LỜI MỞ ĐẦU
Trong vai trò là người quản trị hệ thống hay một chuyên gia thiết kế mạng thì
vấn đề an ninh cho mạng máy tính luôn đặt lên hàng đầu. Tường lửa chính là phương
thức giúp chúng ta thực hiện việc này một cách tối ưu nhất. Nó ngăn chặn các truy
nhập bất hợp pháp từ bên ngoài, và lọc các gói tin ra vào mạng nội bộ.
Ngày nay, có rất nhiều công cụ tường lửa thương mại cũng như miễn phí và
Smoothwall là một trong những tường lửa miễn phí được đánh giá rất cao từ cộng
đồng người sử dụng. Tuy miễn phí nhưng Smoothwall mang đầy đủ tính năng của một
tường lửa thương mại.
Mục tiêu của đề tài là tìm hiểu về hệ thống tường lửa và phát triển ứng dụng sử
dụng phấn mềm mã nguồn mở Smoothwall. Cho đến nay phần mềm này chưa được
ứng dụng rộng rãi tại Việt Nam. Chính vì thế em muốn tìm hiểu về phân mềm để góp
phần phát triển phần mềm mã nguồn mở tại Việt Nam.
Hiện nay, trường đã áp dụng hình thức dạy học mới, tiên tiến trên thế giới là E-
learning ( học trực tuyến). Hình thức này cần phải đưa các bài giảng lên Trung tâm dữ
liệu, cùng với đó là các thông tin về sinh viên, giảng viên, các tài liệu phục vụ việc học
và giảng dạy,… đều được đưa lên Trung tâm dữ liệu. Do đó, cần phải đảm bảo cho
Trung tâm dữ liệu được an toàn, bảo mật và ổn định là rất quan trọng.
Vì vậy, em chọn đề tài: “Đảm bảo an toàn cho hệ thống Trung tâm dữ liệu
trường Đại học Điện Lực”.
 Mục tiêu của luân văn
Nâng cao hiệu quả của hệ thống.
Bảo vệ tài nguyên hệ thống và chống lại các xâm nhập trái phép.
Quản lý hệ thống mạng của trường tốt hơn.
 Bố cục báo cáo
Luận văn gồm 3 chương:
Chương 1: Tổng quan về an toàn bảo mật hệ thống trung tâm dữ liệu.
Chương 2: Tìm hiểu và cài đặt hệ thống Smoothwall.
Chương 3: Xây dựng hệ thống mạng cho trường Đại học Điện Lực.
LỜI CẢM ƠN
Trong quá trình thực hiện luận văn này, em luôn nhận được sự hướng dẫn, chỉ

DC
Data Center Qos Quality of Service
CSDL Cơ sở dữ liệu Ppp Point – to – Point Protocol
IP Internet Protocol VPN Virtual Private Network
TCP
Transmission Control
Protocol
MB Megabyte
UDP User Datagram Protocol KB Kilobyte
ICMP
Internet Control Message
Protocol
MSN Microsoft Network
DMZ Demilitarized Zone AIM Aol Instant Mesenger
DNS Domain Name System IRC Internet Relay Chat
RAM Random Access Memory NIS
Network Information
Service
DHCP
Dynamic Host
Configuration Protocol
IDS Intrusion Detection System
CD Compact Disc SSH Secure Shell
CD-ROM
Compact Disc Read Only
Memory
URL Uniform Resource Locator
LAN Local Area Network ADSL
Asymmetric Digital
Subscriber Line

