Đồ án Tìm hiểu Firewall

Đồ án:

Tìm hiểu Firewall

LỜI MỞ ĐẦU

Trong thực tế hiện nay bảo mật thông tin đang đóng một vai trò thiết yếu chứ

không còn là “thứ yếu” trong mọi hoạt động liên quan đến việc ứng dụng công nghệ

thông tin. Tôi muốn nói đến vai trò to lớn của việc ứng dụng CNTT đã và đang diễn ra

sôi động, không chỉ thuần túy là những công cụ (Hardware, software), mà thực sự đã

được xem như là giải pháp cho nhiều vấn đề. Khởi động từ những năm đầu thập niên

90, với một số ít chuyên gia về CNTT, những hiểu biết còn hạn chế và đưa CNTT ứng

dụng trong các hoạt động sản xuất, giao dịch, quản lý còn khá khiêm tốn và chỉ dừng

lại ở mức công cụ, và đôi khi tôi còn nhận thấy những công cụ “đắt tiền” này còn gây

một số cản trở, không đem lại những hiệu quả thiết thực cho những Tổ chức sử dụng

nó.

Internet cho phép chúng ta truy cập tới mọi nơi trên thế giới thông qua một số

dịch vụ. Ngồi trước máy tính của mình bạn có thể biết được thông tin trên toàn cầu,

nhưng cũng chính vì thế mà hệ thống máy tính của bạn có thể bị xâm nhập vào bất kỳ

lúc nào mà bạn không hề được biết trước. Do vậy việc bảo vệ hệ thống là một vấn đề

chúng ta đáng phải quan tâm. Người ta đã đưa ra khái niệm FireWall để giải quyết vấn

đề này.

Để làm rõ các vấn đề này thì đồ án “ Tìm hiểu Firewall ” sẽ cho chúng ta cái

nhìn sâu hơn về khái niệm, cũng như chức năng của Firewall.

Trong quá trình làm đồ án tuy đã cố gắng hết sức nhưng không thể tránh khỏi

được những thiếu sót. Rất mong nhận được ý kiến giúp đỡ của thầy cô để Tôi sẽ làm

tốt hơn trong các đề tài lần sau.

Cuối cùng Tôi xin chân thành cảm ơn thầy LÊ VĂN LONG và các thầy cô

khoa CNTT đã hướng dẫn Tôi hoàn thành đồ án của mình.

I. Mục tiêu

Đồ án này sẽ giúp cho chúng ta biết được các quá trình cần thiết để thiết kế nên

1 hệ thống mạng. Giúp ta biết sâu hơn về khái niệm cũng như chức năng Firewall.

II. Phương pháp nghiên cứu

 Đọc kỹ và nắm bắt được các yêu cầu của đồ án đề ra.

 Đi sâu trong việc tìm kiếm tài liệu và trình bày một cách hợp lý nhất.

 Chăm chú lắng nghe và tiếp thu những ý kiến đóng góp của giáo viên

hướng dẫn.

III. Bố cục

* Nội dung của đồ án này được chia làm 3 chương như sau:

 Chương 1: Ta tìm hiểu về tổng quan Firewall.

 Chương 2: Ta sẽ đề xuất một giải pháp Firewall cho một doanh nghiệp

nhỏ.

 Chương 3: Ta sẽ đi cài đặt một giải pháp Firewall cho doanh nghiệp

nhỏ.

DANH MỤC HÌNH VẼ

SỐ HIỆU

MÔ TẢ

TRANG

Hình 1.1 Firewall được đặt ở giữa mạng riêng và mạng công cộng

Hình 1.2 Mạng gồm có Firewall và các máy chủ

Hình 1.3 Sử dụng nhiều Firewall nhằm tăng khả năng bảo mật

Hình 1.4 Kiến trúc của hệ thống sử dụng Firewall

Hình 1.5 Cấu trúc chung của một hệ thống Firewall

Hình 1.6 Kiến trúc Dual - Homed host

8

9

10

14

15

16

18

19

20

21

22

27

Hình 1.7 Kiến trúc Screened host

Hình 1.8 Kiến trúc Screened Subnet

Hình 1.9 Packet filtering firewall

Hình 1.10 Circuit level gateway

Hình 1.11 Application-proxy firewall

Hình 2.1 Các mức an toàn thông tin trên mạng

Mô hình triển khai ISA Server giữa Internal Network và

Hình 2.2

Internet

32

Hình 3.1 Sơ đồ ban đầu của toà nhà

Hình 3.2 Mô hình logic

38

39

40

41

Hình 3.3 Các hình chú thích về thiết kế

Hình 3.4 Mô hình vật lý ở Tầng 1

Hình 3.5 Mô hình vật lý ở Tầng 2

Hình 3.6 Mô hình vật lý ở Tầng 3

TỪ VIẾT TẮT

SỐ HIỆU

CỤM TỪ

VIẾT TẮT

NIC

1

2

Network Interface Controller

Internet Protocol

IP

3

Local Area Network

LAN

DMZ

FTP

4

Demilitarized Zone

5

File Transfer Protocol

6

Simple Mail Transfer Protocol

Open Systems Interconnection

Hypertext Transfer Protocol

Transmission Control Protocol

Asymmetric Digital Subscriber Line

Personal Computer

SMTP

OSI

7

8

HTTP

TCP

9

10

11

12

13

14

15

16

17

18

19

20

ADSL

PC

Domain Name System

DNS

RAM

ISA

Random Access Memory

Internet Security and Acceleration

Virtual Private Network

Network Address Translation

Wide Area Network

VPN

NAT

WAN

OS

Operating System

Post Office Protocol

POP

Internet Message Access Protocol

IMAP

CHƯƠNG 1

TỔNG QUAN VỀ FIREWALL

1.1. KHÁI NIỆM VỀ FIREWALL

1.1.1. Tại sao phải sử dụng một Firewall cho mạng máy tính kết nối Internet?

Internet ra đời đã đem lại nhiều lợi ích rất lớn cho con người, nó là một trong

những nhân tố hàng đầu góp phần vào sự phát triển nhanh chóng của cả thế giới và có

thể nói Internet đã kết nối mọi người tới gần nhau hơn. Chính vì một khả năng kết nối

rộng rãi như vậy mà các nguy cơ mất an toàn của mạng máy tính rất lớn.

Đó là các nguy cơ bị tấn công của các mạng máy tính, tấn công để lấy dữ liệu,

tấn công nhằm mục đích phá hoại làm tê liệt cả một hệ thống máy tính lớn, tấn công

thay đổi cơ sở dữ liệu …Trước những nguy cơ đó, vấn đề đảm bảo an toàn cho mạng

máy tính trở nên rất cấp thiết và quan trọng hơn bao giờ hết. Các nguy cơ bị tấn công

ngày càng nhiều và ngày càng tinh vi hơn, nguy hiểm hơn.

