Professional Documents
Culture Documents
(123doc) Nghien Cuu Ve Tuong Lua Firewall
(123doc) Nghien Cuu Ve Tuong Lua Firewall
.......................
Đề Tài
Nghiên cứu về tưởng lửa
1
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
Mục Lục
PHẦN I: TỔNG QUAN VỀ AN TOÀN THÔNG TIN TRÊN MẠNG........................................3
CÁC HÌNH THỨC TẤN CÔNG.....................................................................................................5
1.1 Tấn công trực tiếp:..................................................................................................................5
1.2. Nghe trộm:..............................................................................................................................6
1.3. Giả mạo địa chỉ:......................................................................................................................7
1.4. Vô hiệu các chức năng của hệ thống (DoS, DDoS):...............................................................7
1.5. Lỗi của người quản trị hệ thống:.............................................................................................9
1.6. Tấn công vào yếu tố con người:..............................................................................................9
CÁC DỊCH VỤ BẢO VỆ THÔNG TIN TRÊN MẠNG.................................................................9
Dịch vụ bí mật (Confidentiality)....................................................................................................10
Dịch vụ xác thực (Authentication).................................................................................................11
Không thể chối bỏ (Nonrepudiation).............................................................................................12
CÁC KỸ THUẬT BẢO VỆ THÔNG TIN TRÊN MẠNG...........................................................13
GIẢI PHÁP TỔNG THỂ CHO AN TOÀN THÔNG TIN TRÊN MẠNG...................................16
PHẦN II: FIREWALL...................................................................................................................24
GIỚI THIỆU VỀ FIREWALL.......................................................................................................24
ĐỐI TƯỢNG BẢO VỆ..............................................................................................................25
PHÂN LOẠI KẺ TẤN CÔNG......................................................................................................27
INTERNET FIREWALL...............................................................................................................28
a. Ưu điểm:....................................................................................................................................44
b. Hạn chế:.....................................................................................................................................44
BASTION HOST...........................................................................................................................52
NGUYÊN LÝ CƠ BẢN ĐỂ THIẾT KẾ VÀ XÂY DỰNG BASTION HOST............................52
CÁC LOẠI BASTION HOST ĐẶC BIỆT....................................................................................53
CHỌN MÁY..................................................................................................................................54
CHỌN VỊ TRÍ VẬT LÝ ĐẶT BASTION HOST........................................................................55
VỊ TRÍ BASTION HOST TRÊN MẠNG.....................................................................................55
CHỌN DỊCH VỤ MẠNG MÀ BASTTION HOST CUNG CẤP.................................................56
LÍ DO KHÔNG CUNG CẤP TÀI KHOẢN TRUY CẬP TRÊN BASTION HOST...................57
XÂY DỰNG MỘT BASTION HOST AN TOÀN VÀ CHỐNG LẠI SỰ TẤN CÔNG..............57
CÁC DỊCH VỤ INTERNET.........................................................................................................59
WORLD WIDE WEB (WWW).....................................................................................................59
ELECTRONIC MAIL ( EMAIL-THƯ ĐIỆN TỬ )......................................................................60
FTP(FILE TRANSFER PROTOCOLS)........................................................................................61
PROXY..........................................................................................................................................62
PROXY LÀ GÌ???.........................................................................................................................62
TẠI SAO PROXY RA ĐỜI...........................................................................................................64
TỔNG KẾT CHUNG VỀ PROXY...............................................................................................65
2
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
3
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
Các nhân viên của hãng CDC(Mỹ) đã “xâm nhập” vào trung tâm tính toán
của một hãng sản xuất hóa phẩm và đã phá hủy các dữ liệu lưu giữ trên băng từ
gây thiệt hại cho hãng này tới hơn 100.000$.
Hãng bách khoa toàn thư của Anh đã đưa ra tòa 3 kĩ thuật viên trong trung
tâm máy tính của mình với lời buộc tội họ đã sao chép từ ổ đĩa của máy chủ tên
tuổi gần 3 triệu khách hàng đáng giá của hãng để bán cho hãng khác.
Chiếm vị trí đáng kể hơn cả trong số các hành động phi pháp tấn công mạng
máy tính là các hành vi xâm nhập vào hệ thống, phá hoại ngầm, gây nổ, làm hỏng
đường cáp kết nối và các hệ thống mã hóa. Song phổ biến nhất vẫn là việc phá hủy
các phần mềm xử lý thông tin tự động, chính các hành vi này thường gây thiệt hại
vô cùng lớn lao.
