TTTN ĐẠI HỌC 2010-2015

Mục Lục

SVTH : MSSV :N10234009

Trang 1


TTTN ĐẠI HỌC 2010-2015

Liệt kê hình
Hình 1.1 Scan port theo phương pháp SYN Scan
Hình 1.2 Scan port theo phương pháp ACK Scan
Hình 2.1 Filewall cứng
Hình 3.1 Mô hình checkpoint
Hình 3.2 Install Checkpoint Gaia R77.
Hình 3.3 Wellcom Checkpoint.
Hình 3.4 Phân vùng ổ đĩa.
Hình 3.5 Đặt password cho tài khoản admin.
Hình 3.6 Đặt các thông số cho máy.
Hình 3.7 Hoàn thành cài đặt và khởi động lại.
Hình 3.8 Đăng nhập
Hình 3.9 Kiểm tra lại cấu hình IP
Hình 3.10 Đặt lại tài khoản
Hình 3.11 Finish
Hình 3.12 Giao diện quản lý Web UI Checkpoint
Hình 3.13 Giao diện Quản lý Checkpoint SmartDashboard R77
Hình 3.14 Đăng nhập SmartDashboard
Hình 3.15 Giao diện cấu hình dịch vụ Firewall
Hình 3.16 Giao diện cấu hình dịch vụ Application & URL Filtering

về xu hướng quản trị và bảo mật mạng hiện nay cùng với việc tìm hiểu khảo sát các vấn
đề An ninh mang Doanh nghiệp, cơ chế bảo mật củng như hiệu suất làm việc của
Checkpoint trong hệ thống mạng. Đáp ứng nhu cầu ngày càng cao của bảo mật. Qua đó
thiết lập một hệ thống bảo mật tối ưu để giảm thiểu các mối đe dọa từ internet củng như
quản lý và giám sát an ninh mạng trong doanh nghiệp.
Tôi cam kết kết quả đạt được do tồi tự thực hiện dưới sự dướng dẫn của thầy Võ Đỗ
Thắng. Các bước của quá trình thực hiên đã được tồi ghi lại bằng video:
Clip giới thiệu bản thân />v=XUu4kPvWcg0&feature=youtu.be
Clip 10->20' khó khăn thuận lợi : />v=_FISaOHwAjk#t=21
Clip cài đặt và cấu hình: />
SVTH : MSSV :N10234009

Trang 3


TTTN ĐẠI HỌC 2010-2015

CHƯƠNG 1: TỔNG QUAN VỀ BẢO MẬT
Trong chương này chúng ta sẻ trình bày các khái niệm chung về an toàn an ninh mạng,
tình hình thực tế. Các mô hình mạng và các giao thức được sử dụng để truyền thông trên
mạng.
Các dạng tấn công, một số kỹ thuật tấn công đang được sủ dụng phổ biến hiện nay, từ đó
đưa ra các chiến lược bảo vệ hệ thống khỏi nguy cơ này.

1.1 Tình hình thực tế:
Mạng internet – Mạng toàn cầu kết nối các máy tính cung cấp các dịch vụ như WWW,
Email…là nền tảng cho dịch vụ điện tử ngày càng phát triển nhanh chóng. Internet đã và
đang trở thành một phần không thể thiếu được trong cuộc sống hang ngày. Và cùng với nó
là những sự nguy hiểm mà mạng internet mạng lại.
Những kể tấn công ngày càng tinh vi hơn trong các hoạt động của chúng. Thông tin về

tấn công có thể đoán ra. Củng như việc sử dụng mật khẩu yếu như ngắn và chỉ toàn số
củng là một mối nguy hiểm vì nó có thể bị hacker dể dàng dò ra. Vậy nên ta cần sử dụng
những mật khẩu khó đoán, đủ dài và đủ khó ví dụ như dài 16 ký tự bao gồm cả số, cả chữ
và cả ký tự đặc biệt.
Dữ liệu không được mã hóa:
Các gói dữ liệu truyền đi trên mạng thường dể dàng bị bị bắt được , xem trộm và sữa
chữa… với những dữ liệu không được mã hóa, những kẻ tấn công sẻ chẳng mất bao nhiêu
thời gian để có thể hiểu được chúng. Vậy nên ta cần phải mã hóa các thông tin truyền đi,
đặc biệt là các thông tin quan trọng và nhạy cảm.
Các file chia sẻ:
Việc chia sẻ file trên mạng rất phổ biến nên vấn đề việc bảo mật và phần quyền tốt cho
các file này là điều rất quan trọng nếu không muốn bị xem trộm.

1.3 Các mục tiêu cần bảo vệ:
Để có thể bảo vệ tốt hệ thống và chống lại các cuộc tấn công của hacker. Chúng ta cần
phải biết mình cần bảo vệ những gì, và biết nhiều kiểu tấn công khác nhau từ đó mới có
được những chiến lược bảo vệ đúng đắn.

1.3.1 Dữ liệu
Mục tiêu chính sách an toàn của một hệ thống thông tin củng như đối với dữ liệu bao
gồm:
+ Tính bí mật
+ Tính toàn vẹn
+ Tính sẵn sang
Thông thường thì ta chủ yếu tập trung bảo vệ tính bí mật của dữ liệu, những thông tin có
tính nhạy cảm cao…Khi dữ liệu bị sao chép bởi những người không có quyền thì ta nói
dữ liệu bị mất tính bí mật.
Khi dữ liệu bị sữa đổi một cách bất ngờ bởi người không có quyền thì khi đó ta nói dữ
liệu bị mất tính toàn vẹn.
Tính sãn sàng là tính rất quan trọng nhất đối với các tổ chức hoạt động cần sử dụng nhiều

những gói tin này thì sẻ trả về gói SYN ACK nếu port đó có mở và attacker sẻ biết được
dịch vụ nào đang được bật ở server đó.

Hình 1.1 Scan port theo phương pháp SYN Scan
ACK Scan: Đây là phương pháp scan thường được dung kết hợp với SYN Scan nhằm phát
hiện sự có mặt của Firewall trong hệ thống. Nguyên tắc của ACK Scan là attacker sẻ gửi
SVTH : MSSV :N10234009

Trang 6


TTTN ĐẠI HỌC 2010-2015
gói TCP có bật cờ ACK lên. Server nhận được gói ACK sẻ trả về gói RST, khi đó attacker
sẻ nhận biết được không có sự giám sát về session trong hệ thống. Còn khi có sự xuất
hiện của một Firewall lớp Transport hay Multilayer Firewall thì những gói tin ACK gửi
vào như thế chắc chắn sẻ bị drop.

Hình 1.2 Scan port theo phương pháp ACK Scan

1.4.2 DOS (Denial of Services)
Giới thiệu: Một cuộc tấn công từ chối dịch vụ (tấn công DoS) hay tấn công từ chối dịch
vụ phân tán (tấn công DDoS) là sự cố gắng làm cho tài nguyên của một máy tính không
thể sử dụng được nhầm vào những người dung của nó. Mặc dù phương tiện để tiến hành,
động cơ, mục tiêu của tấn công từ chối dịch vụ là khác nhau, nhưng nói chung nó gồm có
sự phối hợp, sự cố gắng ác ý của một người hay nhiều người để chống lại internetsite
hoặc service (dịch vụ web) vận hành hiệu quả trong tất cả, tạm thời hay một cách không
xác định. Thủ phạm tấn công từ chối dịch vụ nhằm vào các mục tiêu site hay service tiêu
biểu như ngân hang, cổng thanh toán thẻ tín dụng và thậm chí DNS root servers.
Nguyên Lý:
Teardrop:

broadcast của mạng khuếch đại, các máy tính trong mạng khuếch đại sẻ tưởng rằng máy
tính nạn nhân đã gửi gói ICMP packets đến và chúng sẻ đồng loạt gửi trả lại hệ thống nạn
nhân các gói tin phản hồi ICMP packets. Hệ thống máy nạn nhân sẻ không chịu nổi một
khối lượng khổng lồ các gói tin này và nhanh chóng bị ngừng hoạt động, crash hoặc
reboot.

1.4.3 ARP Spoofing
Mỗi thiết bị trong hệ thống mạng của chúng ta có ít nhất hai địa chỉ. Một địa chỉ là Media
Access Control (MAC) và một địa chỉ Internet Protocol (IP). Địa chỉ MAC là địa chỉ của
card mạng gắn vào bên trong thiết bị, nó là duy nhất. Địa chỉ IP có thể thay đổi theo người
sủ dụng tùy vào môi trường mạng. ARP là một giao thức của lớp 2, chức năng của nó
dùng để định vị một host trong một segment mạng bằng cách phân giải địa chỉ IP ra địa
chỉ MAC. ARP thực hiên điều đó thông qua một tiến trình broadcast gói tin đến tất cả các
host trong mạng, gói tin đó chưa địa chỉ IP của host cần giao tiếp. Các host trong mạng
đều nhận được gói tin đó và chỉ duy nhất host nào có địa chỉ IP trùng với địa chỉ IP trong
gói tin mới trả lời lại, còn lại sẻ tự động drop gói tin.
Ví dụ: ARP Request: Máy tính A sẻ hỏi toàn mạng:” ai có địa chỉ IP này? “
ARP reply: máy tính B trả lời máy tính A: “ tôi có IP đó, địa chỉ MAC của tôi là…”
Kỹ thuật ARP Spoofing lợi dụng điểm yếu của giao thức này đó là không có sự xác thực
khi gửi các gói tin ARP, tức là không biết ai gửi gói tin đó. Người tấn công sẻ giả cá gói
tin ARP reply với địa chỉ IP là của một máy trong mạng nhưng địa chỉ MAC lại là giả
hoặc là MAC của máy tấn công. Như vậy máy nạn nhân khi nhận được các gói tin này sẻ
tưởng nhầm đối tác của mình có địa chỉ MAC do người tấn công gửi đến dẫn đến sai lệch
trong việc gửi/nhận thông tin.

SVTH : MSSV :N10234009

Trang 8



Đối với một hệ thống bảo vệ thì cho dù có nhiều khâu có mức an toàn cao nhưng chỉ cần
một khâu mất an toàn thì toàn thì toàn bộ hệ thống củng sẻ mất an toàn. Những kẻ tấn
công thông minh sẻ tim ra những điểm yếu và tập trung tấn công vào đó. Cần Phải thận
trọng tới các điểm yếu này bởi kẻ tấn công luôn biết tìm cách để khai thác nó.

1.5.5 Hỏng an toàn ( Fail – Safe Stance )
Một điểm yếu cơ bản khác trong chiến lược an ninh là khả năng cho phép hệ thống hỏng
an toàn ( faile –safe ) – có nghĩa là nếu hệ thống có hỏng thì sẻ hỏng theo cách chống lại
sự tấn công của đối phương. Sự sụp đổ hiện nay đều có cơ chế hỏng an toàn. Ví dụ như
nếu một router lọc gói bị down, nó sẻ không cho bất kỳ một gói tin nào đi qua. Nếu một
proxy bị down, nó sẽ không cung cấp một dịch vụ nào cả. Nhưng nếu một hệ thống lọc
SVTH : MSSV :N10234009