Đã có nhiều giải pháp bảo mật cho mạng máy tính được đưa ra như dùng các

phần mềm, chương trình để bảo vệ tài nguyên, tạo những tài khoản truy xuất mạng đòi

hỏi có mật khẩu … nhưng những giải pháp đó chỉ bảo vệ một phần mạng máy tính mà

thôi, một khi những kẻ phá hoại mạng máy tính đã thâm nhập sâu hơn vào bên trong

mạng thì có rất nhiều cách để phá hoại hệ thống mạng. Vì vậy đã đặt ra một yêu cầu là

phải có những công cụ để chống sự xâm nhập mạng bất hợp pháp ngay từ bên ngoài

mạng, đó chính là nguyên nhân dẫn tới sự ra đời của Firewall (Tường lửa).

Một Firewall có thể lọc các lưu lượng Internet nguy hiểm như hacker, các loại

sâu, và một số loại virus trước khi chúng có thể gây ra trục trặc trên hệ thống. Ngoài

ra, Firewall có thể giúp cho máy tính tránh tham gia các cuộc tấn công vào các máy

tính khác mà không hay biết. Việc sử dụng một Firewall là cực kỳ quan trọng đối với

các máy tính luôn kết nối Internet, như trường hợp có một kết nối băng thông rộng

hoặc kết nối DSL/ADSL.

Trên Internet, các tin tặc sử dụng mã hiểm độc, như là các virus, sâu và Trojan,

để tìm cách phát hiện những cửa không khóa của một máy tính không được bảo vệ.

Một tường lửa có thể giúp bảo vệ máy tính khỏi bị những hoạt động này và các cuộc

tấn công bảo mật khác.

Vậy một tin tặc có thể làm gì? Tùy thuộc vào bản chất của việc tấn công. Trong

khi một số chỉ đơn giản là sự quấy rầy với những trò đùa nghịch đơn giản, một số khác

được tạo ra với những ý định nguy hiểm. Những loại nghiêm trọng hơn này tìm cách

xóa thông tin từ máy tính, phá hủy nó, hoặc thậm chí ăn căp thông tin cá nhân, như là

các mật khẩu hoặc số thẻ tín dụng. Một số tin tặc chỉ thích đột nhập vào các máy tính

dễ bị tấn công. Các virus, sâu và Trojan rất đáng sợ. May mắn là có thể giảm nguy cơ

lây nhiễm bằng cách sử dụng một Firewall.

1.1.2. Sự ra đời của Firewall

Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để

ngăn chặn, hạn chế hỏa hoạn.

Trong công nghệ mạng thông tin, Firewall là một kỹ thuật được tích hợp vào hệ

thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và

hạn chế sự xâm nhập không mong muốn vào hệ thống. Cũng có thể hiểu Firewall là

một cơ chế (Mechanism) để bảo vệ mạng tin tưởng (Trusted network) khỏi các mạng

không tin tưởng (Untrusted network).

Thông thường Firewall được đặt giữa mạng bên trong (Intranet) của một công

ty, tổ chức, ngành hay một quốc gia, và Internet. Vai trò chính là bảo mật thông tin,

ngăn chặn sự truy nhập không mong muốn từ bên ngoài (Internet) và cấm truy nhập từ

bên trong (Intranet) tới một số địa chỉ nhất định trên Internet.

Internet FireWall là một tập hợp thiết bị (bao gồm phần cứng và phần mềm)

giữa mạng của một tổ chức, một công ty, hay một quốc gia (Intranet) và Internet:

(INTRANET - FIREWALL - INTERNET)

Trong một số trường hợp, Firewall có thể được thiết lập ở trong cùng một mạng

nội bộ và cô lập các miền an toàn. Ví dụ như một mạng cục bộ sử dụng Firewall để

ngăn cách phòng máy và hệ thống mạng ở tầng dưới.

Một Firewall Internet có thể giúp ngăn chặn người ngoài trên Internet không

xâm nhập được vào máy tính.

Một Firewall làm việc bằng cách kiểm tra thông tin đến và ra Internet. Nó nhận

dạng và bỏ qua các thông tin đến từ một nơi nguy hiểm hoặc có vẻ nghi ngờ. Nếu bạn

cài đặt Firewall của bạn một cách thích hợp, các tin tặc tìm kiếm các máy tính dễ bị

tấn công không thể phát hiện ra máy tính.

Firewall là một giải pháp dựa trên phần cứng hoặc phần mềm dùng để kiểm tra

các dữ liệu. Một lời khuyên là nên sử dụng firewall cho bất kỳ máy tính hay mạng nào

có kết nối tới Internet. Đối với kết nối Internet băng thông rộng thì Firewall càng quan

trọng, bởi vì đây là loại kết nối thường xuyên bật (always on) nên những tin tặc sẽ có

nhiều thời gian hơn khi muốn tìm cách đột nhập vào máy tính. Kết nối băng thông

rộng cũng thuận lợi hơn cho tin tặc khi được sử dụng để làm phương tiện tiếp tục tấn

công các máy tính khác.

1.1.3. Mục đích của Firewall

Với Firewall, người sử dụng có thể yên tâm đang được thực thi quyền giám sát

các dữ liệu truyền thông giữa máy tính của họ với các máy tính hay hệ thống khác. Có

thể xem Firewall là một người bảo vệ có nhiệm vụ kiểm tra "giấy thông hành" của bất

cứ gói dữ liệu nào đi vào máy tính hay đi ra khỏi máy tính của người sử dụng, chỉ cho

phép những gói dữ liệu hợp lệ đi qua và loại bỏ tất cả các gói dữ liệu không hợp lệ.

Các giải pháp Firewall là thực sự cần thiết, xuất phát từ chính cách thức các dữ

liệu di chuyển trên Internet. Giả sử gửi cho người thân của mình một bức thư thì để

bức thư đó được chuyển qua mạng Internet, trước hết phải được phân chia thành từng

gói nhỏ. Các gói dữ liệu này sẽ tìm các con đường tối ưu nhất để tới địa chỉ người

nhận thư và sau đó lắp ráp lại (theo thứ tự đã được đánh số trước đó) và khôi phục

nguyên dạng như ban đầu. Việc phân chia thành gói làm đơn giản hoá việc chuyển dữ

liệu trên Internet nhưng có thể dẫn tới một số vấn đề. Nếu một người nào đó với dụng

ý không tốt gửi tới một số gói dữ liệu, nhưng lại cài bẫy làm cho máy tính của không

biết cần phải xử lý các gói dữ liệu này như thế nào hoặc làm cho các gói dữ liệu lắp

ghép theo thứ tự sai, thì có thể nắm quyền kiểm soát từ xa đối với máy tính của và gây

nên những vấn đề nghiêm trọng. Kẻ nắm quyền kiểm soát trái phép sau đó có thể sử

dụng kết nối Internet của để phát động các cuộc tấn công khác mà không bị lộ tung

tích của mình.

Firewall sẽ đảm bảo tất cả các dữ liệu đi vào là hợp lệ, ngăn ngừa những người

sử dụng bên ngoài đoạt quyền kiểm soát đối với máy tính của bạn. Chức năng kiểm

soát các dữ liệu đi ra của Firewall cũng rất quan trọng vì sẽ ngăn ngừa những kẻ xâm

nhập trái phép "cấy" những virus có hại vào máy tính của để phát động các cuộc tấn

công cửa sau tới những máy tính khác trên mạng Internet.

Hình 1.1. Firewall được đặt ở giữa mạng riêng và mạng công cộng

Một Firewall gồm có ít nhất hai giao diện mạng: Chung và riêng, giao diện

chung kết nối với Internet, là phía mà mọi người có thể truy cập, giao diện riêng là

phía mà chứa các dữ liệu được bảo vệ. Trên một Firewall có thể có nhiều giao diện

riêng tuỳ thuộc vào số đoạn mạng cần được tách rời. Ứng với mỗi giao diện có một bộ

quy tắc bảo vệ riêng để xác định kiểu lưu thông có thể qua từ những mạng chung và

mạng riêng.

Firewall cũng có thể làm được nhiều việc hơn và cũng có nhiều thuận lợi và

khó khăn. Thông thường nhà quản trị mạng sử dụng Firewall như một thiết bị đầu nối

VPN, máy chủ xác thực hoặc máy chủ DNS. Tuy nhiên như bất kì một thiết bị mạng

khác, nhiều dịch vụ hoạt động trên cùng một máy chủ thì các rủi ro càng nhiều .Do đó,

một Firewall không nên chạy nhiều dịch vụ.

Firewall là lớp bảo vệ thứ hai trong hệ thống mạng, lớp thứ nhất là bộ định

tuyến ở mức định tuyến sẽ cho phép hoặc bị từ chối các địa chỉ IP nào đó và phát hiện

những gói tin bất bình thường. Firewall xem những cổng nào là được phép hay từ chối.

Firewall đôi lúc cũng hữu ích cho những đoạn mạng nhỏ hoặc địa chỉ IP riêng lẻ. Bởi

vì bộ định tuyến thường làm việc quá tải, nên việc sử dụng bộ định tuyến để lọc ra bộ

định tuyến IP đơn, hoặc một lớp địa chỉ nhỏ có thể tạo ra một tải trọng không cần thiết.

Firewall có ích cho việc bảo vể những mạng từ những lưu lượng không mong

muốn. Nếu một mạng không có các máy chủ công cộng thì Firewall là công cụ rất tốt

để từ chối những lưu lượng đi vào, những lưu lượng mà không bắt đầu từ một máy ở

sau Firewall, Một Firewall cũng có thể được cấu hình để từ chối tất cả các lưu lượng

ngoại trừ cổng 53 đã dành riêng cho máy chủ DNS.

Hình 1.2. Mạng gồm có Firewall và các máy chủ

Sức mạnh của Firewall nằm trong khả năng lọc lưu lượng dựa trên một tập hợp

các quy tắc bảo vệ, còn gọi là quy tắc bảo vệ do các nhà quản trị đưa vào. Đây cũng có

thể là nhược điểm lớn nhất của Firewall, bộ quy tắc xấu hoặc không đầy đủ có thể mở

lối cho kẻ tấn công, và mạng có thể không được an toàn.

Nhiều nhà quản trị mạng không nghĩ rằng Firewall hoạt động như một thiết bị

mạng phức tạp. Người ta quan tâm nhiều đến việc giữ lại những lưu lượng không

mong muốn đến mạng riêng, ít quan tâm đến việc giữ lại những lưu lượng không

mong muốn đến mạng công cộng. Nên quan tâm đến cả hai kiểu của tập các quy luật

bảo vệ. Nếu một kẻ tấn công muốn tìm cách xâm nhập vào một máy chủ, chúng không

thể sử dụng máy chủ đó để tấn công vào các thiết bị mạng ở xa.

Để bảo vệ và giúp cho các lưu lượng bên trong đoạn mạng các nhà quản lý

thường chạy hai bộ Firewall, bộ thứ nhất để bảo vệ toàn bộ mạng, và bộ còn lại để bảo

vể các đoạn mạng khác.

Nhiều lớp Firewall cũng cho phép các nhà quản trị an toàn mạng kiểm soát tốt

hơn những dòng thông tin, đặc biệt là các cơ sở bên trong và bên ngoài công ty phải xử

lý các thông tin nhảy cảm. Các hoạt động trao đổi thông tin có thể cho phép trên phần

nào đó của mạng thì có thể bị giới hạn trên những vùng nhạy cảm hơn.

Hình 1.3. Sử dụng nhiều Firewall nhằm tăng khả năng bảo mật

1.1.4. Các lựa chọn Firewall

Có một số công ty sản xuất sản phẩm Firewall và có hai loại để chọn: Firewall

phần cứng và Firewall phần mềm.

1.1.4.1. Firewall phần cứng

Về tổng thể, Firewall phần cứng cung cấp mức độ bảo vệ cao hơn so với

Firewall phần mềm và dễ bảo trì hơn. Firewall phần cứng cũng có một ưu điểm khác là

không chiếm dụng tài nguyên hệ thống trên máy tính như Firewall phần mềm.

Firewall phần cứng là một lựa chọn rất tốt đối với các doanh nghiệp nhỏ, đặc

biệt cho những công ty có chia sẻ kết nối Internet. Có thể kết hợp Firewall và một bộ

định tuyến trên cùng một hệ thống phần cứng và sử dụng hệ thống này để bảo vệ cho

toàn bộ mạng. Firewall phần cứng có thể là một lựa chọn đỡ tốn chi phí hơn so với

Firewall phần mềm thường phải cài trên mọi máy tính cá nhân trong mạng.

Trong số các công ty cung cấp Firewall phần cứng có thể kể tới Linksys

(http://www.linksys.com) và NetGear (http://www.netgear.com). Tính năng Firewall

phần cứng do các công ty này cung cấp thường được tích hợp sẵn trong các bộ định

tuyến dùng cho mạng của các doanh nghiệp nhỏ và mạng gia đình.

1.1.4.2. Firewall phần mềm

Nếu không muốn tốn tiền mua Firewall phần cứng thì bạn có thể sử dụng

Firewall phần mềm. Về giá cả, Firewall phần mềm thường không đắt bằng firewall

phần cứng, thậm chí một số còn miễn phí (phần mềm Comodo Firewall Pro 3.0, PC

Tools Firewall Plus 3.0, ZoneAlarm Firewall 7.1 …) và bạn có thể tải về từ mạng

Internet.

So với Firewall phần cứng, Firewall phần mềm cho phép linh động hơn, nhất là

khi cần đặt lại các thiết lập cho phù hợp hơn với nhu cầu riêng của từng công ty.

Chúng có thể hoạt động tốt trên nhiều hệ thống khác nhau, khác với Firewall phần

cứng tích hợp với bộ định tuyến chỉ làm việc tốt trong mạng có qui mô nhỏ. Firewall

phần mềm cũng là một lựa chọn phù hợp đối với máy tính xách tay vì máy tính sẽ vẫn

được bảo vệ cho dù mang máy tính đi bất kỳ nơi nào.

Các Firewall phần mềm làm việc tốt với Windows 98, Windows ME và

Windows 2000. Chúng là một lựa chọn tốt cho các máy tính đơn lẻ. Các công ty phần

mềm khác làm các tường lửa này. Chúng không cần thiết cho Windows XP bởi vì XP

đã có một tường lửa cài sẵn.

* Ưu điểm:

- Không yêu cầu phần cứng bổ sung.

- Không yêu cầu chạy thêm dây máy tính.

- Một lựa chọn tốt cho các máy tính đơn lẻ.

* Nhược điểm:

- Chi phí thêm: hầu hết các tường lửa phần mềm tốn chi phí.

