TÌM HIỂU BẢO MẬT LAN VÀ TRIỂN KHAI IPTABLES TRÊN LINUX

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.17 MB, 67 trang )

<span class="text_page_counter">Trang 1</span><div class="page_container" data-page="1">

<b>LỜI CẢM ƠN </b>

Trước hết, em xin chân thành cảm ơn Thầy giáo Ths. Hoàng Hữu Đức là người trực tiếp hướng dẫn, giúp đỡ em trong q trình nghiên cứu và hồn thiện đồ án tốt nghiệp này.

Em cũng chân thành cảm ơn các Thầy Cô giáo trong Khoa Khoa Học Máy Tính đặc biệt là các Thầy Cơ trong bộ mơn mạng máy tính, những người đã từng giảng dạy, chỉ bảo chúng em trong suốt những quá trình học tập.

Do thời gian và kiến thức có hạn, với một lĩnh vực cịn khá mới lạ và đang phát triển mạnh nên không tránh khỏi những thiếu sót nhất định. Em rất mong nhận được sự đóng góp ý kiến của Thầy Cơ giáo và các bạn.

<i><b>Em xin chân thành cảm ơn! </b></i>

Đà Nẵng, tháng 06 năm 2013 Sinh viên thực hiện

<b>Phùng Văn Đại </b>

</div><span class="text_page_counter">Trang 2</span><div class="page_container" data-page="2">

<b>LỜI MỞ ĐẦU </b>

Ngày nay, nhu cầu dịch vụ trực tuyến ngày càng phổ biến để phục vụ cho người dùng, bên cạnh đó khoa học và cơng nghệ phát triển xong để đáp ứng các nhu cầu đó, thì buộc các cơ quan, tổ chức phải sử dụng vào mạng tồn cầu internet. An tồn và bảo mật thơng tin là một trong những vấn đề quan trọng hàng đầu, khi thực hiện kết nối mạng nội bộ của các cơ quan, doanh nghiệp, tổ chức với internet. Ngày nay, nhiều biện pháp an toàn thơng tin cho máy tính cá nhân cũng như các mạng nội bộ đã được nghiên cứu và triển khai. Tuy nhiên, vẫn thường xun có các mạng bị tấn cơng, có các tổ chức bị đánh cắp thông tin, gây nên những hậu quả vô cùng nghiêm trọng.

Những vụ tấn công này nhằm vào tất cả các máy tính có mặt trên internet, các máy tính, website của các tổ chức, công ty lớn với nhiều mục đích khác nhau. Phần rất lớn các vụ tấn cơng khơng được thơng báo vì nhiều lý do, trong đó có thể kể đến nỗi lo mất uy tín hoặc chỉ đơn giản những người quản trị dự án không hề hay biết những vụ tấn công nhằm vào hệ thống của họ. Không chỉ các vụ tấn cơng tăng lên nhanh chóng mà các phương pháp tấn công cũng liên tục được cải tiến ngày càng tinh vi hơn. Điều đó một phần do các nhân viên quản trị hệ thống không đề cao cảnh giác. Vì vậy việc kết nối mạng nội bộ của cơ quan tổ chức mình vào mạng internet mà khơng có các biện pháp đảm bảo an ninh thì nguy cơ tấn cơng mạng ln bị rình rập.

Từ đó địi hỏi các cơ quan, tổ chức phải sử dụng mạng internet phải chú ý đảm

<b>bảo an toàn thơng tin trong q trình kết nối. Bởi vậy, em đã lựa chọn đề tài: “Tìm hiểu bảo mật LAN và triển khai Iptables trên Linux”, nhằm điều khiển luồng thông </b>

tin ra, vào và bảo vệ hệ thống mạng tránh sự tấn cơng từ internet.

<b>Bố cục chính của đề tài gồm 4 chương: </b>

Chương 1: Tổng quan về bảo mật mạng máy tính. Chương 2: Giới thiệu về iptables.

Chương 3: Tìm hiểu firewall iptables trong hệ điều hành Linux. Chương 4: Triển khai và thực nghiệm firewall iptables.

</div><span class="text_page_counter">Trang 3</span><div class="page_container" data-page="3">

<b>Chương 1: TỔNG QUAN VỀ BẢO MẬT MẠNG MÁY TÍNH ... 1 </b>

1.1.1 Tình hình an ninh mạng trên thế giới ... 1

1.1.2 Tình hình an ninh mạng tại Việt Nam ... 1

1.1.3 Các giải pháp cơ bản đảm bảo an ninh ... 2

<b>1.2. Các vấn đề bảo mật hệ thống mạng... 4 </b>

1.2.1 Vấn đề chung về bảo mật hệ thống và mạng ... 4

1.2.2 Các loại lỗ hổng bảo mật và phương thức tấn công mạng ... 6

1.3.1 Mạng không dây (Wireless Local Area Network - WLAN) ... 10

1.3.2 Mạng LAN ảo (Virtual Local Area Network - VLAN) ... 11

<b>Chương 2: GIỚI THIỆU VỀ IPTABLE ... 13 </b>

<b>2.1. Giới thiệu về firewall ... 13 </b>

2.1.1 Các chức năng của Firewall ... 13

2.1.2 Phân loại Firewall ... 13

2.1.3 Một số kiến trúc của Firewall ... 17

2.1.4 Những hạn chế của Firewall ... 23

<b>2.2. Các chiến lược xây dựng Firewall ... 23 </b>

2.2.1 Quyền hạn tối thiểu ... 23

2.2.2 Bảo vệ theo chiều sâu ... 23

</div><span class="text_page_counter">Trang 4</span><div class="page_container" data-page="4">

2.4.4 Bộ lọc sesion thông minh ... 32

<b>Chương 3:TÌM HIỂU FIREWALL IPTABLES TRONG HỆ ĐIỀU HÀNH LINUX ... 34 </b>

<b>3.1. IPtables trên Redhat ... 34 </b>

3.1.1 Giới thiệu về Iptables ... 34

3.1.2 Q trình chuyển gói dữ liệu qua Netfilter ... 35

3.1.3 Cơ chế xứ lý gói tin trong Iptables. ... 35

<b>3.2. Các tham số dòng lệnh thường gặp ... 38 </b>

<b>3.3. Giới thiệu về bảng NAT (Network Address Traslation) ... 40 </b>

3.3.1 Khái niêm căn bản về NAT ... 40

<b>4.2. Mơ hình mạng triển khai ... 47 </b>

</div><span class="text_page_counter">Trang 5</span><div class="page_container" data-page="5">

<b>DANH MỤC CÁC TỪ VIẾT TẮT </b>

DNS Domain Name System Hệ thống phân giải tên miền FTP File Transfer Protocol Giao thức truyền file

IP Internet Protocol Giao thức liên mạng NAT Network Address Translation Biên dịch địa chỉ mạng VPN Virtual Private Network Mạng riêng ảo

SMTP Simple Mail Transfer Protocol Giao thức truyền tải thư điện tử đơn giản SMNP <sup>Simple Network Management </sup>

NFS Network File System <b>Dịch vụ chia sẽ tài nguyên trên RedHat </b>

DMZ Demilitarized Zone Vùng phi quân sự

HTTP Hyper Text Transfer Protocol Giao thức truyền tải siêu văn bản DDoS Distributed Denial of Service Tấn công từ chối dịch vụ phân tán DoS Denial of Service Tấn công từ chối dịch vụ

VNISA <sup>Vietnam Information Security </sup>

Association Hiệp hội an tồn thơng tin Việt Nam WLAN Wireless Local Area Network Mạng không dây cục bộ

</div><span class="text_page_counter">Trang 6</span><div class="page_container" data-page="6">

<b>DANH MỤC HÌNH ẢNH </b>

Hình 2.1: Mơ hình sử dụng firewall phần cứng ... 14

Hình 2.2: Mơ hình sử dụng firewall phần mềm ... 16

Hình 2.3: Sơ đồ kiến trúc Dual–homed Host ... 17

Hình 2.4: Sơ đồ kiến trúc Screened Host ... 18

Hình 2.5: Sơ đồ kiến trúc Screened Subnet Host ... 20

Hình 2.6: Sơ đồ kiến trúc sử dụng 2 Bastion Host ... 21

Hình 2.7: Sơ đồ kiến trúc ghép chung router trong và router ngồi ... 22

Hình 2.8: Sơ đồ kiến trúc ghép chung bastion host và router ngoài ... 22

Hình 2.9: Sơ đồ phần thành của firewall ... 28

Hình 2.10: Gói tin ở tầng Network ... 29

Hình 2.11: Tầng Application ... 30

Hình 2.12: Ứng dụng cổng mạch ở lớp 4 trong mơ hình OSI ... 32

Hình 2.13: Circuit Gateway ... 32

Hình 3.1: Firewall IPTable trong Linux ... 34

Hình 3.2: Chuyển đổi gói dữ liệu qua Netfilter ... 35

Hình 3.3: Quá trình xử lý gói tin trong bảng Filter ... 36

Hình 3.4: Q trình xử lý gói tin trong bảng NAT ... 36

Hình 3.5: Q trình xử lý gói tin trong bảng Mangle ... 37

Hình 4.1: Mơ hình mạng trường CĐ CNTT Hữu Nghị Việt Hàn ... 46

Hình 4.2: Mơ hình mạng triển khai ... 47

Hình 4.3: Cấu hình địa chỉ IP trên card eth0 ... 48

Hình 4.4:Cấu hình địa chỉ IP trên card eth1 và eth2 ... 48

Hình 4.5: Cấu hình Forward ... 48

Hình 4.6: Cấu hình ipv4 forward ... 49

</div><span class="text_page_counter">Trang 7</span><div class="page_container" data-page="7">