(Network Security).
• Bảo vệ hệ thống máy tính, và mạng máy tính, khỏi sự xâm nhập
phá hoại từ bên ngoài (System Security).
Từ đó, các khái niệm về biện pháp bảo vệ thông tin dữ liệu cũng không ngừng
đổi mới đảm bảo tính toàn vẹn và bảo mật cho việc lưu trữ và truyền tin trong các máy
tính nối mạng. Tính bảo mật và toàn vẹn đảm bảo cho các dữ liệu trong quá trình
truyền không thể đọc được bởi bất kỳ người dùng trái phép và toàn vẹn dữ liệu đó
trong khi truyền dẫn không bị sửa đổi hoặc tạo ra bởi bất kỳ người dùng trái phép nào
thông qua mạng.
GVHD: ThS. Lê Mạnh Hùng SVTH: Nguyễn Minh Đức
8
1.2.2 Khái niệm
Trung tâm tích hợp dữ liệu trước hết là trung tâm có phòng Server, phòng tin học
có những thiết bị phục vụ cho việc kết nối mạng như Switch, Router, Hub, và có các
máy chủ Webdite, máy chủ CSDL, Hosting, chia sẻ dữ liệu, máy chủ mail để phục vụ
cho việc lưu trữ, sử lý thông tin, … phục vụ cho hoạt động của cơ quan, tổ chức,…
1.2.3 Các loại tấn công cơ bản
Ta có thể phân ra 2 loại tấn công là tấn công thụ động và tấn công chủ động.
Tấn công thụ động: Mục tiêu của Hacker là chỉ nắm bắt và đánh cắp thông tin.
Họ chỉ có thể biết được người gửi, người nhận trong phần IP Header và thống kê được
tần số trao đổi, số lượng, độ dài của thông tin, chứ chúng không thể chỉnh sửa hoặc
làm hủy hoại nội dung thông tin dữ liệu trao đổi. Kiểu tấn công này khó phát hiện
nhưng có thể có biện pháp ngăn chặn hiệu quả. Đối với tấn công chủ động có thể làm
thay đổi nội dung, xóa bỏ, xắp xếp lại thứ tự hoặc làm lại gói tin đó.
Tấn công chủ động: Dễ phát hiện nhưng để ngăn chặn hiệu quả thì khó khăn
hơn nhiều. Một thực tế cho thấy bất kỳ một hệ thống nào dù được bảo vệ chắc chắn
đến đâu cũng không thể đảm bảo là an toàn tuyệt đối. Vì vậy, chúng ta cần phải xây
dựng các chiến lược bảo mật để có thể từng bước bảo vệ hệ thống an toàn hơn.
1.2.4 Nhiệm vụ của người quản trị.
Lĩnh vực bảo mật thông tin đòi hỏi người quản trị mạng phải luôn tìm tòi, nghiên

 Ưu điểm:
• Ngăn chặn thông tin từ bên ngoài (Internet) vào trong mạng được
bảo vệ, trong khi cho phép người sử dụng hợp pháp truy nhập tự do
mạng bên ngoài.
• Firewall còn là một điểm quan trọng trong chính sách kiểm soát
truy nhập. Nó là “cửa khẩu” duy nhất nối mạng được bảo vệ với
bên ngoài, do đó có thể ghi nhận mọi cuộc trao đổi thông tin, điểm
xuất phát và đích, thời gian,…
• Firewall có thể phục vụ như một công cụ theo dõi các cuộc tấn
công với ý đồ xấu từ bên ngoài nhằm dự báo khả năng bị tấn công
trước khi cuộc tấn công xẩy ra.
 Hạn chế:
• Firewall không thể đọc hiểu từng loại thông tin và phân tích nội
dung của nó. Firewall chỉ có thể ngăn chặn sự xâm nhập của những
nguồn thông tin đã xác định trước.
GVHD: ThS. Lê Mạnh Hùng SVTH: Nguyễn Minh Đức
10
• Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công
này không “đi qua” nó, như là sự dò rỉ thông tin do dữ liệu sao
chép bất hợp pháp lên đĩa mềm.
• Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu
(data – drivent attack). Khi có một số chương trình được chuyền
theo thư điện tử, vượt qua Firewall vào trong mạng được bảo vệ và
bắt đầu hoạt động ở đây.
• Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu
được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của
các virus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi
khả năng kiểm soát của Firewall.
• Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu được áp dụng rộng
rãi.

