Đồ án: Giải pháp & Cấu hình tường lửa mã nguồn mở - ĐH Nguyễn Tất Thành

Đồ án chuyên ngành: Giải pháp & cấu hình tường lửa mã nguồn mở. Bảo vệ hệ thống mạng hiệu quả, an toàn trước các mối đe dọa. Tìm hiểu ngay!

Chuyên ngành

Công nghệ thông tin

Người đăng

Ẩn danh

Thể loại

Đồ án chuyên ngành

2021

67
1
0

Phí lưu trữ

30 Point

Mục lục chi tiết

LỜI CẢM ƠN

LỜI MỞ ĐẦU

DANH MỤC CÁC BẢNG HÌNH

DANH MỤC CÁC TỪ VIẾT TẮT

1. CHƯƠNG 1: TÌM HIỂU VỀ CÔNG NGHỆ FIREWALL VÀ CÁC GIẢI PHÁP

1.1. TÌM HIỂU VỀ CÔNG NGHỆ FIREWALL

1.1.1. Khái niệm về firewall

1.1.2. Mục đích của firewall

1.2. CÁC LỰA CHỌN FIREWALL

1.2.1. Firewall phần cứng

1.2.2. Firewall phần cứng

1.3. CHỨC NĂNG CỦA FIREWALL

1.4. KIẾN TRÚC CƠ BẢN CỦA FIREWALL

1.4.1. Kiến trúc Dual – Homed Host

1.4.2. Kiến trúc Screend Host

1.4.3. Kiến trúc Screend Subnet

1.5. PHÂN LOẠI FIREWALL

1.5.1. Packet Feltering Firewall

1.5.2. Application – Proxy Firewall

1.6. NHIỆM VỤ VÀ HẠN CHẾ CỦA FIREWALL

1.6.1. Nhiệm vụ cơ bản của Firewall

1.6.2. Những hạn chế của firewall

1.7. CÁC GIẢI PHÁP CỦA FIREWALL

1.7.1. Phần mềm mã nguồn mở Pfsense firewall

1.7.2. Phần mềm mã nguồn mở IPCop firewall

1.7.3. Phần mềm Firewall Check Point Technologies’ Safe@Office

1.7.4. Phần mềm FortiGate Antivirus Firewall

2. CHƯƠNG 2: PFSENSE FIREWALL

2.1. TƯỜNG LỬA PFSENSE

2.2. LỢI ÍCH CỦA PFSENSE

2.3. CÁC GÓI DỊCH VỤ PFSENSE

2.4. MỘT SỐ TÍNH NĂNG CỦA PFSENSE

2.5. MỘT SỐ DỊCH VỤ CỦA PFSENSE

2.5.1. Cài đặt Packages

2.5.2. Backup and Recovery

2.5.3. VPN trên Pfsense

3. CHƯƠNG 3: TRIỂN KHAI PFSENSE

3.1. CHUẨN BỊ CÀI ĐẶT PFSENSE

3.2. CÀI ĐẶT PFSENSE

3.3. TRIỂN KHAI PFSENSE

3.3.1. Cấu hình DHCP Server

TÀI LIỆU THAM KHẢO

Tóm tắt

I. Tổng Quan Đồ Án Chuyên Ngành Tường Lửa Mã Nguồn Mở 55 ký tự

Trong bối cảnh công nghệ thông tin phát triển mạnh mẽ, đặc biệt là sự bùng nổ của Internet, vấn đề an ninh mạng trở nên cấp thiết hơn bao giờ hết. Các cuộc tấn công mạng ngày càng tinh vi và gây ra hậu quả nghiêm trọng về vật chất và uy tín cho các tổ chức, doanh nghiệp. Vì vậy, việc xây dựng và triển khai một hệ thống bảo mật hiệu quả là vô cùng quan trọng. Tường lửa là một trong những thành phần cơ bản và hữu ích nhất trong hạ tầng an ninh mạng. Đồ án chuyên ngành này tập trung vào nghiên cứu, tìm hiểu các giải pháp tường lửacấu hình tường lửa trong hệ thống mạng mã nguồn mở, nhằm cung cấp một giải pháp bảo mật hiệu quả và tiết kiệm chi phí cho các tổ chức, doanh nghiệp vừa và nhỏ. Mục tiêu chính là xây dựng, triển khai một hệ thống firewall solutions sử dụng các công cụ mã nguồn mở như pfSense, IPTables, cung cấp khả năng bảo vệ toàn diện cho hệ thống mạng trước các mối đe dọa từ bên ngoài. Việc lựa chọn