Trang 9


TTTN ĐẠI HỌC 2010-2015
gói được cấu hình mà tất cả các gói tin được hướng tới một máy chạy ứng dụng lọc gói cà
một máy khác cung cấp ứng dụng thì khi máy chạy ứng dụng lọc gói bị down, các gói tin
sẻ di chuyển toàn bộ đến các ứng dụng cung cấp dịch vụ. Kiểu thiết kế này không phải là
dạng hỏng an toàn và cần phải được ngăn ngừa.
Điểm quan trọng trong chiến lược này là nguyên tắc, quan điểm của ra về an ninh. Ta có
xu hướng hạn chế, ngăn cấm hay cho phép? Có hai nguyên tắc cơ bản mà ta có thể quyết
định đến chính sách an ninh:
+ Mặc định từ chối: Chỉ quan tâm những gì ta cho phép và cấm tất cả những cái còn lại.
+ Mặc định cho phép: chỉ quan tâm đến những gì mà ta ngăn cấm và cho qua tất cả những
cái còn lại.

1.5.6 Tính toàn cục ( Universal Participation )
Để đạt được hiệu quả cao, hầu hêt các hệ thống an toàn đòi hỏi phải có tính toàn cục của

TTTN ĐẠI HỌC 2010-2015

CHƯƠNG 2: TỔNG QUAN VỀ FILEWALL

2.1 Khái niệm
Bảo mật là vấn đề được đề cập nhiều nhất trong các diễn đàn. Có nhiều cách thức để bảo
mật hệ thống nhưng cách điển hình và thông dụng nhất là dùng firewall. Vậy tại sao
firewall lại thông dụng như vậy? chức năng của nó như thế nào?
Firewall Có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn và hạn chế
hỏa hoạn.
Trong công nghệ mạng, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng nhằm
ngăn chặn việc truy cập dữ liệu trái phép, nhằm bảo vệ nguồn thông tin nội bộ và hạn chế
sự xâm nhập không mong muốn vào hệ thống. Cũng có thể hiểu FireWall là một cơ chế
bảo vệ trust network (mạng nội bộ) khỏi các Untrust Network (mạng internet).

2.2. Phân loại – Chức năng – Cấu trúc
2.2.1 Phân Loại:
Tường lửa được chia làm 2 loại, firewall cứng và firewall mềm
* Firewall cứng
Là loại firewall được tích hợp trực tiếp lên phần cứng(như Router Cisco, Check point ,
Planet, Juniper…).
Đặc điểm :
- Không được linh hoạt như firewall mềm vì hầu như các firewall cứng đều hướng theo
xu hướng tích hợp tất cả trong một( ví dụ : không thể thêm quy tắc hay chức năng ngoài
những chức năng đã được tích hợp sẵn…) đối với những firewall cứng trước kia. Hiện tại
xuất hiện xu hướng mới của firewall cứng mà đi đầu là dòng sản phẩm PIX ASA 5500
của Cisco. Tuy là firewall cứng nhưng có khả năng tích hợp những module khác ngoài
module có sẵn. Cấu trúc chính của loại firewall này bao gồm :
+ Adaptive tích hợp cơ bản hầu hết các tính năng chính của 1 firewall như DHCP,
HTTPS, VPNs, hỗ trợ DMZ, PAT, NAT…và các interface trên nó. Một Adaptive có thể

- Có khả năng kiểm tra nội dung của các gói tin thông qua các từ khóa được quy định
trong chương trình.

2.2.2 Chức Năng :
Chức năng chính của firewall là kiểm soát luồng dữ liệu qua nó ra vào giữa intranet và
internet. Nó thiết lập cơ chế điều khiển dòng thông tin lưu thông giữa intranet và internet.
Cụ thể là :
- Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet).
- Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet vào Intranet).
- Theo dõi luồng dữ liệu mạng giữa Internet và Intranet.
- Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập.
- Kiểm soát người sử dụng và việc truy nhập của người sử dụng.
- Kiểm soát nội dung thông tin thông tin luân chuyển trên mạng.
2.2.3 Cấu Trúc :
Tường lửa chuẩn bao gồm một hay nhiều các thành phần sau đây:
- Bộ lọc gói tin (packet-filtering router).
- Cổng ứng dụng (application-level gateway hay proxy server).
- Cổng mạch (circuite level gateway).