quản trị mạng cần có hiểu biết chi tiết về các dịch vụ Internet, các dạng Packet Header,
và các giá trị cụ thể mà họ có thể nhận trên mỗi trường. Khi đòi hỏi về sự lọc càng lớn,
các luật lệ về lọc càng trở nên dài và phức tạp, rất khó để quản lý và điều khiển.
b) Cổng ứng dụng (Application – Level Gateway)
 Nguyên lý hoạt động
Một cổng ứng dụng thường được coi như là một pháo đài (bastion Host), bởi vì
nó được thiết kế đặc biệt để chống lại sự tấn công từ bên ngoài. Những biện pháp đảm
bảo an ninh của một Bastion Host là:
Bastion Host luôn chạy các version an toàn (secure version) của các phần mềm
hệ thống (Operating system). Các version an toàn này được thiết kế chuyên cho mục
đích chống lại sự tấn công vào hệ điều hành (Operating System), cũng như là đảm bảo
sự tích hợp Firewall.
Bastion Host có thể yêu cầu nhiều mức độ xác thực khác nhau, Ví Dụ như user
password hay smart card.
Mỗi Proxy được đặt cấu hình để cho phép truy nhập chỉ một số các máy chủ nhất
định.
GVHD: ThS. Lê Mạnh Hùng SVTH: Nguyễn Minh Đức
12
Mỗi Proxy duy trì một quyển nhật ký ghi chép lại toàn bộ chi tiết của giao thông
qua nó, mỗi sự kết nối, khoảng thời gian kết nói. Nhật ký này rất có ích trong việc tìm
theo dấu vết hay ngăn chặn kẻ phá hoại.
Mỗi Proxy đều độc lập với các proxies khác trên Bastion Host. Điều này cho
phép dễ dàng quá trình cài đặt một Proxy mới, hay tháo gỡ một Proxy đang có vấn đề.
 Ưu điểm
Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ trên
mạng, bởi vì ứng dụng Proxy hạn chế bộ lệnh và quyết định những máy chủ nào có thể
truy nhập được bởi các dịch vụ.
Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt, và nó có nhật ký ghi chép
lại thông tin về truy nhập hệ thống.
 Hạn chế

vậy, thông thường trên các hệ Unix, chỉ cần cấu hình và dịch lại
nhân (Kernel) của hệ điều hành là đủ.
 Nhược điểm của Dual–homed Host:
• Không đáp ứng được những yêu cầu bảo mật ngày càng phức tạp,
cũng như những hệ phần mềm mới được tung ra thị trường.
GVHD: ThS. Lê Mạnh Hùng SVTH: Nguyễn Minh Đức
14
• Không có khả năng chống đỡ những cuộc tấn công nhằm vào chính
bản thân nó, và khi Dual–homed Host đó bị đột nhập, nó sẽ trở
thành đầu cầu lý tưởng để tấn công vào mạng nội bộ.
$!% "#
Kiến trúc này kết hợp 2 kỹ thuật đó là Packet Filtering và Proxy Services.
Packet Filtering: Lọc một số loại dịch vụ mà hệ thống muốn cung cấp sử dụng
Proxy Server, bắt người sử dụng nếu muốn dùng dịch vụ thì phải kết nối đến Proxy
Server mà không được bỏ qua Proxy Server để nối trực tiếp với mạng bên trong/bên
ngoài (internal/external network), đồng thời có thể cho phép Bastion Host mở một số
kết nối với internal/external host.
Proxy Service: Bastion Host sẽ chứa các Proxy Server để phục vụ một số dịch vụ
hệ thống cung cấp cho người sử dụng qua Proxy Server.
Hình 14. Sơ đồ kiến trúc Screened Host
 Ưu điểm
• Kiến trúc screened host hay hơn kiến trúc dual–homed host ở một
số điểm cụ thể sau:
• Dual–Homed Host: Khó có thể bảo vệ tốt vì máy này cùng lúc
cung cấp nhiều dịch vụ, vi phạm qui tắc căn bản là mỗi phần tử hay
GVHD: ThS. Lê Mạnh Hùng SVTH: Nguyễn Minh Đức
15
thành phần nên giữ ít chức năng nếu có thể được (mỗi phần tử nên
giữ ít chức năng càng tốt), cũng như tốc độ đáp ứng khó có thể cao
vì cùng lúc đảm nhận nhiều chức năng.

