảo vệ riêng để

xác định kiểu lưu thông có thể qua từ những mạng chung và mạng riêng.
Firewall cũng có thể làm được nhiều việc hơn và cũng có nhiều thuận lợi và khó
khăn. Thông thường nhà quản trị mạng sử dụng Firewall như một thiết bị đầu nối VPN,
máy chủ xác thực hoặc máy chủ DNS. Tuy nhiên như bất kì một thiết bị mạng khác,
nhiều dịch vụ hoạt động trên cùng một máy chủ thì các rủi ro càng nhiều .Do đó, một
Firewall không nên chạy nhiều dịch vụ.
Firewall là lớp bảo vệ thứ hai trong hệ thống mạng, lớp thứ nhất là bộ định tuyến ở
mức định tuyến sẽ cho phép hoặc bị từ chối các địa chỉ IP nào đó và phát hiện những gói
tin bất bình thường. Firewall xem những cổng nào là được phép hay từ chối. Firewall đôi
lúc cũng hữu ích cho những đoạn mạng nhỏ hoặc địa chỉ IP riêng lẻ. Bởi vì bộ định tuyến
thường làm việc quá tải, nên việc sử dụng bộ định tuyến để lọc ra bộ định tuyến IP đơn,
hoặc một lớp địa chỉ nhỏ có thể tạo ra một tải trọng không cần thiết.
Firewall có ích cho việc bảo vể những mạng từ những lưu lượng không mong
muốn. Nếu một mạng không có các máy chủ công cộng thì Firewall là công cụ rất tốt để
từ chối những lưu lượng đi vào, những lưu lượng mà không bắt đầu từ một máy ở sau
Firewall, Một Firewall cũng có thể được cấu hình để từ chối tất cả các lưu lượng ngoại trừ
cổng 53 đã dành riêng cho máy chủ DNS.
GVHD: NGUYỄN DUY SVTH: LÊ CHÍ NÀO
CAM THỊ MỸ BÌNH
4/63 NGUYỄN BẢO QUỐC
ĐINH HIẾU NHÂN
Hình 1.2. Mạng gồm có Firewall và các máy chủ
Sức mạnh của Firewall nằm trong khả năng lọc lưu lượng dựa trên một tập hợp
các quy tắc bảo vệ, còn gọi là quy tắc bảo vệ do các nhà quản trị đưa vào. Đây cũng có
thể là nhược điểm lớn nhất của Firewall, bộ quy tắc xấu hoặc không đầy đủ có thể mở lối
cho kẻ tấn công, và mạng có thể không được an toàn.
Nhiều nhà quản trị mạng không nghĩ rằng Firewall hoạt động như một thiết bị
mạng phức tạp. Người ta quan tâm nhiều đến việc giữ lại những lưu lượng không mong
muốn đến mạng riêng, ít quan tâm đến việc giữ lại những lưu lượng không mong muốn
đến mạng công cộng. Nên quan tâm đến cả hai kiểu của tập các quy luật bảo vệ. Nếu một

kẻ tấn công muốn tìm cách xâm nhập vào một máy chủ, chúng không thể sử dụng máy
chủ đó để tấn công vào các thiết bị mạng ở xa.
Để bảo vệ và giúp cho các lưu lượng bên trong đoạn mạng các nhà quản lý thường
chạy hai bộ Firewall, bộ thứ nhất để bảo vệ toàn bộ mạng, và bộ còn lại để bảo vể các
đoạn mạng khác.
GVHD: NGUYỄN DUY SVTH: LÊ CHÍ NÀO
CAM THỊ MỸ BÌNH
5/63 NGUYỄN BẢO QUỐC
ĐINH HIẾU NHÂN
Nhiều lớp Firewall cũng cho phép các nhà quản trị an toàn mạng kiểm soát tốt hơn
những dòng thông tin, đặc biệt là các cơ sở bên trong và bên ngoài công ty phải xử lý các
thông tin nhảy cảm. Các hoạt động trao đổi thông tin có thể cho phép trên phần nào đó
của mạng thì có thể bị giới hạn trên những vùng nhạy cảm hơn.
Hình 1.3. Sử dụng nhiều Firewall nhằm tăng khả năng bảo mật
1.1.4. Các lựa chọn Firewall
Có một số công ty sản xuất sản phẩm Firewall và có hai loại để chọn: Firewall
phần cứng và Firewall phần mềm.
1.1.4.1. Firewall phần cứng
Về tổng thể, Firewall phần cứng cung cấp mức độ bảo vệ cao hơn so với Firewall
phần mềm và dễ bảo trì hơn. Firewall phần cứng cũng có một ưu điểm khác là không
chiếm dụng tài nguyên hệ thống trên máy tính như Firewall phần mềm.
Firewall phần cứng là một lựa chọn rất tốt đối với các doanh nghiệp nhỏ, đặc biệt
cho những công ty có chia sẻ kết nối Internet. Có thể kết hợp Firewall và một bộ định
tuyến trên cùng một hệ thống phần cứng và sử dụng hệ thống này để bảo vệ cho toàn bộ
GVHD: NGUYỄN DUY SVTH: LÊ CHÍ NÀO
CAM THỊ MỸ BÌNH
6/63 NGUYỄN BẢO QUỐC
ĐINH HIẾU NHÂN
mạng. Firewall phần cứng có thể là một lựa chọn đỡ tốn chi phí hơn so với Firewall phần
mềm thường phải cài trên mọi máy tính cá nhân trong mạng.

