Tìm hiểu hệ thống Firewall và ứng dụng Firewall trong thực tế

Đồ án tốt nghiệp
Bảo mật mạng máy tính và Firewall
MỤC LỤC
Hình 4.2.b: Stateful Firewall
Hình4.2.c: Deep Packet Layer Firewall
Hình 4.2.1b: B trí NetScreen Firewall.ố
4.2.2Ph n m m Check Point Firewallsầ ề
Network-based IDSs l ph n to n b c a pha ki m tra c a chính à ầ à ộ ủ ể ủ
sách b o m t. Network-based IDS l s phát tri n c a s ki m tra ả ậ à ự ể ủ ự ể
th i gian th c ki m tra t i các v trí t n t i trong c u trúc h t ng ờ ự ể ạ ị ồ ạ ấ ạ ầ
m ng. Ki m tra n y g i l network sensors, phân tích ng truy nạ ể à ọ à đườ ề
v phát hi n các tác ng không xát th c nh các tác ng nguy à ệ độ ự ư độ
h i. Ph thu c v o các chi m l c t n công t ch c c l a ạ ụ ộ à ế ượ ấ ổ ứ đượ ự
ch n, ki m tra các tác ng thích h p mang l i.ọ ể độ ợ ạ
M t trong nh ng u i m chính c a vi c tri n khai h th ng ộ ữ ư đ ể ủ ệ ể ệ ố
Network-based trên h th ng host-based l th c t m qu n lý m ngệ ố à ự ế à ả ạ
có kh n ng ti p t c ki m tra m ng c a nó không ph i vi c l m thêả ă ế ụ ể ạ ủ ả ệ à
1
Tìm hiểu hệ thống Firewall và ứng dụng Firewall trong thực tế
n o m ng phát tri n.vi c c ng thêm các host không c n thi t à để ạ ể ệ ộ ầ ế
yêu c u thêm các network-based intrusion sensors.ầ
Các c u trúc v th nh ph n c a Network sensors.ấ à à ầ ủ
Network IDS có 2 giao di n, nó l i n hình k t n i t i các ệ à đ ể ế ố ớ
segments khác nhau c a m ng c a t ch c. M t l ki m tra các portủ ạ ủ ổ ứ ộ à ể
l áp ng i v i vi c b t d li u i v i vi c phân tích. Ki m à đ ứ đố ớ ệ ắ ữ ệ đố ớ ệ ể
tra c ng c k t n i t i các o n m ng m có kh n ng m c tiêuổ đượ ế ố ớ đ ạ ạ à ả ă ụ
c k t n i nh web servers, mail servers C ng th 2 l th ng …đượ ế ố ư ổ ứ à ườ
c tham chi u t i các c ng l nh v c ng i u khi n nó áp ng đượ ế ớ ổ ệ à ổ đ ề ể đ ứ
vi c gây ra c nh báo t i flatform qu n lý.Gi ng nh host-based ệ ả ớ ả ố ư