Hình 4.7: Cấu hình iptables-config ... 49

Hình 4.8: Cấu hình xóa các rule mặc định ... 49

Hình 4.9: Cấu hình forward gói tin đi vào eth2 và đi ra eth0 ... 50

Hình 4.10: Cấu hình kết nối đi vào eth0 và ra eth2 ... 50

Hình 4.11: Cấu hình NAT POSTROUTING ... 50

Hình 4.12: Cấu hình HTTP FTP POP3 và SMTP đi vào eth2 và ra eth1 ... 51

Hình 4.13: Cấu hình forward gói tin dns vào eth2 và ra eth1 ... 51

Hình 4.14: Cấu hình các gói tin đi vào eth1 và đi ra eth2 ... 51

Hình 4.15: Cấu hình NAT PREROUTING port 80,21 đi vào eth2 ... 52

Hình 4.16: Cấu hình NAT PREROUTING port 110,143,21 đi vào eth2 ... 52

Hình 4.17: Cấu hình NAT PREROUTING DNS ... 52

Hình 4.18: Cấu hình NAT POSTROUTING địa chỉ 10.10.10.2 đi ra eth1 ... 53

Hình 4.19: Cấu hình NAT POSTROUTING địa chỉ n10.10.10.3 đi ra eth1 ... 53

Hình 4.20: Chặn gói tin với port 25... 53

Hình 4.21: Chặn gói tin với dãy địa chỉ IP ... 53

Hình 4.22: Giới hạn gói tin ICMP ... 53

Hình 4.23: Cấu hình syn flood ... 54

Hình 4.24: Cấu hinh địa chỉ IP trên máy SERVER ... 54

Hình 4.25: Cấu hình web server ... 54

Hình 4.26: Cấu hình địa chỉ IP trên máy MailServer ... 55

Hình 4.27: Cấu hình địa chỉ IP ... 55

Hình 4.28: Kiểm tra kết nối internet trên PC1 ... 55

Hình 4.29: Phân giải tên miền DNS ... 56

Hình 4.30: PC1 truy cập web server trên máy SERVER ... 56

Hình 4.31: PC1 truy cập FTP Server trên máy SERVER ... 57

Hình 4.32: Kiểm tra mail server với giao thức POP3 và SMTP ... 57

Hình 4.33: Hộp thư mail nhận trên máy PC2 ... 58

Hình 4.34: Atack sử dụng httpdos tấn cơng Web Server ... 58

Hình 4.35: Cấu hình chặn gói tin SYN từ máy attack ... 58

</div><span class="text_page_counter">Trang 8</span><div class="page_container" data-page="8">

<b>Chương 1: TỔNG QUAN VỀ BẢO MẬT MẠNG MÁY TÍNH </b>

Với sự xuất hiện của hàng loạt các cuộc tấn công trực tuyến trong thời gian qua, báo hiệu thời kì khó khăn cho các ngân hàng trực tuyến trên toàn thế giới. Năm 2012, một số cuộc tấn công nhằm vào các ngân hàng Mỹ, khiến cho các website của các ngân hàng này ngừng trệ hoặc dừng hẳn. Theo Prolexic, một công ty về hạn chế các cuộc tấn từ chối dịch vụ phân tán (DDoS). Cụ thể là một loại virus mới có tên Itsoknoproblembro, có khả năng gây lây nhiễm cho các máy chủ tại các trung tâm dữ liệu, các nhà cung cấp dịch vụ đám mây, biến các máy chủ đó thành các “bRobots” mà hầu như khơng chương trình chống virus nào hiện nay dị tìm ra được chúng. Bằng việc gây lây nhiễm cho các trung tâm dữ liệu thay vì các máy tính đơn lẻ, những kẻ tấn cơng đã giành lấy sức mạnh tính tốn để dựng lên vô số các cuộc tấn công từ chối dịch vụ.

Khi nói đến vấn đề bảo mật, hầu hết các chuyên gia bảo mật đều chú trọng đến sự an toàn của hệ thống mạng và hệ điều hành. Để bảo vệ cho hệ thống, phương pháp thường được chọn là sử dụng tường lửa. Theo khảo sát của tập đoàn Symantec cho thấy trong giai đoạn từ tháng 7/2011 tới 7/2012 tội phạm mạng đã thực hiện các vụ tấn công gây thiệt hại lên tới 110 tỷ USD. Tại Hoa Kỳ, khoảng 20 tỷ USD của 70 triệu nạn nhân đã không cánh mà bày do các hành động phá hoại từ các hacker. Khảo sát cũng cho thấy khoảng 556 triệu người đã từng hứng chịu các hành động phá hoại của tin tặc, con số này thậm chí cịn lớn hơn dân số Châu Âu ở thời điểm hiện tại.

Thống kê cho thấy 15% số tài khoản mạng xã hội từng bị xâm nhập, 10% người dùng bị dính phải các link website chứa mã độc hại, 75% lổ hổng từ các website.

An ninh mạng là một vấn đề mới đối với đa số người sử dụng máy tính. Những cơng ty lập trình website cũng chưa ý thức đầy đủ về vấn đề này. Ở công ty nước ngồi, mỗi lập trình viên sau khi tuyển dụng phải qua một khố đào tạo lập trình đặc biệt về an ninh mạng một số chứng chỉ như: CCNA (Cisco Certified Network Associate), CCNP (Cisco Certified Network Professional). Tìm được cơng ty thiết kế website ở Việt Nam làm điều này rất khó. Việc đầu tư thời gian và công sức vào bảo mật có thể làm chậm tiến độ triển khai dự án, hiệu quả lại khó kiểm chứng. Tuy đã

</div><span class="text_page_counter">Trang 9</span><div class="page_container" data-page="9">

được các chuyên gia máy tính liên tục cảnh báo nhưng nhận thức về nguy cơ, tính rủi ro và hậu quả của tình trạng mất an ninh mạng vẫn chưa được quan tâm tìm hiểu đúng mức. Tình trạng lơ là, mất cảnh giác đối với nguy cơ virus tấn công các trang web xảy ra khá phổ biến trong giới quản trị website, thậm chí ngay cả đối với website của các doanh nghiệp CNTT.

Tại ngày an tồn thơng tin 2012 do hiệp hội an tồn thơng tin Việt Nam VNISA (Vietnam Information Security Association) tổ chức ở Thành phố Hồ Chí Minh ngày 16/11, nhiều chuyên gia an ninh mạng đều có chung một đánh giá tình hình an tồn thơng tin trên thế giới và cả Việt Nam năm qua khơng có q nhiều các sự kiện nổi cộm, nhưng các cuộc tấn công xâm nhập, các hành vi vụ lợi thông qua sử dụng công nghệ cao và mạng internet vẫn xảy ra phổ biến. Tháng 5/2012, VNISA đánh giá ngẫu nhiên 100 website tên miền .gov.vn cho thấy 78% số website có thể bị tấn cơng tồn diện.

Việt Nam, với sự đầu tư cho an tồn thơng tin chưa nhiều, sẽ có nguy cơ chịu khơng ít rủi ro. Đặc biệt, trong năm 2012, không chỉ các website của doanh nghiệp, chính phủ, mà cả những website của các công ty bảo mật hàng đầu Việt Nam cũng bị tấn công. Trong năm nay, số lượng các máy tính bị nhiễm mã độc cũng khơng có dấu

<i>hiệu giảm (18,1/1000 máy tính), đây chính là các “trái bom” trong hệ thống thơng tin </i>

chưa thể loại trừ được.

Hiện nay, phần lớn các doanh nghiệp Việt Nam chưa có sự đầu tư đúng mức về công nghệ bảo mật cũng như về con người do chi phí cho lĩnh vực này khá cao. BKIS cho biết, các lổ hổng bảo mật trên các trang web của Việt Nam phần lớn là do các công ty viết phần mềm chưa quan tâm đến an toàn hệ thống và đầu tư cho an ninh mạng chưa đủ ngưỡng. Người quản trị mạng chưa làm tốt những công việc như: Đặt mật khẩu yếu, mở nhiều dịch vụ không cần thiết, các doanh nghiệp và tổ chức ở Việt Nam thường đầu tư dưới 10% chi phí CNTT cho bảo mật, một tỷ lệ dưới mức đảm bảo an toàn cho hệ thống thông tin.

An ninh mạng máy tính có thể bị đe dọa từ rất nhiều góc độ và nguyên nhân khác nhau. Đe dọa an ninh có thể xuất phát từ bên ngồi mạng nội bộ hoặc cũng có thể xuất phát từ ngay bên trong tổ chức. Do đó, việc đảm bảo an ninh an tồn cho mạng máy

</div><span class="text_page_counter">Trang 10</span><div class="page_container" data-page="10">

tính cần phải có nhiều giải pháp cụ thể khác nhau. Tuy nhiên, tổng quan có ba giải pháp cơ bản sau:

 Giải pháp về phần cứng  Giải pháp về phần mềm  Giải pháp về con người

Đây là ba giải pháp tổng quát mà bất kì một nhà quản trị an ninh nào cũng phải tính đến trong công tác đảm bảo an ninh mạng máy tính. Mỗi giải pháp có một ưu nhược điểm riêng mà người quản trị an ninh cần phải biết phân tích, tổng hợp và chọn lựa để tạo khả năng đảm bảo an ninh tối ưu nhất cho tổ chức mình.

o Giải pháp về phần cứng:

- Giải pháp phần cứng là giải pháp sử dụng các thiết bị vật lý như các hệ thống

<i>máy chuyên dụng, cũng có thể là các thiết lập trong mơ hình mạng (thiết lập kênh </i>

<i>truyền riêng, mạng riêng). Giải pháp phần cứng thông thường đi kèm với nó là hệ </i>

thống phần mềm điều khiển tương ứng. Đây là một giải pháp khơng phổ biến, vì khơng linh hoạt trong việc đáp ứng với sự phát triển và thay đổi của các công nghệ, các dịch vụ mới xuất hiện và chi phí rất cao.

o Giải pháp về phần mềm:

- Khác với giải pháp phần cứng, giải pháp phần mềm hết sức đa dạng. Giải pháp phần mềm có thể phụ thuộc hay không phụ thuộc vào phần cứng. Cụ thể các giải pháp về phần mềm như: Các phương pháp xác thực, các phương pháp mã hoá, mạng riêng ảo, các hệ thống bức tường lửa. Các phương pháp xác thực và mã hố đảm bảo cho thơng tin truyền trên mạng một cách an tồn nhất. Vì với cách thức làm việc của nó, thơng tin thật trên đường truyền được mã hoá mà những kẻ trộm không thể thấy được, hoặc nếu thông tin bị sửa đổi thì tại nơi nhận có cơ chế phát hiện sự sửa đổi đó. Cịn phương pháp sử dụng hệ thống bức tường lửa lại đảm bảo an ninh ở góc độ khác.

<i>- Bằng cách thiết lập các luật tại một điểm đặc biệt (gọi là điểm nghẹt) giữa hệ thống mạng bên trong (mạng cần bảo vệ) với hệ thống mạng bên ngoài (mạng được </i>

<i>coi là khơng an tồn về bảo mật), hệ thống bức tường lửa hồn tồn có thể kiểm sốt </i>

các kết nối trao đổi thông tin giữa hai mạng. Với cách thức này, hệ thống tường lửa đảm bảo an ninh khá tốt cho hệ thống mạng cần bảo vệ. Như thế, giải pháp về phần mềm gần như hồn tồn gồm các chương trình máy tính, do đó chi phí cho giải pháp này ít hơn so với giải pháp về phần cứng.

</div><span class="text_page_counter">Trang 11</span><div class="page_container" data-page="11">

o Giải pháp về con người:

- Bên cạnh hai giải pháp trên, giải pháp về chính sách con người là một giải pháp hết sức cơ bản và khơng thể thiếu được. Vì như phần trên đã trình bày, vấn đề an ninh mạng máy tính hồn tồn là vấn đề con người, do đó việc đưa ra một hành lang pháp lý và các quy nguyên tắc làm việc cụ thể là cần thiết. Ở đây, hành lang pháp lý có thể gồm: Các điều khoản trong bộ luật của nhà nước, các văn bản dưới luật, còn các quy định có thể do từng tổ chức đặt ra cho phù hợp với từng đặc điểm riêng. Các quy định có thể như: Quy định về nhân sự, việc sử dụng máy, sử dụng phần mềm. Và như vậy, sẽ hiệu quả nhất trong việc đảm bảo an ninh an tồn cho hệ thống mạng máy tính một khi ta thực hiện triệt để giải pháp về chính sách con người.

Tóm lại, vấn đề an ninh mạng máy tính là một vấn đang được các nhà quản lý internet, người quản trị và người sử dụng rất quan tâm, lo ngại về tình hình an ninh mạng hiện nay, nó yêu cầu cần phải kết hợp các giải pháp: Phần cứng, phần mềm và con người. Do đó, một trong những vấn đề mấu chốt của việc đảm bảo tính an tồn, an ninh khi sử dụng mạng internet là vấn đề tự giáo dục và nâng cao ý thức của người sử dụng cũng như trách nhiệm của những nhà cung cấp dịch vụ trong bối cảnh internet được phát triển mạnh và khơng kiểm sốt được như ngày nay.

<b>1.2. Các vấn đề bảo mật hệ thống mạng </b>

<b>1.2.1.Vấn đề chung về bảo mật hệ thống và mạng </b>

Đặc điểm chung của một hệ thống mạng là có nhiều người sử dụng chung và

<i>phân tán về mặt địa lý nên việc bảo vệ tài nguyên (mất mát hoặc sử dụng không hợp </i>

<i>lệ) phức tạp hơn nhiều so với việc mơi trường một máy tính đơn lẻ, hoặc một người sử </i>

dụng.

Hoạt động của người quản trị hệ thống mạng phải đảm bảo các thông tin trên mạng là tin cậy và được sử dụng đúng mục đích, đối tượng đồng thời đảm bảo mạng hoạt động ổn định không bị tấn công bởi những kẻ phá hoại.

Nhưng trên thực tế là không một mạng nào đảm bảo là an toàn tuyệt đối, một hệ thống dù được bảo vệ chắc chắn đến mức nào thì cũng có lúc bị vơ hiệu hóa bởi những kẻ có ý đồ xấu.

<i><b>a) Đối tượng tấn công mạng </b></i>

Đối tượng là những cá nhân hoặc tổ chức sử dụng những kiến thức về mạng và

</div><span class="text_page_counter">Trang 12</span><div class="page_container" data-page="12">

lỗ hổng bảo mật trên hệ thống, thực hiện các hoạt động xâm nhập và chiếm đoạt tài nguyên trái phép.

Một số đối tượng tấn công mạng như:

<b>Hacker: Là những kẻ xâm nhập vào mạng trái phép bằng cách sử dụng các công </b>

cụ phá mật khẩu hoặc khai thác các điểm yếu của thành phần truy nhập trên hệ thống.

<b>Masquerader: Là những kẻ giả mạo thông tin trên mạng như giả mạo địa chỉ IP, </b>

tên miền, định danh người dùng.

<b>Eavesdropping: Là những đối tượng nghe trộm thông tin trên mạng, sử dụng các </b>

cơng cụ sniffer, sau đó dùng các cơng cụ phân tích và debug để lấy được các thơng tin có giá trị.

Những đối tượng tấn cơng mạng có thể nhằm nhiều mục đích khác nhau như ăn cắp các thơng tin có giá trị về kinh tế, phá hoại hệ thống mạng có chủ định, hoặc có thể đó là những hành động vô ý thức.

Các lỗ hổng bảo mật là những điểm yếu trên hệ thống hoặc ẩn chứa trong một dịch vụ mà dựa vào đó kẻ tấn cơng có thể xâm nhập trái phép vào hệ thống để thực hiện những hành động phá hoại chiếm đoạt tài nguyên bất hợp pháp.

Có nhiều nguyên nhân gây ra những lỗ hổng bảo mật: Có thể do lỗi của bản thân hệ thống, hoặc lỗ hổng của phần mềm hoặc người quản trị yếu kém không hiểu sâu về các dịch vụ cung cấp.

Mức độ ảnh hưởng của các lỗ hổng tới hệ thống là khác nhau. Có lỗ hổng chỉ ảnh hưởng tới chất lượng dịch vụ cung cấp, có lỗ hổng ảnh hưởng tới toàn bộ hệ thống hoặc phá hủy hệ thống.

<i><b>c) Chính sách bảo mật </b></i>

Chính sách bảo mật là tập hợp các quy tắc áp dụng cho những người tham gia quản trị mạng, có sử dụng các tài nguyên và các dịch vụ mạng.

Đối với từng trường hợp phải có chính sách bảo mật khác nhau. Chính sách bảo mật giúp người sử dụng biết trách nhiệm của mình trong việc bảo vệ các tài nguyên trên mạng, đồng thời còn giúp cho nhà quản trị mạng thiết lập các biên pháp đảm bảo hữu hiệu trong quá trình trang bị, cấu hình và kiểm soát hoạt động của hệ thống và mạng.

</div><span class="text_page_counter">Trang 13</span><div class="page_container" data-page="13">

<b>1.2.2. Các loại lỗ hổng bảo mật và phương thức tấn công mạng </b>

Có nhiều các tổ chức đã tiến hành phân loại các dạng lỗ hổng đặc biệt. Theo bộ quốc phòng Mỹ các loại lỗ hổng được phân làm ba loại như sau:

 Lỗ hổng loại C: Cho phép thực hiện các hình thức tấn cơng theo DoS (Denial

<i>of Services - Từ chối dịch vụ) Mức độ nguy hiểm thấp chỉ ảnh hưởng tới chất lượng </i>

dịch vụ, làm ngưng trệ gián đoạn hệ thống, không phá hỏng dữ liệu hoặc đạt được quyền truy cập bất hợp pháp.

DoS là hình thức tấn cơng sử dụng các giao thức ở tầng internet trong bộ giao thức TCP/IP để làm hệ thống ngưng trệ dẫn đến tình trạng từ chối người sử dụng hợp pháp truy nhập hay sử dụng hệ thống.

Các dịch vụ có lỗ hổng cho phép các cuộc tấn cơng DoS có thể được nâng cấp hoặc sửa chữa bằng các phiên bản mới hơn của các nhà cung cấp dịch vụ. Hiện nay chưa có một biện pháp hữu hiệu nào để khắc phục tình trạng tấn cơng kiểu này vì bản thân thiết kế ở tầng internet nói riêng và bộ giao thức TCP/IP nói chung đã ẩn chứa những nguy cơ tiềm tàng của các lỗ hổng loại này.

 Lỗ hổng loại B: Cho phép người sử dụng có thêm các quyền trên hệ thống mà khơng cần kiểm tra tính hợp lệ dẫn đến mất mát thông tin yêu cầu cần bảo mật. Lỗ hổng này thường có trong các ứng dụng trên hệ thống có mức độ nguy hiểm trung bình.