mã nguồn mở mang lại sự linh hoạt, khả năng tùy biến cao, và giảm thiểu chi phí đầu tư ban đầu. Đồ án này hướng đến việc cung cấp kiến thức thực tiễn về network security, security policy, giúp người đọc có thể áp dụng để bảo vệ hệ thống mạng của mình một cách hiệu quả. Cần nhấn mạnh tầm quan trọng của việc cập nhật kiến thức liên tục về các vấn đề bảo mật, các công nghệ firewall mới nhất để đối phó với các mối đe dọa ngày càng phức tạp.

1.1. Tầm quan trọng của bảo mật mạng trong kỷ nguyên số

Trong thời đại số, bảo mật mạng đóng vai trò then chốt đối với sự tồn tại và phát triển của mọi tổ chức. Sự gia tăng các cuộc tấn công mạng không chỉ gây thiệt hại về tài chính mà còn ảnh hưởng đến uy tín và hoạt động kinh doanh. Việc bảo vệ dữ liệu, hệ thống và người dùng khỏi các mối đe dọa trực tuyến là trách nhiệm hàng đầu của các nhà quản lý và chuyên gia an ninh mạng. Giải pháp tường lửa đóng vai trò như một tuyến phòng thủ đầu tiên, ngăn chặn các truy cập trái phép và các cuộc tấn công từ bên ngoài, đảm bảo an toàn mạng.

1.2. Tại sao lựa chọn giải pháp tường lửa mã nguồn mở

Các giải pháp tường lửa mã nguồn mở như pfSense, OPNsense, IPTables mang lại nhiều lợi ích vượt trội so với các sản phẩm thương mại. Tính linh hoạt cao, khả năng tùy biến sâu, và cộng đồng hỗ trợ lớn giúp người dùng dễ dàng điều chỉnh, phát triển tường lửa phù hợp với nhu cầu cụ thể. Bên cạnh đó, chi phí đầu tư thấp và không bị ràng buộc bởi các điều khoản bản quyền cũng là những yếu tố quan trọng thúc đẩy việc lựa chọn mã nguồn mở.

II. Thách Thức An Ninh Mạng Đánh Giá Giải Pháp Tường Lửa 59 ký tự

Hệ thống mạng hiện đại đối mặt với vô vàn thách thức an ninh mạng. Từ các cuộc tấn công từ chối dịch vụ (DoS), tấn công xâm nhập trái phép (Intrusion), đến các phần mềm độc hại (Malware) ngày càng tinh vi, các biện pháp bảo mật truyền thống không còn đủ sức bảo vệ. Tường lửa, dù là một thành phần quan trọng, cũng cần được cấu hình và quản lý chặt chẽ để phát huy tối đa hiệu quả. Các lỗ hổng bảo mật trong cấu hình tường lửa, việc thiếu cập nhật phần mềm, và các chính sách bảo mật lỏng lẻo có thể tạo điều kiện cho kẻ tấn công xâm nhập vào hệ thống. Do đó, việc đánh giá và lựa chọn giải pháp tường lửa phù hợp, kết hợp với việc triển khai các biện pháp bảo mật mạng toàn diện, là vô cùng quan trọng. Các kỹ thuật như packet filtering, stateful inspection, deep packet inspection (DPI) cần được hiểu rõ và áp dụng một cách linh hoạt để đối phó với các mối đe dọa khác nhau. Ngoài ra, việc giám sát lưu lượng mạng (traffic monitoring) và phân tích nhật ký (Log analysis) cũng đóng vai trò quan trọng trong việc phát hiện sớm các hoạt động bất thường và kịp thời ngăn chặn các cuộc tấn công.

