Đồ án tốt nghiệp: Tìm hiểu chi tiết về Tường lửa (Firewall) và An ninh mạng

Tổng hợp đồ án Tường lửa & An ninh mạng A-Z. Khám phá kiến thức bảo mật mạng, triển khai firewall chuyên sâu, từ cơ bản đến nâng cao.

Chuyên ngành

An Ninh Mạng

Người đăng

Ẩn danh

Thể loại

Đồ Án Tốt Nghiệp
65
2
0

Phí lưu trữ

30 Point

Tóm tắt

I. Tổng quan đồ án tường lửa và an ninh mạng cho người mới

Trong bối cảnh Internet phát triển bùng nổ, việc trao đổi thông tin và thực hiện giao dịch trực tuyến đã trở thành nhu cầu thiết yếu của mọi tổ chức và cá nhân. Tuy nhiên, sự tiện lợi này cũng đi kèm với những rủi ro tiềm ẩn. Số vụ tấn công mạng ngày càng gia tăng với các phương thức tinh vi và có tổ chức, đặt ra câu hỏi cấp bách về an toàn dữ liệu. Đứng trước thực trạng đó, các giải pháp bảo mật ra đời, trong đó tường lửa (Firewall) và các biện pháp đảm bảo an ninh mạng nổi lên như những phương pháp phổ biến và hiệu quả nhất. Đồ án này tập trung nghiên cứu sâu về các loại tường lửa và phân tích sự cần thiết của việc bảo vệ hệ thống mạng trước các mối đe dọa. Một tường lửa về cơ bản là một hệ thống, bao gồm cả phần cứng và phần mềm, được thiết kế để ngăn chặn truy cập trái phép, bảo vệ các tài nguyên thông tin nội bộ khỏi các nguy cơ từ mạng bên ngoài. Nó hoạt động như một người gác cổng, kiểm soát luồng lưu lượng mạng ra vào dựa trên các quy tắc bảo mật đã được định sẵn. Khác với một bộ định tuyến (router) chỉ chuyển tiếp gói tin dựa trên địa chỉ đích, tường lửa có khả năng phân tích sâu hơn vào nội dung của các gói tin ở các lớp cao hơn, điển hình là lớp ứng dụng, để đưa ra quyết định cho phép hoặc từ chối. Điều này tạo nên một hàng rào phòng thủ vững chắc, nơi mọi kết nối đều phải đi qua một điểm kiểm soát duy nhất, giúp đơn giản hóa việc quản lý và giám sát an ninh.

1.1. Tầm quan trọng của việc đảm bảo an ninh hệ thống mạng

Sự cần thiết phải đảm bảo an ninh mạng xuất phát từ những nguy cơ và thiệt hại to lớn mà các cuộc tấn công có thể gây ra. Mọi lỗ hổng, dù là nhỏ nhất, đều có thể bị khai thác trên quy mô lớn, dẫn đến mất mát dữ liệu, gián đoạn hoạt động kinh doanh và ảnh hưởng nghiêm trọng đến uy tín của tổ chức. Một nghiên cứu của Viện An ninh Máy tính (Computer Security Institute) chỉ ra rằng "70% các tổ chức bị mất mát thông tin do vấn đề an ninh mạng có lỗ hổng". Đáng chú ý hơn, 60% trong số đó có nguyên nhân từ chính nội bộ công ty. Điều này cho thấy các mối đe dọa an ninh mạng không chỉ đến từ bên ngoài mà còn tiềm ẩn từ bên trong. Do đó, việc xây dựng một chiến lược an ninh toàn diện, kết hợp giữa công nghệ, quy trình và con người, là yếu tố sống còn. Các biện pháp bảo mật như tường lửa, hệ thống phát hiện xâm nhập (IDS), và mã hóa dữ liệu giúp tạo ra các lớp phòng thủ kiên cố, giảm thiểu rủi ro bị tấn công và bảo vệ tài sản thông tin quý giá của doanh nghiệp.

