1 2
M•c l•c

1. An toàn thông tin trên mng _____________ Error! Bookmark not defined.
1.1 Ti sao cn có Internet Firewall ___________ Error! Bookmark not defined.
1.2 Bn mun bo v cái gì?__________________ Error! Bookmark not defined.
1.2.1 D liu ca bn ____________________ Error! Bookmark not defined.
1.2.2 Tài nguyên ca bn _________________ Error! Bookmark not defined.
1.2.3 Danh ting ca bn _________________ Error! Bookmark not defined.
1.3 Bn mun bo v chng li cái gì? _________ Error! Bookmark not defined.
1.3.1 Các kiu tn công __________________ Error! Bookmark not defined.
1.3.2 Phân loi k tn công _______________ Error! Bookmark not defined.
1.4 Vy Internet Firewall là gì? _______________ Error! Bookmark not defined.
1.4.1 nh ngha________________________ Error! Bookmark not defined.
1.4.2 Chc nng ________________________ Error! Bookmark not defined.
1.4.3 Cu trúc__________________________ Error! Bookmark not defined.
1.4.4 Các thành phn ca Firewall và c ch hot ng Error! Bookmark not
defined.
1.4.5 Nhng hn ch ca firewall __________ Error! Bookmark not defined.
1.4.6 Các ví d firewall __________________ Error! Bookmark not defined.
2. Các dch v Internet ______________Error! Bookmark not defined.
2.1 World Wide Web - WWW________________ Error! Bookmark not defined.
2.2 Electronic Mail (Email hay th in t). ____ Error! Bookmark not defined.

defined. 4
1. An toàn thông tin trên mng
1.1 Ti sao cn có Internet Firewall
Hin nay, khái nim mng toàn cu - Internet không còn
mi m. Nó ã tr nên ph bin ti mc không cn phi chú
gii gì thêm trong nhng tp chí k thut, còn trên nhng
tp chí khác thì tràn ngp nhng bài vit dài, ngn v
Internet. Khi nhng tp chí thông thng chú tr ng vào
Internet thì gi ây, nhng tp chí k thut li tp trung vào
khía cnh khác: an toàn thông tin. ó cùng là mt quá trình
tin trin hp logic: khi nhng vui thích ban u v mt
siêu xa l thông tin, bn nht nh nhn thy r!ng không ch"
cho phép bn truy nhp vào nhiu ni trên th gii, Internet
còn cho phép nhiu ngi không mi mà t ý ghé thm máy
tính ca bn.
Thc vy, Internet có nhng k thut tuyt vi cho phép
m i ngi truy nhp, khai thác, chia s thông tin. Nhng nó
c#ng là nguy c chính d$n n thông tin ca bn b h h%ng
ho&c phá hu' hoàn toàn.
Theo s( liu ca CERT(Computer Emegency Response
Team - “i cp cu máy tính”), s( lng các v tn công
trên Internet c thông báo cho t chc này là ít hn 200
vào nm 1989, khong 400 vào nm 1991, 1400 vào nm
1993, và 2241 vào nm 1994. Nhng v tn công này nh!m
vào tt c các máy tính có m&t trên Internet, các máy tính
ca tt c các công ty ln nh AT&T, IBM, các trng i
h c, các c quan nhà nc, các t chc quân s, nhà bng...

Nhng thông tin lu tr trên h th(ng máy tính cn c
bo v do các yêu cu sau:
 Bo mt: Nhng thông tin có giá tr v kinh t, quân s,
chính sách vv... cn c gi kín.
 Tính toàn v.n: Thông tin không b mt mát ho&c sa
i, ánh tráo.
 Tính kp thi: Yêu cu truy nhp thông tin vào úng
thi im cn thit.
Trong các yêu cu này, thông thng yêu cu v bo mt
c coi là yêu cu s( 1 (i vi thông tin lu tr trên mng.
Tuy nhiên, ngay c khi nhng thông tin này không c gi
bí mt, thì nhng yêu cu v tính toàn v.n c#ng rt quan
tr ng. Không mt cá nhân, mt t chc nào lãng phí tài
nguyên vt cht và thi gian  lu tr nhng thông tin mà
không bit v tính úng n ca nhng thông tin ó.
1.2.2 Tài nguyên ca bn
Trên thc t, trong các cuc tn công trên Internet, k tn
công, sau khi ã làm ch c h th(ng bên trong, có th s
dng các máy này  phc v cho mc ích ca mình nh
chy các chng trình dò mt kh,u ngi s dng, s dng
các liên kt mng s/n có  tip tc tn công các h th(ng
khác vv... 7
1.2.3 Danh ting ca bn
Nh trên ã nêu, mt phn ln các cuc tn công không
c thông báo rng rãi, và mt trong nhng nguyên nhân
là n*i lo b mt uy tín ca c quan, &c bit là các công ty
ln và các c quan quan tr ng trong b máy nhà nc.

