Nghien Cuu Giai Phap Checkpoint

Nghiên cứu các giải pháp Checkpoint trong việc Giám sát An ninh mạng Doanh nghiệp
-----------------------------------------------------------------
NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN
1. Về thái độ, ý thức của Sinh viên:
………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
………………………………………......
2. Về đạo đức, tác phong của Sinh viên:
………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………….
3. Về năng lực, chuyên môn của Sinh viên:
………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………….
4. Kết luận:
Nhận xét:
………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………….
Điểm: ……………………………………………………………………........................
……………………., ngày......tháng……năm…...
Giảng viên hướng dẫn
Dương Quang Minh-1051150030-ĐH GTVT Tp.HCM 1

-----------------------------------------------------------------
LỜI MỞ ĐẦU
Sự bùng nổ của CNTT đã và đang ảnh hưởng sâu rộng tới mọi lĩnh vực của cuộc sống. Đối với
các cá nhân và Doanh nghiệp, CNTT trở thành 1 trong các nhân tố, công cụ tăng năng lực cho cá
nhân và và tăng hiệu suất làm việc của Doanh nghiệp, đồng thời mang lại hiểu quả kinh tế cao mà
chi phí bỏ ra không đáng kể. Đặc biệt đối với các doanh nghiệp CNTT đóng vai trò nền tảng quan
trọng trong việc khai thác các ứng dụng nghiệp vụ.
Ngày nay bên sự phát triển vượt bậc không ngừng của CNTT trên toàn thế giới và những lợi
ích to lớn mà nó mang lại, thì cũng không ít các phần tử lơi dụng những lỗ hổng của các tổ chức,
doanh nghiệp thâm nhập cài mã độc, virus,...vào để phá hoại hệ thống, lấy cắp thông tin để phục vụ
cho những lợi ích không lành mạnh của mình.
Chính vì vậy, vấn đề an ninh mạng là một vấn đề quan trọng cần phải được nghiên cứu. Trong
những năm qua, một hệ thống bảo vệ đã được nghiên cứu và phát triển để các hệ thống phần mềm
có thể ngăn ngừa những sự tấn công từ bên ngoài Internet và hệ thống thông tin an toàn, đó là hệ
thống Firewall. Mặc dù không hoàn toàn an toàn, nhưng nó cung cấp cho người sử dụng một số
phương tiện chống lại những kẻ tấn công hiệu quả.
Do đó, Em xin thực hiện đề tài “Nghiên cứu các giải pháp Checkpoint trong việc Giám sát An
ninh mạng Doanh nghiệp” để tìm hiểu những vấn đề trên.
Mục tiêu của Đồ án là tìm hiểu và khảo sát các vấn đề An ninh mạng Doanh nghiệp, cơ chế
bảo mật cũng như hiệu suất làm việc của Checkpoint Gaia R77 trong hệ thống mạng. Đáp ứng nhu
cầu càng gia tăng của bảo mật. Qua đó thiết lập một hệ thống bảo mật tối ưu để giảm thiểu các mối
đe dọa từ mạng Internet. Đồ án được trình bày trong 3 chương:
Chương 1: An toàn thông tin trong mạng Doanh nghiệp
Chương 2: Tìm hiểu về Firewall
Chương 3: Nghiên cứu các giải pháp Checkpoint Security Gateway

-----------------------------------------------------------------
LIỆT KÊ HÌNH
Hình 1: Thực trạng An ninh mạng hiện nay……………………………………5

Hinh 2 : Tấn công kiểu DoS và DdoS………………………………………….10
Hình 3: Tấn công kiểu DRDoS………………………………………………....10
Hình 4: Mô hình ứng dụng mail trên mạng Internet……………………………11
Hình 5: Kết nối Internet từ LAN……………………………………………….11
Hình 6: Bảo vệ theo chiều sâu………………………………………........……..12
Hình 7: Vị trí Firewall trên mạng……………………………………………….15
Hình 8: Screening Router sử dụng bộ lọc gói…………………………………..17
Hình 9: Proxy Server……………………………………………………………19
Hình 10: Chuyển đổi địa chỉ mạng……………………………………………...21
Hình 11: Mô hình Checkpoint…………………………………………………..23
Hình 12: Install Checkpoint Gaia R77…………………………………………..25
Hình 13: Welcome Checkpoint R77…………………………………………….26
Hình 14: Phân vùng ổ đĩa ………………………………………………………26
Hình 15: Đặt password account…………………………………………………27
Hình 16: Điền địa chỉ interface………………………………………………….27
Hình 17: Hoàn thành cài đặt Checkpoint R77…………………………………..28
Hinh 18: Cấu hình Web UI Checkpoint R77……………………………………28
Hình 19: Welcome to the………………………………………………………..29
Hình 20: Kiểm tra lại cấu hình IP……………………………………………….29
Hình 21: Đặt Host Name và DNS……………………………………………….30
Hình 22: Finish…………………………………………………………………..30
Hình 23: Giao diện quản lý Web UI Checkpoint R77…………………………...31
Hình 24: Server Checkpoint R77………………………………………………...31
Hình 25: Giao diện Quản lý Checkpoint SmartDashboard R77…………………32
Hình 26: Đăng nhập SmartDashboard…………………………………………...32
Hình 27: Giao diện Cấu hình dịch vụ Anti-Spam & Mail……………………….33
Hình 28: Giao diện Cấu hình Dịch vụ Data Loss Prevention……………………35
Hình 29: Giao diện Cấu hình Dịch vụ Firewall………………………………….36
Hình 30: Giao diện Cấu hình dịch vụ IPS……………………………………….37
Hình 31: Giao diện Cấu hình dịch vụ Threat Prevention………………………..38
Hình 32: Giao diện Cấu hình Dịch vụ Application & URL Filtering…………...39
Hình 33: Giao diện Quản lý Công cụ Checkpoint SmartView Monitor…………42
Hình 34: Màn hình đăng nhập Công cụ Checkpoint SmartView Tracker……….43
Hình 35: Giao diện Màn hình quản lý Công cụ Checkpoint SmartView Tracker..44
Hình 36: Màn hình đăng nhập công cụ Checkpoint SmartEvent…………………46
Hình 37: Giao diện màn hình quản lý Công cụ SmartEven………………………46

-----------------------------------------------------------------
MỤC LỤC
LỜI MỞ ĐẦU……………………………………………………………………2
LIỆT KÊ HÌNH………………………………………………………………….3
MỤC LỤC………………………………………………………………………..4
CHƯƠNG 1: AN TOÀN TRONG MẠNG MÁY TÍNH
1.1 Tình hình thực tế…………………………………………………....…….5
1.2 Các lỗ hổng trên mạng……………………………………………………6
1.3 Các mục tiêu cần bảo vê………………………….………………………7
1.4 Các kiểu tấn công trên mạng………………………………………..……8
1.5 Các chiến lược bảo vệ mạng…………………………………..…………12
CHƯƠNG 2: TỔNG QUAN VỀ FIREWALL
2.1 Khái niệm………………………………………………...………………15
2.2 Ưu và nhược điểm……………………………………..…………………15
2.3 Các chức năng của Firewall
2.3.1 Packet Filtering…………………………………………...…………17
2.3.2 Proxy……………………………………..………………………….19
2.3.3 Network Address Translation………………………………………21
2.3.4 Theo dõi và ghi chép ( Monitoring and Logging )…………………21
CHƯƠNG 3: NGHIÊN CỨU CÁC GIẢI PHÁP CHECKPOINT GATEWAY SECURITY
3.1 Mô hình mạng……………………………………………………………23
3.2 Giới thiệu Firewall Checkpoint Gateway Securiry………………………23
3.3 Cài đặt…………………………………………………………………….25
3.4 Các thành phần của SmartDashboard
3.4.1 Anti Spam-Mail……………………………………………………...33
3.4.2 Data Loss Prevention………………………………………………...34
3.4.3 Firewall………………………………………………………………35
3.4.4 Instrusion Prevention System………………………………………...36
3.4.5 Threat Prevention…………………………………………………….37
3.4.6 Application Control & URL Filtering………………………………..38
3.4.7 QoS…………………………………………………………………...39
3.5 Các thành phần của SmartConsole
3.5.1 SmartLog…………………………….……………………………….40
3.5.2 SmartView Monitor…………………………………………………..41
3.5.3 SmartView Tracker…………………………………………………...42
3.5.4 SmartEvent……………………………………………………………44
3.5.5 SmartProvisioning…………………………………………………….47
3.5.6 Smart Reporter………………………………………………………..47
CHƯƠNG 4: KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN………………………….48
TÀI LIỆU THAM KHẢO……………………………………………....................49

-----------------------------------------------------------------
Chương 1: An toàn trong mạng máy tính Doanh nghiệp

Trong chương này chúng ta sẽ trình bày các khái niệm chung về an toàn an ninh mạng, tình
hình thực tế. Các mô hình mạng và các giao thức được sử dụng để truyền thông trên mạng.
Các dạng tấn công, một số kỹ thuật tấn công đang được sử dụng phổ biến hiện nay, từ đó đưa
ra các chiến lược bảo vệ hệ thống khỏi các nguy cơ này.
1.1 Tình hình thực tế

Mạng Internet – mạng toàn cầu kết nối các máy tính cung cấp các dịch vụ như WWW, E_mail,
tìm kiếm thông tin … là nền tảng cho dịch vụ điện tử đang ngày càng phát triển nhanh chóng.
Internet đã và đang trở thành một phần không thể thiếu được trong cuộc sống hằng ngày. Và cùng
với nó là những sự nguy hiểm mà mạng Internet mang lại.
Theo thống kê của CERT®/CC ( Computer Emegency Response Team/ Coordination Center )
thì số vụ tấn công và thăm dò ngày càng tăng.
Dạng tấn công 1999 2000 2001 2002 2003
Root Compromise 113 157 101 125 137
User Compromise 21 115 127 111 587

Từ chối dịch vụ 34 36 760 36 25
Mã nguy hiểm 0 0 4.764 265 191.306

Xóa Website 0 0 236 46 90
Lợi dụng tài nguyên 12 24 7 39 26

Các dạng tấn công khác 52 9 108 1268 535.304
Các hành động do thám 222 71 452 488.000 706.441
Tổng cộng 454 412 6.555 489.890 1.433.916
Hình 1- Thực trạng An ninh mạng hiện nay
Những kẻ tấn công ngày càng tinh vi hơn trong các hoạt động của chúng. Thông tin về các lỗ
hổng bảo mật, các kiểu tấn công được trình bày công khai trên mạng. Không kể những kẻ tấn công
không chuyên nghiệp, những người có trình độ cao mà chỉ cần một người có một chút hiểu biết về
lập trình, về mạng khi đọc các thông tin này là có thể trở thành một hacker. Chính vì lí do này mà số
vụ tấn công trên mạng không ngừng ra tăng và nhiều phương thức tấn công mới ra đời, không thể
kiểm soát.
Theo điều tra của Ernst & Young, thì 4/5 các tổ chức lớn ( số lượng nhân viên lớn hơn 2500 )
đều triển khai các ứng dụng nền tảng, quan trọng trong mạng cục bộ LAN. Khi các mạng cục bộ này

-----------------------------------------------------------------
kết nối với mạng Internet, các thông tin thiết yếu đều nằm dưới khả năng bị đột nhập, lấy cắp, phá
hoại hoặc cản trở lưu thôn. Phần lớn các tổ chức này tuy có áp dụng những biện pháp an toàn nhưng
chưa triệt để và có nhiều lỗ hổng để kẻ tấn công có thể lợi dụng.
Những năm gần đây, tình hình bảo mật mạng máy tính đã trở lên nóng bỏng hơn bao giờ hết
khi hàng loạt các vụ tấn công, những lỗ hổng bảo mật được phát hiện hoặc bị lợi dụng tấn công.
Theo Arthur Wong – giám đốc điều hành của SecurityFocus – trung bình một tuần, phát hiện ra hơn
30 lỗ hổng bảo mật mới. Theo điều tra của SecurityFocus trong số 10.000 khách hàng của hãng có
cài đặt phần mềm phát hiện xâm nhập trái phép thì trung bình mỗi khách hàng phải chịu 129 cuộc
thăm dò, xâm nhập. Những phần mềm web server như IIS của Microsoft là mục tiêu phổ biến nhất
của các cuộc tấn công.
Trước tình hình đó thì việc bảo vệ an toàn thông tin cho một hay một hệ thống máy tính trước
nguy cơ bị tấn công từ bên ngoài khi kết nối vào Internet là một vấn đề hết sức cấp bách. Để thực
hiện các yêu cầu trên, thế giới đã xuất hiện các phần mềm khác với những tính năng khác nhau mà
được gọi là Firewall.
Sử dụng Firewall để bảo vệ mạng nội bộ, tránh sự tấn công từ bên ngoài là một giải pháp hữu
hiệu, đảm bảo được các yếu tố:
- An toàn cho sự hoạt động của toàn bộ hệ thống mạng
- Bảo mật cao trên nhiều phương diện
- Khả năng kiểm soát cao
- Mềm dẻo và dễ sử dụng
- Trong suốt với người sử dụng
- Đảm bảo kiến trúc mở
“Biết địch biết ta, trăm trận trăm thắng” để có thể bảo vệ được hệ thống, chống lại sự tấn công
của hacker, ta phải biết những mục tiêu cần bảo vệ, các kỹ thuật tấn công khác nhau, và đưa ra chiến
lược bảo vệ mạng hợp lý….
1.2 Các lỗ hổng trên mạng

Việc sử dụng mạng Internet làm tăng nhanh khả năng kết nối, nhưng đồng thời chứa đựng
trong đó những hiểm hoạ không ngờ. Những lỗ hổng để kẻ tấn công có thể lợi dụng, gây tổn thương
cho hệ thống có rất nhiều. Sau đây là một vài lỗ hổng phổ biến trên cộng đồng mạng hiện nay.
Các mật khẩu yếu :
Mọi người thường có thói quen sử dụng mật khẩu theo tên của người thân hay những gì quen
thuộc với mình. Với những mật khẩu dễ bị phán đoán, kẻ tấn công có thể chiếm đoạt được quyền
quản trị trong mạng, phá huỷ hệ thống, cài đặt backdoor … Ngày nay, một người ngồi từ xa cũng có
thể đăng nhập vào được hệ thống cho nên ta cần phải sử dụng những mật khẩu khó đoán, khó dò tìm
hơn.
Dữ liệu không được mã hoá :
Các dữ liệu được truyền đi trên mạng rất dễ bị xâm phạm, xem trộm, sửa chữa … Với những
dữ liệu không được mã hoá, kẻ tấn công chẳng tốn thời gian để có thể hiểu được chúng. Những
thông tin nhạy cảm càng cần phải phải mã hoá cẩn thận trước khi gửi đi trên mạng.
Các file chia sẻ :
Việc mở các file chia sẻ thông tin là một trong những vấn đề bảo mật rất dễ gặp. Điều này cho
phép bất kì ai cũng có thể truy nhập các file nếu ta không có cơ chế bảo mật, phân quyền tốt.
Bộ giao thức nổi tiếng TCP/IP được sử dụng rộng rãi trên mạng hiện nay cũng luôn tiềm ẩn
những hiểm hoạ khôn lường. Kẻ tấn công có thể sử dụng ngay chính các qui tắc trong bộ giao thức

