BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC SƯ PHẠM HÀ NỘI
KHOA CNTT
BÁO CÁO BÀI TẬP
LỚNMÔN MẠNG NÂNG CAO
ĐỀ TÀI: TƯỜNG LỬA - FIREWALL
Giáo viên hướng dẫn: Nguyễn Thế Lộc
Sinh viên thực hiện:
1. Nguyễn Thị Thắm.
2. Tống Thị Thu Nga.
3. Dương Thị Phương Mai Chi.
4. Đặng Thị Thu Trang.
5. Nguyễn Văn Thiều.
6. Đào Văn Hùng.
7. Bùi Xuân Thanh.
Hà Nội -2012
Mở Đầu
1
Ngày nay khoa học công nghệ phát triển mạnh mẽ ở trình độ cao cả về chiều rộng lẫn
chiều sâu. Nhu cầu ứng dụng công nghệ cao vào phát triển mọi mặt của đời sống trên
phạm vi toàn cầu ngày càng trở nên gay gắt. Chúng ta cần cập nhật những thành tựu mới
về khoa học kĩ thuật hiện đại. Từ đó nhu cầu trao đổi thông tin không chỉ dừng lại trong
phạm vi nhỏ (trong công ty, cơ quan , tổ chức, đoàn thể, ) mà còn mở rộng trong một
quốc gia, thậm trí là trên toàn cầu. Mọi người đa phần trao đổi với nhau thông qua
Internet. Kết nối vào Internet, sử dụng và khai thác là việc làm quen thuộc của mỗi chúng
ta. Nhưng phải làm sao để việc trao đổi thông tin vẫn đảm bảo được tính an toàn.
Hiện nay, đảm bảo an toàn trong kết nối với môi trường Internet là vấn đề mà cả thế
giới quan tâm. Nhiều giải pháp đã được đề xuất. Một trong các giải pháp hữu hiệu nhất
đó chính là Firewall- tường lửa.
Vì chưa có kinh nghiệm trong quá trinh soạn thảo, biên tập cũng như trình bày nên
còn gặp nhiều thiếu sót. Vì vậy rất mong thầy cô và các bạn sinh viên bổ sung góp ý để

• Đảm bảo tốc độ nhanh.
• Mềm dẻo và dễ sử dụng.
• Trong suốt với người sử dụng.
• Đảm bảo kiến trúc mở.
b. Firewall là gì ?
Một vài thuật ngữ:
Mạng nội bộ (Inernal network) : Bao gồm các máy tính, các thiết bị mạng. Mạng máy
tính thuộc một đơn vị quản lý (Trường học, công ty, tổ chức, đoàn thể, ) cùng nằm một
bên với firewall, mà thông tin đến và đi từ một máy thuộc nó đến một máy không thuộc
nó đều phải qua firewall đó.
• Host bên trong (Internal Host) : Máy thuộc mạng nội bộ.
• Host bên ngoài (External Host) : Máy bất kỳ kết nối vào liên mạng và không thuộc
mạng nội bộ nói trên.
4
Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn
chặn , hạn chế hỏa hoạn. Trong công nghệ mạng thông tin, Firewall là một kỹ thuật được
tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn
thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống.
Một cách vắn tắt, Firewall là hệ thống ngăn chặn việc truy nhập trái phép từ bên ngoài
vào mạng cũng như những kết nối không hợp lệ từ bên trong ra. Firewall thực hiện việc
lọc bỏ những địa chỉ không hợp lệ dựa theo quy tắc hay chỉ tiêu định trước.
Firewall là một thiết bị hệ thống phần cứng hoặc phần mềm hoặc kết hợp cả hai.
Tính chất chung của các Firewall là phân biệt địa chỉ IP dựa trên các gói tin hay từ chối
việc truy nhập bất hợp pháp căn cứ trên địa chỉ nguồn, việc này tương tự với hoạt động
của các bức tường ngăn lửa trong các tòa nhà. Tường lửa còn được gọi là Thiết bị bảo
vệ biên giới (Border Protection Device -BPD), đặc biệt trong các ngữ cảnh của NATO,
hay bộ lọc gói tin (packet filter) trong hệ điều hành BSD- một phiên bản Unix của Đại
học California, Berkeley.
• Phần cứng:
• Điển hình là các tường lửa mạng, thiết bị mở rộng này được đặt giữa máy tính

gửi một bản ghi nhớ qua thư điện tử tới đông nghiệp rằng : “chúng ta đang bị một con
VIRUS Internet tấn công ! Nó đã đánh Berkeley, UC San Diego, Lawrence Livermore,
Stanford, và NASA Ames.” Con virus được biết đến với tên Sâu Morris này đã được phát
tán qua thư điện tử và khi đó đã có một sự khó chịu chung ngay cả đối với những người
dùng vô thưởng vô phạt nhất. Sâu Morris là cuộc tấn công không hề chuẩn bị cho một
cuộc tấn công như vậy và đã hoàn toàn bị bất ngờ. Sau đó, cộng đồng Internet đã quyết
định rằng ưu tiên tối cao là phải ngăn chặn không cho một cuộc tấn công bất kỳ nào nữa
có thể xảy ra, họ bắt đầu cộng tác đưa ra các ý tưởng mới, những hệ thống và phần mềm
mới để làm cho mạng Internet có thể trở lại an toàn.
• Năm 1988, bài báo đầu tiên về công nghệ tường lửa được công bố, khi JeffMogul
thuộc Digital Equipment Corp phát triển các hệ thống lọc đầu tiên được biết đến với tên
các tường lửa lọc gói tin. Hệ thống khá cơ bản này đã là thế hệ đầu tiên của cái mà sau
này sẽ trở thành một tính năng kỹ thuật an toàn mạng được phát triển cao.
• Từ năm 1980 đến năm 1990, hai nhà nghiên cứu tại phòng thí nghiệm AT&T Bell,
Dave Presetto và Howard Trickey, đã phát triển thế hệ tường lửa thứ hai, được biết đến
với tên các tường lửa tầng mạch (circuit level firewall).
• Các bài báo của Gene Spafford ở Đại học Purdue, Bill Cheswick ở phòng thí
nghiệm AT&T và Marcus Ranum đã mô tả thế hệ tường lửa thứ ba, với tên gọi tường lửa
tầng ứng dụng (application layer firewall), hay tường lửa dựa proxy (proxy-based
firewall). Nghiên cứu công nghệ của Marcus Ranum đã khởi đầu cho việc tạo ra sản
phẩm thương mại đầu tiên. Sản phẩm này đã được Digital Equipment Corporantion’s
(DEC) phát hành với tên SEAL. Đợt bán hàng lớn đầu tiên của DEC là vào ngày 13
tháng 9 năm 1991 cho một công ty hóa chất tại bờ biển phía Đông của Mỹ.
• Tại AT&T , Bill Cheswick và Steve Bellovin tiếp tục nghiên cứu của họ về lọc gói
tin và đã phát triển một mô hình chạy được cho công ty của chính họ, dựa trên kiến trúc
của thế hệ tường lửa thứ nhất của mình. Năm 1992, Bob Braden và Annette DeSchon tại
Đại học Nam California đã phát triển hệ thống tường lửa lọc gói tin thế hệ thứ tư. Sản
phẩm có tên “Visas” này là hệ thống đầu tiên có một giao diện với màu sắc và các biểu
tưởng, có thể dễ dàng cài đặt thành phần mềm cho các hệ điều hành chẳng hạn Microsoft
Windows và Mac/OS của Apple và truy nhập từ các hệ điều hành đó. Năm 1994, một

• Một lý do khác là một số quốc gia theo chế độ độc tài, độc đảng áp dụng tường lửa để
ngăn chặn quyền trao đổi, tiếp cận thông tin của công dân nước mình không cho họ
truy cập vào các trang web hoặc trao đổi với bên ngoài, điều mà nhà cầm quyền cho
rằng không có lợi cho chế độ đó.
• Ngăn chặn các ngoại tác không mong muốn. Ngăn chặn các truy cập trái phép, các
cuộc tấn công lấy cắp dữ liệu, đánh sập mạng máy tính của hacker.