kh nng th các t hp các t- trong mt t- in ln, theo
nhng quy tc do ngi dùng t nh ngha. Trong mt s(
trng hp, kh nng thành công ca phng pháp này có
th lên ti 30%.
Phng pháp s dng các l*i ca chng trình ng dng và
bn thân h iu hành ã c s dng t- nhng v tn
công u tiên và v$n c tip tc  chim quyn truy 9
nhp. Trong mt s( trng hp phng pháp này cho phép
k tn công có c quyn ca ngi qun tr h th(ng
(root hay administrator).
Hai ví d thng xuyên c a ra  minh ho cho
phng pháp này là ví d vi chng trình sendmail và
chng trình rlogin ca h iu hành UNIX.
Sendmail là mt chng trình phc tp, vi mã ngu)n bao
g)m hàng ngàn dòng lnh ca ngôn ng C. Sendmail c
chy vi quyn u tiên ca ngi qun tr h th(ng, do
chng trình phi có quyn ghi vào hp th ca nhng
ngi s dng máy. Và Sendmail trc tip nhn các yêu
cu v th tín trên mng bên ngoài. ây chính là nhng
yu t( làm cho sendmail tr thành mt ngu)n cung cp
nhng l* hng v bo mt  truy nhp h th(ng.
Rlogin cho phép ngi s dng t- mt máy trên mng truy
nhp t- xa vào mt máy khác s dng tài nguyên ca máy
này. Trong quá trình nhn tên và mt kh,u ca ngi s
dng, rlogin không kim tra  dài ca dòng nhp, do ó
k tn công có th a vào mt xâu ã c tính toán trc
 ghi è lên mã chng trình ca rlogin, qua ó chim

t(c  tính toán và kh nng ca mng  tr li các lnh
này, không còn các tài nguyên  thc hin nhng công
vic có ích khác.
1.3.1.5 Li ca ngi qun tr h thng
ây không phi là mt kiu tn công ca nhng k t
nhp, tuy nhiên l*i ca ngi qun tr h th(ng thng to
ra nhng l* hng cho phép k tn công s dng  truy
nhp vào mng ni b. 11
1.3.1.6 Tn công vào yu t con ngi
K tn công có th liên lc vi mt ngi qun tr h th(ng,
gi làm mt ngi s dng  yêu cu thay i mt kh,u,
thay i quyn truy nhp ca mình (i vi h th(ng, ho&c
thm chí thay i mt s( cu hình ca h th(ng  thc hin
các phng pháp tn công khác. Vi kiu tn công này
không mt thit b nào có th ngn ch&n mt cách hu hiu,
và ch" có mt cách giáo dc ngi s dng mng ni b v
nhng yêu cu bo mt   cao cnh giác vi nhng hin
tng áng nghi. Nói chung yu t( con ngi là mt im
yu trong bt k+ mt h th(ng bo v nào, và ch" có s giáo
dc cng vi tinh thn hp tác t- phía ngi s dng có th
nâng cao c  an toàn ca h th(ng bo v.
1.3.2 Phân loi k tn công
Có rt nhiu k tn công trên mng toàn cu – Internet và
chúng ta c#ng không th phân loi chúng mt cách chính
xác, bt c mt bn phân loi kiu này c#ng ch" nên c
xem nh là mt s gii thiu hn là mt cách nhìn rp
khuôn.

