ĐỒ ÁN:

BẢO VỆ VÀ PHÒNG NGỪA TẤN
CÔNG HỆ THỐNG MẠNG BẰNG
FIREWALL MrTink
[Type the company name] Chương Mở Đầu

1. Đặt vấn đề
Sự bùng nổ của Công nghệ Thông tin (CNTT) đã và đang ảnh hưởng sâu rộng tới
mọi lĩnh vực của cuộc sống. Đối với các cá nhân và các doanh nghiệp, CNTT đã trở
thành một trong những nhân tố, công cụ tăng năng lực cho cá nhân và tăng hiệu xuất làm
việc của doanh nghiệp đồng thời mang lại hiệu quả kinh tế cao mà chi phí bỏ ra không
đáng kể. Đặc biệt đối với các doanh nghiệp CNTT đóng vai trò nền tảng quan trọng trong
việc khai thác các ứng dụng nghiệp vụ.
Ngày nay bên cạnh sự phát triển vượt bậc không ngừng của CNTT trên toàn thế
giới và những lợi ích to lớn mà nó mang lại, thì cũng không ít phần tử lợi dụng những lỗ
hổng trong hệ thống của các tổ chức, doanh nghiệp thâm nhập cài mã độc, virus … vào
để phá hoại hệ thống, lấy cắp thông tin để phục vụ cho những mục đích không lành mạnh
của mình.
Symantec đã chính thức công bố những kết quả của Nghiên cứu toàn cầu về hiện

 Đối với hộ gia đình, giúp con em chúng ta tránh tiếp xúc với những nội dung xấu từ
các website không lành mạnh.
 Đối với các công ty, doanh nghiệp giúp bảo mật tốt thông tin nội bộ, những số liệu
mật của công ty đảm bảo sự cạnh tranh công bằng giữa các doanh nghiệp với nhau.
 Đối với các Quốc gia đảm bảo tính tối mật về các thông tin quốc phòng an ninh.
4. Phạm vi nghiên cứu
Đề tài tìm hiểu và làm quen với các khái niệm cơ bản về mạng máy tính, Firewall
cài đặt và cấu hình cơ bản phần mềm ISA 2006.
Cụ thể đề tài nêu tổng quan về mạng máy tính các mô hình mạng, giao thức mạng,
hệ điều hành mạng và các dịch vụ hạ tầng trên Internet. Giới thiệu về an toàn mạng,
Firewall, proxy sever đây là những khái niệm hết sức cơ bản nhưng là nền tảng cho việc
nghiên cứu bảo mật sao cho phù hợp với hệ thống. Giới thiệu về phần mềm ISA 2006 của
Microsoft một phần mềm Firewall nổi tiếng, nhu cầu người sử dụng hiện nay đặt ra cho
hệ thống Firewall ISA 2006, các bước cơ bản cài đặt và cấu hình phần mềm ISA 2006
theo mô hình Dual-Homed Host.
5. Phương pháp nghiên cứu
5.1. Dựa trên tài liệu sách vở và Internet
Tìm hiểu các khải niệm cơ bản liên quan trực tiếp và gián tiếp đến đề tài để có
được cái nhìn tổng quan về toàn bộ đề tài. Nhằm xác định đúng đắn được mục tiêu chính
của đề tài. Tìm hiểu từ nhiều sách vở và nhiều nguồn trên Internet để từ đó so sánh và rút
ra được những gì cơ bản cần thiết và dễ hiểu nhất sau đó chắt lọc thông tin, dữ liệu tìm
được đưa vào đề tài theo từng chương, từng mục cụ thể rõ ràng.
5.2. Tham khảo sự hướng dẫn của Giáo Viên và những người có kinh nghiệm
Chủ động tìm hiểu từ Giáo Viên Hướng Dẫn (GVHD) xin ý kiến, tiếp thu những gì
giáo viên và những người có kinh nghiệm hướng dẫn cộng với những kiến thức tìm được
từ sách vở, Internet để làm tư liệu đưa vào đề tài.


mạng.
 Máy chủ (server): Cung cấp tài nguyên và dịch vụ cho máy trên mạng.
 Peer: Sử dụng tài nguyên trên mạng đồng thời cung cấp tài nguyên trên mạng.
1.1.2.1. Mô hình khách chủ (client/server)
Các máy khách được nối với máy chủ nhận quyền truy cập mạng và tài nguyên
mạng từ các máy chủ. Máy chủ quản lý tất cả tài nguyên và các quyền truy cập vào
mạng.