'#(!) *+),
• DMZ (khu vực phi quân sự) là một vùng mạng trung lập giữa mạng
nội bộ và mạng internet, là nơi chứa các thông tin cho phép người
dùng từ internet truy xuất vào và chấp nhận các rủi ro tấn công từ
internet. Hệ thống firewall này có độ an toàn cao nhất vì nó cung
cấp cả mức bảo mật network và application.
Hình 16. Vùng DMZ được tách riêng với mạng nội bộ.
 Ưu điểm:
Kẻ tấn công cần phá vỡ ba tầng bảo vệ: router ngoài, bastion host và router trong.
GVHD: ThS. Lê Mạnh Hùng SVTH: Nguyễn Minh Đức
17
Router ngoài chỉ quảng cáo DMZ network tới Internet, hệ thống mạng nội bộ là
không thể nhìn thấy (invisible). Chỉ có một số hệ thống đã được chọn ra trên DMZ là
được biết đến bởi Internet qua routing table và DNS information exchange (Domain
Name Server).
-$.!/01"2 % "#
Do các yêu cầu về tốc độ đáp ứng (performance) và dư thừa (redundancy), cũng
như tách biệt các Servers khác nhau.
Hình 17. Sơ đồ kiến trúc sử dụng 2 Bastion Host.
Với cách này thì tốc độ đáp ứng cho những người sử dụng bên trong (local user)
một phần nào đó không bị ảnh hưởng (bị làm chậm đi) bởi hoạt động của những người
sử dụng bên ngoài (external user).
Sử dụng nhiều Bastion Host trong trường hợp muốn cung cấp dịch vụ cho nhiều
mạng khác nhau, và loại dữ liệu cung cấp cho mỗi mạng cũng khác nhau, khi mà một
Server nào đó bị đột nhập vào hay bị hỏng thì Server khác vẫn hoạt động tốt.
1.4 Tìm hiểu hệ thống Proxy
Proxy cung cấp cho người sử dụng truy xuất Internet với những host đơn. Những
Proxy server phục vụ những nghi thức đặc biệt hoặc một tập những nghi thức thực thi
trên dual-homed host hoặc Bastion Host. Những chương trình Client của người sử
dụng sẽ qua trung gian Proxy Server thay thế Server thật sự mà người sử dụng cần

1.4.3 Các dạng Proxy
Dạng kết nối trực tiếp
Phương pháp đầu tiên được sử dụng trong kỹ thuật Proxy là cho người sử dụng
kết nối trực tiếp đến Firewall Proxy, sử dụng cho địa chỉ của Firewall và số cổng của
Proxy, sau đó Proxy hỏi người sử dụng cho địa chỉ của Host hướng đến, đó là một
phương pháp Brute Force sử dụng bởi Firewall một cách dễ dàng, và đó cũng là một
vài nguyên nhân tại sao nó là phương pháp ít thích hợp.
Dạng thay đổi Client
Phương pháp kế tiếp sử dụng Proxy setup phải thêm vào những ứng dụng tại máy
tính của người sử dụng. Người sử dụng với ứng dụng đó hành động chỉ như những ứng
dụng không sửa đổi. Người sử dụng cho địa chỉ của host đích hướng tới. Những ứng
dụng thêm vào biết được địa chỉ Firewall từ file config cục bộ, setup sự kết nối đến
ứng dụng Proxy trên Firewall, và truyền cho nó địa chỉ cung cấp bởi người sử dụng.
Proxy vô hình
Trong mô hình này, không cần phải có những ứng dụng thêm vào với người sử
dụng và không phải kết nối trực tiếp đến Firewall hoặc biết rằng Firewall có tồn tại.
Tất cả sự kết nối đến mạng bên ngoài được chỉ đường thông qua Firewall. Chúng tự
động được đổi hướng đến ứng dụng Proxy đang chờ. Firewall đóng vai trò như một
Host đích. Khi kết nối được tạo ra Firewall Proxy, Clinet nghĩ rằng nó được kết nối
với Server thật. Nếu được phép Proxy sau đó tạo kết nối thứ hai đến Server thật.
GVHD: ThS. Lê Mạnh Hùng SVTH: Nguyễn Minh Đức
20
1.5 Các hình thức tấn công và giải pháp cho hệ thống Trung Tâm Dữ Liệu
1.5.1 Các hình thức tấn công
 Vô tình
Hiểm họa vô tình là khi người sử dụng click vào các thông báo mà không biết nội
dung của nó là gì, vô tình chỉnh sửa, thay đổi hoặc xóa bỏ các trạng thái, các dữ liệu
mà không biết nó ảnh hưởng xấu, phá hỏng hoặc làm thay đổi Trung Tâm Dữ Liệu.
 Cố ý
Tấn công cố ý (có chủ đích) là kẻ phá hoại đã có ý đồ, mục đích đánh phá vào