1.1.4.2. Firewall phần mềm
Nếu không muốn tốn tiền mua Firewall phần cứng thì bạn có thể sử dụng Firewall
phần mềm. Về giá cả, Firewall phần mềm thường không đắt bằng firewall phần cứng,
thậm chí một số còn miễn phí (phần mềm Comodo Firewall Pro 3.0, PC Tools Firewall
Plus 3.0, ZoneAlarm Firewall 7.1 …) và bạn có thể tải về từ mạng Internet.
So với Firewall phần cứng, Firewall phần mềm cho phép linh động hơn, nhất là khi
cần đặt lại các thiết lập cho phù hợp hơn với nhu cầu riêng của từng công ty. Chúng có
thể hoạt động tốt trên nhiều hệ thống khác nhau, khác với Firewall phần cứng tích hợp với
bộ định tuyến chỉ làm việc tốt trong mạng có qui mô nhỏ. Firewall phần mềm cũng là một
lựa chọn phù hợp đối với máy tính xách tay vì máy tính sẽ vẫn được bảo vệ cho dù mang
máy tính đi bất kỳ nơi nào.
Các Firewall phần mềm làm việc tốt với Windows 98, Windows ME và Windows
2000. Chúng là một lựa chọn tốt cho các máy tính đơn lẻ. Các công ty phần mềm khác
làm các tường lửa này. Chúng không cần thiết cho Windows XP bởi vì XP đã có một
tường lửa cài sẵn.
* Ưu điểm:
- Không yêu cầu phần cứng bổ sung.
- Không yêu cầu chạy thêm dây máy tính.
- Một lựa chọn tốt cho các máy tính đơn lẻ.
* Nhược điểm:
- Chi phí thêm: hầu hết các tường lửa phần mềm tốn chi phí.
- Việc cài đặt và và đặt cấu hình có thể cần để bắt đầu.
- Cần một bản sao riêng cho mỗi máy tính.
GVHD: NGUYỄN DUY SVTH: LÊ CHÍ NÀO
CAM THỊ MỸ BÌNH
7/63 NGUYỄN BẢO QUỐC
ĐINH HIẾU NHÂN
1.2. CHỨC NĂNG CỦA FIREWALL
FireWall quyết định những dịch vụ nào từ bên trong được phép truy cập từ bên
ngoài, những người nào từ bên ngoài được phép truy cập đến các dịch vụ bên trong, và cả

những dịch vụ nào bên ngoài được phép truy cập bởi những người bên trong.
1.2.1. Firewall bảo vệ những vấn đề gì?
Bảo vệ dữ liệu: Theo dõi luồng dữ liệu mạng giữa Internet và Intranet. Những
thông tin cần được bảo vệ do những yêu cầu sau:
- Bảo mật: Một số chức năng của Firewall là có thể cất giấu thông tin mạng tin
cậy và nội bộ so với mạng không đáng tin cậy và các mạng bên ngoài khác.
Firewall cũng cung cấp một mũi nhọn trung tâm để đảm bảo sự quản lý, rất có
lợi khi nguồn nhân lực và tài chính của một tổ chức có giới hạn.
- Tính toàn vẹn.
- Tính kịp thời.
Tài nguyên hệ thống.
Danh tiếng của công ty sở hữu các thông tin cần bảo vệ.
1.2.2. Firewall bảo vệ chống lại những vấn đề gì?
FireWall bảo vệ chống lại những sự tấn công từ bên ngoài.
1.2.2.1. Chống lại việc Hacking
Hacker là những người hiểu biết và sự dụng máy tính rất thành thạo và là những
người lập trình rất giỏi. Khi phân tích và khám phá ra các lổ hổng hệ thống nào đó, sẽ tìm
ra những cách thích hợp để truy cập và tấn công hệ thống. Có thể sử dụng các kỹ năng
khác nhau để tấn công vào hệ thống máy tính. Ví dụ có thể truy cập vào hệ thống mà
không được phép truy cập và tạo thông tin giả, lấy cắp thông tin. Nhiều công ty đang lo
ngại về dữ liệu bảo mật bị đánh cắp bởi các hacker. Vì vậy, để tìm ra các phương pháp để
bảo vệ dữ liệu thì Firewall có thể làm được điều này.
GVHD: NGUYỄN DUY SVTH: LÊ CHÍ NÀO
CAM THỊ MỸ BÌNH
8/63 NGUYỄN BẢO QUỐC
ĐINH HIẾU NHÂN
1.2.2.2. Chống lại việc sửa đổi mã
Khả năng này xảy ra khi một kẻ tấn công sửa đổi, xóa hoặc thay thế tính xác thực
của các đoạn mã bằng cách sử dụng virus, worm và những chương trình có chủ tâm. Khi
tải file trên internet có thể dẫn tới download các đọan mã có dã tâm, thiếu kiến thức về

