Sinh viên: Đoàn Duy Thành Tìm hiểu về
FireWall
MỤC LỤC
LỜI MỞ ĐẦU 3
Phần 1:
AN TOÀN THÔNG TIN TRÊN MẠNG (NETWORKSECURITY) 5
1. Tổng quan về an ninh, an toàn trên mạng Internet (Internet Security).
5
2. Tại sao cần có an ninh mạng ? 6
2.1. Thực tế về sự phát triển Internet 6
2.2. Thực trạng an ninh trên mạng ở Việt Nam trong thời gian qua 7
3. Các hình thức tấn công trên mạng Internet 8
3.1. Tấn công trực tiếp 8
3.2. Nghe trộm trên mạng 8
3.3. Giả mạo địa chỉ IP 9
3.4. Vô hiệu hoá các chức năng của hệ thống 9
3.5. Lỗi của người quản trị hệ thống 10
3.6. Tấn công vào các yếu tố con người 10
3.7. Một số kiểu tấn công khác 11
4. Phân loại kẻ tấn công 11
5. Phương pháp chung ngăn chặn các kiểu tấn công 12
6. Phương thức mã hóa - bảo mật thông tin 14
6.1. Đặc điểm chung của các phương thức mã hóa 14
6.2. Các phương thức mã hóa 17
Phần 2:
KHÁI NIỆM VÀ CHỨC NĂNG CỦA FIREWALL 21
1. Lịch sử 21
2. Định nghĩa FireWall 23
3. Phân loại FireWall 24
4. Sự cần thiết của FireWall 26
Lớp Công Nghệ Thông Tin K47

Với lợi ích to lớn của nó, mạng Internet cùng với các công nghệ
liên quan đã mở ra một cánh cửa làm tăng số lượng các vụ tấn công vào
những công ty, cơ quan và cả những cá nhân, nơi lưu giữ những dữ liệu
nhạy cảm như bí mật quốc gia, số liệu tài chính, số liệu cá nhân Hậu quả
của các cuộc tấn công này có thể chỉ là phiền phức nhỏ, nhưng cũng có
thể làm các dữ liệu quan trọng bị xóa, sự riêng tư bị xâm phạm và chỉ sau
vài ngày, thậm chí vài giờ sau, toàn bộ hệ thống có thể bị tê liệt hoàn
toàn…
Do đó, song song với việc phát triển và khai thác các dịch vụ trên
Internet, rất cần nghiên cứu giải quyết vấn đề đảm bảo an ninh trên mạng.
Như vậy, có thể nói việc tìm hiểu và nghiên cứu về công nghệ
Firewall đã và đang trở thành một vấn đề cấp thiết, đặc biệt là đối với
những người chuyên sâu về lĩnh vực bảo mật. Trong khuôn khổ của đề án
này, em xin trình bày khái quát về vấn đề "Internet Security". Các hình
thức tấn công qua mạng Internet cũng như biện pháp chung để bảo vệ,
ngăn chặn những cuộc tấn công đó. Và đi sâu vào nghiên cứu một loại
thiết bị bảo vệ mạng khỏi thế giới bên ngoài đó là bức tường lửa
(Firewall).
Lớp Công Nghệ Thông Tin K47
3
Sinh viên: Đoàn Duy Thành Tìm hiểu về
FireWall
Nội dung của đề án bao gồm 3 phần:
Phần1: An toàn thông tin trên mạng.
Phần2: Khái niệm và chức năng của Firewall.
Phần3: Mô hình và ứng dụng của Firewall.
Trong quá trình thực hiện đề án do còn hạn chế về nhiều mặt nên
không thể tránh khỏi có những sai sót, em rất mong nhận được những ý
kiến đóng góp, chỉ bảo của các thày cô và những người quan tâm đến vấn
đề này.

với cơ chế an toàn của hệ điều hành mạng.
Lớp Công Nghệ Thông Tin K47
5
Sinh viên: Đoàn Duy Thành Tìm hiểu về
FireWall
Internet là hệ thống mạng mở nên nó chịu tấn công từ nhiều phía kể
cả vô tình và hữu ý. Các nội dung thông tin lưu trữ và lưu truyền trên
mạng luôn là đối tượng tấn công. Nguy cơ mạng luôn bị tấn công là do
người sử dụng luôn truy nhập từ xa. Do đó thông tin xác thực người sử
dụng như mật khẩu, bí danh luôn phải truyền đi trên mạng. Những kẻ xâm
nhập tìm mọi cách giành được những thông tin này và từ xa truy nhập vào
hệ thống. Càng truy nhập với tư cách người dùng có quyền điều hành cao
thì khả năng phá hoại càng lớn.
Nhiệm vụ bảo mật và bảo vệ vì vậy mà rất nặng nề và khó đoán
định trước. Nhưng tập trung lại gồm ba hướng chính sau:
 Bảo đảm an toàn cho phía server.
 Bảo đảm an toàn cho phía client.
 Bảo mật thông tin trên đường truyền.
2. Tại sao cần có an ninh mạng ?
2.1. Thực tế về sự phát triển Internet.
Bật máy tính lên, kết nối vào mạng Internet là người sử dụng đã
đến với một thế giới của thông tin, tri thức và các giao dịch điện tử. Như
vậy cũng có nghĩa là người sử dụng đã bắt đầu phải đương đầu với các vụ
tấn công trên đó: virus, mất cắp dữ liệu, các giao dịch tài chính Càng
giao thiệp rộng thì càng dễ bị tấn công. Theo CERT (Computer Emegency
Response Team), năm 1989 có 200 vụ tấn công, truy nhập trái phép trên
mạng được báo cáo; năm 1991 có 400 vụ; năm 1993 có 1400 vụ; năm
1994 có 2241 vụ… Riêng năm 2000 có 22.000 vụ tấn công trên mạng, hết
năm 2001 là 46.000 vụ, nhiều hơn hai lần so với năm trước. Như vậy số
vụ tấn công ngày càng tăng, một phần cũng do kỹ thuật ngày càng mới.

Thêm vào đó Nhà nước còn quy định các máy tính nối mạng không được
Lớp Công Nghệ Thông Tin K47
7
Sinh viên: Đoàn Duy Thành Tìm hiểu về
FireWall
truy cập vào các cơ sở dữ liệu quan trọng, bí mật quốc gia. Đồng thời
không cho thiết lập các đường hotline (đường truy cập trực tiếp) vào các
trang Web quan trọng nhất.
3. Các hình thức tấn công trên mạng Internet.
3.1. Tấn công trực tiếp.
Những cuộc tấn công trực tiếp thông thường được sử dụng trong
giai đoạn đầu để chiếm được quyền truy nhập hệ thống mạng bên trong.
Điển hình cho tấn công trực tiếp là các hacker sử dụng một phương
pháp tấn công cổ điển là dò tìm cặp tên người sử dụng và mật khẩu thông
qua việc sử dụng một số thông tin đã biết về người sử dụng để dò tìm mật
khẩu, đây là một phương pháp đơn giản dễ thực hiện. Ngoài ra các hacker
cũng có thể sử dụng một chương trình tự động hoá cho việc dò tìm này.
Chương trình này có thể dễ dàng lấy được thông tin từ Internet để
giải mã các mật khẩu đã mã hoá, chúng có khả năng tổ hợp các từ trong
một từ điển lớn dựa theo những quy tắc do người dùng tự định nghĩa.
Trong một số trường hợp, khả năng thành công của phương pháp này
cũng khá cao, nó có thể lên tới 30%.
Phương pháp sử dụng các lỗi của các chương trình ứng dụng và bản
thân hệ điều hành đã được sử dụng từ những vụ tấn công đầu tiên và vẫn
được tiếp tục để chiếm quyền truy nhập. Trong một số trường hợp phương
pháp này cho phép kẻ tấn công có được quyền của người quản trị hệ
thống (root hay administrator).
3.2. Nghe trộm trên mạng.
Thông tin gửi đi trên mạng thường được luân chuyển từ máy tính
này qua hàng loạt các máy tính khác mới đến được đích. Điều đó, khiến

Lớp Công Nghệ Thông Tin K47
9
Sinh viên: Đoàn Duy Thành Tìm hiểu về
FireWall
Điều đáng sợ là các kiểu tấn công DoS chỉ cần sử dụng những tài
nguyên giới hạn mà vẫn có thể làm ngưng trệ dịch vụ của các site lớn và
phức tạp. Do vậy loại hình tấn công này còn được gọi là kiểu tấn công
không cân xứng (asymmetric attack). Chẳng hạn như kẻ tấn công chỉ cần
một máy tính PC thông thường với một modem tốc độ chậm vẫn có thể
tấn công làm ngưng trệ các máy tính mạnh hay những mạng có cấu hình
phức tạp. Điều này được thể hiện rõ qua các đợt tấn công vào các Website
của Mỹ đầu tháng 2/2000 vừa qua.
3.5. Lỗi của người quản trị hệ thống.
Đây không phải là một kiểu tấn công của những kẻ đột nhập, tuy
nhiên lỗi của người quản trị hệ thống thường tạo ra những lỗ hổng cho
phép kẻ tấn công sử dụng để truy nhập vào mạng nội bộ.
3.6. Tấn công vào các yếu tố con người.
Đây là một hình thức tấn công nguy hiểm nhất nó có thể dẫn tới
những tổn thất hết sức khó lường. Kẻ tấn công có thể liên lạc với người
quản trị hệ thống thay đổi một số thông tin nhằm tạo điều kiện cho các
phương thức tấn công khác.
Ngoài ra, điểm mấu chốt của vấn đề an toàn, an ninh trên Internet
chính là người sử dụng. Họ là điểm yếu nhất trong toàn bộ hệ thống do kỹ
năng, trình độ sử dụng máy tính, mạng Internet không cao. Chính họ đã
tạo điều kiện cho những kẻ phá hoại xâm nhập được vào hệ thống thông
qua nhiều hình thức khác nhau như qua Email. Kẻ tấn công gửi những
chương trình, virus và những tài liệu có nội dung không hữu ích hoặc sử
dụng những chương trình không rõ nguồn gốc, thiếu độ an toàn. Thông
thường những thông tin này được che phủ bởi những cái tên hết sức ấn
tượng mà không ai có thể biết được bên trong nó chứa đựng cái gì. Và

Lớp Công Nghệ Thông Tin K47
11
Sinh viên: Đoàn Duy Thành Tìm hiểu về
FireWall
• Thứ 2 là những kẻ phá hoại.
Loại này chủ định phá hoại hệ thống, vui thú khi phá hoại người
khác và gây ra những tác hại lớn.
• Thứ 3 là kẻ ghi điểm.
Họ là những kẻ muốn khẳng định mình qua những kiểu tấn công
mới, thích đột nhập những nơi nổi tiếng, canh phòng cẩn mật.
• Thứ tư là gián điệp.
Chúng truy nhập để ăn cắp tài liệu nhằm phục vụ những mục đích
khác nhau, để mua bán, trao đổi
Tóm lại trước vấn đề an ninh mạng, người sử dụng cần phải có biện
pháp để bảo vệ dữ liệu, tài sản và uy tín của mình, bởi máy tính của bạn
có thể bị lợi dụng bởi tin tặc. Kể cả khi máy tính của bạn không có dữ liệu
quan trọng thì cũng cần được bảo vệ bởi tin tặc có thể đột nhập và sử
dụng nó làm bàn đạp cho các cuộc tấn công khác. Đó là việc dùng máy
của người sử dụng để tấn công nơi khác, gây tổn thất về uy tín cho người
sử dụng.
5. Phương pháp chung ngăn chặn các kiểu tấn công.
Để thực hiện việc ngăn chặn các truy nhập bất hợp pháp đòi hỏi
chúng ta phải đưa ra những yêu cầu hoạch định chính sách như: Xác định
những ai có quyền sử dụng tài nguyên của hệ thống, tài nguyên mà hệ
thống cung cấp sẽ được sử dụng như thế nào những ai có quyền xâm nhập
hệ thống.
Chỉ nên đưa ra vừa đủ quyền cho mỗi người để thực hiện công việc
của mình. Ngoài ra cần xác định quyền lợi và trách nhiệm của người sử
Lớp Công Nghệ Thông Tin K47
12