• Bảo vệ chống lại những kẻ tấn công từ bên ngoài bằng cách chặn các mã nguy hiểm
hoặc lưu lượng Internet không cần thiết vào máy tính hay mạng. Tường lửa thực sự
rất quan trọng đối với những quốc gia, tổ chức, cơ quan, công ty thường xuyên kết nối
Internet.
4. Phương thức hoạt động chung.
• Để ngăn chặn các trang web không mong muốn, các trao đổi thông tin không mong
muốn người ta dùng cách lọc các địa chỉ web không mong muốn mà họ đã tập hợp
được hoặc lọc nội dung thông tin trong các trang thông qua các từ khóa để ngăn chặn
8
những người dùng không mong muốn truy cập vào mạng và cho phép người dùng hợp
lệ thực hiện việc truy xuất.
• Bức tường lửa có thể là một thiết bị định hướng (Router, một thiết bị kết nối giữa hai
hay nhiều mạng và chuyển các thông tin giữa các mạng này) hay trên một máy chủ
(Server), bao gồm phần cứng hoặc phần mềm nằm giữa hai mạng (chẳng hạn mạng
Internet) và mạng liên kết các gia đình , điểm kinh doanh Internet , tổ chức, công ty,
hệ thống Ngân hàng, cơ quan nhà nước.
• Cơ quan nhà nước có thể lập bức tường lửa ngay từ cổng Internet quốc gia hoặc yêu
cầu các nhà cung cấp dịch vụ đường truyền (IXP) và cung cấp dịch vụ Internet (ISP)
thiết lập hệ thống tường lửa hữu hiệu hoặc yêu cầu các đại lý kinh doanh Internet thực
hiện các biện pháp khác.
5. Các thành phần.
Firewall chuẩn bao gồm một hay nhiều các thành phần sau đây:
• Bộ lọc gói tin (packet- filtering router).
• Cổng ứng dụng (application- level gateway hay proxy server).

trên hệ thống mạng cục bộ.
b. Ưu điểm.
• Đa số các hệ thống Firewall đều sử dụng bộ lọc packet. Một trong những ưu điểm của
phương pháp dùng bộ lọc packet là chi phí thấp vì cơ chế lọc packet đã được bao gồm
trong mỗi phần mềm router.
• Ngoài ra , bộ lọc packet là trong suốt đối với người sử dụng và các ứng dụng , vì vậy
nó không yêu cầu sự huấn luyện đặc biệt nào cả.
c. Nhược điểm.
- Việc định nghĩa các chế độ lọc package là một việc khá phức tạp, đòi hỏi người quản
trị mạng cần có hiểu biết chi tiết về các dịch vụ Internet, các dạng packet header, và
các giá trị cụ thể có thể nhận trên mỗi trường.
- Do làm việc dựa trên header của các packet, rõ ràng là bộ lọc packet không kiểm soát
được nội dung thông tin của packet. Các packet chuyển qua vẫn có thể mang theo
những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu.
5.2. Cổng ứng dụng(application- level gateway hay proxy server).
a. Nguyên lý.
• Một dạng phổ biến là Firewall dựa trên ứng dụng application-proxy. Loại này hoạt
động hơi khác với Firewall dựa trên bộ định tuyến lọc gói tin. Application gateway
dựa trên cơ sở phần mềm. Khi một người dùng không xác định kết nối từ xa vào
mạng chạy application gateway, gateway sẽ ngăn chặn kết nối từ xa này.
• Thay vì nối thông, gateway sẽ kiểm tra các thành phần của kết nối theo những quy tắc
định trước. Nếu thỏa mãn các quy tắc, gateway sẽ tạo cầu nối (bridge) giữa trạm
nguồn và trạm đích.
10
• Cầu nối đóng vai trò trung gian giữa hai giao thức. Ví dụ, trong một mô hình gateway
đặc trưng, gói tin theo giao thức IP không được chuyển tiếp tới mạng cục bộ, lúc đó
sẽ hình thành quá trình dịch mà gateway đóng vai trò bộ phiên dịch.
b. Ưu điểm .
• Ưu điểm của Firewall application gateway là không phải chuyển tiếp IP. Quan trọng
hơn, các điều khiển thực hiện ngay trên kết nối. Sau cùng, mỗi công cụ đề cung cấp

hiện một sự kiểm tra, lọc hay điều khiển các thủ tục Telnet nào. Cổng vòng làm việc
như một sợi dây, sao chép các byte giữa kết nối bên trong (inside connection) và các
kết nối bên ngoài (outside connection). Tuy nhiên, vì sự kết nối này xuất hiện từ hệ
thống Firewall, nên nó che dấu thông tin về mạng nội bộ.
- Cổng vòng thường được sử dụng cho những kết nối ra ngoài, nơi mà các quản trị
mạng thật sự tin tưởng những người dùng bên trong. Ưu điểm lớn nhất là một bastion
host có thể được cấu hình như là một hỗn hợp cung cấp cổng ứng dụng cho những kết
nối đến, và cổng vòng cho các kết nối đi. Điều này làm cho hệ thống Firewal dễ dàng
sử dụng cho những người trong mạng nội bộ muốn trực tiếp truy nhập tới các dịch vụ
Internet, trong khi vẫn cung cấp chức năng Firewall để bảo vệ mạng nội bộ từ những
sự tấn công bên ngoài.
6. Phân loại .
• Có ba loại tường lửa cơ bản:
- Truyền thông được thực hiện giữa một nút đơn và mạng, hay giữa một số mạng.
- Truyền thông được chặn tại tầng mạng, hay tầng ứng dụng.
- Tường lửa có theo dõi trạng thái của truyền thông hay không.
• Phân loại theo phạm vi của các truyền thông trông được lọc, có các loại sau:
- Tường lửa cá nhân, một ứng dụng phần mềm với chức năng thông thường là lọc dữ
liệu ra vào một máy tính đơn.
- Tường lửa mạng, thường chạy trên một thiết bị mạng hay máy tính chuyên dụng đặt
tại ranh giới của hai hay nhiều mạng hoặc các khu phi quân sự (mạng con trung gian
giữa mạng nội bộ và mạng bên ngoài). Một tường lửa mạng tương ứng với ý nghĩa
truyền thông của thuật ngữ “tường lửa” trong ngành mạng máy tính.
• Khi phân loại theo các tầng giao thức nơi giao thông dữ liệu có thể bị chặn, có ba
loại tường lửa chính:
- Tường lửa tầng mạng. Ví dụ Iptables.
- Tường lửa tầng ứng dụng. Ví dụ TCP Wrappers.
- Tường lửa ứng dụng. Ví dụ: hạn chế các dịch vụ FTP bằng việc định cấu hình tại tệp /
etc/ ftpaccess.
- Các loại tường lửa tầng mạng và tường lửa tầng ứng dụng thường trùm lên nhau, mặc

phía sau nó.
• Tiếp theo là phát hiện khe hở trên Firewall đó, giai đoạn này thường khó khăn hơn.
Theo nghiên cứu của các hacker, khe hở trên Firewall tồn tại là do lỗi định cấu hình
của người quản trị hệ thống, sai sót này cũng không hiếm khi xảy ra. Người quản trị
phải chắc chắn sẽ không có bất trắc cho dù sử dụng hệ điều hành (HĐH) mạng nào,
đây là cả một vấn đề nan giải.
• Trong các mạng UNIX, điều này một phần là do HĐH UNIX quá phức tạp, có tới
hàng trăm ứng dụng, giao thức và lệnh riêng. Sai sót trong xây dựng Firewall có thể
do người quản trị mạng không nắm vững về TCP/IP.
• Một trong những việc phải làm của các hacker là tách các thành phần thực ra khỏi các
thành phần giả mạo. Nhiều Firewall sử dụng trạm hy sinh (sacrificial hosts)là hệ
thống được thiết kế như các server Web (có thể sẵn sàng bỏ đi) hay bẫy(decoys), dùng
để bắt các hành vi thâm nhập của hacker. Bẫy có thể cần dùng tới những thiết bị ngụy
trang phức tạp nhằm che dấu tính chất thật của nó, ví dụ: đưa ra câu trả lời tương tự
hệ thống tập tin hay các ứng dụng thực. Vì vậy, công việc đầu tiên của hacker là phải
xác định đây là các đối tượng tồn tại thật.
• Để có được thông tin về hệ thống, hacker cần dùng tới thiết bị có khả năng phục vụ
mail và các dịch vụ khác. Hacker sẽ tìm cách để nhận được một thông điệp đến từ bên
trong hệ thống, khi đó, đường đi được kiểm tra và có thể tìm ra những manh mối về
cấu trúc hệ thống.
• Ngoài ra, không Firewall nào có thể ngăn cản việc phá hoại từ bên trong. Nếu hacker
tồn tại ngay trong nội bộ tổ chức , chẳng bao lâu mạng của bạn sẽ bị hack. Thực tế đã
xảy ra với một công ty dầu lửa lớn: một tay hacker trà trộn vào đội ngũ nhân viên và
thu thập những thông tin quan trọng không chỉ về mạng mà còn về các trạm Firewall.
13
9. Một số mô hình Firewall.
9.1 Packet- Filtering Router (Bộ trung chuyển có lọc gói).
- Hệ thống Internet Firewall phổ biến nhất chỉ bao gồm một packet- filtering router đặt
giữa mạng nội bộ và Internet. Một packet-filtering router có hai chức năng : chuyển
tiếp truyền thông giữa hai mạng và sử dụng các quy luật về lọc gói để cho phép hay từ

14
dụng dịch vụ proxy trên basion host. Việc bắt buộc những user nội bộ được thực hiện
bằng cách đặt cấu hình bộ lọc của router sao cho chỉ chấp nhận những truyền thông
nội bộ xuất phát từ basion host.
Ưu điểm.
• Máy chủ cung cấp các thông tin công cộng qua dịch vụ Web và FTP có thể đặt trên
packet-filtering router và basion. Trong trường hợp yêu cầu độ an toàn cao nhất,
basion host có thể chạy các dịch vụ proxy yêu cầu tất cả các user cả trong và ngoài
truy cập qua basion host trước khi nối với máy chủ. Trong trường hợp không yêu cầu
độ an toàn cao thì các máy nội bộ có thể nối thẳng với máy chủ.
• Nếu cần độ bảo mật cao hơn nữa thì có thể dùng hệ thống Firewall dual-homed (hai
chiều) bastion host. Một hệ thống bastion host như vậy có hai giao diện mạng
(network interface), nhưng khi đó khả năng truyền thông trực tiếp giữa hai giao diện
qua dịch vụ proxy là bị cấm.
• Bởi vì bastion host là hệ thống bên trong duy nhất có thể truy nhập được từ Internet,
sự tấn công cũng chỉ giới hạn đến bastion host mà thôi. Truy nhiên, nếu được user log
on được vào basion host thì họ có thể dễ dàng truy nhập toàn bộ mạng nội bộ. Vì vậy
cần phải cấm không cho user logon vào bastion host.
9.3.Mô hình Demilitarized Zone (DMZ- khu vực phi quân sự ) hay Screened- subnet
Firewall.
• Hệ thống bao gồm hai packet-filtering router và một bastion host. Hệ có độ an toàn
cao nhất vì nó cung cấp cả mức bảo mật network và application, trong khi định nghĩa
một mạng “phi quân sự”. Mạng DMZ đóng vai trò như một mạng nhở, cô lập đặt giữa
Internet và mạng nội bộ. Cơ bản, một DMZ được cấu hình sao cho các hệ thống trên
Internet và mạng nội bộ chỉ có thể truy nhập được một số giới hạn các hệ thống trên
mạng DMZ , và sự truyền trực tiếp qua mạng DMZ là không thể được.
• Với những thông tin đến, router ngoài chống lại những sự tấn công chuẩn (như giả
mạo địa chỉ IP), và điều khiển truy nhập tới DMZ. Hệ thống chỉ cho phép bên ngoài
truy nhập vào bastion host. Router trong cung cấp sự bảo vệ thứ hai bằng cách điều
khiển DMZ truy nhập mạng nội bộ chỉ với những truyền thông bắt đầu từ bastion

- Cho phép người dùng kiểm soát các chương trình có thể và không thể truy cập vào
mạng nội bộ và / hoặc Internet.
- Ẩn các máy tính từ cổng quét do không đáp ứng với lưu lượng mạng không được yêu
cầu.
- Màn hình ứng dụng đã được nghe các kết nối đến.
- Giám sát và điều tiết tất cả người dùng Internet vào và ra.
- Ngăn chặn không mong muốn mạng lưới giao thông từ các ứng dụng cài đặt cục bộ.
- Cung cấp cho người dùng thông tin về một ứng dụng mà làm cho một nỗ lực kết nối.
- Cung cấp thông tin về các điểm đến máy chủ mà một ứng dụng đang cố gắng để liên
lạc.
- Thay vì giảm số lượng nhận biết các dịch vụ mạng, một tường lửa cá nhân là một dịch
vụ bổ sung mà tiêu thụ tài nguyên hệ thống và cũng có thể là mục tiêu của cuộc tấn
công, như minh chứng bằng những con sâu Witty.
- Nếu hệ thống đã bị xâm nhập bởi phần mềm độc hại , phần mềm gián điệp hoặc phần
mềm tương tự, các chương trình này cũng có thể thao tác các bức tường lửa, bởi vì cả
hai đang chạy trên cùng hệ thống. Nó có thể là có thể bỏ qua hoặc thậm chí hoàn toàn
tắt tường lửa phần mềm theo cách như vậy.
- Số lượng cao của các cảnh báo được tạo ra bởi các ứng dụng như vậy có thể có thể
bớt ăn nhạy người sử dụng cảnh báo bằng cách cảnh báo người sử dụng các hành
động mà có thể không độc hại (ví dụ như yêu cầu ICMP ).
- Phần mềm tường lửa mà giao diện với hệ điều hành ở cấp độ hạt nhân có khả năng có
thể gây ra sự bất ổn định và / hoặc giới thiệu các lỗi bảo mật và lỗi phần mềm khác.
• Tường lửa cá nhân bây giờ không còn là thứ “xa xỉ” chỉ dành cho các đại gia nữa. Khi
ngày càng nhiều người dùng lang thang với chiếc laptop trong tay, làm việc bên ngoài
bốn bức tường chật hẹp của văn phòng, thì nguy cơ bị hứng đòn tấn công từ những kẻ
suốt ngày rình mò trên mạng ngày càng cao. Nhiều sự kiện cũng như dấu hiệu đã xuất
hiện, nhắc nhở các công ty tìm kiếm cách thức và con đường bảo vệ người dùng hiệu
quả trước các cuộc tấn công liên tục qua Internet.
• Phải, các cuộc tấn công diễn ra liên tục. Một nghiên cứu gần đây do Trung tâm nghiên
cứu về nguy hiểm và độ tin cậy của Đại học Maryland Clark School kết hợp với Viện

toàn có thể sử dụng trong phạm vi rộng của các hãng lớn như CheckPoint, Cisco,
Juniper và Symantec. Ưu điểm của phương thức này là một hãng đơn lẻ cũng có thể
kiểm soát được cả bảo mật vành đai và bảo mật desktop. Nhưng mặc dù vậy, xét trên
khía cạnh khác, có thể nhiều công ty sẽ không tìm ra được cho mình thành phần phù
hợp nhất mà họ cần.
- Lựa chọn thứ hai là sử dụng bộ phần mềm bảo mật hoạt động cùng với cổng vào
doanh nghiệp hoặc giải pháp diệt virus trung tâm hoá. Ví dụ, bộ phần mềm có thể là:
• Symantec Client Security v3.1
• McAfee Host IPS for desktops v6.0.1
• Windows Live OneCare
- Cái hay của phương thức này là người dùng không cần cài đặt hay cấu hình bất kỳ
thành phần nào trên hệ thống của riêng họ. Các bộ phần mềm doanh nghiệp (hoặc
trong trường hợp của Windows Live, một dịch vụ nền tảng Web) sẽ quản lý chương
trình update riêng. Như thế có nghĩa là cơ sở dữ liệu dấu hiệu tấn công được update tự
động một cách tập trung để chương trình bảo vệ luôn thực hiện được công việc như
hiện tại. Điểm hạn chế trong phương thức này là các giải pháp thường bị tổn thương
do không có chương trình bảo vệ tốt nhất và cơ hội khai thác có thể bị tuột qua. Thêm
vào đó, chúng không hỗ trợ tất cả phiên bản cũ hơn của Windows.
- Các nhà quản lý IT đang tìm kiếm phương thức kiểm soát PC không chịu sự quản lý
nào như máy tính của những người làm việc tại nhà hay người làm việc tạm thời chứ
không phải nhân viên chính thức. “Một vài năm trước, sau cuộc tấn công của sâu
Blaster họ phát hiện ra rằng, hệ thống dò tìm xâm phạm và diệt virus truyền thống giờ
trở nên quá đơn giản và không có tác dung”, Weiss khẳng định.
18
• Các điểm yếu của Windows Firewall:
- Nhược điểm lớn nhất của Windows Firewall là dựa trên tường lửa cá nhân tích hợp
sẵn của Windows (hoặc Mac OS). Nhãn “cá nhân” khiến Windows Firewall được
phân biệt với tường lửa doanh nghiệp, có nhiệm vụ bảo vệ toàn bộ mạng công ty
trước các cuộc tấn công. Phiên bản cá nhân chỉ chạy được trên máy tính để bàn.
- Dựa trên tường lửa cá nhân dựng sẵn do hệ điều hành cung cấp không phải là giải

thứ ba mới được sử dụng thường xuyên: kết hợp tường lửa mạnh hơn trên từng
desktop với thiết bị bảo mật trung tâm hoá hoặc một bộ phần mềm bảo mật. Đây
chính là vấn đề cốt lõi của các sản phẩm bảo mậthiện đang có trên thị trường, như sản
phẩm của Cisco, Consentry, Juniper, Lockdown Networks và Mirage Networks. Tất
19
cả đều triển khai công cụ giám sát trạng thái của từng thiết bị mạng và đảm bảo cho
chúng an toàn.
- Nhưng các giải pháp này thường rất tốn kém và tốn lượng lớn thời gian để triển khai.
Một lựa chọn tốt hơn là sử dụng tường lửa cá nhân của nhóm thứ ba như Zone Labs
của CheckPoint Software, Panda Software, Prevx và một số hãng khác như trong
bảng tóm tắt dưới đây:
Sản phẩm Địa chỉ (URL) Thành phần chính
Panda
Software
Client Shield
2006
Pandasoftware.com
Hỗ trợ Windows
98/2000, phiên bản
doanh nghiệp.
Zone Alarm
Internet
Security Suite
v7.0,
CheckPoint
Integrity
Zonelabs.com
Có phiên bản miễn phí
(chỉ tường lửa) và thu
tiền; bộ sản phẩm bao

- Lợi ích từ việc sử dụng các sản phẩm này đã được thể hiện trong thực tế. Chúng giúp
bảo vệ hiệu quả các máy để bàn và ngăn chặn tốt hơn việc khai thác lỗ hổng ze-ro day
trước khả năng tấn công của nhiều người qua mạng doanh nghiệp.
20
- Một ví dụ điển hình là công ty viễn thông VAR Tele-Verse đã dùng phần mềm diệt
virus Norton của Symantec để bảo vệ hàng loạt máy Windows 2000 20-plus khoảng 9
tháng trước đây, khi một máy tính được phát hiện bị tấn công bởi virus và phát tán ra
toàn bộ máy trong công ty. “Chúng tôi đã phải bỏ ra mất gần một ngày trời để tìm
kiếm chương trình có thể diệt được virus này, kể cả update phiên bản mới nhất của
Norton trên tất cả cá máy”, Scott Rendell - quản lý hoạt động của Tele-Verse kể lại.
“Cuối cùng chúng tôi tìm ra Prevx và nó đã cứu cả công ty. Nó làm việc rất dễ dàng
và nhanh chóng phát hiện ra vấn đề, rồi cách ly ngay lập tức virus. Chúng tôi không
gặp phải phiền phức gì từ sau lần đó”.