- Kiểm soát thông tin vào, ra được chia làm ba loại chính: Kiểm soát thông tin truy
nhập, kiểm soát luồng và kiểm soát suy diễn.
 Kiểm soát truy nhập
Một hệ thống kiểm soát truy nhập bao gồm có 3 phần chính sau:
• Phần 1: Các chính sách an ninh và quy tắc truy nhập (security
policies, access rules).
• Phần 2: Cơ chế an ninh hay các thủ tục kiểm soát (control
procedures).
• Phần 3: Là các phương tiện và công cụ thực hiện việc kiểm soát
truy nhập hay còn gọi là hạ tầng cơ sở (bao gồm có kiểm soát trực
tiếp và tự động).
 Kiểm soát lưu lượng
• Ở đây chúng ta hiểu lưu lượng chính là “luồng” thông tin di chuyển
giữa hai đối tượng. Do đó việc kiểm soát lưu lượng chính là việc
kiểm tra luồng thông tin có “đi” từ đối tượng này sang đối tượng
khác hay không.
 Kiểm soát suy diễn
Ngay từ cái tên gọi thì việc suy diễn chính là việc lấy thông tin thông qua việc
tập hợp các thông tin khác, hay phân tích từ thông tin khác.
1.6 Kết luận
Hệ thống Trung tâm dữ liệu (Data Center) là kho lưu trữ thông tin, dữ liệu rất
quan trọng và cần thiết cho một trường học, doanh nghiệp,… Vì vậy, việc đảm bảo an
toàn và bảo mật cho hệ thống Trung tâm dữ liệu là vô cùng cần thiết.
Firewall là lựa chọn của rất nhiều hệ thống Trung tâm dữ liệu hiện nay. Firewall
có rất nhiều cách thức bảo mật khác nhau như:
• Bộ lọc gói (Packet – Fileter).
• Cổng ứng dụng (Application – level Gateway hay Proxy Server).
• Cổng vòng (Circuite level Gateway).
Một số giải pháp cho Trung tâm dữ liệu:
GVHD: ThS. Lê Mạnh Hùng SVTH: Nguyễn Minh Đức

24
• Không cài đặt SmoothWall trên máy chính hay là máy trạm duy
nhất vì tất cả dữ liệu trên máy trạm sẽ bị mất. Trước khi cài đặt cần
bảo chắc rằng tất cả dữ liệu đã được sao lưu
• Các bước cài đặt
 Tải bản cài đặt về từ website và gi ra đĩa CD để cài đặt
 Bỏ đĩa CD vào máy cần cài đặt tường lửa và reboot máy tính. Vào chế độ boot CD để
tiến hành cài đặt.
 Các màn hình thông báo xuất hiện, Nhấn Enter để tiếp tục.
 Một hộp thoại vế chính sách bảo mật xuất hiện
Hình 2.2. Hộp thoại về chích sách bảo mật.
Chọn chích sách phù hợp với yêu cầu của mạng rồi OK
 Một menu cấu hình mạng xuất hiện
Hình 2.3. Menu cấu hình mạng.
 Chọn Network configuration type rồi OK
GVHD: ThS. Lê Mạnh Hùng SVTH: Nguyễn Minh Đức
25
Hình 2.4. Hộp thoại cấu hình mạng
• GREEN: tương ứng với mạng LAN
• RED: tương ứng với mạng Internet
• ORANGE: tương ứng với vùng DMZ
• PURPLE: tương ứng với mạng Wireless
Chọn mạng phù hợp với yêu cầu rồi OK
 Sau khi cấu hình thông tin cho các card mạng, các hợp thoại về password xuất hiện
 Đặt password cho root và admin. Kết thúc quá trình cài đặt
2.2.3 Truy cập SmoothWall
• Sử dụng một trình duyệt Internet bất kỳ từ máy trạm truy cập vào
địa chỉ của Smoothwall, ví dụ: https://192.168.10.1:81 nhập vào
username và password mà bạn đã cài đặt. Trang chủ mặt định xuất
hiện