Nguyễn Bá Hiếu Bảo mật mạng bằng công nghệ firewall
LỜI NÓI ĐẦU
Với sự bùng nổ ngày càng mạnh mẽ của mạng Internet, các quốc gia các tổ chức,
các công ty và tất cả mọi người đang ngày càng xích lại gần nhau hơn. Khoảng cách về
địa lý ngày càng trở nên mờ dần và khái niệm một thế giới “phẳng” đang trở nên rõ nét.
Thật khó mà kể hết những lợi ích mà Internet mang lại cho con người và cũng không thể
tưởng tượng được một ngày thiếu Internet thì con người sẽ phải xoay sở như thế nào. Đó
không chỉ là một công cụ trao đổi thông tin nhanh chóng tin cậy mà còn là kho thông tin
vô tận, cập nhật, đa dạng và đầy đủ nhất. Có thể nói rằng Internet là nguồn tài nguyên
vô giá trong kỉ nguyên số hiện nay. Chính vì vậy việc khai thác và tận dụng được tài
nguyên mạng là mối quan tâm hàng đầu của các doanh nghiệp. Công nghệ mạng Lan và
mạng Wan phát triển đã thỏa mãn nhu cầu đó.
Tuy nhiên ngoài những lợi ích to lớn mạng Internet cũng ẩn chứa những nguy cơ
khôn lường về khả năng đánh cắp, phá hoại những tài sản thông tin của tổ chức dẫn đến
những hậu quả nghiêm trọng. Chính vì vậy công việc và trọng trách đặt lên vai của
những người làm công nghệ thông tin trên thế giới nói chung và ở Việt Nam nói riêng
không chỉ là nghiên cứu xây dựng và phát triển nhanh chóng mạng máy tính trong nước
để mọi người có thể khai thác tiềm năng hết sức phong phú trên Internet mà đồng thời
cũng phải nghiên cứu thực hiện tốt các biện pháp ngăn chặn, phòng chống, phát hiện và
phục hồi được các hành vi tấn công phá hoại trái phép trên mạng, nhằm đảm bảo được
tối đa sự phát triển cho các tổ chức kinh doanh…
Với mục đích đó trong thời gian thực tập tôi đã tự tìm hiểu các khái niệm cơ bản
về bảo mật cùng với những kiến thức về mạng máy tính đã học được tại học viện mạng
của Cisco, tôi mong muốn xây dựng được một hệ thống bảo mật sử dụng công nghệ
firewall có nhiều tính ứng dụng trong thực tiễn.
Đồ án tốt nghiệp này sẽ giới thiệu các kiến thức chung về bảo mật mạng máy
tính, các công nghệ thường được sử dụng để bảo mật trên nền bộ giao thức TCP/IP, giao
Lớp Điện Tử 7 - K48
1
Nguyễn Bá Hiếu Bảo mật mạng bằng công nghệ firewall
thức chính trên Intenet và cụ thể đi sâu vào công nghệ Firewall một công nghệ bảo mật

nghiên cứu việc có thể đưa ra được phương án áp dụng thành công công nghệ đã lựa
chọn là điều rất cần thiết. Với mong muốn đồ án là một sản phẩm mang tính thực tiễn
cao tôi sẽ trình bày các phương pháp triển khai công nghệ bức tường lửa trong hệ thống
thông tin của tổ chức, kèm theo đó là những minh họa có tính chất trực quan.
Với những nội dung trên hy vọng mang lại cho người đọc một cái nhìn toàn cảnh
về bức tranh bảo mật nói chung và công nghệ bức tưởng lửa nói riêng. Theo nhịp độ
phát triển mau lẹ của công nghệ các biện pháp tấn công ngày càng tinh vi hơn, chính vì
vậy các công nghệ cũng cần không ngừng được cải tiến không ngừng để đảm bảo cho
một nền thông tin an toàn và bền vững.
Lớp Điện Tử 7 - K48
3
Nguyễn Bá Hiếu Bảo mật mạng bằng công nghệ firewall
THESIS SUMMARY
Information security is a wide-reaching and complex term because it is made up
of many high technologies in order to make our information system more secure.
Today, most information systems must meet the international standards because
information transportation takes place not only in a organization itseft or in a region but
also all over the world. Therefore to secure information exchanged, the security
technologies used must meet international standards.
The first Part of my thesis will provide an overview of information transportation
process in the Internet and a genaral picture of information security technologies. I will
do a thorough research on firewall technology, one of the most popular and effective
security methods in the second part of my thesis.
It’s essential that research results be successfully applicable in real-life selected
technologies. Bearing this in mind, I will clarify applications of firewall technology into
information systems in enterprises in addition to visual illustrations. All of these are
presented in third part.
Hopefully, readers will have general understanding of security technologies in
general and firewall technology in particular. As technological progresses take place
nearly every minute, hacking activities have become increasingly damaging and

2.2. MỤC TIÊU CỦA BẢO MẬT THÔNG TINError: Reference source not found
2.3. BẢO MẬT LÀ MỘT QUY TRÌNH ........................................................... 34
2.4. NHẬN BIẾT CÁC NGUY CƠ MẤT AN NINH DỮ LIỆU. ...................... 36
Chương 3 ................................................................................................................ 45
CÁC CÔNG NGHỆ BẢO MẬT ............................................................................ 45
3.1. CÔNG NGHỆ BẢO MẬT THEO LỚP ..................................................... 45
3.1.1. Bảo mật ở mức vật lý ........................................................................... 46
3.1.2. Bảo mật sử dụng bức tường lửa ........................................................... 47
3.1.3. Bảo mật sử dụng lọc gói dữ liệu .......................................................... 49
3.1.4. Bảo mật sử dụng các phương pháp mã hóa .......................................... 50
3.1.5. Bảo mật sử dụng xác thực, cấp quyền truy nhập và thống kê. ............. 53
3.2. CÁC CHÍNH SÁCH CHUNG CHO CON NGƯỜI ................................... 54
Phần II. ........................................................................................................................ 56
CÔNG NGHỆ FIREWALL VÀ ỨNG DỤNG ........................................................... 56
Chương I ................................................................................................................. 56
CÁC KHÁI NIỆM CƠ BẢN VỀ FIREWALL ...................................................... 56
1.1. LỊCH SỬ RA ĐỜI VÀ PHÁT TRIỂN CỦA CÔNG NGHỆ FIREWALL . 56
Lớp Điện Tử 7 - K48
5
Nguyễn Bá Hiếu Bảo mật mạng bằng công nghệ firewall
1.2. ĐỊNH NGHĨA FIREWALL ........................................................................ 58
1.3. PHÂN LOẠI FIREWALL .......................................................................... 59
1.3.1. Firewall phần mềm ............................................................................... 59
1.3.2. Firewall phần cứng .............................................................................. 59
1.4. CHỨC NĂNG CỦA FIREWALL ............................................................... 59
1.4.1. Điều khiển truy nhập (Access Control) ............................................... 59
1.4.1.1. Vị trí xảy ra quá trình lọc gói ....................................................... 59
1.4.1.2. Hoạt động lọc gói (Packet Filtering) ............................................. 61
1.4.1.3. Luật lọc ( Filtering Rules) ............................................................ 61
1.4.1.4. Hoạt động của tường lửa người đại diện ứng dụng ( Proxy

3.3. NAT ............................................................................................................ 79
3.3.1. Cấu hình NAT trên nhiều cổng ........................................................... 83
3.3.2. Phiên dịch địa chỉ động ....................................................................... 84
3.3.3. Phiên dịch địa chỉ tĩnh ......................................................................... 85
3.3.4. Cơ chế phiên dịch thông qua địa chỉ cổng (Port Address Translation) 85
Lớp Điện Tử 7 - K48
6
Nguyễn Bá Hiếu Bảo mật mạng bằng công nghệ firewall
3.4. Cơ chế điều khiển và giám sát các kết nối qua Firewall ........................... 86
3.4.1. Vận chuyển giao thức TCP .................................................................. 86
3.4.2. Vận chuyển giao thức UDP .................................................................. 88
3.5. Một số kỹ thuật khác được sử dụng trong Firewall ................................... 89
3.5.1. Kỹ thuật thẩm kế an toàn ..................................................................... 89
3.5.2. Kỹ thuật lõi an toàn .............................................................................. 89
3.5.3. Kỹ thuật cân bằng phụ tải .................................................................... 90
3.6. Sự kết hợp các biện pháp kỹ thuật ............................................................. 90
Chương 4 ................................................................................................................ 91
CÁC PHƯƠNG PHÁP TRIỂN KHAI FIREWALL .............................................. 91
4.1. CHỨC NĂNG PHÂN VÙNG CỦA FIREWALL TRONG THIẾT KẾ AN
NINH MẠNG ..................................................................................................... 92
4.1.1. Mạng bên trong(Inside Network) ......................................................... 92
4.1.2. Mạng bên ngoài (Outside Network) ..................................................... 92
4.1.3. Vùng phi quân sự (Demilitarized Zone -DMZ) ................................... 92
4.2. CÁC KIẾN TRÚC FIREWALL ĐƠN GIẢN THƯỜNG GẶP .................. 93
4.2.1. Kiến trúc cơ bản ................................................................................... 93
4.2.2. Dual-Homed System ............................................................................ 94
4.2.3. Kiê
́
n tru
́

Hình 1.18 . Kết nối từ xa sử dụng VPN..................................52
..............................................................................................................................58
Hình 2.1 . Firewall làm màn chắn ngăn cách giữa mạng nội bộ và Internet........58
Hình 2.2. Các vị trí có thể kiểm soát gói tin trong tầng giao thức.......................60
Hình 2.3. Các thông tin được sử dụng trong luật lọc của gói tin IP.....................61
Hình 2.4. Hoạt dộng của người đại diện ứng dụng..............................................62
Hình 2.5 Tưởng lửa lọc gói tin.............................................................................67
Hình 2.6. Tường lửa dịch vụ ủy thác.....................................67
Hình 2.7. Giao tiếp trên mạng thông qua proxy server........................................69
Hình 2.8. Pháo đài phòng ngự..............................................................................71
Hình 2.9. Sơ đồ hoạt động của ISA Server...........................74
Hình 2.10. Hoạt động của Standard ACL............................................................76
Hình 2.11. Di chuyển của gói tin giữa các vùng có độ an toàn khác nhau..........79
Hình 2.12. Chức năng phân vùng của firewall.....................................................80
Hình 2.13 . Quá trình phiên dich địa chỉ..............................................................82
Hình 2.14 . Cấu hình NAT trên nhiều cổng.........................................................83
Hình 2.15. Phiên dịch địa chỉ từ mạng trong ra mạng ngoài................................84
Hình 2.16 Quá trình tạo một kết nối TCP từ bên trong ra bên ngoài..................87
Hình 2.17. Kiến trúc 3 vùng cơ bản trong thiết kế an ninh mạng........................91
4.2.1.Kiến trúc cơ bản..........................................................................................93
Lớp Điện Tử 7 - K48
8
Nguyễn Bá Hiếu Bảo mật mạng bằng công nghệ firewall
Trong kiến trúc firewall cơ bản, firewall có vai trò điều khiển lưu lượng từ trong
mạng nội bộ (Inside Network) đi ra các mạng phía ngoài (Outside Network) và
ngược lại...............................................................................................................93
Trong kiến trúc này firewall sử dụng cấu hình mặc định của nó là 3 cổng: một
cổng nối với mạng phía trong có độ an toàn cao nhất, một cổng nối với vùng
đệm DMZ có độ anh toàn thấp hơn và cổng thứ 3 có độ an toàn thấp nhất được
nối với mạng ngoài. Và như đã nói ở trên thì mặc định tất cả lưu lượng đi từ

Trường hợp này thì Router chỉ cho phép người dung Internet kết nối tới một hệ
thống đã được định nghĩa trước trong pháo đài phòng ngự .Cổng getway sẽ đóng
vai trò kiểm soát toàn bộ gói tin vào ra ...............................................................95
Lớp Điện Tử 7 - K48
9
Nguyễn Bá Hiếu Bảo mật mạng bằng công nghệ firewall
..............................................................................................................................95
Hình 2.20. Kiến trúc Screening Host...................................................................95
Router lọc tin sẽ làm việc rất nhiều trong cấu trúc này ,không chỉ làm việc với
các gói tin để hướng chúng vào các hệ thống bên trong mạng mà nó còn cho
phép hay không cho phép mạng nội bộ mở kết nối với Internet .Bạn có thể cài
đặt cấu hình này dựa trên yêu cầu bảo mật của hệ thống của bạn .Chapman và
Zwicky đã lưu ý rằng cấu trúc này có thể bị hỏng vì nó cho phép các gói tin từ
Internet vào mạng nội bộ ,không giống với Dual – Homed sẽ khóa tất cả gói tin
từ mạng ngoài vào nội bộ ....................................................................................95
4.2.4. Kiến trúc Screeded Subnet.........................................................................96
Trường hợp này tương tự với Screening Host ,ngoại trừ một lớp phụ của bảo
mật được thêm vào giữa vùng ưu tiên và vùng nội bộ ........................................96
..............................................................................................................................96
hình 2.21. Kiến trúc Screened Subnet..................................................................96
Lý do cho cấu trúc này là để bảo vệ mạng nội bộ trong trường hợp pháo đài
phòng ngự không thể chống lại được tấn công từ hacker ...................................96
DANH SÁCH CÁC TỪ VIẾT TẮT
Từ viết tắt Từ đầy đủ Chú thích
FW Firewall Bức tường lửa
VPN Virtual Private Network Mạng riêng ảo
NAT Network Address Translation Phiên dịch địa chỉ mạng
OSI Open Systems Interconnection Mô hình liên kết các hệ
thống mở
CSU/DSU Chanel Service Unit/ Digital Service

dung trên mạng
TCP Transmission Control Protocol Giao thức điều khiển
đường truyền
UDP User Datagram Protocol Giao thức UDP
IP Internet Protocol Giao thức mạng
IPX Internetwork Packet Exchange Giao thức mạng
DoS Denial of Service Từ chối dịch vụ
ACL Access Control List Danh sách điều khiển truy
cập
RFC Request For Comments Tổ chức chuẩn RFC
IETF Internet Engineering Task Force Tổ chức chuẩn IETF
Lớp Điện Tử 7 - K48
11
Nguyễn Bá Hiếu Bảo mật mạng bằng công nghệ firewall
LỜI MỞ ĐẦU
Với mục đích thu thập các kiến thức cơ bản về bảo mật mạng Internet trên nền bộ
giao thức TCP/IP và đi sâu nghiên cứu thiết kế hệ công nghệ bảo mật firewall, bản đồ án
này được tôi chia thành 3 phần với những nội dung như sau:
PHẦN I: KHÁI NIỆM CHUNG VỀ BẢO MẬT.
Phần này trình bày các khái niệm về mô hình truyền thông OSI và bộ giao thức
TCP/IP, khái niệm bảo mật và giới thiệu các công nghệ bảo mật trên nền bộ giao thức
đó. Các nội dung được trình theo các chương sau:
Chương 1: Mô hình OSI và bộ giao thức TCP/IP
Trình bày mô hình truyền thông tin trên mạng Internet theo các lớp và đi sâu tìm
hiểu 3 giao thức cơ bản IP, UDP, TCP.
Chương 2: Khái niệm bảo mật
Trình bày khái niệm bảo mật là gì, mục tiêu trọng tâm của bảo mật, các phương
pháp tấn công thường gặp.
Chương 3: Các công nghệ bảo mật
Lớp Điện Tử 7 - K48

hoạch bảo mật phục vụ cho mục tiêu an ninh mạng.
1.1. GIỚI THIỆU CHUNG
Bộ giao thức điều khiển truyền dẫn / giao thức Internet (TCP/IP) là một trong
những giao thức mạng được sử dụng rộng rãi nhất ngày nay. Ra đời và phát triển từ
những năm 1970 bởi APRA (Advance Research Projects Agency), TCP/IP cho phép các
hệ thống không đồng nhất có thể giao tiếp được với nhau. Ngày nay TCP/IP được áp
dụng rộng rãi trong cả mạng cục bộ cũng như các mạng diện rộng và trên toàn Internet.
Trước khi xem xét giao thức TCP/IP chúng ta tìm hiểu 1 cách khái quát nhất mô
hình tham chiếu cho việc liên kết các hệ thống mở (Reference Model for Open System
Interconnection) OSI.
1.2. MÔ HÌNH OSI
Như đã nói ở trên việc tồn tại nhiều kiến trúc mạng khác nhau và không tương
thích với nhau gây ra trở ngại cho việc trao đổi thông tin giữa các mạng này. Để tạo khả
năng hội tụ cho các sản phẩm mạng, tổ chức tiêu chuẩn hóa quốc tế đã xây dựng một mô
hình tiêu chuẩn cho các mạng gọi là mô hình tham chiếu cho việc liên kết các hệ thống
mở (Reference Model for Open System Interconnection) hay gọn hơn mô hình tham
chiếu OSI (OSI Reference Model).
Mô hình OSI gồm 7 tầng thực hiện các chức năng sau:
Tầng vật lý (Physical Layer): Là tầng thấp nhất, thực hiện việc bốc xếp các chuỗi bit
theo chỉ thị của tầng kết nối dữ liệu.
Tầng kết nối dữ liệu (Datalink Layer): Cung cấp phương tiện để truyền thông tin
qua giao diện vật lý. Có 2 chức năng cơ bản là điều khiển các liên kết logic và điều
khiển truy nhập đường truyền.
Tầng mạng (Network Layer): Thực hiện chức năng đình tuyến để tìm đường đi tối
ưu trên mạng ngoài ra còn chức năng chuyển mạch.
Lớp Điện Tử 7 - K48
14
Nguyễn Bá Hiếu Bảo mật mạng bằng công nghệ firewall
Tầng vận chuyển (Transport Layer): Vận chuyển dữ liệu giữa bên gửi và bên nhận,
có cơ chế điều khiển luồng, phát hiện và sửa sai đảm bảo độ tin cậy.

Datagram Protocol)
- TCP là giao thức cung cấp dịch vụ vận chuyển dữ liệu theo kiểu hướng liên kết
(Connection Oriented) và tin cậy với việc phân chia dữ liệu thành các segment,
thiết lập các kết nối logic, phúc đáp, thiết lập thời lượng kiểm tra lỗi …
- UDP cung cấp các dịch vụ vận chuyển dữ liệu (mỗi đơn vị dữ liệu gọi là một
datagram) không hướng liên kết và thiếu tin cậy.
Lớp Điện Tử 7 - K48
17
Nguyễn Bá Hiếu Bảo mật mạng bằng công nghệ firewall
Bất kỳ yêu cầu tin cậy nào trong việc chuyển phát dữ liệu đều phải được thêm
bởi tầng ứng dụng.
4. Tầng ứng dụng (Application Layer) là tầng trên cùng của mô hình TCP/IP bao
gồm các tiến trình và các ứng dụng cung cấp cho người sử dụng để truy cập mạng. Có
rất nhiều ứng dụng cung cấp cho người sử dụng trong tầng này mà phổ biến là:
Telnet sử dụng trong việc truy cập mạng từ xa.
FTP (File Transfer Protocol) dịch vụ truyền tệp.
SMTP (Simple Mail Transfer Protocol ) dịch vụ thư tín điện tử.
WWW (World Wide Web).
Mô hình OSI ra đời trước đó là mô hình tham chiếu cho việc học tập và nghiên
cứu không có tính ứng dụng cao trong thực tiễn. Mô hình TCP/IP là kế thừa của mô
hình OSI và có tính ứng dụng cao cho việc quy chuẩn để xây dựng các hệ thống mạng
hiện nay. Tuy nhiên hai mô hình trên không loại trừ lẫn nhau mà tồn tại song song
đồng thời vì mục đích sử dụng của chúng tương hỗ cho nhau nhằm tiêu chuẩn hóa việc
xây dựng và phát triển hệ thống mạng truyền thông trên phạm vi toàn thế giới.
1.4. MỘT SỐ GIAO THỨC CƠ BẢN TRONG BỘ GIAO THỨC TCP/IP
Lớp Điện Tử 7 - K48
18

Trích đoạn CÔNG NGHỆ BẢO MẬT THEO LỚP

---