1.2. Chức năng cốt lõi của một hệ thống tường lửa Firewall

Một hệ thống tường lửa không chỉ đơn thuần là một rào cản. Nó thực hiện nhiều chức năng chuyên biệt để bảo vệ mạng nội bộ một cách chặt chẽ. Kẻ tấn công khó có thể truy cập trực tiếp vào các máy chủ bên trong mà thay vào đó, chúng phải đối mặt với chính tường lửa. Các chức năng chính bao gồm: Lọc gói tin (packet filtering), kiểm soát truy cập dựa trên địa chỉ IP, cổng và giao thức. Bên cạnh đó, tường lửa còn cung cấp các dịch vụ quan trọng như Dịch vụ tên miền (DNS) có giới hạn, chỉ cung cấp thông tin cần thiết ra bên ngoài và che giấu cấu trúc mạng nội bộ. Chức năng chuyển tiếp thư điện tử (Mail Relay) cho phép cấu hình để che giấu tên đăng nhập thực của người dùng, tăng cường tính ẩn danh và bảo mật. Ngoài ra, các dịch vụ như FTP hay Telnet đều phải đi qua tường lửa, nơi các quy tắc bảo mật được áp dụng triệt để. Bằng cách tập trung mọi kết nối vào một điểm duy nhất, tường lửa giúp việc giám sát và ghi lại nhật ký (logging) trở nên dễ dàng, từ đó phát hiện sớm các hành vi đáng ngờ và ngăn chặn kịp thời các cuộc tấn công tiềm tàng.

II. Phân tích các mối đe dọa và phương thức tấn công mạng

Để xây dựng một hệ thống phòng thủ hiệu quả, việc hiểu rõ các mối đe dọa an ninh mạng là điều kiện tiên quyết. Các mối đe dọa này không đồng nhất mà được phân loại dựa trên mức độ tinh vi, nguồn gốc và mục tiêu. Việc phân loại giúp các nhà quản trị mạng có cái nhìn tổng quan và đưa ra các biện pháp đối phó phù hợp cho từng kịch bản cụ thể. Theo tài liệu nghiên cứu, có bốn nhóm mối đe dọa chính cần được quan tâm: mối đe dọa không có cấu trúc, mối đe dọa có cấu trúc, mối đe dọa từ bên ngoài và mối đe dọa từ bên trong. Mỗi loại hình đều có những đặc điểm và mức độ nguy hiểm riêng. Ví dụ, một script kiddie có thể gây ra sự phiền toái bằng các công cụ sẵn có, nhưng một nhóm hacker có tổ chức có thể gây ra thiệt hại tài chính khổng lồ. Hiểu được bản chất của các mối đe dọa này là bước đầu tiên để thiết lập các chính sách bảo mật và cấu hình tường lửa một cách chính xác. Một hệ thống phòng thủ không thể chỉ tập trung vào việc ngăn chặn các cuộc tấn công từ Internet mà bỏ qua những rủi ro đến từ chính nhân viên nội bộ, dù là vô tình hay cố ý. Do đó, một chiến lược an ninh mạng toàn diện phải bao quát tất cả các kịch bản có thể xảy ra, từ đó xây dựng các lớp phòng thủ đa tầng để bảo vệ tài sản thông tin một cách tối ưu.

2.1. Bốn nhóm mối đe dọa chính đối với an ninh hệ thống

Các mối đe dọa an ninh mạng được chia thành bốn loại chính. Mối đe dọa không có cấu trúc thường xuất phát từ những cá nhân thiếu kinh nghiệm, sử dụng các công cụ tấn công có sẵn trên Internet, thường được gọi là "Script kiddies". Mục đích của họ chủ yếu là để thử nghiệm hoặc phá hoại ở quy mô nhỏ. Ngược lại, mối đe dọa có cấu trúc đến từ các hacker chuyên nghiệp, có kỹ năng cao, hiểu rõ về hệ thống mạng và có khả năng tự phát triển công cụ tấn công. Mối đe dọa từ bên ngoài là những cá nhân hoặc tổ chức không có quyền truy cập hợp pháp vào hệ thống và cố gắng xâm nhập từ Internet. Cuối cùng, mối đe dọa từ bên trong lại là rủi ro nguy hiểm nhất, xảy ra khi người dùng có quyền truy cập hợp pháp lạm dụng quyền hạn của mình để đánh cắp hoặc phá hoại dữ liệu. Nhận diện đúng từng loại mối đe dọa giúp triển khai các biện pháp kiểm soát phù hợp.