- Việc cài đặt và và đặt cấu hình có thể cần để bắt đầu.

- Cần một bản sao riêng cho mỗi máy tính.

1.2. CHỨC NĂNG CỦA FIREWALL

FireWall quyết định những dịch vụ nào từ bên trong được phép truy cập từ bên

ngoài, những người nào từ bên ngoài được phép truy cập đến các dịch vụ bên trong, và

cả những dịch vụ nào bên ngoài được phép truy cập bởi những người bên trong.

1.2.1. Firewall bảo vệ những vấn đề gì?

Bảo vệ dữ liệu: Theo dõi luồng dữ liệu mạng giữa Internet và Intranet. Những

thông tin cần được bảo vệ do những yêu cầu sau:

- Bảo mật: Một số chức năng của Firewall là có thể cất giấu thông tin mạng

tin cậy và nội bộ so với mạng không đáng tin cậy và các mạng bên ngoài

khác. Firewall cũng cung cấp một mũi nhọn trung tâm để đảm bảo sự quản

lý, rất có lợi khi nguồn nhân lực và tài chính của một tổ chức có giới hạn.

- Tính toàn vẹn.

- Tính kịp thời.

Tài nguyên hệ thống.

Danh tiếng của công ty sở hữu các thông tin cần bảo vệ.

1.2.2. Firewall bảo vệ chống lại những vấn đề gì?

FireWall bảo vệ chống lại những sự tấn công từ bên ngoài.

1.2.2.1. Chống lại việc Hacking

Hacker là những người hiểu biết và sự dụng máy tính rất thành thạo và là những

người lập trình rất giỏi. Khi phân tích và khám phá ra các lổ hổng hệ thống nào đó, sẽ

tìm ra những cách thích hợp để truy cập và tấn công hệ thống. Có thể sử dụng các kỹ

năng khác nhau để tấn công vào hệ thống máy tính. Ví dụ có thể truy cập vào hệ thống

mà không được phép truy cập và tạo thông tin giả, lấy cắp thông tin. Nhiều công ty

đang lo ngại về dữ liệu bảo mật bị đánh cắp bởi các hacker. Vì vậy, để tìm ra các

phương pháp để bảo vệ dữ liệu thì Firewall có thể làm được điều này.

1.2.2.2. Chống lại việc sửa đổi mã

Khả năng này xảy ra khi một kẻ tấn công sửa đổi, xóa hoặc thay thế tính xác

thực của các đoạn mã bằng cách sử dụng virus, worm và những chương trình có chủ

tâm. Khi tải file trên internet có thể dẫn tới download các đọan mã có dã tâm, thiếu

kiến thức về bảo mật máy tính, những file download có thể thực thi những quyền theo

mục đích của những người dùng trên một số trang website.

1.2.2.3. Từ chối các dịch vụ đính kèm

Từ chối dịch vụ là một loại ngắt hoạt động của sự tấn công. Lời đe dọa tới tính

liên tục của hệ thống mạng là kết quả từ nhiều phương thức tấn công giống như làm

tràn ngập thông tin hay là sự sửa đổi đường đi không được phép. Bởi thuật ngữ làm

tràn ngập thông tin, là một người xâm nhập tạo ra môt số thông tin không xác thực để

gia tăng lưu lượng trên mạng và làm giảm các dịch vụ tới người dùng thực sự. Hoặc

một kẻ tấn công có thể ngắm ngầm phá hoại hệ thống máy tính và thêm vào phần mềm

có dã tâm, mà phần mềm này sẽ tấn công hệ thống theo thời gian xác đinh trước.

1.2.2.4. Tấn công trực tiếp

Cách thứ nhất: là dùng phương pháp dò mật khẩu trực tiếp. Thông qua các

chương trình dò tìm mật khẩu với một số thông tin về người sử dụng như ngày sinh,

tuổi, địa chỉ … và kết hợp với thư viện do người dùng tạo ra, kẻ tấn công có thể dò

được mật khẩu. Trong một số trường hợp khả năng thành công có thể lên tới 30%. Ví

dụ như chương trình dò tìm mật khẩu chạy trên hệ điều hành Unix có tên là Crack.

Cách thứ hai: là sử dụng lỗi của các chương trình ứng dụng và bản thân hệ điều

hành đã được sử dụng từ những vụ tấn công đầu tiên và vẫn được để chiếm quyền truy

cập (có được quyền của người quản trị hệ thống).

1.2.2.5. Nghe trộm

Có thể biết được tên, mật khẩu, các thông tin truyền qua mạng thông qua các

chương trình cho phép đưa giao tiếp mạng (NIC) vào chế độ nhận toàn bộ các thông

tin lưu truyền qua mạng.

1.2.2.6. Vô hiệu hoá các chức năng của hệ thống (Deny service)

Đây là kiểu tấn công nhằm làm tê liệt toàn bộ hệ thống không cho thực hiện các

chức năng được thiết kế. Kiểu tấn công này không thể ngăn chặn được do những

phương tiện tổ chức tấn công cũng chính là các phương tiện để làm việc và truy nhập

thông tin trên mạng.

1.2.2.7. Lỗi người quản trị hệ thống

Ngày nay, trình độ của các hacker ngày càng giỏi hơn, trong khi đó các hệ

thống mạng vẫn còn chậm chạp trong việc xử lý các lỗ hổng của mình. Điều này đòi

hỏi người quản trị mạng phải có kiến thức tốt về bảo mật mạng để có thể giữ vững an

toàn cho thông tin của hệ thống. Đối với người dùng cá nhân, không thể biết hết các

thủ thuật để tự xây dựng cho mình một Firewall, nhưng cũng nên hiểu rõ tầm quan

trọng của bảo mật thông tin cho mỗi cá nhân. Qua đó, tự tìm hiểu để biết một số cách

phòng tránh những sự tấn công đơn giản của các hacker. Vấn đề là ý thức, khi đã có ý

thức để phòng tránh thì khả năng an toàn sẽ cao hơn.

1.2.2.8. Yếu tố con người

Với những tính cách chủ quan và không hiểu rõ tầm quan trọng của việc bảo

mật hệ thống nên dễ dàng để lộ các thông tin quan trọng cho hacker.

* Ngoài ra thì còn dùng Firewall để chống lại sự “ giả mạo địa chỉ IP “.

1.3. MÔ HÌNH VÀ KIẾN TRÚC CỦA FIREWALL

Kiến trúc của hệ thống sử dụng Firewall như sau:

FIREWALL

The

Internet

router

Server

Router

Computer Computer

Computer

Server

Computer

Hình 1.4. Kiến trúc của hệ thống sử dụng Firewall

Các hệ thống Firewall đều có điểm chung ở các cấu trúc cụ thể như sau:

Hình 1.5. Cấu trúc chung của một hệ thống Firewall

Trong đó:

- Screening Router: là chặng kiểm soát đầu tiên cho LAN.

- DMZ: là vùng có nguy cơ bị tấn công từ internet.

- Gateway Host: là cổng ra vào giữa mạng LAN và DMZ, kiểm soát mọi liên

lạc, thực thi các cơ chế bảo mật.

- IF1 (Interface 1): là card giao tiếp với vùng DMZ.