-----------------------------------------------------------------
này để thực hiện cách tấn công DoS. Sau đây là một số lỗ hổng đáng chú ý liên quan đến bộ giao
thức TCP/IP
1. CGI Scripts:
Các chương trình CGI nổi tiếng là kém bảo mật. Và thông thường các hacker sử dụng các lỗ
hổng bảo mật này để khai thác dữ liệu hoặc phá huỷ chương trình
2.Tấn công Web server:
Ngoài các lỗ hổng bảo mật do việc thực thi các chương trình CGI, các Web server còn có thể
có các lỗ hổng khác. Ví dụ như một số Web server (IIS 1.0 ...) có một lỗ hổng mà do đó một tên file
có thể chèn thêm đoạn “../” vào trong tên đường dẫn thì có thể di chuyển tới mọi nơi trong hệ thống
file và có thể lấy được bất kì file nào. Một lỗi thông dụng khác là lỗi tràn bộ đệm trong trường
request hoặc trong các trường HTTP khác.
3. Tấn công trình duyệt Web:
Do các trình duyệt Web như của Microsoft, Netscape có khá nhiều lỗ hổng bảo mật nên xuất
hiện các tấn công URL, HTTP, HTML, JavaScript, Frames, Java và ActiveX.
4. Tấn công SMTP (Sendmail)
5. Giả địa chỉ IP (IP Spoofing)
6. Tràn bộ đệm (Buffer Overflows):
Có 2 kiểu tấn công khai thác lỗi tràn bộ đệm là : DNS overflow (Khi một tên DNS quá dài
được gửi tới Server) và Statd overflow (khi một tên file quá dài được cung cấp).
7. Tấn công DNS (DNS attacks):
DNS server thường là mục tiêu chính hay bị tấn công. Bởi hậu quả rất lớn gây ra bởi nó là gây
ách tắc toàn mạng.
Tháng 4/2004 vừa qua, Bộ An Ninh Nội Vụ Mỹ và trung tâm Điều phối An Ninh Cơ sở hạ
tầng quốc gia Anh đã cảnh báo về một lỗi bảo mật TTO nghiêm trọng trong bộ giao thức TCP/IP
này.
Trong phần sau chúng ta sẽ xem xét các kỹ thuật tấn công dựa trên các lỗ hổng bảo mật này.
1.3 Các mục tiêu cần bảo vệ

Để có thể bảo vệ được hệ thống, chống lại sự tấn công của hacker. Chúng ta phải biết những
mục tiêu cần bảo vệ, các kỹ thuật tấn công khác nhau từ đó đưa ra các chiến luợc bảo vệ hợp lý…
Trong các phần dưới đây sẽ trình bày cụ thể các vấn đề này.
Có ba mục tiêu cần được bảo vệ là :
• Dữ liệu: là những thông tin lưu trữ trong máy tính
• Tài nguyên : là bản thân máy tính, máy in, CPU…
• Danh tiếng
a. Dữ liệu
Mục tiêu chính sách an toàn của một hệ thống thông tin cũng như đối với dữ liệu bao gồm :
• Bí mật
• Toàn vẹn
• Sẵn sàng
Thông thường mọi người thường tập trung vào bảo vệ tính bí mật của dữ liệu, những thông tin
có tính nhạy cảm cao như thông tin về quốc phòng, chiến lược kinh doanh… thì đây là yếu tố sống
còn. Khi dữ liệu bị sao chép bởi những người không có thẩm quyền thì ta nói dữ liệu đã bị mất tính
bí mật
Khi dữ liệu bị sửa đổi một cách bất ngờ bởi người không có thẩm quyền thì khi đó có thể nói
dữ liệu bị mất tính toàn vẹn

-----------------------------------------------------------------
Tính sẵn sàng là tính chất quan trọng nhất đối với các tổ chức hoạt động cần sử dụng nhiều
thông tin. Khi người sử dụng hợp pháp muốn xem dữ kiệu của mình nhưng dữ liệu không thể đáp
ứng ngay vì một lý do nào đó, khi đó ta nói dữ liệu đã mất đi tính sẵn sàng.
b. Tài nguyên
Xét một ví dụ như sau :
Ta có một máy in ( một dạng tài nguyên ), ngoài ta ra chỉ những ai có đủ thẩm quyền thì mới
được sử dụng nó. Tuy nhiên, có những người không đủ thẩm quyền vẫn muốn sử dụng máy in này
miễn phí. Khi đó ta nói chiếc máy in này đã bị xâm phạm.
Khái niệm xâm phạm là rất rộng, ví dụ như bộ nhớ, CPU,… đều là tài nguyên. Khi chúng bị
những người không có thẩm quyền khai thác một cách bất hợp pháp thì ta nói tài nguyên đó đã bị
xâm phạm.
c. Danh tiếng
Bảo vệ danh tiếng là một điều quá hiển nhiên đối với cả cá nhân và các tổ chức. Không chỉ
trên mạng Internet mà cả trong thực tế cuộc sống hàng ngày chúng ta đều cần phải bảo vệ danh tiếng.
Điều gì sẽ xảy ra nếu như một ngày nào đó tên của chúng ta được sử dụng cho những mục đích mờ
ám. Và để khôi phục lại danh tiếng mà trước đó đã có chắc chắn phải mất một thời gian dài và cũng
có thể là không thể.
1.4 Các dạng tấn công trên mạng

Có nhiều dạng tấn công khác nhau vào hệ thống và cũng có nhiều cách phân loại các dạng tấn
công này. Trong mục này, chúng ta chia các dạng tấn công làm ba phần cơ bản:
• Xâm nhập ( Intrusion )
• Từ chối dịch vụ ( Denial of Service – DoS )
• Ăn trộm thông tin ( Information thieft )
a.Xâm nhập
Tấn công xâm nhập là việc một người hay nhóm người cố gắng đột nhập hay lạm dụng hệ
thống. Hacker và cracker là hai từ dùng để chỉ những kẻ xâm nhập.
Hầu hết các dạng tấn công vào hệ thống nói chung là dạng xâm nhập. Với cách tấn công này,
kẻ tấn công thực sự có thể sử dụng máy tính của ta. Tất cả những kẻ tấn công đều muốn sử dụng
máy tính của ta với tư cách là người hợp pháp.
Những kẻ tấn công có hàng loạt cách để truy cập. Chúng có thể giả dạng là một người có thẩm
quyền cao hơn để yêu cầu các thông tin về tên truy cập/mật khẩu của ta, hay đơn giản dùng cách tấn
công suy đoán, và ngoài ra chúng còn nhiều phương pháp phức tạp khác để truy cập mà không cần
biết tên người dùng và mật khẩu.
Kẻ xâm nhập có thể được chia thành hai loại:
1.Từ bên ngoài – Outsider: những kẻ xâm nhập từ bên ngoài hệ thống (xóa Web server,
chuyển tiếp các spam qua e-mail servers). Chúng có thể vượt qua firewall để tấn công các máy trong
mạng nội bộ. Những kẻ xâm nhập có thể đến từ Internet, qua đường dây điện thoại, đột nhập vật lý
hoặc từ các mạng thành viên được liên kết đến tổ chức mạng (nhà sản xuất, khách hàng,…).
2.Từ bên trong – Insider: những kẻ xâm nhập được quyền truy nhập hợp pháp đến bên trong
hệ thống (những người sử dụng được ủy quyền, hoặc giả mạo người dùng được ủy quyền ở mức cao
hơn… ). Theo thống kê thì loại xâm nhập này chiếm tới 80%.
Có hai cách thức chính để thực hiện hành vi xâm nhập

-----------------------------------------------------------------
1.Do thám - Reconnaissance : Kẻ tấn công có thể dùng các công cụ dò quét để kiểm tra hay
tìm kiếm các lỗ hổng bảo mật của một mạng nào đó. Các hành động quét này có thể là theo kiểu
ping, quét cổng TCP/UDP, chuyển vùng DNS, hay có thể là quét các Web server để tìm kiếm các lỗ
hổng CGI....Sau đây là một số kiểu quét thông dụng:
Ping Sweep – Quét Ping:
Phương pháp này đơn giản là chỉ ping các địa chỉ IP để kiểm tra xem các host tương ứng với
các địa chỉ đó còn sống hay không. Các kiểu quét phức tạp hơn sử dụng các giao thức khác như
SNMP Sweep cũng có cơ chế hoạt động tương tự.
TCP Scan – Quét cổng TCP :
Kiểu này dò quét các cổng TCP mở để tìm các dịch vụ đang chạy để có thể khai thác, lợi dụng
hay phá hoại. Máy quét có thể sử dụng các kết nối TCP thông dụng hoặc là các kiểu quét trộm(sử
dụng kết nối mở một bên) hoặc là kiểu quét FIN (không mở cổng mà chỉ kiểm tra xem có ai đó đang
lắng nghe). Có thể quét danh sách các cổng liên tục, ngẫu nhiên hoặc là đã được cấu hình.
UDP Scan – Quét cổng UDP :
Loại quét này khó hơn một chút vì UDP là giao thức không kết nối. Kỹ thuật là gửi 1 gói tin
UDP vô nghĩa tới một cổng nào đó. Hầu hết các máy đích sẽ trả lời bằng 1 gói tin ICMP
“destination port unreachable”, chỉ ra rằng không có dịch vụ nào lắng nghe ở cổng đó. Tuy nhiên,
nhiều máy điều tiết các messages ICMP nên ta không thể làm điều này rất nhanh được.
OS identification – Xác định hệ điều hành

Bằng việc gửi các gói tin TCP hay ICMP không đúng qui cách, kẻ tấn công có thể thu được
thông tin về hệ điều hành.
Account Scan – Quét tài khoản:
Cố gắng đăng nhập vào hệ thống với các Tài khoản (Account):
Các Tài khoản không có password
Các Tài khoản với password trùng với username hoặc là ‘password’
Các Tài khoản mặc định đã được dùng để chuyển sản phẩm
Các Tài khoản được cài cùng với các sản phẩm phần mềm
Các vấn đề về tài khoản nặc danh FTP
2. Lợi dụng – Exploits :
Lợi dụng các đặc tính ẩn hoặc lỗi để truy cập vào hệ thống.
Firewall có thể giúp ta ngăn chặn một số cách xâm nhập trên. Một cách lý tưởng thì Firewall
sẽ chặn toàn bộ mọi ngả đường vào hệ thống mà không cần biết đến tên truy cập hay mật khẩu.
Nhưng nhìn chung, Firewall được cấu hình nhằm giảm một số lượng các tài khoản truy cập từ phía
ngoài vào. Hầu hết mọi người đều cấu hình Firewall theo cách “one –time password “ nhằm tránh
tấn công theo cách suy đoán.
b. Từ chối dịch vụ
Đây là kiểu tấn công vào tính sẵn sàng của hệ thống, làm hệ thống cạn kiệt tài nguyên hoặc
chiếm dụng băng thông của hệ thống, làm mất đi khả năng đáp ứng trả lời các yêu cầu đến. Trong
trường hợp này, nếu hệ thống cần dùng đến tài nguyên thì rất có thể hệ thống sẽ gặp lỗi.
Có một số đặc điểm đặc biệt trong cách tấn công này là người bị hại không thể chống đỡ lại
được kiểu tấn công này vì công cụ được sử dụng trong cách tấn công này là các công cụ mà hệ
thống dùng để vận hành hằng ngày.
Có thể phân biệt ra bốn dạng DoS sau:
+ Tiêu thụ băng thông ( bandwidth consumption )
+ Làm nghèo tài nguyên ( resource starvation )

-----------------------------------------------------------------
+ Programming flaw
+ Tấn công Routing và DNS
Về mặt kỹ thuật có 3 kiểu tấn công từ chối dịch vụ chính là DoS, DDoS và DRDoS
DoS – Traditional DOS
Hinh 2 : Tấn công kiểu DoS và DdoS

Đơn thuần máy tấn công có bandwidth lớn hơn máy nạn nhân
DDoS – Distributed DOS
Sử dụng nhiều máy cùng tấn công vào một máy nạn nhân
DRDoS – Distributed Reflection DOS
Sử dụng các server phản xạ, máy tấn công sẽ gửi yêu cầu kết nối tới các server có bandwidth
rất cao trên mạng – server phản xạ, các gói tin yêu cầu kết nối này mang địa chỉ IP giả - chính là địa
chỉ IP của máy nạn nhân. Các server phản xạ này gửi lại máy nạn nhân các gói SYN/ACK dẫn tới
hiện tượng nhân băng thông – bandwidth multiplication.
Tuy nhiên với cách tấn công này, kẻ tấn công cũng không thu được thông tin gì thêm về hệ
thống. Nó chỉ đơn thuần làm hệ thống tê liệt, không hoạt động được nữa mà thôi.
Đơn thuần máy tấn công có bandwidth lớn hơn máy nạn nhân
Hình 3: Tấn công kiểu DRDoS

-----------------------------------------------------------------
c. Ăn trộm thông tin

Có một vài cách tấn công cho phép kẻ tấn công có thể lấy được dữ liệu mà không cần phải trực
tiếp truy cập, sử dụng máy tính của chúng ta. Thông thường kẻ tấn công khai thác các dịch vụ
Internet phân phối thông tin. Các dịch vụ này có thể đưa ra các thông tin mà ta không muốn hoặc
đưa các thông tin đến sai địa chỉ nhận. Nhiều dịch vụ Internet được thiết kế sử dụng cho các mạng
nội bộ và không hề có thêm các lớp bảo vệ do đó thông tin sẽ không an toàn khi lưu thông trên
mạng Internet.
Hầu hết những kẻ tấn công đều cố gắng lắng nghe để tìm kiếm các thông tin như tên truy cập/
mật khẩu. Thật không may đây lại là các thông tin dễ bị ăn cắp nhất trên mạng. Như hình vẽ dưới
đây minh họa
Hình 4: Mô hình ứng dụng mail trên mạng Internet

Đây là đường truyền các packets khi user login vào hệ thống vào một ISP, rồi gửi đi một số
messages. Các packet không mã mật được truyền từ client tới ISP dialup, rồi qua ISP firewall tới các
router trước khi được truyền trên Internet.
Mọi quá trình truyền không mã mật, các messages có thể bị chặn ở một số điểm ví như điểm
được gửi đi. Một user làm cho ISP có thể giữ các packets lại. Một chuyên gia tin học cũng có thể
đọc tất cả các message một cách dể dàng. Bất cứ một chuyên gia bảo dưỡng các router nào đều có
tìm ra nhiều cách để lưu các messages lại. Và cả những nơi cung cấp các dịch vụ, họ cũng có thể
xem xét các messages của user.
Nếu truy nhập vào internet từ mạng LAN thay vì dialup, thì có càng nhiều người có thể xem
messages hơn. Bất cứ ai trong hệ thống company trên cùng một LAN có thể đặt NIC vào và thu các
packets của mạng.
Hình 5: Kết nối Internet từ LAN