2.2. Các kiểu tấn công mạng phổ biến hiện nay

Các kẻ tấn công sử dụng nhiều kỹ thuật khác nhau để xâm nhập hệ thống. Tấn công theo kiểu thăm dò (Probing) là giai đoạn đầu tiên, kẻ tấn công thu thập thông tin về mạng mục tiêu như các cổng đang mở, dịch vụ đang chạy và các lỗ hổng tiềm tàng. Tiếp theo là tấn công theo kiểu truy cập (Access Attacks), nơi kẻ tấn công cố gắng giành quyền truy cập trái phép vào hệ thống, có thể thông qua việc bẻ khóa mật khẩu, khai thác lỗ hổng phần mềm hoặc tấn công lừa đảo (phishing). Loại tấn công nguy hiểm và phổ biến khác là tấn công từ chối dịch vụ (DoS - Denial of Service). Mục tiêu của tấn công DoS không phải là đánh cắp dữ liệu mà là làm cho hệ thống hoặc dịch vụ trở nên không khả dụng đối với người dùng hợp pháp bằng cách làm quá tải tài nguyên của máy chủ. Việc cấu hình tường lửa và các hệ thống phòng thủ khác để nhận diện và ngăn chặn các kiểu tấn công này là cực kỳ quan trọng.

III. Hướng dẫn các loại tường lửa và cấu hình bảo mật cơ bản

Kiến trúc của một hệ thống tường lửa có thể được triển khai theo nhiều mô hình khác nhau, tùy thuộc vào mức độ bảo mật yêu cầu và cấu trúc của mạng. Việc lựa chọn và cấu hình đúng loại tường lửa là yếu tố quyết định đến hiệu quả của toàn bộ hệ thống phòng thủ. Tài liệu nghiên cứu đã đi sâu phân tích hai trong số các cấu hình cơ bản và nền tảng nhất: Máy chủ Dual-Homed (Dual-Homed Host)Máy chủ thành trì (Bastion Host). Đây là những khối xây dựng cơ bản cho hầu hết các kiến trúc tường lửa phức tạp hơn sau này. Mô hình máy chủ dual-homed là dạng tường lửa đơn giản nhất, sử dụng một máy tính có hai giao diện mạng để phân tách hoàn toàn mạng nội bộ và mạng bên ngoài. Trong khi đó, máy chủ thành trì là một khái niệm rộng hơn, chỉ bất kỳ máy chủ nào đóng vai trò trọng yếu trong hệ thống an ninh, được gia cố một cách đặc biệt để chống lại các cuộc tấn công. Việc hiểu rõ nguyên lý hoạt động, ưu và nhược điểm của từng loại hình giúp các nhà quản trị mạng đưa ra lựa chọn phù hợp. Ví dụ, một mạng nhỏ có thể chỉ cần một máy chủ dual-homed, nhưng một tổ chức lớn hơn sẽ cần một kiến trúc phức tạp hơn với nhiều máy chủ thành trì và các lớp bảo vệ khác nhau để đảm bảo an ninh mạng một cách toàn diện.

3.1. Tìm hiểu mô hình Máy chủ Dual Homed Dual Homed Host

Một máy chủ dual-homed là một máy tính được trang bị hai giao diện mạng riêng biệt, một kết nối với mạng nội bộ và một kết nối với mạng bên ngoài (Internet). Điểm mấu chốt của cấu hình này là chức năng định tuyến (routing) giữa hai giao diện này bị vô hiệu hóa hoàn toàn. Điều này có nghĩa là không có lưu lượng IP nào có thể tự động đi thẳng từ mạng này sang mạng kia. Thay vào đó, mọi giao tiếp phải được xử lý bởi một ứng dụng hoặc dịch vụ chạy trên chính máy chủ dual-homed, chẳng hạn như một proxy server. Cấu hình này thực thi một chính sách bảo mật rất nghiêm ngặt: "những gì không được cho phép một cách rõ ràng thì mặc nhiên bị cấm". Kẻ tấn công không thể vượt qua tường lửa này trừ khi chúng có thể xâm nhập và chiếm quyền kiểm soát chính máy chủ. Đây là một giải pháp hiệu quả để cô lập hoàn toàn hai môi trường mạng.

