Nghiên cứu hệ thống đảm bảo an toàn khi kết nối Internet
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (4.35 MB, 118 trang )
CHUONG TRINH KHOA HOC CONG NGHE
ĐIỆN TỦ- TIN HỌC - VIỄN THÔNG
ĐỂ TÀI KHCN - 01 - 02
NGHIÊN CÚU
HỆ THỐNG ĐẢM BẢO AN TOÀN
KHI NOI MANG INTERNET
Chủ nhiệm đẻ tài
PTS. Dé Xuan Tho
Thành viên tham gia đề tài
PTS. Nguyén Van Ngọc
PTS. H6 Van Kanh
;
KS. Nguyén Hitu Binh ~~~
KS. Trdn Van Cam
KS. Dang Thu Huong
CUC KHOA HOC VIEN THONG TIN HOC - BO CONG AN
HÀ NỘI, 6/1998
3284
lp
MỤC LỤC
BAO CAO VE VAN DE AN NINH CUA MOT SO DICH VU
PHAN |
Chuong I
Chương H
TREN MANG INTERNET O VIET NAM
DAM BAO AN TOAN THONG TIN CHO CAC MANG MAY TINH
KHI KẾT NỔI VỚI INTERNET
Giới thiệu chung về các biện pháp đảm bảo an toàn thong tin
cho các mạng máy tính khi kết nối với Internet
EIREWALL - Giải pháp đảm bảo an toàn cho kết nối mạng
:
Internet - Intranet
:
1- Các nguyên tắc trong thiết kế hệ thống bảo vệ mạng
Chương HH
II- EIREWALL - Một giải pháp đảm bảo an toàn cho mạng
Bức tường lửa dựa trên hệ thống LINUX
Chương IV
Chuong trinh FIREWALL
Chương V
MICROSOFT
PROXY
"GUARDIAN"
SERVER
Chương VI
Chương VII
Chương trình PROXY dựa trên bộ cơng cụ TIS
Chương trình PROXCY dựa trên bộ cơng SOCKS
PHAN H
PHAN Ii
MA HOA DU'LIEU BAO MAT THONG TIN TRONG MANG
HE THONG THUTIN DIEN TU E-MAIL
Chuong I
Vấn để kiểm soát tu động trên hệ thống E-MAIL
1- Giới thiệu tổng quan về kiểm sốt thơng tín trên Internet
:
'I1- Phương pháp giải bài tốn tơng qt
IV- Những kết luận và đề nghị
Chương H
Hướng dẫn sử dụng chương trinh E-MAIL
I- Khoi dong và thoát khỏi E-MAL,
II- Thay đổi mật khẩu
TII- Giới thiệu màn hinh E-MAIL
1V- Thủ tục gửi thư điện tử
V- MICROSOFT EXCHANGE
Chương TH
Hướng dẫn quản trị khoá
70
70
73
84
96
98
99
99
100
107
HH
PHAN MO Daa
Internet là mạng của các mạng máy tính, nó xuất phát từ Mỹ
và hiện tại lực
lượng tham gia kể cả chủ động và thụ động cũng nhiều nhất là ở Mỹ. Song nó đã
được các nước trên thế giới tham gia rất nhiệt tình. Số lượng các mạng kết nối với
Internet, số lượng cấc máy chủ đặt trên mạng tăng rất nhiều. Rieng chỉ tính số
lượng người sử dụng, số tăng có thời kỳ hàng 100% hàng tháng. Điều đó đã nói lên
sự hấp dẫn của mạng máy tính này.
Hiện nay Internet được coi là một mạng truyền thơng có hiệu quả, nhanh
chóng, rẻ tiền. Đồng
thời nó cũng là một "thư viện" lớn nhất thế giới, trong thư
viện nầy có rất nhiều tài liệu q giá có ích cho các nhà hoạt động chính trị để góp
phần định hướng, hoạch định chính sách quốc gia, cho các nhà hoạt động khoa
học, kỹ thuật trên những lĩnh vực khác nhau.
Song trên đó cũng có nhiều tài liệu "xa lạ” với cuộc sống, cách suy nghĩ,
thuần phong mỹ tục của Việt Nam ta, từ các tài liệu của các nhóm người Việt hai
ngoại chống đối han học với cuộc sống mới của chúng ta, đến các tài liệu của các
nhân vật bất đồng chính kiến và của cả các tổ chức quốc tế, và các cá nhân người
nước ngồi nhìn theo một chiều muốn ấp đặt cách nghĩ của họ cho chúng ta. Trên
đó cịn có nhiều tài liệu khơng phù hợp với thuần phong mỹ tục của Việt Nam ta,
như tun truyền bạo.lực, tình dục.
¬
So sánh cân đối việc sử dụng công nghệ mới này để phục vụ cho cơng cuộc
cơng nghiệp hố, hiện đại hố xây dựng đất nước ta, Đảng và Chính phủ đã đồng ý
cho từng bước sử dụng Internet theo nguyên tắc "mỡ dần dần, kiểm sốt đến đâu
mở đến đấy", trong vịng kiểm sốt của cơ quan chức năng. Do đó việc nghiên cứu
vấn đề đảm bảo an toàn khi kết nối với Internet là rất quan trọng và cần thiết, để
góp phần đảm bảơ sử dụng Internet có hiệu quả và an tồn.
Trong việc nghiên cứu các-khả năng gây nguy-hại cho chúng ta khi.sử dụng
Internet, chúng tơi thấy có hai loại: chủ động và thụ động. Loại chủ động có thể họ
chủ động gửi các thông tin "xa lạ” trên vào nhiều địa chỉ của nước ta, thảm nhập
trái phép vào các hệ thống máy tính nối với Internet của chúng ta để lấy các thông
tin, phá hoại sự vận hành của chúng... Loại thụ động là chúng đặt các tài liệu tại
các máy chủ ở ngồi, và có các hướng dẫn đẻ người dùng coa thẻ lấy các thơng tin
"đó về.
Theo chúng tơi, để đảm bảo sử dụng an tồn Internet, ba biện pháp lớn cần
được thực hiện đồng bộ là: các biện pháp giáo dục, các biện pháp về quản lý hành
chính và các biện pháp kỹ thuật. Trong đó biện pháp giáo đục là quan trọng nhất,
để mọi người tham gia sử dụng Internet chủ động phòng ngừa, tránh các thông tin,
không phù hợp và không phổ biến các thông tin ấy. Biện pháp hành chính là cơ sở
pháp lý để có thể giải quyết các vi phạm khi sử dụng Internet. Các biện phấp kỹ
thuật là rất cần thiết, nó chỉ ra rằng "về nguyên tắc" các cơ quan chức năng có thể
BAO CAO VE VAN DE AN NINH
INTERNET O VIET NAM
ctis MOT SO DICH VU TREN MANG
Nam:
khai dich vu INTERNET
1. Khảo sát thực tế qua mội thời gian trién
,
DICH VU THUDIEN TỬ:
INTERNET
thác sử dụng
với dịch vụ thư điện từ được đưa vào khai
o Vist
từ năm
trên mạng INTERNET Tại Hà nội:
1994. Theo thống kẻ số lượng thư lưu chuyển
Năm 1995 trung bình 700 - 900 thu ngiy
Năm 1996 trung bình 1300 - 2000 thư ngày
Đầu năm 1997 trung bình 3000 thư ngày
Cuối năm 1997 trg bình 4000 - 5000 thu ngày
ngàn thư/1 ngày.
Đầu năm 1998 số lượng lưu chuyển hàng chục
tử lưu chuyển trén
điện
thư
Qua các số liệu trên chúng ta thấy số lượng
.
INTERMNET tăng lên với tốc độ rất nhanh
dụng và tính chất chúng ta thấy:
sử
Phân tích theo xuất xứ, ngơn ngữ
ng 95
Thư từ nước ngoài vào Việt Nam chiếm khoả
5%
chiếm
Thư từ trong nước gửi ra nước ngoài
:
:
lệ 7l.
Văn bản tiếng Anh chiếm tỉ
Tiếng
Việt
13%
(UUENCODE.
VIOR-7
bit,
WNT
VSCH.
VPS,
TCVNä....)
Tiếng Pháp 4%
Các ngôn ngữ khác 12%.
Tỷ lệ thư được mã hoá chiém tt 5 - 6%.
trị và những thơng tin làm tồn hại
Những thơng tin có nội dung xấu vẻ chính
khoảng 5,8% trong tổng số thơng tín lưu
- đến.thuần phong mỹ tục cửa Việt Nam chiếm
,
aoe
Nam.
truyền vào Việt
hoặc nhiều địa chỉ.
Thư điện tử cớ thể gửi cho một địa chỉ
xác định được
Việc
chế:
địa chỉ cũng có những hạn
Việc
ngăn chặn thư theo
nữa kẻ xấu có thể sử dụng địa chỉ của người
những địa chỉ xấu là khong dé dàng. Hơn
.
.
tốt để gửi thư.
trong. Các cơ quan phải có trách
Vấn để chính vẫn là phải quản lý tốt ở bền
lọt ra
Khơng để những tin tức, tài liệu mật lộ,
nhiệm trong việc quản lý hồ sơ tài liệu.
ngồi.
và
thứ nhất (E-mail) là có thể phát hiện
Vẻ khía cạnh kỹ thuật chỉ có loại hình
nhiên
Tuy
thời điểm thơng tin chưa vẻ tới dich.
ngăn chặn các thong tin độc hại tại
dạng.
đa
và
lớn
quá
trở nền
tin
văn đề sẽ không đơn giản khi lượng thong
DỊCH VỤ SIÊU VĂN BẢN WORD WIDE WEB:
Phải khẳng định hầu hết nội dung thông tin trên WWWV là tốt và bổ ích, phục vụ
cho céng tác giáo dục, đào tạo, nghiên cứu khoa học, dịch vụ, thương mại.... Bên cạnh
đó một số tổ chức phản động trong số người Việt ở nước ngoài thường sử dụng mạng
Internet trên các trang VVEB
đẻ dưa các bài viết xuyên tạc đường
lối chính sách của
Đảng, nói xấu chế độ, lãnh tụ, kích động các phản từ xấu ở trong nước nhằm phá hoại,
chống đối chế độ:
Mặt trận quốc øgia thống nhất giải phòng
“Tế chức phục hưng
Nhóm
`Việt nam
người Việt tự do (Free Viet Group)
Quyền con người Việt nam (Viemam Human Rights)
Tổ chức liên minh Việt nam tự do (Free Vietnam Alliance Organization)
Các tổ chức phản động trong số người Việt ở nước ngoài đã lập ra các bản tin,
tập san, nguyệt san, tuần báo, nhật báo với các tên như : "Việt nam đân chủ”, "Thế ký
21”, "Hợp nhất", "Người
Việt dally news”,...nhiều tờ báo đã sử dụng Internet như một
phương riện phản phối chính.
Xiột số địa chỉ trên [NTERNET
xãu hướng vào Việt nam:
thường xuyên có những thơng tin với nội dung
ˆ_1- Liên mình Việt nam tự do ( Trong Việt kiểu ở Pháp) có tập san "Liên
minh" ra méi thang.
- Tổ chức Phục hưng Việt nam:
3 - Chính phù Việt nam tự đo:
(Thủ tướng: Nguyễn Hồng Dân. Ta đã bắt một nhóm của tổ chức này khi
xâm nhập về Việt nam, trong đó có Nguyễn Minh Miẫn tức Ly Thara)
4 - "Thông điệp xanh" đặt trên American Online. Web này của nhóm
Việt kiểu ở Đơng âu chạy sang Đức) Có khoảng 10 tờ báo ra từ một tháng
một kỳ tới 3 tháng một kỳ. Trong đó có một số nội dung như:
Trang về "Nhân vấn giai phẩm”
Trang về '" Vụ án xét lại chống dang".
5 - Trén INTERNET hién cũng lan truyền những cuốn sách, bài báo dai
về:
Nguyễn Văn Tuần: "Viết cho Me và Quốc hội”
Vũ Thư Hiên: "Đêm giữa ban ngày”
4iiững công bố của Bùi Tín (Trong thơng điệp xanh)
Một số ý kiến đề nghị:
Cần có cơ quan chức năng để xác định những nguồn thông tin độc hại trên
Internet, trên cơ sở đó kiến nghị để Ban điều phối quốc gia (hoặc một cơ quan có thẩm
quyền) phê duyệt dánh sách những địa chỉ cấm truy nhập để các nhà cung cấp dịch vụ
Internet (ASP,ISP) có trách nhiệm ngăn chặn (qua LP filter hoặc Proxy Server cia họ).
2
-
PHAN I
DAM BAO AN TOAN THONG TIN
CHO CAC MANG MAY TINH KHI KET NOI VOLINTERNET
CHUONG I
SO
GIOI THIEU CHUNG VE CAC BIEN PHAP DAM BAO AN TOAN THONG TIN
CHO CAC MANG MAY TINH KHI KET NOI VOI INTERNET
IntemetJA mang mdy tính tồn cầu với các địch vụ thơng n phong phú.
TCT/H*.
Trên Intemet các mạng máy tính được kết nối với nhau bằng thủ tục
trên
cƠng
tấn
vu
các
lượng
số
Intemel,
của
ngừng
cùng với sự phát triển khơng
dai
Internet cũng tăng theo cấp số nhân. Trong khí các phương tiện thơng tin
thơng
nhập
truy
nãng
chúng ngày càng nhắc nhiều đến Internet với những khả
tín đường như là vơ lận của nó, thì các nhà chuyên
môn
bất đầu để cập nhiều
đến vấn để đảm bio an todn cho cdc may tinh duge két noi vao mang Internct.
Theo số liệu thống kê hàng năm mạng máy tính của Hộ quốc phịng Mỹ có
đến 250.000 lầu kể gian muốn xâm nhập, trong đó có đến 160.000 xâm nhập
thành cơng. Những vụ tín cơng này nhằm vào tất cả các máy tính cố mặt trên
học,
Tntemet, từ máy tính của các công Ly lớn như AT&1, 1BM, các trường đại
các cơ quan nhà nước, các tổ chức quân su, nha bang...
- Những số liệu thống kê được công bố chỉ là phần nổi của tẳng bang. Mo!
đó có
phần rất lớn các vụ tấn cơng khơng được thơng báo, vì nhiều lý do, trong
hệ thống
thể kể đến nỗi lo b{,mất uy tín, hoặc đơn giản những người quan trị
khong hé hay biết về những cưộc tấn công nhầm vào hệ thếng của họ.
chong, ma
1Hiện nay không chỉ số lượng các cuộc tấu cơng tầng lên uhanh
đó một phần do
các phương pháp tấn cơng cũng liên tục dược hồn thiện. Điều
cảng dễ cao
các nhân viên quản trị các hệ thống được kết nối với IntertcL ngày
chủ yếu là
vào
cơng
tín
cảnh giác. Trước kia (thời kỳ 1988-1989) những cuộc
một số lỗi
dụng
sư
đoán tên người sử dụng - miật khẩu (UserH2-Password ) Hoặc
thời gim
vệ,
của các chương trình và hệ điểu hành làm vô hiệu hệ thống bảo
mạo địa chi iP,
gần đây những cuộc tấn công bao gồm cả các tiao tác như giả
(telnet hoặc
theo đõi thông tin truyền qua mạng, chiếm các phiên làm việc từ xa
cho cac
loan
an
va
ninh
rlogin). Đo đố cần có những biện pháp để đấm bảo an
3 biện
loại
mạng máy tính khí kết nối với INTERNETlà cân thiết. Có thể phân
pháp chính đản bảo an tồn khi nối mạng INTERNET:
biện
Các biên pháp về giáo dục : Nuiêu quốc gia déu cho rang đây là
lợi
mặt
pháp có tính cơ bản nhất. Cần đẩy mạnh giáo dục phổ cập các
phòng
và khong loi cla mang INTERNET để mọi người chủ động
mạng
đưụng
sử
khi
làm
nên
khơng.
ngữa, biết điều gì nên làm và
- TNIERNET. `
2.
nó
Ti.
ai
chính; Nhà nước cẩn ban hành pháp luật, các
p
về ttành
Các biên phá
van ban pháp quy về quy chế lái thác sử dụng HINIERHET. Trong đó
quy định chặt chế việc truy nhap thơng tin vao mang
INTERNET, cũng như những
tư liệu ti mang
và thu thơng lin,
người sử dụng
INTERNET phiai dang ký,...
diều
Ví dụ: Ngày 04/02/1996 Chính phủ Trung Quốc dã cơng bố các
được phổ
luật nhầm quần lý nang TNTTRNDE khi cho hệ thống nãy
wd
I.
biển tai Trung quốc. Theo đó các cơng ty điện toấn nào khi kết nối với
INTERNET ctia TQ déu phai dang ky va phải được chấp nhận của cơ
quan quản lý quốc gia, cấm thu và tán phát các tài liệu cớ nội dung
độc hài, bạo lực, khiêu
định tương tự.
đâm.
Nhiều
nước
khác
cũng
có những
quy
Ở Việt Nam ngày 5/3/97 chính phủ đã ban hành “Quy chế tạm thời về.
quản lý, thiết lập, sử dụng mạng INTERNET ở Việt nam”. Ngày
24/5/1997 có "Thơng tư liên tịch hướng dẫn cấp phép việc kết nối,
cung cấp và sử dụng INTERNET ở Việt nam" của Tổng cục Bưu điện,
Bộ Bội vụ, Bộ Văn hố thơng tín.
3.
:
Các giải pháp về R§ thuát: Hiện nay c6 nhiều giải pháp kỹ thuật để đảm
bảo an toàn khi nối mạng INTEBNET. Xin nêu một số giải pháp chính:
Xây dựng những bức tường lửa (Firewalf). Một trong những giải pháp
kỹ thuật để dim bảo an tồn cho các mạng máy tính khi kết nối với INITERNET
là xây dựng bức tường lữa(fircwall). firewall là tổ hợp phần cứng và phần mềm
cho phép người ở trong mạng [NTRANET truy cập được
nhưng ngăn chặn sự đột nhập từ bên ngoài vào INTRANET.
dữ liệu bên ngoài,
'Trong cơ chế "bức
tường lửa", địa chỉ của những máy chứa các thông tin cố nội dung không phù
hợp sẽ bị dưa vào các danh sách bị cấin nhờ một phần mém canh bdo chun
dung. Khi đó các thơng tín này sẽ không thể được truy cập tới. Tuy vậy firewall
cũng chỉ là một phần của hệ thống bảo mật trên [NTER NIT.
Routeur đồng. vai trd quan trong trong firewall. Routcur cho phép dữ liệu
_ty INTRANET này sang INTRANET khác. Mọi đữ liệu truyền qua nhau đều
phải qua Routenr. Vì vậy đây chính là vị trí thích hợp dé đặt các biện phán bảo
mật. Có nhiều biện pháp khác nhau. Đầu tiên lA lọc (Hteriag) bởi Rouleur lọc.
Rontetir lọc xem xét rỗi gói đữ liệu đi vào và đi ra khỏi IN1ILANETE. Dựn vào
quy định mà quan trị hệ thống, Ioufteur sẽ cho gói dữ liệu dị qua hoặc ngăn lại.
Sử dụng cơ chế máy chủ uỷ quyên (Proxy Server). Máy chủ uỷ quyền
cũng là công cụ của cơ chế-đẩm hảo an (oần (hông tin.-Trong cơ chế "ủy
quyển”, người ta không đáp ứng ngay
cầu kết nối với IN1IRNET của người
về người sử dụng có yêu cầu đều phải
chếp tất cả các cuộc trao đổi và đâm
nhập.
lập tức nhủ cầu khai tháo Lí mã mọi yeeu
sử dụng va moi théng tin (INTERNET
thông qua Proxy Server. Server nay glit
bảo lần theo lại được dấu vết các vự xâm
Sử dụng cơ chế máy chủ pháo dài ( astion
Server). Đây cũng là một
giải pháp quan trọng để đảm bảo an loần cho mang INTRANET. Bastion Server
dược thiết kế đạc biệt chống sự tân công xâm nhập. Thơng thường Bastion
Server được đặt tách biệt ở mạng vịng ngồi. Khi Server này bị tấn cơng và giả
sử bị phá vỡ thì INTRANET vẫn dược bảo về, phần bị tốn thương chỉ là Bastion
Server.
Sử dụng mat khau
va héthéng chu quyén.
Mat khẩu
và hệ thống chủ
quyển cũng được sử dựng để ngăn chăn sự xâm nhập và đảm bảo an toàn thông -
tin cho mạng ïNTRANET.
Liên
để chống lấy cắp mật khẩu người ta dùng
các
trên
mẠt khẩu sử dụng một lần (One - lime password). Việc cáo mật khẩu truyền
cứ sau một lần
mạng đễ bị các chương trình dị tìm mật khẩu tấn cơng. Dởi vậy
nữa.
sử dụng thì mội mật khẩu bị thải loại khơng dùng
hố.
Sử dụng phương pháp mã hố thơng tỉn và chữ ký điện từ. MIA
để bảo vệ
được sử dụng để đảm bảo an tồn thơng tin trên mạng. Mã hố dùng
(hóa
đữ liệu và mật khẩu. Có thể sử dụng khố đối xứng hoặc khơng đối xứng
chân
tính
định
xác
cơng cộng). Chữ Ký số hay chữ ký diện tử được sử dung để
thực của văn bản khi gửi di không bị sửa chữa, thay thế.
cling JA mot
Thiết lần cơ chế giấm sát lưu thong (Traffic monitoring)
chạy tiên ,
phương pháp để đảm bảo an toàn cho INTRANET. Đây Tà phần mễm
giấm sát mọi lưu thông nội bộ trong INTRANET
cũng như mọi lưu thông giữa
thể đặt ra các quy
INTERNET và INTRANET. Người quản trị INTRANET có
NET.
INTRA
trên
động
tắc quyết định loại lưu thông nào được hoạt
quan lâm
Các biện pháp phòng chống virus. Yirus cũng là vấn để đáng
các chương trình qt
và nguy liểm đối với mạng. Thơng (thường người (a đầng
trên mạng. Chương
Virus
diệt
trình
và diệt Virus. tiện đã có những chương
trình này cài trên Server và kiém tra Virus cho toàn mang.
SECONDARYHMS
SERVER
DNS SERVER
WEB
CJ
(C2)
10 BASE T HUB
CẤU HÌNH MANG INTERNET HIEN TAI
INTERNET
64 KBPS
TCP/IP
`
X25
LJ
(BEE)
¬~
WED SERVED
|
SECONDARYNMS
DNS SERVER
WED SERVER
2T HUB
LJUJ
' KHÁCH HÀNG
SS : (FF==)
T HUB
CAU HINH MANG INTERNET HIEN TAI
Bese)
7/5
GY
KHACH HANG
GATEWAY
MS
DNS SERVER
Kee
| “|
=]
EL
WES SERVEL, L_]
X400/SMIP
—
|
1:1
|
Cisco 4700
Workslation
.
[TT
1
1
EEEE=
=====
4_
HAN & HCM
Leased Line Between
Bete
NTU
BEES
222221 CU
Chsoo 7643
ASB100 (Access Serve}
—
=
——¬
——
FIREWALL
=
SEE
Network Management
——
TINT
che
¬
~DNServer
Web, E-Maill Server)
cI
WAN Link
TP.HOCHIMINH
Cisco 4700
FIREWALL
|
oT
`
'
(Web, E-Mall Server
DNServer
II
nhi
Stackable HUH
faa
leone] food
fo)o] eoraco|
Networktk Management Workstation
IHWỦ”———-
mụ
:
:
ACCESS SERVES
SELCONI
DNS SERV
(72) Asyne ports
ACCOUTING/BILEING
WEB SERVER
uO CHI MINI
ACCESS
(72) Asyne I
1
CẤU HÌNH MẠNG INTERNET
236 KBPS
Bure tuang liu
2$6KBPS
Bức tường lửa
r
TỚI NĂM 19/7.
HONG
236 KBPS
256 KBPS
VUNG TAU
:
\
CAN THO
INTERN ET
SERVIER
WEE
MAIN
SERVER
NAME
DOAMAIN
SERVER
FIREWALT.
AND
NAIS
,
-
CHUGNG If
AN TOÀN
FIREWALL - GIẢI PHÁP ĐẦM ETBẢ- OINTR
ANET
CHO
1-CAC NGUYEN TAC
KST NOL MANG
INTERN
BẢO VỆ MẠNG
TRONG THIẾT KẾT HỆ THỐNG
firewall nói
ng bao ve mang nói chung và
tho
hệ
các
đặt
cài
và
kế
t
Khi thiế
một số nguyên tắc cơ bản sau:
riêng cần tuân thủ
(Least Privilege)
1- Nguyên tắc quyền tối thiểu
ng bảo vệ là nguyén
tÁc căn bản của các hệ thố
yên
ngu
ng
nhữ
g
tron
Một
này được phát biểu như sau:
ng, chương
tác quyền tối thiểu. Nguyên tắc
sử dụng, người quản trị hệ thố
ười
Tiất kỳ một đối tượng nào (ng
tượng đó hồn
những quyển vừa đủ để đối
có
)
...
ành
u-h
điể
hỆ
g,
dụn
ứng
h
trìn
.
‘
thành nhiệm vụ của mình.
g việc thiết kế, cài
tron
để
t
áp dụng triệ
c
đượ
u
thiể
tối
ền
quy
tắc
ngoài, đặc
Nguyên
việc tye (ip voi mang ben
làm
n
phầ
nh
thà
các
cả
gian
Tất
“dat firewall.
quyền ưu tiên thấp, và không
mức
ở
y
chạ
c
đượ
đều
xy
pro
biệt là các modul
khả năng của hệ điều hành).
làm việc giới hạn (hông qua
o chiều sâu
yên lẤc
2. Ngun tắc phịng thủ (he
thống bảo vệ nói chung là ngu nững
hệ
các
của
c
khá
tắc
yên
Một ngu
thống này có khả
Người thiết kế và cài đặt hệ
phòng thủ theo chiêu sâu.
hse. Khi do, viee mot
ng đếu có kha nang hong
bảo vệ rất tốt, do mọi hệ thố
tồn bộ hệ thống khơng
trong
các vịng
bảo
vệ ngừng
hoạt động
kng
Jani
‘
miột Tớp hao
g firewall. Igồi việc LẠO ra
dụn
sử
việc
là
h
hìn
n
điể
mang
dụ
Một ví
có quyển u cầu ket nei voi
chỉ
dịa
số
một
p
phé
cho
chỉ
mà firewall
vệ bằng cách
Jam giảm lượng thơng tứn
con
(€F
rou
tin
gói
các
q tải hệ thống
bên trong, việc lọc
công bằng phương pháp làm
tấn
g
năn
khả
m
giả
oa
lý,
xử
phải
TỐ
Cho
ˆ
lớn,
firewall.
r4 với một dộ dự thừa
được bảo vệ. -
m soái dược dựa
t định,
Mặt khác, các quy tác kiể
in đến từ một số địa chỉ nhấ
gói
ng
nhữ
bỏ
loại
tắc
quy
gồi tin này. Trên
- đũ tại router đã có
những quy {Ac loại bỗ những
c6
van
ter
rou
sau
nam
ll
tốc dộ xử lý của
tại firewa
giờ tới được firewall, do do
bao
ng
khơ
đó
tin
khơng gói
ng
thực (Š, nhữ
nhiên khi những quy tác này
đáng kể, tuy
ewall.
firewall bị ảnh hưởng không
nội bộ vẫn dược bao vé boi fir
lam viée tal router, thi mang
tờ
:
tập [rung |
3: Nguyên tắc kiểm soát
ng qua một điểm duy
thô
ài
ngo
thế giới bên
với
hệ
liên
các
cả
tất
ng
“Tập tru
giám sát điểm này.
bảo vệ và
quy mô
nhất, đồng thời tăng cường
với một hệ thdng mang có
n
hiệ
c
thự
g
dan
dé
thé
có
nội bộ
u cầu này
ng kết nối giữa hai mạng
nhữ
chế
t
chặ
t
số
m
kiể
o
Khơng lớn. Nó cho phé
lý, bảo tr các thiết bị và
độ phức lap của việc quản
m
giả
thời
g
đồn
ài,
ngo
tang leu lượng
và bên
Tuy nhiên, nó có thể làm
p.
nhậ
y
tru
t
số
m
kiế
nếu chỉ
tẤc
cả các quy
g thời lầm q tải firewall
đồn
lần,
ều
nhi
Tên
g
mạn
n
thơng tin truyền trê
trung kiểm soát là
sử dụng một firewall duy nhất. Một điểm bất lợi của việc tập
gip sự cố. Để giải
vấn đề khơng có đường dự trữ (backup) mot Kid firewall
đặt
hướng cài
'quyết vấn để này, các thiết bi firewall mdi dang tập trung vào
những
thống mạng với
firewall phân tán, nhưng quản lý lập trung, thong qua hệ
và xác thực thông
-giao thức mạng dược gân thêm kha nang bao mật như mã hóa
tin và người sử dụng.
4. Nguyên tắc đơn giản
Việc đặt ra yêu cầu đơn giản cho hệ thống bảovệ có hai lý đo chính:
+ Dễ hiểu: khi một hệ thống được thiết kế đơn giản la dé
các hoạt động của hệ thống, do đó hiểu được hệ thống có hoạt
ta mong muốn không.
+ A lãi: một hệ thống càng phức tạp càng chứa nhiều lỗi.
thống khơng có lỗi và khơng có các 16 hồng bảo. mật, thì hệ
dang hiểu được
động dúng như
Ngay cả khi hệ
thống phức tap
để trong những tinh
cũng sẽ làm phức tạp q trình phân tích và xử lý các vấn
TT
huống không định trước.
điều hành đã
hệ
những
trên
dựng
xây
Các hệ thống firewall thường dược
cụ trợ giúp
công
các
thiết,
cần
dược sửa đổi, loại bỏ những chức năng khơng
và thơng ˆ
địch
giên
trìnu
người sử dụng, các cơng cụ phát triển (bao gồm các
bộ các
toàn
như
gần
dịch, hệ thống debug v.v...). Một số firewall cịn loại bỏ
7
:
cơng cụ quần trị từ xa.
-
nhất
5. Độ an toàn của hệ thống phụ thuộc điểm yếu
nhất trong
Độ an tồn của hệ thống chính Ja độ an tồn của uất xích yếuphức tạp, tốn
thống bảo mật
hệ thống. Vì vậy khơng cần thiết kế, cài đặt một hệ
trong tồn bộ hệ thống khơng
kém trong khí độ an tồn của một điểm nào đó
dựng một cửa ra vào chắc
dam bảo. Diều này cũng giống như trường hợp Xây
để ngỏ.
chắn với nhiều lớp khóa, trong khi cửa sổ của ngỡi nhà lại
thống bảo vệ thông
hệ
các
trong
đã nhận định, điểm yếu nhất
Như trên
về các yêu cầu bảo mật, cộng
thường là yếu tố con người, và chỉ có sự giáo đục
có thể nâng cao được độ
với thái độ hợp tác của người sử dụng mạng nội bộ mới
TT
,
an tồn của mắt xích này. ˆ
6. Nguyên tắc hệ thống
dừng ở trang thái an toàn
ngừng hoạt động
Các hệ thống bảo mật cần được thiết kế để khi hệ thống
sử dụng v.V...)
hóc phần cứng, Jỗi chương trình, lỖi nủa người
hồng
đo sự cố (do
thơng thường là ngất liên lạc với
toàn bộ mạng bên trong vẫn được bảo vệ, mà
q tải
thực tế đã có những cuộc tấn cơng bằng cách lầm
mạng bên-nguài. Trên
năng kiểm soát các kết nối
firewall, khiến đrewall khơng thực hiện dược chức
kế theo quy tÁc này không
mới. Trong trường hợp đố mội hệ thống dược thiết
mới, có thể chuyển hệ thống sang trạng thái dừng và
được tiếp nhận các kết nối
thông báo cho người quản trị.
đổi thơng tín.
7, Trang thái ngầm định: cấm mọi sự rao
treo tn theo 2 chính
Hệ thống bảo vệ nhìn chung được xây dựng
sách
bảo vệ đối ngược nhau:
g hao tác và kết nối đã
- Cho phép tất cẢ các thao tác bị kết nối trữ nhữn
1Ô
ˆ
được biết trước la nguy hiểm và bị cấm.
~ Cấm mọi.thao tác và kết nối, trừ những thao tác và kết nối được coi là an
toàn và dược cho phép rõ ràng.
Quy tic đầu chở phép một sự tự đo lớn hơn đối với người sử dụng, đồng
thời đảm bảo khả năng hoạt động của các địch vụ sẽ xuất hiện trong tương lai,
tuy nhiên nó đi ngược lại với quy tắc về trạng thái dừng
aủ toàn cũng
như quy
tắc về quyền tối thiểu, đồng thời dưa hệ thống bảo vệ mạng vào cuộc chạy dua
khong chấm đứt với danh sách nhĩmng thao tác và kết nối nguy hiểm, hơn nữa,
hệ thống bảo vệ mạng luôn thụ dộng trước sự tiến hóa của các phương pháp tiến
cơng và ln phát triển chậm hơn các phương pháp tiến công.
=" Quy tac tlut hai dam bảo một sự an toàn lớn hơn quy (ắc đầu cho hệ thống
mạng bên trong. Nó cũng đảm bảo được quy tắc về trạng thái đừng en toàn và
quy tắc về quyền tối thiểu.
8. Quan tâm tới yếu tố con người
ví
- Hệ thống bảo vệ mạng khơng thể hoạt động có hiệu quả nếu khơng có sự
hợp tác của tất cả những người sử đựng. Khi một người sử đụng khơng muốn bị
bó buộc bởi những quy tắc chặt chế của hệ lhống bảo vệ và thiết lập một kết nối mới với bên ngồi (ví dự qua mot dudng dial-up) thì tồn bộ hệ thống bảo vệ bị
vơ hiệu hóa và mạng bên trong có thể bị tấn công dễ đàng thông qua kn mới
nay. Trach nhiệm của người quản trị hệ thống phải bao gồm việc thông báo cho
người sử dụng mạng về các yêu cầu bảo mật, những thao tác dược phép và
không được thiết lập đường đial-up với mạng bên ngoài, chọn mật khẩu khó
đốn, thơng báo về các hiện tượng khả nghỉ v.v...). đồng thời người quản trị hệ,
thống phải thường xuyên giấm
sử dụng.
sát việc tuân thủ các quy tấc bảo mật của người
9. Nguyên tắc sự đa dạng của các hệ (hống bên trong:
Sự đa đạng của các hệ thống trong mạng bên trong có thế tầng khả năng
bảo vệ mạng. Nếu mạng bên trong bao gồm các hệ thống giống nhau, một
lỗi
chung trong hệ điều hành hoặc một chương trình ứng dụng có thể lầm cho toần
bộ mạng bị tấn cơng theo cùng một phương pháp. Tuy. nhiên, sự da dạng trong
mạng
cũng
đồng
nghĩa
với sự phức
tạp khi phải quản
lý các
~ nhau, đồng thời tăng chí phí trang bị phần cứng và phần iném,
hệ
thống
:
khác
10. Quan (âm tới yếu tố chỉ pH: _Yếu tố giá cả có thể là yếu tố quyết dịnh nếu khả năng tài chính của cơ
-¿ quan có mạng nội:bộ khơng được đẩy đủ. Tuy vậy, vẫn có những bộ phan mém
“cho khong
(freeware) dugc phd bin rong rai én Intemet cho phép tu xay dung
cfc hé thong firewall, kiểm tra hệ thống bảo mật, giả lập tấn công v.v... Với các
công cụ này, cộng với thời gian và trí thức của người quản trị hệ thống ta vẫn
có thể bảo vệ m nội bộ mà không phải đầu tụ chợ một hệ thống firewall trị giá
hàng chục ngần đến hàng trăm ngàn đôla Mỹ.
Mặt khác, việc mua một hệ thếng frewalỞl đưa lại những hỗ trợ kỹ thuật từ
những chuyên gia giầu kinh nghiệm - một yếu tố ảnh hướng không nhỏ đến quá
trình chọn lựa và thúết đặt hệ thống bảo vệ. Cùng với sự hỗ trợ kỹ thuật này là
những thông tin được cập nhật thường xuyên về cáo nhương pháp lấn công mới
`
H
Firewall
và biện phấp phịng
chống, khả năng nâng cấp, hồn
lai với một chỉ phí thấp.
mợi
Trong
hợp ,
trường
.
thiết đặt một hệ
việc
thiện firewall trong tưởng
thống
.
để bảo
firewall
vệ
và vật lực quá
mạng nội bộ không cần thiết phải tiêu tốn những nguồn nhân lực
lớn. Việc đánh cấp thơng tin có thể diễn ra bằng nhiều con đường
firewall chỉ cẩn đảm bảo việc truy nhập đến các thông
khác nhau, và
tín đó qua con đường -
mạng máy với mạng bên ngồi.
MỘT
II-FIREWALL
GIẢI PHIÁP DẢM BẢO AN TỒN CHO MẠNG
thiết kế
TirewaH có nghĩa là bức tường chấn lửa. Trước kia trong quá tình
nhau
gần
nhà
các khu nhà, người ta thường xây các bức tường giữa những khối
mà
để để phòng trường hợp lửa cháy lan trong khi hoả hoạn. Với ý ngiữa này Ìà. -tên
soát truy nhập giữa mạng nội bộ và Intemet được gợi
thiết bị kiểm
Firewall.
-
-
chuyên
Firewall c6 thé bao g6m mét máy tính hoặc mỘt thiết bị phần cứng
tin giữa một
dùng, có nhiệm vụ kiểm sốt các kết nối và q trình trao đổi thông
được cot là
mạng cần dược bảo vệ (rạng bên trong) với tnỘt mạng
hệ thơng
l cũng có thể là một hệ
khơng an tồn về mặt bảo mật (nạng bên ngồi). Firewal
giữa hai mạng này.
thống các thiết bị, dược kết nối thành mỌt mạng trưng gian
đó là thực hiện các
đổi,
thay
Tuy nhiên; nhiệm vụ của hệ thống này vẫn không
quy tic kiểm sốt truy nhập thơng tin giifa hat mang
hận trong và bên ngồi.
Intemet
Hình 1: Vị trí của Firewall trong két nối mang nội bộ với
Sau đây
là một số phân
bên
tích về những nguy cơ ức dọa mạng
trong và
các khả năng của hệ thống Firewall.
A - NHỮNG
Những
cầu
yêu
các
- Bảo
- Tinh
YÊU YÊU CẤU BẢO VỆ MANG INTRANET:
x
bảo vệ do
thơng tin tưu trí trên hệ thống mạng máy tính cần dược
sau: ˆ
mật: Những thơng tin có giá trị cần dược giữ kín.
tráo.
đánh
toan ven: Thơng tín khơng Dị mất nát Hoặc sửa đổi,
vào đúng thời điểm
- Tính kịp thời: Đảm bảo yêu cầu truy nhập thông 1in
TU
TC
cần thiết.
với
đối
1
số
cầu
yêu
là
Trong 3 yên cầu nêu trên yêu cầu bảo mật dược coi
khơng
này
tín
thơng
trữ trên mạng. Tuy nhiên, ngay cả khi những
thong tin lưu
cần được
giữ bí mật,
thì u
cầu
về tính
toần vẹn cũng
rất quan
trọng.
Khơng
vật chất và thời gian để lưu
một cá nhân, một tổ chức nào lãng phí tài ngun
của các thơng tín đó.
trữ những thơng tín mà khơng biết về tĩnh đúng đấn
2. đảo vệ các tài nguyên si dung trén mang:
et, kẻ tẤn công, s80 khi đã
'Trên thực tế, trong các Cuộc tấn công trên Intern
máy này để phục vụ cho
làm chủ được hệ thống bên trong, có thể sử dụng các
sử đụng, sử
tạ
mặt khẩn người
mục đích của mình nữ chạy các chương tình dị
-ˆ
hệ thống khác v.v...
dụng các liên kết hang sẵn có để tiếp tục tấn công các
các hệ thống sẽ
bảo
đảm
Firewall, trong khí bảo vệ hệ thống mạng bên trong,
cơng cụ cho
thêm
lam đúng chức năng được thiết kế, không bị sử dụng để tạo
"
:
những kẻ đột nhập. -
5 - CÁC KIỂU TẤN CƠNG
;
1. Tấn cơng trực tiến
g được sử dụng trong giai đoạn
thườn
thông
tiếp
trực
Những cuộc tấn công
trong.
dầu để chiếm được quyền truy nhập hệ Hiống mạng bên
mật
Một phương pháp tấn công cổ điển là đồ cặp lên người sử dụng
khẩu. Đây là nhương pháp đơn giản, đã thực hiện và không
đồi hỏi một diéu
thông ln nhự
kiện đặc biệt nào dể bất đầu. Kẻ tấn công cố thể sử dụng những Trong trường
mẠi khẩu,
tên người đùng, ngày sinh, địa chỉ, số nhã v.v... để đốn
lín về mơi trường lầm
hợp có được danh sách người sử dụng và những thơng
mat khẩu này. MộI
tim
đồ
việc
hóa
việc, có một số chương trình tự động
các mật khẩu di mai
chuong tinh cé thé dé dang My duge tir Internet để giải
những tổ hợp cáchóa của các hệ thống Unix có (én 18 Crack, c6 kha nang thử
dùng
tix trong indt tir diển lớn, theo những quy tắc do người
một số trường hợp,
tự định nghĩa. Trong
khả năng thành công của phương pháp này có thể lên đến
30%.
và bản thân hệ
Thương pháp sử dụng các lỗi của chương trình ứng dụng
lidep tuc được
câu
và
tiên
“điều hành đã dược sử dụng từ những vụ Lấn công đầu
g hợp, phương pháp này
sử dụng để chiếm quyền truy nhận. Treng một số trườn
trị hệ tiống (rooi hay
cho phép kẻ lấn cơng có dược quyền của người quản
.
adiministrator).
này là
xun duge đưa ra để mình họa cho phương pháp
g
thugn
du
vi
Vai
Unix.
hành
điều
hệ
của
rlogin
ví dụ với chương trình sendmail và chương trình
mã nguồn bao gồm hàng ngàn
với
t4p,
phúc
trình
g
chươn
một
Sendimail Tà
với quyển ưu tiên của người
đồng lệnh của ngơn ngft C, Sendmail được chạy
hop fig của những
quản trị hệ thống, do chương trình phải có qun ghi vag
về thư tín từ nang
người sử đụng máy. Và Sendmail trực tiếp nhận các:u cầu
nnil trở thành tiột nguồn
bên ngồi. dây chính là những yếu tố làm cho Sendi
cưng cấp những lỗ hồng về bảo mật để truy nhập hệ thống.
nạng truy nhập từ xa vào
_Rlogin cho phép người sử đụng từ một mấy trên
quá trình nhận (ên và
Trong
một máy khác sử dụng các tài nguyên của máy này.
do
tra độ đài của dịng nhập,
mật khẩu của người sử dụng, rlogin khơng kiểm
trước để phi đề lên mã
đó kẻ tấn cơng có thể đựa vào một xau đã được tính tốn
.
ˆ
quyển truy nhập,
chương trình của rlogm, qua đó chiếm đhược
2. Nghe trom (rén mang:
tín cổ ích như tên-mật
Việc nghe trộm trên trạng có thể đưa lại các thông
n qua mạng ... VIỆC nghe trom
khẩu của người sử dụng, các thông tin mật chuyể
hệ
được quyển truy nhập
thường được tiến hành sau khi kẻ tấn công đã chiếm
vi giao tiếp mạng (Network
thống, thông qua các chương trình cho phép dua
thơng tin hr chuyển trên
các
Interface Card-NIC) vào chế độ nhận toần bộ
14
ˆ
mạng. Những
chương
trình này cũng có thể lấy được đễ dàng trên Internet.
3. Giả nao 2 địa chỉ:
Việc giả mạo dja chỉ 1U có thể được thực hiện thơng qua kha nang str dung
kha nang dan đường
cơng gửi các gói tin
thường là địa chỉ của
trong), đồng thời chỉ
trực tiếp (source-rotting). Với các
IP tới mạng bên trong với một địa
một mạng hoặc máy được coi là an
rõ đường đẫn mà các gói in HP phải
tấn công này, kẻ tấn
chỉ II giả mạo (hơng
tồn đối với mạng bên
di.
4. Vơ liệu hóa các chức năng của lệ thống
„_
Đây là kiểu tấn Công nhằm làm (ê liệt hệ thống, khơng cho nó thực hiện
được chức năng mà nố được thiết kế. Kiểu tấn công này không thể ngăn chặn
được. đo những phương tiện được sử đụng để tổ chức tấn cơng cũng chính là
những phương tiện để làu việu và truy nhập thơng tín trên mạng. Ví dự sử dụng
pệnh ping với tốc độ cao nhất cớ thể, buộc một hệ thống tiêu hao toàn bộ tốc độ
tính
tốn
và
kha
nang của
mang
để
trả lời các
ngun để thực hiện những cơng việc có ích khác.
lệnh
này,
khơng
cịn
lại tài -
'%. Sử dụng lãi của người quản trị lệ thống:
Đây không phải Tà một Kiểu lấu công của những kẻ đột nhập, tuy nhiên lỗi
của người quần trị hệ thống thường lạo ra những lỗ hổng cho phép kế tấn công
sử đụng để thâm nhập vào mạng nội bộ.
6. Tiến công vào các yếu lố củn ng ưỊi :
Kẻ tấn cơng, có thể liên lạc với mội người quản trị bệ. thống, giả lâm | một
người sử dụng để yêu cầu lhay đổi mật khẩu, thay đổi quyên truy nhập của
mình đối với hệ (hống, hoặc thậm chí thay đổi một số thiết đại của hệ thống để
thực hiện các phương pháp tấn công khác. Với kiểu tấn công này, không mỘt
thiết bị nào có thể ngăn chặn một cách hin hiệu, mà chỉ có phương pháp giáo
dục người sử dụng mạng nội bộ về những yêu cầu bảo miật để dễ cao cảnh giáo
. trước những hiện tượng đáng nghỉ. Nói chung yếu tố con người là một điểm yếu
-trong bất kỳ một. hệ thống bảo vệ nào, và cíi có sự giáo dục cộng với tính thần
hợp tác từ phín người sử đụng cố thể nâng caa được độ am toàn của hệ thống hảo
vệ.
:
C -KHA NANG PHONG THU CUA FIREWALL
i. Những
khd nding ngan chdn eda Firewall:
_Việc kiểm soát những yêu cầu kết nối đến từ bên ngoài cho phép giảm tối
đa những cơ hội kẻ tấn cơng có thể làm việc trực tiếp với một mấy tính trong hệ
thống mạng bên trong, do đố giảm được nguy cơ của những phương pháp lấn
công trực tiếp. Hơn nữa, với sự phái triển của các chương trình proxy, nhímg
chương trình phức tạp khơng trực tiếp lienec hệ với mạng bến ngồi mà phải
thơng qua các proxy. Các chương trình pioxy dược thiết kế dặc biệt, lầm nhiém
vụ chuyển thơng tín qua lại pia các server cung cấp dịch vụ và người str dung,
dược kiểm tra kỹ lưỡng dé loai bo cae J6i. Ton nita, nhi¢m vu cla cdc chuong
trình này đơn giản hơn rất nhiều, do đó chúng được chạy với những quyển ưu
15
~~ ~~~
tiên thấp. giảm dược nảuw cơ khi chương trình có lỗi cũng không đưa lại cho kế
,
tấn công quyền quản trị ing thống.
Một số firewall được.
thiết kế với những phần giấm sất việc sử dụng các 16
hồng bảo rnật đã biết, Trong trường hợp Rẻ tấn công thử sử dụng những lỗ hồng
này, Firewall sẽ phí nhận điểm xuất phát của cuộc (đn cơng,và thơng háo cho
người quản trị hệ thống kịp thời.
Tirewall không ngăn chặn được việc nghe trộm: trong phạm vi mang cuc
bộ. Tuy nhiên với phương pháp cài đặt nhiều fircwall để ngăn cách những phần
của mạng cục bộ có u cầu bảo
mức tối đa những thơng tín khơng
đó, firewall có thể giẩm được nguy
cục bộ.. cơng-nghệ
những
trong
Một
fircwall là công
Bằng cách mã
nghệ tạo mạng
mật khác nhau, firewall cho phép giảm đến
cần thiết lan tuyển trên hệ thống mạng. 2o
cơ bị lộ thông lu ngay trong hệ thống mạng
/
mới được dua ra cùng với sự xuất hiện của
riêng 4o (virtual private nctwork)
tren Tntemet.
hóa cde g6i tin ở firewall khi chúng di ra khỏi mạng nội bộ và
giải mã khí chúng
Intemet, cho phép
đi vào, các firewail tạo lập một kênh liên lạc an toần trên
thơng tia bí mật có thể được chuyển gia các mạng mà
không bị lô. ĐAy là một lĩnh vực yêu cẩu cả những giải pháp về inã hóa, xác
¬
,
thực thơng tín.
sử dụng việc giả
cơng
lấn
cuộc
những
lại
chống
Tircwall được thiết kế để
mạo địa chỉ, đồng thời ghỉ nhận những ý đồ giả mạo địa chí mạng bên trong dé
tấn cơng hệ thống.
2. Nhitug kid năng hạn chế của lirewall :
Firewall khong thể ngân chặn dược nhữmg ý đồ tấn công nhầm
làm quá tai
hệ thống. Tuy nhiên, ñrewall phải được thiết kế để ứng trường hợp bị quá tÃI sẽ
từ chối mọi yêu cẩu kết nối mới, do vậy vẫn bảo vệ được mang bên trong khỏi
sự xâm nhập bất hợp pháp từ mạng bên ngồi. .
Iirewall
từ mạng
.
khơng ngăn chặn mội cách hiệu quá các chộc tấn công xuft phái
bên trong, khí một chương trình được lai vio mang
bén trong và chạy
--từ đây. Tuy nhiên để lầm được điểu nàv:-kktấn công trước tiên phải thâm nhập.
được vào nìạng bên trong, điểu mà firewall có thế ngăn chặn kiiá hiệu quả.
Một yêu cầu thường được nêu ra lÀ kiểm soái nội đụng thơng tín chun
qua firewall, như các thơng tin mạng, nội dung nguy hiém, virus... Tuy c6 ict
số te cho phép lầm những thao tác này trên fircwall, đó khơng phải 1ä mục dich
chính của firewall. Những chương tảnh này đồng trời cũng lầm tăng thêm sự
phức tạp của thiết kế firevwvall, tức Ja làm giám độ an toần của nó. Ï len nữa, việc
cài đặt các chương trình kiểm tra như vậy sẽ lầm giảm tốc độ truyền tín, và
trong trường hợp các ứng đụng chạy với yêu cầu cao về độ trễ của thông fin OF
du céc tmg dung multimedia tén mạng) th khó có thể thực hiện được những
thao tác kiểm sốt nội dung mà khơng lầm ảnh hưởng đến tốc độ truvển.
cfing khong thể ngăn chặn những cuộc tấu cơng mà: kết nối
Virewall
mạng khơng đi cua nó. MỸ dụ khí một người sử dụng thiết lập một kết nối với
mang ben ngoai thong qua dudng dial-up, thi Kẻ ifn cOng c6 thé sử đụng kết nối
này để đi vòng qua Grewall vac mang nat bd.
16