Nhng ngi này không quan tâm n nhng thông tin bn
có hay nhng &c tính khác v tài nguyên ca bn. Tuy
nhiên  t c mc ích là t nhp, vô tình hay hu ý
h s0 làm h h%ng h th(ng ca bn.
1.3.2.4 Gián ip
Hin nay có rt nhiu thông tin quan tr ng c lu tr trên
máy tính nh các thông tin v quân s, kinh t... Gián ip
máy tính là mt vn  phc tp và khó phát hin. Thc t,
phn ln các t chc không th phòng th kiu tn công này
mt cách hiu qu và bn có th chc r!ng ng liên kt 13
vi Internet không phi là con ng d1 nht  gián ip
thu lm thông tin. 14
1.4 Vy Internet Firewall là gì?
1.4.1 nh ngha
Thut ng Firewall có ngu)n g(c t- mt k thut thit k
trong xây dng  ngn ch&n, hn ch ho hon. Trong
công ngh mng thông tin, Firewall là mt k thut c
tích hp vào h th(ng mng  ch(ng s truy cp trái phép
nh!m bo v các ngu)n thông tin ni b c#ng nh hn ch
s xâm nhp vào h th(ng ca mt s( thông tin khác không
mong mu(n. C#ng có th hiu r!ng Firewall là mt c ch
 bo v mng tin tng (trusted network) kh%i các mng
không tin tng (untrusted network).
Internet Firewall là mt thit b (phn cng+phn mm)

• Mt ho&c nhiu h th(ng máy ch kt n(i vi các b
nh tuyn (router) ho&c có chc nng router.
• Các phn mm qun lý an ninh chy trên h th(ng máy
ch. Thông thng là các h qun tr xác thc
(Authentication), cp quyn (Authorization) và k toán
(Accounting).
Chúng ta s0  cp k hn các hot ng ca nhng h này
 phn sau. 16
1.4.4 Các thành phn ca Firewall và c ch hot ng
Mt Firewall chu,n bao g)m mt hay nhiu các thành phn
sau ây:
• B l c packet ( packet-filtering router )
• Cng ng dng (application-level gateway hay proxy
server )
• Cng mch (circuite level gateway)
1.4.4.1 B lc gói tin (Packet filtering router)
1.4.4.1.1 Nguyên lý:
Khi nói n vic lu thông d liu gia các mng vi nhau
thông qua Firewall thì iu ó có ngha r!ng Firewall hot
ng ch&t ch0 vi giao thc liên mng TCP/IP. Vì giao thc
này làm vic theo thut toán chia nh% các d liu nhn c
t- các ng dng trên mng, hay nói chính xác hn là các
dch v chy trên các giao thc (Telnet, SMTP, DNS,
SMNP, NFS...) thành các gói d liu (data packets) r)i gán
cho các packet này nhng a ch"  có th nhn dng, tái
lp li  ích cn gi n, do ó các loi Firewall c#ng liên
quan rt nhiu n các packet và nhng con s( a ch" ca

Mt trong nhng u im ca phng pháp dùng b l c
packet là chi phí thp vì c ch l c packet ã c bao
g)m trong m*i phn mm router.
 Ngoài ra, b l c packet là trong su(t (i vi ngi s
dng và các ng dng, vì vy nó không yêu cu s hun
luyn &c bit nào c.
1.4.4.1.3 Hn ch: 18
Vic nh ngha các ch  l c packet là mt vic khá phc
tp, nó òi h%i ngi qun tr mng cn có hiu bit chi tit
v các dch v Internet, các dng packet header, và các giá
tr c th mà h có th nhn trên m*i trng. Khi òi h%i v
s l c càng ln, các lut l v l c càng tr nên dài và phc
tp, rt khó  qun lý và iu khin.
Do làm vic da trên header ca các packet, rõ ràng là b
l c packet không kim soát c ni dung thông tin ca
packet. Các packet chuyn qua v$n có th mang theo nhng
hành ng vi ý ) n cp thông tin hay phá hoi ca k
xu.
1.4.4.2 Cng ng dng (application-level gateway)
1.4.4.2.1 Nguyên lý
ây là mt loi Firewall c thit k  tng cng chc
nng kim soát các loi dch v, giao thc c cho phép
truy cp vào h th(ng mng. C ch hot ng ca nó da
trên cách thc g i là Proxy service (dch v i din).
Proxy service là các b chng trình &c bit cài &t trên
gateway cho t-ng ng dng. Nu ngi qun tr mng
không cài &t chng trình proxy cho mt ng dng nào ó,