Tìm hiểu hệ thống Firewall và ứng dụng Firewall trong thực tế
t ng s v ki u ng truy n trong m ng. Sau khi l a ch n các ổ ố à ể đườ ề ạ ự ọ
thông tin ó v bi t c thông tin gì c b o v , v trí v ki u đ à ế đượ đượ ả ệ ị à ể
sensor c xác nh. Các sensor c t mi n inside ph i có đượ đị đượ đặ ở ề ả
tránh nhi m khác v i các sensor t mi n outside: ệ ớ đặ ở ề
Hình 5.1.3.1c B trí Network-Based IDS Sensor ố
Hi n nay t t c các nh qu n lý m ng u quan tâm n v n ệ ấ ả à ả ạ đề đế ấ đề
b o m t m ng v i cái nhìn ti p t c xây d ng x lý thông qua các ả ậ ạ ớ ế ụ ự ử
chính sách b o m t m ng. X lý n y l ph ng th c 4 b c bao ả ậ ạ ử à à ươ ứ ướ
g m: b o m t h th ng (secure the system), ki m tra m ng (monitor ồ ả ậ ệ ố ể ạ
the network), ki m tra hi u qu c a các gi i pháp v c i thi n các ể ệ ả ủ ả à ả ệ
tri n khai b o m t.ể ả ậ
Host IDS có th mô t b ng cách phân ph i các agent t p trung ể ả ằ ố ậ
trong m i server c a m ng hi n th các tác ng c a m ng trongỗ ủ ạ để ể ị độ ủ ạ
th i gian th c.Host IDS xác nh ph m vi b o m t v có th c u ờ ự đị ạ ả ậ à ể ấ
hình m các áp ng t ng c ng n ch n t n công t các đề à đ ứ ự độ đượ ă ặ ấ ừ
nguyên nhân các m i nguy hi m tr c khi nó t n công v o h ố ể ướ ấ à ệ
th ng.ố
C u trúc v các th nh ph n c a Host sensorấ à à ầ ủ
Cisco IDS sensor có hai th nh ph n chính:à ầ
Cisco Secure Agent
Cisco secure Agent l ph n m m b t gói tin c ch y trên m i à ầ ề ắ đượ ạ ỗ
server riêng bi t ho c trên workstation b o v ch ng l i các k ệ ặ để ả ệ ố ạ ẻ
t n công.ấ
Cisco IDS sensor cung c p các phân tích th i gian th c v tác ng ấ ờ ự à độ
tr l i các t n công xâm nh p. Host sensor x lý v phân tích m i ở ạ ấ ậ ử à ỗ
v m i yêu c u t i h i u h nh v các giao di n ch ng trình à ọ ầ ớ ệ đ ề à à ệ ươ
ng d ng v phòng ch ng các host n u c n thi t. Các agent ó có ứ ụ à ố ế ầ ế đ
th i u khi n t t c các tr ng thái trong các files, các b m c a ể đ ề ể ấ ả ạ ộ đệ ủ
m ng, vi c ng ký v truy nh p COM. C u trúc c a Cisco secure ạ ệ đă à ậ ấ ủ

c s d li u n i m các thông tin c u hình c l u tr .ơ ở ữ ệ ơ à ấ đượ ư ữ
Các agents c k t n i tr c ti p v i server.Khi agent g i c nh báo đượ ế ố ự ế ớ ử ả
t i server, server cung c p các ch d n ng i i u khi n m t cách ớ ấ ỉ ẫ ườ đ ề ể ộ
c n th n t t c các yêu c u chú thích c u hình nh e-mail v trangẩ ậ ấ ả ầ ấ ư à
chú thích.
S tri n khai HIDS trong m ng:ự ể ạ
S phát tri n c a các Host-based IDS thông qua các th ch c m ng ự ể ủ ổ ứ ạ
yêu c u các thi t k thông qua r t t t.ầ ế ế ấ ố
V n c b n l xác nh nh ng gì trong chính sách b o m t c aấ đề ơ ả à đị ữ ả ậ ủ
các công ty, nh thi t k c áp ng nh n ra v quy t nh h à ế ế đượ đ ứ ậ à ế đị ệ
th ng n o c b o v . To n v n i t ng trong phase thi t k ố à đượ ả ệ à ẹ đố ượ ế ế
xác nh các ki u h th ng khác nhau: l servers UNIX hay đị ể ệ ố à
Windows platforms, chúng ta c n b o v ch server hay chúng ta lo ầ ả ệ ỉ
l ng v máy tính laptop t t nh desktop…ắ ề ố ư
Hình 5.1.3.2b Tri n khai Host IDS ể
Vi c xem xét s quan tr ng trong phase thi t k l s giao ti p ệ ự ọ ế ế à ự ế
qu n lý IDS. Các agents giao ti p v i các Agent Manager trên port ả ế ớ
TCP c bi t. i u n y tr nên quan tr ng khi các agents c trú đặ ệ Đ ề à ở ọ ư
trong m ng khác trong m ng Agent Manager. i u c bi t ó ạ ạ Đ ề đặ ệ đ
úng v i các agents ch y trong mi n DMZ hay trong nhánh hay đ ớ ạ ề
remote home office.
Các k ho ch chung i v i h t ng công ty l s phát tri n các ế ạ đố ớ ạ ầ à ự ể
web server, các mail server, DNS (domain name system), FTP v các à
4
Tìm hiểu hệ thống Firewall và ứng dụng Firewall trong thực tế
agents khác trong m ng DMZ. ng truy n t i v t các agents ạ Đườ ề ớ à ừ
ch y trong các server ó t i các Agents Manager c cho phép ạ đ ớ đượ
thông qua firewall.
i v i mote offices hay home offices, VPN v IPSec c ng c Đố ớ à ũ đượ
tính toán n khi thi t k kênh giao ti p qu n lý gi a các agent v đế ế ế ế ả ữ à

Do nội dung đồ án rộng và bao gồm nhiều kiến thức mới mẻ, thời gian và
kiến thức còn hạn chế, việc nghiên cứu chủ yếu dựa trên lý thuyết nên chắc chắn
đề tài không tránh khởi những thiếu sót. Em rất mong nhận được sự đóng góp ý
kiến của thầy cô giáo và bạn bè.
Với lòng biết ơn sâu sắc, em xin chân thành cảm ơn thầy Đỗ Đình Hưng cùng
các thầy cô giáo trong khoa Điện Tử - Viễn Thông trường Đại Học Bách Khoa
Hà Nội và các anh trong phòng kỹ thuật trong công ty Cổ phần công nghệ Sao
Bắc Đẩu đã nhiệt tình hướng dẫn giúp đỡ em hoàn thành đợt thực tập này.
Cuối cùng xin cảm ơn bạn bè, người thân đã luôn bên tôi, kịp thời động viên
và giúp đỡ tôi trong thời gian vừa qua.
Em xin chân thành cảm ơn !
6
Tìm hiểu hệ thống Firewall và ứng dụng Firewall trong thực tế
Hà Nội, tháng 5 năm 2014
Sinh viên
Tóm tắt đồ án
Tên đồ án: Bảo mật mạng máy tính & Firewalls
Với mục đích tìm hiểu về mạng máy tính và các vấn đề về bảo mật mạng, các
cách đảm bảo an ninh mạng như Firewall, IDS, IPS. Đồ án gồm hai phần chính:
Phần I: Tổng quan về mạng máy tính.
Phần II: Các chính sách bảo mật mạng.
Đồ án chia thành 6 chương:
Chương 1: Giới thiệu về máy tính và mạng máy tính.
Giới thiệu cấu trúc máy tính và tổng quan về mạng máy tính, các đặc
trưng, phân loại và một số mạng máy tính thông dụng hiện nay.
Chương 2: Chuẩn hóa mạng máy tính.
Giới thiệu tại sao cần chuẩn hóa mạng, mô hình tham chiếu 7 lớp OSI,
các giao thức mạng TCP/IP cũng như giới thiệu tổng quan về mạng
Internet.
Chương 3: Tổng quan về bảo mật mạng.

Network security overview, method of attracks, security levels, method
of security and plan design network security prolicies.
Chapter 4: Firewall overview.
8
Tìm hiểu hệ thống Firewall và ứng dụng Firewall trong thực tế
Introduction to characters of Firewall overview, division of Firewall,
architectures mode and mebers of Firewall.
Chapter 5: IDS and IPS overview.
Introduction to IDS and IPS overview, definition, feature, role, element
and indivision of them.
Chapter 6: Simulation Firewall System.
Build Firewall system that is use wide in fact. Sofwares are use and
methods proccess simulation.
_________________________________________________________________
_____
CÁC HÌNH VẼ SỬ DỤNG TRONG ĐỒ ÁN
Hình 1.1.1a: Cấu trúc tổng quát của máy tính 14
Hình 1.1.1b: Bộ xử lý trung tâm của máy tính (CPU) 15
Hình 1.1. 1c: Đơn vị điều khiển của CPU 16
Hình 1. 1.2: Các chức năng cơ bản của máy tính 17
Hình 1.2. 1: Mạng máy tính với bộ tiền xử lý 18
Hình 1.2.4.3.1: Mạng hình sao (Star) 25
Hình 1.2.4.3.2: Mạng hình vòng (Ring) 26
Hình 1.2.4.3.3: Mạng trục tuyến tính (Bus) 26
Hình 1.2.4.3.4: Mạng vô tuyến – Satellite (Vệ tinh) hoặc Radio 27
Hình 1.2.4.3.5: Mạng kết nối hỗn hợp 28
9
Tìm hiểu hệ thống Firewall và ứng dụng Firewall trong thực tế
Hình 1.2.5.2: Mạng diện rộng với kết nối LAN to LAN 30
Hình 2.2.2: Mô hình tham chiếu OSI 7 lớp 33