Cùng với sự gia tăng của nguy cơ đe dọa thông tin trong các mạng máy tính,
vấn đề bảo vệ thông tin càng được quan tâm nhiều hơn. Sau kết quả nghiên cứu
điều tra của của viện Stendfooc (Mỹ), tình hình bảo vệ thông tin đã có những thay
đổi đáng kể. Đến năm 1985 nhiều chuyên gia Mỹ đi đến kết luận rằng các tác động
phi pháp trong hệ thống thông tin tính toán đã trở thành tai họa quốc gia.Khi có đủ
các tài liệu nghiên cứu, hiệp hội luật gia Mỹ tiến hành một cuộc nghiên cứu đặc
biệt. Kết quả là gần một nửa số ý kiến thăm dò thông báo rằng trong năm 1984 họ
đã là nạn nhân của các hành động tội phạm được thực hiện bằng máy tính, rất
nhiều trong số các nạn nhân này đã thông báo cho chính quyền về tội phạm., 39%
số nạn nhân tuy có thông báo nhưng lại không chỉ ra được mục tiêu mà mình nghi
vấn. Đặc biệt nhiểu là các vụ phạm pháp xảy ra trên mạng máy tính của các cơ
quan kinh doanh và nhà băng. Theo các chuyên gia, tính đến trước năm 1990 ở Mỹ
lợi lộc thu được từ việc thâm nhập phi pháp vào các hệ thống thông tin đã lên tới
gần 10 triệu đô la. Tổn thất trung bình mà nạn nhân phải trả vì các vụ phạm pháp
ấy từ 400.000 đến 1.5 triệu đô la. Có hãng đã phải tuyên bố phá sản vì một nhân
4
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
viên cố ý phá bỏ tất cả các tài liệu kế toán chứa trong bộ nhớ của máy tính về số nợ
của các con nợ.
5
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
Hai ví dụ thường xuyên được đưa ra để minh hoạ cho phương pháp này
là ví dụ với chương trình sendmail và chương trình rlogin của hệ điều hành
UNIX.
Sendmail là một chương trình phức tạp, với mã nguồn bao gồm hàng
ngàn dòng lệnh của ngôn ngữ C. Sendmail được chạy với quyền ưu tiên của
người quản trị hệ thống, do chương trình phải có quyền ghi vào hộp thư
của những người sử dụng máy. Và Sendmail trực tiếp nhận các yêu cầu về
thư tín trên mạng bên ngoài. Đây chính là những yếu tố làm cho sendmail trở
thành một nguồn cung cấp những lỗ hổng về bảo mật để truy nhập hệ thống.
Rlogin cho phép người sử dụng từ một máy trên mạng truy nhập từ xa
vào một máy khác sử dụng tài nguyên của máy này. Trong quá trình nhận tên
và mật khẩu của người sử dụng, rlogin không kiểm tra độ dài của dòng
nhập, do đó kẻ tấn công có thể đưa vào một xâu đã được tính toán trước để ghi
đè lên mã chương trình của rlogin, qua đó chiếm được quyền truy nhập.
6
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
7
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
8
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
9
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
Chúng ta có thể coi các dịch vụ bảo vệ thông tin như là “bản sao” của các
thao tác bảo vệ tài liệu vật lý. Các tài liệu vật lý có các chữ kí và thông tin về ngày
tạo ra nó. Chúng được bảo vệ nhằm chống lại việc đọc trộm, giả mạo, phá hủy…
Chúng có thể được công chứng, chứng thực, ghi âm, chụp ảnh…
Tuy nhiên có các điểm khác nhau giữa tài liệu điện tử và tài liệu giấy:
- Ta có thể phân biệt giữa tài liệu giấy nguyên bản và một tài liệu sao chép.
Nhưng tài liệu điện tử chỉ là một dãy các bit nên không thể phân bệt được đâu là tài
liệu “nguyên bản” đâu là tài liệu sao chép.
- Một sự thay đổi trong tài liệu giấy đều để lại dấu vết như vết xóa, tẩy…
Tuy nhiên sự thay đổi tài liệu điện tử hoàn toàn không để lại dấu vết.
Dưới đây là các dịch vụ bảo vệ thông tin trên mạng máy tính.
10
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
11
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
Biện pháp để ngăn chặn các kiểu tấn công ở trên là:
- Xây dựng các kênh truyền thông an toàn để tránh việc nghe trộm
- Thiết kế các giao thức xác nhận lẫn nhau giữa máy khách hàng và máy chủ:
+ Các máy chủ phải đảm bảo rằng các máy khách hàng đúng là máy của
những người dùng mà chúng đòi hỏi
+ Các máy khách hàng phải đảm bảo rằng các máy chủ cung cấp các dịch
vụ đặc trưng là các máy chủ được ủy quyền cho các dịch vụ đó.
+ Đảm bảo rằng kênh truyền thông là “tươi” nhằm tránh việc dùng lại thông
báo.
Mã hóa
Việc mã hóa các thông báo có các vai trò sau:
1. Nó dùng để che dấu thông tin mật được đặt trong hệ thống. Như chúng ta
đã biết, các kênh truyền thông vật lý luôn bị tấn công bởi sự nghe trộm và
xuyên tạc thông báo. Theo truyền thống, việc trao đổi thư từ bằng mật mã được
dùng trong các hoạt động quân sự, tình báo. Điều này dựa trên nguyên tắc là
một thông báo được mã hóa với một khóa mã xác định và chỉ có thể được giải
mã bởi người biết khóa ngược tương ứng.
2. Nó được dùng để hỗ trợ cho cơ chế truyền thông xác thực giữa các cặp
người dùng hợp pháp mà ta gọi là người ủy nhiệm (Principal). Một người ủy
nhiệm sau khi giải mã thành công một thông báo bằng cách dùng một khóa dịch
13
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
xác định có thể thừa nhận rằng thông báo được xác thực nếu nó chứa một vài
giá trị mong muốn. Từ đó người nhận có thể suy ra rằng người gửi của thông
báo có khóa mã tương ứng. Như vậy nếu ác khóa được giữ bí mật thì việc giả
mã thành công sẽ xác thực thông báo đến từ một người gửi xác định.