3.2. Vai trò của Máy chủ thành trì Bastion Host trong hệ thống

Máy chủ thành trì (Bastion Host) là thuật ngữ dùng để chỉ một máy tính được thiết kế để trở thành điểm tiếp xúc duy nhất với mạng bên ngoài và được gia cố ở mức độ bảo mật cao nhất. Nó là pháo đài trung tâm của hệ thống an ninh mạng. Bất kỳ dịch vụ nào cần được truy cập từ Internet, như máy chủ web hoặc máy chủ mail, đều được đặt trên máy chủ thành trì. Do là mục tiêu chính của các cuộc tấn công, máy chủ này phải được cấu hình cực kỳ cẩn thận: loại bỏ tất cả các dịch vụ, chương trình và tài khoản không cần thiết; áp dụng các bản vá bảo mật mới nhất; và bật chế độ ghi nhật ký chi tiết để giám sát mọi hoạt động. Một máy chủ dual-homed cũng có thể được coi là một dạng của máy chủ thành trì. Việc tập trung các dịch vụ vào một điểm duy nhất và bảo vệ nó một cách nghiêm ngặt giúp giảm thiểu bề mặt tấn công và tăng cường khả năng phòng thủ cho toàn bộ mạng nội bộ.

IV. Phương pháp nâng cao Tường lửa với mạng con sàng lọc

Khi nhu cầu bảo mật tăng lên, các kiến trúc tường lửa cơ bản như máy chủ dual-homed có thể không đủ để đối phó với các cuộc tấn công tinh vi. Các phương pháp nâng cao hơn được phát triển để tạo ra nhiều lớp phòng thủ, tăng cường khả năng bảo vệ và cô lập hệ thống. Hai trong số các kiến trúc phức tạp và hiệu quả nhất được đề cập trong đồ án là Cổng nối máy tính chủ sàng lọc (Screened Host Gateway)Mạng con được sàng lọc (Screened Subnet). Những cấu hình này không chỉ dựa vào một thành phần duy nhất mà kết hợp sức mạnh của nhiều thiết bị, điển hình là sự kết hợp giữa máy chủ thành trìbộ định tuyến sàng lọc (screening router). Bộ định tuyến sàng lọc hoạt động như lớp phòng thủ đầu tiên, thực hiện việc lọc gói tin ở lớp mạng, giúp giảm tải và bảo vệ cho máy chủ thành trì ở phía sau. Kiến trúc này tạo ra một hệ thống phòng thủ theo chiều sâu, nơi kẻ tấn công phải vượt qua nhiều chướng ngại vật trước khi có thể tiếp cận các tài nguyên quan trọng. Việc triển khai các mô hình này đòi hỏi sự hiểu biết sâu sắc về định tuyến, lọc gói tin và các nguyên tắc an ninh mạng để đảm bảo hệ thống hoạt động chính xác và an toàn.

4.1. Cấu hình Cổng nối máy tính chủ sàng lọc Screened Host

Kiến trúc Cổng nối máy tính chủ sàng lọc bổ sung một lớp phòng thủ bên ngoài cho máy chủ thành trì. Trong mô hình này, một bộ định tuyến sàng lọc được đặt giữa mạng bên ngoài và mạng nội bộ. Bộ định tuyến này được cấu hình để chỉ cho phép lưu lượng truy cập từ Internet đến duy nhất địa chỉ IP của máy chủ thành trì. Tất cả các yêu cầu khác nhắm vào mạng nội bộ sẽ bị chặn ngay tại lớp đầu tiên. Sau khi vượt qua bộ định tuyến, lưu lượng truy cập tiếp tục được xử lý bởi các dịch vụ ứng dụng trên máy chủ thành trì. Cấu hình này cung cấp mức độ an toàn cao hơn so với một máy chủ dual-homed đơn lẻ, vì kẻ tấn công phải vượt qua cả bộ lọc gói của router và lớp bảo vệ ứng dụng của bastion host. Tuy nhiên, nếu bảng định tuyến của router bị xâm nhập, kẻ tấn công có thể bỏ qua máy chủ thành trì và truy cập trực tiếp vào mạng trong.

4.2. Triển khai Mạng con sàng lọc và Vùng phi quân sự DMZ

Mạng con sàng lọc là một trong những kiến trúc tường lửa an toàn nhất. Nó sử dụng hai bộ định tuyến sàng lọc để tạo ra một mạng cô lập ở giữa, được gọi là Vùng phi quân sự (DMZ - Demilitarized Zone). Một bộ định tuyến kết nối DMZ với Internet, và bộ định tuyến còn lại kết nối DMZ với mạng nội bộ. Các máy chủ cần cung cấp dịch vụ công cộng, như máy chủ web, mail, DNS, được đặt trong DMZ này. Cấu hình này mang lại nhiều lợi ích. Thứ nhất, kẻ tấn công từ Internet chỉ có thể truy cập các máy chủ trong DMZ. Ngay cả khi một máy chủ trong DMZ bị xâm nhập, kẻ tấn công vẫn phải vượt qua bộ định tuyến sàng lọc thứ hai để vào được mạng nội bộ. Thứ hai, lưu lượng từ mạng nội bộ ra Internet cũng được kiểm soát chặt chẽ. Kiến trúc này tạo ra ba vùng an ninh riêng biệt (Internet, DMZ, Mạng nội bộ), cung cấp khả năng bảo vệ đa lớp và cô lập hiệu quả các tài sản quan trọng.

V. Vai trò của Proxy Server trong hệ thống an ninh tường lửa

Trong nhiều kiến trúc tường lửa, đặc biệt là các mô hình như máy chủ dual-homed hay máy chủ thành trì, không có kết nối mạng trực tiếp giữa người dùng nội bộ và Internet. Vậy làm thế nào người dùng có thể truy cập các dịch vụ bên ngoài một cách an toàn? Câu trả lời nằm ở Proxy Server. Một proxy server là một chương trình ứng dụng hoạt động như một trung gian, thay mặt người dùng thực hiện các yêu cầu kết nối. Khi một người dùng muốn truy cập một trang web, thay vì kết nối trực tiếp, yêu cầu của họ sẽ được gửi đến proxy server. Proxy server sau đó sẽ tạo một kết nối mới từ chính nó đến trang web đó, nhận dữ liệu về và chuyển tiếp lại cho người dùng. Quá trình này đảm bảo rằng không có một gói tin nào từ mạng bên ngoài có thể đi trực tiếp vào mạng nội bộ. Proxy server không chỉ phá vỡ kết nối trực tiếp mà còn mang lại khả năng kiểm soát và ghi nhật ký ở cấp độ ứng dụng. Nó có thể lọc nội dung, kiểm tra các giao thức một cách chi tiết và thực thi các chính sách truy cập một cách linh hoạt. Đây là một thành phần không thể thiếu để đảm bảo an ninh mạng khi cho phép người dùng truy cập các tài nguyên bên ngoài.

5.1. Lý do cần thiết phải sử dụng các dịch vụ Proxy

Sự cần thiết của proxy server đến từ yêu cầu cân bằng giữa nhu cầu truy cập Internet của người dùng và yêu cầu bảo mật của tổ chức. Nếu không có proxy, người quản trị chỉ có hai lựa chọn: hoặc cấm hoàn toàn truy cập Internet, điều này làm giảm hiệu quả công việc; hoặc cho phép kết nối trực tiếp, tạo ra rủi ro bảo mật lớn. Proxy giải quyết vấn đề này bằng cách cung cấp một cổng truy cập được kiểm soát. Người dùng có cảm giác như đang tương tác trực tiếp với Internet, nhưng trên thực tế mọi kết nối đều được trung gian và giám sát bởi hệ thống tường lửa. Proxy cho phép ghi lại nhật ký chi tiết về các hoạt động của người dùng (ví dụ: các lệnh FTP đã sử dụng, các trang web đã truy cập), điều này hữu ích hơn nhiều so với việc chỉ ghi lại địa chỉ IP và cổng như bộ lọc gói. Nó cũng giúp che giấu cấu trúc và địa chỉ IP của mạng nội bộ, gây khó khăn cho kẻ tấn công trong việc thu thập thông tin.

5.2. Cách thức hoạt động và những hạn chế của Proxying

Proxying được thực hiện bằng cách cấu hình các chương trình client (như trình duyệt web) để gửi yêu cầu đến proxy server thay vì máy chủ đích. Proxy server nhận yêu cầu, phân tích tính hợp lệ của nó dựa trên các quy tắc đã định, sau đó thay mặt client tạo một kết-nối mới đến máy chủ đích. Tuy nhiên, phương pháp này cũng có những hạn chế. Hạn chế lớn nhất là mỗi giao thức (HTTP, FTP, SMTP) thường yêu cầu một phần mềm proxy riêng biệt, vì proxy phải hiểu rõ giao thức đó để có thể kiểm soát nó. Điều này làm cho việc cài đặt và cấu hình trở nên phức tạp. Ngoài ra, khi một dịch vụ hoặc giao thức mới ra đời, thường sẽ có một khoảng thời gian trễ trước khi có phần mềm proxy tương ứng cho nó. Hơn nữa, proxy không thể bảo vệ hệ thống khỏi các cuộc tấn công khai thác lỗ hổng trong chính giao thức đó. Ví dụ, nếu một giao thức vốn dĩ không an toàn, việc sử dụng proxy cũng không thể làm cho nó trở nên an toàn hơn.

04/10/2025

Trích đoạn nội dung tài liệu

CHƯƠNG I CƠ SỞ LÝ THUYẾT TƯỜNG LỬA I. TỔNG QUAN VỀ TƯỜNG LỬA Khái niệm “tường lửa” (Firewall) rất đơn giản. Một tường lửa là một máy tính chuyên dụng cùng hệ thống phần Sinh viên: Nguyễn Kim Ngọc - 506101042 ~6~ Đồ Án Tốt Nghiệp Tìm hiểu về Tường Lửa và An Ninh Mạng mềm trên đó (cũng được gọi là máy tính tường lửa (firewall computer)) nhằm bảo vệ mạng máy tính dùng riêng khỏi các truy cập bất hợp pháp từ bên ngoài. Thuật ngữ FireWall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hoả hoạn.

Trong Công nghệ mạng thông tin, FireWall là một kỹ thuật được tích hợp vào hệ thống mạng để chống lại sự truy cập trái phép nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ thông của một số thông tin khác không mong muốn. Internet FireWall là một tập hợp thiết bị (bao gồm phần cứng và phần mềm) được đặt giữa mạng của một tổ chức, một công ty, hay một quốc gia (Intranet) và Internet. Trong một số trường hợp, Firewall có thể được thiết lập ở trong cùng một mạng nội bộ và cô lập các miền an toàn. Ví dụ như mô hình dưới đây thể hiện một mạng Firewall để ngăn cách phòng máy, người sử dụng và Internet.

Nếu so sánh giữa router IP (định tuyến IP) và Tường lửa, ta thấy router điều khiển các gói tin trên lớp IP. Router chuyển tiếp mỗi gói tin dựa trên địa chỉ đích (destination) của gói tin đó. Địa chỉ đích này được thể hiện trong bảng định tuyến (routing table). Trong lúc đó một máy tính chủ nào không làm nhiệm vụ chuyển tiếp các gói tin và hệ thống Sinh viên: Nguyễn Kim Ngọc - 506101042 ~7~ Đồ Án Tốt Nghiệp Tìm hiểu về Tường Lửa và An Ninh Mạng tường lửa thực tế chính là một dạng đặc biệt của máy chủ đa người dùng (multi-homed host).

Cũng giống như một máy tính bất kỳ, Firewall chỉ tiếp nhận những gói tin mà Firewall biết được địa chỉ đích và sử lý gói tin đó qua lớp ứng dụng. Firewall sẽ bỏ qua những gói tin mà nó không biết địa chỉ. Tóm lại Firewall không phải là router bởi vì Firewall không làm nhiện vụ chuyển tiếp các gói thông tin (packets) ngay cả khi Firewall được dung thay cho router. CÁC CHỨC NĂNG CỦA TƯỜNG LỬA (FIREWALL) Với chức năng của một tường lửa, kẻ đột nhập khó có khả năng tấn công trực tiếp vào vào bất kỳ hệ thống mạng nào sau tường lửa.

Thay vào đó kẻ đột nhập thường muốn tấn công trực tiếp vào ngay tường lửa. Do tường lửa là mục đích của bọn tấn công, nên nó bảo sử dụng một cách thức để bảo vệ an toàn rất chặt chẽ. Để thay cho router, tường lửa phải đảm bảo nhiệm vụ đặc biệt. Tuy vậy, để giảm thiểu những phiền toái do tường lửa gây ra hệ thống tường lửa phải đảm nhiệm nhiều chức năng sau: • Dịch vụ tên miền (DNS) cho hệ thống bên ngoài : Tường lửa cung cấp dịch vụ tên có giới hạn cho các mạng bên Sinh viên: Nguyễn Kim Ngọc - 506101042 ~8~ Đồ Án Tốt Nghiệp Tìm hiểu về Tường Lửa và An Ninh Mạng ngoài.

Tuy nhiên dịch vụ tên tường lửa không cung cấp tên hoặc thông tin địa chỉ về bất cứ host nào ở trong mạng. • Chuyển tiếp thư điện tử : ở trên hệ thống tường lửa gửi thư điện tử sẽ được cấu hình để chuyển tải các thư điện tử cho mỗi người dùng trên tất cả các mạng nội bộ. Mỗi người sử dụng trong mạng nội bộ được đồng nhất bằng một tên khác (alias) nhằm che dấu tên login thực. Khi thư này được chuyển ra mạng bên ngoài thì sẽ được viết lại để phản ánh tên giả này của người sử dụng và chỉ rõ hệ thống tường lửa này như là xuất sứ của thư điện tử đó.

Các tên login và tên nội bộ thì không được cung cấp ở trong thư điện tử khi được chuyển tải ra bên ngoài. • Dịch vụ FTP (dịch vụ chuyển tệp): Tất cả các FTP để chuyển đi tước hết phải thông qua thiết bị tường lửa. Để telnet (hoặc rlogin) đến / trên site ở xa, trước hết người sử dụng phải log vào hệ thống tường lửa. Sinh viên: Nguyễn Kim Ngọc - 506101042 ~9~ Đồ Án Tốt Nghiệp Tìm hiểu về Tường Lửa và An Ninh Mạng CHƯƠNG II TÌM HIỂU CÁC LOẠI TƯỜNG LỬA (FIREWALL) I.

KHẢO SÁT CÁC LOẠI TƯỜNG LỬA Mục đích chính của một tường lửa là bảo vệ mạng này khỏi mạng khác. Thông thường mạng cần được bảo vệ là thuộc trách nhiệm của chúng ta và mạng mà chúng ta đang chống lại là mạng bên ngoài không thể tin tưởng được, từ đó các vi phạm bên ngoài có thể phát sinh. Để đảm bảo mạng này được an toàn thì phải ngăn chặn người sử dụng bất hợp pháp truy nhập vào các dữ liệu nhạy cảm trong khi đó vẫn cho người sử dụng chính đang truy nhập các tài nguyên trên mạng một cách dễ dàng. Mô hình OSI là một phương tiện để phân biệt giữa bộ định tuyến sàng lọc và tường lửa.

Mặc dù mô hình OSI dùng để phân biệt giữa các cấu trúc truyền thông và khả năng truyền thông, nhưng không phải ai cũng có ý thức được nó Sinh viên: Nguyễn Kim Ngọc - 506101042 ~ 10 ~ Đồ Án Tốt Nghiệp Tìm hiểu về Tường Lửa và An Ninh Mạng hoặc sử dụng nó. Thuật ngữ “tường lửa” được nhiều người sử dụng như một thuật ngữ chung để mô tả một phạm vi rộng các chức năng và cấu trúc của một thiết bị bảo vệ mạng. Trên thực tế có một số người sử dụng thuật ngữ “tường lửa” để ám chỉ hầu như bất kỳ thiết bị đảm bảo an toàn nào, chẳng hạn như một thiết bị mã hóa phần cứng, một bộ định tuyến sàng lọc hoặc một cổng ở lớp ứng dụng. Nói chung, một tường lửa được bố trí giữa một mạng bên trong tin cậy được và một mạng bên ngoài không đáng tin cậy.

Tường lửa hoạt động như một điểm chặn để giám sát và loại bỏ lưu lượng mạng tại lớp ứng dụng (xem hình 1. Các tường lửa cũng có thể hoạt động tại các lớp mạng và vận chuyển, trong trường hợp đó chúng kiểm tra các tiêu đề của IP và TCP thuộc các gói gọi đến, gọi đi và loại bỏ hoặc cho đi các gói dựa vào quy tắc lọc gói đã được lập trình. Sinh viên: Nguyễn Kim Ngọc - 506101042 ~ 11 ~ Đồ Án Tốt Nghiệp Tìm hiểu về Tường Lửa và An Ninh Mạng Hình 1.1: Hoạt động của tường lửa II. MÁY CHỦ DUAL-HOMED Trong một mạng TCP/IP thuật ngữ “multi-homed host” (máy tính chủ nhiều cửa) ám chỉ một máy tính chủ có nhiều bản mạch giao diện mạng (xem hình 1.

Thông thường một bản giao diện mạng được kết nối tới một mạng. Về mặt lịch sử, máy tính chủ “multi-home” này cũng có thể định tuyến lưu lượng giữa các nhánh mạng. Thuật ngữ cổng nối (cổng ngõ-gateway) đã được sử dụng để mô tả chức năng định tuyến do các máy tính chủ nhiều cửa (“multi-homed”) này thực hiện. Hiện nay, thuật ngữ “bộ định tuyến” (Router) được sử dụng để mô tả chức năng định tuyến này trong khi Sinh viên: Nguyễn Kim Ngọc - 506101042 ~ 12 ~ Đồ Án Tốt Nghiệp Tìm hiểu về Tường Lửa và An Ninh Mạng đó thuật ngữ cổng nối được dành cho những chức năng tương ứng với các lớp cao hơn của mô hình OSI.

Nếu chức năng định tuyến trong máy tính chủ nhiều cửa bị mất hiệu lực thì máy tính chủ này có thể phân cách lưu lượng giữa các mạng mà nó kết nốt tới và mỗi mạng có khả năng sử lý ứng dụng trên máy tính chủ nhiều cửa. Hơn nữa, các mạng còn có thể dùng chung số liệu nếu các ứng dụng này cho phép. Một máy tính chủ hai cửa “dual-homed” là một ví dụ của máy tính chủ nhiều cửa, nó có giao diện mạng và có các chức năng định tuyến bị vô hiệu hóa.3 trình bày một ví dụ về máy tính chủ hai cửa với các chức năng định tuyến bị vô hiệu hóa. Máy tính chủ A trên mạng 1 có thể truy nhập ứng dụng A trên máy tính chủ hai cửa.

Tương tự như vậy, máy tính chủ B có thể truy nhập ứng dụng B trên máy tính chủ hai cửa. Thậm trí hai ứng dụng trên các máy tính chủ 2 cửa có thể dùng chung số liệu. Các máy tính A và B có khả năng trao đổi thông tin qua các số liệu dùng trên các máy tính chủ hai cửa, nhưng không có sự trao đổi lưu lượng mạng giữa hai nhánh mạng được kết nối với máy chủ hai cửa này. Sinh viên: Nguyễn Kim Ngọc - 506101042 ~ 13 ~ Đồ Án Tốt Nghiệp Tìm hiểu về Tường Lửa và An Ninh Mạng Hình 1.2: Một máy tính chủ nhiều cửa truyền thông Hình 1.3: Máy tính chủ hai cửa Sinh viên: Nguyễn Kim Ngọc - 506101042 ~ 14 ~ Đồ Án Tốt Nghiệp Tìm hiểu về Tường Lửa và An Ninh Mạng 1.Máy tính chủ hai cửa như một tường lửa.

Ta có thể sử dụng máy tính chủ hai cửa để ngăn chặn một mạng bên trong với mạng bên ngoài không tin tưởng được (xem hình 1. Vì máy tính chủ hai cửa không chuyển tiếp bất cứ lượng TCP/IP nào, cho nên nó hoàn toàn ngăn chặn bất kỳ lưu lượng IP nào giữa mạng bên trong và mạng bên ngoài không tin cậy. Nhiều dịch vụ Internet chủ yếu là các dịch vụ lưu trữ và chuyển tiếp (store – and – forward). Nếu các dịch vụ này chạy trên máy tính chủ hai cửa thì chúng có thể được cấu hình để phát các dịch vụ ứng dụng từ máy này đến máy kia.

Nếu các số liệu ứng dụng phải đi qua tường lửa thì tác nhân chuyển tiếp ứng dụng (apply catiob forward agents) có thể được thiết lập chạy trên máy tính chủ hai cửa này (xem hình 1. Các tác nhân chuyển tiếp ứng dụng là một phần mềm đặc biệt được sử dụng để chuyển tiếp các yêu cầu ứng dụng giữa hai mạng kết nốt với nhau. Một phương pháp khác là cho phép người sử dụng đăng nhập (login) vào máy chủ hai cửa và sau đó truy nhập các dịch vụ bên ngoài từ giao diện mạng bên ngoài của máy tính chủ hai cửa này (xem hình 1. Sinh viên: Nguyễn Kim Ngọc - 506101042 ~ 15 ~ Đồ Án Tốt Nghiệp Tìm hiểu về Tường Lửa và An Ninh Mạng Hình1.4: Máy tính chủ hai cửa như một tường lửa Hình 1.

Nội dung được bảo vệ bản quyền — Tải xuống đầy đủ