Các từ viết tắt
ARP Address resolution protocol
ASYN Asychronous
CPU Central Processing Unit
11
Tìm hiểu hệ thống Firewall và ứng dụng Firewall trong thực tế
DNS Domain Name System
EDVAC Electronic Discrete Variable Computer
ENIAC Electronic Numerical Integrator And Computer
FTP File Transfer Protocol
GAN Global Area Network
HIDS Host-based Instrusion Detection System
HIPS Host-based Instrusion Prevension System
HTML Hyper Text Markup Language
HTTP Hyper Text Transport Protocol
IP Internet Protocol
ICMP Internet control message protocol
IGMP Internet group management protocol
ISDN Integated Services Digital Network
IDS Instrusion Detection System
IPS Instrusion Prevension System
LAN Local Area Network
MAC Media Access Control
MAN Metropolitan Area Network
NIC Network Interface Card
NIDS Network-based Instrusion Detection System
NIPS Network-based Instrusion Prevension System
NSF National Science Foundation
RARP Reverse address resolution protocol
RCP Remote Call Procedure

hiện các chức năng xử lý dữ liệu.
Hình 1.1.1b: Bộ xử lý trung tâm của máy tính (CPU)
CPU thường được đề cập đến với tên gọi bộ xử lý. Máy tính có thể có một
hoặc nhiều thành phần nói trên, ví dụ như một hoặc nhiều CPU. Trước đây đa
phần các máy tính chỉ có một CPU nhưng gần đây có sự gia tăng sử dụng nhiều
CPU trong một hệ thống máy đơn. CPU luôn luôn là đối tượng quan trọng vì đây
là thành phần phức tạp nhất của hệ thống. Cấu trúc của CPU gồm các thành phần
chính:
- Đơn vị điều khiển: Điều khiển hoạt động của CPU và do đó điều khiển hoạt
động của máy tính.
- Đơn vị luận lý và số học (ALU – Arithmetic and Logic Unit): Thực hiện các
chức năng xử lý dữ liệu của máy tính.
- Tập thanh ghi: Cung cấp nơi lưu trữ bên trong CPU.
15
Tìm hiểu hệ thống Firewall và ứng dụng Firewall trong thực tế
- Thành phần nối kết nội CPU: Cơ chế cung cấp khả năng liên lạc giữa đơn vị
điều khiển, ALU và tập thanh ghi.
Trong các thành phần con nói trên của CPU, đơn vị điều khiển lại giữ vai trò
quan trọng nhất. Sự cài đặt đơn vị này dẫn đến một khái niệm nền tảng trong chế
tạo bộ vi xử lý máy tính. Đó là khái niệm vi lập trình. Hình dưới đây mô tả tổ
chức bên trong một đơn vị điều khiển với ba thành phần chính gồm:
- Bộ lập dãy logic.
- Bộ giải mã và tập các thanh ghi điều khiển.
- Bộ nhớ điều khiển.
Hình 1.1. 1c: Đơn vị điều khiển của CPU
Các thành phần khác của máy tính:
 Bộ nhớ chính: Dùng để lưu trữ dữ liệu.
 Các thành phần nhập xuất: Dùng để di chuyển dữ liệu giữa máy tính và môi
trường bên ngoài.
16