3. Nó được dùng để cài đặt một cơ chế chữ kí số. Chữ kí số có vai trò quan
trọng như một chữ kí thông thường trong việc xác nhận với một thành viên thứ
ba rằng một thông báo là một bản sao không bị thay đổi của một thông báo
được tạo bởi người ủy nhiệm đặc biệt. Khả năng để cung cấp một chữ kí số dựa
trên nguyên tắc : có những việc chỉ có người ủy nhiệm là người gửi thực sự mới
có thể làm còn những người khác thì không thể. Điều này có thể đạt được bằng
việc đòi hỏi một thành viên thứ 3 tin cậy mà anh ta có bằng chứng định danh
của người yêu cầu để mã thông báo hoặc để mã một dạng ngắn của thông báo
được gọi là digest tương tự như một checksum. Thông báo hoặc digest được mã
đóng vai trò như một chữ kí đi kèm với thông báo.
14
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
sở hữu một mật khẩu bí mật cũng được dùng để xác nhận định danh của người
sở hữu. Các dịch vụ xác thực dựa vào việc dùng mật mã có độ an toàn cao .
Dịch vụ phân phối khóa có chức năng tạo, lưu giữ và phân phối tất cả các khóa
mật mã cần thiết cho tất cả người dùng trên mạng.
15
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
Khi nói đến giả pháp tổng thể cho an toàn thông tin trên mạng, các chuyên
gia đểu nhấn mạnh một thực tế là không có thứ gì là an toàn tuyệt đối. Hệ thống
bảo vệ có chắc chắn đến đâu đi nữa rồi cũng có lúc bị vô hiệu hóa bởi những kẻ
phá hoại điêu luyện về kĩ xảo và có đủ thời gian. Chưa kể trong nhiều trường hợp
kẻ phá hoại lại nằm ngay trong nội bộ cơ quan có mạng cần bảo vệ. Từ đó có thể
thấy rằng vấn đề an toàn mạng máy tính thực tế là một cuộc chạy tiếp sức không
ngừng và không ai dám khẳng định là có đích cuối cùng hay không.
16
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
Thông
tin
Quyền truy nhập
Login/password
Mã hóa dữ liệu
Bảo vệ vật lý
Firewall
Hình 2: Các mức bảo vệ thông tin trên mạng máy tính
đăng kí tên và mật khẩu trước. Người quản trị mạng có trách nhiệm quản lí,
kiểm soát mọi hoạt động của mạng và xác định quyền truy nhập của những
người sử dụng khác tùy theo thời gian và không gian, nghĩa là một người sử
dụng chỉ được phép vào mạng ở những thời điểm và từ những vị trí xác định.
Về lí thuyết, nếu mọi người đều giữ kín được tên và mật khẩu đăng kí của mình
thì sẽ không xảy ra các truy nhập trái phép. Song điều đó rất khó đảm bảo trong
thực tế vì nhiều nguyên nhân, chẳng hạn như người sử dụng thiếu cẩn thận khi
chọn mật khẩu trùng với ngày sinh, tên người thân hoặc ghi mật khẩu ra giấy…
Điều đó làm giảm hiệu quả của lớp bảo vệ này. Có thể khắc phục bằng nhiều
cách như người quản trị có trách nhiệm đặt mật khẩu, thay đổi mật khẩu theo
thời gian…
• Mã hóa dữ liệu;
Để bảo mật thông tin truyền trên mạng, người ta sử dụng các phương
pháp mã hóa. Dữ liệu được biến đổi từ dạng nhận thức được sang dạng không
nhận thức được theo một thuật toán nào đó (lập mã) và sẽ được biến đổi ngược
lại (dịch mã) ở nơi nhận. Đây là lớp bảo vệ thông tin rất quan trọng và được sử
dụng rộng rãi trong môi trường mạng.
• Bảo vệ vật lý
Nhằm ngăn cản các truy nhập vật lý bất hợp pháp vào hệ thống. Người ta
thường dùng các biện pháp truyền thống như cấm tuyệt đối người không phận
sự vào phòng đặt máy mạng, dùng ổ khóa trên máy tính (ngắt nguồn điện đến
màn hình và bàn phím nhưng vẫn giữ liên lạc trực tuyến giữa máy tính với
mạng, hoặc cài cơ chế báo động khi có truy nhập vào hệ thống) hoặc dùng các
trạm không có ổ đĩa mềm…
18
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
Một cách tiếp cận khác trong việc xây dựng giải pháp tổng thể về an toàn
thông tin trên mạng máy tính là đưa ra các phương pháp và phương tiện bảo vệ
thông tin.
19
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
20
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
Các chướng
Vật lý
ngại
21
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
thống thông tin. Các biện pháp tổ chức cần được quan tâm một cáh đầy đủ trong
quá trình thiết kế, xây dựng và hoạt động của hệ thống.
Các phương tiện luật pháp bao gồm các điều khoản luật pháp của nhà nước
qui định về nguyên tắc sử dụng và xử lí thông tin, về việc tiếp cận có hạn chế
thông tin và những biện pháp xử lí khi vi phạm những nguyên tắc đó.
Quá trình xây dựng hệ thống bảo vệ thông tin trải qua nhiều giai đoạn.