Lỗ hổng loại B này có mức độ nguy hiểm hơn lỗ hổng loại C. Cho phép người sử dụng nội bộ có thể chiếm được quyền cao hơn hoặc truy nhập không hợp pháp. Những lỗ hổng loại này thường xuất hiện trong các dịch vụ trên hệ thống. Người sử dụng mạng cục bộ có quyền truy nhập vào hệ thống với một số quyền hạn nhất định.

Ngoài ra một dạng khác của lỗ hổng loại B xảy ra với các chương trình viết bằng mã nguồn C. Những chương trình viết bằng mã nguồn C thường sử dụng một vùng đệm, một vùng trong bộ nhớ sử dụng để lưu trữ dữ liệu trước khi xử lý. Người lập trình thường sử dụng vùng đệm trong bộ nhớ trước khi gán một khoảng không gian bộ nhớ cho từng khối dữ liệu.

 Lỗ hổng loại A: Cho phép người ngồi hệ thống có thể truy cập bất hợp pháp vào hệ thống. Có thể phá huỷ toàn bộ hệ thống như lây nhiễm virus, các máy chủ

</div><span class="text_page_counter">Trang 14</span><div class="page_container" data-page="14">

bảo mật của hệ thống. Các lỗ hổng này thường xuất hiện ở những hệ thống quản trị yếu kém hoặc không kiểm sốt được cấu hình mạng. Ví dụ với các web server chạy trên hệ điều hành Novell các server này có một scripst là convert.bas chạy scripst này cho phép đọc toàn bộ nội dung các file trên hệ thống.

Những lỗ hổng loại này hết sức nguy hiểm vì nó đã tồn tại sẵn có trên phần mềm sử dụng, người quản trị nếu không hiểu sâu về dịch vụ và phần mềm sử dụng có thể bỏ qua điểm yếu này. Vì vậy thường xuyên phải kiểm tra các thông báo của các nhóm tin về bảo mật trên mạng để phát hiện những lỗ hổng loại này. Một loạt các chương trình phiên bản cũ thường sử dụng có những lỗ hổng loại A như: FTP, Gopher, Telnet,

<i>Sendmail, ARP, Finger. </i>

 Scanner: Là một trương trình tự động rà sốt và phát hiện những điểm yếu về bảo mật trên một trạm làm việc cục bộ hoặc một trạm ở xa. Một kẻ phá hoại sử dụng chương trình scanner có thể phát hiện ra những lỗ hổng về bảo mật trên một server dù ở xa.

Cơ chế hoạt động là rà soát và phát hiện những cổng TCP/UDP được sử dụng trên hệ thống cần tấn công và các dịch vụ sử dụng trên hệ thống đó. Scanner ghi lại những đáp ứng trên hệ thống từ xa tương ứng với dịch vụ mà nó phát hiện ra. Từ đó nó có thể tìm ra điểm yếu của hệ thống.

Những yếu tố để một Scanner hoạt động như sau:

- Yêu cầu thiết bị và hệ thống: Môi trường có hỗ trợ TCP/IP. - Hệ thống phải kết nối vào mạng internet.

Các chương trình Scanner có vai trị quan trọng trong một hệ thống bảo mật, vì chúng có khả năng phát hiện ra những điểm yếu kém trên một hệ thống mạng.

 Password Cracker: Là một chương trình có khả năng giải mã một mật khẩu đã được mã hố hoặc có thể vơ hiệu hố chức năng bảo vệ mật khẩu của một hệ thống.

Một số chương trình phá khố có ngun tắc hoạt động khác nhau. Một số chương trình tạo ra danh sách các từ giới hạn, áp dụng một số thuật toán mã hoá từ kết quả so sánh với password đã mã hoá cần bẻ khoá để tạo ra một danh sách khác theo một logic của chương trình.

Khi thấy phù hợp với mật khẩu đã mã hoá, kẻ phá hoại đã có được mật khẩu dưới dạng text thông thường sẽ được ghi vào một file.

</div><span class="text_page_counter">Trang 15</span><div class="page_container" data-page="15">

Biện pháp khắc phục đối với cách thức phá hoại này là cần xây dựng một chính sách bảo vệ mật khẩu đúng đắn.

<i><b> Sniffer: Là các công cụ (phần cứng hoặc phần mềm) “bắt” các thông tin trên </b></i>

mạng và lấy các thơng tin có giá trị trao đổi trên mạng.

<i>Sniffer có thể “bắt” được các thông tin trao đổi giữa nhiều trạm làm việc với </i>

nhau. Thực hiện bắt các gói tin từ tầng IP trở xuống. Giao thức ở tầng IP được định nghĩa công khai, và cấu trúc các trường header rõ ràng, nên việc giải mã các gói tin này khơng khó khăn. Sniffer thường được sử dụng vào hai mục đích khác nhau, nó có thể là một công cụ giúp cho các quản trị mạng theo dõi và bảo trì hệ thống mạng của mình hoặc có thể là một chương trình được cài vào một hệ thống mạng máy tính với mục đích đánh hơi, nghe lén các thông tin trong hệ thống mạng. Khi sniffer sử dụng chế độ promiscuous nó có thể nhìn thấy tất cả thơng tin đang trao đổi trong mạng nằm trong một hệ thống mạng.

Các thiết bị sniffer có thể bắt được tồn bộ thông tin trao đổi trên mạng là dựa vào nguyên tắc broadcast các gọi tin trong mạng ethernet.

Tuy nhiên việc thiết lập một hệ thống sniffer khơng phải đơn giản vì cần phải xâm nhập được vào hệ thống mạng đó và cài đặt các phần mềm sniffer.

Đồng thời các chương trình sniffer cũng yêu cầu người sử dụng phải hiểu sâu về kiến trúc, các giao thức mạng.

Việc phát hiện hệ thống bị sniffer khơng phải đơn giản, vì sniffer hoạt động ở tầng rất thấp, và không ảnh hưởng tới các ứng dụng cũng như các dịch vụ hệ thống đó cung cấp.

Tuy nhiên việc xây dựng các biện pháp hạn chế sniffer cũng không quá khó khăn nếu ta tuân thủ các nguyên tắc về bảo mật như:

- Không cho người lạ truy nhập vào các thiết bị trên hệ thống. - Quản lý cấu hình hệ thống chặt chẽ.

- Thiết lập các kết nối có tính bảo mật cao thơng qua các cơ chế mã hố.

 Trojan: Là một chương trình dạng virus nhằm thực hiện một việc nào đó trên máy tính bị nhiễm mà không được sự cho phép hoặc người dùng không biết, Chúng có khả năng tự nhân bản, lây lan sang các tập tin, chương trình khác trong máy tính và sang máy tính khác.Ví dụ như File virus (Jerusalem, Cascade...), Boot virus (Disk

</div><span class="text_page_counter">Trang 16</span><div class="page_container" data-page="16">

động máy. Những chương trình virus thường che dấu các đoạn mã trong các chương trình sử dụng hợp pháp. Khi những chương trình này được kích hoạt thì những đoạn mã ẩn dấu sẽ thực thi và chúng thực hiện một số chức năng mà người sử dụng không biết như: Ăn cắp mật khẩu hoặc copy file mà người sử dụng nhưng ta thường không hay biết.

Trojans sẽ thực hiện một trong những công việc sau:

- Thực hiện một vài chức năng hoặc giúp người lập trình lên nó phát hiện những thông tin quan trọng hoặc những thông tin cá nhân trên một hệ thống hoặc chỉ trên một vài thành phần của hệ thống đó.

- Che dấu một vài chức năng hoặc là giúp người lập trình phát hiện những thơng tin quan trọng hoặc những thông tin cá nhân trên một hệ thống hoặc chỉ trên một vài thành phần của hệ thống.

- Ngồi ra cịn có các chương trình trojan có thể thực hiện đựợc cả hai chức năng này. Có chương trình trojan cịn có thể phá hủy hệ thống bằng cách phá hoại các thông tin trên ổ cứng. Nhưng ngày nay các trojans kiểu này dễ dàng bị phát hiện và khó phát huy được tác dụng.

- Tuy nhiên có những trường hợp nghiêm trọng hơn những kẻ tấn công tạo ra những lỗ hổng bảo mật thông qua trojans và kẻ tấn công lấy được quyền root trên hệ thống và lợi dụng quyền đó để phá hủy một phần hoặc toàn bộ hệ thống hoặc dùng quyền root để thay đổi logfile, cài đặt các chương trình trojans khác mà người quản trị không thể phát hiện được gây ra mức độ ảnh hưởng rất nghiêm trọng và người quản trị chỉ cịn cách cài đặt lại tồn bộ hệ thống.

Khi nói đến vấn đề bảo mật cho mạng LAN ta thường quan tâm tới những vấn đề chính là bảo mật thông tin dữ liệu trao đổi bên trong mạng nội bộ, bảo mật thông tin dữ liệu trao đổi từ trong mạng ra bên ngoài và từ bên ngoài vào trong mạng. Việc kiểm soát được những truy cập bất hợp pháp từ bên ngoài vào cũng như kiểm sốt những truy cập khơng cho phép từ trong nội bộ mạng ra bên ngoài. Cùng với sự phát triển mạnh mẽ của internet và nhu cầu kết nối mạng nội bộ với internet thì vấn đề đảm bảo an tồn, an ninh mạng càng trở nên khó khăn và cần thiết.