bảo mật máy tính, những file download có thể thực thi những quyền theo mục đích của
những người dùng trên một số trang website.
1.2.2.3. Từ chối các dịch vụ đính kèm
Từ chối dịch vụ là một loại ngắt hoạt động của sự tấn công. Lời đe dọa tới tính liên
tục của hệ thống mạng là kết quả từ nhiều phương thức tấn công giống như làm tràn ngập
thông tin hay là sự sửa đổi đường đi không được phép. Bởi thuật ngữ làm tràn ngập thông
tin, là một người xâm nhập tạo ra môt số thông tin không xác thực để gia tăng lưu lượng
trên mạng và làm giảm các dịch vụ tới người dùng thực sự. Hoặc một kẻ tấn công có thể
ngắm ngầm phá hoại hệ thống máy tính và thêm vào phần mềm có dã tâm, mà phần mềm
này sẽ tấn công hệ thống theo thời gian xác đinh trước.
1.2.2.4. Tấn công trực tiếp
Cách thứ nhất: là dùng phương pháp dò mật khẩu trực tiếp. Thông qua các chương
trình dò tìm mật khẩu với một số thông tin về người sử dụng như ngày sinh, tuổi, địa chỉ
… và kết hợp với thư viện do người dùng tạo ra, kẻ tấn công có thể dò được mật khẩu.
Trong một số trường hợp khả năng thành công có thể lên tới 30%. Ví dụ như chương trình
dò tìm mật khẩu chạy trên hệ điều hành Unix có tên là Crack.
Cách thứ hai: là sử dụng lỗi của các chương trình ứng dụng và bản thân hệ điều
hành đã được sử dụng từ những vụ tấn công đầu tiên và vẫn được để chiếm quyền truy
cập (có được quyền của người quản trị hệ thống).
1.2.2.5. Nghe trộm
Có thể biết được tên, mật khẩu, các thông tin truyền qua mạng thông qua các
chương trình cho phép đưa giao tiếp mạng (NIC) vào chế độ nhận toàn bộ các thông tin
lưu truyền qua mạng.
GVHD: NGUYỄN DUY SVTH: LÊ CHÍ NÀO
CAM THỊ MỸ BÌNH
9/63 NGUYỄN BẢO QUỐC
ĐINH HIẾU NHÂN
1.2.2.6. Vô hiệu hoá các chức năng của hệ thống (Deny service)
Đây là kiểu tấn công nhằm làm tê liệt toàn bộ hệ thống không cho thực hiện các
chức năng được thiết kế. Kiểu tấn công này không thể ngăn chặn được do những phương

tiện tổ chức tấn công cũng chính là các phương tiện để làm việc và truy nhập thông tin
trên mạng.
1.2.2.7. Lỗi người quản trị hệ thống
Ngày nay, trình độ của các hacker ngày càng giỏi hơn, trong khi đó các hệ thống
mạng vẫn còn chậm chạp trong việc xử lý các lỗ hổng của mình. Điều này đòi hỏi người
quản trị mạng phải có kiến thức tốt về bảo mật mạng để có thể giữ vững an toàn cho
thông tin của hệ thống. Đối với người dùng cá nhân, không thể biết hết các thủ thuật để tự
xây dựng cho mình một Firewall, nhưng cũng nên hiểu rõ tầm quan trọng của bảo mật
thông tin cho mỗi cá nhân. Qua đó, tự tìm hiểu để biết một số cách phòng tránh những sự
tấn công đơn giản của các hacker. Vấn đề là ý thức, khi đã có ý thức để phòng tránh thì
khả năng an toàn sẽ cao hơn.
1.2.2.8. Yếu tố con người
Với những tính cách chủ quan và không hiểu rõ tầm quan trọng của việc bảo mật
hệ thống nên dễ dàng để lộ các thông tin quan trọng cho hacker.
* Ngoài ra thì còn dùng Firewall để chống lại sự “ giả mạo địa chỉ IP “.
1.3. MÔ HÌNH VÀ KIẾN TRÚC CỦA FIREWALL
Kiến trúc của hệ thống sử dụng Firewall như sau:
GVHD: NGUYỄN DUY SVTH: LÊ CHÍ NÀO
CAM THỊ MỸ BÌNH
10/63 NGUYỄN BẢO QUỐC
ĐINH HIẾU NHÂN
Server Server
Server
Computer Computer Computer
ComputerComputer
Router
Computer
The
Internet
Internet