2.1. Các mối đe dọa an ninh mạng phổ biến hiện nay

Các mối đe dọa an ninh mạng ngày càng đa dạng và phức tạp. Tấn công từ chối dịch vụ (DoS)tấn công phân tán từ chối dịch vụ (DDoS) có thể làm tê liệt hệ thống mạng. Phần mềm độc hại (Malware) như virus, trojan, ransomware có thể đánh cắp dữ liệu, mã hóa thông tin hoặc gây hư hỏng hệ thống. Các cuộc tấn công xâm nhập trái phép (Intrusion) nhắm vào các lỗ hổng bảo mật để chiếm quyền kiểm soát hệ thống. Kỹ thuật lừa đảo (Phishing) đánh lừa người dùng cung cấp thông tin cá nhân. Việc hiểu rõ các mối đe dọa này là bước đầu tiên để xây dựng hệ thống bảo mật mạng hiệu quả.

2.2. Lỗ hổng thường gặp trong cấu hình tường lửa

Ngay cả khi đã triển khai tường lửa, hệ thống vẫn có thể bị tấn công nếu cấu hình tường lửa không đúng cách. Các lỗi thường gặp bao gồm: chính sách bảo mật quá lỏng lẻo, cho phép quá nhiều lưu lượng không cần thiết đi qua; thiếu cập nhật phần mềm, dẫn đến việc khai thác các lỗ hổng đã biết; sử dụng mật khẩu yếu hoặc mặc định cho các tài khoản quản trị; không giám sát và phân tích nhật ký để phát hiện các hoạt động bất thường. Kiểm soát truy cập (Access control) không chặt chẽ cũng tạo điều kiện cho kẻ tấn công xâm nhập.

III. pfSense Giải Pháp Tường Lửa Mã Nguồn Mở Ưu Việt 58 ký tự

pfSense là một giải pháp tường lửa mã nguồn mở mạnh mẽ, được xây dựng trên nền tảng FreeBSD. Nó cung cấp đầy đủ các tính năng của một tường lửa chuyên nghiệp, bao gồm packet filtering, stateful inspection, Network Address Translation (NAT), VPN, và nhiều tính năng khác. pfSense được đánh giá cao về tính ổn định, hiệu năng, và khả năng tùy biến. Giao diện quản lý web trực quan giúp người dùng dễ dàng cấu hình và quản lý hệ thống. Cộng đồng hỗ trợ lớn và các gói mở rộng (Packages) cho phép người dùng tùy chỉnh pfSense theo nhu cầu cụ thể. pfSense là một lựa chọn lý tưởng cho các doanh nghiệp vừa và nhỏ, cũng như các tổ chức giáo dục và nghiên cứu, muốn xây dựng một hệ thống bảo mật mạng hiệu quả với chi phí hợp lý. Việc sử dụng pfSense không chỉ giúp bảo vệ hệ thống mạng khỏi các mối đe dọa từ bên ngoài mà còn cung cấp khả năng giám sát lưu lượng mạng (traffic monitoring), phân tích nhật ký (log analysis), và xây dựng các security policy phù hợp.

3.1. Các tính năng nổi bật của pfSense Firewall

pfSense sở hữu nhiều tính năng mạnh mẽ, bao gồm: tường lửa lọc gói tin (packet filtering firewall), kiểm tra trạng thái kết nối (stateful inspection), dịch địa chỉ mạng (NAT), mạng riêng ảo (VPN) (IPSec, OpenVPN, PPTP), cân bằng tải (load balancing), hệ thống phát hiện xâm nhập (IDS), hệ thống ngăn chặn xâm nhập (IPS), báo cáo và thống kê (reporting and statistics). Các tính năng này giúp pfSense bảo vệ hệ thống mạng một cách toàn diện.

3.2. Hướng dẫn cài đặt và cấu hình pfSense cơ bản

Việc cài đặt pfSense tương đối đơn giản. Người dùng có thể tải về bản cài đặt ISO từ trang chủ, tạo một máy ảo hoặc sử dụng một máy tính vật lý, và thực hiện theo các hướng dẫn trên màn hình. Sau khi cài đặt, người dùng cần cấu hình các thông số mạng cơ bản, thiết lập các giao diện mạng (WAN, LAN), và tạo các quy tắc tường lửa ban đầu. Việc cấu hình DHCP Server cũng cần thiết để cấp phát địa chỉ IP cho các thiết bị trong mạng LAN.