- Prevx kiểm tra thường xuyên các bản update có dấu hiệu mới và cũng phát hiện được
hoạt động tựa virus của ứng dụng. Một số sản phẩm tường lửa cá nhân nhóm thứ ba
khác cũng đã bắt đầu kết hợp chặt chẽ với các kỹ thuật tương tự. Và các nhà nghiên
cứu bảo mật đang bỏ ra nhiều thời gian để kiểm tra và tìm kiếm cách loại bỏ malware
mà không cần đòi hỏi dấu hiệu cụ thể.
- Tìm ra được tường lửa cá nhân tốt nhất không hề đơn giản. Các nhà quản lý IT sẽ cần
kiểm tra một lượng lớn cấu hình desktop và ứng dụng trước khi có được bất kỳ quyết
định nào. Chúng phải đảm bảo được hai yếu tố: có thể bảo vệ được những gì và có dễ
sử dụng trong các hoạt động tin học thường ngày không. “Thách thức nằm ở chỗ, làm
sao tối thiểu hoá được gánh nặng quản lý phần mềm bổ sung cho chương trình bảo vệ
desktop bổ sung”, Weiss của CheckPoint phân tích. “Các doanh nghiệp luôn có giới
hạn nhất định về số lượng khác nhau của phần mềm họ muốn hỗ trợ”.
- Người ta đã tiến hành một số kiểm tra thử nghiệm độc lập để xác định tính hiệu quả
của tường lửa cá nhân. Một trong số đó là Firewall Leak Tester. Một loạt sản phẩm
khác nhau được đưa và chương trình kiểm tra nhằm xác định liệu các tường lửa có thể
ngăn chặn một số kiểu tấn công cụ thể từ bất kỳ đe doạ nào. Các nhà quản lý IT có thể
đánh giá chương trình kiểm tra và xác định độ mạnh tương ứng trên từng sản phẩm.

những người làm bán thời gian.
C. TƯỜNG LỬA TẦNG MẠNG VÀ TẦNG ỨNG DỤNG
( NETWORK LAYER FIREWALL + APPLICATION LAYER FIREWALL).
• Ví dụ cụ thể cho tường lửa tầng Mạng là iptables.
22
• Một số chức năng của iptables:
- Tích hợp tốt với Linux kernel, để cải thiện sự tin cậy và tốc độ chạy iptables.
- Quan sát kỹ tất cả các gói dữ liệu. Điều này cho phép firewall theo dõi mỗi 1 kết nối
thong qua nó, và dĩ nhiên là xem xét nội dung của từng luồng dữ liệu để từ đó tiên
liệu hành động kế tiếp của các giao thức. Điều này rất quan trọng trong việc hỗ trợ
các giao thức FTP, DNS…
- Lọc gói dựa trên địa chỉ MAC và các cờ trong TCP header. Điều này giúp ngăn chặn
việc tấn công bằng cách sử dụng các gói dị dạng ( malformed packets ) và ngăn chặn
việc truy cập nội bộ đến 1 mạng khác bất chấp ip của nó.
- Ghi chép hệ thống ( system logging ) cho phép việc điều chỉnh mức độ của báo cáo.
- Hỗ trợ việc tính hợp các chương trình Web proxy chẳng hạn như Squid.
- Ngăn chặn các kiểu tấn công từ chối dịch vụ.
• Khởi động iptables:
23
• Gói trong iptables:
- Mangle: chịu trách nhiệm thay đổi các bits chất lượng dịch vụ trong TCP header như
TOS ( type of service ), TTL ( time to live ), và MARK.
- Filter : chịu trách nhiệm lọc các gói dữ liệu. Nó gồm có 3 quy tắc nhỏ ( chain ) để
giúp bạn thiết lập các nguyên tắc lọc gói, gồm:
• Forward chain: lọc gói khi đi đến các server khác.
• Input chain : lọc gói khi đi vào trong server.
• Output chain : lọc gói khi đi ra khỏi server.
- NAT : gồm có 2 loại :
• Pre-routing chain : thay đổi địa chỉ đến của gói dữ liệu khi cần thiết.
• Post-routing chain : thay đổi địa chỉ nguồn của gói dữ liệu khi cần thiết.