Hình 1.1: Mô hình trạm chủ (Client/Sever)
 Đặc điểm:
 Độ an toàn và tính bảo mật thông tin: Có độ an toàn và bảo mật thông tin
cao. Người quản trị mạng quyền truy nhập thông tin cho các máy.
 Khả năng cài đặt: Khó cài đặt.
 Đòi hỏi về phần cứng và phần mềm: Đòi hỏi có máy chủ, hệ điều hành
mạng và các phần cứng bổ sung.
 Quản trị mạng: Phải có quản trị mạng.
 Xử lý và lưu trữ tập trung: Có
 Chi phí cài đặt: cao
1.1.2.2. Mô hình mạng ngang hàng(Peer-to-Peer)
Mạng ngang hàng là mạng được tạo ra bởi hai hay nhiều máy tính được kết nối với
nhau và chia sẻ tài nguyên mà không phải thông qua một máy chủ dành riêng.

Hình 1.2: Mô hình mạng ngang hàng (Peer to Peer)
 Đặc điểm
 Độ an toàn và tính bảo mật thông tin: Độ an toàn và bảo mật kém, phụ
thuộc vào mức truy nhập được chia sẻ.
 Khả năng cài đặt: Dễ cài đặt.
 Đòi hỏi về phần cứng và phần mềm: Không cần máy chủ, hệ điều hành
mạng.
 Quản trị mạng: Không cần có quản trị mạng.

chuyển giao một thông điệp hoặc gói thông tin hoàn chỉnh, cũng như IP, các gói tin được
"đóng gói" theo giao thức IPX có thể bị "đánh rơi" (dropped). Do vậy, các ứng dụng có
nhu cầu truyền tin "bảo đảm" thì phải sử dụng giao thức SPX thay vì IPX.
SPX là một giao thức mạng thuộc lớp vận chuyển (transport layer network
protocol) trong mô hình mạng OSI gồm 7 lớp. Cũng như IPX, SPX là giao thức (native
protocol) của các hệ điều mạng Netware của hãng Novell. Tương tự như giao thức TCP
trong bộ TCP/IP, SPX là giao thức đảm bảo toàn bộ thông điệp truyền đi từ một máy tính
trong mạng đến một máy tính khác một cách chính xác. SPX sử dụng giao thức IPX của
Netware như là cơ chế vận chuyển (TCP sử dụng IP).
1.2.2.2. TCP/IP

Hình 1.5: Mô hình TCP/IP
 TCP (Transmission Control Protocol )
Cung cấp các chức năng vận chuyển, nó bảo đảm việc toàn bộ lượng dữ liệu (dưới
dạng bytes) được truyền và nhận một cách chính xác từ máy truyền cho tới máy nhận.
Đặc trưng công nghệ: TCP là một giao thức hướng nối, tin cậy:
 Vận chuyển end-to-end, tin cậy, đúng thứ tự, thông qua các phương
 Dùng cơ chế báo nhận (ACK).
 Dùng số thứ tự các gói tin (Sequence number).
 Dùng phương pháp kiểm soát lỗi mã dư vòng (CRC).
 Điều khiển lưu lượng (flow control + congestion control) bằng cửa sổ trượt có
kích thước thay đổi.
 Do vậy TCP là một giao thức tương đối phức tạp.
UDP (User Datagram protocol) - là một phần của TCP/IP - là một giao thức truyền
thông thay thế cho TCP nhưng không đảm bảo bằng TCP,UDP được sử dụng phổ biến
cho các ứng dụng truyền âm thanh và phim thời gian thực (realtime voice and video
transmissions) đó là các ứng dụng bị truyền lỗi không được truyền lại.

