Theo một cuộc điều tra của Ernst & Young, 4/5 tổ chức lớn (có số lượng nhân

viên
lớn hơn 2500) triển khai các ứng dụng quan trọng trên mạng cục bộ LAN. Khi các
mạng cục bộ này kết nối với Internet, thông tin quan trọng của họ trở nên dễ bị đột
nhập, lấy cắp, phá hoại hoặc cản trở lưu thông. Mặc dù phần lớn tổ chức này đã áp
dụng các biện pháp an toàn, nhưng vẫn còn nhiều lỗ hổng mà kẻ tấn công có thể lợi
dụng. Trong những năm gần đây, tình hình bảo mật mạng máy tính trở nên nóng hơn
bao giờ hết với hàng loạt vụ tấn công và lỗ hổng bảo mật được phát hiện hoặc bị lợi
dụng. Theo Arthur Wong, giám đốc điều hành của SecurityFocus, trung bình mỗi tuần
có hơn 30 lỗ hổng bảo mật mới được phát hiện. Theo một cuộc điều tra của
SecurityFocus, trung bình mỗi khách hàng đã cài đặt phần mềm phát hiện xâm nhập
trái phép phải chịu 129 cuộc thăm dò và xâm nhập.
=== Các mật khẩu yếu ===
Thói quen sử dụng mật khẩu dễ đoán, như là tên người thân hoặc các từ thông dụng, đang
trở thành một vấn đề nghiêm trọng trong việc bảo vệ an ninh mạng. Với những mật khẩu dễ
đoán, kẻ tấn công có thể dễ dàng xâm nhập vào hệ thống và chiếm đoạt quyền quản trị, gây
phá hoại hệ thống, cài đặt backdoor hoặc lấy cắp thông tin quan trọng
Một mật khẩu mạnh cần có những đặc điểm sau:
• Độ dài
• Kết hợp ký tự
• Không sử dụng thông tin cá nhân
• Không sử dụng từ điển
• Sử dụng cấu trúc phức tạp
• Thay đổi định kỳ
=== Dữ liệu không được mã hóa ===
Các giao thức bảo mật như SSL (Secure Sockets Layer) và TLS (Transport Layer Security) được
sử dụng rộng rãi trên Internet để mã hoá dữ liệu truyền đi giữa các máy chủ và máy khách.
Khi bạn truy cập một trang web bảo mật, dữ liệu được truyền qua giao thức HTTPS, trong đó
thông tin được mã hoá để đảm bảo tính riêng tư và bảo mật.
SSL là viết tắt của "Secure Sockets Layer" (Lớp Sockets Bảo mật), một công nghệ bảo mật
được sử dụng để tạo kênh liên lạc an toàn giữa máy tính của người dùng và máy chủ trên
Internet
Cách hoạt động của TLS:
Handshake: Khi thiết lập một kết nối an toàn, quá trình handshake (buổi thảo luận) xảy ra
giữa máy khách và máy chủ. Trong quá trình này, hai bên thỏa thuận về các thông số mật mã
và chứng thực danh tính.
Mã hóa dữ liệu: Khi kết nối an toàn đã được thiết lập, dữ liệu được truyền giữa máy khách
và máy chủ được mã hóa bằng các giải thuật mật mã phức tạp, làm cho dữ liệu không thể
đọc được nếu bị bắt gặp bởi kẻ thứ ba.
Đảm bảo tính toàn vẹn: TLS đảm bảo tính toàn vẹn của dữ liệu, bằng cách ký và kiểm tra chữ
ký số để xác minh rằng dữ liệu không bị thay đổi hoặc biến đổi trong quá trình truyền.
Bộ giao thức phổ biến TCP/IP, được sử dụng rộng rãi trên mạng, cũng mang trong mình
những nguy cơ bảo mật không đáng ngờ. Kẻ tấn công có thể lợi dụng các quy tắc trong giao
thức này để thực hiện các cuộc tấn công từ chối dịch vụ (DoS).
Dưới đây là một số lỗ hổng đáng chú ý liên quan đến bộ giao thức TCP/IP:
• Tấn công Web Server: Ngoài các lỗ hổng bảo mật do việc thực thi các chương trình
CGI, các máy chủ web cũng có thể có các lỗ hổng khác. Ví dụ, một số máy chủ web (ví dụ IIS
1.0...) có một lỗ hổng cho phép một tên tệp chèn đoạn "../" vào trong tên đường dẫn, từ đó
có thể truy cập đến bất kỳ vị trí nào trong hệ thống tệp và lấy được các tệp tin. Một lỗi phổ
biến khác là lỗi tràn bộ đệm trong các trường yêu cầu (request) hoặc trong các trường HTTP
khác.
3.1 Dữ liệu:
Dữ liệu là một trong những mục tiêu quan trọng cần được bảo vệ. Bảo vệ tính bí mật,
toàn vẹn và sẵn sàng của dữ liệu là yếu tố chính trong chính sách an toàn thông tin. Bí
mật đảm bảo rằng chỉ những người được ủy quyền mới có thể truy cập và xem dữ
liệu. Toàn vẹn đảm bảo rằng dữ liệu không bị sửa đổi một cách trái phép. Sẵn sàng
đảm bảo rằng dữ liệu có sẵn khi người dùng cần đến. Việc áp dụng các biện pháp mã
hoá, kiểm soát quyền truy cập và sao lưu dữ liệu là những chiến lược bảo vệ dữ liệu
quan trọng.