router
FIREWALL
Hình 1.4. Kiến trúc của hệ thống sử dụng Firewall
1.4. PHÂN LOẠI FIREWALL
Hiện nay có nhiều loại Firewall, để tiện cho quá trình nghiên cứu và phát triển,
người ta chia Firewall ra làm hai loại chính bao gồm:
- Packet Filtering Firewall: là hệ thống tường lửa giữa các thành phần bên trong
mạng và bên ngoài mạng có kiểm soát.
- Application-proxy Firewall: là hệ thống cho phép kết nối trực tiếp giữa các máy
khách và các host.
1.4.1. Packet Filtering Firewall
Đây là kiểu Firewall thông dụng hoạt động dựa trên mô hình OSI mức mạng.
Firewall mức mạng thường hoạt động theo nguyên tắc router hay còn được gọi là
router, tức là tạo ra các luật lệ về quyền truy cập mạng dựa trên mức mạng. Mô hình này
hoạt động theo nguyên tắc lọc gói tin. Ở kiểu hoạt động này các gói tin đều được kiểm tra
địa chỉ nguồn nơi chúng xuất phát. Sau khi địa chỉ IP nguồn được xác định, nó sẽ tiếp tục
được kiểm tra với các luật đã đặt ra trên router.
GVHD: NGUYỄN DUY SVTH: LÊ CHÍ NÀO
CAM THỊ MỸ BÌNH
11/63 NGUYỄN BẢO QUỐC
ĐINH HIẾU NHÂN
Với phương thức hoạt động như vậy, các Firewall hoạt động ở lớp mạng có tốc độ
xử lý nhanh vì nó chỉ kiểm tra địa chỉ IP nguồn mà không cần biết địa chỉ đó là địa chỉ sai
hay bị cấm. Đây chính là hạn chế của kiểu Firewall này vì nó không đảm bảo tính tin cậy.
Lỗ hổng của kiểu Firewall này là nó chỉ sử dụng địa chỉ IP nguồn để làm chỉ thị.
Khi một gói tin mang địa chỉ nguồn là địa chỉ giả thì nó sẽ vượt qua được một số mức
truy nhập để vào bên trong mạng.
Firewall kiểu packet filtering chia làm hai loại:
- Packet filtering firewall: Hoạt động tại lớp mạng (Network Layer) của mô hình
OSI. Các luật lọc gói tin dựa trên các trường trong IP header, transport header,

địa chỉ IP nguồn và địa chỉ IP đích …
Internet
Private
Network
Security perimeter
Packet
filtering
router
Hình 1.5. Packet filtering firewall
- Circuit level gateway: Hoạt động tại lớp phiên (Session Layer) của mô hình
OSI. Mô hình này không cho phép các kết nối end to end.
GVHD: NGUYỄN DUY SVTH: LÊ CHÍ NÀO
CAM THỊ MỸ BÌNH
12/63 NGUYỄN BẢO QUỐC
ĐINH HIẾU NHÂN
Outside host
Inside host
in
in
in
out
out
out
outside
connection
inside
connection
Circuit level
gateway
Hình 1.6. Circuit level gateway

1.4.2. Application-proxy firewall
Khi mộ kết nối từ một người dùng nào đó đến mạng sử dụng Firewall kiểu này thì
kết nối đó sẽ bị chặn lại, sau đó Firewall sẽ kiểm tra các trường có liên quan của gói tin
yêu cầu kết nối. Nếu việc kiểm tra thành công, có nghĩa là các trường thông tin đáp ứng
được các luật đặt ra trên Firewall thì Firewall sẽ tạo mộ cầu kết nối cho gói tin đi qua.
* Ưu điểm:
- Không có chức năng chuyển tiếp các gói tin IP.
- Điều khiển một cách chi tiết hơn các kết nối thông qua Firewall.
- Đưa ra công cụ cho phép ghi lại quá trình kết nối.
* Nhược điểm:
- Tốc độ xử lý khá chậm.
- Sự chuyển tiếp các gói tin IP khi mộ máy chủ nhận được mộ yêu cầu từ mạng
ngoài rồi chuyển chúng vào mạng trong chính là lỗ hổng cho hacker xâm nhập.
- Kiểu firewallnày hoạt động dựa trên ứng dựng phần mềm nên phải tạo cho mỗi
dịch vụ trên mạng một trình ứng dựng uỷ quyền (proxy) trên Firewall (Ex. Ftp
proxy, Http proxy).
GVHD: NGUYỄN DUY SVTH: LÊ CHÍ NÀO
CAM THỊ MỸ BÌNH
13/63 NGUYỄN BẢO QUỐC
ĐINH HIẾU NHÂN
* Firewall kiểu Application- proxy chia thành hai loại:
- Applicatin level gateway: Hoạt động ở lớp ứng dụng (Application Layer) trong
mô hình TCP/IP.
Outside host Inside host
outside
connection
inside
connection
Application
level gateway