Trong giai đoạn đầu các phương tiện chương trình chiếm ưu thế phát triển còn đến
giai đoạn hai thì tất cả các phương tiện bảo vệ đều được quan tâm. Nhưng đến giai
đoạn ba thì hình thành rõ rệt các khuynh hướng sau:
- Tạo ra những thiết bị có chức năng bảo vệ cơ bản.
- Xây dựng các phương tiện bảo vệ phức hợp có thể thực hiện một vài
chức năng bảo vệ khác nhau.
- Thống nhất và chuẩn hóa các phương tiện bảo vệ.
23
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
Ngày nay, ở bất kỳ đâu chúng ta cũng nghe nói đến mạng Internet, các
phương tiện thông tin đại chúng như báo chí, phát thanh, truyền hình…
Qua mạng Internet, con người có thể kinh doanh tiếp thị trên toàn cầu và tiếp
cận được khối lượng thông tin khổng lồ, cập nhật trong thời gian nhanh. Lợi ích
của Internet mang lại là không nhỏ, nhưng nguy hiểm khi tham gia vào mạng cũng
không ít. Nguy hiểm chính là ngày càng có nhiều mối đe dạo đến sự bảo mật và
mất mát thông tin.
Thông tin là sự sống còn của một doanh nghiệp, một tổ chức hay một quốc
gia. Do đó thông tin là vô giá. Chúng ta bằng mọi cách để bảo vệ chúng tránh các
mối nguy hiểm, một trong những giải pháp tốt hiện nay là xây dựng Firewall. Sử
dụng các bức tường lửa (Firewall) để bảo vệ mạng, tránh sự tấn công từ bên ngoài
đảm bảo được các yếu tố:
• An toàn cho sự hoạt động của toàn bộ hệ thống mạng
• Bảo mật cao trên nhiều phương diện
• Khả năng kiểm soát cao
• Đảm bảo tốc độ nhanh
• Mềm dẻo và dễ sử dụng
• Trong suốt với người sử dụng
• Đảm bảo kiến trúc mở
24
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
Nhu cầu bảo vệ thông tin trên mạng có thể chia thành ba loại gồm: Bảo vệ
dữ liệu; Bảo vệ các tài nguyên sử dụng trên mạng và Bảo vệ uy tín của cơ quan.
26
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
Có rất nhiều kẻ tấn công trên mạng toàn cầu-Internet và chúng ta cũng
không thể phân loại chúng một cách chính xác, bất cứ một bản phân loại kiểu này
cũng chỉ nên được xem như là một sự giứi thiệu hơn là một cách nhìn rập khuôn.
27
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
INTERNET FIREWALL
Firewall là gì ?
Một vài thuật ngữ:
- Mạng nội bộ (Inernal network) : bao gồm các máy tính, các thiết bị
mạng. Mạng máy tính thuộc một đơn vị quản lý (Trường học, công ty, tổ chức.
28
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
đoàn thể, Quốc gia…) cùng nằm một bên với firewall, mà thông tin đến và đi từ
một máy thuộc nó đến một máy không thuộc nó đều phải qua firewall đó.
- Host bên trong (Internal Host) : máy thuộc mạng nội bộ.
- Host bên ngoài (External Host): máy bất kỳ kết nối vào liên mạng và
không thuộc mạng nội bộ nói trên.
Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng
để ngăn chặn, hạn chế hoả hoạn. Trong công nghệ mạng thông tin, Firewall là
một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép,
nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong
muốn vào hệ thống. Cũng có thể hiểu Firewall là một cơ chế (mechanism) để
bảo vệ mạng tin tưởng (Trusted network) khỏi các mạng không tin tưởng
(Untrusted network). Thông thường Firewall được đặt giữa mạng bên trong của
một công ty, tổ chức, ngành hay một quốc gia, và Internet. Vai trò chính là bảo
mật thông tin, ngăn chặn sự truy nhập không mong muốn từ bên ngoài và cấm
truy nhập từ bên trong tới một số địa chỉ nhất định trên Internet.
29
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
Một cách vắn tắt, firewall là hệ thống ngăn chặn việc truy nhập trái phép
từ bên ngoài vào mạng cũng như những kết nối không hợp lệ từ bên trong ra.
Firewall thực hiện việc lọc bỏ những địa chỉ không hợp lệ dựa theo các quy tắc
hay chỉ tiêu định trước.
Firewall có thể là hệ thống phần cứng, phần mềm hoặc kết hợp cả hai.
Nếu là phần cứng, nó có thể chỉ bao gồm duy nhất bộ lọc gói tin hoặc là thiết bị
định tuyến (router được tích hợp sẵn chức năng lọc gói tin). Bộ định tuyến có
các tính năng bảo mật cao cấp, trong đó có khả năng kiểm soát địa chỉ IP. Quy
trình kiểm soát cho phép bạn định ra những địa chỉ IP có thể kết nối với mạng
30
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
của bạn và ngược lại. Tính chất chung của các Firewall là phân biệt địa chỉ IP
dựa trên các gói tin hay từ chối việc truy nhập bất hợp pháp căn cứ trên địa chỉ
nguồn.
Chức năng
Chức năng chính của Firewall là kiểm soát luồng thông tin giữa mạng
bên trong (Intranet) và mạng Internet. Thiết lập cơ chế điều khiển dòng thông
tin giữa mạng Intranet và mạng Internet. Cụ thể là:
• Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra
Internet).
• Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet
vào Intranet).
• Theo dõi luồng dữ liệu mạng giữa Internet và Intranet.
• Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập.
• Kiểm soát người sử dụng và việc truy nhập của người sử dụng. Kiểm soát
nội dung thông tin lưu chuyển trên mạng.
31
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
32
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
33
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được. Nó
kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoả
mãn một trong số các luật lệ của lọc packet hay không. Các luật lệ lọc packet
này là dựa trên các thông tin ở đầu mỗi packet (packet header), dùng để cho
phép truyền các packet đó ở trên mạng. Đó là:
- Địa chỉ IP nơi xuất phát ( IP Source address)
- Địa chỉ IP nơi nhận (IP Destination address)
- Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel)
- Cổng TCP/UDP nơi xuất phát (TCP/UDP source port)
- Cổng TCP/UDP nơi nhận (TCP/UDP destination port)
- Dạng thông báo ICMP ( ICMP message type)
- Giao diện packet đến ( incomming interface of packet)
- Giao diện packet đi ( outcomming interface of packet)
Nếu luật lệ lọc packet được thoả mãn thì packet được chuyển qua
Firewall. Nếu không packet sẽ bị bỏ đi. Nhờ vậy mà Firewall có thể ngăn
cản được các kết nối vào các máy chủ hoặc mạng nào đó được xác định,
hoặc khoá việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ không
cho phép. Hơn nữa, việc kiểm soát các cổng làm cho Firewall có khả năng
chỉ cho phép một số loại kết nối nhất định vào các loại máy chủ nào đó, hoặc
chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP...) được phép mới chạy
được trên hệ thống mạng cục bộ.
b. Ưu điểm:
- Đa số các hệ thống Firewall đều sử dụng bộ lọc packet. Một trong
những ưu điểm của phương pháp dùng bộ lọc packet là chi phí thấp vì cơ
chế lọc packet đã được bao gồm trong mỗi phần mềm router.
34
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
- Ngoài ra, bộ lọc packet là trong suốt đối với người sử dụng và các ứng
dụng, vì vậy nó không yêu cầu sự huấn luyện đặc biệt nào cả.
c. Hạn chế:
- Việc định nghĩa các chế độ lọc package là một việc khá phức tạp; đòi
hỏi người quản trị mạng cần có hiểu biết chi tiết vể các dịch vụ Internet, các
dạng packet header, và các giá trị cụ thể có thể nhận trên mỗi trường.
- Do làm việc dựa trên header của các packet, rõ ràng là bộ lọc packet
không kiểm soát được nôi dung thông tin của packet. Các packet chuyển qua
vẫn có thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá
hoại của kẻ xấu.
35
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
Cầu nối đóng vai trò trung gian giữa hai giao thức. Ví dụ, trong một
mô hình gateway đặc trưng, gói tin theo giao thức IP không được chuyển
tiếp tới mạng cục bộ, lúc đó sẽ hình thành quá trình dịch mà gateway đóng
vai trò bộ phiên dịch.
36
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
b. Ưu điểm:
Ưu điểm của Firewall application gateway là không phải chuyển tiếp
IP. Quan trọng hơn, các điều khiển thực hiện ngay trên kết nối. Sau cùng,
mỗi công cụ đều cung cấp những tính năng thuận tiện cho việc truy nhập
mạng. Do sự lưu chuyển của các gói tin đều được chấp nhận, xem xét, dịch
và chuyển lại nênFirewall loại này bị hạn chế về tốc độ. Quá trình chuyển
tiếp IP diễn ra khi một server nhận được tín hiệu từ bên ngoài yêu cầu
chuyển tiếp thông tin theo định dạng IP vào mạng nội bộ. Việc cho phép
chuyển tiếp IP là lỗi không tránh khỏi, khi đó, hacker có thể thâm nhập vào
trạm làm việc trên mạng của bạn.
c. Hạn chế:
Hạn chế khác của mô hình Firewall này là mỗi ứng dụng bảo mật
(proxy application) phải được tạo ra cho từng dịch vụ mạng. Như vậy một
ứng dụng dùng cho Telnet, ứng dụng khác dùng cho HTTP, v.v..
Do không thông qua quá trình chuyển dịch IP nên gói tin IP từ địa chỉ
không xác định sẽ không thể tới máy tính trong mạng của bạn, do đó hệ
thống application gateway có độ bảo mật cao hơn.
37
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
trong (inside connection) và các kết nối bên ngoài (outside connection). Tuy
nhiên, vì sự kết nối này xuất hiện từ hệ thống firewall, nên nó che dấu thông
tin về mạng nội bộ.
Cổng vòng thường được sử dụng cho những kết nối ra ngoài, nơi mà
các quản trị mạng thật sự tin tưởng những người dùng bên trong. Ưu điểm
lớn nhất là một bastion host có thể được cấu hình như là một hỗn hợp cung
cấp Cổng ứng dụng cho những kết nối đến, và cổng vòng cho các kết nối đi.