3.3 Cấu hình VPN Server trên pfSense Firewall

Để đảm bảo an toàn cho việc truy cập từ xa, pfSense cho phép thiết lập VPN Server, hỗ trợ nhiều giao thức như OpenVPN, IPsec. Việc cấu hình OpenVPN yêu cầu tạo CA, Server Certificate và Client Certificate. Sau đó, người dùng cần cấu hình các thông số như giao thức mã hóa, cổng, dải địa chỉ IP và tạo Rule cho phép kết nối VPN. Client cần cài đặt OpenVPN Client và nhập cấu hình được export từ Server để kết nối. Tính năng mạng riêng ảo (VPN) này đảm bảo tính bảo mật và riêng tư cho các kết nối từ xa.

IV. Cấu Hình Nâng Cao Bảo Mật Tối Ưu Tường Lửa pfSense 58 ký tự

Ngoài các cấu hình cơ bản, pfSense còn cung cấp nhiều tùy chọn cấu hình nâng cao để tăng cường bảo mậttối ưu hiệu năng. Việc sử dụng Aliases giúp đơn giản hóa việc quản lý các quy tắc tường lửa. Các công cụ như pfBlockerNG giúp chặn quảng cáo và các trang web độc hại. Cấu hình Intrusion Detection System (IDS)Intrusion Prevention System (IPS) giúp phát hiện và ngăn chặn các cuộc tấn công. Giám sát lưu lượng mạng (traffic monitoring)phân tích nhật ký (log analysis) giúp phát hiện sớm các hoạt động bất thường. Việc phân vùng mạng (network segmentation) và sử dụng DMZ giúp cô lập các hệ thống quan trọng. Cần liên tục cập nhật các bản vá bảo mật (Security) và theo dõi các cảnh báo an ninh mạng (Network security) để đảm bảo hệ thống được bảo vệ tốt nhất.

4.1. Sử dụng Aliases để quản lý quy tắc tường lửa hiệu quả

Aliases là một tính năng mạnh mẽ giúp đơn giản hóa việc quản lý các quy tắc tường lửa trong pfSense. Thay vì phải nhập địa chỉ IP hoặc cổng một cách thủ công cho từng quy tắc, người dùng có thể tạo ra các Aliases đại diện cho một nhóm địa chỉ IP, mạng hoặc cổng. Sau đó, có thể sử dụng Aliases này trong các quy tắc tường lửa, giúp việc cấu hình và quản lý trở nên dễ dàng hơn.

4.2. Chặn quảng cáo và phần mềm độc hại với pfBlockerNG

pfBlockerNG là một gói mở rộng cho pfSense cho phép chặn quảng cáo, phần mềm độc hại, và các trang web độc hại. Nó sử dụng các danh sách đen (Blacklists) để lọc các tên miền và địa chỉ IP có hại. Người dùng có thể tùy chỉnh các danh sách đen này hoặc sử dụng các danh sách được cung cấp bởi cộng đồng. pfBlockerNG giúp cải thiện bảo mật và hiệu năng của hệ thống mạng bằng cách ngăn chặn các nội dung không mong muốn.

4.3 Thiết lập Intrusion Detection và Prevention System IDS IPS

Để tăng cường khả năng phát hiện và ngăn chặn các cuộc tấn công, pfSense có thể được tích hợp với các hệ thống Intrusion Detection System (IDS)Intrusion Prevention System (IPS) như Snort hoặc Suricata. IDS giúp phát hiện các hoạt động đáng ngờ dựa trên các quy tắc và mẫu tấn công đã biết. IPS tiến thêm một bước bằng cách tự động ngăn chặn các cuộc tấn công này. Việc cấu hình IDS/IPS đòi hỏi kiến thức chuyên sâu về an ninh mạng, nhưng nó mang lại lớp bảo vệ bổ sung quan trọng.

