1
BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƢỜNG ĐẠI HỌC DÂN LẬP HẢI PHÒNG
NGÀNH CÔNG NGHỆ THÔNG TIN
====== ISO 9001:2000

ĐỒ ÁN TỐT NGHIỆP TÊN ĐỀ TÀI: TÌM HIỂU VỀ VẤN ĐỀ BẢO MẬT TRONG MẠNG LAN

Giáo viên hướng dẫn : TS. Phạm Hồng Thái
CN. Lƣơng Việt Nguyên
Sinh viên :Nguyễn Thị Thúy
Lớp :CT 701
Mã số sinh viên :10419
2
NỘI DUNG
 MỤC ĐÍCH CỦA ĐỀ TÀI
 NỘI DUNG CHÍNH
3
MỤC ĐÍCH CỦA ĐỀ TÀI
 Nghiên cứu các giải pháp nhằm bảo vệ
cho mạng nội bộ nhằm điều khiển luồng
thông tin ra, vào và bảo vệ các mạng nội


Tƣờng lửa (Firewall)
Mạng riêng ảo (Virtual Private Network- VPN)
Mã hóa dữ liệu
Sử dụng các chƣơng trình antivirus
Các biện pháp bảo vệ vật lý…

8
II. Tổng quan về Firewall
2.1 Khái niệm
Firewall là thiết bị nhằm ngăn chặn sự truy nhập không
hợp lệ từ mạng ngoài vào mạng trong. Hệ thống firewall
thƣờng bao gồm cả phần cứng và phần mềm.
Firewall thƣờng đƣợc dùng theo phƣơng thức ngăn chặn
hay tạo các luật đối với các địa chỉ khác nhau.
9
2.2 Các chức năng cơ bản của Firewall

Chức năng chính của Firewall là kiểm soát luồng thông tin
giữa mạng cần bảo vệ (Trusted Network) và Internet thông
qua các chính sách truy nhập đã đƣợc thiết lập.
Cho phép hoặc cấm các dịch vụ truy nhập từ trong ra ngoài
và từ ngoài vào trong.
Kiểm soát địa chỉ truy nhập, và dịch vụ sử dụng.

13
c. Ưu và nhược điểm của firewall
Firewall phần cứng :
Thƣờng đƣợc sử dụng để đảm bảo an ninh cho các mạng
lớn.
Có thể chạy một cách hoàn toàn độc lập không bị phụ
thuộc vào hệ điều hành nhƣ firewall phần mềm.
Chỉ có thể lọc thông tin trong phần header của gói tin.
Không thể ngăn chặn đựơc các loại Virus.
Đắt hơn Firewall phần mềm.
Firewall phần mềm :
Thƣờng đƣợc sử dụng để đảm bảo an ninh cho các máy
tính cá nhân hoặc một mạng nhỏ
Điểm yếu của firewall phần mềm đó là với mi firewall
phần mềm đƣợc chạy trên từng hệ điều hành nhất định.
14
2.4 Một số hệ thống Firewall khác.
Packet-Filtering Router (Bộ trung chuyển có lọc
gói)
Screened Host Firewall
Demilitarized Zone (DMZ - khu vực phi quân
sự) hay Screened-subnet Firewall

15
2.5. Kết luận

 Các hệ thống firewall thiết lập nhằm mục đích đảm bảo an
ninh mạng thông qua việc kiểm soát phần header của các gói
tin.
 Nhƣng để sử dụng firewall đảm bảo đƣợc an ninh mạng một
Hình 3: Firewall IPTable trong Linux.

18
3.2.1 Netfilter/Iptables có khả năng gì?

 Xây dựng bức tƣờng lửa dựa trên cơ chế lọc gói stateless và
stateful
 Dùng bảng NAT và masquerading chia sẻ sự truy cập mạng
nếu không có đủ địa chỉ mạng.
 Dùng bảng NAT để cài đặt transparent proxy
 Làm các thay đổi các bit(mangling) TOS/DSCP/ECN của IP
header
 Có khả năng theo dõi sự kết nối, có khả năng kiểm tra nhiều
trạng thái của packet.
 Có khả năng giới hạn tốc độ kết nối và ghi nhật ký tránh sự
tấn công từ chối dịch vụ (Deinal of service).

 Tại chain OUTPUT, packet có thể bị thay đổi các thông số và bị lọc chấp
nhận ra hay bị hủy bỏ.
 Đối với packet forward qua máy, packet sau khi rời chain PREROUTING
sẽ qua chain FORWARD.
 Tại chain FORWARD, nó cũng bị lọc ACCEPT hoặc DENY. Packet đến
chain POSTROUTING
 Tại chain POSTROUTING, packet có thể đƣợc đổi địa chỉ IP nguồn
(SNAT) hoặc MASQUERADE.
 Packet sau khi ra card mạng sẽ đƣợc chuyển lên cáp để đi đến máy tính
khác trên mạng.
22
3.3 Sử dụng IPTables

3.3.1. Cấu hình iptables
Iptables đƣợc cài đặt mặc định trong hệ thống Linux, package
của iptables là iptablesversion.rpm hoặc iptables-version.tgz.
Để khởi động, ngừng hoặc khởi động lại Iptables có thể
dùng lệnh sau:
/etc/rc.d/init.d/Iptables start : khởi động iptables.
/etc/rc.d/init.d/Iptables stop : ngừng iptables.
/etc/rc.d/init.d/Iptables restart : khởi động lại iptables.
Để cấu hình Iptables thì dùng file :
/etc/sysconfig/iptables.
23
3.4. Các tham số dòng lệnh

3.4.1 Gọi trợ giúp
$ man iptables hoặc $ iptables help.
VD :Tùy chọn của match limit :$ iptables -m limit –help
3.4.2. Các tùy chọn để thao tác với chain

packet
 ACCEPT: chấp nhận packet
 DROP: thả packet (không hồi âm cho client)
 REJECT: loại bỏ packet (hồi âm cho client bằng một packet
khác)