</div><span class="text_page_counter">Trang 17</span><div class="page_container" data-page="17">

<b>1.3.1 Mạng không dây (Wireless Local Area Network - WLAN) </b>

Các giải pháp bảo mật mạng không dây WLAN: - WEP (Wried Equivalent Privacy)

- WLAN VPN - 802.1X và EAP

- WPA (Wi-fi Protected Access) - WPA2

<i><b>a) WEP (Wried Equivalent Privacy): </b></i>

- Chuẩn 802.11 cung cấp tính riêng tư cho dữ liệu bằng thuật toán WEP. WEP dựa trên mật mã dòng đối xứng RC4 (Ron’s code 4) được Ron Rivest thuộc hãng RSA Security Inc phát triển.

- Một giá trị có tên Initialization Vector (IV) được sử dụng để cộng thêm với khóa nhằm tạo ra khóa khác nhau mỗi lần mã hóa.

- Hiện nay, trên internet đã sẵn có những cơng cụ có khả năng tìm khóa WEP như AirCrack, AirSnort, dWepCrack, WepAttack, WepCrack, WepLab.

WLAN VPN:

- Mạng riêng ảo VPN bảo vệ mạng WLAN bằng cách tạo ra một kênh che chắn dữ liệu khỏi các truy cập trái phép. VPN tạo ra một tin cậy cao thông qua việc sử dụng một cơ chế bảo mật như IPSec (Internet Protocol Security). IPSec dùng các thuật toán mạnh như Data Encryption Standard (DES) và Triple DES (3DES) để mã hóa dữ liệu, và dùng các thuật tốn khác để xác thực gói dữ liệu.

- Khi được sử dụng trên mạng WLAN, cổng kết nối của VPN đảm nhận việc

802.1x: Là chuẩn đặc tả cho việc truy cập dựa trên cổng (port-based) được định nghĩa bởi IEEE. Hoạt động trên cả mơi trường có dây truyền thống và khơng dây. Khi một người dùng cố gắng kết nối vào hệ thống mạng, kết nối của người dùng sẽ được đặt ở trạng thái bị chặn (blocking) và chờ cho việc kiểm tra định danh người dùng hoàn tất.

EAP: Là phương thức xác thực bao gồm yêu cầu định danh người dùng (password, cetificate,…), giao thức được sử dụng (MD5, TLS - Transport Layer

</div><span class="text_page_counter">Trang 18</span><div class="page_container" data-page="18">

Security, OTP - One Time Password,…) hỗ trợ tự động sinh khóa và xác thực lẫn nhau.

<i><b>c) WPA (Wi-fi Protected Access): </b></i>

- Cải tiến quan trọng nhất của WPA là sử dụng hàm thay đổi khoá TKIP. WPA cũng sử dụng thuật toán RC4 như WEP, nhưng mã hoá đầy đủ 128 bit. Và một đặc điểm khác là WPA thay đổi khố cho mỗi gói tin.

- WPA cịn bao gồm kiểm tra tính tồn vẹn của thơng tin. Vì vậy, dữ liệu khơng thể bị thay đổi trong khi đang ở trên đường truyền.

- WPA có sẵn 2 lựa chọn: WPA Personal và WPA Enterprise. Cả 2 lựa chọn đều sử dụng giao thức TKIP, và sự khác biệt chỉ là khoá khởi tạo mã hoá lúc đầu.

Chuẩn này sử dụng thuật toán mã hoá mạnh mẽ và được gọi là Chuẩn mã hoá nâng cao AES(Advanced Encryption Standard). AES sử dụng thuật toán mã hoá đối xứng theo khối Rijndael, sử dụng khối mã hoá 128 bit, và 192 bit hoặc 256 bit.

<b>1.3.2. Mạng LAN ảo (Virtual Local Area Network - VLAN) </b>

Mạng LAN (Local Area Network – còn gọi là mạng cục bộ) trong đó các máy tính và thiết bị truyền thông mạng được kết nối với nhau trong một khu vực nhỏ như tòa nhà cao ốc, trường đại học, khu giải trí.

Mạng LAN có các đặc điểm sau:

- Băng thơng lớn để có khả năng chạy các ứng dụng trực tuyến như xem phim, giải trí, hội thảo qua mạng.

- Kích thước mạng bị giới hạn bởi thiết bị. - Chi phí thiết kế, lắp đặt mạng LAN rẻ. - Quản trị đơn giản.

VLAN từ viết tắt của Virtual Local Area Network hay còn được gọi là mạng LAN ảo. VLAN là một kỹ thuật cho phép tạo lập các mạng LAN độc lập một logic trên cùng một kiến trúc hạ tầng vật lý. Việc tạo lập nhiều mạng LAN ảo trong cùng một mạng cục bộ (giữa các khoa trong một trường học, giữa các khu vực, phịng ban trong một cơng ty,...) giúp giảm thiểu vùng quảng bá cũng như tạo thuận lợi cho việc quản lý một mạng cục bộ rộng lớn. VLAN cũng tăng cường tính bảo mật bởi vì một nhóm máy tính trong một VLAN chỉ trao đổi thơng trong cùng một VLAN.

Một số tính năng bảo mật:

</div><span class="text_page_counter">Trang 19</span><div class="page_container" data-page="19">

- Port security: Cho phép nhân viên quản trị mạng xác định số lượng máy trạm được phép kết nối đến từng cổng switch.

- Private LANs: Cung cấp biện pháp an ninh và khả nǎng phân vùng các cổng trên switch mà các cổng này của cùng một VLAN. Tính nǎng này đảm bảo rằng người sử dụng có thể giao tiếp chỉ với gateway mặc định của họ mà không phải với gateway của người khác. Private VLAN thường được sử dụng hiệu quả trong các môi trường DMZ (Delimitized Zone).

- STP root guard/BPDU guard: Loại bỏ các cuộc tấn công theo kiểu spanning-tree bằng cách tắt tất cả các cổng có thể gây ra sự thay đổi cấu trúc mạng lớp 2.

- SSH support: Cung cấp một kết nối từ xa an toàn đến các thiết bị lớp 2 và lớp 3. Đối với các kết nối từ xa, SSH cung cấp mức độ bảo mật cao hơn telnet do cung cấp phương pháp mã hoá mạnh hơn khi thiết bị được xác thực. Tính nǎng này có cả SSH server và SSH client tích hợp.

- VMPS (VLAN Membership Policy Server): Cho phép các địa chỉ MAC nhất định tương ứng với các VLAN nhất định. Tính nǎng nàycho phép người sử dụng di động trong mạng campus ln có khả kết nối với cùng một biện pháp an ninh mạng.

- Xác thực IEEE 802.1X: Bảo vệ mạng bằng cách nhận thực người sử dụng theo một cơ sở dữ liệu trung tâm trước khi kết nối được phép thực hiện.

- Wire-rate ACLs: Cho phép các danh sách điều khiển truy nhập được thực hiện mà không làm giảm hiệu nǎng hệ thống.

</div><span class="text_page_counter">Trang 20</span><div class="page_container" data-page="20">

<b>Chương 2: GIỚI THIỆU VỀ IPTABLE </b>

Để bảo vệ mạng nội bộ firewall là một trong những giải pháp bảo vệ mạng hữu hiệu và phổ biến hiện nay. Nó giúp cho các mạng nội bộ tránh khỏi những truy nhập trái phép từ bên ngoài bằng cách điều khiển thông tin ra vào giữa các mạng nội bộ. Nội dung chính của chương này em sẽ giới thiệu tổng quan về firewall, khái niệm, các chức năng của firewall, phân loại firewall, ưu nhược điểm của từng loại firewall, các chiến lược để xây dựng firewall và giới thiệu về cơ chế lọc gói tin.

<b>2.1. Giới thiệu về firewall </b>

Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép từ mạng ngoài vào mạng trong nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ thống khi chưa được cấp quyền hoặc cho phép truy cập. Cũng có thể hiểu rằng firewall là một cơ chế để bảo vệ mạng tin tưởng (Trusted network) khỏi các mạng không tin tưởng (Untrusted network).

Xây dựng firewall giữa mạng của một tổ chức, một công ty, hay một quốc gia và internet. Nó thực hiện vai trị bảo mật các thông tin trong mạng nội bộ ngăn chặn tấn cơng từ bên ngồi.

<b>2.1.1 Các chức năng của Firewall </b>

Chức năng chính của firewall là kiểm sốt luồng thơng tin giữa mạng cần bảo vệ (Trusted Network) và internet thơng qua các chính sách truy nhập đã được thiết lập.

- Cho phép hoặc cấm các dịch vụ truy nhập từ trong ra ngoài và từ ngoài vào trong.

- Kiểm soát địa chỉ truy nhập và dịch vụ sử dụng.

- Kiểm soát khả năng truy cập người sử dụng giữa 2 mạng. - Kiểm sốt nội dung thơng tin truyền tải giữa 2 mạng. - Ngăn ngừa khả năng tấn cơng từ các mạng ngồi.

<b>2.1.2 Phân loại Firewall </b>

Firewall có nhiều loại tuy nhiên mỗi loại có nhưng ưu và nhược điểm riêng. Nhưng thông thường firewall được chia làm 2 loại chính là:

 Firewall phần cứng.  Firewall phần mềm.

</div><span class="text_page_counter">Trang 21</span><div class="page_container" data-page="21">

<i><b>a) Firewall phần cứng </b></i>

Là một thiết bị phần cứng được tích hợp bộ định tuyến, các quy tắc cho việc lọc gói tin được thiết lập ngay trên bộ định tuyến đó. Firewall phần cứng này như một chiếc máy tính chỉ thực hiện chức năng duy nhất là lọc gói tin bằng cách chạy một phần mềm đã được cứng hóa trong đó và chỉ có thể thiết lập các tập luật cịn khơng thể thay đổi bộ định tuyến được cứng hóa và tích hợp bên trong. Tùy vào từng loại firewall phần cứng của các hãng khác nhau mà cho phép người quản trị có khả năng cập nhật những quy tắc lọc gói tin khác nhau.

Khi hoạt động, tường lửa sẽ dựa trên các quy tắc được thiết lập trong bộ định tuyến mà kiểm tra thơng tin header của gói tin như địa chỉ nguồn (source IP address), địa chỉ đích (destination IP address), cổng (Port). Nếu mọi thông tin trong header của gói tin là hợp lệ nó sẽ được cho qua và nếu khơng hợp lệ nó sẽ bị bỏ qua. Chính việc khơng mất thời gian xử lí những gói tin có địa chỉ khơng hợp lệ làm cho tốc độ xử lí của firewall phần cứng rất nhanh và đây chính là ưu điểm lớn nhất của hệ thống firewall phần cứng.

Một điểm đáng chú ‎ là tất cả các loại firewall phần cứng trên thế giới hiện nay đều chưa thể lọc được nội dung của gói tin mà chỉ có thể lọc được phần nội dung trong header của gói tin.

Mơ hình sử dụng firewall phần cứng: Thiết bị phần cứng firewall trong mơ hình này chỉ có một chức năng duy nhất là lọc gói tin mà khơng thể thực hiện bất kì một cơng việc nào khác.

<i>Hình 2.1: Mơ hình sử dụng firewall phần cứng </i>

Trong mơ hình này thơng tin từ mạng internet không thể trực tiếp đi vào vùng mạng được bảo vệ và ngược lại mà nó phải thơng qua firewall phần cứng. Q trình kiểm duyệt xảy ra nếu các thông tin trong phần header của gói tin bao gồm địa chỉ

</div><span class="text_page_counter">Trang 22</span><div class="page_container" data-page="22">

nguồn, địa chỉ đích, cổng (port), được chấp nhận thì nó sẽ được chuyển tiếp vào mạng bên trong hay chuyển ra mạng internet bên ngoài.

Hiện nay trên thị trường có một số hãng sản xuất firewall phần cứng rất nổi tiếng như CISCO, D-LINK, PLANET.

Đặc điểm của Firewall phần cứng:

- Không được linh hoạt như Firewall mềm: Không thể thêm chức năng, thêm quy tắc như firewall mềm.

- Firewall cứng hoạt động ở tầng thấp hơn firewall mềm (Tầng Network và tầng Transport).

- Firewall cứng không thể kiểm tra được nột dung của gói tin. - Thường được sử dụng cho các hệ thống mạng lớn.

<i><b>b) Firewall phần mềm </b></i>

Loại firewall này là một chương trình ứng dụng nguyên tắc hoạt động dựa trên trên ứng dụng proxy, là một phần mềm cho phép chuyển các gói tin mà máy chủ nhận được đến những địa điểm nhất định theo yêu cầu. Và các quy tắc lọc gói tin được người sử dụng tự thiết lập. Người ta thường sử dụng firewall loại này khi một mạng máy tính có máy chủ và mọi thơng tin đều thông qua máy chủ này rồi mới chuyển đến máy con trong mạng hoặc dùng cho máy tính cá nhân khi tham gia mạng. Firewall phần mềm này rất tiện lợi ở chỗ phần mềm có thể dễ dàng thay đổi cập nhật các phiên bản mới.

Cách thức hoạt động của firewall dạng này cũng rất đơn giản. Phần mềm firewall được chạy thường trú trên máy chủ hay máy tính cá nhân. Máy tính này có thể đảm đương nhiều nhiệm vụ ngồi cơng việc là firewall. Mỗi khi có các gói tin được chuyển đến hay chuyển đi nó đều được phần mềm firewall này kiểm tra phần header của gói tin bao gồm các thông tin về địa chỉ đến, địa chỉ đi, giao thức, cổng dịch vụ. Firewall phần mềm mới hiện nay cịn có thể kiểm tra được nội dung của gói tin. Các thơng tin mà firewall kiểm tra được người dùng quy định trước trong tập luật. Nếu gói tin được phần mềm firewall cho qua thì tiếp theo nó sẽ được đưa đến các máy con trong mạng hoặc là các ứng dụng chạy trực tiếp trên máy đó.

</div><span class="text_page_counter">Trang 23</span><div class="page_container" data-page="23">

<i>Hình 2.2: Mơ hình sử dụng firewall phần mềm </i>

Dưới đây là mơ hình thường sử dụng firewall phần mềm: Máy tính dùng làm firewall có thể đảm đương nhiều nhiệm vụ khác nhau ngồi việc là một firewall ví dụ

<i>DNS server, Mail server, Web server ... </i>

Trong mơ hình này máy tính chạy ứng dụng firewall có vai trị trung gian. Nó sẽ nhận các gói tin từ internet và protected network sau đó thực hiện q trình kiểm tra phần header của các gói tin đó gồm thơng tin như : Địa chỉ đến, địa chỉ đi, giao thức, cổng dịch vụ,… Sau đó nếu phần mềm firewall chấp nhận cho gói tin đi qua thì gói tin sẽ tiếp tục chuyển đến đích. Ngược lại nếu gói tin khơng được chấp nhận chuyển tiếp thì phần mềm firewall sẽ đưa ra quyết định hủy bỏ. Cách hủy bỏ cũng có nhiều kiểu như hủy bỏ khơng cần trả lời cho máy gửi tới biết lí do (DROP), hủy bỏ nhưng vẫn trả lời cho máy gửi tới biết lí do (REJECT). Chính việc xử lí việc hủy bỏ gói tin như vậy dẫn đến tốc độ của loại firewall này bị hạn chế.

Một số phần mềm firewall sử dụng nhiều và được đánh giá cao về khả năng lọc gói tin như ZoneAlarm Pro, SmoothWall, McAfee Personal Firewall Plus, Sygate Personal Firewall.

Đặc điểm của firewall phần mềm:

- Tính linh hoạt cao: Có thể thêm, bớt các quy tắc, các chức năng. - Firewall mềm hoạt động ở tầng cao hơn firewall cứng.

- Firewal mềm có thể kiểm tra được nội dung của gói tin. - Chí phí đầu tư thấp hơn so với firewall cứng.

- Thường được sử dụng cho các máy tính cá nhân hoặc hệ thống mạng quy nhỏ.

</div><span class="text_page_counter">Trang 24</span><div class="page_container" data-page="24">

<b>2.1.3 Một số kiến trúc của Firewall </b>

<i><b>a. Kiến trúc Dual – Homed Host </b></i>

Dual–homed host là hình thức xuất hiện đầu tiên trong cuộc đấu để bảo vệ mạng nội bộ. Dual–homed host là một máy tính có hai giao tiếp mạng: Một nối với mạng cục bộ và một nối với mạng ngoài.

Hệ điều hành của Dual–homed host được sửa đổi để chức năng chuyển các gói tin giữa hai giao tiếp mạng này không hoạt động. Để làm việc được với một máy trên internet, người dùng ở mạng cục bộ trước hết phải login vào dual–homed host, và từ đó bắt đầu phiên làm việc.

<i>Hình 2.3: Sơ đồ kiến trúc Dual–homed Host </i>

Để cung cấp dịch vụ cho những người sử dụng mạng cục bộ (internal network) có một số giải pháp như sau:

- Nếu dùng phương pháp cấp account cho user trên máy dual– homed host thì user khơng thích sử dụng dịch vụ phiền phức như vậy, vì mỗi lần họ muốn sử dụng

<i>dịch vụ thì phải đăng nhập vào máy khác (dual homed host) khác với máy của họ đây </i>

là vấn đề rất là không trong suốt với người sử dụng.

- Nếu dùng Proxy Server: Khó có thể cung cấp được nhiều dịch vụ cho người sử dụng vì phần mềm proxy server và Proxy client không phải loại dịch vụ nào cũng có sẵn.

Một khuyết điểm cơ bản của hai mơ hình trên nữa là: Khi mà máy dual –homed host nói chung cũng như các proxy server bị đột nhập vào. Người tấn công (attacker) đột nhập vào được qua nó thì lưu thơng bên trong mạng cục bộ bị attacker này thấy hết, điều này thì hết sức nguy hiểm. Trong các hệ thống mạng dùng ethernet hoặc

</div><span class="text_page_counter">Trang 25</span><div class="page_container" data-page="25">

Token ring thì dữ liệu lưu thơng trong hệ thống có thể bị bất kỳ máy nào nối vào mạng đánh cắp dữ liệu cho nên kiến trúc trên chỉ thích hợp với một số mạng nhỏ.

- Cài đặt dễ dàng, không yêu cầu phần cứng hoặc phần mềm đặc biệt.

- Dual–homed host chỉ yêu cầu cấm khả năng chuyển các gói tin, do vậy, thơng thường trên các hệ unix, chỉ cần cấu hình và dịch lại nhân (kernel) của hệ điều hành là đủ.

<b>Nhược điểm: </b>

- Không đáp ứng được những yêu cầu bảo mật ngày càng phức tạp, cũng như những hệ phần mềm mới được tung ra thị trường.

- Khơng có khả năng chống đỡ những cuộc tấn cơng nhằm vào chính bản thân nó, và khi Dual–homed host đó bị đột nhập, nó sẽ trở thành đầu cầu lý tưởng để tấn công vào mạng nội bộ.

<i><b>b) Kiến trúc Screened Host </b></i>

Kiến trúc này kết hợp 2 kỹ thuật đó là packet filtering và proxy services.

Packet Filtering: Lọc một số loại dịch vụ mà hệ thống muốn cung cấp sử dụng proxy server, bắt người sử dụng nếu muốn dùng dịch vụ thì phải kết nối đến proxy server mà không được bỏ qua proxy server để nối trực tiếp với mạng bên trong/bên ngoài (internal/external network), đồng thời có thể cho phép bastion host mở một số kết nối với internal/external host.

Proxy Service: Bastion host sẽ chứa các proxy server để phục vụ một số dịch vụ hệ thống cung cấp cho người sử dụng qua proxy server.

</div><span class="text_page_counter">Trang 26</span><div class="page_container" data-page="26">

Kiến trúc screened host hay hơn kiến trúc dual–homed host ở một số điểm cụ thể sau:

Dual–homed Host: Khó có thể bảo vệ tốt vì máy này cùng lúc cung cấp nhiều dịch vụ, vi phạm qui tắc căn bản là mỗi phần tử hay thành phần nên giữ ít chức năng nếu có thể được, cũng như tốc độ đáp ứng khó có thể cao vì cùng lúc đảm nhận nhiều chức năng.

Screened host: tách chức năng lọc các gói IP và các proxy server ở hai máy riêng biệt. Packet filtering chỉ giữ chức năng lọc gói nên có thể kiểm sốt, cũng như khó xảy

<i>ra lỗi (tuân thủ qui tắc ít chức năng). Proxy servers được đặt ở máy khác nên khả năng </i>

phục vụ cũng cao.

Cũng tương tự như kiến trúc dual–homed host khi mà packet filtering system

<i>cũng như bastion host chứa các proxy server bị đột nhập vào (người tấn công đột nhập </i>

<i>được qua các hàng rào này) thì lưu thơng của internal network bị người tấn công thấy. </i>

<i><b>c) Kiến trúc Screened Subnet Host </b></i>

Với kiến trúc này sẽ khắc phục được phần nào khuyết điểm trên.

Hệ thống này bao gồm hai packet filtering router và một bastion host. Kiến trúc này có độ an tồn cao nhất vì nó cung cấp cả mức bảo mật: Network và application trong khi định nghĩa một mạng perimeter network. Mạng trung gian (DMZ) đóng vai trị như một mạng nhỏ, cô lập đặt giữa internet và mạng nội bộ. Cơ bản, một DMZ được cấu hình sao cho các hệ thống trên internet và mạng nội bộ chỉ có thể truy nhập được một số giới hạn các hệ thống trên mạng DMZ, và sự truyền trực tiếp qua mạng DMZ là khơng thể được.

</div><span class="text_page_counter">Trang 27</span><div class="page_container" data-page="27">

<i>Hình 2.5: Sơ đồ kiến trúc Screened Subnet Host </i>

Với những thơng tin đến, router ngồi (exterior router) chống lại những sự tấn công chuẩn như giả mạo địa chỉ IP, và điều khiển truy nhập tới DMZ. Nó chỉ cho phép hệ thống bên ngoài truy nhập bastion host. Router trong (interior router) cung cấp sự bảo vệ thứ hai bằng cách điều khiển DMZ truy nhập mạng nội bộ chỉ với những truyền thông bắt đầu từ bastion host.

Với những thông tin đi, router trong điều khiển mạng nội bộ truy nhập tới DMZ. Nó chỉ cho phép các hệ thống bên trong truy nhập bastion. Quy luật filtering trên router ngoài yêu cầu sử dụng dịch vụ proxy bằng cách chỉ cho phép thông tin ra bắt nguồn từ bastion host.

- Kẻ tấn công cần phá vỡ ba tầng bảo vệ: Router ngoài, bastion host và router trong.

- Router trong chỉ quảng cáo DMZ Network tới mạng nội bộ, các hệ thống trong mạng nội bộ không thể truy nhập trực tiếp vào internet, mà phải truy nhập qua dịch vụ proxy.

Đối với những hệ thống yêu cầu cung cấp dịch vụ nhanh, an toàn cho nhiều người sử dụng đồng thời cũng như khả năng theo dõi lưu thông của mỗi người sử dụng trong hệ thống và dữ liệu trao đổi giữ các người dùng trong hệ thống cần được bảo vệ thì kiến trúc cơ bản trên phù hợp.

Để tăng độ an toàn trong mạng cục bộ, kiến trúc Screened subnet ở trên sử dụng miền mạng riêng để che phần nào lưu thông bên trong mạng cục bộ, nhằm tách biệt giữa perimeter network và internal network (hình 2.5).

Sử dụng 2 Screening Router: Exterior router và Interior router. Áp dụng qui tắc dư thừa có thể bổ sung thêm miền mạng làm tăng khả năng bảo vệ cho hệ thống mạng.

Ngồi ra, cịn có những kiến trúc biến thể khác như: Sử dụng nhiều bastion host, ghép chung router trong và router ngoài, ghép chung bastion host và router ngồi.

</div><span class="text_page_counter">Trang 28</span><div class="page_container" data-page="28">

<i>Hình 2.6: Sơ đồ kiến trúc sử dụng 2 Bastion Host </i>

Kiến trúc sử dụng 2 bastion host đáp ứng cho những người sử dụng bên trong một phần nào đó không bị ảnh hưởng bởi hoạt động của những người sử dụng bên ngồi.

Cũng có thể sử dụng nhiều bastion host mà cung cấp cho 1 dịch vụ nào đó để tăng tốc độ đáp ứng, nhưng mất cân bằng tải giữa các server trừ khi biết trước mức độ sử dụng.

Việc sử dụng kỹ thuật dư thừa để đảm bảo tính sẵn sàng cao của hệ thống, để khi mà một bastion host hỏng thì có cái khác thay thế. Nhưng chỉ có một số loại dịch vụ trợ giúp dạng này: DNS server, SMTP server, có thể dùng nhiều bastion host làm DNS server, SMTP server. Khi một bastion host hỏng hoặc quá tải, những yêu cầu về DNS server và SNMP sẽ được dùng qua bastion host khác như là một fallback system.

Sử dụng nhiều bastion host trong trường hợp muốn cung cấp dịch vụ cho nhiều mạng khác nhau, và loại dữ liệu cung cấp cho mỗi mạng cũng khác nhau.

Sử dụng nhiều bastion host cho các server khác nhau để khi mà một server nào đó bị đột nhập vào hay bị hỏng thì server khác vẫn hoạt động tốt. Ví dụ: Tách HTTP server và FTP server trên 2 máy riêng biệt.

Kiến trúc ghép chung router trong (interior router) và Router ngoài (exterior router) sử dụng kiến trúc này thì cần tăng tốc độ của máy làm router.

</div><span class="text_page_counter">Trang 29</span><div class="page_container" data-page="29">

<i>Hình 2.7: Sơ đồ kiến trúc ghép chung Router trong và Router ngoài </i>

Kiến trúc này gần giống với screened Host trong trường hợp khi mà exterior/interior router bị đột nhập vào thì lưu thông trong mạng bên trong sẽ bị lộ ra bên ngoài nhưng tốt hơn screened host đó là nó cũng sử dụng thêm một mạng bên ngoài. Mạng bên ngoài sẽ chứa các server có thể nối ra ínternet mà nếu các server này bị đột nhập thì lưu thơng của mạng bên trong cũng không bị lộ ra bên ngoài. Kiến trúc này cũng gần giống với screened subnet nhưng mà exterior router và interior router được ghép chung nên nó giảm đi số lớp bảo vệ. Nói chung, kiến trúc ghép chung interior router và exterior router ở trung gian giữa hai kiến trúc này.

<i>Hình 2.8: Sơ đồ kiến trúc ghép chung bastion host và router ngoài </i>

Kiến trúc này sử dụng cho mạng sử dụng kết nối PPP ra internet.

Kiến ghép chung bastion host và router ngoài (exterior router) này gần giống với

</div><span class="text_page_counter">Trang 30</span><div class="page_container" data-page="30">

được do tốc độ đường truyền thấp, chức năng lọc của router ngồi ít, chức năng lọc gói chủ yếu là router trong.

<b>2.1.4 Những hạn chế của Firewall </b>

Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại thơng tin và phân biệt nội dung tốt hay xấu của nó. Firewall có thể ngăn chặn các nguồn thông tin không mong muốn nhưng phải xác định rõ thông số.

Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu khi có một chương trình được chuyển theo email vượt qua firewall và bắt đầu hoạt động trong mạng.

Một ví dụ là các virus máy tính và mã độc, firewall khơng thể làm nhiệm vụ rà quét virus đi qua nó, do tốc độ làm việc, sự xuất hiện các biến thể và sự xuất hiện của các virus mới với nhiều cách mã hóa dữ liệu vượt q khả năng kiểm sốt của firewall. Virus mới và do có rất nhiều cách để mã hóa dữ liệu, thốt khỏi khả năng kiểm soát của firewall.

<b>2.2. Các chiến lược xây dựng Firewall 2.2.1. Quyền hạn tối thiểu </b>

<i>Một nguyên tắc cơ bản nhất của an tồn (khơng phải chỉ áp dụng cho an toàn </i>

<i>mạng) là trao quyền tối thiểu. Về cơ bản, nguyên tắc này có nghĩa là bất kỳ một đối </i>

<i>tượng nào (người sử dụng, người quản trị, chương trình, hệ thống). Chỉ nên có những </i>

quyền hạn nhất định mà đối tượng đó cần phải có để thực hiện các nhiện vụ của mình. Quyền hạn tối thiểu là nguyên tắc quan trọng để tránh cho người ngoài lợi dụng đột nhập và hạn chế sự phá huỷ do các đột nhập gây ra.