V. Ứng Dụng Thực Tế Triển Khai Tường Lửa pfSense cho SMB 56 ký tự

pfSense là một lựa chọn tuyệt vời cho các doanh nghiệp vừa và nhỏ (SMB) muốn xây dựng một hệ thống bảo mật mạng hiệu quả với chi phí hợp lý. Nó có thể được triển khai trên một máy tính vật lý hoặc một máy ảo, và cung cấp đầy đủ các tính năng cần thiết để bảo vệ hệ thống mạng khỏi các mối đe dọa từ bên ngoài. Một kịch bản triển khai điển hình bao gồm việc thiết lập pfSense làm cổng kết nối giữa mạng LAN và Internet, cấu hình các quy tắc tường lửa để kiểm soát lưu lượng truy cập, và sử dụng VPN để cho phép nhân viên truy cập từ xa một cách an toàn. Việc giám sát lưu lượng mạng (traffic monitoring)phân tích nhật ký (log analysis) giúp phát hiện sớm các hoạt động bất thường và kịp thời ngăn chặn các cuộc tấn công. Phân vùng mạng (network segmentation) cũng có thể được sử dụng để cô lập các hệ thống quan trọng.

5.1. Kịch bản triển khai pfSense cho văn phòng nhỏ

Trong một văn phòng nhỏ, pfSense có thể được triển khai trên một máy tính duy nhất, đóng vai trò là tường lửa, router, và máy chủ VPN. Máy tính này cần có ít nhất hai giao diện mạng: một kết nối với Internet (WAN) và một kết nối với mạng LAN. Sau khi cài đặt pfSense, người dùng cần cấu hình các giao diện mạng, tạo các quy tắc tường lửa để cho phép hoặc chặn lưu lượng truy cập, và thiết lập VPN để cho phép nhân viên truy cập từ xa một cách an toàn.

5.2. Bảo vệ máy chủ web và email bằng pfSense

Nếu doanh nghiệp có máy chủ web hoặc email, cần có biện pháp bảo vệ đặc biệt. pfSense có thể được sử dụng để tạo một DMZ (Demilitarized Zone), nơi đặt các máy chủ này. DMZ là một mạng con riêng biệt, được tách biệt khỏi mạng LAN bằng tường lửa. Điều này giúp ngăn chặn kẻ tấn công xâm nhập vào mạng LAN nếu máy chủ web hoặc email bị xâm nhập. Các quy tắc tường lửa cần được cấu hình để chỉ cho phép lưu lượng truy cập cần thiết đến các máy chủ trong DMZ.

VI. Kết Luận Tương Lai Tường Lửa Mã Nguồn Mở Phát Triển 58 ký tự

Việc sử dụng giải pháp tường lửa như pfSense mang lại nhiều lợi ích cho các tổ chức, doanh nghiệp, đặc biệt là về chi phí và tính linh hoạt. Tuy nhiên, việc cấu hình và quản lý tường lửa đòi hỏi kiến thức chuyên môn và sự cẩn trọng. Trong tương lai, các giải pháp tường lửa mã nguồn mở sẽ tiếp tục phát triển, tích hợp các công nghệ mới như trí tuệ nhân tạo (AI) và học máy (Machine Learning) để phát hiện và ngăn chặn các cuộc tấn công một cách hiệu quả hơn. Việc tự động hóa các tác vụ cấu hình và quản lý cũng sẽ giúp giảm thiểu gánh nặng cho các nhà quản trị mạng. Đồng thời, cộng đồng mã nguồn mở sẽ tiếp tục đóng vai trò quan trọng trong việc phát triển và duy trì các giải pháp tường lửa này, đảm bảo tính bảo mật và ổn định.

6.1. Xu hướng phát triển của công nghệ tường lửa mã nguồn mở

Các giải pháp tường lửa mã nguồn mở đang ngày càng trở nên phổ biến, và dự kiến sẽ tiếp tục phát triển mạnh mẽ trong tương lai. Các xu hướng chính bao gồm: tích hợp AI và Machine Learning để phát hiện và ngăn chặn các cuộc tấn công một cách thông minh hơn; tự động hóa các tác vụ cấu hình và quản lý để giảm thiểu gánh nặng cho các nhà quản trị mạng; tăng cường tính bảo mật và ổn định thông qua các bản vá và cập nhật thường xuyên; và mở rộng khả năng tích hợp với các hệ thống bảo mật khác.