-----------------------------------------------------------------
Các giao thức thường sử dụng cổng nhất định để trao đổi thông tin lấn nhau, và đó là điểm yếu
của hệ thống giúp cho các tin tặc có thể dễ dàng lấy cắp được các thông tin quan trọng.
Ví dụ :
Khi user log on vào Yahoo! Mail, nhập username và password rồi ấn Submit, trong trường hợp
nhập thông tin chính xác thì thông tin đó được đóng gói và gửi đi. Package đầu tiên của giao thức
HTTP chứa thông tin username và password được chuyển qua cổng 1149, khi đó hacker có thể truy
nhập vào cổng này để lấy thông tin log on của user. Trong đó thông tin về password được truyền
dưới dạng text plain. Khi log on vào sites thì có khoảng 100-200 packets được truyền giữa user và
server, trong đó có khoảng 10 packets đầu tiên có chứa thông tin về password.
Có nhiều cách để chống lại cách tấn công này. Một Firewall được cấu hình tốt sẽ bảo vệ,
chống lại những kẻ đang cố gắng lấy những thông tin mà ta đưa ra.
1.5 Các chiến lược bảo vệ mạng

1.5.1 Quyền hạn tối thiểu ( Least Privilege )
Có lẽ chiến lược cơ bản nhất về an toàn ( không chỉ cho an ninh mạng mà còn cho mọi cơ chế
an ninh khác ) là quyền hạn tối thiểu. Về cơ bản, nguyên tắc này có nghĩa là: bất kỳ một đối tượng
nào ( người sử dụng, người quản trị hệ thống … ) chỉ có những quyền hạn nhất định nhằm phục vụ
cho công việc của đối tượng đó và không hơn nữa. Quyền hạn tối thiểu là nguyên tắc quan trọng
nhằm giảm bớt những sự phô bày mà kẻ tấn công có thể tấn công vào hệ thống và hạn chế sự phá
hoại do các vụ phá hoại gây ra.
Tất cả mọi người sử dụng hầu như chắc chắn không thể truy cập vào mọi dịch vụ của Internet,
chỉnh sửa ( hoặc thậm chí chỉ là đọc ) mọi file trên hệ thống của ta, biết được mật khẩu root. Tất cả
mọi nhà quản trị cũng không thể biết hết được các mật khẩu root của tất cả các hệ thống. Để áp dụng
nguyên tắc quyền hạn tối thiểu, ta nên tìm cách giảm quyền hạn cần dùng cho từng người, từng công
việc cụ thể.
1.5.2 Bảo vệ theo chiều sâu ( Defence in Depth )

Một nguyên tắc khác của mọi cơ chế an ninh la bao ve theo chiều sâu. Đừng phụ thuộc vào chỉ
một cơ chế an ninh, cho dù là nó mạnh đến đâu đi nữa. Thay vào đó là sử dụng nhiều cơ chế an ninh
để chúng hỗ trợ nhau.
Hình 6: Bảo vệ theo chiều sâu

-----------------------------------------------------------------
1.5.3 Nút thắt ( Choke Point )
Với cách xây dựng nút thắt, ta đã buộc tất cả mọi luồng thông tin phải qua đó và những kẻ tấn
công cũng không là ngoại lệ. Chính nhờ đặc điểm này mà có thể kiểm tra và điều khiển các luồng
thông tin ra vào mạng. Có rất nhiều ví dụ về nút thắt trong thực tế cuộc sống.
Với an ninh mạng thì nút thắt chính là các Firewall đặt giữa mạng cần bảo vệ và Internet. Bất
kỳ ai muốn đi vào trong mạng cần bảo vệ đều phải đi qua các Firewall này.
1.5.4 Liên kết yếu nhất ( Weakest Link )

Đối với mootj hệ thống bảo vệ thì cho dù có nhiều khâu có mức an toàn cao nhưng chỉ cần
một khâu mất an toàn thì toàn bộ hệ thống cũng sẽ mất an toàn. Những kẻ tấn công thông minh sẽ
tìm ra những điểm yếu và tập trung tấn công vào đó. Cần phải thận trọng tới các điểm yếu này bởi
kẻ tấn công luôn biết tìm cách để khai thác nó.
1.5.5 Hỏng an toàn ( Fail – Safe Stance )

Một điểm yếu cơ bản khác trong chiến lược an ninh là khả năng cho phép hệ thống hỏng an
toàn ( faile – safe ) – có nghĩa là nếu hệ thống có hỏng thì sẽ hỏng theo cách chống lại sự tấn công
của đối phương.Sự sụp đổ này có thể cũng ngăn cản sự truy cập của người dung hợp pháp nhưng
trong một số trường hợp thì vẫn phải áp dụng chiến lược này.
Hầu hết các ứng dụng hiện nay đều có cơ chế hỏng an toàn. Ví dụ như nếu một router lọc gói
bị down, nó sẽ không cho bất kỳ một gói tin nào đi qua. Nếu một proxy bị down, nó sẽ không cung
cấp một dịch vụ nào cả. Nhưng nếu một hệ thống lọc gói được cấu hình mà tất cả các gói tin được
hướng tới một máy chạy ứng dụng lọc gói và một máy khác cung cấp ứng dụng thì khi máy chạy
ứng dụng lọc gói bị down, các gói tin sẽ di chuyển toàn bộ đến các ứng dụng cung cấp dịch vụ. Kiểu
thiết kế này không phải là dạng hỏng an toàn và cần phải đuợc ngăn ngừa.
Điểm quan trọng trong chiến lược này là nguyên tắc, quan điểm của ta về an ninh. Ta có xu
hướng hạn chế, ngăn cấm hay cho phép? Có hai nguyên tắc cơ bản mà ta có thể quyết định đến
chính sách an ninh :
+ Mặc định từ chối: Chỉ quan tâm những gì ta cho phép và cấm tất cả những cái còn lạl
+ Mặc định cho phép: Chỉ quan tâm đến những gì mà ta ngăn cấm và cho qua tất cả những cái
còn lại.
1.5.6 Tính toàn cục ( Universal Participation )

Để đạt được hiệu quả cao, hầu hết các hệ thống an toàn đòi hỏi phải có tính toàn cục của các hệ
thống cục bộ. Nếu một kẻ nào đó có thể dễ dàng bẻ gãy một cơ chế an toàn thì chúng có thể thành
công bằng cách tấn công hệ thống tự do của ai đó rồi tiếp tục tấn công hệ thống nội bộ từ bên trong.
Có rất nhiều hình thức làm cho hỏng an toàn hệ thống và chúng ta cần được báo lại những hiện
tượng lạ xảy ra có thể liên quan đến an toàn của hệ thống cục bộ.
1.5.7 Đa dạng trong bảo vệ ( Diversity of Defence )

Ý tưởng thực sự đằng sau “đa dạng trong bảo vệ” chính là sử dụng các hệ thống an ninh
của nhiều nhà cung cấp khác nhau nhằm giảm sự rủi ro về các lỗi phổ biến mà mỗi hệ thống mắc
phải. Nhưng bên cạnh đó là những khó khăn đi kèm khi sử dụng hệ thống bao gồm nhiều sản phẩm
của những nhà cung cấp khác nhau như: Cài đặt, cấu hình khó hơn, chi phí sẽ lớn hơn, bỏ ra nhiều
thời gian hơn để có thể vận hành hệ thống.

-----------------------------------------------------------------
Chúng ta hãy thận trọng với ý tưởng đa dạng này. Vì khi sử dụng nhiều hệ thống khác
nhau như vậy chưa chắc đã có sự đa dạng trong bảo vệ mà còn có thể xảy ra trường hợp hệ thống
này hạn chế hoạt động của hệ thống khác mà không hỗ trợ nhau như ta mong muốn.
1.5.8 Đơn giản ( Simplicity )

Đơn giản là một trong những chiến lược an ninh vì hai lý do sau:
Thứ nhất: Với những gì đơn giản thì cũng có nghĩa là dễ hiểu, nếu ta không hiểu về phần nào
đó, ta không thể chắc chắn liệu nó có an toàn không.
Thứ hai: Sự phức tạp sẽ tạo ra nhiều ngóc nghách mà ta không thể quản lý nổi, nhiều thứ sẽ ẩn
chứa trong đó mà ta không biết. Rõ ràng, bảo vệ một căn hộ dễ dàng hơn nhiều bảo vệ một toà lâu
đài lớn!.

-----------------------------------------------------------------
Chương 2 : Tổng quan về Firewall
Trong chương này chúng ta sẽ nghiên cứu vể Internet Firewall : Thế nào là một Firewall, các
chức năng cơ bản của một Firewall, kiến trúc của một Firewall khi triển khai một hệ thống mạng an
toàn và cuối cùng là công việc bảo dưỡng một Firewall.
2.1 Khái niệm

Thuật ngữ firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn
chế hỏa hoạn. Trong công nghệ thông tin, firewall là một kỹ thuật được tích hợp vào hệ thống mạng
để chống sự truy cập trái phép nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm
nhập vào hệ thống nhằm mục đích phá hoại, gây tổn thất cho tổ chức, doanh nghiệp. Cũng có thể
hiểu firewall là một cơ chế để bảo vệ mạng tin tưởng (trusted network) khỏi các mạng không tin
tưởng (untrusted network).
Hình 7: Vị trí Firewall trên mạng

Theo cách bố trí này thì tất cả các luồng thông tin đi vào mạng nội bộ từ Internet hay ngược lại,
đi từ mạng nội bộ ra Internet đều phải qua Firewall. Nhờ vậy Firewall có thể kiểm soát được các
luồng thông tin, từ đó đưa ra các quyết định cho phép hay không cho phép. Cho phép hay không cho
phép ở đây là dựa trên chính sách an ninh do người quản trị Firewall đặt ra.
2.2 Ưu điểm và nhược điểm của Firewall

2.2.1 Ưu điểm
Firewall có thể làm rất nhiều điều cho an ninh của mạng. Thực tế những ưu điểm khi sử dụng
Firewall không chỉ ở trong lĩnh vực an ninh
a. Firewall là điểm tập trung giải quyết các vấn đề an ninh

-----------------------------------------------------------------
Quan sát vị trí cuả Firewall trên hình chúng ta thấy đây là một dạng nút thắt. Firewall cho ta
khả năng to lớn để bảo vệ mạng nội bộ bởi công việc cần làm chỉ tập trung tại nút thắt này. Việc tập
trung giải quyết tại một điểm này còn cho phép có hiệu quả cả về mặt kinh tế.
b. Firewall có thể thiết lập chính sách an ninh
Có rất nhiều dịch vụ mà mọi người muốn sử dụng vốn đã không an toàn.
Firewall đóng vai trò kiểm soát các dịch vụ này. Nó sẽ thiết lập chính sách an ninh cho phép
những dịch vụ thoả mãn tập luật trên Firewall đang hoạt động. Tuỳ thuộc vào công nghệ lựa chọn để
xây dựng Firewall mà nó có khả năng thực hiện các chính sách an ninh với hiệu quả khác nhau.
c. Firewall có thể ghi lại các hoạt động một cách hiệu quả
Do mọi luồng thông tin đều qua Firewall nên đây sẽ là nơi lý tưởng để thu thập các thông tin
về hệ thống và mạng sử dụng. Firewall có thể ghi chép lại những gì xảy ra giữa mạng được bảo vệ
và mạng bên ngoài.
2.2.2 Nhược điểm

Firewall có thể bảo vệ mạng có hiệu quả nhưng nó không phải là tất cả. Firewall cũng tồn tại
các nhược điểm của nó.
a.Firewall không thể bảo vệ khi có sự tấn công từ bên trong
Nếu kẻ tấn công ở phía trong Firewall, thì nó sẽ không thể giúp gì được cho ta. Kẻ tấn công sé
ăn cắp dữ liệu, phá hỏng phần cứng - phần mềm, sửa đổi chương trình mà Firewall không thể biết
được.
b.Firewall không thể bảo vệ được nếu các cuộc tấn công không đi qua nó
Firewall có thể điều khiển một cách hiệu quả các luồng thông tin, nếu như chúng đi qua
Firewall. Tuy nhiên, Firewall không thể làm gì nếu như các luồng dữ liệu không đi qua nó. Ví dụ
cho phép truy cập dial – up kết nối vào hệ thống bên trong của Firewall? Khi đó nó sẽ không chống
lại được sự tấn công từ kết nối modem
Có thể do việc cài đặt backdoor của người quản trị hay những người sử dụng trình độ cao.
c. Firewall không thể bảo vệ nếu như cách tấn công hoàn toàn mới lạ
Firewall được thiết kế chỉ để chống lại những kiểu tấn công đã biết. Nếu một Firewall được
thiết kế tốt thì cũng có thể chống lại được những cuộc tấn công theo cách hoàn toàn mới lạ. Người
quản trị phải cập nhật những cách tấn công mới, kết hợp với kinh nghiệm đã biết để có thể bổ xung
cho Firewall. Ta không thể cài Firewall một lần và sử dụng mãi mãi.
d.Firewall không thể chống lại Virus
Firewall không thể giúp cho máy tính chống lại được Virus. Mặc dù nhiều Firewall đã quét
những luồng thông tin đi vào nhằm kiểm tra tính hợp lệ của nó với các tập luật đặt ra. Tuy nhiên
Firewall chỉ kiểm tra được địa chỉ nguồn, địa chỉ đích, số hiệu cổng cuả gói tin này chứ không thể
kiểm tra được nội dung của nó. Đó là chưa kể đến có rất nhiều dạng Virus và nhiều cách để Virus ẩn
vào dữ liệu.
Tiếp theo chúng ta xem xét các chức năng cơ bản cuả Firewall. Có thể nói một Firewall thực
sự cần phải có ít nhất một trong các chức năng sau :
+ Khả năng lọc gói ( Packet Filtering ): Firewall sẽ kiểm tra phần header của các gói tin và đưa
ra quyết định là cho phép qua hay loại bỏ gói tin này theo tập luật đã được cấu hình.
+ Application Proxy: Với khả năng này thì Firewall sẽ kiểm tra kỹ lưỡng header của gói tin
hơn như khả năng hiểu giao thức cụ thể mà ứng dụng sử dụng
+ Chuyển đổi địa chỉ mạng ( Network Address Translation – NAT ): Để các máy bên ngoài chỉ
thấy một hoặc hai địa chỉ mạng của firewall còn các máy thuôc mạng trong có thể lấy các giá trị