<b>2.2.2. Bảo vệ theo chiều sâu </b>

Một nguyên tắc khác của an toàn và bảo vệ theo chiều sâu. Đối với mỗi hệ thống, không nên cài đặt và chỉ sử dụng một chế độ an toàn cho dù nó có thể mạnh, mà nên lắp đặt nhiều cơ chế an tồn để chúng có thể hỗ trợ lẫn nhau. Vì vậy firewall được xây dựng theo cơ chế có nhiều lớp bảo vệ.

Một nút thắt bắt buộc những kẻ đột nhập phải đi qua một “cửa khẩu” hẹp mà chúng ta có thể kiểm soát và điều khiển được giống như việc muốn vào rạp xem hát, ta phải đi qua cổng kiểm soát vé.

</div><span class="text_page_counter">Trang 31</span><div class="page_container" data-page="31">

Trong cơ chế an toàn mạng, firewall nằm giữa hệ thống của ta và mạng internet, nó chính là một nút thắt. Bất kỳ ai có ý định đột nhập hệ thống từ internet sẽ phải qua cửa khẩu này, và ta có thể theo dõi, quản lý được.

Khi muốn xâm nhập vào hệ thống, kẻ đột nhập thường tìm các điểm yếu nhất để tấn cơng vào đó. Do vậy, đối với từng hệ thống cần phải biết điểm yếu nhất để có phương án bảo vệ an toàn hệ thống. Thường ta hay quan tâm đến những kẻ đột nhập trên mạng hơn là những kẻ tiếp nhận hệ thống, cho nên an toàn về mặt vật lý được coi là điểm yếu nhất trong mọi hệ thống.

<b>2.2.5. Hỏng trong an toàn </b>

<i>Một nguyên tắc nền tảng khác của an toàn là “hỏng trong an tồn”, có nghĩa là </i>

nếu hệ thống đang hỏng thì nó phải được hỏng theo một cách nào đó để ngăn chặn sự truy nhập bất hợp pháp tốt hơn là để cho kẻ đột nhập lọt vào phá hệ thống. Đương nhiên việc hỏng trong an toàn cũng huỷ bỏ sự truy nhập hợp pháp của người sử dụng cho đến khi hệ thống được khôi phục lại.

Dựa trên nguyên tắc này người ta đưa ra hai quy tắc cơ bản áp dụng cho các quy định và biện pháp an toàn:

- Default Deny Stance: Chú trọng vào những cái được phép và ngăn chặn tất cả cái gì cịn lại. Những gì khơng rõ ràng cụ thể sẽ bị ngăn cấm.

- Default Permit Stance: Chú trọng vào những cái bị ngăn cấm và cho phép tất cả những cái cịn lại, những gì khơng bị ngăn cấm thì đựợc phép.

Hầu hết những người sử dụng và nhà quản lý sử dụng quy tắc cho phép mặc định và một số dịch vụ, hành động rắc rối, khơng rõ ràng sẽ bị ngăn cấm.

Ví dụ:

- NFS không cho phép qua firewall.

- Truy nhập WWW bị hạn chế đối với những chuyên gia đào tạo về những vấn đề an toàn của WWW.

Người sử dụng không được cài đặt các Server không được phép. Vậy vận dụng quy tắc nào thì tốt hơn. Theo quan điểm về an tồn thì nên dùng quy tắc “Default deny stance”. Còn theo quan điểm của các nhà quản lý thì lại là quy tắc “Default permit stance”.

</div><span class="text_page_counter">Trang 32</span><div class="page_container" data-page="32">

Do sử dụng nhiều hệ thống khác nhau, ta phải có nhiều biện pháp bảo vệ để đảm bảo chiến lược bảo vệ theo chiều sâu. Bởi vì, nếu tất cả các hệ thống của ta đều như nhau và một người nào đó biết cách đột nhập vào một trong số các hệ thống thì anh ta cũng có thể đột nhập vào tất các hệ thống còn lại. Sử dụng nhiều hệ thống khác nhau có thể hạn chế các các cơ hội phát sinh lỗi và an toàn hơn. Xong đổi lại, ta phải đối mặt với các vấn đề về giá cả và tính chất phức tạp. Việc mua bán, lắp đặt nhiều hệ thống khác nhau sẽ khó hơn, tốn kém thời gian hơn các hệ thống cùng chủng loại. Ngoài ra, cũng cần nhiều sự hỗ trợ và thời gian để đào tạo cán bộ vận hành, quản trị hệ thống từ phía các nhà cung cấp.

<b>2.3. Cách thức xây dựng Firewall </b>

Trong quá trình xây dựng một firewall đòi hỏi bước tiến hành đều phải được nên kế hoạch trước và phối hợp chặt chẽ với nhau. Và để giải quyết vấn đề lớn nhất là xây dựng thành công một tường lửa hoạt động theo hiệu quả thì ta phải xây dựng từng bước thật vững chắc, hạn chế tối đa những sai sót đáng tiếc có thể xảy ra trong quá trình xây dựng.

<b>2.3.1. Xây dựng các nguyên tắc căn bản </b>

Muốn xây dựng được một firewall thành cơng thì nó phải thực hiện theo một số quy tắc căn bản nhất định. Khi có một gói tin IP đi qua tường lửa thì nó sẽ phải dựa các quy tắc căn bản này để phân tích và lọc gói tin. Vì thế chúng ta phải đưa ra các quy tắc thật đơn giản, ngắn gọn và dễ hiểu nhằm tăng tốc độ sử lý gói tin trong tường lửa và sẽ tránh được tắc nghẽn, đồng thời nó cịn giúp cho việc thay đổi và bảo trì hệ thống được dễ dàng hơn rất nhiều. Thơng thường thì ta nên dùng không quá 30 quy tắc căn bản nếu dùng quá nhiều sẽ làm cho việc lọc gói sẽ chậm hơn và cũng sẽ dễ gây ra lỗi vì các quy tắc có thể bị chồng chéo lên nhau.

<b>2.3.2. Xây dựng chính sách an tồn </b>

Một tường lửa phải có các chính sách an tồn vì thực chất tường lửa chỉ là một cơng cụ thực thi các chính sách an tồn. Việc quản lý và xây dựng chính sách an tồn một cách chặt chẽ sẽ tạo ra được sức mạnh cho tường lửa. Vì vậy trước khi xây dựng các quy tắc căn bản thì chúng ta phải hiểu được chính sách an tồn của tường lửa cần xây dựng là gì.

</div><span class="text_page_counter">Trang 33</span><div class="page_container" data-page="33">

Và đồng thời cũng phải xây dựng các chính sách an toàn sao cho dễ hiểu và đơn giản một cách tương đối và không nên xây dựng một cách quá phức tạp dẫn đến chồng chéo dễ gây nhầm lẫn và dễ kiểm tra, bảo trì. Chúng ta có thể đưa ra một số chính sách an toàn rất đơn giản như sau: những máy trong mạng nội bộ được truy nhập ra internet không giới hạn, cho phép sự truy cập vào Web và Mail Server của mạng nội bộ từ internet, các thông tin đi vào trong mạch nội bộ đều phải được xác thực và mã hố.Từ những chính sách rất đơn giản như ví dụ trên đây chúng ta có thể phát triển để thành những chính sách hoạt động một cách hiệu quả và phức tạp hơn rất nhiều. ví dụ giới hạn mạng nội bộ chỉ được sử dụng internet một cách hạn chế với một vài dịch vụ cơ bản như Mail, HTTP,… còn lại ngăn cấm hoàn toàn dịch vụ truyền tệp FTP.

Các bước cần làm khi xây dựng một kiến trúc an toàn:

- Đầu tiên thì ta cho phép tất cả các máy trong mạng nội bộ có thể truy cập ra internet.

<i>- Sau đó ta thực hiện cài đặt các phần thồng tin khơng cần bảo vệ (ví dụ: Web </i>

<i>Server và Mail Server) vào một vùng có tên kỹ thuật là vùng “phi quân sự” </i>

(Demilitarized Zone - DMZ). DMZ là một mạng tách biệt nơi mà ta sẽ đặt các hệ thống các máy chủ như: DNS Server, Web Server, Mail Server… Nhằm nâng cao tính bảo mật cho các máy chủ trong hệ thống mạng. Bởi vậy những hệ thống trong DMZ sẽ không bao giờ kết nối trực tiếp với mạng bên trong một khi chúng chưa được tin cậy. Có hai loại DMZ là: DMZ được bảo vệ và DMZ không được bảo vệ. DMZ được bảo vệ là một phần tách rời ra bên ngồi của tường lửa. DMZ khơng được bảo vệ là phần mạng nằm giữa router và tường lửa. Chúng ta nên dùng loại DMZ được bảo vệ, vì nơi đó là nơi chúng ta thường đặt cả Web Server và Mail Server.

<b>2.3.4. Thứ tự các quy tắc trong bảng </b>

Trước khi chúng ta xây dựng các quy tắc căn bản thì điều chúng ta cần phải quan

<i>tâm đến đó chính là thứ tự của các quy tắc (hay còn gọi là cấp độ của các quy tắc) và </i>

trong đó có một quy tắc đặc biệt, nó sẽ giữ vai trị then chốt trong chính sách bảo mật ở tường lửa của chúng ta. Có nhiều quy tắc có cấp độ tương tự như nhau nhưng vẫn phải đặt chúng theo một thứ tự trước sau, việc này làm thay đổi phương thức làm việc căn bản của tường lửa. Đa số các tường lửa kiểm tra các gói tin một cách tuần tự và

</div>