- IF2 (Interface 2): là card giao tiếp với vùng mạng LAN.

- FTP Gateway: Kiểm soát truy cập FTP giữa LAN và vùng FTP từ mạng

LAN ra internet là tự do. Các truy cập FTP vào LAN đòi hỏi xác thực thông

qua Authentication server.

- Telnet gateway: Kiểm soát truy cập telnet tương tự như FTP, người dùng có

thể telnet ra ngoài tự do, các telnet từ ngoài vào yêu cầu phải xác thực thông

qua Authentication server.

- Authentication server: là nơi xác thực quyền truy cập dùng các kỹ thuật xác

thực mạnh như one-time password/token (mật khẩu sử dụng một lần).

Tất cả các Firewall đều có chung một thuộc tính là cho phép phân biệt đối xử

hay khả năng từ chối truy nhập dựa trên các địa chỉ nguồn. Nhờ mô hình Firewall mà

các máy chủ dịch vụ trong mạng LAN được bảo vệ an toàn, mọi thôn tin trao đổi với

internet đều được kiểm soát thông qua gateway.

1.3.1. Kiến trúc Dual - Homed host (máy chủ trung gian)

Firewall kiến trúc kiểu Dual-homed host được xây dựng dựa trên máy tính

Dual-homed host. Một máy tính được gọi là Dual-homed host nếu có ít nhất hai

Network interfaces, có nghĩa là máy đó có gắn hai card mạng giao tiếp với hai mạng

khác nhau và như thế máy tính này đóng vai trò là router phần mềm. Kiến trúc Dual-

homed host rất đơn giản. Dual-homed host ở giữa, một bên được kết nối với Internet

và bên còn lại nối với mạng nội bộ (LAN).

Dual-homed host chỉ có thể cung cấp các dịch vụ bằng cách ủy quyền (proxy)

chúng hoặc cho phép users đăng nhập trực tiếp vào Dual-homes host. Mọi giao tiếp từ

một host trong mạng nội bộ và host bên ngoài đều bị cấm, Dual-homed host là nơi

giao tiếp duy nhất.

Internet

RemoteUser

Firewall

Dual-homed

host

Internalnetwork

User

Hình 1.6. Kiến trúc Dual - Homed host

1.3.2. Kiến trúc Screend Host

Screened host có cấu trúc ngược lại với cấu trúc Dual-homed host, kiến trúc này

cung cấp các dịch vụ từ một host bên trong mạng nội bộ, dùng một router tách rời với

mạng bên ngoài. Trong kiểu kiến trúc này, bảo mật chính là phương pháp Packet

Filtering.

Bastion host được đặt bên trong mạng nội bộ, Packet Filtering được cài trên

router. Theo cách này, Bastion host là hệ thống duy nhất trong mạng nội bộ mà những

host trên Internet có thể kết nối tới. Mặc dù vậy, chỉ những kiểu kết nối phù hợp (được

thiết lập trong Bastion host) mới được phép kết nối. Bất kỳ một hệ thống bên ngoài

nào cố gắng truy cập vào hệ thống hoặc các dịch vụ bên trong đều phải kết nối tới host

này. Vì thế, Bastion host là host cần phải được duy trì ở chế độ bảo mật cao. Packet

Filtering cũng cho phép Bastion host có thể mở kết nối ra bên ngoài.

Cấu hình của packet filtering trên screening router như sau :

- Cho phép tất cả các host bên trong mở kết nốt tới host bên ngoài thông qua

một số dịch vụ cố định.

- Không cho phép tất cả các kết nối từ host bên trong (cấm những host này sử

dụng dịch vụ proxy thông qua Bastion host).

- Bạn có thể kết hợp nhiều lối vào cho những dịch vụ khác nhau.

- Một số dịch vụ được phép đi vào trực tiếp qua packet filtering.

- Một số dịch vụ khác thì chỉ được phép đi vào gián tiếp qua proxy.

Bởi vì kiến trúc này cho phép các packet đi từ bên ngoài vào mạng bên trong,

nó dường như nguy hiểm hơn kiến trúc Dual-homed host, vì thế nó được thiết kế để

không một packet nào có thể tới được mạng bên trong. Tuy nhiên trên thực tế thì kiến

trúc Dual-homes host đôi khi cũng có lỗi mà cho phép một packet thật sự đi từ bên

ngoài vào bên trong (bởi vì những lỗi này hoàn toàn không biết trước, nó hầu như

không được bảo vệ để chống lại những kiểu tấn công này) . Hơn nữa, kiến trúc Dual-

homes host thì dễ dàng bảo vệ router (là máy cung cấp rất ít các dịch vụ) hơn là bảo vệ

các host bên trong mạng.

Xét về toàn diện thì kiến trúc Screened host cung cấp độ tin cậy cao hơn và an

toàn hơn kiến trúc Dual-homed host.

So sánh với mộ số kiến trúc khác, chẳn hạn như kiến trúc Screened subnet thì

kiến trúc Screened host có một số bất lợi. Bất lợi chính là nếu kẻ tấn công tìm cách

xâm nhập Bastion host thì không có cách nào để ngăn tách giữa Bastion host và các

host còn lại bên trong mạng nội bộ. Router cũng có một số điểm yếu là nếu router bị

tổn thương, toàn bộ mạng sẽ bị tấn công.

Vì lý do này mà Screened subnet trở thành kiến trúc phổ biến nhất.

Internet

RemoteUser

Firewall

Screening

Router

Internalnetwork

User

BastionHost

Hình 1.7. Kiến trúc Screened host

1.3.3. Kiến trúc Screened Subnet

Nhằm tăng cường khả năng bảo vệ mạng nội bộ, thực hiện chiến lược phòng

thủ theo chiều sâu, tăng cường sự an toàn cho bastion host, tách bastion host khỏi các

host khác, phần nào tránh lây lan một khi bastion host bị tổn thương, người ta đưa ra

kiến trúc Firewall có tên là Screened subnet.

Kiến trúc Screened subnet dẫn xuất từ kiến trúc Screened host bằng cách thêm

vào phần an toàn: mạng ngoại vi (perimeter network) nhằm cô lập mạng nội bộ ra khỏi

mạng bên ngoài, tách bastion host ra khỏi các host thông thường khác. Kiểu Screen

subnet đơn giản bao gồm hai screened router:

- Router ngoài (External router còn gọi là access router): nằm giữa mạng

ngoại vi và mạng ngoài có chức năng bảo vệ cho mạng ngoại vi (bastion

host, interior router). Nó cho phép ngững gì outbound từ mạng ngoại vi.

Một số quy tắc packet filtering đặc biệt được cài ở mức cần thiết đủ để bảo

vệ bastion host và interior router vì bastion host còn là host được cài đặt an

toàn ở mức cao. Ngoài các quy tắc đó, các quy tắc khác cần giống nhau giữa

hai router.

- Router trong (Interior router còn gọi là choke router): nằm giữa mạng ngoại

vi và mạng nội bộ, nhằm bảo vệ mạng nôi bộ trước khi ra ngoài và mạng

ngoại vi. Nó không thực hiện hết các quy tắc packet filtering của toàn bộ

firewall. Các dịch vụ mà interior router cho phép giữa bastion host và mạng

nội bộ, giữa bên ngoài và mạng nội bộ không nhất thiết phải giống nhau.

Giới hạn dịch vụ giữa bastion host và mạng nội bộ nhằm giảm số lượng máy

(số lượng dịch vụ trên các máy này) có thể bị tấn công khi bastion host bị

tổn thương và thỏa hiệp với bên ngoài. Chẳng hạn nên giới hạn các dịch vụ

được phép giữa bastion host và mạng nội bộ như SMTP khi có Email từ bên

ngoài vào, có lẽ chỉ giới hạn kết nối SMTP giữa bastion host và email server

bên trong.

Internet

Bastion Host

ExteriorRouter

PerimeterNetwork

InteriorRouter

InternalNetwork

User

Hình 1.8. Kiến trúc Screened Subnet

1.4. PHÂN LOẠI FIREWALL

Hiện nay có nhiều loại Firewall, để tiện cho quá trình nghiên cứu và phát triển,

người ta chia Firewall ra làm hai loại chính bao gồm:

- Packet Filtering Firewall: là hệ thống tường lửa giữa các thành phần bên

trong mạng và bên ngoài mạng có kiểm soát.

- Application-proxy Firewall: là hệ thống cho phép kết nối trực tiếp giữa các

máy khách và các host.

1.4.1. Packet Filtering Firewall

Đây là kiểu Firewall thông dụng hoạt động dựa trên mô hình OSI mức mạng.

Firewall mức mạng thường hoạt động theo nguyên tắc router hay còn được gọi

là router, tức là tạo ra các luật lệ về quyền truy cập mạng dựa trên mức mạng. Mô hình

này hoạt động theo nguyên tắc lọc gói tin. Ở kiểu hoạt động này các gói tin đều được

kiểm tra địa chỉ nguồn nơi chúng xuất phát. Sau khi địa chỉ IP nguồn được xác định,

nó sẽ tiếp tục được kiểm tra với các luật đã đặt ra trên router.

Với phương thức hoạt động như vậy, các Firewall hoạt động ở lớp mạng có tốc

độ xử lý nhanh vì nó chỉ kiểm tra địa chỉ IP nguồn mà không cần biết địa chỉ đó là địa

chỉ sai hay bị cấm. Đây chính là hạn chế của kiểu Firewall này vì nó không đảm bảo

tính tin cậy.

Lỗ hổng của kiểu Firewall này là nó chỉ sử dụng địa chỉ IP nguồn để làm chỉ

thị. Khi một gói tin mang địa chỉ nguồn là địa chỉ giả thì nó sẽ vượt qua được một số

mức truy nhập để vào bên trong mạng.

Firewall kiểu packet filtering chia làm hai loại:

- Packet filtering firewall: Hoạt động tại lớp mạng (Network Layer) của mô

hình OSI. Các luật lọc gói tin dựa trên các trường trong IP header, transport

header, địa chỉ IP nguồn và địa chỉ IP đích …

Securityperimeter

Private

Network

Internet

Packet

filtering

router

Hình 1.9. Packet filtering firewall

- Circuit level gateway: Hoạt động tại lớp phiên (Session Layer) của mô hình

OSI. Mô hình này không cho phép các kết nối end to end.

Circuitlevel

gateway

outside

connection

out

in

Outsidehost

in

inside

connection

in

Insidehost

Hình 1.10. Circuit level gateway

1.4.2. Application-proxy firewall

Khi mộ kết nối từ một người dùng nào đó đến mạng sử dụng Firewall kiểu này

thì kết nối đó sẽ bị chặn lại, sau đó Firewall sẽ kiểm tra các trường có liên quan của

gói tin yêu cầu kết nối. Nếu việc kiểm tra thành công, có nghĩa là các trường thông tin

đáp ứng được các luật đặt ra trên Firewall thì Firewall sẽ tạo mộ cầu kết nối cho gói tin

đi qua.

* Ưu điểm:

- Không có chức năng chuyển tiếp các gói tin IP.

- Điều khiển một cách chi tiết hơn các kết nối thông qua Firewall.

- Đưa ra công cụ cho phép ghi lại quá trình kết nối.

* Nhược điểm:

- Tốc độ xử lý khá chậm.

- Sự chuyển tiếp các gói tin IP khi mộ máy chủ nhận được mộ yêu cầu từ

mạng ngoài rồi chuyển chúng vào mạng trong chính là lỗ hổng cho hacker

xâm nhập.

- Kiểu firewallnày hoạt động dựa trên ứng dựng phần mềm nên phải tạo cho

mỗi dịch vụ trên mạng một trình ứng dựng uỷ quyền (proxy) trên Firewall

(Ex. Ftp proxy, Http proxy).

* Firewall kiểu Application- proxy chia thành hai loại:

- Applicatin level gateway: Hoạt động ở lớp ứng dụng (Application Layer)

trong mô hình TCP/IP.

Application

levelgateway

outside

inside

connection

TELNET

FTP

Outsidehost

Insidehost

SMTP

HTTP

Hình 1.11. Application-proxy firewall

- Stateful multilayer inspection firewall: Đây là loại Firewall kết hợp được

tính năng của các loại Firewall trên, mô hình này lọc các gói tin tại lớp

mạng và kiểm tra nội dung các gói tin tại lớp ứng dụng. Loại Firewall này

cho phép các kết nối trực tiếp giữa client và host nên giảm thiểu được lỗi, nó

cung cấp các tính năng bảo mật cao và trong suốt đối với End Users.

1.5. MỘT SỐ VẤN ĐỀ KHI LỰA CHỌN MỘT FIREWALL

1.5.1. Có cần Firewall ?

Giải quyết đến thực thi vấn đề Firewall sẽ không xảy ra nếu không nghiên cứu

và phân tích. Giải quyết đến vấn đề thực thi Firewall sẽ dựa những đòi hỏi phải định

danh và chứng minh. Bởi vì thực thi của Firewall không được định danh như hướng

giải quyết của những tổ chức khác. Tạo ra những Firewall dựa vào quy mô nhỏ, những

ý nghĩa không thể tạo ra được bởi lổ hổng an ninh và cơ chế gây ra những vấn đề

mạng lưới nhiều hơn là thực hiện Firewall.

1.5.2. Firewall điều khiển và bảo vệ gì ?

Để tạo ra một Firewall thì phải định danh cho được chức năng nào của Firewall

sẽ cần để thực hiện. Nó sẽ điều khiển truy cập đến từ mạng lưới nào, hay nó sẽ bảo vệ

những dịch vụ và người sử dụng nào.

Firewall điều khiển gì ?

- Truy cập vào mạng.

- Truy cập ngoài mạng.

- Truy cập trong những mạng lưới bên trong, những lĩnh vực hay những công

trình kiến trúc.

- Truy cập những nhóm đặt trưng, nhũng người sử dụng hoặc địa chỉ.

- Truy cập đến những tài nguyên cụ thể hoặc những dịch vụ.

Firewall cần bảo vệ cái gì?

- Những mạng lưới hoặc bộ điều khiển đặc biệt.

- Dịch vụ đặc biệt.

- Thông tin riêng tư hoặc công cộng.

- Người sử dụng.