TELNET
HTTP
SMTP
FTP
Hình 1.7. Application-proxy firewall
- Stateful multilayer inspection firewall: Đây là loại Firewall kết hợp được tính
năng của các loại Firewall trên, mô hình này lọc các gói tin tại lớp mạng và
kiểm tra nội dung các gói tin tại lớp ứng dụng. Loại Firewall này cho phép các
kết nối trực tiếp giữa client và host nên giảm thiểu được lỗi, nó cung cấp các
tính năng bảo mật cao và trong suốt đối với End Users.
1.5. MỘT SỐ VẤN ĐỀ KHI LỰA CHỌN MỘT FIREWALL
1.5.1. Có cần Firewall ?
Giải quyết đến thực thi vấn đề Firewall sẽ không xảy ra nếu không nghiên cứu và
phân tích. Giải quyết đến vấn đề thực thi Firewall sẽ dựa những đòi hỏi phải định danh và
chứng minh. Bởi vì thực thi của Firewall không được định danh như hướng giải quyết của
GVHD: NGUYỄN DUY SVTH: LÊ CHÍ NÀO
CAM THỊ MỸ BÌNH
14/63 NGUYỄN BẢO QUỐC
ĐINH HIẾU NHÂN
những tổ chức khác. Tạo ra những Firewall dựa vào quy mô nhỏ, những ý nghĩa không
thể tạo ra được bởi lổ hổng an ninh và cơ chế gây ra những vấn đề mạng lưới nhiều hơn là
thực hiện Firewall.
1.5.2. Firewall điều khiển và bảo vệ gì ?
Để tạo ra một Firewall thì phải định danh cho được chức năng nào của Firewall sẽ
cần để thực hiện. Nó sẽ điều khiển truy cập đến từ mạng lưới nào, hay nó sẽ bảo vệ những
dịch vụ và người sử dụng nào.
Firewall điều khiển gì ?
- Truy cập vào mạng.
- Truy cập ngoài mạng.
- Truy cập trong những mạng lưới bên trong, những lĩnh vực hay những công

trình kiến trúc.
- Truy cập những nhóm đặt trưng, nhũng người sử dụng hoặc địa chỉ.
- Truy cập đến những tài nguyên cụ thể hoặc những dịch vụ.
Firewall cần bảo vệ cái gì?
- Những mạng lưới hoặc bộ điều khiển đặc biệt.
- Dịch vụ đặc biệt.
- Thông tin riêng tư hoặc công cộng.
- Người sử dụng.
Sau khi nhận ra được Firewall cần để bảo vệ và điều khiển cái gì, quyết định điều
gì có thể xảy ra liên tục với sự bảo vệ và điểu khiển này. Điều gì sẽ xảy ra khi người sử
dụng truy cập đến những trang mà không có quyền truy cập. Điều này sẽ xảy ra nếu dịch
vụ không được bảo vệ và thông tin không được bảo mật tốt. Có phải sự rủi ro của việc
điều khiển hoặc bảo vệ đủ cho bước kế tiếp trong ước lượng thì cần phải có giải pháp
Firewall.
GVHD: NGUYỄN DUY SVTH: LÊ CHÍ NÀO
CAM THỊ MỸ BÌNH
15/63 NGUYỄN BẢO QUỐC
ĐINH HIẾU NHÂN
1.6. NHỮNG HẠN CHẾ CỦA FIREWALL
Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại thông
tin và phân tích nội dung tốt hay xấu của nó. Firewall chỉ có thể ngăn chặn sự xâm nhập
của những nguồn thông tin không mong muốn nhưng phải xác định rõ các thông số địa
chỉ.
Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không "đi
qua" nó. Một cách cụ thể, Firewall không thể chống lại một cuộc tấn công từ một đường
dial-up, hoặc sự rò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa mềm.
Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data-drivent
attack). Khi có một số chương trình được chuyển theo thư điện tử, vượt qua Firewall vào
trong mạng được bảo vệ và bắt đầu hoạt động ở đây.
Một ví dụ là các virus máy tính. Firewall không thể làm nhiệm vụ rà quét virus trên