Hình 1.6: Cấu trúc gói tin TCP
 IP (Internet Protocol)


Hình 1.9: Bộ giao thức TCP/IP
1.2.3. Giao thức định tuyến
Định tuyến là quá trình router sử dụng để chuyển tiếp các packet đến mạng đích.
Router đưa ra quyết định dựa trên địa chỉ IP đích của packet. Để có thể đưa ra được quyết
định chính xác, router phải học cách làm sao để đi đến các mạng ở xa. Khi router sử dụng
quá trình định tuyến động, thông tin này sẽ được học từ những router khác. Khi quá trình
định tuyến tĩnh được sử dụng, nhà quản trị mạng sẽ cấu hình thông tin về những mạng ở
xa bằng tay cho router.
1.2.3.1. Routing Information Protocol (RIP)
Routing Information Protocol (RIP) là giao thức định tuyến vector khoảng cách
(Distance Vector Protocol) xuất hiện sớm nhất. Nó suất hiện vào năm 1970 bởi Xerox
như là một phần của bộ giao thức Xerox Networking Services (XNS).
 Chu kỳ cập nhật của RIP là 30 giây.
 Thông số định tuyến của RIP là số lượng hop, giá trị tối đa là 15 hop.
 Một số giới hạn của RIP
 Không mang thông tin subnet mask trong thông tin định tuyến
 Gửi quảng bá thông tin định tuyến theo địa chỉ 255.255.255.255
 Không hỗ trợ xác minh thông tin nhận được
 Không hỗ trợ VLSM và CIDR (Classless Interdomain Routing)
 Sử dụng cho mạng vừa và nhỏ
1.2.3.2. Interior Gateway Routing Protocol (IGRP)
Trước những nhược điểm vốn có của RIP như: metric là hop count, kích thước
mạng tối đa là 15 hop. Cisco đã phát triển một giao thức độc quyền của riêng mình là
IGRP để khắc phục những nhược điểm đó. Cụ thể là metric của IGRP là sự tổ hợp của 5
yếu tố, mặc định là bandwidth và delay:
 Bandwidth
 Delay
 Load
 Reliability

yêu cầu hợp lệ. DHCP server sẽ chọn 1 địa chỉ IP trong database của nó tới máy client,
một hợp đồng thuê với thời gian định kì(mặc định là 8 ngày) .
1.3.1.2. Phương thức bốn bước
DHCP sử dụng cơ chế 4 bước để cung cấp IP cho client:
 Bước 1 (IP Lease Request)
Xảy ra khi một client mới khởi động xin cấp phép IP lần đầu hay khi nó thuê bao
lại. DHCPDISCOVER broadcast message.
 Bước 2 (IP Lease Offer)
DHCP sẻ gởi lại danh sách IP đề nghị cho thuê(đảm bảo các IP này chưa được cấp
cho ai).
DHCP đợi 1 giây để nhận lại gói tin Offer này, nếu không nhận được nó sẻ
rebroadcast 4 lần vào nhịp 2, 4, 8, 16 giữa 0 đến 1000 mils. Nếu vẫn không nhận được IP
sau 4 lần broadcast DHCP client sẽ nhận được IP nằm trong khoảng 169.254.0.1 đến
169.254.255.254(để đảm bảo được liên lạc trên mạng).
DHCP client vẫn tiếp tục tìm DHCP server cứ 5 phút một lần nếu tìm thấy DHCP
server nó sẽ nhận một IP hợp lệ và có khả năng kết nối với toàn mạng.
 Bước 3 (IP Lease Selection)
DHCP client sẽ gởi phản hồi lại server khi nó nhận được gói Offer bằng cách gởi
broadcast, một thông điệp DHCPREQUEST.
 Bước 4 (IP Lease Acknowledgement)
DHCP server sẽ xác nhận đến client việc thuê bao hoàn tất bằng gói thông tin
DHCPPACK.
1.3.2. DNS service
DNS (Domain Name System) là Hệ thống tên miền được phát minh vào năm 1984
cho Internet, chỉ một hệ thống cho phép thiết lập tương ứng giữa địa chỉ IP và tên miền.
Hệ thống tên miền (DNS) là một hệ thống đặt tên theo thứ tự cho máy vi tính, dịch vụ,
hoặc bất kì nguồn lực tham gia vào Internet. Nó liên kết nhiều thông tin đa dạng với tên
miền được gán cho những người tham gia. Quan trọng nhất là, nó chuyển tên miền có ý
nghĩa cho con người vào số định danh (nhị phân), liên kết với các trang thiết bị mạng cho
các mục đích định vị và địa chỉ hóa các thiết bị khắp thế giới. [4]
Chương 2: TỔNG QUAN VỀ AN TOÀN MẠNG VÀ FIREWALL

2.1. An toàn mạng
2.1.1. Khái niệm an toàn mạng
Máy tính có phần cứng chứa dữ liệu do hệ điều hành quản lý, đa số các máy tính
nhất là các máy tính trong công ty, doanh nghiệp được nối mạng Lan và Internet. Nếu
như máy tính, hệ thống mạng của bạn không được trang bị hệ thống bảo vệ vậy chẳng
khác nào bạn đi khỏi căn phòng của mình mà quên khóa cửa, máy tính của bạn sẽ là mục
tiêu của virus, worms, unauthorized user … chúng có thể tấn công vào máy tính hoặc cả
hệ thống của bạn bất cứ lúc nào.
Vậy an toàn mạng có nghĩa là bảo vệ hệ thống mạng, máy tính khỏi sự phá hoại
phần cứng hay chỉnh sửa dữ liệu (phần mềm) mà không được sự cho phép từ những
người cố ý hay vô tình. An toàn mạng cung cấp giải pháp, chính sách, bảo vệ máy tính,

2.1.2.3. Giả mạo địa chỉ
Việc giả mạo địa chỉ IP có thể được thực hiện thông qua việc sử dụng khả năng
dẫn đường trực tiếp (source-routing). Với cách tấn công này, kẻ tấn công gửi các gói tin
IP tới mạng bên trong với một địa chỉ IP giả mạo (thông thường là địa chỉ của một mạng
hoặc một máy được coi là an toàn đối với mạng bên trong), đồng thời chỉ rõ đường dẫn
mà các gói tin IP phải gửi đi.
2.1.2.4. Vô hiệu hóa chức năng của hệ thống (denial of service)
Đây là kiểu tấn công nhằm tê liệt hệ thống, không cho nó thực hiện chức năng mà
nó thiết kế. Kiểu tấn công này không thể ngăn chặn được, do những phương tiện được tổ
chức tấn công cũng chính là các phương tiện để làm việc và truy nhập thông tin trên
mạng. Ví dụ sử dụng lệnh ping với tốc độ cao nhất có thể, buộc một hệ thống tiêu hao
toàn bộ tốc độ tính toán và khả năng của mạng để trả lời các lệnh này, không còn các tài
nguyên để thực hiện những công việc có ích khác.
2.1.2.5. Lỗi của người quản trị hệ thống
Đây không phải là một kiểu tấn công của những kẻ đột nhập, tuy nhiên lỗi của
người quản trị hệ thống thường tạo ra những lỗ hổng cho phép kẻ tấn công sử dụng để
truy nhập vào mạng nội bộ.
2.1.2.6. Tấn công vào yếu tố con người
Kẻ tấn công có thể liên lạc với một người quản trị hệ thống, giả làm một người sử
dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập của mình đối với hệ thống,
hoặc thậm chí thay đổi một số cấu hình của hệ thống để thực hiện các phương pháp tấn
công khác. Với kiểu tấn công này không một thiết bị nào có thể ngăn chặn một cách hữu
hiệu, và chỉ có một cách giáo dục người sử dụng mạng nội bộ về những yêu cầu bảo mật
để đề cao cảnh giác với những hiện tượng đáng nghi. Nói chung yếu tố con người là một
điểm yếu trong bất kỳ một hệ thống bảo vệ nào, và chỉ có sự giáo dục cộng với tinh thần
hợp tác từ phía người sử dụng có thể nâng cao được độ an toàn của hệ thống bảo vệ.
2.1.3. Tầm quan trọng của việc bảo mật mạng
Bảo mật mạng máy tính có tầm quan trọng rất lớn. Trong hầu hết các lĩnh vực kinh
tế, chính trị, văn hóa trong xã hội nhất là đối với thời đại hiện nay nghành công nghệ
thông tin đang phát triển mạnh mẽ và có ứng dụng rộng lớn thì việc bảo mật mạng càng

máy tính các nhân và hệ thống mạng cục bộ được an toàn hơn, Firewall đóng vai trò như
một người gác cổng.

Hình 2.1: Mô hình mạng phổ biến ở các doanh nghiệp khi chưa có Firewall
Hình 2.2: Mô hình mạng sau khi được lắp đặt một hệ thống Firewall
2.2. Tìm hiểu về Firewall
2.2.1. Khái niệm Firewall
Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn
chặn, hạn chế hoả hoạn. Trong công nghệ mạng thông tin, Firewall là một kỹ thuật được
tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông
tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống. Cũng có thể hiểu
Firewall là một cơ chế (mechanism) để bảo vệ mạng tin tưởng (Trusted network) khỏi
các mạng không tin tưởng (Untrusted network).
Internet Firewall là một thiết bị (Phần cứng + Phần mềm) giữa mạng của một tổ
chức, một công ty, một quốc gia (Intranet) và Internet. Nó thực hiện vai trò bảo mật các
thông tin Intranet từ thế giới Internet bên ngoài.
2.2.2. Phân loại và đặc điểm Firewall
2.2.2.1. Firewall cứng
Là những firewall được tích hợp trên Router.

Hình 2.3: Minh họa Firewall cứng
 Đặc điểm của Firewall cứng:
 Không được linh hoạt như Firewall mềm: (Không thể thêm chức năng,
thêm quy tắc như firewall mềm)
 Firewall cứng hoạt động ở tầng thấp hơn Firewall mềm (Tầng Network và
tầng Transport).
 Firewall cứng không thể kiểm tra được nột dung của gói tin.

 Kiểm soát nội dung thông tin thông tin lưu chuyển trên mạng.
2.2.5. Nhiệm vụ Firewall
Nhiệm vụ cơ bản của FireWall là bảo vệ những vấn đề sau :
 Dữ liệu : Những thông tin cần được bảo vệ do những yêu cầu sau:
 Bảo mât.
 Tính toàn vẹn.
 Tính kịp thời.
 Tài nguyên hệ thống.
 Danh tiếng của công ty sở hữu các thông tin cần bảo vệ.
2.2.6. Những hạn chế của firewall
Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại thông
tin và phân tích nội dung tốt hay xấu của nó. Firewall chỉ có thể ngăn chặn sự xâm nhập
của những nguồn thông tin không mong muốn nhưng phải xác định rõ các thông số địa
chỉ.
Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không "đi
qua" nó. Một cách cụ thể, firewall không thể chống lại một cuộc tấn công từ một đường
dial-up, hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa mềm.
Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data-driven
attack). Khi có một số chương trình được chuyển theo thư điện tử, vượt qua firewall vào
trong mạng được bảo vệ và bắt đầu hoạt động ở đây.
Một ví dụ là các virus máy tính. Firewall không thể làm nhiệm vụ rà quét virus
trên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các
virus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả năng kiểm soát của
firewall.
 Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu được áp dụng rộng rãi.
2.2.7. Các thành phần của Firewall và nguyên lý hoạt động
Firewall chuẩn bao gồm một hay nhiều các thành phần sau đây:
 Bộ lọc packet (packet-filtering router).
 Cổng ứng dụng (application-level gateway hay proxy server).
 Cổng mạch (circuite level gateway).