-----------------------------------------------------------------
trong một khoảng bất kỳ thì các gói tin đi vào và đi ra cần được chuyên đổi địa chỉ nguồn và đia chỉ
đích.
+ Theo dõi và ghi chép ( Monitoring and Logging ): Với khả năng này cung cấp cho người
quản trị biết điều gì đang xẩy ra tại Firewall, từ đó đưa ra những phương án bảo vệ tốt hơn.
Ngoài ra thì một Firewall còn có thể có một số chức năng mở rộng khác như :
+ Data Caching: Bởi vì có những yêu cầu về các Website là hoàn toàn giống nhau của các
người dùng khác nhau nên việc Caching dữ liệu sẽ giúp quá trình trả lời nhanh và hiệu quả hơn
+ Lọc nội dung ( Content Filter ): Các luật của Firewall có khả năng ngăn chặn các yêu cầu
trang Web mà nó chứa các từ khoá, URLs hay các dữ liệu khác như video streams, image …
+ Instrustion Detection: Là khả năng phát hiện các cuộc xâm nhập, tấn công
+ Các chức năng khác: khả năng phát hiện và quét virus…
Phần dưới đây chúng ta sẽ xem xét kỹ lưỡng ba chức năng cơ bản của một Firewall đó là
Packet Filtering, Application Proxy và Network Address Translation
2.3 Các chức năng của Firewall
2.3.1 Packet Filtering

a. Khái niệm
Packet Filtering là một chức năng cơ bản của một firewall, nó là một kỹ thuật an ninh mạng
hoạt động ở tầng mạng, bằng cách điều khiển dữ liệu vào hoặc ra một mạng máy tính. Packet
Filtering sẽ định tuyến một cách có chọn lọc các gói tin tuỳ thuộc theo chính sách an ninh do người
quản trị đặt ra. Lọc gói thông thường có tốc độ rất cao bởi nó chỉ kiểm tra phần header của các gói
tin mà không kiểm tra phần dữ liệu trong đó. Vì kĩ thuật gói thườg có tốc độ nhanh, mềm dẻo và
trong suốt với người dùng nên ngày nay hầu hết các router đều có trang bị khả năng lọc gói. Một
router sử dụng bộ lọc gói được gọi là screening router
Dưới đây là mô hình một screening router trong mạng
Hình 8: Screening Router sử dụng bộ lọc gói
Như đã giới thiệu ở chương trước thì bất kể một gói tin nào cũng có phần header của nó.
Những thông tin trong phần header bao gồm các trường sau :
- Địa chỉ IP nguồn
- Địa chỉ IP đích
- Giao thức hoạt động
-----------------------------------------------------------------
- Cổng TCP ( UDP ) nguồn
- Cổng TCP ( UDP ) đích
- ICMP message type
Bộ lọc gói sẽ dựa vào những thông tin này để đưa ra quyết định cuối cùng cho phép hay không
cho phép gói tin đi qua. Ngoài ra, bộ lọc gói còn có thể xác định thêm các thông tin khác không có
trong header của gói tin như :
- Giao diện mạng mà gói tin từ đó đi tới ( ví dụ trong Linux là eth0 )
- Giao diện mạng mạng mà gói đi đến ( ví dụ là eth1 )
Trên thực tế thì các Server hoạt động cho các dịch vụ Internet thường tập trung vào một cổng
nào đó, do vậy để đơn giản ta chỉ cần cấu hình tập luật lọc gói tin của router theo số hiệu cổng tương
ứng là có thể ngăn chặn được các kết nối. Ví dụ với server HTTP: cổng mặc định là 80, với server
FTP: cổng 23 …
Do vậy với Screening router thì ngoài chức năng như một router bình thường là dẫn đường
cho các gói tin nó còn có khả năng lọc các gói tin đi qua nó. Screening router sẽ đọc gói tin một
cách cẩn thận hơn từ đó đưa ra quyết định cho phép hay không cho phép gói tin tới đích. Việc cho
phép hay không cho phép các gói tin đi qua phụ thuộc vào các luật lọc gói mà screening router được
cấu hình.
Từ đó ta có các cách thực hiện chức năng lọc gói: Lọc gói dựa vào địa chỉ, lọc gói dựa vào loại
dịch vụ hay cổng, lọc gói theo cả địa chỉ và cổng
Lọc gói theo địa chỉ
Là cách đơn giản nhất, lọc theo cách này giúp chúng ta điều hướng các gói tin dựa theo địa chỉ
nguồn hoặc đích mà không cần biết các gói tin này thuôc giao thức nào.
Ta thấy ngay ở đây các rủi ro với cách lọc gói dựa theo địa chỉ: là việc kẻ tấn công sử dụng địa
chỉ IP giả mạo để vượt qua module lọc gói và truy cập các máy trong mạng nội bộ cần bảo vệ. Có
hai kiểu tấn công dựa trên việc giả mạo địa chỉ IP đó là source address và man in the middle. Cách
giải quyết vấn đề này là sử dụng phương pháp xác thực người dùng đối với các gói tin.
Lọc gói dựa theo dịch vụ
Hầu hết các ứng dụng trên mạng TCP/IP hoạt động trên một Socket bao gồm địa chỉ IP và một
số hiệu cổng nào đó.Do vậy việc lọc các gói tin dựa trên dịch vụ cũng chính là việc lọc các gói tin
dựa trên số hiệu cổng. Ví dụ như các ứng dụng Web theo giao thức HTTP thường hoạt động trên
cổng 80, dịch vụ Telnet hoạt động trên cổng 23,… Việc lọc gói có thể dựa vào địa chỉ cổng nguồn
hay địa chỉ cổng đích hoặc cả hai.
Các rủi ro xảy ra đối với việc lọc gói dựa trên số hiệu cổng đó là : rất nhiều các ứng dụng theo
mô hình server/client hoạt động với số hiệu cổng ngẫu nhiên trong khoảng từ 1023 – 65535. Khi đó
việc thiết lập các luật theo cách này là rất khó khăn và có thể để cho các gói tin nguy hiểm đi qua mà
chặn lại các gói tin cần thiết.
b. Các hoạt động của Packet Filtering
Sau khi thực hiện kiểm tra một gói tin, Packet Filtering có thể thực hiện một trong các công
việc sau :
- Cho phép gói tin đi qua: nếu gói tin thoả mãn các điều kiện trong cấu hình của bộ lọc gói, gói
tin sẽ được chuyển tiếp tới đích của nó
- Loại bỏ gói tin : nếu gói tin không thoả mãn các điều kiện trong cấu hình của Packet Filtering
thì gói tin sẽ bị loại bỏ
- Ghi nhật ký các hoạt động
Ta không cần thiết phải ghi lại tất cả các gói tin được cho phép đi qua mà chỉ cần ghi lại một
số hoạt động của một số gói tin loại này. Ví dụ ghi lại các gói tin bắt đầu của một kết nối TCP để có

-----------------------------------------------------------------
thể theo dõi được các kết nối TCP đi vào và đi ra khỏi mạng cần boả vệ. Đặc biệt là ghi lại các gói
tin bị loại bỏ , ta cần theo dõi các gói tin nào đang cố gắng đi qua trong khi nó bị cấm.
c. Ưu, nhược điểm của Packet Filtering
1. Ưu điểm
- Trong suốt
- Có thể lọc bất cứ dịch vụ nào dùng các giao thức mà Firewall hỗ trợ
- Chỉ cần một Screening Router là có thể bảo vệ cả mạng : Đây là một ưu điểm chính của
Packet Filtering vì nó là đơn lẻ, không phải thay đổi các host trong mạng bảo vệ khi thay đổi qui mô
của mạng.
- Không như Proxy nó không yêu cầu phải học cách sử dụng.
2.Nhược điểm
- Cần phải hiểu rõ mạng được bảo vệ và các giao thức được sử dụng trên mạng
- Không có sự xác thực người sử dụng, việc lọc gói tin chỉ dựa trên địa chỉ mạng của hệ thống
phần cứng
- Không che giấu kiến trúc bên trong của mạng cần bảo vệ
- Không bảo vệ chống lại các yếu điểm của các dịch vụ không lọc
- Với giao thức DHCP thì kết quả lọc sẽ không chuẩn xác
- Một số giao thức không phù hợp với bộ lọc gói.
2.3.2 Proxy
a. Khái niệm
Các host có đường kết nối trực tiếp với mạng bên ngoài để thực hiện cung cấp một số dịch vụ
cho các host khác trong mạng cần bảo vệ được gọi là các Proxy. Các Proxy thực sự như hoạt động
như các gateway đối với các dịch vụ. Do vậy nó còn được gọi là các Application – level gateways
Tính trong suốt đối với người dùng là lợi ích của Proxy. Proxy sẽ thu thập các yêu cầu dịch vụ
của các host client và kiểm tra các yêu cầu này nếu thoả mãn thì nó đưa đến các server thích hợp sau
đó nhận các trả lời và trả lại cho client.
Hình 9 : Proxy Server

-----------------------------------------------------------------
Proxy chạy trên Dual-home host hoặc Bastion host. Tất cả các host trong mạng nội bộ muốn
truy cập vào Internet đều phải qua Proxy, do đó ta có thể thực hiện một số chính sách an ninh cho
mạng như ghi log file, đặt quyền truy nhập…
b. Ưu nhược điểm của Proxy
1. Ưu điểm
- Dễ định nghĩa các luật an toàn
- Thực hiện xác thực người sử dụng
- Có thể che dấu được kiến trúc bên trong của mạng cần bảo vệ
- Tính trong suốt với người sử dụng
- Dễ dàng ghi lại các log file
2. Nhược điểm
- Yêu cầu người quản trị hệ thống cao hơn Packet Filtering
- Không sử dụng được cho các dịch vụ mới
- Mỗi dịch vụ cần một một Proxy riêng
- Proxy không thực hiện được đối với một số dịch vụ.
c. Các hoạt động của Proxy

Thông thường các dịch vụ, Proxy yêu cầu phần mềm Proxy tương ứng với phía Server, còn đối
với phía client, nó đòi hỏi những điều sau :
- Phần mềm khách hàng ( Custom client software ): Theo cách tiếp cận này thì khi có yêu cầu
từ khách hàng thì phần mềm này sẽ kết nối với Proxy chứ không kết nối trực tiếp với Server và chỉ
cho Proxy biết địa chỉ của Server cần kết nối.
- Thủ tục người sử dụng ( Custom user procedures ): tức là người sử dụng dùng phần mềm
client tiêu chuẩn để kết nối với Proxy server và yêu cầu nó kết nối đến server thực sự.
d. Phân loại Proxy

Có rất nhiều tiêu chí để phân loại các Proxy, có thể chia Proxy ra các loại sau :
+ Application-level & Circuit –level Proxy
Là một dạng Proxy mà nó biết được các ứng dụng cụ thể mà nó phục vụ. Application – Level
Proxy hiểu và thông dịch các lệnh ở giao thức tầng ứng dụng. Ví dụ như ứng dụng Sendmail.
Circuit –level Proxy là một Proxy có thể tạo ra đường kết nối giữa client và server mà không thông
dịch các lệnh của giao thức ở tầng ứng dụng. Một dạng Circuit- level Proxy phổ biến là hybrid
proxy gateway. Nó có vai trò như như một proxy với mạng phía ngoài nhưng lại như một packet
filtering đối với mạng phía trong.
Nhìn chung thì Application – level Proxy sử dụng thủ tục người sử dụng còn Circuit-level
Proxy sử dụng phần mềm client. Application – level Proxy có thể nhận các thông tin từ bên ngoài
thông qua các giao thức tầng ứng dụng còn Circuit –level Proxy không thể thông dịch các được các
giao thức tầng ứng dụng và cần phải cung cấp thêm thông tin để có thể cho dữ liệu đi qua. Ưu điểm
của nó là cung cấp dịch vụ cho nhiều giao thức khác nhau. Hầu hết các Circuit-level Proxy đều ở
dạng Proxy tổng quát, tức là có thể phù hợp với hầu hết các giao thức. Nhưng nhược điểm của nó là
cung cấp ít các đii\ều khiển trên Proxy và dễ dàng bị đánh lừa bằng cách gán các dịch vụ phổ biến
vào các cổng khác các cổng mà chúng thường sử dụng.
+ Generic Proxy & Dedicated Proxy
Mặc dù hai khái niệm Application –level Proxy và Circuit-level Proxy thường được sử dụng
nhưng chúng ta vẫn thường phân biệt giữa “Dedicated Proxy Server:”và “Generic Proxy Server”

-----------------------------------------------------------------
hay Proxy chuyên dụng và Proxy tổng quát. Một Dedicate Proxy Server chỉ phục vụ cho một giao
thức , còn Generic Proxy Server lại phục vụ cho nhiều giao thức. Ta thấy ngay Application –level
Proxy là một dạng Dedicate Proxy Server còn Circuit-level Proxy là một dạng Genneric Proxy
Server.
+Proxy thông minh
Một Proxy server có thể làm nhiều việc hơn là chỉ đơn giản chuyển tiếp các yêu cầu từ client –
Proxy đó được gọi là Proxy server thông minh. Ví dụ như CERN HTTP Proxy hay Squid Proxy có
khả năng cache dữ liệu do đó khi có nhiều request cho cùng một dữ liệu thì không phải ra bên ngoài
nữa mà có trả kết quả đã được cache ngay cho ngươpì sử dụng. Vì vậy có thể tiết kiệm được thời
gian à chi phí đường truyền. Các proxy này cung cấp các khả năng ghi nhật ký và điều khiển truy
nhập tốt hơn là thực hiện bằng các biện pháp khác.
e. Sử dụng Proxy với các dịch vụ Internet

Do Proxy can thiệp vào nhiều quá trình truyền thông giữa ckient và server,do đó nó phải thích
ứng được với nhều dịch vụ. Một vài dịch vụ hoạt động một cách đơn giản, nhưng khi có thêm Proxy
thì nó hoạt động phức tạp hơn rất nhiều. Dịch vụ lý tưởng để sử dụng Proxy là tạo kết nối TCP chỉ
theo một hướng, có bộ lệnh an toàn. Do vậy thực hiện Proxy cho giao thức TCP hoàn toàn đơn giản
hơn so với giao thức UDP, riêng với giao thức ở tầng dưới như ICMP thì hầu như không thực hiện
được Proxy.
2.3.3 Network Address Translation
Hình 10: Chuyển đổi địa chỉ mạng

Ban đầu NAT được đưa ra để tiết kiệm các địa chỉ IP. Bởi địa chỉ IP có 32 bít cấp cho các đơn
vị sẽ trở lên cạn kiệt nhanh chóng Nhưng NAT đã đem lại một số tác dụng bất ngờ so với mục đích
ban đầu khi thiết kế nó.
Với NAT tất cả các máy tính thuộc mạng trong có một địa chỉ IP thuộc một dải các địa chỉ IP
riêng ví dụ 10.0.0.0/8 mà các dịa chỉ này không sử dụng trên mạng Internet. Khi một máy thuộc
mạng trong muốn kết nối ra Internet thì NAT computer sẽ thay thế địa chỉ IP riêng ( ví dụ 10.65.1.7)
bằng địa chỉ IP được nhà ISPs cung cấp chẳng hạn.( ví dụ 23.1.8.3 )và khi đó gói tin sẽ được gửi đi
với địa chỉ IP là 23.1.8.3 và khi nhận tin thì nó thay đổi đại chỉ IP đích để chúng ta thu được :
10.65.1.7 Ta có mô hình của Network Address Translation như hình trên.

-----------------------------------------------------------------
Sở dĩ NAT tiết kiệm tài nguyên địa chỉ IP vì địa chỉ cho các host trong mạng nội bộ của các tổ
chức có thể hoàn giống nhau.
Trong trường hợp có nhiều hơn một máy tính trong mạng nội bộ cần kết nối ra ngoài Internet
đồng thời thì máy tính NAT phải có nhiều địa chỉ IP công cộng, với mỗi địa chỉ này cho một máy
tính trong mạng nội bộ. Với các dịch vụ NAT ngày nay thì máy tính NAT chỉ cần một địa chỉ IP
công cộng bởi vì ngoài việc biến đổi địa chỉ IP thì nó còn thay đổi số hiệu cổng và mỗi máy trong
mạng cục bộ sẽ được thay đôi với một số hiệu cổng khác nhau. Vì có khoảng 65355 số hiệu cổng
khác nhau nên một máy tính NAT có thể quản lý một mạng cục bộ với hàng ngàn máy tính. Kỹ
thuật thay đổi số hiệu cổng được gọi là chuyển đổi địa chỉ cổng mạng – Network Address Port
Translation ( NAPT ).
Qua đây ta cũng thấy tính bảo mật của NAT đó là: Nó có khả năng dấu đi địa chỉ IP của các
máy tính thuộc mạng cần bảo vệ. Đây cũng chính là một ưu điểm mà firewall đã tận dụng, khi đó
thế giới bên ngoài chỉ có thể thấy giao diện mạng với địa chỉ IP công cộng.
2.3.4 Theo dõi và ghi chép ( Monitoring and Logging )

Mục đích của theo dõi và ghi chép là giúp người quản trị biết các module trong hệ thống
Firewall có hoạt động đúng như mong đợi hay không? Có chắc chắn rằng Packet Filtering lọc các
gói tin có tin cậy?
NAT có dấu được các địa chỉ IP của các host trong mạng nội bộ không? Proxy ứng dụng có
chia rẽ được mạng bên trong cần bảo vệ với mạng bên ngoài không ?
Ngoài ra nó còn cho ta biết các kết nối hiện tại trong hệ thống, thông tin về các gói tin bị loại
bỏ, máy tính nào đang cố gắng xâm nhập vào hệ thống của ta. Sau đây là bốn lý do để Firewall thực
hiện chức năng theo dõi và ghi chép:
+ Các thông tin báo cáo hữu ích: Chúng ta muốn tổng hợp các thông tin để biết hiệu năng
của hệ thống Firewall, các thông tin trạng thái và thậm chí là sự thay đổi các account của người
dùng với các dịch vụ.
+ Phát hiện xâm nhập: Nếu để một hacker thâm nhập vào mạng của chúng ta hacker này có
đủ thời gian ở lại trong đó thực hiện các hành động gây tổn thương cho hệ thống. Sự theo dõi
thường xuyên các log files có thể giúp phát hiện các manh mối để đưa ra các chứng cứ giúp phát
hiện sự xâm nhập vào mạng của chúng ta.
+ Khám phá các phương pháp tấn công mới: Khi chúng ta phát hiện thành công sự xâm
nhập thì chúng ta vẫn cần phải chắc chắn rằng hacker đã dừng lại và không thể thực hiện lại một lần
nữa theo đúng cách mà hắn đã dùng lúc trước. Điều này yêu cầu chúng ta phải phân tích kỹ càng tất
cả các log files. Với hy vọng rằng chúng ta sẽ phát hiện ra các dấu vết mà hacker từ đó đi vào mạng
của ta và lần đầu tiên xâm nhập vào mạng của ta là khi nào. Cũng từ những thông tin phân tích được
chúng ta có thể phát hiện ra các ứng dụng Trojan horse mà nó được cài đặt trong hệ thống của chúng
ta.
+ Các chứng cứ pháp lý: Một lợi ích mở rộng của các log files là tạo ra các chứng cứ có tính
pháp lý. Các log files là các chứng cứ cho biết lần đầu xâm nhập hệ thống của hacker và những hành
động tiếp theo của hacker tác động vào hệ thống.

-----------------------------------------------------------------
Chương 3: Nghiên cứu các Giải pháp Checkpoint Gateway Security
3.1.Mô hình Mạng
Hình11 : Mô hình Checkpoint
1 Gateway Security
2 Internet
3 SmartDashboard và Máy chủ quản lí an ninh
4 HTTP Proxy
5 Mail Server
6 Active Directory
7 SmartView Tracker và Smart Event
3.2. Giới thiệu Checkpoint Firewall Gateway Security

Kiến trúc Check Point Software Blades
Môi trường an ninh ngày càng trở nên phức tạp hơn khi các doanh nghiệp với qui mô khác
nhau buộc phài phòng thủ chống lại những nguy cơ mới và đa dạng. Cùng với những mối đe dọa
mới xuất hiện, là các giải pháp an ninh mới, các nhà cung cấp mới, phần cứng đắt tiền và gia tăng
độ phức tạp. Khi ngành IT phải chịu áp lực ngày càng tăng để làm được nhiều hơn với nguồn lực
và phần cứng đang có, thì phương pháp tiếp cận này sẽ ngày càng không thể chấp nhận được.
Kiến trúc Software Blade của Check Point đề xuất một cách thức tốt hơn, cho phép các tổ
chức “cắt may” một cách hiệu quả các giải pháp mục tiêu, phù hợp các nhu cầu an ninh doanh

-----------------------------------------------------------------
nghiệp đề ra. Toàn bộ các giải pháp được quản lý tập trung thông qua bàn điều khiền duy nhất
nhằm hạn chế sự phức tạp và quá tải vận hành. Với tư cách một ứng cứu khẩn cấp các mối đe dọa,
kiến trúc Software Blade của Check Point mở rộng các dịch vụ một cách nhanh chóng và linh hoạt
khi cần thiết mà không cần bổ sung phần cứng hay tăng độ phức tạp.
Check Point Software Blades là kiến trúc đầu tiên, cũng là duy nhất trong ngành nhằm cung
cấp an ninh mạng một cách linh hoạt và quản trị tập trung cho các công ty có qui mô bất kỳ. Với khả
năng chưa từng thấy này, Check Point Software Blades cung cấp sự bảo vệ với giá sở hữu thấp và
giá thành hợp lý mà vẫn có thế đáp ứng bất kỳ nhu cầu an ninh mạng nào, hôm nay và trong tương
lai.
Software blade là gì?

Software blade là một khối kiến trúc an ninh logic có tính độc lập, modull hóa và quản lý tập
trung. Software Blades có thể được sẵn sàng và cấu hình theo một giải pháp dựa trên những nhu cầu
kinh doanh cụ thể. Và khi có nhu cầu, các blades bổ sung có thể được kích hoạt để mở rộng an ninh
cho cấu hình sẵn có bên trong cùng một cơ sở phần cứng.
Những lợi ích chính của Kiến trúc Check Point Software Blade
+Tính linh hoạt - Cung cấp một mức độ an ninh phù hợp với mức độ đầu tư
+Khả năng điều khiển – Cho phép triển khai nhanh các dịch vụ an ninh. Tăng cường hiệu suất
làm việc thông qua quản trị blade tập trung.
+An Ninh Toàn diện – Cung cấp mức độ an ninh phù hợp, trên tất cả các điểm thực thi, và toàn
bộ các lớp mạng.
+Tổng giá thành sở hữu (TCO) thấp – Bảo vệ sự đầu tư thông qua củng cố và sử dụng hạ tầng
phần cứng đang có.
+Năng suất đảm bảo – Cho phép dự phòng tài nguyên nhằm bảo đảm các mức độ dịch vụ.
Security Gateway Software Blades

+Firewall -Trường lửa được thử thách nhất bảo vệ cho hơn 200 ứng dụng, giao thức và dịch vụ
với tính năng công nghệ kiểm soát thích ứng và thông minh nhất.
+IPsec VPN – kết nối an toàn cho văn phòng và người dùng cuối thông qua VPN Site-to-Site
được quản lý truy cập từ xa mềm dẻo.
+IPS – Giải pháp phòng chống xâm nhập IPS tích hợp hiệu năng cao nhất với tầm bao phủ các
nguy cơ tốt nhất
+Web Security – Bảo vệ tiên tiến cho toàn bộ môi trường Web đặc trưng bởi sự bảo vệ mạnh
nhất chống lại các tấn công tràn bộ đệm.
+URL Filtering – Bộ lọc Web thuộc hạng tốt nhất bao phủ hơn 20 triệu URLs, bảo vệ người
dùng và doanh nghiệp bằng cách cấm truy cập tới các trang Web nguy hiểm.
+Antivirus & Anti-Malware – Bảo vệ diệt virus hàng đầu bao gồm phân tích virus heuristic,
ngăn chặn virus, sâu và các malware khác tại cổng.
+Anti-Spam & Email Security – Bảo vệ đa hướng cho hạ tầng thư tín, ngăn chặn spam, bảo vệ
các servers và hạn chế tấn công qua email.
+Advanced Networking – Bổ sung định tuyến động, hỗ trợ multicast và Quality of Service
(QOS) cho các cổng an ninh.
+Acceleration & Clustering – Công nghệ được cấp bằng SecureXL và ClusterXL cung cấp sự
kiểm soát packet nhanh như chớp, tính sẵn sàng cao và cân bằng tải.

-----------------------------------------------------------------
+Voice over IP - Có hơn 60 phòng thủ ứng dụng VoIP và các phương pháp QoS tiên tiến bảo
vệ hạ tầng VoIP khỏi các cuộc tấn công như dạng tấn công từ chối dịch vụ trong khi cung cấp thoại
chất lượng cao.
Security Management Blades

+Network Policy Management – Quản lý chính sách an ninh mạng toàn diện cho các cổng
Check Point và blades thông qua SmartDashboard, là bàn điều khiển đơn hợp nhất.
+Endpoint Policy Management – Triển khai, quản trị, giám sát tập trung và ép buộc chính sách
an ninh cho toàn bộ các thiết bị đầu cuối trên toàn tổ chức qui mô bất kỳ.
+Logging & Status – Thông tin toàn diện ở dạng nhật ký (logs) và bức tranh toàn cảnh của
những thay đổi trên các cổng, các kênh (tunnels), những người dùng từ xa và các hoạt động bảo mật.
+Monitoring – Cái nhìn tổng thể của mạng và năng xuất an ninh, cho phép ứng xử nhanh
chóng các thay đổi trong mẫu lưu thông và các sự kiện an ninh.
+Management Portal – Mở rộng tầm nhìn dựa trên trình duyệt của các chính sách an toàn an
ninh tới các nhóm bên ngoài như lực lượng hỗ trợ chẳng hạn trong khi vẫn bảo đảm kiểm soát chính
sách tập trung.
+User Directory – Cho phép các cổng Check Point có tác dụng đòn bẩy với các kho thông tin
người dùng trên cơ sở LDAP, hạn chế các rủi ro liên quan việc bảo trì và đồng bộ bằng tay các kho
dữ liệu dư thừa.
+IPS Event Analysis – Hệ thống quản lý sự kiện hoàn chỉnh cung cấp khả năng nhìn thấy các
tình thế, dễ dàng cho việc áp dụng các công cụ chứng cứ, báo cáo.
+Provisioning – Cung ứng quản trị tập trung và dự phòng của các thiết bị an ninh Check Point
thông qua bàn điều khiển quản trị đơn nhất.
+Reporting – Chuyển phần lớn dữ liệu mạng và an ninh sang dạng đồ họa, các báo cáo dễ hiểu.
+Event Correlation – So sánh và quản lý tương quan các sự kiện một cách tập trung và theo
thời gian thực đối với các thiết bị Check Point và của các hãng thứ 3.
3. Cài đặt
Cài đặt Server Checkpoint Gaia R77 với VMWare

-----------------------------------------------------------------
`
Hình 12: Install Checkpoint Gaia R77
Hình 13: Welcome Checkpoint R77

-----------------------------------------------------------------
Hình 14: Phân vùng ổ đĩa
Hình 15: Đặt password account

-----------------------------------------------------------------
Hình 16: Điền địa chỉ interface
Hình 17 : Hoàn thành cài đặt Checkpoint R77
Cấu hình Server Checkpoint Gaia R77 bằng giao diện Web UI

-----------------------------------------------------------------
Hình 18: Cấu hình Web UI Checkpoint R77
Hình 19 : Welcome to the

-----------------------------------------------------------------
Hình 20 : Kiểm tra lại cấu hình IP
Hình 21: Đặt Host Name và DNS

-----------------------------------------------------------------
Hình 22: Finish
Hình 23: Giao diện quản lý Web UI Checkpoint R77

-----------------------------------------------------------------
Hình 24 : Server Checkpoint R77
4. Các thành phần của Smart Dashboard
Hình 25 : Giao diện Quản lý Checkpoint SmartDashboard R77

-----------------------------------------------------------------
Hình 26: Đăng nhập SmartDashboard
1.Anti Spam-Mail
Giới thiệu về Anti-Spam và Mail Security:

Sự phát triển không ngừng và chưa từng có trong email không mong muốn bây giờ đặt ra một
mối đe dọa an ninh bất ngờ mạng. Như số lượng tài nguyên (không gian đĩa, băng thông mạng, CPU)
dành cho xử lý email không mong muốn tăng từ năm này sang năm, nhân viên lãng phí nhiều thời
gian phân loại thông qua email số lượng lớn không mong muốn thường được gọi là thư rác. Anti-
Spam và Mail cung cấp quản trị mạng với một cách dễ dàng và trung tâm để loại bỏ hầu hết các thư
rác đạt mạng của họ.
Anti-Spam và Mail tính năng:
Content based Anti-Spam Cốt lõi của các chức năng Anti-Spam là
nội dung dựa trên phân loại Nội dung Mail
IP Reputation Anti-Spam Sử dụng dịch vụ danh tiếng IP, hầu hết
các thư rác gửi đến bị chặn tại thời gian kết nối
Block List Anti-Spam Chặn người gửi cụ thể dựa trên địa chỉ IP
hoặc địa chỉ của người gửi
Mail Anti-Virus Quét và lọc mail cho phần mềm độc hại
Zero Hour Malware Protection Lọc mail sử dụng chữ ký phản ứng nhanh
IPS Hệ thống phòng chống xâm nhập để bảo
-----------------------------------------------------------------
vệ thư
Hình 27: Giao diện Cấu hình dịch vụ Anti-Spam & Mail
2. Data Loss Prevention
Nhu cầu Chống suy hao Dữ liệu

Dữ liệu ngày nay dễ tiếp cận hơn và chuyển nhượng hơn bao giờ hết, và phần lớn các dữ liệu
nhạy cảm tại mức độ khác nhau. Một số được giữ bí mật đơn giản chỉ vì nó là một phần của một tổ
chức nội bộ và không có nghĩa là sẽ có sẵn cho công chúng. Một số dữ liệu nhạy cảm do yêu cầu
của công ty, luật pháp quốc gia, và quy định quốc tế. Thường giá trị của dữ liệu phụ thuộc vào nó bí
mật còn lại - xem xét sở hữu trí tuệ và cạnh tranh.
Rò rỉ dữ liệu của bạn có thể xấu hổ hoặc tệ hơn, chi phí cạnh công nghiệp hoặc mất tài khoản.
Cho phép tổ chức của bạn để hành động không tuân thủ các hành vi riêng tư và các luật khác có thể
tồi tệ hơn lúng túng - sự toàn vẹn của tổ chức của bạn có thể bị đe dọa.
Bạn muốn bảo vệ sự riêng tư của tổ chức của bạn, nhưng với tất cả các công cụ để chia sẻ dễ
dàng hơn thông tin, nó dễ dàng hơn để làm cho một sai lầm không thu hồi được. Để làm cho vấn đề
phức tạp hơn, cùng với mức độ nghiêm trọng của rò rỉ dữ liệu, bây giờ chúng tôi có các công cụ mà
vốn đã làm cho nó dễ dàng hơn để xảy ra: máy chủ đám mây, tài liệu của Google, và lạm dụng
không chủ ý đơn giản các thủ tục công ty - như một nhân viên đem về nhà làm việc. Trong thực tế,
hầu hết các trường hợp rò rỉ dữ liệu xảy ra do rò rỉ không chủ ý.
Giải pháp tốt nhất để ngăn chặn rò rỉ dữ liệu không chủ ý là để thực hiện một chính sách tự
động của công ty đó sẽ bắt bảo vệ dữ liệu trước khi nó rời khỏi tổ chức của bạn. Một giải pháp như
vậy được gọi là dữ liệu Loss Prevention (DLP). Nhận diện phòng chống mất dữ liệu, màn hình, và
bảo vệ truyền dữ liệu thông qua kiểm tra nội dung sâu sắc và phân tích các thông số giao dịch
-----------------------------------------------------------------
(chẳng hạn như nguồn, đích, đối tượng dữ liệu, và giao thức), với một khuôn khổ quản lý tập trung.
Trong ngắn hạn, DLP phát hiện và ngăn chặn việc truyền tải trái phép thông tin bí mật.
Phòng chống mất dữ liệu còn được gọi là dữ liệu rò rỉ phòng chống, phát hiện rò rỉ thông tin
và phòng chống, thông tin rò rỉ phòng chống, giám sát nội dung và lọc, và đùn Phòng ngừa.
Lợi ích phòng chống mất dữ liệu

Check Point DLP tiết kiệm thời gian và cải thiện đáng kể thu nhập từ đầu. Công nghệ tiên tiến
của nó cung cấp tự động hóa mà phủ nhận sự cần thiết phải phân tích dài và tốn kém và một nhóm
để xử lý sự cố. Bây giờ bạn có thể di chuyển từ một chính sách phát hiện chỉ với một chính sách
phòng ngừa chính xác và hiệu quả mà không đưa vào tư vấn bên ngoài hoặc thuê một đội ngũ an
ninh.
Tất cả các chức năng này có thể dễ dàng quản lý thông qua SmartDashboard, trong một giao
diện tương tự như khác Phần mềm Blades. Bạn sẽ không phải là một chuyên gia DLP từ ngày triển
khai. Check Point dữ liệu Loss Prevention hướng dẫn bạn làm thế nào để tùy chỉnh và cải thiện
chính sách DLP của bạn - với Cải thiện độ chính xác cờ, ví dụ. DLP Phần mềm Blade đi kèm với
một số lượng lớn được xây dựng trong các kiểu dữ liệu có thể được nhanh chóng áp dụng một chính
sách mặc định. Bạn có thể tinh chỉnh các chính sách out-of-the-box để dễ dàng chuyển đổi bảo mật
và tính toàn vẹn hướng dẫn của tổ chức của bạn thành những quy tắc tự động. Và sau đó, bạn có thể
tạo Các loại dữ liệu của riêng bạn. Chu kỳ này của việc cập nhật chính sách, di chuyển từ một chính
sách phát hiện một phòng ngừa chính sách, gần với các công cụ giám sát mạnh mẽ - Check Point
SmartEvent.
Hình 28: Giao diện Cấu hình Dịch vụ Data Loss Prevention
3. Firewall
Tổng quan về tính năng Firewall
Tường lửa kiểm soát lưu lượng giữa các mạng nội bộ và bên ngoài và là cốt lõi của một mạng
lưới mạnh mẽ chính sách bảo mật. Check Point Software Blades là một tập hợp các tính năng bảo
mật mà làm cho chắc chắn rằng an ninh Gateway hoặc an ninh quản lý máy chủ cung cấp cho các
chức năng chính xác và hiệu suất. Check Point Firewall là một phần của kiến trúc Blade Phần mềm
cung cấp "thế hệ tiếp theo" tính năng tường lửa, bao gồm:
-----------------------------------------------------------------
• VPN và thiết bị di động kết nối
• Danh tính và máy tính nhận thức
• Truy cập internet và lọc
• Kiểm soát ứng dụng
• Phòng chống xâm nhập và đe dọa
• Phòng chống mất dữ liệu
Hình 29: Giao diện Cấu hình Dịch vụ Firewall
4. Intrusion Prevention System

Lớp bảo vệ
Các lớp của động cơ IPS bao gồm:
Phát hiện và ngăn chặn khai thác cụ thể được biết đến.
Phát hiện và ngăn chặn các lỗ hổng, bao gồm cả hai biết và chưa biết khai thác các công cụ,
ví dụ bảo vệ khỏi CVEs cụ thể.
Phát hiện và phòng chống lạm dụng giao thức mà trong nhiều trường hợp chỉ hoạt động
nguy hiểm hoặc mối đe dọa tiềm năng. Ví dụ về các giao thức thường được chế tác là HTTP, SMTP,
POP, và IMAP.
Phát hiện và ngăn chặn phần mềm độc hại của thông tin liên lạc ra bên ngoài.
Phát hiện và ngăn chặn các nỗ lực đường hầm. Những nỗ lực này có thể chỉ ra rò rỉ dữ liệu
hoặc nỗ lực để phá vỡ các biện pháp an ninh khác như lọc web.
Phát hiện, ngăn ngừa hoặc hạn chế của một số ứng dụng mà trong nhiều trường hợp, là
băng thông tiêu thụ hoặc có thể gây ra mối đe dọa an ninh mạng, chẳng hạn như Peer to Peer và Tin
nhắn tức thì các ứng dụng.
Phát hiện và ngăn chặn kiểu tấn công chung chung mà không có chữ ký được xác định
trước, chẳng hạn như độc hại Mã bảo vệ. IPS có bảo hiểm sâu sắc về rất nhiều giao thức với hàng
-----------------------------------------------------------------
ngàn bảo vệ. Kiểm tra điểm liên tục Cập nhật thư viện của bảo vệ ở phía trước của các mối đe dọa
đang nổi lên.
Khả năng của IPS

Khả năng độc đáo của Check Point IPS bao gồm:
Rõ ràng, giao diện quản lý đơn giản
Giảm chi phí quản lý bằng cách sử dụng một giao diện điều khiển quản lý cho tất cả các sản
phẩm Check Point
Quản lý tổng hợp với SmartDashboard.
Dễ dàng chuyển hướng từ tổng quan kinh doanh cao nhất đối với gói chụp cho một cuộc
tấn công đơn
Lên đến 15 Gbps thông với an ninh tối ưu hóa, và lên đến 2,5 Gbps thông với tất cả IPS bảo
vệ được kích hoạt
# 1 bảo hiểm bảo mật cho Microsoft và Adobe lỗ hổng
Điều tiết nguồn lực để hoạt động IPS cao sẽ không ảnh hưởng đến chức năng lưỡi khác
Hoàn chỉnh tích hợp với cấu hình Check Point và các công cụ giám sát, chẳng hạn như
SmartEvent, SmartView Tracker và SmartDashboard, để cho bạn hành động ngay lập tức dựa trên
thông tin IPS
Hình 30: Giao diện Cấu hình dịch vụ IPS
5. Threat Prevention
Sử dụng mối đe dọa phần mềm phòng chống Blades
Để thách thức cảnh quan phần mềm độc hại hiện nay, giải pháp phòng chống mối đe dọa toàn
diện Check Point cung cấp một nhiều lớp, trước và sau khi nhiễm phương pháp tiếp cận phòng thủ
và một nền tảng hợp nhất cho phép doanh nghiệp an ninh để đối phó với phần mềm độc hại hiện đại:
Mối đe dọa Thi đua - Dừng phần mềm độc hại chưa được biết, các cuộc tấn công nhắm
mục tiêu, và các cuộc tấn công zero-day
Anti-Virus - Pre-nhiễm chặn các virus đã biết và chuyển tập tin
-----------------------------------------------------------------
Chống Bot - phát hiện bot sau nhiễm trùng, phòng ngừa, và khả năng hiển thị mối đe dọa.
Mỗi Blade Phần mềm cung cấp cho bảo vệ mạng duy nhất và họ có thể được kết hợp để cung
cấp một mạnh mẽ giải pháp phần mềm độc hại. Dữ liệu từ các cuộc tấn công độc hại được chia sẻ
giữa các mối đe dọa phần mềm phòng chống Blade và giúp đỡ để giữ cho mạng của bạn an toàn. Ví
dụ, chữ ký từ mối đe dọa được xác định bởi mối đe dọa Thi đua được thêm vào cơ sở dữ liệu Anti-
Virus.
Phòng chống các mối đe dọa phần mềm Blades sử dụng một cài đặt chính sách riêng biệt để
giảm thiểu rủi ro và hoạt động tác động. Họ cũng được tích hợp với phần mềm khác Blades trên
Cổng an ninh để phát hiện và ngăn chặn mối đe dọa
Phân tích mối đe dọa

SmartView Tracker và SmartEvent cho phép bạn dễ dàng điều tra nhiễm trùng và đánh giá
thiệt hại.
Số liệu thống kê nhiễm trùng và các bản ghi hiển thị thông tin chi tiết cho mỗi sự cố hoặc máy
chủ bị nhiễm bệnh và một thời gian lựa chọn khoảng thời gian (giờ cuối cùng, ngày, tuần, tháng).
Chúng cũng cho thấy đội chủ nhà quét, số lượng các file bị nhiễm và các phần mềm độc hại được
phát hiện.
Quan điểm hoạt động phần mềm độc hại cung cấp cho bạn cái nhìn sâu sắc như đến các khu
vực có nguồn gốc của phần mềm độc hại, các khu công nghiệp tương ứng của họ và URL, và các
email gửi đi đã được quét.
Các mối đe dọa Wiki hiển thị thông tin phần mềm độc hại rộng rãi. Nó bao gồm các loại phần
mềm độc hại, mô tả, và tất cả chi tiết có sẵn như thực thi chạy và sử dụng các giao thức
Hình 31: Giao diện Cấu hình dịch vụ Threat Prevention
6. Application Control & URL Filtering

Nhu cầu kiểm soát ứng dụng
Việc áp dụng các phương tiện truyền thông xã hội và các ứng dụng Web 2.0 thay đổi cách mọi
người sử dụng Internet. Hơn hơn bao giờ hết, các doanh nghiệp phải vật lộn để theo kịp với những
thách thức an ninh.
Việc sử dụng các ứng dụng Internet tạo ra một tập mới của những thách thức. Ví dụ:

-----------------------------------------------------------------
• Các mối đe dọa phần mềm độc hại - sử dụng ứng dụng có thể mở mạng để các mối đe dọa từ
phần mềm độc hại. Ứng dụng phổ biến như Twitter, Facebook, YouTube và có thể gây ra người
dùng tải virus vô ý. Chia sẻ tập tin có thể dễ dàng gây ra phần mềm độc hại được tải về vào mạng
của bạn.
• Hogging băng thông - ứng dụng sử dụng rất nhiều băng thông, ví dụ, phương tiện truyền
thông, có thể hạn chế băng thông có sẵn cho các ứng dụng kinh doanh quan trọng.
• Mất suất - Nhân viên có thể dành nhiều thời gian trên mạng xã hội và các ứng dụng khác mà
có thể giảm nghiêm trọng năng suất kinh doanh.
Sử dụng lao động không biết những gì nhân viên đang làm trên internet và làm thế nào sử
dụng đó ảnh hưởng đến họ.
Nhu cầu URL Filtering

Như với các ứng dụng điều khiển, truy cập vào internet và không làm việc liên quan đến trang
web của trình duyệt có thể mở mạng với một loạt các mối đe dọa an ninh và có tác động tiêu cực
đến năng suất lao động.
Bạn có thể sử dụng URL Filtering để:
• Kiểm soát nhân viên truy cập internet đến các trang web không thích hợp và bất hợp pháp
• Vấn đề kiểm soát băng thông
• Giảm trách nhiệm pháp lý
• Cải thiện an ninh tổ chức.
Khi URL lọc được thiết lập, dữ liệu nhân viên được giữ kín khi cố gắng xác định một loại
trang web. Chỉ phần host của URL được gửi đến Check Point Dịch vụ trực tuyến Web. Dữ liệu này
cũng được mã hóa.
Các tính năng chính

+Hạt kiểm soát ứng dụng - Xác định, cho phép, hoặc chặn hàng ngàn ứng dụng và các trang
web internet. Điều này cung cấp bảo vệ chống lại mối đe dọa ngày càng tăng các vectơ và phần
mềm độc hại được giới thiệu bởi internet các ứng dụng và các trang web.
+ Thư viện ứng dụng lớn nhất với AppWiki - điều khiển ứng dụng toàn diện có sử dụng các
ngành công nghiệp thư viện ứng dụng lớn nhất. Nó sẽ quét và phát hiện hơn 4.500 ứng dụng và hơn
100.000 Web 2.0 vật dụng và chuyên mục.
+ Tích hợp vào Security Gateway - Kích hoạt ứng dụng kiểm soát và lọc URL về an ninh
Cổng bao gồm cả thiết bị UTM-1, Power-1, gia dụng IP, và gia dụng IAS.
+ Quản lý trung tâm - Cho phép bạn quản lý tập trung các chính sách an ninh kiểm soát ứng
dụng và URL Lọc từ một giao diện điều khiển thân thiện cho việc quản lý dễ dàng.
+ SmartEvent Phân tích - Sử dụng SmartEvent tiên tiến khả năng phân tích để hiểu ứng dụng
của bạn và lưu lượng truy cập trang web với bộ lọc, biểu đồ, báo cáo, thống kê, và nhiều hơn nữa,
của tất cả các sự kiện đi qua kích hoạt Security Gateway

-----------------------------------------------------------------
Hình 32: Giao diện Cấu hình Dịch vụ Application & URL Filtering
7. QoS (Quality of Services)

Giải pháp QoS
QoS là một giải pháp quản lý QoS dựa trên chính sách từ Check Point Software Technologies
Ltd, đáp ứng nhu cầu của bạn cho một giải pháp quản lý băng thông. QoS là một độc đáo, phần
mềm chỉ dựa trên ứng dụng đó quản lý giao thông end-to-end trên mạng, bằng cách phân phối thực
thi trong suốt phần cứng mạng và phần mềm.
QoS cho phép bạn ưu tiên lưu lượng kinh doanh quan trọng, chẳng hạn như hệ thống ERP, cơ
sở dữ liệu và các dịch vụ Web giao thông, trên ít giao thông thời gian quan trọng. QoS cho phép bạn
để đảm bảo băng thông và kiểm soát độ trễ cho các tuyến các ứng dụng, chẳng hạn như thoại qua IP
(VoIP) và hội nghị truyền hình. Với các điều khiển dạng hạt cao, QoS cũng cho phép đảm bảo hoặc
ưu tiên truy cập cho người lao động cụ thể, ngay cả khi họ truy cập từ xa mạng nguồn lực thông qua
một đường hầm VPN.
QoS được triển khai với Gateway Security. Các giải pháp tích hợp cung cấp QoS cho cả VPN
và giao thông không được mã hóa để tối đa hóa lợi ích của một, đáng tin cậy, mạng VPN an toàn
chi phí thấp.
Tính năng và lợi ích

• Chính sách QoS linh hoạt với trọng lượng, giới hạn và đảm bảo: QoS cho phép bạn phát triển
các chính sách cơ bản cụ thể yêu cầu của bạn. Các chính sách cơ bản có thể được sửa đổi bất cứ lúc
nào để kết hợp bất kỳ của Nâng cao tính năng QoS được mô tả trong phần này.
• Tích hợp với Cổng an ninh: Tối ưu hóa hiệu suất mạng cho VPN và giao thông không được
mã hóa: Sự tích hợp của các chính sách an ninh và quản lý băng thông của một tổ chức chính sách
cho phép dễ dàng hơn định nghĩa và cấu hình hệ thống.
• Phân tích hiệu suất thông qua SmartView Tracker: theo dõi hiệu suất của hệ thống của bạn
bằng cách đăng nhập các mục ghi trong SmartView Tracker.
• Hỗ trợ tích hợp DiffServ: thêm một hoặc nhiều lớp Diffserv dịch vụ để các quy tắc Chính
sách QoS cơ sở.
• Tích hợp trễ thấp xếp hàng: xác định các lớp học đặc biệt của dịch vụ cho "chậm trễ nhạy
cảm" như các ứng dụng thoại và video cho các quy tắc Chính sách QoS cơ sở.
• Tích hợp xác thực QoS: cung cấp QoS cho người dùng trong môi trường IP động, chẳng hạn
như từ xa truy cập và DHCP môi trường.
• Hỗ trợ tích hợp Citrix MetaFrame: cung cấp một giải pháp QoS cho giao thức ICA Citrix.
• Không cần phải triển khai các thiết bị VPN, tường lửa và QoS riêng biệt: QoS và Firewall
chia sẻ tương tự kiến trúc và nhiều thành phần công nghệ cốt lõi, do đó người dùng có thể sử dụng
cùng một người dùng định nghĩa mạng lưới các đối tượng trong cả hai giải pháp.
-----------------------------------------------------------------
• Chủ động quản lý chi phí mạng: hệ thống giám sát QoS của cho phép bạn chủ động quản lý
mạng của bạn và do đó kiểm soát chi phí mạng.
• Hỗ trợ cho end-to-end QoS cho mạng IP: QoS cung cấp hỗ trợ đầy đủ cho các end-to-end
QoS cho IP mạng bằng cách phân phối thực thi trong suốt phần cứng mạng và phần mềm
Các thành phần khác của SmartConsole

1. SmartLog
SmartLog đọc và lập chỉ mục các bản ghi được tạo ra bởi Check Point và các sản phẩm
OPSEC.
Bạn có thể sử dụng dữ liệu này để:
Phát hiện và theo dõi các sự kiện liên quan đến an ninh. Ví dụ: cảnh báo, từ chối kết
nối, và thất bại nỗ lực xác thực có thể chỉ ra những nỗ lực xâm nhập.
Thu thập dữ liệu về các vấn đề có vấn đề. Ví dụ: một khách hàng được ủy quyền để
tạo ra một kết nối, nhưng không thể kết nối. SmartLog cho thấy Rule Base không chính xác
khối các nỗ lực kết nối khách hàng.
Phân tích các mẫu lưu lượng mạng. Ví dụ: tìm ra bao nhiêu dịch vụ HTTP đã được
sử dụng trong thời gian cao điểm hoạt động.
Sức mạnh của nó, dễ sử dụng, và tốc độ những gì đặt SmartLog ngoài các tiện ích khác
là đăng nhập. Các SmartLog Index Máy chủ được đăng nhập các tập tin từ nhiều máy chủ
đăng nhập và lập chỉ mục chúng cho khai thác dữ liệu nhanh chóng. SmartLog bao gồm một
ngôn ngữ truy vấn mạnh mẽ cho phép bạn tạo các truy vấn của bạn trong vài phút.
2. SmartView Monitor
SmartView Monitor là một hệ thống mạng hiệu năng cao và phân tích an ninh giúp bạn dễ
dàng quản lý mạng của bạn bằng cách thiết lập thói quen làm việc dựa trên các mẫu tài nguyên hệ
thống học. Dựa trên Check Point quản lý an ninh Kiến trúc, SmartView Monitor cung cấp một giao
diện trung tâm duy nhất cho mạng lưới hoạt động giám sát và thực hiện Check Point Software
Blades.
Các tính năng của SmartView Monitor:
SmartView Monitor cho phép người quản trị dễ dàng cấu hình và giám sát các khía cạnh khác
nhau của mạng hoạt động. Quan điểm đồ họa có thể dễ dàng được xem từ một giao diện trực quan
tích hợp.
Quan điểm được xác định trước bao gồm lưu lượng truy cập thường xuyên nhất được sử dụng,
truy cập, đường hầm, gateway, và người dùng từ xa thông tin. Ví dụ, kiểm tra hệ thống điểm đếm
thu thập thông tin về tình trạng và hoạt động của Kiểm tra sản phẩm điểm (ví dụ, VPN hoặc NAT).
Sử dụng tùy chỉnh hoặc được xác định trước các quan điểm, các quản trị viên có thể đi sâu vào tình
trạng của một cổng cụ thể và / hoặc một phân đoạn của lưu lượng truy cập để xác định host băng
thông hàng đầu mà thể ảnh hưởng đến hiệu suất mạng. Nếu hoạt động đáng ngờ được phát hiện, các
quản trị viên có thể ngay lập tức áp dụng một quy tắc tường lửa để an ninh thích hợp Gateway để
ngăn chặn hoạt động đó. Các quy tắc tường lửa có thể tạo ra tự động thông qua giao diện đồ họa và
được thiết lập để hết hạn trong vòng một khoảng thời gian nhất định.
Thời gian thực và báo cáo đồ họa lịch sử của các sự kiện theo dõi có thể được tạo ra để cung
cấp một cách toàn diện xem các cổng, đường hầm, người dùng từ xa, mạng, bảo mật và hiệu suất
theo thời gian

-----------------------------------------------------------------
Hình 33: Giao diện Quản lý Công cụ Checkpoint SmartView Monitor
3. SmartView Tracker
Tổng quan SmartView Tracker
SmartView Tracker cho các cấp khác nhau của việc theo dõi, bạn có thể thiết lập cho tầm quan
trọng dữ liệu. Ví dụ, bạn có thể theo dõi mô hình mạng tiêu chuẩn, chẳng hạn như mô hình sử dụng
lướt web, kiểm tra nếu điều này trở thành một công ty vấn đề. Nhưng nếu mạng của bạn đang bị tấn
công, bạn cần thông báo ngay lập tức. Sản phẩm Check Point thu thập dữ liệu toàn diện về hoạt
động mạng trong các bản ghi. Bạn có thể kiểm tra các bản ghi, phân tích mô hình giao thông và
khắc phục sự cố mạng và các vấn đề an ninh. Tùy chỉnh các thiết lập theo dõi cho từng quy tắc
trong Căn cứ Quy tắc của bạn. Đối với quy tắc mà bạn thiết lập để theo dõi, chọn mức độ nghiêm
trọng của sự kiện. Ví dụ, bạn có thể chọn một Đăng nhập tiêu chuẩn cho các kết nối http cho phép;
một bản ghi tài khoản tiết kiệm byte dữ liệu; một cảnh báo khi một điểm đến là cửa ngõ. Đối với
một danh sách các tùy chọn theo dõi có sẵn, kích chuột phải vào Theo dõi của quy tắc cột.
SmartView Tracker tích hợp với các sản phẩm khác:

• SmartView Monitor cho phép bạn quản lý, xem và kiểm tra tình trạng của các thành phần
khác nhau của Check Point trên toàn hệ thống, cũng như để tạo ra các báo cáo về lưu lượng truy cập
vào giao diện, cụ thể Check Point sản phẩm, hệ thống và quầy Check Point khác.
• SmartReporter cho phép bạn lưu các bản ghi hợp nhất (như trái ngược với các bản ghi
"nguyên liệu") và thuận tiện tập trung vào các sự kiện quan tâm.
Theo dõi lưu lượng mạng

Các SmartView Tracker có thể được sử dụng để theo dõi tất cả lưu lượng truy cập mạng hàng
ngày và hoạt động đăng nhập bởi bất kỳ Check Point và OPSEC Đối tác đăng nhập tạo ra sản phẩm.

-----------------------------------------------------------------
Nó cũng có thể được sử dụng để cung cấp cho một dấu hiệu của các vấn đề nhất định. Quản trị
mạng có thể sử dụng thông tin đăng nhập cho:
• Phát hiện và giám sát các sự kiện bảo mật liên quan. Ví dụ, các thông báo, kết nối từ chối
hoặc lặp đi lặp lại những nỗ lực xác thực không thành công, có thể trỏ đến xâm nhập có thể.
• Thu thập thông tin về các vấn đề có vấn đề. Ví dụ, một khách hàng đã được ủy quyền để thiết
lập kết nối nhưng những nỗ lực để kết nối có thất bại. Các SmartView Tracker có thể chỉ ra rằng các
quy tắc cơ bản đã được xác định sai lầm để ngăn chặn cố gắng kết nối của khách hàng.
• Mục đích thống kê như phân tích mô hình lưu lượng mạng. Ví dụ, làm thế nào nhiều dịch vụ
HTTP đã được sử dụng trong quá trình hoạt động cao điểm như trái ngược với các dịch vụ Telnet.
Ngăn chặn đăng nhập

Các SmartView Tracker được thiết kế để trình bày một cách hiệu quả các bản ghi được tạo ra
từ Check Point sản phẩm. Để tránh hiển thị các mục nhập cho một sự kiện thường xuyên lặp đi lặp
lại, SmartView Tracker hiển thị Ví dụ đầu tiên của sự kiện và sau đó đếm các trường hợp tiếp theo
xảy ra trong hai phút tiếp theo. Cho đến khi sự kiện này tiếp tục xảy ra, mỗi hai phút SmartView
Tracker cho thấy một Đăng nhập Báo cáo đàn áp, trong đó có các chi tiết của sự kiện này cũng như
số lần sự kiện xảy ra.
Hình 34: Màn hình đăng nhập Công cụ Checkpoint SmartView Tracker

-----------------------------------------------------------------
Hình 35: Giao diện Màn hình quản lý Công cụ Checkpoint SmartView Tracker
4. SmartEvent:
Giải pháp SmartEvent:

SmartEvent cung cấp tập trung, thời gian thực hiện sự kiện tương quan của dữ liệu đăng nhập
từ Check Point chu vi, nội bộ và Web Security Gateway-cũng như của bên thứ ba bảo mật các thiết
bị tự động ưu tiên sự kiện bảo mật cho quyết định, hành động thông minh. Bằng cách tự động tập
hợp và tương quan của dữ liệu đăng nhập liệu, SmartEvent không chỉ giảm thiểu lượng dữ liệu mà
cần phải được xem xét nhưng cũng cô lập và ưu tiên các mối đe dọa an ninh thực sự. Những mối đe
dọa có thể không có được nếu không được phát hiện khi xem trong cô lập cho mỗi thiết bị, nhưng
bất thường mô hình xuất hiện khi dữ liệu được tương quan theo thời gian.
Với SmartEvent, an ninh không còn cần phải chải qua số lượng lớn dữ liệu được tạo ra bởi các
thiết bị trong môi trường của họ. Thay vào đó, họ có thể tập trung vào việc triển khai các nguồn lực
trên các mối đe dọa gây ra nguy cơ lớn nhất đối với kinh doanh của họ.
Khả năng mở rộng, phân tán Kiến trúc:

SmartEvent cung cấp một nền tảng khả năng mở rộng linh hoạt có khả năng quản lý hàng
triệu bản ghi mỗi ngày mỗi đơn vị tương quan trong các mạng doanh nghiệp lớn. Thông qua kiến
trúc phân tán của nó, có thể SmartEvent cài đặt trên một máy chủ duy nhất nhưng có sự linh hoạt để
lan truyền tải xử lý trên nhiều đơn vị tương quan và giảm tải mạng.
Dễ dàng triển khai SmartEvent cung cấp một số lượng lớn được xác định trước, nhưng dễ dàng
tùy biến, các sự kiện an ninh cho nhanh triển khai. Tích hợp chặt chẽ với các kiến trúc quản lý an
ninh máy chủ, cho phép nó để giao tiếp với các máy chủ quản lý an ninh đăng nhập hiện có, loại bỏ
sự cần thiết phải cấu hình mỗi máy chủ thiết bị ghi riêng cho việc thu thập và phân tích log. Ngoài
ra, tất cả các đối tượng quy định tại các máy chủ quản lý an ninh sẽ tự động truy cập và sử dụng bởi
các máy chủ SmartEvent cho định nghĩa chính sách sự kiện và thực thi. Một doanh nghiệp có thể dễ
dàng cài đặt và đã SmartEvent và chạy và phát hiện các mối đe dọa trong một vài giờ

-----------------------------------------------------------------
Tập trung tương quan sự kiện:
SmartEvent cung cấp sự tương quan sự kiện tập trung và quản lý cho tất cả các sản phẩm của
Check Point như Security Gateway, kiểm soát ứng dụng và điện thoại di động truy cập, cũng như
bức tường lửa của bên thứ ba, các bộ định tuyến và chuyển mạch, hệ thống phát hiện xâm nhập, hệ
điều hành, các ứng dụng và máy chủ Web. Dữ liệu đăng nhập thô thu thập thông qua các kết nối an
toàn từ Check Point và các thiết bị của bên thứ ba bởi SmartEvent đơn vị tương quan nơi nó được
tổng hợp trực thuộc Trung ương, bình thường, tương quan, và phân tích. Giảm dữ liệu và tương
quan chức năng được thực hiện ở các lớp khác nhau, các sự kiện như vậy chỉ có ý nghĩa được báo
cáo lên hệ thống phân cấp để biết thêm phân tích. Đăng nhập dữ liệu vượt quá ngưỡng thiết lập
trong chính sách được xác định trước sự kiện gây nên sự kiện bảo mật. Những sự kiện này có thể
quét trái phép nhắm mục tiêu chủ dễ bị tổn thương, khai thác gỗ trái phép, từ chối dịch vụ các cuộc
tấn công, dị thường mạng, và hoạt động dựa trên máy chủ khác. Sự kiện này sau đó được tiếp tục
phân tích và mức độ nghiêm trọng mức được giao. Dựa trên mức độ nghiêm trọng, một phản ứng tự
động có thể được kích hoạt vào thời điểm này để ngăn chặn hoạt động có hại ngay tại Gateway
Security. Như các luồng thông tin mới trong, mức độ nghiêm trọng có thể điều chỉnh để thích ứng
với điều kiện thay đổ
Thời gian thực Phân tích mối đe và bảo vệ :
SmartEvent thực hiện thời gian thực sự kiện tương quan dựa trên mô hình bất thường và dữ
liệu trước đó, cũng như tương quan dựa trên sự kiện bảo mật được xác định trước. Sau khi cài đặt
trên mạng, SmartEvent có , chế độ tự học thông minh mà nó tự động học mô hình hoạt động bình
thường cho một trang web nhất định và cho thấy những thay đổi chính sách để giảm các sự kiện giả
báo động. Bằng việc loại bỏ dữ liệu không thích hợp và tương ứng dữ liệu giữa nhiều thiết bị,
SmartEvent có thể không ở trên mối đe dọa gây ra nguy cơ lớn nhất đối với doanh nghiệp.
SmartEvent được tích hợp đầy đủ các máy chủ quản lý an ninh và có thể truy cập tất cả các bảo mật
Cổng và thực thi các hành động tự động trên các Security Gateway chống lại các mối đe dọa quan
trọng, thời gian thực, động giảm thiểu mối đe dọa
Quản lý sự kiện thông minh:
SmartEvent cho phép bạn tùy chỉnh các ngưỡng sự kiện, chỉ định mức độ nghiêm trọng đến
danh mục sự kiện, và chọn bỏ qua quy tắc trên các máy chủ và dịch vụ rất cụ thể giảm số lượng các
báo động sai. Quản trị có thể thực hiện các truy vấn tìm kiếm sự kiện, các loại và các bộ lọc, cũng
như quản lý trạng thái sự kiện. Với thông tin mới, sự kiện mở có thể dễ dàng đóng cửa hoặc thay đổi
một báo động giả. Sự kiện hàng ngày hoặc hàng tuần báo cáo có thể được phân phối tự động cho
quản lý sự cố và hỗ trợ quyết định
Sự kiện điều tra theo dõi:
SmartEvent cho phép các quản trị viên để điều tra mối đe dọa sử dụng truy vấn dữ liệu linh
hoạt được thể hiện trong mốc thời gian hoặc bảng xếp hạng. Một khi giao thông bị nghi ngờ được
xác định, hành động để giải quyết các mối đe dọa được theo dõi sử dụng làm việc vé, cho phép bạn
lưu giữ hồ sơ của tiến bộ đạt được bằng cách sử dụng trạng thái và ý kiến. Ngoài ra, sự kiện hàng
ngày hoặc hàng tuần báo cáo có thể được phân phối tự động cho quản lý sự cố và hỗ trợ quyết định

-----------------------------------------------------------------
Hình 36: Màn hình đăng nhập công cụ Checkpoint SmartEvent
Hình 37: Giao diện màn hình quản lý Công cụ SmartEven
Những công cụ được bao gồm trong các khách hàng SmartEvent?
Khách hàng SmartEvent được chia thành bảy phần:
• Tab Overview chứa các thông tin mới nhất về các nguồn đầu, điểm đến hàng đầu và sự kiện
hàng đầu theo thời gian và phân biệt theo mức độ nghiêm trọng.
-----------------------------------------------------------------
• Events là nơi bạn có thể xem lại sự kiện, hoặc theo các truy vấn được cấu hình sẵn hoặc theo
các truy vấn mà bạn xác định.
• Tab Policy bao gồm các định nghĩa sự kiện và các thông số cấu hình hệ thống khác.
• Tab Report hiển thị đầu ra của báo cáo được xác định và được tạo ra từ SmartReporter.
• Tab Timeline là nơi bạn có thể điều tra vấn đề an ninh sử dụng một đột phá, có thể chỉnh
xem số lượng các sự kiện xảy ra trong một khoảng thời gian và mức độ nghiêm trọng của chúng.
• Tab Chart là nơi bạn có thể điều tra vấn đề an ninh sử dụng bánh hoặc thanh bảng xếp hạng
mà hiện nay sự kiện dữ liệu theo thời gian hoặc dựa trên bất kỳ đặc tính sự kiện khác.
• Tab Maps là nơi bạn có thể xem các nước nguồn và đích cho các dữ liệu sự kiện trên bản đồ.
5. SmartProvisioning
SmartProvisioning cho phép bạn quản lý nhiều cổng từ một quản lý an ninh máy chủ hoặc
nhiều Miền quản lý an ninh. SmartProvisioning xác định, quản lý, và các quy định (từ xa cấu hình)
triển khai quy mô lớn của các cổng Check Point.
Khái niệm quản lý SmartProvisioning dựa trên hồ sơ - một tập hợp các thuộc tính cửa ngõ và
khi có liên quan, một chính sách an ninh. Một hồ sơ có thể được gán cho nhiều cổng. Một hồ sơ xác
định hầu hết các tính cổng cho từng đối tượng hồ sơ thay vì cho mỗi cổng.
Các tính năng hỗ trợ:

SmartProvisioning cung cấp các tính năng sau:
Quản lý trung tâm của chính sách bảo mật, cổng cung cấp, khởi động cổng từ xa, và năng
động Cấu hình giá trị đối tượng
Tự động hồ sơ Fetch để quản lý việc triển khai lớn và trích lập dự phòng
Tất cả các tính năng Firewall hỗ trợ bởi DAIP cổng, bao gồm DAIP và tĩnh cổng địa chỉ IP.
Dễ dàng tạo ra và duy trì các đường hầm VPN giữa SmartLSM Security Gateway và CO
cổng, bao gồm cả thế hệ của giấy chứng nhận IKE cho VPN, từ máy chủ CA bên thứ ba hoặc Check
Point CA.
Tự động tính toán các thông tin chống giả mạo cho SmartLSM Security Gateway
Theo dõi các bản ghi cho các cổng dựa trên độc đáo, ID tĩnh; với khai thác gỗ tại địa phương
để giảm tải khai thác gỗ.
Cấp cao và chuyên sâu theo dõi trạng thái
Quản lý hoàn chỉnh của giấy phép và các gói, khách hàng xác thực, xác thực và phiên
Người sử dụng xác thực
Giao diện dòng lệnh để quản lý SmartLSM Security Gateway
Hỗ trợ cho Check Point 1100 Máy móc gia dụng và Security Gateway 80 thiết bị.
6. Smart Reporter
Giải pháp SmartReporter:
SmartReporter là một sản phẩm báo cáo của Check Point chiết xuất và tổng hợp các sự kiện an
ninh mạng để tạo các báo cáo được xác định trước hoặc tùy chỉnh được tạo ra ngắn gọn. Bạn có thể
tạo các báo cáo cho mạng, tường lửa, tình trạng thiết bị đầu cuối, phòng chống mối đe dọa, và các
hoạt động khác.
SmartReporter sử dụng một chính sách hợp nhất để trích xuất dữ liệu từ các tập tin đăng nhập.
Nó củng cố đăng nhập tương đương loại và thêm chúng vào cơ sở dữ liệu SmartReporter. Cơ sở dữ
liệu này cho phép nhanh chóng và SmartReporter tạo ra hiệu quả báo cáo

-----------------------------------------------------------------
Chương 5 Kết luận và hướng phát triển
Để hoàn thành đồ án này em xin bày tỏ lòng biết ơn sâu sắc đến Thầy giáo Th.S Huỳnh Đệ
Thủ-Giảng viên Bộ môn Truyền thông và Mạng máy tính Trường ĐH GTVT Tp.HCM, Thầy giáo-
GV Võ Đỗ Thắng- Giám đốc Trung tâm Đào tạo Quản trị mạng và An ninh mạng Quốc tế Athena
đã giúp em trong suốt thời gian qua.
Đồ án đã đề cập đến những vấn đề chung của an ninh thông tin, an ninh mạng Doanh nghiệp
nói chung và đi sâu nghiên cứu lý thuyết về Firewall, đặc biệt là nghiên cứu hệ thống Checkpoint
Security Gateway, cũng như các dịch vụ để xây dựng một Firewall hoàn chỉnh. Cụ thể đồ án này đã
đạt được một số thành quả như sau :
+ Tìm hiểu chung về các vấn đề của an ninh thông tin và an ninh mạng Doanh nghiệp
+ Đi sâu nghiên cứu về lý thuyết về Firewall và các công cụ liên quan nhằm mục đích xây
dựng một sản phẩm tường lửa.
+ Phân tích kiến trúc và làm chủ được hệ thống tường lửa nói chung, hệ thống Checkpoint
Security Gateway nói riêng.
+ Triển khai thử nghiệm đạt một số kết quả.
Bên cạnh đó, do hạn chế về thời gian và trình độ nên đồ án này không tránh khỏi những thiếu
sót và hạn chế nhất đinh, kính mong các Thầy đóng góp ý kiến để đồ án này được hoàn thiện hơn.
Trong tương lai, với mong muốn tiếp tục phát triển đề tài này thành một sản phẩm Firewall
hữu ích hơn, có thể ứng dụng rộng dãi, phục vụ cho việc đảm bảo an ninh thông tin ở Việt Nam nói
chung, bảo đảm an ninh thông tin trong các tổ chức, doanh nghiệp nói riêng em xin đề xuất một số
hướng phát triển của mình như sau:
+ Tối ưu hóa cấu hình các thành phần mã nguồn mở sử dụng để tăng hiệu quả và độ tin cậy.
+ Tiếp tục phát triển hệ thống điều khiển, tận dụng được hết các khả năng tùy biến của hệ
thống với giao diện và khă năng tương tác thân thiện hơn.
+ Nghiên cứu một chức năng quản lý luật do người quản trị đưa vào hiệu quả hơn, có khả năng
tối ưu hoá các luật do người quản trị đưa vào
+ Ngoài ra, để bảo vệ an ninh mạng và an toàn thông tin, các doanh nghiệp, đơn vị và tổ chức
cần phối hợp chặt chẽ với nhau, đồng thời có cơ chế phối hợp với các tổ chức bảo mật của các nước.
Ngày nay quy mô cũng như khả năng lan rộng các nguy cơ bảo mật không chỉ gói gọn trong một
quốc gia. Năm 2007 đã có 224 website Việt Nam bị hacker nước ngoài tấn công, chủ yếu là các
website của doanh nghiệp, bộ nghành. Điều này chứng tỏ các mục tiêu tấn công website trong nước
đã được tin tặc quốc tế đưa vào tầm ngắm.
+ Cải thiện môi trường pháp lý, quản lý của nhà nước. Thứ đến là triển khai kế hoạch nâng cao
nhận thực và đào tạo an toàn mạng. Tiếp tới là triển khai nâng cao năng lực an toàn mạng quốc gia.
Đồng thời, cần đẩy mạnh thực hiện các dự án cung cấp dịch vụ cho xã hội, cộng đồng.
+ Trong trường hợp xảy ra sự cố an ninh mạng, các chuyên gia khuyến cáo cá nhân, doanh
nghiệp, đơn vị, tổ chức cần thông báo ngay lập tức cho các tổ chức có chức năng trong việc đảm bảo
an ninh an toàn thông tin như: VNCERT, BKIS, E15- Bộ Công an…
Một lần nữa em xin chân thành cảm ơn!

-----------------------------------------------------------------
TÀI LIỆU THAM KHẢO
[1] Giáo trình Mạng máy tính-TS Phạm Quế Thuế-Học viện Công nghệ Bưu chính Viễn
thông
[2] Installation and Upgrate Guide for Gaia Platforms R77
[3] Application Control and URL Filtering R77
[4] Threat Prevention R77
[5] Checkpoint IPS R77
[6] Data Loss Prevention R77
[7] Firwall R77
[8] www.checkpoint.com
[9] Slide An ninh mạng- Thầy Huỳnh Đệ Thủ-GV Đại học GTVT Tp.HCM

Nghien Cuu Giai Phap Checkpoint

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Nghien Cuu Giai Phap Checkpoint

Uploaded by

Copyright:

Available Formats

Nghiên cứu các giải pháp Checkpoint trong việc Giám sát An ninh mạng Doanh nghiệp

1. Về thái độ, ý thức của Sinh viên:

Dương Quang Minh-1051150030-ĐH GTVT Tp.HCM 1

Dương Quang Minh-1051150030-ĐH GTVT Tp.HCM 2

Hình 1: Thực trạng An ninh mạng hiện nay……………………………………5

Dương Quang Minh-1051150030-ĐH GTVT Tp.HCM 3

Dương Quang Minh-1051150030-ĐH GTVT Tp.HCM 4

Chương 1: An toàn trong mạng máy tính Doanh nghiệp

1.1 Tình hình thực tế

Dạng tấn công 1999 2000 2001 2002 2003

Root Compromise 113 157 101 125 137

User Compromise 21 115 127 111 587

Mã nguy hiểm 0 0 4.764 265 191.306

Lợi dụng tài nguyên 12 24 7 39 26

Tổng cộng 454 412 6.555 489.890 1.433.916

Hình 1- Thực trạng An ninh mạng hiện nay

Dương Quang Minh-1051150030-ĐH GTVT Tp.HCM 5

1.2 Các lỗ hổng trên mạng

Dương Quang Minh-1051150030-ĐH GTVT Tp.HCM 6

1.3 Các mục tiêu cần bảo vệ

Dương Quang Minh-1051150030-ĐH GTVT Tp.HCM 7

1.4 Các dạng tấn công trên mạng

Dương Quang Minh-1051150030-ĐH GTVT Tp.HCM 8

OS identification – Xác định hệ điều hành

Dương Quang Minh-1051150030-ĐH GTVT Tp.HCM 9

DoS – Traditional DOS

Hinh 2 : Tấn công kiểu DoS và DdoS

Hình 3: Tấn công kiểu DRDoS

c. Ăn trộm thông tin

Hình 4: Mô hình ứng dụng mail trên mạng Internet

Hình 5: Kết nối Internet từ LAN

1.5 Các chiến lược bảo vệ mạng

1.5.2 Bảo vệ theo chiều sâu ( Defence in Depth )

Hình 6: Bảo vệ theo chiều sâu

Dương Quang Minh-1051150030-ĐH GTVT Tp.HCM 12

1.5.4 Liên kết yếu nhất ( Weakest Link )

1.5.5 Hỏng an toàn ( Fail – Safe Stance )

1.5.6 Tính toàn cục ( Universal Participation )

1.5.7 Đa dạng trong bảo vệ ( Diversity of Defence )

Dương Quang Minh-1051150030-ĐH GTVT Tp.HCM 13

1.5.8 Đơn giản ( Simplicity )

Dương Quang Minh-1051150030-ĐH GTVT Tp.HCM 14

Chương 2 : Tổng quan về Firewall

2.1 Khái niệm

Hình 7: Vị trí Firewall trên mạng

2.2 Ưu điểm và nhược điểm của Firewall

Dương Quang Minh-1051150030-ĐH GTVT Tp.HCM 15

2.2.2 Nhược điểm

Dương Quang Minh-1051150030-ĐH GTVT Tp.HCM 16

2.3 Các chức năng của Firewall

2.3.1 Packet Filtering

Hình 8: Screening Router sử dụng bộ lọc gói

Dương Quang Minh-1051150030-ĐH GTVT Tp.HCM 18

Hình 9 : Proxy Server

Dương Quang Minh-1051150030-ĐH GTVT Tp.HCM 19

c. Các hoạt động của Proxy

d. Phân loại Proxy

Dương Quang Minh-1051150030-ĐH GTVT Tp.HCM 20

e. Sử dụng Proxy với các dịch vụ Internet

2.3.3 Network Address Translation

Hình 10: Chuyển đổi địa chỉ mạng

Dương Quang Minh-1051150030-ĐH GTVT Tp.HCM 21

2.3.4 Theo dõi và ghi chép ( Monitoring and Logging )

Dương Quang Minh-1051150030-ĐH GTVT Tp.HCM 22