Điều này làm cho hệ thống Firewall dễ dàng sử dụng cho những người trong
mạng nội bộ muốn trực tiếp truy nhập tới các dịch vụ Internet, trong khi vẫn
cung cấp chức năng Firewall để bảo vệ mạng nội bộ từ những sự tấn công
bên ngoài.
out in
out in
out in
outside host Inside host
Circuit-level Gateway
38
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
39
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
Khi hoạt động, Firewall sẽ dựa trên bộ định tuyến mà kiểm tra địa chỉ
nguồn (source address) hay địa chỉ xuất phát của gói tin. Sau khi nhận diện
xong, mỗi địa chỉ nguồn IP sẽ được kiểm tra theo các quy tắc do người quản trị
mạng định trước.
Firewall dựa trên bộ định tuyến làm việc rất nhanh do nó chỉ kiểm tra
lướt trên các địa chỉ nguồn mà không hề có yêu cầu thực sự nào đối với bộ định
tuyến, không tốn thời gian xử lý những địa chỉ sai hay không hợp lệ. Tuy nhiên,
bạn phải trả giá: ngoại trừ những điều khiển chống truy nhập, các gói tin mang
địa chỉ giả mạo vẫn có thể thâm nhập ở một mức nào đó trên máy chủ của bạn.
Một số kỹ thuật lọc gói tin có thể được sử dụng kết hợp với Firewall để
khắc phục nhược điểm nói trên. Địa chỉ IP không phải là thành phần duy nhất
của gói tin có thể mắc bẫy bộ định tuyến. Người quản trị nên áp dụng đồng thời
các quy tắc, sử dụng thông tin định danh kèm theo gói tin như thời gian, giao
thức, cổng... để tăng cường điều kiện lọc. Tuy nhiên, sự yếu kém trong kỹ thuật
lọc gói tin của Firewall dựa trên bộ định tuyến không chỉ có vậy.
Một số dịch vụ gọi thủ tục từ xa (Remote Procedure Call - RPC) rất khó
lọc một cách hiệu quả do các server liên kết phụ thuộc vào các cổng được gán
ngẫu nhiên khi khởi động hệ thống. Dịch vụ gọi là ánh xạ cổng (portmapper) sẽ
ánh xạ các lời gọi tới dịch vụ RPC thành số dịch vụ gán sẵn, tuy nhiên, do
không có sự tương ứng giữa số dịch vụ với bộ định tuyến lọc gói tin, nên bộ
định tuyến không nhận biết được dịch vụ nào dùng cổng nào, vì thế nó không
thể ngăn chặn hoàn toàn các dịch vụ này, trừ khi bộ định tuyến ngăn toàn bộ
các gói tin UDP (các dịch vụ RPC chủ yếu sử dụng giao thức UDP hay User
Datagram Protocol). Việc ngăn chặn tất cả các gói tin UDP cũng sẽ ngăn luôn
cả các dịch vụ cần thiết, ví dụ như DNS (Domain Name Service ố dịch vụ đặt
tên vùng). Vì thế, dẫn đến tình trạng tiến thoái lưỡng nan.
40
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
Người quản trị phải chắc chắn sẽ không có bất trắc cho dù sử dụng hệ điều hành
(HĐH) mạng nào, đây là cả một vấn đề nan giải. Trong các mạng UNIX, điều
này một phần là do HĐH UNIX quá phức tạp, có tới hàng trăm ứng dụng, giao
thức và lệnh riêng. Sai sót trong xây dựng Firewall có thể do người quản trị
mạng không nắm vững về TCP/IP.
Một trong những việc phải làm của các hacker là tách các thành phần
thực ra khỏi các thành phần giả mạo. Nhiều Firewall sử dụng trạm hy sinh
(sacrificial hosts) - là hệ thống được thiết kế như các server Web (có thể sẵn
sàng bỏ đi) hay bẫy (decoys), dùng để bắt các hành vi thâm nhập của hacker.
Bẫy có thể cần dùng tới những thiết bị ngụy trang phức tạp nhằm che dấu tính
chất thật của nó, ví dụ: đưa ra câu trả lời tương tự hệ thống tập tin hay các ứng
dụng thực. Vì vậy, công việc đầu tiên của hacker là phải xác định đây là các đối
tượng tồn tại thật.
42
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
Để có được thông tin về hệ thống, hacker cần dùng tới thiết bị có khả
năng phục vụ mail và các dịch vụ khác. Hacker sẽ tìm cách để nhận được một
thông điệp đến từ bên trong hệ thống, khi đó, đường đi được kiểm tra và có thể
tìm ra những manh mối về cấu trúc hệ thống.
Ngoài ra, không Firewall nào có thể ngăn cản việc phá hoại từ bên trong.
Nếu hacker tồn tại ngay trong nội bộ tổ chức, chẳng bao lâu mạng của bạn sẽ bị
43
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
hack. Thực tế đã xảy ra với một công ty dầu lửa lớn: một tay hacker trà trộn vào
đội ngũ nhân viên và thu thập những thông tin quan trọng không chỉ về mạng
mà còn về các trạm Firewall.
a. Ưu điểm:
- Giá thành thấp, cấu hình đơn giản
- Trong suốt(transparent) đối với user.
b. Hạn chế:
- Có rất nhiều hạn chế đối với một packet-filtering router, như là dễ bị
tấn công vào các bộ lọc mà cấu hình được đặt không hoàn hảo, hoặc là bị tấn
công ngầm dưới những dịch vụ đã được phép.