Sau khi nhận ra được Firewall cần để bảo vệ và điều khiển cái gì, quyết định

điều gì có thể xảy ra liên tục với sự bảo vệ và điểu khiển này. Điều gì sẽ xảy ra khi

người sử dụng truy cập đến những trang mà không có quyền truy cập. Điều này sẽ xảy

ra nếu dịch vụ không được bảo vệ và thông tin không được bảo mật tốt. Có phải sự rủi

ro của việc điều khiển hoặc bảo vệ đủ cho bước kế tiếp trong ước lượng thì cần phải có

giải pháp Firewall.

1.6. NHỮNG HẠN CHẾ CỦA FIREWALL

Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại thông

tin và phân tích nội dung tốt hay xấu của nó. Firewall chỉ có thể ngăn chặn sự xâm

nhập của những nguồn thông tin không mong muốn nhưng phải xác định rõ các thông

số địa chỉ.

Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không

"đi qua" nó. Một cách cụ thể, Firewall không thể chống lại một cuộc tấn công từ một

đường dial-up, hoặc sự rò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa

mềm.

Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data-drivent

attack). Khi có một số chương trình được chuyển theo thư điện tử, vượt qua Firewall

vào trong mạng được bảo vệ và bắt đầu hoạt động ở đây.

Một ví dụ là các virus máy tính. Firewall không thể làm nhiệm vụ rà quét virus

trên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các

virus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả năng kiểm soát của

Firewall. Firewall có thể ngǎn chặn những kẻ xấu từ bên ngoài nhưng còn những kẻ

xấu ở bên trong thì sao. Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu được áp dụng

rộng rãi.

Để có được khả nǎng bảo mật tối ưu cho hệ thống, Firewall nên được sử dụng

kết hợp với các biện pháp an ninh mạng như các phần mềm diệt virus, phần mềm đóng

gói, mã hoá dữ liệu. Đặc biệt, chính sách bảo mật được thực hiện một cách phù hợp và

có chiều sâu là vấn đề sống còn để khai thác tối ưu hiệu quả của bất cứ phần mềm bảo

mật nào. Và cũng cần nhớ rằng công nghệ chỉ là một phần của giải pháp bảo mật. Một

nhân tố nữa hết sức quan trọng quyết định thành công của giải pháp là sự hợp tác của

nhân viên, đồng nghiệp.

CHƯƠNG 2

ĐỀ XUẤT MỘT GIẢI PHÁP FIREWALL CHO MỘT

DOANH NGHIỆP NHỎ

2.1. TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT CHO MẠNG MÁY TÍNH

DOANH NGHIỆP

An ninh mạng là các giải pháp bảo vệ mạng máy tính, bảo vệ các ứng dụng trên

mạng, phòng chống các thay đổi, phá hoại, xâm nhập trái phép vào hệ thống mạng. An

ninh mạng còn bao hàm là đảm bảo cho mạng hoạt động ổn định, các chức năng then

chốt hoạt động chính xác và không bị các tác động có hại từ bên ngoài.

2.1.1. Nguyên tắc bảo vệ hệ thống mạng

2.1.1.1. Hoạch định hệ thống bảo vệ mạng

Trong môi trường mạng, phải có sự đảm bảo rằng những dữ liệu có tính bí mật

phải được cất giữ riêng, sao cho chỉ có người có thẩm quyền mới được phép truy cập

chúng. Bảo mật thông tin là việc làm quan trọng, và việc bảo vệ hoạt động mạng cũng

có tầm quan trong không kém.

Mạng máy tính cần được bảo vệ an toàn, tránh khỏi những hiểm hoạ do vô tình

hay cố ý. Tuy nhiên một nhà quản trị mạng cần phải biết bất cứ cái gì cũng có mức độ,

không nên thái quá. Mạng không nhất thiết phải được bảo vệ quá cẩn mật, đến mức

người dùng luôn gặp khó khăn khi truy nhập mạng để thực hiện nhiệm vụ của mình.

Không nên để họ thất vọng khi cố gắng truy cập các tập tin của chính mình.

Bốn hiểm hoạ chính đối với sự an ninh của mạng là:

- Truy nhập mạng bất hợp pháp.

- Sự can thiệp bằng phương tiện điện tử.

- Kẻ trộm.

- Tai họa vô tình hoặc có chủ ý.

Mức độ bảo mật: Tuỳ thuộc vào dạng môi trường trong đó mạng đang hoạt

động.

Chính sách bảo mật: Hệ thống mạng đòi hỏi một tập hợp nguyên tắc, điều luật

và chính sách nhằm loại trừ mọi rủi ro. Giúp hướng dẫn vượt qua các thay đổi và

những tình huống không dự kiến trong quá trình phát triển mạng.

Đào tạo: Người dùng mạng được đào tạo chu đáo sẽ có ít khả năng vô ý phá

huỷ một tài nguyên.

An toàn cho thiết bị: Tuỳ thuộc ở quy mô công ty, độ bí mật dữ liệu, các tài

nguyên khả dụng. Trong môi trường mạng ngang hàng, có thể không có chính sách

bảo vệ phần cứng có tổ chức nào. Người dùng chịu trách nhiệm đảm bảo an toàn cho

máy tính và dữ liệu của riêng mình.

2.1.1.2. Mô hình bảo mật

Hai mô hình bảo mật khác nhau đã phát triển, giúp bảo vệ an toàn dữ liệu và tài

nguyên phần cứng:

- Bảo vệ tài nguyên dùng chung bằng mật mã: Gắn mật mã cho từng tài

nguyên dùng chung.

- Truy cập khi được sự cho phép: Là chỉ định một số quyền nhất định trên cơ

sở người dùng, kiểm tra truy nhập tài nguyên dùng chung căn cứ vào CSDL

user-access trên máy server.

2.1.1.3. Nâng cao mức độ bảo mật

Kiểm toán: Theo dõi hoạt động trên mạng thông qua tài khoản người dùng, ghi

lại nhiều dạng biến cố chọn lọc vào sổ nhật ký bảo mật của máy server. Giúp nhận biết

các hoạt động bất hợp lệ hoặc không chủ định. Cung cấp các thông tin về cách dùng

trong tình huống có phòng ban nào đó thu phí sử dụng một số tài nguyên nhất định, và

cần quyết định phí của những tài nguyên này theo cách thức nào đó.

Máy tính không đĩa: Không có ổ đĩa cứng và ổ mềm. Có thể thi hành mọi việc

như máy tính thông thường, ngoại trừ việc lưu trữ dữ liệu trên đĩa cứng hay đĩa mềm

cục bộ. Không cần đĩa khởi động. Có khả năng giao tiếp với server và đăng nhập nhờ

vào một con chip ROM khởi động đặc biệt được cài trên card mạng. Khi bật máy tính

không đĩa, chip ROM khởi động phát tín hiệu cho server biết rằng nó muốn khởi động.

Server trả lời bằng cách tải phần mềm khởi động vào RAM của máy tính không đĩa và

tự động hiển thị màn hình đăng nhập . Khi đó máy tính được kết nối với mạng.

Mã hoá dữ liệu: Đó là mã hoá thông tin sang dạng mật mã bằng một phương

pháp nào đó sao cho đảm bảo thông tin đó không thể nhận biết được nếu nơi nhận

không biết cách giải mã. Một người sử dụng hay một host có thể sử dụng thông tin mà

không sợ ảnh hưởng đến người sử dụng hay một host khác.