3.2 Tài nguyên:

Tài nguyên mạng như máy tính, máy in, bộ nhớ và CPU cũng cần được bảo vệ. Việc
xác định và giới hạn quyền truy cập vào các tài nguyên này đảm bảo rằng chỉ những
người có đủ thẩm quyền mới có thể sử dụng chúng. Các biện pháp bảo mật như xác
thực, phân quyền và giám sát sử dụng tài nguyên giúp ngăn chặn sự xâm phạm vào
tài nguyên.
3.3 Danh tiếng:
Bảo vệ danh tiếng là một yếu tố quan trọng không chỉ đối với cá nhân mà còn đối với
các tổ chức. Một danh tiếng xấu có thể gây tổn hại nghiêm trọng đến sự tin tưởng và
uy tín của một cá nhân hoặc tổ chức. Vì vậy, việc bảo vệ danh tiếng đòi hỏi cả sự
quản lý và bảo vệ thông tin trên mạng. Các biện pháp bảo vệ danh tiếng bao gồm
kiểm soát truy cập, quản lý tài khoản và quảng bá thông tin đáng tin cậy.
4.1 Xâm nhập (Intrusion):
Tấn công xâm nhập là khi một người hoặc một nhóm người cố gắng truy cập trái phép vào
hệ thống hoặc lạm dụng quyền truy cập của mình để thực hiện các hoạt động không hợp
pháp. Thuật ngữ "hacker" và "cracker" thường được sử dụng để chỉ những kẻ tấn công này.
Từ chối dịch vụ (Denial of Service - DoS):
Tấn công từ chối dịch vụ (Denial of Service - DoS) là một dạng tấn công nhằm vào tính sẵn
sàng của hệ thống, gây ra tình trạng cạn kiệt tài nguyên hoặc chiếm dụng băng thông của hệ
thống, dẫn đến mất khả năng đáp ứng các yêu cầu từ người dùng.
• Tiêu thụ băng thông (bandwidth consumption):
• Làm nghèo tài nguyên (resource starvation): Tấn công này nhằm làm cạn kiệt các tài
nguyên quan trọng như bộ nhớ, CPU, hoặc các kết nối mạng.
• Lỗi lập trình (programming flaw): Tấn công này tìm lợi dụng các lỗ hổng lập trình
trong mã nguồn hệ thống
• Tấn công Routing và DNS: Tấn công này nhằm vào cơ chế định tuyến hoặc dịch vụ
DNS (Domain Name System) để gây cản trở hoặc ngăn chặn quá trình truyền tải dữ liệu và
gây mất đi tính sẵn sàng của hệ thống
Các dạng tấn công từ chối dịch vụ chính bao gồm:
4.2.1 DoS (Traditional DoS): Tấn công từ chối dịch vụ truyền thống, nơi một kẻ tấn công đơn
lẻ gửi các yêu cầu đến một hệ thống để làm quá tải và gây ra sự cản trở trong hoạt động của
hệ thống.
Tấn công kiểu DoS và Ddos
4.2.2 DDoS (Distributed DoS): Tấn công từ chối dịch vụ phân tán, trong đó một nhóm máy
tính được kiểm soát bởi kẻ tấn công được sử dụng để tạo ra một lượng lớn yêu cầu đến hệ
thống mục tiêu, làm cho hệ thống không thể xử lý được và gây ra sự chậm trễ hoặc sụp đổ.
4.2.3 DRDoS (Distributed Reflection DoS): là một dạng tấn công từ chối dịch vụ phản chiếu
phân tán. Đây là một phương pháp tấn công mà kẻ tấn công sử dụng các máy chủ mở và
thiết bị trung gian để gửi yêu cầu đến hệ thống mục tiêu. Tuy nhiên, đặc điểm đặc biệt của
DRDoS là kẻ tấn công sẽ sử dụng kỹ thuật phản chiếu, nghĩa là họ tạo ra các yêu cầu với
nguồn gốc giả mạo và chúng được chuyển hướng thông qua các máy chủ phản chiếu để tấn
công hệ thống mục tiêu.
Tấn công ăn cắp thông tin đăng nhập (Phishing): Tấn công này đánh lừa người dùng bằng
cách sử dụng các trang web giả mạo hoặc thư điện tử giả mạo để lừa người dùng cung cấp
thông tin đăng nhập, mật khẩu hoặc thông tin cá nhân.
Tấn công mã độc (Malware): Mục tiêu của tấn công này là xâm nhập vào hệ thống và lây
nhiễm mã độc như virus, worm, trojan, ransomware, spyware, v.v. để gây hại hoặc chiếm
quyền kiểm soát hệ thống.
Tấn công khai thác lỗ hổng (Exploitation): Tấn công này sử dụng các lỗ hổng trong phần
mềm hoặc hệ điều hành để truy cập trái phép vào hệ thống và thực hiện các hành động độc
hại.
Tấn công dò mật khẩu (Brute Force): Tấn công này thử tất cả các tổ hợp mật khẩu có thể có
để đoán đúng mật khẩu và xâm nhập vào tài khoản người dùng.
Tấn công lừa đảo (Social Engineering): Tấn công này tập trung vào lừa đảo người dùng bằng
cách sử dụng các kỹ thuật tâm lý, xã hội hoặc kỹ thuật xâm nhập tâm lý để lấy thông tin nhạy
cảm hoặc thực hiện các hành động không đúng.
Các chiến lược bảo vệ
Điều này có nghĩa là mọi người không được truy cập vào mọi dịch vụ trên Internet,
chỉnh sửa hoặc đọc mọi file trên hệ thống của người khác, hoặc biết mật khẩu root
(quyền quản trị tối cao).
Nguyên tắc quyền hạn tối thiểu đảm bảo rằng người dùng chỉ có quyền truy cập và
thực hiện các tác vụ cần thiết để hoàn thành công việc của họ, và không thể can thiệp
vào các tác vụ khác không liên quan. Người quản trị cũng không nên có quyền truy
cập vào tất cả các hệ thống và biết mật khẩu root của tất cả các người dùng.
Để áp dụng nguyên tắc quyền hạn tối thiểu, ta cần xác định và giảm bớt quyền hạn
cần thiết cho từng người dùng và từng công việc cụ thể. Việc này đảm bảo rằng chỉ
những quyền hạn tối thiểu cần thiết sẽ được cấp phép, từ đó giảm thiểu khả năng
xâm nhập và giảm thiểu tác động tiềm năng từ các cuộc tấn công vào hệ thống.

Nút thắt
Firewall đóng vai trò quan trọng trong việc kiểm soát truy cập và bảo vệ mạng. Tất cả
những ai muốn truy cập vào mạng cần bảo vệ đều phải vượt qua các Firewall này.
Firewall không chỉ giới hạn truy cập không mong muốn từ bên ngoài, mà còn giúp
ngăn chặn các cuộc tấn công và hành vi độc hại từ Internet. Nó kiểm soát và giám sát
các kết nối mạng, chặn các gói tin không mong muốn và ngăn chặn các hành vi đáng
ngờ. Điều này đảm bảo rằng chỉ những người có quyền truy cập hợp lệ mới có thể
tiếp cận mạng và dữ liệu quan trọng.
Chương II
Khái niệm: Trong lĩnh vực công nghệ thông tin, Firewall là một kỹ thuật được tích hợp
vào hệ thống mạng nhằm ngăn chặn truy cập trái phép và bảo vệ các nguồn thông tin
nội bộ, đồng thời giới hạn sự xâm nhập vào hệ thống với mục đích phá hoại và gây
tổn thất cho tổ chức, doanh nghiệp.

Firewall phần cứng

Firewall phần cứng không chiếm dụng tài nguyên hệ thống trên máy tính như Firewall
phần mềm. Điều này làm cho nó trở thành một lựa chọn hữu ích đối với các doanh
nghiệp nhỏ, đặc biệt là những công ty có chia sẻ kết nối Internet

Firewall phần mềm

Nó có thể cung cấp các chức năng bảo vệ tương tự như Firewall phần cứng, nhưng
yêu cầu sử dụng tài nguyên hệ thống trên máy tính.
Ví dụ: Các firewall : Windows Defender Firewall (hoặc Windows Firewall),

McAfee Firewall: McAfee cũng là một công ty nổi tiếng về bảo mật và sản phẩm firewall của
họ cung cấp nhiều tính năng bảo vệ và kiểm soát.
Avast Firewall: Avast là một công ty phần mềm an ninh nổi tiếng và firewall của họ cung cấp
mức độ bảo vệ tốt.
2.3 Ưu điểm và nhược điểm của Firewall

Ưu điểm:

• Bảo vệ mạng: Nó giúp ngăn chặn và hạn chế sự truy cập trái phép vào hệ thống
mạng, bảo vệ các nguồn thông tin quan trọng và dữ liệu nội bộ của tổ chức. Điều này giúp
ngăn chặn sự xâm nhập, đánh cắp thông tin và giảm thiểu rủi ro bảo mật.
• Kiểm soát truy cập: Firewall cho phép người quản trị mạng thiết lập và quản lý các
quy tắc an ninh để kiểm soát quyền truy cập và giao tiếp giữa các mạng khác nhau hoặc giữa
mạng nội bộ và Internet. Bằng cách xác định và áp dụng các quy tắc, Firewall đảm bảo chỉ
những người dùng được ủy quyền mới có thể truy cập vào tài nguyên mạng quan trọng.
• Ngăn chặn tấn công mạng: Firewall giúp phát hiện và ngăn chặn các cuộc tấn công
mạng như tấn công từ chối dịch vụ (DoS), tấn công từ chối dịch vụ phân tán (DDoS), tấn công
dò quét, tấn công từ điển và các hình thức tấn công khác. Bằng cách giám sát luồng dữ liệu,
Firewall có thể xác định các hành vi đáng ngờ và chặn các gói tin độc hại hoặc không được ủy
quyền.
• Giám sát và ghi nhật ký: Firewall cung cấp khả năng giám sát và ghi nhật ký các hoạt
động mạng. Nhờ đó, người quản trị mạng có thể theo dõi và phân tích các hoạt động mạng,
phát hiện các hành vi bất thường, cuộc tấn công hoặc các mối đe dọa tiềm tàng. Ghi nhật ký
này cung cấp thông tin quan trọng cho việc điều tra, xử lý sự cố và cải thiện chính sách bảo
mật.
• Linh hoạt và dễ cài đặt: Firewall phần mềm cho phép linh hoạt hơn trong việc cài đặt
và tùy chỉnh theo nhu cầu riêng của từng công ty. Người quản trị mạng có thể dễ dàng cấu
hình các quy tắc, chính sách và phân loại giao tiếp mạng. Điều này cho phép tăng cường bảo
mật theo yêu cầu của tổ chức mà không cần sử dụng thiết bị phần cứng riêng biệt.
Nhược điểm:
• Một firewall không thể hoàn hảo: Mặc dù Firewall có khả năng ngăn chặn và kiểm
soát truy cập mạng, nhưng nó không thể đảm bảo hoàn toàn bảo vệ mạng khỏi mọi cuộc tấn
công. Các kỹ thuật tấn công mạng ngày càng tinh vi và tiên tiến, đòi hỏi Firewall phải được
cập nhật thường xuyên để đối phó với các mối đe dọa mới.
• Khả năng phản hồi chậm: Firewall có thể làm chậm quá trình truyền tải dữ liệu vì
phải kiểm tra và xử lý các gói tin. Điều này có thể ảnh hưởng đến hiệu suất mạng, đặc biệt
đối với các mạng có lưu lượng cao.
• Đòi hỏi kiến thức chuyên môn: Cấu hình và quản lý Firewall đòi hỏi kiến thức và kỹ
năng chuyên môn. Người quản trị mạng cần hiểu rõ về các quy tắc bảo mật, giao thức mạng
và các nguyên tắc hoạt động của Firewall để đảm bảo rằng nó được cấu hình và vận hành
đúng cách. Sự thiếu hiểu biết và kỹ năng chuyên môn có thể dẫn đến việc cấu hình không
chính xác hoặc thiếu sót, từ đó mở ra cơ hội cho các cuộc tấn công mạng.
• Có thể gây lỗi và xung đột: Một cấu hình Firewall không đúng hoặc không tương
thích với một số ứng dụng hoặc hệ thống khác có thể gây ra lỗi hoặc xung đột. Điều này có
thể dẫn đến mất kết nối, mất dữ liệu hoặc các vấn đề khác trong hoạt động của mạng.
•

2.4 Các chức năng của Firewall

Kiểm soát và giám sát lưu lượng mạng: Firewall cho phép kiểm soát và quản lý lưu lượng
mạng đi vào và ra khỏi mạng. Nó xác định xem liệu các gói dữ liệu được phép truy cập vào
hệ thống hay không dựa trên các quy tắc cấu hình trước đó. Firewall cũng cung cấp khả năng
giám sát lưu lượng mạng để phát hiện các hoạt động bất thường.
Bảo vệ chống cuộc tấn công từ bên ngoài: Firewall giúp ngăn chặn và ngăn cản các cuộc tấn
công từ mạng bên ngoài như các cuộc tấn công DDoS (Distributed Denial of Service), tấn
công từ chối dịch vụ (DoS), tấn công xâm nhập và các cuộc tấn công khác.
Bảo vệ dữ liệu và thông tin cá nhân: Firewall giúp bảo vệ dữ liệu quan trọng và thông tin cá
nhân khỏi việc truy cập trái phép hoặc rò rỉ thông tin.
Kiểm soát và quản lý truy cập mạng: Firewall đảm bảo chỉ những người dùng được ủy
quyền có thể truy cập vào các tài nguyên và dịch vụ trong mạng, giới hạn khả năng truy cập
từ các nguồn không đáng tin cậy.
Chống phá hoại hệ thống: Firewall có khả năng giúp ngăn chặn sự lây lan của mã độc, virus,
worm, trojan và ransomware vào hệ thống.
Kiểm soát ứng dụng và dịch vụ mạng: Một số firewall cung cấp khả năng kiểm soát các ứng
dụng và dịch vụ sử dụng lưu lượng mạng, cho phép quản lý và giám sát việc sử dụng ứng
dụng trong mạng.
Tường lửa ứng dụng (Application Firewall): Một dạng đặc biệt của firewall có thể kiểm soát
và giám sát các kết nối mạng dựa trên lưu lượng ứng dụng thay vì chỉ dựa trên địa chỉ IP và
cổng.
Phân chia mạng (Network Segmentation): Firewall có thể được sử dụng để phân chia mạng
thành các vùng an toàn (zones) riêng biệt, giúp ngăn chặn sự lan truyền của các mối đe dọa
trong mạng.
Giám sát và nhật ký hoạt động mạng: Firewall cung cấp các công cụ giám sát và nhật ký hoạt
động mạng, giúp phát hiện các hoạt động bất thường và các mối đe dọa tiềm ẩn.
Thiết lập quy tắc và chính sách bảo mật: Firewall cho phép người quản trị thiết lập các quy
tắc và chính sách bảo mật linh hoạt dựa trên các yêu cầu và môi trường của tổ chức.
CHƯƠNG III: TỔNG QUAN VỀ FIREWALL FORTIGATE

Firewall FortiGate có các tính năng chính sau:

• Tường lửa ứng dụng (Application Firewall): FortiGate có khả năng xác định và kiểm
soát lưu lượng mạng dựa trên các ứng dụng được sử dụng. Nó cho phép bạn xác định các
chính sách bảo mật dựa trên ứng dụng, giúp ngăn chặn các mối đe dọa từ các ứng dụng độc
hại và kiểm soát việc sử dụng ứng dụng trong mạng.
• Bảo mật Web (Web Security): FortiGate cung cấp bảo vệ toàn diện cho hoạt động
truy cập web. Nó có khả năng chặn các trang web độc hại, ngăn chặn tấn công từ các tệp
web và bảo vệ khỏi các cuộc tấn công dựa trên nội dung.
• VPN (Virtual Private Network): Firewall FortiGate hỗ trợ kết nối VPN an toàn giữa các
văn phòng, chi nhánh hoặc người dùng từ xa. Nó cho phép mã hóa dữ liệu và thiết lập kênh
kết nối bảo mật thông qua Internet, đảm bảo tính riêng tư và an toàn cho thông tin truyền
qua mạng.
• Quản lý người dùng và xác thực: FortiGate có tích hợp các tính năng quản lý người
dùng và xác thực để kiểm soát quyền truy cập mạng. Nó hỗ trợ việc xác thực người dùng qua
nhiều phương thức như LDAP, RADIUS và SSO (Single Sign-On), cho phép quản trị viên thiết
lập chính sách truy cập dựa trên danh tính người dùng.
• Phân loại và ưu tiên dịch vụ (Traffic Shaping): Firewall FortiGate cho phép phân loại
và ưu tiên lưu lượng mạng dựa trên các yếu tố như ứng dụng, người dùng, địa chỉ IP, và
cổng. Điều này cho phép bạn kiểm soát lưu lượng mạng và ưu tiên các ứng dụng hoặc dịch
vụ quan trọng trong mạng.
• Bảo vệ khỏi các mối đe dọa nâng cao: FortiGate tích hợp các công nghệ bảo mật tiên
tiến để ngăn chặn và phát hiện các mối đe dọa mạng, bao gồm bảo mật email, chống virus,
chống spam, bảo vệ IDS/IPS (Intrusion Detection/Prevention System) và hơn thế nữa.
• Quản lý tập trung: Firewall FortiGate hỗ trợ quản lý tập trung thông qua giao diện
quản lý web hoặc giao diện dòng lệnh. Nó cho phép quản trị viên dễ dàng cấu hình, giám sát
và quản lý các thiết bị Firewall FortiGate trên mạng.
IPS (Intrusion Prevention System) và IDS (Intrusion Detection System) là hai công nghệ bảo
mật mạng được sử dụng để phát hiện và ngăn chặn các cuộc tấn công và mối đe dọa mạng
IDS được sử dụng để giám sát và phát hiện mối đe dọa mạng
IPS ngăn chặn và chống lại các cuộc tấn công mạng một cách tự động.
Hai công nghệ này thường được kết hợp để cùng nhau cung cấp một giải pháp an ninh toàn
diện cho mạng.
1.3 Lợi ích của việc sử dụng Firewall FortiGate

• Bảo vệ mạng và dữ liệu: Firewall FortiGate giúp ngăn chặn các mối đe dọa mạng như
tấn công từ bên ngoài, phần mềm độc hại, tấn công từ chối dịch vụ (DDoS) và các cuộc tấn
công khác. Nó giúp bảo vệ mạng và dữ liệu quan trọng của tổ chức khỏi sự xâm nhập và mất
mát.
• Kiểm soát và quản lý lưu lượng mạng: Firewall FortiGate cho phép quản lý lưu lượng
mạng một cách linh hoạt. Bằng cách phân loại và ưu tiên lưu lượng dựa trên các tiêu chí như
ứng dụng, người dùng và địa chỉ IP, nó giúp đảm bảo rằng các ứng dụng và dịch vụ quan
trọng được ưu tiên và có hiệu suất tốt hơn trong mạng.
• VPN an toàn: Firewall FortiGate hỗ trợ kết nối VPN an toàn giữa các văn phòng, chi
nhánh và người dùng từ xa. Điều này cho phép người dùng truy cập an toàn vào mạng nội
bộ từ bất kỳ đâu và bảo vệ thông tin quan trọng khi truyền qua mạng công cộng.
• Kiểm soát truy cập và quản lý người dùng: Firewall FortiGate cho phép quản lý quyền
truy cập mạng dựa trên danh tính người dùng. Bằng cách xác thực và kiểm soát người dùng,
nó giúp ngăn chặn truy cập trái phép và đảm bảo rằng chỉ những người được ủy quyền mới
có thể truy cập vào tài nguyên mạng quan trọng.
• Bảo mật email và web: Firewall FortiGate cung cấp tính năng bảo mật email và web,
giúp ngăn chặn các cuộc tấn công qua email, các trang web độc hại và vi rút từ việc xâm
nhập vào hệ thống.
• Quản lý tập trung: Firewall FortiGate hỗ trợ quản lý tập trung thông qua giao diện
quản lý web hoặc giao diện dòng lệnh. Điều này giúp quản trị viên dễ dàng cấu hình, giám
sát và quản lý các thiết bị Firewall FortiGate trên mạng.
• Tuân thủ quy tắc và quy định bảo mật: Firewall FortiGate cho phép tổ chức thực hiện
các quy tắc và quy định bảo mật cần thiết để tuân thủ các tiêu chuẩn an ninh và quyền riêng
tư, như PCI DSS, HIPAA và GDPR.
2.1 Hardware Appliance

Cổng quản lý (Management Port): Thường được đánh số là cổng 1, được sử dụng để quản
lý thiết bị thông qua giao diện người dùng web hoặc giao diện dòng lệnh.
Cổng LAN: Được sử dụng để kết nối với mạng nội bộ của tổ chức. Đây là cổng mà các thiết bị
trong mạng LAN của bạn kết nối đến.
GE RJ45 được tăng tốc phần cứng Interfaces
Cổng WAN: Được sử dụng để kết nối với mạng bên ngoài, thường là internet. Cổng này kết
nối thiết bị với ISP hoặc mạng công cộng.
Trên một thiết bị Firewall FortiGate, các khe cắm SFP (Small Form-factor Pluggable) của GE
(Gigabit Ethernet) có thể được sử dụng để làm các giao diện mạng phụ (Subinterfaces) để
tạo một trình cầu nối giao diện ảo (Interface Group) hoặc còn gọi là IGF (Interface Group).
Cổng DMZ: DMZ (Demilitarized Zone) là một vùng mạng trung gian giữa mạng LAN và mạng
WAN. Cổng DMZ được sử dụng để đặt các máy chủ có thể tiếp cận từ mạng bên ngoài mà
không đặt mạng LAN trong nguy cơ.
Cổng HA (High Availability): Dùng trong cấu hình HA để tạo một cụm FortiGate cho tính sẵn
sàng cao và chịu lỗi.
Các cổng phụ (Subinterfaces): FortiGate cũng hỗ trợ cấu hình các cổng phụ, hay còn gọi là
VLAN, để chia nhỏ mạng LAN thành nhiều phần nhỏ hơn.
Cấu hình Policy trên fortigate cho phép mạng nội bộ truy cập được Internet

Name: đặt tên cho policy để phân biệt với các policy khác
Incoming Interface: chọn LAN để cho phép mạng LAN đi ra
Outgoing Interface: chọn Wan vừa cấu hình để cho phép mạng LAN đi ra Internet qua cổng
Wan
Source: chọn ALL để cho tất cả các máy tính đi ra hoặc có thể chọn 1 số client
Destination: chọn ALL
Schedule: Always
Service: chọn ALL, các mục này ta có thể chọn chỉ cho phép 1 số dịch vụ truy cập internet.
Chọn ALL là cho phép tất cả
Action: Accept để cho phép ( chọn deny là không cho phép đi ra qua cổng Wan1)
Bật tính năng NAT, điều này bắt buộc để mạng LAN có thể ra internet
Security Profiles: các tính năng này phụ thuộc vào license đang sử dụng. Đối với các part
Firewall là BDL ( ví dụ FG-100D-BDL, FG-100E-BDL) thì mới kích hoạt được các tính năng này,
các part như FG-100D, FG-100E sẽ không kích hoạt được các tính năng này mà phải mua
thêm license
Logging Options: Cho phép ghi lại log các traffic hoặc các gói tin ra vào trong mạng
Chọn OK để lưu cấu hình
AES (Advanced Encryption Standard):
AES là một thuật toán mã hóa simetric (đối xứng) phổ biến và mạnh mẽ, được sử dụng rộng
rãi trong các ứng dụng bảo mật mạng và lưu trữ dữ liệu.
Nó đã trở thành tiêu chuẩn mã hóa toàn cầu từ năm 2001 và được sử dụng rộng rãi trong
nhiều ứng dụng bảo mật.
AES hỗ trợ các khóa có độ dài 128, 192 hoặc 256 bit và có khả năng mã hóa và giải mã dữ
liệu một cách hiệu quả và an toàn.
Do hiệu suất cao và tính bảo mật mạnh mẽ, AES được sử dụng rộng rãi trong các ứng dụng
mã hóa dữ liệu và thông tin nhạy cảm.

3DES (Triple Data Encryption Standard):

3DES là một biến thể của thuật toán DES (Data Encryption Standard).
DES ban đầu được phát triển trong những năm 1970 và đã trở thành một tiêu chuẩn mã hóa
trong nhiều năm.
Tuy nhiên, do độ dài khóa ngắn (56-bit) của DES, nó đã trở nên yếu dần và không đủ an toàn
trong các ứng dụng hiện đại.
3DES giải quyết vấn đề này bằng cách áp dụng thuật toán DES ba lần, sử dụng ba khóa có độ
dài 56 bit, tạo thành một khóa tổng cộng 168 bit.
Tuy 3DES có tính bảo mật hơn DES gốc, nhưng hiệu suất của nó không cao bằng AES, do đó,
trong môi trường yêu cầu hiệu suất cao, AES thường được ưu tiên hơn.

SHA (Secure Hash Algorithm):

SHA là một nhóm các thuật toán băm mã hóa (hashing algorithms) được sử dụng trong
chứng thực dữ liệu và tạo ra mã hash độc nhất cho dữ liệu nhập vào.
Mã hash thường được sử dụng để kiểm tra tính toàn vẹn của dữ liệu và xác nhận rằng dữ
liệu không bị thay đổi trong quá trình truyền tải hoặc lưu trữ.
Có nhiều phiên bản SHA, bao gồm SHA-1, SHA-256, SHA-384, và SHA-512. Trong đó, SHA-256
và SHA-512 được sử dụng phổ biến hơn và được coi là an toàn và bền vững hơn.
SHA-1 đã bị coi là không an toàn do bị tấn công và khuyến nghị không sử dụng nữa.
Giới thiệu và xây dựng mô hình

Doanh nghiệp có 2 vị trí : trụ sở chính và chi nhánh,

các trụ sở có firewall fortigate để đảm bảo an toàn kết nối cũng như bảo vệ ra bên ngoài
2 con firewall là thiết bị biên đóng vai trò bảo mật và kết nối internet
Hệ thống mạng được xây dựng dựa trên mô hình chứa 2 vùng mạng chính
Có 2 vùng là Brand và Main
Tại Main chia làm 2 vùng mạng là DMZ và LAN
Vùng DMZ dùng để cách ly và bảo vệ hệ thống mạng nội bộ khỏi các mối đe dọa bên ngoài,
đồng thời kiểm soát truy cập và bảo vệ dịch vụ công cộng.
Vùng DMZ: Công ty sẽ tạo ra một vùng DMZ riêng biệt, được đặt giữa mạng nội bộ và mạng
Internet. Vùng DMZ này là một khu vực cách ly, nơi các dịch vụ công cộng được đặt.
Máy chủ web: Máy chủ web của công ty, chứa trang web công ty và thông tin công khai, sẽ
được đặt trong vùng DMZ. Như vậy, khi khách hàng truy cập trang web, không có truy cập
trực tiếp vào mạng nội bộ của công ty.
Giải pháp

• Cấu hình cơ bản:

Cấu hình hostname
Chỉnh múi giờ cho phù hợp với múi giờ Việt Nam
Đặt địa chỉ IP cho các máy tính và firewall trong hệ thống mạng.
• Cho phép vùng mạng LAN truy cập internet: Cấu hình tuyến động và chính sách
firewall để cho phép vùng mạng LAN_IT có thể truy cập internet.
• Cài đặt webserver, ftp server trong vùng DMZ: Cài đặt và cấu hình Apache webserver
và FTP server trong vùng DMZ. Mở các quy tắc firewall để cho phép các máy tính trong hệ
thống mạng truy cập vào webserver và FTP server.
• Cấu hình VPN giữa hai sites: Sử dụng IPsec để cấu hình kết nối VPN giữa hai sites.
Điều này cho phép truyền tải dữ liệu an toàn giữa hai sites thông qua internet.
• Lọc trang web: Cấu hình Web filter để lọc và chặn truy cập đến các trang web không
mong muốn từ vùng mạng LAN.
• Chống tấn công DoS: Cấu hình firewall để chống lại cuộc tấn công DoS. Khi có cuộc
tấn công, firewall sẽ tự động chặn lưu lượng gói tin đến từ địa chỉ nguồn tấn công.
Kết quả đạt được

• Hệ thống mạng được cấu hình theo đúng mô hình đã đề ra, với 3 vùng mạng chính
và các quy định kiểm tra gói tin được áp dụng.
• Cấu hình thành công cho phép vùng mạng LAN_IT có thể truy cập internet.
• Webserver và FTP server trong vùng DMZ được cài đặt và hoạt động thành công, với
việc các máy tính trong hệ thống mạng có thể truy cập vào chúng.
• Kết nối VPN giữa hai sites được cấu hình và hoạt động thành công, cho phép truyền
tải dữ liệu an toàn qua internet.
• Chính sách lọc trang web được áp dụng thành công, chặn truy cập đến các trang web
không mong muốn từ vùng mạng LAN.
• Chống thành công cuộc tấn công DoS, với việc firewall tự động chặn lưu lượng gói tin
đến từ địa chỉ nguồn tấn công.
VPN 2 Site

VPN Site-to-Site là một mô hình VPN (Virtual Private Network) trong FortiGate, cho phép kết
nối an toàn giữa hai vị trí hoặc chi nhánh khác nhau của tổ chức thông qua Internet hoặc
mạng không an toàn khác
NAT hay Network Address Translation giúp địa chỉ mạng cục bộ (Private) truy cập được đến
mạng công cộng (Internet).
NAT có nhiệm vụ truyền gói tin từ lớp mạng này sang lớp mạng khác trong cùng một hệ
thống. NAT sẽ thực hiện thay đổi địa chỉ IP bên trong gói tin. Sau đó chuyển đi qua router và
các thiết bị mạng.
Trong giai đoạn gói tin được truyền từ mạng internet (public) quay trở lại NAT, NAT sẽ thực
hiện nhiệm vụ thay đổi địa chỉ đích đến thành địa chỉ IP bên trong hệ thống mạng cục bộ và
chuyển đi.
IPsec (Internet Protocol Security) là một giao thức bảo mật được sử dụng để tạo các kênh
bảo mật và mã hóa thông tin giữa hai điểm trong mạng. Nó được sử dụng chủ yếu để bảo vệ
việc truyền dữ liệu qua Internet hoặc qua các mạng không an toàn khác.
IPsec hoạt động ở tầng Network Layer (tầng 3) trong mô hình OSI (Open Systems
Interconnection) và được tích hợp trực tiếp vào giao thức IP. Điều này cho phép nó làm việc
ở cấp độ cao hơn trong việc bảo vệ dữ liệu so với các giao thức bảo mật khác như SSL/TLS,
hoạc SSH.
Signature được kích hoạt trên Firewall FortiGate, nó sẽ so sánh các gói dữ liệu truyền qua
mạng với cơ sở dữ liệu các chữ ký mà Fortinet (nhà sản xuất FortiGate) đã cung cấp. Các chữ
ký này đại diện cho các biểu hiện cụ thể của các cuộc tấn công hoặc mã độc mạng đã được
biết đến trước đó.
FortiGate hỗ trợ nhiều giao thức VPN như IPsec, SSL, và các phương thức mã hóa khác
nhau như AES, 3DES, và SHA.
Trình hướng dẫn VPN IPsec Hub-and-Spoke trong Firewall FortiGate là một công cụ giúp dễ
dàng cấu hình mô hình VPN Hub-and-Spoke. Mô hình này được sử dụng phổ biến trong việc
tạo kết nối VPN giữa một trung tâm (Hub) và nhiều điểm (Spoke) khác nhau trong mạng.
Chức năng chính của VPN IPsec Hub-and-Spoke wizard bao gồm:

 Tạo kết nối VPN Hub-and-Spoke: Trình hướng dẫn cho phép người quản trị tạo các
kết nối VPN an toàn giữa trung tâm (Hub) và các chi nhánh, văn phòng hoặc điểm
khác nhau (Spoke) trong mạng của tổ chức.
 Đơn giản hóa quá trình cấu hình: Trình hướng dẫn này giúp đơn giản hóa quá trình
cấu hình bằng cách cung cấp các bước dẫn dắt, giúp người quản trị tiết kiệm thời
gian và giảm thiểu lỗi cấu hình.
 Tích hợp các tùy chọn mã hóa và xác thực: VPN IPsec Hub-and-Spoke wizard cung
cấp các tùy chọn mã hóa và xác thực như AES, 3DES, SHA, để người quản trị có thể
lựa chọn cấu hình phù hợp với yêu cầu bảo mật của mạng.
 Tự động tạo các đối tác VPN (VPN peers): Trình hướng dẫn này tự động tạo các đối
tác VPN cho từng điểm (Spoke), giúp người quản trị tiết kiệm công sức và đảm bảo
tính nhất quán giữa các điểm.
 Quản lý và theo dõi dễ dàng: Sau khi hoàn tất cấu hình, người quản trị có thể dễ dàng
quản lý và theo dõi các kết nối VPN Hub-and-Spoke thông qua giao diện quản lý của
FortiGate.
Với VPN IPsec Hub-and-Spoke wizard, người quản trị có thể triển khai một mạng VPN đáng
tin cậy và bảo mật giữa các trung tâm và chi nhánh khác nhau một cách dễ dàng và nhanh
chóng.
IP Version: Xác định phiên bản IP được sử dụng cho các kết nối VPN. Trong trường hợp này,
0.0.0.0 có nghĩa là không giới hạn phiên bản IP nào và có thể hỗ trợ cả IPv4 và IPv6.
Remote Gateway: Xác định địa chỉ IP hoặc tên miền của Remote Gateway (cổng kết nối từ
xa) - tức là địa chỉ IP của đối tác kết nối VPN.
Static IP Address: Xác định địa chỉ IP cố định (Static IP Address) của Remote Gateway.
Trường này sẽ được điền sau khi nhập địa chỉ IP hoặc tên miền của Remote Gateway.
Local Gateway: Xác định địa chỉ IP hoặc tên miền của Local Gateway (cổng kết nối từ địa
phương) - tức là địa chỉ IP của FortiGate.
Mode Config: Cho phép Remote Gateway gửi cấu hình cho FortiGate, bao gồm các thông tin
như địa chỉ IP nội bộ, phạm vi mạng và DNS.
NAT Traversal: Kích hoạt chế độ NAT Traversal, cho phép VPN hoạt động thông qua các thiết
bị NAT (Network Address Translation), giúp tăng khả năng tương thích và cải thiện kết nối.
Keepalive Frequency: Xác định tần suất kiểm tra trạng thái của kết nối VPN để duy trì kết nối
hiệu quả.
Authentication Method: Xác định phương thức xác thực sử dụng để thiết lập kết nối VPN.
Trong trường hợp này, phương thức xác thực là Pre-shared Key (khóa chia sẻ trước).
Pre-shared Key: Được sử dụng như một phần của phương thức xác thực Pre-shared Key để
xác định danh tính của FortiGate và Remote Gateway trong quá trình thiết lập kết nối VPN.
IKE Version: Chọn phiên bản IKE (Internet Key Exchange) để sử dụng. IKE là giao thức dùng
để thiết lập kết nối VPN.
Mode: Chọn chế độ IKE (Main Mode hoặc Aggressive Mode) để thiết lập kết nối VPN.
Phase 1 Proposal: Xác định các cấu hình mã hóa và xác thực được đề xuất sử dụng trong giai
đoạn 1 của quá trình thiết lập kết nối VPN.
Diffie-Hellman Groups: Xác định các nhóm Diffie-Hellman được hỗ trợ cho quá trình trao đổi
khóa trong IKE.
Key Lifetime (seconds): Xác định thời gian sống của khóa mã hóa được sử dụng trong kết
nối VPN.
Local ID: Xác định định danh (ID) của FortiGate trong quá trình thiết lập kết nối VPN.
XAUTH Type: Xác định loại XAUTH (Extended Authentication) được sử dụng nếu được kích
hoạt.
Phase 2 Selectors: Xác định các cấu hình mã hóa và xác thực cho giai đoạn 2 của quá trình
thiết lập kết nối VPN.
New Phase 2: Cho phép người dùng tạo thêm giai đoạn 2 để hỗ trợ nhiều phạm vi mạng
truyền thông qua VPN.
Phase 1 và Phase 2 là hai giai đoạn trong quá trình thiết lập kết nối VPN trong mô hình VPN
IPsec. Cả hai giai đoạn này đều có chức năng quan trọng để xác định các thông số mã hóa,
xác thực và trao đổi khóa giữa các thiết bị VPN. Dưới đây là giải thích chi tiết về chức năng
của mỗi giai đoạn:
Phase 1 (Exchange): Giai đoạn 1 của quá trình thiết lập kết nối VPN là giai đoạn trao đổi
thông tin ban đầu giữa hai thiết bị VPN (thường là FortiGate và Remote Gateway). Chức
năng của giai đoạn này bao gồm:

 Xác định các thông số mã hóa và xác thực: Trong giai đoạn này, hai thiết bị thống
nhất các thông số mã hóa (encryption) để mã hóa dữ liệu và xác thực
(authentication) để đảm bảo tính xác thực của các bên trong quá trình thiết lập kết
nối VPN.
 Trao đổi khóa Diffie-Hellman: Giai đoạn 1 cũng là giai đoạn trong đó hai bên trao đổi
khóa Diffie-Hellman để thống nhất khóa chia sẻ giữa họ. Diffie-Hellman là một giao
thức trao đổi khóa cho phép hai bên thiết lập khóa chung mà không cần truyền khóa
trực tiếp qua mạng.
 Xác định tính toàn vẹn của dữ liệu: Trong giai đoạn này, các thông số để kiểm tra
tính toàn vẹn của dữ liệu cũng được thống nhất. Điều này đảm bảo rằng dữ liệu
không bị thay đổi trong quá trình truyền tải.
Phase 2 (Quick Mode): Giai đoạn 2 của quá trình thiết lập kết nối VPN là giai đoạn trong đó
các thông số mã hóa và xác thực cụ thể cho từng phạm vi mạng (subnet) được thiết lập.
Chức năng của giai đoạn này bao gồm:

 Xác định các phạm vi mạng được trao đổi thông tin: Giai đoạn 2 xác định rõ các
phạm vi mạng của FortiGate và Remote Gateway mà họ cho phép truyền thông qua
VPN. Điều này cho phép quá trình mã hóa và giải mã chỉ áp dụng cho các gói tin gửi
và nhận từ các phạm vi mạng cụ thể này.
 Xác định thông số mã hóa và xác thực cho từng phạm vi mạng: Mỗi phạm vi mạng
được xác định trong giai đoạn 2 sẽ có các thông số mã hóa và xác thực riêng biệt.
Điều này cho phép điều chỉnh cấu hình bảo mật cho từng phạm vi mạng một cách
linh hoạt và tùy chỉnh.
 Thống nhất các thông số bảo mật: Cuối cùng, trong giai đoạn 2, các thông số bảo
mật như các thuật toán mã hóa và xác thực được thống nhất và sử dụng để thiết lập
kết nối VPN an toàn giữa các phạm vi mạng.
Tóm lại, Phase 1 và Phase 2 trong quá trình thiết lập kết nối VPN IPsec có chức năng xác định
các thông số mã hóa, xác thực và trao đổi khóa giữa các thiết bị VPN để đảm bảo tính an
toàn và bảo mật của kết nối.
AES (Advanced Encryption Standard):
AES là một thuật toán mã hóa simetric (đối xứng) phổ biến và mạnh mẽ, được sử dụng rộng
rãi trong các ứng dụng bảo mật mạng và lưu trữ dữ liệu.
Nó đã trở thành tiêu chuẩn mã hóa toàn cầu từ năm 2001 và được sử dụng rộng rãi trong
nhiều ứng dụng bảo mật.
AES hỗ trợ các khóa có độ dài 128, 192 hoặc 256 bit và có khả năng mã hóa và giải mã dữ
liệu một cách hiệu quả và an toàn.
Do hiệu suất cao và tính bảo mật mạnh mẽ, AES được sử dụng rộng rãi trong các ứng dụng
mã hóa dữ liệu và thông tin nhạy cảm.

3DES (Triple Data Encryption Standard):

3DES là một biến thể của thuật toán DES (Data Encryption Standard).
DES ban đầu được phát triển trong những năm 1970 và đã trở thành một tiêu chuẩn mã hóa
trong nhiều năm.
Tuy nhiên, do độ dài khóa ngắn (56-bit) của DES, nó đã trở nên yếu dần và không đủ an toàn
trong các ứng dụng hiện đại.
3DES giải quyết vấn đề này bằng cách áp dụng thuật toán DES ba lần, sử dụng ba khóa có độ
dài 56 bit, tạo thành một khóa tổng cộng 168 bit.
Tuy 3DES có tính bảo mật hơn DES gốc, nhưng hiệu suất của nó không cao bằng AES, do đó,
trong môi trường yêu cầu hiệu suất cao, AES thường được ưu tiên hơn.

SHA (Secure Hash Algorithm):

SHA là một nhóm các thuật toán băm mã hóa (hashing algorithms) được sử dụng trong
chứng thực dữ liệu và tạo ra mã hash độc nhất cho dữ liệu nhập vào.
Mã hash thường được sử dụng để kiểm tra tính toàn vẹn của dữ liệu và xác nhận rằng dữ
liệu không bị thay đổi trong quá trình truyền tải hoặc lưu trữ.
Có nhiều phiên bản SHA, bao gồm SHA-1, SHA-256, SHA-384, và SHA-512. Trong đó, SHA-256
và SHA-512 được sử dụng phổ biến hơn và được coi là an toàn và bền vững hơn.
SHA-1 đã bị coi là không an toàn do bị tấn công và khuyến nghị không sử dụng nữa.
SYN flood (hoặc SYn flood TCP) là một loại tấn công mạng dựa trên TCP (Transmission
Control Protocol) nhằm làm quá tải máy chủ hoặc thiết bị mạng bằng cách gửi một lượng lớn
các gói tin SYN (Synchronize) giả mạo. Đây là một trong những hình thức tấn công phổ biến
và hiệu quả trong thế giới mạng.
Khi hai máy tính muốn thiết lập một kết nối TCP, trước khi bắt đầu gửi dữ liệu, chúng cần
thiết lập một bắt tay (handshake) ba bước: SYN, SYN-ACK và ACK.

Cơ chế hoạt động của tấn công SYN flood như sau:

 Tấn công bắt đầu bằng việc tạo nhiều gói tin SYN với địa chỉ nguồn giả mạo và địa chỉ
đích là máy chủ hoặc thiết bị mạng mục tiêu. Mỗi gói tin SYN giả mạo khiến máy chủ
tiêu thụ một lượng tài nguyên nhất định để xử lý.
 Máy chủ nhận các gói tin SYN và gửi gói tin SYN-ACK (synchronization
acknowledgment) đáp trả về địa chỉ nguồn của gói tin SYN. Tuy nhiên, vì địa chỉ
nguồn giả mạo, gói tin SYN-ACK này không thể gửi tới địa chỉ nguồn thực sự.
 Do không nhận được gói tin SYN-ACK đáp trả, máy tính nguồn không gửi gói tin ACK
(acknowledgment) để hoàn tất bắt tay. Tuy nhiên, máy chủ vẫn đợi một khoảng thời
gian (timeout) trước khi hủy bỏ bắt tay.
 Vì vậy, với lượng lớn gói tin SYN giả mạo, máy chủ hoặc thiết bị mạng mục tiêu sẽ
tiêu tốn một lượng lớn tài nguyên để xử lý các yêu cầu kết nối và cuối cùng sẽ trở
nên quá tải, dẫn đến việc gây gián đoạn hoặc chậm trễ trong dịch vụ.
SYN flood thường được sử dụng như một hình thức tấn công từ chối dịch vụ (DoS - Denial of
Service) hoặc từ chối dịch vụ phân tán (DDoS - Distributed Denial of Service) để tắc nghẽn
hoặc làm ngừng hoạt động các dịch vụ mạng. Để đối phó với SYN flood, các giải pháp bảo
mật như giới hạn tần suất kết nối, cấu hình bảo vệ chống SYN flood và sử dụng thiết bị
chuyển tiếp tối ưu có thể được triển khai để giảm thiểu tác động của tấn công.

SYN flood ICMP (Internet Control Message Protocol) là một loại tấn công mạng trong đó tấn
công được thực hiện bằng cách gửi một lượng lớn các gói tin ICMP Echo Request giả mạo
đến một máy chủ hoặc thiết bị mạng mục tiêu. Đây là một trong các biến thể của tấn công
DDoS (Distributed Denial of Service) hoặc tấn công từ chối dịch vụ.
Cơ chế hoạt động của tấn công SYN flood ICMP tương tự như tấn công SYN flood TCP, nhưng
thay vì sử dụng gói tin SYN, nó sử dụng gói tin ICMP Echo Request (ping) để quấy rối máy chủ
hoặc thiết bị mạng mục tiêu.
Khi một máy tính gửi một gói tin ICMP Echo Request đến một địa chỉ IP, máy chủ hoặc thiết
bị mạng nhận gói tin và phản hồi bằng một gói tin ICMP Echo Reply. Tuy nhiên, trong tấn
công SYN flood ICMP, máy chủ nhận được một lượng lớn gói tin ICMP Echo Request từ địa
chỉ nguồn giả mạo.