44
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
- Bởi vì các packet được trao đổi trực tiếp giữa hai mạng thông qua
router, nguy cơ bị tấn công quyết định bởi số lợng các host và dịch vụ được
phép. Điều đó dẫn đến mỗi một host được phép truy nhập trực tiếp vào
Internet cần phải được cung cấp một hệ thống xác thực phức tạp, và thường
xuyên kiểm tra bởi người quản trị mạng xem có dấu hiệu của sự tấn công
nào không.
- Nếu một packet-filtering router do một sự cố nào đó ngừng hoạt động,
tất cả hệ thống trên mạng nội bộ có thể bị tấn công.
45
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
Information server
47
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
Trong hệ thống này, bastion host được cấu hình ở trong mạng nội bộ.
Qui luật filtering trên packet-filtering router được định nghĩa sao cho tất cả
các hệ thống ở bên ngoài chỉ có thể truy nhập bastion host; Việc truyền
thông tới tất cả các hệ thống bên trong đều bị khoá. Bởi vì các hệ thống nội
bộ và bastion host ở trên cùng một mạng, chính sách bảo mật của một tổ
chức sẽ quyết định xem các hệ thống nội bộ được phép truy nhập trực tiếp
vào bastion Internet hay là chúng phải sử dụng dịch vụ proxy trên bastion
host. Việc bắt buộc những user nội bộ được thực hiện bằng cách đặt cấu
hình bộlọc của router sao cho chỉ chấp nhận những truyền thông nội bộ xuất
phát từ bastion host.
Ưu điểm:
Máy chủ cung cấp các thông tin công cộng qua dịch vụ Web và FTP
có thể đặt trên packet-filtering router và bastion. Trong trường hợp yêu cầu
độ an toàn cao nhất, bastion host có thể chạy các dịch vụ proxy yêu cầu tất
cả các user cả trong và ngoài truy cập qua bastion host trước khi nối với máy
chủ. Trong trường hợp không yêu cầu độ an toàn cao thì các máy nội bộ có
thể nối thẳng với máy chủ.
Nếu cần độ bảo mật cao hơn nữa thì có thể dùng hệ thống Firewall
dual-homed(hai chiều) bastion host (hình 14). Một hệ thống bastion host như
vậy có hai giao diện mạng (network interface), nhưng khi đó khả năng
truyền thông trực tiếp giữa hai giao diện qua dịch vụ proxy là bị cấm.
48
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
Bªn trong
Information server
Bởi vì bastion host là hệ thống bên trong duy nhất có thể truy nhập
được từ Internet, sự tấn công cũng chỉ giới hạn đến bastion host mà thôi.
Tuy nhiên, nếu như user log on được vào bastion host thì họ có thể dễ dàng
truy nhập toàn bộ mạng nội bộ. Vì vậy cần phải cấm không cho user logon
vào bastion host.
Bªn trong
DMZ
The Internet
Information server
50
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
Với những thông tin đến, router ngoài chống lại những sự tấn công
chuẩn (như giả mạo địa chỉ IP), và điều khiển truy nhập tới DMZ. Hệ thống
chỉ cho phép bên ngoài truy nhập vào bastion host. Router trong cung cấp sự
bảo vệ thứ hai bằng cách điều khiển DMZ truy nhập mạng nội bộ chỉ với
những truyền thông bắt đầu từ bastion host.
Với những thông tin đi, router trong điều khiển mạng nội bộ truy nhập
tới DMZ. Nó chỉ cho phép các hệ thống bên trong truy nhập bastion host và
có thể cả information server. Quy luật filtering trên router ngoài yêu cầu sử
dung dich vụ proxy bằng cách chỉ cho phép thông tin ra bắt nguồn từ bastion
host.
Ưu điểm:
Kẻ tấn công cần phá vỡ ba tầng bảo vệ: router ngoài, bastion host và
router trong.
Bởi vì router ngoài chỉ quảng cáo DMZ network tới Internet, hệ thống
mạng nội bộ là không thể nhìn thấy được (invisible). Chỉ có một số hệ thống
đã được chọn ra trên DMZ là được biết đến bởi Internet qua routing table và
DNS information exchange (Domain Name Server)
Bởi vì router trong chỉ quảng cáo DMZ network tới mạng nội bộ, các
hệ thống trong mạng nội bộ không thể truy nhập trực tiếp vào Internet. Điều
nay đảm bảo rằng những user bên trong bắt buộc phải truy nhập Internet qua
dịch vụ proxy
51
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
BASTION HOST
Bastion Host là một máy tính có độ an toàn cao, được bố trí như là điểm
giao tiếp chính đối với người sử dụng trên mạng nội bộ và mạng bên ngoài, do đó
nó là nơi thường bị tấn công nhất trong mạng nội bộ.
52
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
Có nhiều loại bastion host, có loại được xây dựng trong Screened host hoặc
host cung cấp dịch vụ trên một Screened network. Thường được cấu hình tương tự
nhau nhưng có một vài yêu cầu đặc biệt.
CHỌN MÁY
Bước đầu tiên để xây dựng bastion host là quyết định sử dụng loại máy gì?
Hệ điều hành gì? Bastion host cần nhanh như thế nào? Phần cứng nào được hỗ trợ.