Sinh viên: Đoàn Duy Thành Tìm hiểu về
FireWall
sẽ giúp cho thông tin được bảo vệ an toàn, không bị kẻ khác lợi dụng.
Ngày nay, trên Internet người ta đã sử dụng nhiều phương pháp bảo mật
khác nhau như sử dụng thuật toán mã đối xứng và mã không đối xứng
(thuật toán mã công khai) để mã hoá thông tin trước khi truyền đi trên
mạng Internet. Tuy nhiên ngoài các giải pháp phần mềm hiện nay người
ta còn áp dụng cả các giải pháp phần cứng.
Một yếu tố chủ chốt để chống lại truy nhập bất hợp pháp là yếu tố
con người, chúng ta phải luôn luôn giáo dục mọi người có ý thức trong
việc sử dụng tài nguyên chung Internet, tránh những sự cố làm ảnh hưởng
tới nhiều người nhiều quốc gia. Bảo mật trên mạng là cả một quá trình
đấu tranh tiềm ẩn nhưng đòi hỏi sự hợp tác của mọi người, của mọi tổ
chức không chỉ trong phạm vi nhỏ hẹp của một quốc gia nào mà nó bao
trùm trên toàn thế giới.
6. Phương thức mã hóa - bảo mật thông tin.
Một trong những biện pháp bảo mật thường sử dụng đó là áp dụng
các cơ chế mã hoá. Sau đây sẽ phân tích một số cơ chế mã hoá đảm bảo
tính an toàn và tin cậy dữ liệu thường được sử dụng trong các dịch vụ trên
mạng Internet.
6.1. Đặc điểm chung của các phương thức mã hóa.
Trong các phương thức mã hóa, mỗi phương thức đều chủ yếu tập
trung giải quyết 6 vấn đề chính như sau:
.a Authentication: Hoạt động kiểm tra tính xác thực một thực thể
trong giao tiếp
.b Authorization: Hoạt động kiểm tra thực thể đó có được phép thực
hiện những quyền hạn cụ thể nào.
Lớp Công Nghệ Thông Tin K47
14
Sinh viên: Đoàn Duy Thành Tìm hiểu về

Sinh viên: Đoàn Duy Thành Tìm hiểu về
FireWall
danh tính duy nhất của mình. Ví dụ như thông qua giọng nói hoặc
fingerprint.
b) Authorization:
Là hoạt động kiểm tra tính hợp lệ có được cấp phát thực hiện một
hành động cụ thể hay không. Do vậy hoạt động này liên quan đến các
dịch vụ cấp phát quyền truy cập, đảm bảo cho phép hoặc không cho phép
truy nhập đối với những tài nguyên đã được phân quyền cho các thực thể.
Những hoạt động ở đây có thể là quyền đọc dữ liệu, viết, thi hành một
chương trình hoặc sử dụng một thiết bị phần cứng Cơ chế thực hiện
việc phân quyền dựa vào 2 mô hình chính sau: Mô hình acl (access
control list) và mô hình dựa trên cơ chế thiết lập các chính sách (policy).
c) Confidential:
Đánh giá mức độ bảo mật, hay tính an toàn đối với mỗi phương
thức bảo mật, mức độ có thể phục hồi dữ liệu từ những người không có
quyền đối với dữ liệu đó. Có thể bảo mật dữ liệu theo kiến trúc end-to-end
hoặc link-by-link. Với mô hình end-to-end, dữ liệu được bảo mật trong
toàn bộ quá trình xử lý, lưu truyền trên mạng. Với mô hình link-by-link
dữ liệu chỉ được bảo vệ trên các đường truyền vật lý.
d) Integrity:
Tính toàn vẹn: Hoạt động này đánh giá khả năng sửa đổi dữ liệu so
với dữ liệu nguyên thủy ban đầu. Một phương thức bảo mật có tính toàn
vẹn dữ liệu khi nó đảm bảo các dữ liệu mã hóa không thể bị thay đổi nội
dung so với tài liệu gốc (khi đã đượcg giải mã) và trong trường hợp những
kẻ tấn công trên mạng sửa đổi nội dung dữ liệu đã mã hóa thì không thể
khôi phục lại dạng ban đầu của dữ liệu.
Lớp Công Nghệ Thông Tin K47
16
Sinh viên: Đoàn Duy Thành Tìm hiểu về

mt cho c quỏ trỡnh mó hoỏ v quỏ trỡnh gii mó. Do ú, nhc im
chớnh ca phng thc ny l cn cú quỏ trỡnh trao i khoỏ bớ mt, dn
n tỡnh trng d b l khoỏ bớ mt.
Cú hai loi mó hoỏ i xng nh sau: Mó hoỏ theo tng khi v mó
hoỏ theo bits d liu.
Cỏc thut toỏn mó hoỏ i xng theo tng khi d liu
(block cipher) thc hin chia Message dng Plaintext
thnh cỏc khi (vớ d 64 bits hoc 2n bits), sau ú tin hnh
mó hoỏ tng khi ny. i vi khi cui cựng nu khụng
64 bits s c bự thờm phn d liu m (padding). Bờn
nhn s thc hin gii mó theo tng khi.
Mó hoỏ theo tng bits d liu (stream ciphers).
Bng sau õy mụ t mt s phng phỏp mó hoỏ i xng s dng
khoỏ bớ mt:
Tên thuật toán Chế độ mã hoá Chiều dài khoá
DES Theo khối 56
IDEA Theo khối 128
RC2 Theo khối 2048
RC4 Theo bit 2048
RC5 Theo khối 2048
khc phc im hn ch ca phng phỏp mó hoỏ i xng l
quỏ trỡnh trao i khoỏ bớ mt, ngi ta ó s dng phng phỏp mó hoỏ
Lp Cụng Ngh Thụng Tin K47
18
Sinh viên: Đoàn Duy Thành Tìm hiểu về
FireWall
phi đối xứng sử dụng một cặp khoá tương ứng với nhau gọi là phương
thức mã hoá phi đối xứng dùng khoá công khai (public-key crytography).
b. Phương thức mã hóa dùng khoá công khai (public-key crytography).
Phương thức mã hóa dùng khoá công khai được phát minh bởi

key v private key. Bng sau õy lit kờ cỏc thut toỏn public-key thụng
dng nh sau:
Tên
Thuật
toán
Type Nền
tảng
toán
học
DSA Digital
signature
Thuật
toán rời
rạc
RSA Digital
signature,
Key
Exchange
Tìm
thừa số
DSA (digital signature algorithm), phng thc mó húa ny c
ra i t chun DSS (digital signature standard), c gii thiu
vo nm 1994. DSA ch cú th ký vo mt message; nú khụng th
dựng cho mó húa bo mt v key exchange.
RSA l tờn ca 3 nh toỏn hc ó tỡm ra phng thc mó húa ny,
ú l Rivest, Shamir v Adleman. RSA l thut toỏn public-key
thụng dng nht t trc ti nay. RSA cú th s dng c cho mó
húa, ký, v key exchange. Chiu di ca key cú th thay i, thụng
thng trong phm vi t 512 n 2048 bits. Vic la chn chiu di
Lp Cụng Ngh Thụng Tin K47

công! Nó đã đánh Berkeley, UC San Diego, Lawrence Livermore,
Stanford, và NASA Ames." Con virus được biết đến với tên Sâu Morris
này đã được phát tán qua thư điện tử và khi đó đã là một sự khó chịu
chung ngay cả đối với những người dùng vô thưởng vô phạt nhất. Sâu
Morris là cuộc tấn công diện rộng đầu tiên đối với an ninh Internet. Cộng
đồng mạng đã không hề chuẩn bị cho một cuộc tấn công như vậy và đã
hoàn toàn bị bất ngờ. Sau đó, cộng đồng Internet đã quyết định rằng ưu
tiên tối cao là phải ngăn chặn không cho một cuộc tấn công bất kỳ nào
nữa có thể xảy ra, họ bắt đầu cộng tác đưa ra các ý tưởng mới, những hệ
thống và phần mềm mới để làm cho mạng Internet có thể trở lại an toàn.
Năm 1988, bài báo đầu tiên về công nghệ tường lửa được công bố,
khi Jeff Mogul thuộc Digital Equipment Corp. phát triển các hệ thống lọc
đầu tiên được biết đến với tên các tường lửa lọc gói tin. Hệ thống khá cơ
bản này đã là thế hệ đầu tiên của cái mà sau này sẽ trở thành một tính
năng kỹ thuật an toàn mạng được phát triển cao. Từ năm 1980 đến năm
1990, hai nhà nghiên cứu tại phòng thí nghiệm AT&T Bell, Dave Presetto
và Howard Trickey, đã phát triển thế hệ tường lửa thứ hai, được biến đến
với tên các tường lửa tầng mạch (circuit level firewall). Các bài báo của
Gene Spafford ở Đại học Purdue, Bill Cheswick ở phòng thí nghiệm
AT&T và Marcus Ranum đã mô tả thế hệ tường lửa thứ ba, với tên gọi
tường lửa tầng ứng dụng (application layer firewall), hay tường lửa dựa
proxy (proxy-based firewall). Nghiên cứu công nghệ của Marcus Ranum
đã khởi đầu cho việc tạo ra sản phẩn thương mại đầu tiên. Sản phẩm này
đã được Digital Equipment Corporation's (DEC) phát hành với tên SEAL.
Đợt bán hàng lớn đầu tiên của DEC là vào ngày 13 tháng 9 năm 1991 cho
một công ty hóa chất tại bờ biển phía Đông của Mỹ.
Lớp Công Nghệ Thông Tin K47
22
Sinh viên: Đoàn Duy Thành Tìm hiểu về
FireWall

Internet FireWall là một tập hợp thiết bị (bao gồm phần cứng và
phần mềm) được đặt giữa mạng của một tổ chức, một công ty, hay một
quốc gia (Intranet) và Internet.
Intranet
firewall
Internet
Trong một số trường hợp, Firewall có thể được thiết lập ở trong
cùng một mạng nội bộ và cô lập các miền an toàn. Ví dụ như mô hình
dưới đây thể hiện một mạng cục bộ sử dụng Firewall để ngăn cách phòng
máy và hệ thống mạng ở tầng dưới.
3. Phân loại FireWall.
Firewall được chia làm 2 loại:
 Firewall cứng.
Lớp Công Nghệ Thông Tin K47
24
Sinh viên: Đoàn Duy Thành Tìm hiểu về
FireWall
 Firewall mềm.
• FireWall cứng: Là những firewall được tích hợp trên Router.
Đặc điểm của FireWall cứng:
• Không được linh hoạt như Firewall mềm: (Không thể thêm chức
năng, thêm quy tắc như firewall mềm).
• Firewall cứng hoạt động ở tầng thấp hơn Firewall mềm (Tầng
Network và tầng Transport).
• Firewall cứng không thể kiểm tra được nột dung của gói tin.
Ví dụ FireWall cứng: NAT (Network Address Translate).
• FireWall mềm: Là những Firewall được cài đặt trên Server.
Lớp Công Nghệ Thông Tin K47
25