 Di chuyển dữ liệu: Máy tính phải có khả năng di chuyển dữ liệu giữa nó và
thế giới bên ngoài. Khả năng này được thể hiện thông qua việc di chuyển dữ liệu
giữa máy tính với các thiết bị nối kết trực tiếp hay từ xa đến nó. Tùy thuộc vào
kiểu kết nối và cự ly di chuyển dữ liệu, mà có tiến trình nhập xuất dữ liệu hay
truyền dữ liệu:
- Tiến trình nhập xuất dữ liệu: Thực hiện di chuyển dữ liệu trong cự ly ngắn
giữa máy tính và thiết bị nối kết trực tiếp.
- Tiến trình truyền dữ liệu: Thực hiện di chuyển dữ liệu trong cự ly xa giữa
máy tính và thiết bị nối kết từ xa.
- Điều khiển: Bên trong hệ thống máy tính, đơn vị điều khiển có nhiệm vụ
quản lý các tài nguyên máy tính và điều phối sự vận hành của các thành phần
chức năng phù hợp với yêu cầu nhận được từ người sử dụng.
1.2 Mạng máy tính
Mạng máy tính là một hệ thống kết nối các máy tính đơn lẻ thông qua các
đường truyền vật lý theo một kiến trúc nào đó.
Đường truyền vật lý dùng để chuyển các tín hiệu số hay tín hiệu tương tự
giữa các máy tính. Đường truyền vật lý thường là:
- Đường dây điện thoại thông thường.
- Cáp đồng trục.
- Sóng vô tuyến điện từ.
- Cáp sợi quang.
1.2.1. Lịch sử phát triển mạng máy tính
18
Tìm hiểu hệ thống Firewall và ứng dụng Firewall trong thực tế
Từ những năm 60, đã xuất hiện những mạng nối các máy tính và các
Terminal để sử dụng chung nguồn tài nguyên, giảm chi phí khi muốn thông tin,
trao đổi số liệu và sử dụng trong công tác văn phòng một cách tiện lợi.
Hình 1.2. 1: Mạng máy tính với bộ tiền xử lý.
Việc tăng nhanh các máy tính mini, các máy tính cá nhân làm tăng nhu cầu
truyền số liệu giữa các máy tính, các Terminal và giữa các Terminal với các máy

có quyền truy nhập, khai thác và sử dụng những tài nguyên chung của mạng
(thường là server).
- Chia sẻ phần cứng: Tài nguyên chung của mạng cũng bao gồm các máy
móc, thiết bị như: Máy in (Printer), máy quét (Scanner), ổ đĩa mềm (Floppy), ổ
20
Tìm hiểu hệ thống Firewall và ứng dụng Firewall trong thực tế
đĩa CD (CD Rom) được nối vào mạng. Thông qua mạng máy tính, người sử
dụng có thể sử dụng những tài nguyên phần cứng này ngay cả khi máy tính của
họ không có những phần cứng đó.
 Duy trì và bảo vệ dữ liệu: Một mạng máy tính có thể cho phép các dữ liệu
được tự động lưu trữ dự phòng tới một trung tâm nào đó trong mạng. Công việc
này là hết sức khó khăn và tốn nhiều thời gian nếu phải làm trên từng máy độc
lập. Hơn nữa, mạng máy tính còn cung cấp một môi trường bảo mật an toàn cho
mạng qua việc cung cấp cơ chế bảo mật (security) bằng mật khẩu (password) đối
với từng người sử dụng, hạn chế được việc sao chép, mất mát thông tin ngoài ý
muốn.
 Nâng cao độ tin cậy của hệ thống nhờ khả năng thay thế cho nhau khi xảy ra
sự cố kỹ thuật đối với một máy tính nào đó trong mạng.
 Khai thác có hiệu quả các cơ sở dữ liệu tập trung và phân tán, nâng cao khả
năng tích hợp và trao đổi các loại dữ liệu giữa các máy tính trên mạng.
1.2.3. Đặc trưng kỹ thuật của mạng máy tính
1.2.3.1. Đường truyền
Là thành tố quan trọng của một mạng máy tính, là phương tiện dùng để
truyền các tín hiệu điện tử giữa các máy tính. Các tín hiệu điệu tử đó chính là các
thông tin, dữ liệu được biểu thị dưới dạng các xung nhị phân (On – Off), mọi tín
hiệu truyền giữa các máy tính với nhau đều thuộc sóng điện từ.
- Các tần số radio có thể truyền bằng cáp điện (dây xoắn đôi hoặc đồng trục)
hoặc bằng phương tiện quảng bá (radio broadcasting).
- Sóng cực ngắn (viba) thường được dùng để truyền giữa các trạm mặt đất và
các vệ tinh. Chúng cũng được dùng để truyền các tín hiệu quảng bá từ một trạm