6.2. Các nguồn tài liệu và cộng đồng hỗ trợ pfSense

Người dùng pfSense có thể tìm thấy nhiều nguồn tài liệu và cộng đồng hỗ trợ trực tuyến. Trang chủ pfSense cung cấp tài liệu hướng dẫn chi tiết, diễn đàn, và wiki. Cộng đồng người dùng pfSense rất lớn và năng động, sẵn sàng giúp đỡ lẫn nhau trên các diễn đàn và nhóm chat. Ngoài ra, có nhiều blog và trang web cung cấp các hướng dẫn và mẹo cấu hình pfSense.

22/09/2025

Trích đoạn nội dung tài liệu

CHƯƠNG 1: TÌM HIỂU VỀ CÔNG NGHỆ FIREWALL VÀ CÁC GIẢI PHÁP 1. TÌM HIỂU VỀ CÔNG NGHỆ FIREWALL 1. Khái niệm về firewall Firewall theo tiếng việt có nghĩa là Bức Tường lửa. Dùng để ngặn chặn và bảo vệ những thông tin và chống việc truy cập bất hợp pháp của các hacker.

Firewall là một giải pháp dựa trên phần cứng và phần mềm dùng để kiểm tra dữ liệu đi từ bên ngoài vào máy tính hoặc từ máy tính ra ngoài mạng Internet, rộng hơn là giữa mạng nội bộ và Internet, và giữa các mạng con trong hệ thống mạng nội bộ của công ty. Có thể nói Firewall là nguời bảo vệ có nhiệm vụ kiểm tra “giấy thông hành” của bất kì gói dữ liệu đi vào hoặc đi ra. Nó chỉ cho phép những gói dữ liệu hợp lệ đi qua và loại bỏ tất cả các gói dữ liệu không hợp lệ. Sự ra đời của firewall Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hỏa hoạn.

Trong công nghệ mạng thông tin, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống. Cũng có thể hiểu Firewall là một cơ chế (Mechanism) để bảo vệ mạng tin tưởng (Trusted network) khỏi các mạng không tin tưởng (Untrusted network). Thông thưởng Firewall được đặt giữa mạng bên trong (Intranet) của một công ty, tổ chức, ngành hay một quốc gia, và Internet. Vai trò chính là bảo mật thông tin, ngăn chặn sự truy nhập không mong muốn từ bên ngoài (Internet) và cấm truy nhập từ bên trong (Intranet) tới một số địa chỉ nhất định trên Internet.

Internet FireWall là một tập hợp thiết bị (bao gồm phần cứng và phần mềm) giữa mạng của một tổ chức, một công ty, hay một quốc gia (Intranet) và Internet: (INTRANET - FIREWALL - INTERNET) 1 Trong một số trường hợp, Firewall có thể được thiết lập ở trong cùng một mạng nội bộ và cô lập các miền an toàn. Ví dụ như một mạng cục bộ sử dụng Firewall để ngăn cách phòng máy và hệ thống mạng ở tầng dưới. Một Firewall làm việc bằng cách kiểm tra thông tin đến và ra Internet. Nó nhận dạng và bỏ qua các thông tin đến từ một nơi nguy hiểm hoặc có vẻ nghi ngờ.

Nếu bạn cài đặt Firewall của bạn một cách thích hợp, các tin tặc tìm kiếm các máy tính dễ bị tấn công không thể phát hiện ra máy tính. Firewall là một giải pháp dựa trên phần cứng hoặc phần mềm dùng để kiểm tra các dữ liệu. Một lời khuyên là nên sử dụng firewall cho bất kỳ máy tính hay mạng nào Bạn đã gửi có kết nối tới Internet. Đối với kết nối Internet băng thông rộng thì Firewall càng quan trọng, bởi vì đây là loại kết nối thường xuyên bật (always on) nên những tin tặc sẽ có nhiều thời gian hơn khi muốn tìm cách đột nhập vào máy tính.

Kết nối băng thông rộng cũng thuận lợi hơn cho tin tặc khi được sử dụng để làm phương tiện tiếp tục tấn công các máy tính khác. Mục đích của firewall Với Firewall, người sử dụng có thể yên tâm đang được thực thi quyền giám sát các dữ liệu truyền thông giữa máy tính của họ với các máy tính hay hệ thống khác. Có thể xem Firewall là một người bảo vệ có nhiệm vụ kiểm tra "giấy thông hành" của bất cứ gói dữ liệu nào đi vào máy tính hay đi ra khỏi máy tính của người sử dụng, chỉ cho phép những gói dữ liệu hợp lệ đi qua và loại bỏ tất cả các gói dữ liệu không hợp lệ. Các giải pháp Firewall là thực sự cần thiết, xuất phát từ chính cách thức các dữ liệu di chuyển trên Internet.

Giả sử gửi cho người thân của mình một bức thư thì để bức thư đó được chuyển qua mạng Internet, trước hết phải được phân chia thành từng gói nhỏ. Các gói dữ liệu này sẽ tìm các con đường tối ưu nhất để tới địa chỉ người nhận thư và sau đó lắp ráp lại (theo thứ tự đã được đánh số trước đó) và khôi phục nguyên dạng như ban đầu. Việc phân chia thành gói làm đơn giản hoá việc chuyển dữ liệu trên Internet nhưng có thể dẫn tới một số vấn đề. Nếu một người nào đó với dụng ý không tốt gửi tới một số gói dữ liệu, nhưng lại cái bẫy làm cho máy tính của không biết cần phải xử lý các gói dữ liệu này như thế nào hoặc làm cho các gói dữ liệu lắp ghép theo thứ tự sai, thì có thể nắm quyền kiểm soát từ xa đối với máy tính của và gây nên những vấn đề nghiêm trọng.

Kẻ 2 nắm quyền kiểm soát trái phép sau đó có thể sử dụng kết nối Internet của để phát động các cuộc tấn công khác mà không bị lộ tung tích của mình. Firewall sẽ đảm bảo tất cả các dữ liệu đi vào là hợp lệ, ngăn ngừa những người sử dụng bên ngoài đoạt quyền kiểm soát đối với máy tính của bạn. Chức năng kiểm soát các dữ liệu đi ra của Firewall cũng rất quan trọng vì sẽ ngăn ngừa những kẻ xâm nhập trái phép "cấy" những virus có hại vào máy tính của để phát động các cuộc tấn công cửa sau tới những máy tính khác trên mạng Internet. Firewall được đặt giữa mạng riêng và Internet Một Firewall gồm có ít nhất hai giao diện mạng: Chung và riêng, giao diện chung kết nối với Internet, là phía mà mọi người có thể truy cập, giao diện riêng là phía mà chứa các dữ liệu được bảo vệ.

Trên một Firewall có thể có nhiều giao diện riêng tuỳ thuộc vào số đoạn mạng cần được tách rời. Ứng với mỗi giao diện có một bộ quy tắc bảo vệ riêng để xác định kiểu lưu thông có thể qua từ những mạng chung và mạng riêng. Firewall cũng có thể làm được nhiều việc hơn và cũng có nhiều thuận lợi và khó khăn. Thông thường nhà quản trị mạng sử dụng Firewall như một thiết bị đầu nối VPN, máy chủ xác thực hoặc máy chủ DNS.

Tuy nhiên như bất kì một thiết bị mạng khác, Bạn đã gửi nhiều dịch vụ hoạt động trên cùng một máy chủ thì các rủi ro càng nhiều. Do đó, một Firewall không nên chạy nhiều dịch vụ. Firewall là lớp bảo vệ thứ hai trong hệ thống mạng, lớp thứ nhất là bộ định tuyến ở mức định tuyến sẽ cho phép hoặc bị từ chối các địa chỉ IP nào đó và phát hiện những gói tin bất bình thường. Firewall xem những công nào là được phép hay từ chối.

Firewall đôi lúc cũng hữu ích cho những đoạn mạng nhỏ hoặc địa chỉ IP riêng lẻ. Bởi vì bộ định tuyến 3 thường làm việc quá tải, nên việc sử dụng bộ định tuyến để lọc ra bộ định tuyến IP đơn, hoặc một lớp địa chỉ nhỏ có thể tạo ra một tải trọng không cần thiết. Firewall có ích cho việc bảo về những mạng từ những lưu lượng không mong muốn. Nếu một mạng không có các máy chủ công cộng thị Firewall là công cụ rất tốt để từ chối những lưu lượng đi vào, những lưu lượng mà không bắt đầu từ một máy ở sau Firewall, một Firewall cũng có thể được cấu hình để từ chối tất cả các lưu lượng ngoại trừ cổng 53 đã dành riêng cho máy chủ DNS.

Hệ thống mạng gồm có Firewall và máy chủ Sức mạnh của Firewall nằm trong khả năng lọc lưu lượng dựa trên một tập hợp các quy tắc bảo vệ, còn gọi là quy tắc bảo vệ do các nhà quản trị đưa vào. Đây cũng có thể là nhược điểm lớn nhất của Firewall, bộ quy tắc xấu hoặc không đầy đủ có thể mở lối cho kẻ tấn công, và mạng có thể không được an toàn. Nhiều nhà quản trị mạng không nghĩ rằng Firewall hoạt động như một thiết bị mạng phức tạp. Người ta quan tâm nhiều đến việc giữ lại những lưu lượng không mong muốn đến mạng riêng, ít quan tâm đến việc giữ lại những lưu lượng không mong muốn đến mạng công cộng.

Nên quan tâm đến cả hai kiểu của tập các quy luật bảo vệ. Nếu một kẻ tấn công muốn tìm cách xâm nhập vào một máy chủ, chúng không thể sử dụng máy chủ đó để tấn công vào các thiết bị mạng ở xa. 4 Để bảo vệ và giúp cho các lưu lượng bên trong đoạn mạng các nhà quản lý thường chạy hai bộ Firewall, bộ thứ nhất để bảo vệ toàn bộ mạng, và bộ còn lại để bảo về các đoạn mạng khác. Nhiều lớp Firewall cũng cho phép các nhà quản trị an toàn mạng kiểm soát tốt hơn những dòng thông tin, đặc biệt là các cơ sở bên trong và bên ngoài công ty phải xử lý các thông tin nhảy cảm.

Các hoạt động trao đổi thông tin có thể cho phép trên phần nào đó của mạng thì có thể bị giới hạn trên những vùng nhạy cảm hơn. Sử dụng nhiều firewall để tăng độ an toàn 1. CÁC LỰA CHỌN FIREWALL 1. Firewall phần cứng Firewall phần cứng cung cấp mức độ bảo vệ cao hơn so với Firewall phần mềm và dễ bảo trì hơn.

Firewall phần cứng cũng có một ưu điểm khác là không chiếm dụng tài nguyên hệ thống trên máy tính như Firewall phần mềm. Firewall phần cứng là một lựa chọn rất tốt đối với các doanh nghiệp nhỏ, đặc biệt cho những công ty có chia sẻ kết nối Internet. Có thể kết hợp Firewall và một bộ định tuyến trên cùng một hệ thống phần cứng và sử dụng hệ thống này để bảo vệ cho toàn bộ mạng. Firewall phần cứng có thể là một lựa chọn đỡ tốn chi phí hơn so với Firewall phần mềm thường phải cài trên mọi máy tính cá nhân trong mạng.

Trong số các công ty cung cấp Firewall phần cứng có thể kể tới Linksys (www.com) và NetGear (www. Tính năng Firewall phần cứng do các công ty này cung cấp thường được tích hợp sẵn trong các bộ định tuyến dùng cho mạng của các doanh nghiệp nhỏ và mạng gia đình. Firewall phần cứng 5 Nếu không muốn tốn tiền mua Firewall phần cứng thì bạn có thể sử dụng Firewall phần mềm. Về giá cả, Firewall phần mềm thường không đắt bằng firewall phần cứng, thậm chí một số còn miễn phí (phần mềm Comodo Firewall Pro 3.0, PC Tools Firewall Plus 3.) và bạn có thể tải về từ mạng Internet.

So với Firewall phần cứng, Firewall phần mềm cho phép linh động hơn, nhất là khi cần đặt lại các thiết lập cho phù hợp hơn với nhu cầu riêng của từng công ty. Chúng có thể hoạt động tốt trên nhiều hệ thống khác nhau, khác với Firewall phần cứng tích hợp với bộ định tuyến chỉ làm việc tốt trong mạng có qui mô nhỏ.

Nội dung được bảo vệ bản quyền — Tải xuống đầy đủ