2.3 Ưu - nhược điểm của firewall:
2.3.1. Ưu điểm :
-Firewall do con người cấu hình có thể che dấu mạng nội bộ bên trong, lọc dữ liệu và nội
dung của dữ liệu để ngăn chặn được các ý đồ xấu từ bên ngoài như : muốn đánh cắp
thông tin mật, muốn gây thiệt tê liệt hệ thống đối thủ của mình để gây thiệt hại về kinh tế .
- Firewall có thể ngăn chặn các cuộc tấn công vào các server gây tổn thất lớn cho các
doanh nghiệp .
- Ngoài ra firewall còn có khả năng quét virus, chống spam … khi được tích hợp những
công cụ cần thiết.

2.3.2. Nhược điểm :

Packet filter cho phép hay từ chối mỗi packet mà nó nhận được. Nó kiểm tra toàn bộ
packet để quyết định xem packet đó có thoả mãn một trong số các luật lệ (rule) của packet
filtering hay không. Các rule của packet filter này là dựa trên các thông tin ở đầu mỗi gói
tin (packet header), dùng để cho phép truyền các gói tin đó ở trên mạng. Đó là các thông
tin như:
- Địa chỉ IP nơi xuất phát ( IP Source address).
- Địa chỉ IP nơi nhận (IP Destination address).
- Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel).
- Cổng TCP/UDP nơi xuất phát (TCP/UDP source port).
- Cổng TCP/UDP nơi nhận (TCP/UDP destination port).
- Dạng thông báo ICMP ( ICMP message type).
- Giao diện gói tin đến ( incomming interface of packet).
- Giao diện gói tin đi ( outcomming interface of packet)
Nếu luật lệ lọc gói tin được thoả mãn thì gói tin được thông qua. Nếu không gói tin sẽ bị
bỏ đi. Nhờ vậy mà Tường lửa có thể ngăn cản được các kết nối vào các máy chủ hoặc
mạng nào đó được xác định, hoặc khoá việc truy cập vào hệ thống mạng nội bộ từ những
địa chỉ không cho phép. Hơn nữa, việc kiểm soát các cổng làm cho Tường lửa có khả
năng chỉ cho phép một số loại kết nối nhất định vào các loại máy chủ nào đó, hoặc chỉ có

SVTH : MSSV :N10234009

Trang 14


TTTN ĐẠI HỌC 2010-2015
những dịch vụ nào đó (Telnet, SMTP, FTP…) được phép mới chạy được trên hệ thống
mạng cục bộ.
* Ưu điểm:
- Đa số các hệ thống firewall đều sử dụng bộ lọc packet. Một trong những ưu điểm của
phương pháp dùng bộ lọc packet là chi phí thấp vì cơ chế lọc packet đã được tích hợp sẵn


Trang 15


TTTN ĐẠI HỌC 2010-2015
- Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài đặt trên
bastion host, đơn giản chỉ vì nếu một dịch vụ không được cài đặt, nó không thể bị tấn
công. Thông thường, chỉ một số giới hạn các ứng dụng cho các dịch vụ Telnet, DNS, FTP,
SMTP và xác thực user là được cài đặt trên bastion host.
- Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau, ví dụ như user password
hay smart card.
Mỗi proxy được đặt cấu hình để cho phép truy nhập chỉ một sồ các máy chủ nhất định.
Điều này có nghĩa rằng bộ lệnh và đặc điểm thiết lập cho mỗi proxy chỉ đúng với một số
máy chủ trên toàn hệ thống.
Mỗi proxy duy trì một quyển nhật ký (logs) ghi chép lại toàn bộ chi tiết của giao thông
qua nó, mỗi sự kết nối, khoảng thời gian kết nối. Nhật ký này rất có ích trong việc tìm
theo dấu vết hay ngăn chặn kẻ phá hoại.
Mỗi proxy đều độc lập với các proxies khác trên bastion host. Điều này cho phép dễ dàng
quá trình cài đặt một proxy mới, hay tháo gỡ môt proxy đang có vấn đề.
* Ưu điểm :
- Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ trên mạng, bởi
vì ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủ nào có thể truy nhập
được bởi các dịch vụ.
- Cho phép người quản trị mạng hoàn toàn điều khiển được những dịch vụ nào cho phép,
bởi vì sự vắng mặt của các proxy cho các dịch vụ tương ứng có nghĩa là các dịch vụ ấy bị
khoá.
- Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt, và nó có các logs ghi chép
lại thông tin về truy nhập hệ thống.
- Luật lệ lọc cho cổng ứng dụng là dễ dàng cấu hình và kiểm tra hơn so với bộ lọc packet
* Nhược điểm :