sóng vô tuyến với các thiết bị điều chế/giải điều chế ở các đầu mút. Đường
truyền vô tuyến gồm có:
- Radio.
- Sóng cực ngắn (Viba).
- Tia hồng ngoại (Infrared).
1.2.3.2. Kiến trúc mạng
Kiến trúc mạng (network architecture) thể hiện cách nối giữa các máy tính
trong mạng và tập hợp các quy tắc, quy ước nào đó mà tất cả các thực thể tham
gia truyền thông trên mạng phải tuân theo để đảm bảo cho mạng hoạt động tốt.
1.2.3.2.1. Hình trạng mạng
Hình trạng mạng là cách kết nối các máy tính với nhau về mặt hình học mà
ta gọi là “topology” của mạng.
Có 2 kiểu nối mạng chủ yếu là điểm – điểm (point to point) và điểm – đa
điểm (point to multipoint).
- Theo kiểu điểm – điểm: Các đường truyền nối từng cặp nút với nhau và
mỗi nút đều có trách nhiệm lưu trữ tạm thời sau đó chuyển tiếp dữ liệu đi cho tới
đích. Một số mạng có cấu trúc điểm – điểm như: mạng hình sao, mạng chu trình,
…
- Theo kiểu điểm – đa điểm: Tất cả các nút phân chia chung một đường
truyền vật lý. Dữ liệu gửi đi từ một nút nào đó sẽ có thể được tiếp nhận bởi tất cả
các nút còn lại. Bởi vậy cần chỉ ra địa chỉ đích của dữ liệu để mỗi nút căn cứ vào
đó kiểm tra xem dữ liệu có phải gửi cho mình hay không. Mạng trục tuyến tính
23
Tìm hiểu hệ thống Firewall và ứng dụng Firewall trong thực tế
(bus), mạng hình vòng (ring), mạng vệ tinh (satellite) hay radio là những mạng
có cấu trúc điểm – đa điểm phổ biến.
1.2.3.2.2. Giao thức mạng
Việc trao đổi thông tin dù là đơn giản nhất, cũng phải tuân theo những quy
tắc nhất định. Đơn giản như khi hai người nói chuyện với nhau muốn cho cuộc
nói chuyện có kết quả thì ít nhất cả hai cũng phải ngầm hiểu và tuân thủ quy ước:

- Giao thức mạng sử dụng.
- Hệ điều hành mạng sử dụng
1.2.4.1. Phân loại mạng theo khoảng cách địa lý:
Mạng máy tính có thể phân bổ trên một vùng lãnh thổ nhất định và cũng có
thể phân bổ trong phạm vi một quốc gia hay rộng hơn nữa là toàn thế giới. Dựa
vào phạm vi phân bổ của mạng, người ta có thể phân ra các loại mạng như sau:
1.2.4.1.1. Mạng toàn cầu (GAN – Global Area Network)
Là mạng kết nối các máy tính từ các châu lục khác nhau. Thông thường kết
nối này được thực hiện thông qua mạng viễn thông và vệ tinh.
1.2.4.1.1. Mạng diện rộng (WAN – Wide Area Network)
Là mạng kết nối các máy tính trong nội bộ các quốc gia hay giữa các quốc gia
trong cùng một châu lục. Thông thường các kết nối này được thực hiện thông
qua mạng viễn thông. Các WAN có thể kết nối với nhau tạo thành GAN hay tự
nó cũng có thể xem là một GAN.
1.2.4.1.2. Mạng đô thị (MAN – Metropolitan Area Network)
25