Hệ điều hành
Nên chọn hệ điều hành UNIX/LINUX/WINDOWS NT/ WINDOWS 2K
tùy theo khả năng làm chủ hệ điều hành nào, sao cho cài đặt được proxy server,
bộ lọc packet, server phục vụ cho SMTP và DNS.
54
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
Một vài lí do mà bastion host không cần máy tính quá mạnh:
- Nếu bastion host bị tổn thương, nó ít hữu dụng cho việc tấn công vào
mạng nội bộ hoặc dò mật khẩu.
- Một bastion host chậm sẽ ít hấp dẫn cho những người trong mạng nội
bộ làm tổn thương. Máy tính tốc độ nhanh làm tăng thời hian chờ nên kết nối
chậm.
55
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
56
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
Có một vài nhận xét khi nhóm các dịch vụ với nhau thành một nhóm:
• Các dịch vụ quan trọng: Web server phục vụ khách hàng.
• Các dịch vụ theo đối tượng: người sử dụng bên trong, người siwr dụng
bên ngoài….
• Các dịch vụ an toàn: dịch vụ tin cậy và dịch vụ không tin cậy trên các
máy khác nhau.
• Các dịch vụ truy cập có mức độ khác nhau: thông tin công cộng và thông
tin riêng tư.
57
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
Cấu hình cho dịch vụ chạy tốt nhất và kết nối bastion host vào
mạng
58
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
- Chạy kiểm tra (dùng phần mềm) sự an toàn: Để biết lỗ hổng bảo mật,
thiết lập một cơ sở dữ liệu tổng hợp thông tin của tất cả các tập tin trong hệ
thống để nhận biết được sự thay đổi các tập tin này về sau bởi những người thay
đổi trái phép.
59
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
• Phát hành tin tức của mình và đọc tin tức từ khắp nơi trên thế giới.
• Quảng cáo về mình, về công ty hay tổ chưc của mình cũng như xem các
loại quảng cáo trên Thế giới, từ kiếm việc làm, tuyển mộ nhân viên, coonng
nghệ và sản phẩm mới, tìm bạn…
• Trao đổi thông tn với bạn bè, các tổ chức xã hội, trung tâm nghiên cứu
trường học…
• Thực hiện các dịch vụ chuyển tiền hay mua bán hàng hóa
• Truy cập Cơ sở dữ liệu của các tổ chức nếu như được phép.
Và còn nhiều hoạt động khác…
60
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
III. ARCHIE
61
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
Archie là một loại thư viện thường xuyên tự động tìm kiếm các máy tính
trên Internet, tạo ra một kho dữ liệu về danh sách các file có thể nạp xuống (down
load) từ Internet. Do đó dữ liệu trong các file này là luôn luôn mới nhất.
Archie do đó rất tiện dụng cho người dùng trong việc tìm kiếm và download
các file. Người dùng chỉ cần gửi tên file hoặc từ khóa tìm kiếm đến Archie, Archie
sẽ cho lại địa chỉ của các file có tên đó hoặc chứa những từ khóa đó.
IV. FINGER
Finger là một chương trình ứng dụng cho phép tìm địa chỉ của các user khác
trên mạng Internet. Tối thiểu Finger có thể cho bạn biết ai đang truy nhập một hệ
thống máy tính nào đó, tên login của người đó là gì.
Fnger hay được sử dụng để tìm địa chỉ email của bạn bè trên Internet. Finger
còn có thể cung cấp cho bạn các thông tin khác, như là một người nào đó đã login
vào mạng bao lâu. Vì thế Finger có thể được coi là người trợ giúp đắc lực nhưng
cũng là mối hiểm họa cho an toàn mạng.
PROXY
PROXY LÀ GÌ???
• Theo www.learnthat.com: proxy là một thiết bị cho phép kết nối vào
internet, nó đứng giữa các workstation trong một mạng và internet, cho phép
bảo mật kết nối, chỉ cho phép một số cổng và protocol nào đó, vd: tcp, http,
telnet trên các cổng 80, 23…. Khi một client yêu cầu một trang nào đó, yêu cầu
này sẽ được chuyển đến proxy server, proxy server sẽ chuyển tiếp yêu cầu này
đến site đó. Khi yêu cầu được đáp trả, proxy sẽ trả kết quả này lại cho client
62
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
tương ứng. Proxy server có thể được dùng để ghi nhận việc sử dụng internet và
ngăn chặn những trang bị cấm
• Theo www.nyu.edu: proxy server là một server đứng giữa một ứng dụng
của client, như web browser, và một server ở xa (remote server). Proxy server
xem xét các request xem nó có thể xử lý bằng cache của nó không, nếu không
thể, nó sẽ chuyển yêu cầu này đến remote server.Theo www.webopedia.com:
proxy server là một server đứng giữa một ứng dụng client, như web browser, và
một server thực. Nó chặn tất cả các yêu cầu đến các server thực để xem xem nó
có khả năng đá ứng được không, nếu không thể, nó sẽ chuyển các yêu cầu này
đến các server thực.
• Theo www.stayinvisible.com: proxy server là một loại buffer giữa máy
tính của bạn và các tài nguyên trên mạng internet mà bạn đang truy cập, dữ liệu
bạn yêu cầu sẽ đến proxy trước, sau đó mới được chuyển đến máy của bạn.
63
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
64
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
65
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123