các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus
mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả năng kiểm soát của
Firewall. Firewall có thể ngǎn chặn những kẻ xấu từ bên ngoài nhưng còn những kẻ xấu ở
bên trong thì sao. Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu được áp dụng rộng rãi.
Để có được khả nǎng bảo mật tối ưu cho hệ thống, Firewall nên được sử dụng kết
hợp với các biện pháp an ninh mạng như các phần mềm diệt virus, phần mềm đóng gói,
mã hoá dữ liệu. Đặc biệt, chính sách bảo mật được thực hiện một cách phù hợp và có
chiều sâu là vấn đề sống còn để khai thác tối ưu hiệu quả của bất cứ phần mềm bảo mật
nào. Và cũng cần nhớ rằng công nghệ chỉ là một phần của giải pháp bảo mật. Một nhân tố
nữa hết sức quan trọng quyết định thành công của giải pháp là sự hợp tác của nhân viên,
đồng nghiệp.
GVHD: NGUYỄN DUY SVTH: LÊ CHÍ NÀO
CAM THỊ MỸ BÌNH
16/63 NGUYỄN BẢO QUỐC
ĐINH HIẾU NHÂN
1.7. VAI TRÒ CỦA UTM TRONG BẢO MẬT MẠNG:
1.7.1 Công nghệ UTM:
UTM là chữ viết tắt của Unified Threat Management, UTM là một giải pháp bảo
mật toàn diện đã được chuẩn hoá trong lĩnh vực bảo mật mạng máy tính (Network
Security) kể từ năm 2004. Giải pháp UTM đã được ứng dụng rộng rãi cho các tổ chức hay
công ty như là một giải pháp “Người gác cửa và phòng thủ cho mạng máy tính” (Network
Security Gateway) chống lại các mối hiểm nguy hay hacker trên mạng Internet và mạng
nội bộ.
Theo lý thuyết thì Firewall UTM (Unified Threat Management) là bao gồm tất cả
các tính năng tường lửa (Firewall) được tập trung vào một thiết bị duy nhất (thuật ngữ gọi
là Firewall Single UTM Appliance), và thực hiện rất nhiều tính năng như: bảo mật mạng
(Network Firewalling), ngăn ngừa và phòng chống xâm nhập (Network Intrusion
Prevention), IPS - Intrusion Prevention System, IDS - Intrusion Detection System, theo
mẫu (UTM Appliance) hoặc tự động nhận biết xâm nhập, phòng chống Spam (Anti-spam
gateway), VPN - Virtual Private Network( Mạng riêng ảo), SSL VPN, tính năng lọc nội

dung Internet (Content Filtering), cân bằng tải mạng máy tính (Load Balancing), quản lý
băng thông mạng (QoS, Bandwitdh managerment) và cuối cùng là báo cáo cũng như cảnh
báo tất cả về tình trạng an toàn của mạng máy tính.
Hiện nay có một số nhà cung cấp thiết bị Firewall UTM nổi tiếng như Firewall
O2SECURITY, Firewall Cisco, Juniper.v.v. Giải pháp Firewall UTM được hỗ trợ cho tất
cả các doanh nghiệp từ nhỏ đến lớn (SMB đến Enterprise ).
Firewall UTM có ưu điểm là một dòng thiết bị tường lửa (Firewall) duy nhất có thể quản
lý cùng lúc nhiều hệ thống độc lập như phòng chống virus (anti virus), lọc, theo dõi và
chặn nội dung Internet (Content Filtering), IPS, IDP, lọc spam theo yêu cầu (Spam
filtering). Các tổ chức hay công ty rất dễ dàng ứng dụng và triển khai hệ thống bảo mật
bằng Firewall UTM đa chức năng mà không phải gặp khó khăn nếu sử dụng hệ thống có
nhiều Firewall riêng lẻ: Ví dụ hệ thống bảo mật có Firewall IPS, Anti-virus gateway, mail
GVHD: NGUYỄN DUY SVTH: LÊ CHÍ NÀO
CAM THỊ MỸ BÌNH
17/63 NGUYỄN BẢO QUỐC
ĐINH HIẾU NHÂN
gateway riêng.v.v thì người quản trị mạng phải quản lý từng thiết bị riêng lẻ rất mất thời
gian và gặp nhiều khó khăn nếu hệ thống được cung cấp bởi nhiều hãng khác nhau. Ngoài
ra như Firewall UTM của hãng O2 SECURITY có giao diện đồ hoạ rất thân thiện và dễ
sử dụng. Bất cứ nhân viên quản trị mạng nào cũng có thể dễ dàng tìm hiểu và sử dụng so
với các Firewall UTM khác việc sử dụng khá khó khăn hơn khi muốn tìm hiểu.
1.7.2 Tại sao cần bảo mật tất cả trong một – UTM?
Ngày nay vấn đề an toàn thông tin đã và đang được quan tâm nhiều hơn trong các
cơ quan tổ chức, nhưng mặt khác “bên kia chiến tuyến” hacker vẫn không ngừng gia tăng
các hành động tấn công phá hoại, đánh cắp thông tin bên cạnh sự bùng nổ lan tràn mã độc
hại, sâu, virus, phần mềm gián điệp (spyware), thư rác, Nhiều loại tấn công đa dạng
phát sinh cùng thời điểm, đồng thời chúng có sự kết hợp với nhau. Để ứng phó, chúng ta
cần xây dựng hệ thống phòng thủ bằng nhiều lớp công cụ bảo mật khác nhau như: tường
lửa, chống virus/ phần mềm gián điệp (spyware), phát hiện và ngăn chặn tấn công xâm
nhập

Tuy nhiên hệ thống với nhiều công cụ bảo mật độc lập có một số khó khăn như:
Khó tích hợp, do sử dụng các công nghệ khác nhau từ các nhà sản xuất độc lập trong khi
hệ thống phải là một giải pháp đồng bộ tổng thể để có thể đối phó với nhiều tấn công khác
nhau diễn ra đồng thời.
Khó quản trị, vận hành và tốn nhiều nhân lực, vì phải quản lý nhiều thiết bị khác
nhau, mỗi thiết bị cần được duy trì (cập nhật, vá lỗi) riêng.
Trang bị nhiều sản phẩm, thiết bị bảo mật của các hãng độc lập thường rất đắt tiền.
Chính vì vậy, một giải pháp quản lý thống nhất và tích hợp nhiều chức năng bảo
mật - tất cả trong một, được gọi là UTM và là xu thế hiện nay để giải quyết những khó
khăn trên. UTM (Unified Thread Management) bao gồm các chức năng bảo mật cơ bản
như: Tường lửa/mạng riêng ảo (VPN); phát hiện và ngăn chặn tấn công xâm nhập –
IPS/IDS; nhúng chức năng phòng chống Virus và lọc, kiểm soát nội dung truy cập Web.
GVHD: NGUYỄN DUY SVTH: LÊ CHÍ NÀO
CAM THỊ MỸ BÌNH
18/63 NGUYỄN BẢO QUỐC
ĐINH HIẾU NHÂN
UTM có nhiều ưu điểm như chi phí đầu tư thấp; quản trị đơn giản, các thành phần
bảo mật đơn lẻ được cấu hình trong cùng một giao diện và có thể tương tác với nhau một
cách trơn tru trong môi trường quản trị thống nhất.
1.7.3 UTM không chỉ là tích hợp nhiều chức năng bảo mật
Nhiều hãng bảo mật trước kia chỉ chuyên về một lĩnh vực an toàn bảo mật thì nay
đều mở rộng sản phẩm của mình thành giải pháp UTM theo trào lưu chung. Đa số các sản
phẩm, thiết bị UTM hiện nay đều do một hãng sản xuất. UTM theo cách này vẫn được
xem là giải pháp trọn gói “mỳ ăn liền” phù hợp cho các doanh nghiệp nhỏ hoặc có hệ
thống mạng và yêu cầu bảo mật đơn giản, vì nó có một số hạn chế như:
Mỗi phân vùng mạng có yêu cầu mức độ bảo mật khác nhau và có thể chỉ cần có
một số thiết bị riêng chuyên để bảo vệ theo chức năng cần thiết.
Việc sử dụng sản phẩm UTM của một nhà sản xuất có nghĩa là bạn phó thác hoàn
toàn hệ thống và dữ liệu của mình cho một công ty.
Từng sản phẩm bảo mật chuyên biệt được thiết kế tốt hơn so với chức năng tương

ứng của nó trong một sản phẩm UTM của một hãng. Đối với những cơ quan tổ chức đòi
hỏi mức độ an toàn bảo mật cao như khối tài chính - ngân hàng, viễn thông, nhà cung cấp
dịch vụ - ISP thì việc dùng giải pháp UTM từ một nhà sản xuất sẽ gặp vấn đề về hiệu
năng và thiếu tin tưởng độ an toàn bảo mật.
GVHD: NGUYỄN DUY SVTH: LÊ CHÍ NÀO
CAM THỊ MỸ BÌNH
19/63 NGUYỄN BẢO QUỐC
ĐINH HIẾU NHÂN
CHƯƠNG II: GIỚI THIỆU ASTARO SECURITY GATEWAY
2.1 GIỚI THIỆU CHUNG
Giải pháp bảo mật Internet Astaro là
một giải pháp tích hợp các công nghệ bảo mật
tốt nhất nhằm cung cấp cho khách hàng một
giải pháp bức tường lửa “tất-cả-trong-một”.
Giải pháp bảo mật Astaro bao gồm các công
nghệ sau:
Hệ điều hành được làm cứng tối ưu cho
công nghệ bảo mật (Hardened OS)
Công nghệ kiểm tra gói tin có khả năng nhận
biết tình trạng kết nối (Stateful packet inspection)
Công nghệ chống Spam mail, chống Virus tin học, kiểm soát truy cập (Anti-Spam;
Anti-Virus; Surf protection – tùy chọn) .
Công nghệ lọc toàn bộ nội dung gói tin (content filtering – tùy chọn) .
Công nghệ làm proxy cho các ứng dụng quan trọng, tránh người dùng truy cập trực
tiếp vào các máy chủ quan trọng (Application Proxies) .
Công nghệ mã hóa IPSec hỗ trợ các kết nối VPN .
Giải pháp bảo mật Astaro được thiết kế tối ưu cho vấn đề an ninh mạng mà không
làm giảm tốc độ kết nối Internet của khách hàng. Astaro cho phép các nhân viên làm việc
bên ngoài văn phòng, các văn phòng chi nhánh, khách hàng và các đối tác kinh doanh…
chia sẽ các thông tin quan trọng thông qua Internet một cách an toàn.