Chống virus :

- Ngăn không cho virus hoạt động.

- Sửa chữa hư hại ở một mức độ nào đó.

- Chặn đứng virus sau khi nó bộc phát.

Ngăn chặn tình trạng truy cập bất hợp pháp là một trong những giải pháp hiệu

nghiệm nhất để tránh virus. Do biện pháp chủ yếu là phòng ngừa, nên người quản trị

mạng phải bảo đảm sao cho mọi yếu tố cần thiết đều đã sẵn sàng:

- Mật mã để giảm khả năng truy cập bất hợp pháp.

- Chỉ định các đặc quyền thích hợp cho mọi người dùng.

- Các profile để tổ chức môi trường mạng cho người dùng có thể lập cấu hình

và duy trì môi trường đăng nhập, bao gồm các kết nối mạng và những khoản

mục chương trình khi người dùng đăng nhập.

- Một chính sách quyết định có thể tải phần mềm nào.

2.1.2. Kiến trúc bảo mật của hệ thống mạng

2.1.2.1. Các mức an toàn thông tin trên mạng

Hình 2.1. Các mức an toàn thông tin trên mạng

An toàn hay bảo mật không phải là một sản phẩm, nó cũng không phải là một

phần mềm. Nó là một cách nghĩ. Sự an toàn có thể được khởi động và dường như một

dịch vụ. Bảo mật là cách an toàn. Tài liệu bảo mật là tư liệu mà những thành viên của

tổ chức muốn bảo vệ. Trách nhiệm của việc bảo mật là người quản trị mạng.

Sự an toàn mạng có vai trò quan trọng tối cao. Cơ chế bảo mật cần phải bao

gồm cấu hình mạng của Server, chu vi ứng dụng của tổ chức mạng và thậm chí của

những Client truy nhập mạng từ xa. Có vài cách mà ta cần phải xem xét:

- Sự an toàn vật lý.

- An toàn hệ thống.

- An toàn mạng.

- An toàn các ứng dụng.

- Sự truy nhập từ xa và việc chấp nhận.

Các lỗ hổng bảo mật trên một hệ thống là các điểm yếu có thể tạo ra sự ngưng

trệ của dịch vụ, thêm quyền đối với người sử dụng hoặc cho phép các truy nhập không

hợp pháp vào hệ thống. Các lỗ hổng cũng có thể nằm ngay ở các dịch vụ cung cấp như

sendmail, web, ftp ... Ngoài ra các lỗ hổng còn tồn tại ngay chính tại hệ điều hành như

trong Windows NT, Windows 95, XP, UNIX hoặc trong các ứng dụng mà người sử

dụng thường xuyên sử dụng như Word processing, các hệ databases ...

2.1.2.2. Ảnh hưởng của các lỗ hổng mạng

Ở phần trên đã phân tích một số trường hợp có những lỗ hổng bảo mật, những

kẻ tấn công có thể lợi dụng những lỗ hổng này để tạo ra những lỗ hổng khác tạo thành

một chuỗi mắt xích những lỗ hổng. Ví dụ, một kẻ phá hoại muốn xâm nhập vào hệ

thống mà không có tài khoản truy nhập hợp lệ trên hệ thống đó. Trong trường hợp này,

trước tiên kẻ phá hoại sẽ tìm ra các điểm yếu trên hệ thống, hoặc từ các chính sách bảo

mật, hoặc sử dụng các công cụ dò xét thông tin trên hệ thống đó để đạt được quyền

truy nhập vào hệ thống. Sau khi mục tiêu duy nhất đã đạt được, kẻ phá hoại có thể tiếp

tục tìm hiểu các dịch vụ trên hệ thống, nắm bắt được các điểm yếu và thực hiện các

hành động phá hoại tinh vi hơn.

Tuy nhiên, có phải bất kỳ lỗ hổng bảo mật nào cùng nguy hiểm đến hệ thống

hay không. Có rất nhiều thông báo liên quan đến lỗ hổng bảo mật trên mạng Internet,

hầu hết trong số đó là các lỗ hổng loại C, là không đặc biệt nguy hiểm đối với hệ

thống. Ví dụ, khi những lỗ hổng về sendmail được thông báo trên mạng, không phải

ngay lập tức ảnh hưởng trên toàn bộ hệ thống. Khi những thông báo về lỗ hổng được

khẳng định chắc chắn, các nhóm tin sẽ đưa ra một số phương pháp để khắc phục hệ

thống.

2.1.3. Mô tả hiện trạng của doanh nghiệp

Trong tình hình mạng máy tính của doanh nghiệp nhỏ thì việc khảo sát hiện

trạng của doanh nghiệp là một điều rất quan trọng. Tình hình mạng máy tính của

doanh nghiệp như thế nào sẻ quyết định mô hình Firewall cho doanh nghiệp đó.

Trước hết phải thấy rằng mạng doanh nghiệp đặc biệt là mạng doanh nghiệp

nhỏ đòi hỏi phải rất gọn, không phức tạp như những công ty lớn về tin học, viễn thông.

Nhưng không phải vì điều đó mà việc bảo mật của mạng máy tính doanh nghiệp bị

xem nhẹ. Có thể nói việc bảo mật cho mạng doanh nghiệp là yêu cầu hàng đầu của các

doanh nghiệp đối với các nhà quản trị mạng. Việc bảo mật tốt dữ liệu của các mạng

doanh nghiệp là vấn đề sống còn của doanh nghiệp.

Khảo sát hiện trạng của doanh nghiệp cho một cái nhìn tổng quát về mạng máy

tính của doanh nghiệp. Từ tình trạng của doanh nghiệp giúp quyết định được sẽ chọn

loại Firewall cho phù hợp.

Do doanh nghiệp thuộc vào doanh nghiệp nhỏ nên có quy mô cơ sở vật chất

trang thiết bị máy tính cũng như hạ tầng mạng không lớn lắm. Hiện trạng của doanh

nghiệp sẽ quyết định tới mô hình Firewall mà ta sẽ lựa chọn cho phù hợp.

Để hỗ trợ cho Firewall của doanh nghiệp người quản trị mạng cuả doanh nghiệp

phải luôn luôn cập nhật những lỗ hổng bảo mật mới của phần mềm Firewall đang sử

dụng. Bên cạnh đó thường xuyên tìm hiểu những cách thức tấn công mới của những kẻ

phá hoại để từ đó đề ra những phương án phòng chống hữu hiệu.

Hiện trạng của doanh nghiệp đó là nhưng cơ sở vật chất thiết bị máy tính của

doanh nghiệp, cách bố trí mạng như thế nào, tài khoản của người sử dụng … nếu nắm

rỏ được hiện trạng của doanh nghiệp thì việc vận hành Firewall sẽ dễ dàng hơn rất

nhiều và hiệu quả bảo vệ của Firewall cũng nâng lên rất nhiều. Việc phân chia quyền

sử dụng trong mạng doanh nghiệp cũng là một vấn đề cần quan tâm đối với người

quản trị mạng doanh nghiệp, phải có cái nhìn thật kỹ lưỡng và chính xác trong việc