Quản lý và chia sẻ các tài khoản và chứng thực thông tin cho các tài khoản truy cập để sử
dụng tài nguyên. Để cho việc quản lý các tài khoản dễ dàng hơn hệ thống cung cấp thêm
2 công cụ : Account Management (LDAP – sắp xếp các tài khoản và kết hợp các thông
tin) và User Authority (cho phép truy cập đến các tài khoản đặc quyền).
GUI (Graphical User Interface) có khả năng quản lý từ xa Security Policy và cung cấp
giao diện chính cho NG. GUI client là công cụ để tạo Security Policy và được sắp xếp
trên Management Server. Công cụ Management Module của Management Server không
chỉ sắp xếp Security Policy mà còn tạo và phân phát ACLs giống như Routers và
Switches.
Nói tóm lại Check Point Next Generation bao gồm các tính năng sau :
- Firewall : hỗ trợ các dịch vụ NAT, điều khiển truy cập (ACLs), logging, bảo mật nội
dung, và chứng thực phiên làm việc.
- Mã hóa và hỗ trợ kết nối mạng riêng ảo VPNs (với hai kiểu site-to-site và client-to-site
dựa trên hai phương thức FWZ và IKE)
- LDAP Account Management có thể chạy tách rời ứng dụng hoặc kết hợp với Security
Dashboard để quản lý LDAP(Lightweight Directory Access Protocol) – sắp xếp cơ sở dữ
liệu tài khoản người dùng rất dễ dàng.
- Cung cấp cơ chế chứng thực, mã hóa cho sự thiết lập và duy trì kết nối mạng riêng
ảo(VPNs).
- OPSEC (Open Platform for Security) - ứng dụng nền cho việc bảo mật của Check Point.
Lọc nội dung gói tin HTTP, SMTP, FTP và URL filtering.
SVTH : MSSV :N10234009

Trang 17


TTTN ĐẠI HỌC 2010-2015
- Check Point High Availability tạo ra nhóm firewalls làm giảm thời gian chết cho hệ
thống.
- Cung cấp Quality of Service dành ưu tiên cho lưu lượng trên mạng.

Thuận lợi cho các ISA Clients (Web và Firewall clients) trong một Tổ chức khi họ phải
mang máy tính từ một mạng (có một ISA Server) đến mạng khác (có ISA Server khác) mà
SVTH : MSSV :N10234009

Trang 18


TTTN ĐẠI HỌC 2010-2015
vẫn tự động phát hiện và làm việc được với Web Proxy Service và Firewall Service trên
ISA Server này.
- DNS : Cài đặt Microsoft DNS server trên Perimeter Network server (Mạng chứa các
máy chủ cung cấp trực tuyến cho các máy khách bên ngoài, nằm sau Firewall, nhưng
cũng tách biệt với LAN)
- Back up và phục hồi thông tin cấu hình của ISA Server Firewall
- Tạo các chính sách truy cập (Access Policy) trên ISA Server Firewall
- Publish Web Server trên một Perimeter Network .
- Dùng ISA Server Firewall đóng vai trò một Spam filtering SMTP relay (trạm trung
chuyển e-mails, có chức năng ngăn chặn Spam mails). Publish Microsoft Exchange
Server services (hệ thống Mail và làm việc cộng tác của Microsoft, tương tự Lotus Notes
của IBM)
- VPN : Cấu hình ISA Server Firewall đóng vai trò một VPN server, tạo kết nối VPN theo
kiểu site-to-site giữa hai Networks

2.5.3 IPCop
- Firewall :Tích hợp IPTable một firewall mạnh của Linux Netfilter.
- Mở rộng cổng giao tiếp hỗ trợ : Analog modem, an ISDN modem, an ADSL modem, hỗ
trợ giao thức PPTP(point-to-point-tunneling-protocol) trong dịch vụ SSH…
- Hỗ trợ một card mạng riêng cho phân vùng DMZ để cấu hình cho các services trong hệ
thống nếu có.
- Hỗ trợ truy xuất từ xa qua SSH server.

SmartDashboard và Máy chủ quản lí an
ninh

4
5
6
7

SVTH : MSSV :N10234009

HTTP Proxy
Mail Server
Active Directory
SmartView Tracker và Smart Event

Trang 20


TTTN ĐẠI HỌC 2010-2015

3.2 Giới thiệu Checkpoint firewall Gateway Security
Software blade là một khối kiến trúc an ninh logic có tính độc lập, modull hóa và quản
lý tập trung. Software Blades có thể được sẵn sàng và cấu hình theo một giải pháp dựa
trên những nhu cầu kinh doanh cụ thể. Và khi có nhu cầu, các blades bổ sung có thể
được kích hoạt để mở rộng an ninh cho cấu hình sẵn có bên trong cùng một cơ sở phần
cứng.

3.2.1 Kiến trúc Checkpoint software Blades
Là một kiến trúc giúp quản lý tốt hơn việc đảm bảo an ninh trong doanh nghiệp vì nó
quản lý tập trung mọi thứ thông qua bàn điều khiển duy nhất nhằm hạn chế sự phức tạp


TTTN ĐẠI HỌC 2010-2015
+IPS – Giải pháp phòng chống xâm nhập IPS tích hợp hiệu năng cao nhất với tầm bao
phủ các nguy cơ tốt nhất
+Web Security – Bảo vệ tiên tiến cho toàn bộ môi trường Web đặc trưng bởi sự bảo vệ
mạnh nhất chống lại các tấn công tràn bộ đệm.
+URL Filtering – Bộ lọc Web thuộc hạng tốt nhất bao phủ hơn 20 triệu URLs,
bảo
vệ người dùng và doanh nghiệp bằng cách cấm truy cập tới các trang Web nguy hiểm.
+Antivirus & Anti-Malware – Bảo vệ diệt virus hàng đầu bao gồm phân tích virus
heuristic, ngăn chặn virus, sâu và các malware khác tại cổng.
+Anti-Spam & Email Security – Bảo vệ đa hướng cho hạ tầng thư tín, ngăn chặn spam,
bảo vệ các servers và hạn chế tấn công qua email.
+Advanced Networking – Bổ sung định tuyến động, hỗ trợ multicast và Quality of
Service (QOS) cho các cổng an ninh.
+Acceleration & Clustering – Công nghệ được cấp bằng SecureXL và ClusterXL cung
cấp sự kiểm soát packet nhanh như chớp, tính sẵn sàng cao và cân bằng tải.
+Voice over IP - Có hơn 60 phòng thủ ứng dụng VoIP và các phương pháp QoS tiên
tiến bảo vệ hạ tầng VoIP khỏi các cuộc tấn công như dạng tấn công từ chối dịch vụ
trong khi cung cấp thoại chất lượng cao.

3.3 Cài đặt

Hình 3.2 Install Checkpoint Gaia R77.

SVTH : MSSV :N10234009

Trang 22




Trang 25