2.2 CÁC TÍNH NĂNG CỦA ASTARO
Tự động cập nhật hệ thống hàng giờ, hàng ngày, hàng tuần đối với các hình thức
tấn công mới trên mạng
Bảo đảm an toàn cho người dùng truy cập mạng Internet nhờ công nghệ nhận biết
tình trạng của các kết nối (Stateful packet inspection)
GVHD: NGUYỄN DUY SVTH: LÊ CHÍ NÀO
CAM THỊ MỸ BÌNH
20/63 NGUYỄN BẢO QUỐC
ĐINH HIẾU NHÂN
Cho phép người dùng truy cập tài nguyên nội bộ từ xa một cách an toàn và tiết
kiệm chi phí nhờ công nghệ mạng riêng ảo (VPN) từ người dùng đầu cuối đến mạng nội
bộ Client to LAN) hoặc từ mạng nội bộ đến mạng nội bộ (LAN to LAN)
Hỗ trợ tất cả các công nghệ mã hóa tiên tiến nhất: AES (Rijndael), 3DES, Blowfish hoặc
Twofish.
Cho phép nhà quản trị hệ thống quản lý và theo dõi (management and monitoring)
hệ thống từ xa thông qua chuẩn giao tiếp SNMP hoặc Syslog
Tạo dễ dàng và thuận tiện cho nhà quản trị thông qua giao diện quản lý đồ họa trực
quan và bảo mật (WebAdmin, SSL secured)
Bảo mật hệ thống ở lớp ứng dụng đối với các ứng dụng quan trọng là: DNS,
HTTP, POP3, SMTP và SOCKS
Bảo vệ hệ thống khỏi virus tin học (cơ sở dữ liệu được cập nhật hàng giờ) từ các luồng dữ
liệu thông qua thư điện tử (POP3, SMTP)
Tăng tốc độ truy cập Internet (khoảng 50%) nhờ tích hợp sẵn công nghệ caching
engine ngay bên trong bức tường lửa
Giúp nhà quản trị quản lý được băng thông truy cập Internet, tối ưu truy cập
Internet cho các ứng dụng quan trọng nhờ tích hợp công nghệ QoS
Bảm bảo tính sẵn sàng 7x24 của hệ thống nhờ công nghệ dự phòng nóng (Hot-
standby High Availability)
Tận dụng tối đa năng lực xử lý của hệ thống máy chủ phía sau bức tường lửa nhờ
công nghệ phân chia tải động (Load balancing)

Kết nối trực tiếp với thiết bị ADSL với nghi thức truyền thông PPPoE và PPPoA
mà không phải qua phần mềm thứ 3
Giúp nhà quản lý kiểm soát được người dùng truy cập vào các trang web không
mong muốn thông qua công cụ lọc nội dung trang web truy cập (URL Content Filtering)
GVHD: NGUYỄN DUY SVTH: LÊ CHÍ NÀO
CAM THỊ MỸ BÌNH
21/63 NGUYỄN BẢO QUỐC
ĐINH HIẾU NHÂN
CHƯƠNG III: MÔ HÌNH TRIỂN KHAI CỦA ASTARO
Web Server: al
Mail Server:
GVHD: NGUYỄN DUY SVTH: LÊ CHÍ NÀO
CAM THỊ MỸ BÌNH
22/63 NGUYỄN BẢO QUỐC
ĐINH HIẾU NHÂN
3.1 CÀI ĐẶT VÀ CẤU HÌNH CÁC DỊCH VỤ
3.1.1 Network Security
• Tạo 3 Interface và cấu hình theo sơ đồ mạng trên:
Internal: Kết nối với cùng LAN (IP: 10.0.0.1/8)
External: Kết nối với modem ADSL (IP: 192.168.1.1/24 GW: 192.168.1.1)
Perimeter: Kết nối với vùng cài đặt các dịch vụ - DMZ (IP: 172.16.0.1/16)
• Cấu hình NAT và Packet Filter để Client trong vùng LAN có thể sử
dụng được internet và các dịch vụ bên vùng DMZ.
 Bước 1: Chọn Network Security  NAT Tab Masquerading 
New masquerading
GVHD: NGUYỄN DUY SVTH: LÊ CHÍ NÀO
CAM THỊ MỸ BÌNH
23/63 NGUYỄN BẢO QUỐC
ĐINH HIẾU NHÂN
 Network: Internal (network)

 Interface: External
 Chọn Save
 Kết quả:
• Bước 2: Tạo Packet Filter
 Network Security  Packet Filter  Tab Rules  New rule
GVHD: NGUYỄN DUY SVTH: LÊ CHÍ NÀO
CAM THỊ MỸ BÌNH
24/63 NGUYỄN BẢO QUỐC
ĐINH HIẾU NHÂN
 Source: Internal (network) – tất cả các máy tính trong mạng LAN
 Service: HTTP – cho phép truy cập web với giao thức HTTP
 Destination: Any
 Kết quả:
• Bước 3: Kiểm tra Firewall có truy cập được internet chưa:
 Ping trang google.com:
Support  Tools  tạo ô Hostname/Address điền google.com
 Kết quả:
GVHD: NGUYỄN DUY SVTH: LÊ CHÍ NÀO
CAM THỊ MỸ BÌNH
25/63 NGUYỄN BẢO QUỐC
ĐINH HIẾU NHÂN

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×