b chi tit ca giao thông qua nó, m*i s kt n(i,
khong thi gian kt n(i. Nht ký này rt có ích trong
vic tìm theo du vt hay ngn ch&n k phá hoi.
 M*i proxy u c lp vi các proxies khác trên bastion
host. iu này cho phép d1 dàng quá trình cài &t mt
proxy mi, hay tháo g4 môt proxy ang có vn .
Ví d: Telnet Proxy
Ví d mt ngi (g i là outside client) mu(n s dng dch
v TELNET  kt n(i vào h th(ng mng qua môt bastion
host có Telnet proxy. Quá trình xy ra nh sau: 20
1. Outside client telnets n bastion host. Bastion host
kim tra password, nu hp l thì outside client c
phép vào giao din ca Telnet proxy. Telnet proxy cho
phép mt tp nh% nhng lnh ca Telnet, và quyt nh
nhng máy ch ni b nào outside client c phép truy
nhp.
2. Outside client ch" ra máy ch ích và Telnet proxy to
mt kt n(i ca riêng nó ti máy ch bên trong, và
chuyn các lnh ti máy ch di s u' quyn ca
outside client. Outside client thì tin r!ng Telnet proxy là
máy ch tht  bên trong, trong khi máy ch  bên trong
thì tin r!ng Telnet proxy là client tht.
1.4.4.2.2 3u im:
 Cho phép ngi qun tr mng hoàn toàn iu khin
c t-ng dch v trên mng, bi vì ng dng proxy
hn ch b lnh và quyt nh nhng máy ch nào có
th truy nhp c bi các dch v.

mt si dây,sao chép các byte gia kt n(i bên trong (inside
connection) và các kt n(i bên ngoài (outside connection).
Tuy nhiên, vì s kt n(i này xut hin t- h th(ng firewall,
nó che du thông tin v mng ni b.
Cng vòng thng c s dng cho nhng kt n(i ra
ngoài, ni mà các qun tr mng tht s tin tng nhng
ngi dùng bên trong. 3u im ln nht là mt bastion host
có th c cu hình nh là mt h*n hp cung cp Cng
ng dng cho nhng kt n(i n, và cng vòng cho các kt
n(i i. iu này làm cho h th(ng bc tng la d1 dàng s
dng cho nhng ngi trong mng ni b mu(n trc tip
truy nhp ti các dch v Internet, trong khi v$n cung cp 22
chc nng bc tng la  bo v mng ni b t- nhng
s tn công bên ngoài.

out
out
out
in
in
in
outside host
Inside host
Circuit-level Gateway

Hình 2.2 Cng vòng
1.4.5 Nhng hn ch ca firewall

lut v l c gói  cho phép hay t- ch(i truyn thông. Cn
bn, các quy lut l c c nh ngha sao cho các host trên
mng ni b c quyn truy nhp trc tip ti Internet,
trong khi các host trên Internet ch" có mt s( gii hn các
truy nhp vào các máy tính trên mng ni b. T tng ca
mô cu trúc firewall này là tt c nhng gì không c ch"
ra rõ ràng là cho phép thì có ngha là b t- ch(i.

The Internet
Bªn ngoµi
Packet filtering
router
M¹ng néi bé
Bªn trong

Hình 2.3 Packet-filtering router
u im:
 giá thành thp (vì cu hình n gin) 24
 trong su(t (i vi ngi s dng
Hn ch:
 Có tt c hn ch ca mt packet-filtering router, nh là
d1 b tn công vào các b l c mà cu hình c &t
không hoàn ho, ho&c là b tn công ngm di nhng
dch v ã c phép.
 Bi vì các packet c trao i trc tip gia hai mng
thông qua router , nguy c b tn công quyt nh bi s(
lng các host và dch v c phép. iu ó d$n n

mng ni b. Qui lut filtering trên packet-filtering router
c nh ngha sao cho tt c các h th(ng  bên ngoài ch"
có th truy nhp bastion host; Vic truyn thông ti tt c
các h th(ng bên trong u b khoá. Bi vì các h th(ng ni
b và bastion host  trên cùng mt mng, chính sách bo
mt ca mt t chc s0 quyt nh xem các h th(ng ni b
c phép truy nhp trc tip vào bastion Internet hay là
chúng phi s dng dch v proxy trên bastion host. Vic
bt buc nhng user ni b c thc hin b!ng cách &t
cu hình b l c ca router sao cho ch" chp nhn nhng
truyn thông ni b xut phát t- bastion host.

u im: