Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa

Đề Tài
Nghiên cứu về tưởng lửa
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
1
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
Mục Lục
PHẦN I: TỔNG QUAN VỀ AN TOÀN THÔNG TIN TRÊN MẠNG 3
CÁC HÌNH THỨC TẤN CÔNG 5
1.1 Tấn công trực tiếp: 5
1.2. Nghe trộm: 6
1.3. Giả mạo địa chỉ: 7
1.4. Vô hiệu các chức năng của hệ thống (DoS, DDoS): 7
1.5. Lỗi của người quản trị hệ thống: 9
1.6. Tấn công vào yếu tố con người: 9
CÁC DỊCH VỤ BẢO VỆ THÔNG TIN TRÊN MẠNG 9
Dịch vụ bí mật (Confidentiality) 10
Dịch vụ xác thực (Authentication) 11
Không thể chối bỏ (Nonrepudiation) 12
CÁC KỸ THUẬT BẢO VỆ THÔNG TIN TRÊN MẠNG 13
GIẢI PHÁP TỔNG THỂ CHO AN TOÀN THÔNG TIN TRÊN MẠNG 16
PHẦN II: FIREWALL 24
GIỚI THIỆU VỀ FIREWALL 24
ĐỐI TƯỢNG BẢO VỆ 25
PHÂN LOẠI KẺ TẤN CÔNG 27
INTERNET FIREWALL 28
a. Ưu điểm: 44
b. Hạn chế: 44
BASTION HOST 52

NGUYÊN LÝ CƠ BẢN ĐỂ THIẾT KẾ VÀ XÂY DỰNG BASTION HOST 52
CÁC LOẠI BASTION HOST ĐẶC BIỆT 53
CHỌN MÁY 54
CHỌN VỊ TRÍ VẬT LÝ ĐẶT BASTION HOST 55
VỊ TRÍ BASTION HOST TRÊN MẠNG 55
CHỌN DỊCH VỤ MẠNG MÀ BASTTION HOST CUNG CẤP 56
LÍ DO KHÔNG CUNG CẤP TÀI KHOẢN TRUY CẬP TRÊN BASTION HOST 57
XÂY DỰNG MỘT BASTION HOST AN TOÀN VÀ CHỐNG LẠI SỰ TẤN CÔNG 57
CÁC DỊCH VỤ INTERNET 59
WORLD WIDE WEB (WWW) 59
ELECTRONIC MAIL ( EMAIL-THƯ ĐIỆN TỬ ) 60
FTP(FILE TRANSFER PROTOCOLS) 61
PROXY 62
PROXY LÀ GÌ??? 62
TẠI SAO PROXY RA ĐỜI 64
TỔNG KẾT CHUNG VỀ PROXY 65
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
2
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
PHẦN I: TỔNG QUAN VỀ AN TOÀN THÔNG TIN
TRÊN MẠNG
An toàn thông tin là nhu cầu rất quan trọng đối với cá nhân cũng như đối với
xã hội và các quốc gia trên thế giới. Mạng máy tính an toàn thông tin được tiến
hành thông qua cá phương pháp vật lý và hành chính. Từ khi ra đời cho đến nay
mạng máy tính đã đem lại hiệu quả vô cùng to lớn trong tất cả các lĩnh vực của đời
sống. Bên cạnh đó người sử dụng phải đối mặt với các hiểm họa do thông tin trên
mạng của họ bị tấn công. An toàn thông tin trên mạng máy tính bao gồm các
phương pháp nhằm bảo vệ thông tin được lưu giữ và truyền trên mạng. An toàn
thông tin trên mạng máy tính là một lĩnh vực đang được quan tâm đặc biệt đồng

thời cũng là một công việc hết sức khó khăn và phức tạp.
Thực tế đã chứng tỏ rằng có một tình trạng rất đáng lo ngại khi bị tấn công
thông tin trong quá trình xử lý, truyền và lưu giữ thông tin. Những tác động bất
hợp pháp lên thông tin với mục đích làm tổn thất, sai lạc, lấy cắp các tệp lưu giữ
tin, sao chép các thông tin mật, giả mạo người được phép sử dụng thông tin trong
các mạng máy tính. Sau đây là một vài ví dụ điển hình về các tác động bất hợp
pháp vào các mạng máy tính:
Các sinh viên trường Đại học Tổng hợp Mỹ đã lập và cài đặt vào máy tính
một chương trình bắt chước sự làm việc với người sử dụng ở xa. Bằng chương
trình họ đã nắm trước được nhu cầu của người sử dụng và hỏi mật khẩu của họ.
Đến khi bị phát hiện các sinh viên này đã kịp lấy được mật khẩu của hơn 100
người sử dụng hợp pháp hệ thống máy tính.
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
3
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
Các nhân viên của hãng CDC(Mỹ) đã “xâm nhập” vào trung tâm tính toán
của một hãng sản xuất hóa phẩm và đã phá hủy các dữ liệu lưu giữ trên băng từ
gây thiệt hại cho hãng này tới hơn 100.000$.
Hãng bách khoa toàn thư của Anh đã đưa ra tòa 3 kĩ thuật viên trong trung
tâm máy tính của mình với lời buộc tội họ đã sao chép từ ổ đĩa của máy chủ tên
tuổi gần 3 triệu khách hàng đáng giá của hãng để bán cho hãng khác.
Chiếm vị trí đáng kể hơn cả trong số các hành động phi pháp tấn công mạng
máy tính là các hành vi xâm nhập vào hệ thống, phá hoại ngầm, gây nổ, làm hỏng
đường cáp kết nối và các hệ thống mã hóa. Song phổ biến nhất vẫn là việc phá hủy
các phần mềm xử lý thông tin tự động, chính các hành vi này thường gây thiệt hại
vô cùng lớn lao.
Cùng với sự gia tăng của nguy cơ đe dọa thông tin trong các mạng máy tính,
vấn đề bảo vệ thông tin càng được quan tâm nhiều hơn. Sau kết quả nghiên cứu
điều tra của của viện Stendfooc (Mỹ), tình hình bảo vệ thông tin đã có những thay

đổi đáng kể. Đến năm 1985 nhiều chuyên gia Mỹ đi đến kết luận rằng các tác động
phi pháp trong hệ thống thông tin tính toán đã trở thành tai họa quốc gia.Khi có đủ
các tài liệu nghiên cứu, hiệp hội luật gia Mỹ tiến hành một cuộc nghiên cứu đặc
biệt. Kết quả là gần một nửa số ý kiến thăm dò thông báo rằng trong năm 1984 họ
đã là nạn nhân của các hành động tội phạm được thực hiện bằng máy tính, rất
nhiều trong số các nạn nhân này đã thông báo cho chính quyền về tội phạm., 39%
số nạn nhân tuy có thông báo nhưng lại không chỉ ra được mục tiêu mà mình nghi
vấn. Đặc biệt nhiểu là các vụ phạm pháp xảy ra trên mạng máy tính của các cơ
quan kinh doanh và nhà băng. Theo các chuyên gia, tính đến trước năm 1990 ở Mỹ
lợi lộc thu được từ việc thâm nhập phi pháp vào các hệ thống thông tin đã lên tới
gần 10 triệu đô la. Tổn thất trung bình mà nạn nhân phải trả vì các vụ phạm pháp
ấy từ 400.000 đến 1.5 triệu đô la. Có hãng đã phải tuyên bố phá sản vì một nhân
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
4
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
viên cố ý phá bỏ tất cả các tài liệu kế toán chứa trong bộ nhớ của máy tính về số nợ
của các con nợ.
CÁC HÌNH THỨC TẤN CÔNG.
1.1 Tấn công trực tiếp:
Những cuộc tấn công trực tiếp thông thường được sử dụng trong giai
đoạn đầu để chiếm được quyền truy nhập bên trong. Một phương pháp tấn công
cổ điển là dò tìm tên ngời sử dụng và mật khẩu. Đây là phương pháp đơn giản,
dễ thực hiện và không đòi hỏi một điều kiện đặc biệt nào để bắt đầu. Kẻ tấn
công có thể sử dụng những thông tin như tên người dùng, ngày sinh, địa chỉ, số
nhà vv để đoán mật khẩu. Trong trường hợp có được danh sách người sử dụng
và những thông tin về môi trường làm việc, có một trương trình tự động hoá về
việc dò tìm mật khẩu này.
Một chương trình có thể dễ dàng lấy được từ Internet để giải các mật
khẩu đã mã hoá của các hệ thống unix có tên là crack, có khả năng thử các tổ

hợp các từ trong một từ điển lớn, theo những quy tắc do người dùng tự định
nghĩa. Trong một số trường hợp, khả năng thành công của phương pháp này có
thể lên tới 30%.
Phương pháp sử dụng các lỗi của chương trình ứng dụng và bản thân hệ
điều hành đã được sử dụng từ những vụ tấn công đầu tiên và vẫn được tiếp tục
để chiếm quyền truy nhập. Trong một số trường hợp phương pháp này cho phép
kẻ tấn công có được quyền của người quản trị hệ thống (root hay administrator).
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
5
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
Hai ví dụ thường xuyên được đưa ra để minh hoạ cho phương pháp này
là ví dụ với chương trình sendmail và chương trình rlogin của hệ điều hành
UNIX.
Sendmail là một chương trình phức tạp, với mã nguồn bao gồm hàng
ngàn dòng lệnh của ngôn ngữ C. Sendmail được chạy với quyền ưu tiên của
người quản trị hệ thống, do chương trình phải có quyền ghi vào hộp thư
của những người sử dụng máy. Và Sendmail trực tiếp nhận các yêu cầu về
thư tín trên mạng bên ngoài. Đây chính là những yếu tố làm cho sendmail trở
thành một nguồn cung cấp những lỗ hổng về bảo mật để truy nhập hệ thống.
Rlogin cho phép người sử dụng từ một máy trên mạng truy nhập từ xa
vào một máy khác sử dụng tài nguyên của máy này. Trong quá trình nhận tên
và mật khẩu của người sử dụng, rlogin không kiểm tra độ dài của dòng
nhập, do đó kẻ tấn công có thể đưa vào một xâu đã được tính toán trước để ghi
đè lên mã chương trình của rlogin, qua đó chiếm được quyền truy nhập.
1.2. Nghe trộm:
Việc nghe trộm thông tin trên mạng có thể đưa lại những thông tin có ích
như tên, mật khẩu của người sử dụng, các thông tin mật chuyển qua mạng. Việc
nghe trộm thường được tiến hành ngay sau khi kẻ tấn công đã chiếm được
quyền truy nhập hệ thống, thông qua các chương trình cho phép bắt các

gói tin vào chế độ nhận toàn bộ các thông tin lưu truyền trên mạng. Những
thông tin này cũng có thể dễ dàng lấy được trên Internet.

Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
6
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
1.3. Giả mạo địa chỉ:
Việc giả mạo địa chỉ IP có thể được thực hiện thông qua việc sử dụng
khả năng dẫn đường trực tiếp (source-routing). Với cách tấn công này, kẻ tấn
công gửi các gói tin IP tới mạng bên trong với một địa chỉ IP giả mạo (thông
thường là địa chỉ của một mạng hoặc một máy được coi là an toàn đối với mạng
bên trong), đồng thời chỉ rõ đường dẫn mà các gói tin IP phải gửi đi.
1.4. Vô hiệu các chức năng của hệ thống (DoS,
DDoS):
Đây là kểu tấn công nhằm tê liệt hệ thống, không cho nó thực hiện chức
năng mà nó thiết kế. Kiểu tấn công này không thể ngăn chặn được, do những
phương tiện đợc tổ chức tấn công cũng chính là các phương tiện để làm việc và
truy nhập thông tin trên mạng. Ví dụ sử dụng lệnh ping với tốc độ cao nhất có
thể, buộc một hệ thống tiêu hao toàn bộ tốc độ tính toán và khả năng của mạng
để trả lời các lệnh này, không còn các tài nguyên để thực hiện những công việc
có ích khác.
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
7
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
Hình 1 Mô hình tấn công DdoS
• Client là một attacker sắp xếp một cuộc tấn công
• Handler là một host đã được thỏa hiệp để chạy những chương trình
đặc biệt dùng đê tấn công

• Mỗi handler có khả năng điều khiển nhiều agent
• Mỗi agent có trách nhiệm gửi stream data tới victim
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
8
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
1.5. Lỗi của người quản trị hệ thống:
Đây không phải là một kiểu tấn công của những kẻ đột nhập, tuy nhiên
lỗi của người quản trị hệ thống thờng tạo ra những lỗ hổng cho phép kẻ tấn
công sử dụng để truy nhập vào mạng nội bộ.
1.6. Tấn công vào yếu tố con người:
Kẻ tấn công có thể liên lạc với một ngời quản trị hệ thống, giả làm một
người sử dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập của
mình đối với hệ thống, hoặc thậm chí thay đổi một số cấu hình của hệ thống để
thực hiện các phương pháp tấn công khác. Với kiểu tấn công này không một
thiết bị nào có thể ngăn chặn một cách hữu hiệu, và chỉ có một cách giáo dục
người sử dụng mạng nội bộ về những yêu cầu bảo mật để đề cao cảnh giác với
những hiện tượng đáng nghi. Nói chung yếu tố con ngời là một điểm yếu trong
bất kỳ một hệ thống bảo vệ nào, và chỉ có sự giáo dục cộng với tinh thần hợp
tác từ phía người sử dụng có thể nâng cao được độ an toàn của hệ thống bảo vệ.
CÁC DỊCH VỤ BẢO VỆ THÔNG TIN TRÊN MẠNG
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
9
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
Chúng ta có thể coi các dịch vụ bảo vệ thông tin như là “bản sao” của các
thao tác bảo vệ tài liệu vật lý. Các tài liệu vật lý có các chữ kí và thông tin về ngày
tạo ra nó. Chúng được bảo vệ nhằm chống lại việc đọc trộm, giả mạo, phá hủy…
Chúng có thể được công chứng, chứng thực, ghi âm, chụp ảnh…
Tuy nhiên có các điểm khác nhau giữa tài liệu điện tử và tài liệu giấy:

- Ta có thể phân biệt giữa tài liệu giấy nguyên bản và một tài liệu sao chép.
Nhưng tài liệu điện tử chỉ là một dãy các bit nên không thể phân bệt được đâu là tài
liệu “nguyên bản” đâu là tài liệu sao chép.
- Một sự thay đổi trong tài liệu giấy đều để lại dấu vết như vết xóa, tẩy…
Tuy nhiên sự thay đổi tài liệu điện tử hoàn toàn không để lại dấu vết.
Dưới đây là các dịch vụ bảo vệ thông tin trên mạng máy tính.
Dịch vụ bí mật (Confidentiality)
Dịch vụ bí mật bảo đảm rằng thông tin trong hệ thống máy tính và thông
tin được truyền chỉ được đọc bởi những bên được ủy quyển. Thao tác đọc bao
gồm in, hiển thị,…Nói cách khác, dịch vụ bí mật bảo vệ dữ liệu được truyền
chống lại các tấn công bị động nhằm khám phá nội dung thông báo.
Thông tin được bảo vệ có thể là tất cả dữ liệu được truyền giữa hai người
dùng trong một khoảng thời gian hoặc một thông báo lẻ hay một số trường
trong thông báo.
Dịch vụ này còn cung cấp khả năng bảo vệ luồng thông tin khỏi bị tấn
công phân tích tình huống.
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
10
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
Dịch vụ xác thực (Authentication)
Dịch vụ xác thực đảm bảo rằng việc truyền thông là xác thực nghĩa là cả
người gửi và người nhận không bị mạo danh.
Trong trường hợp có một thông báo đơn như một tín hiệu cảnh báo, tín
hiệu chuông, dịch vụ xác thực đảm bảo với bên nhận rằng thông báo đến từ
đúng bên nêu danh. Trong trường hợp có một giao dịch đang xảy ra, dịch vụ
xác thực đảm bảo rằng hai bên giao dịch là xác thực và không có kẻ nào giả
danh làm một trong các bên trao đổi.
Nói cách khác, dịch vụ xác thực yêu cầu nguồn gốc của thông báo được
nhận dạng đúng với các định danh đúng.


2.1. Dịch vụ toàn vẹn (Integrity)
Dịch vụ toàn vẹn đòi hỏi rằng các tài nguyên hệ thống máy tính và thông
tin được truyền không bị sử đổi trái phép. Việc sửa đổi bao gồm các thao tác
viết, thay đổi, thay đổi trạng thái, xóa thông báo, tạo thông báo, làm trể hoặc
dùng lại các thông báo được truyền.
Dịch vụ toàn vẹn có thể áp dụng cho một thông báo, một luồng thông báo
hay chỉ một số trường trong thông báo.
Dịch vụ toàn vẹn định hướng kết nối (connection-oriented) áp dụng cho
một luồng thông báo và nó bảo đảm rằng các thông báo được nhận có nội dung
giống như khi được gửi, không bị nhân bản, chèn, sửa đổi, thay đổi trật tự hay
dùng lại kể cả hủy hoại số liệu. Như vậy dịch vụ toàn vẹn định hướng kết nối
quan tâm đến cả việc thay đổi thông báo và từ chối dịch vụ. Mặt khác, dịch vụ
toàn vẹn phi kết nối chỉ quan tâm đến việc sử đổi thông báo. Dịch vụ toàn vẹn
này thiên về phát hiện hơn là ngăn chặn.
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
11
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
Không thể chối bỏ (Nonrepudiation)
Dịch vụ không thể chối bỏ ngăn chặn người gửi hay người nhận chối bỏ
thông báo được truyền. Khi thông báo được gửi đi người nhận có thể chứng
minh rằng người gửi nêu danh đã gửi nó đi. Khi thông báo nhận được, người
gửi có thể chứng minh thông báo đã được nhận bởi người nhận hợp pháp.
2.2. Kiểm soát truy nhập (Access control)
Kiểm soát truy nhập là khả năng hạn chế và kiểm soát truy nhập đến các
hệ thống máy tính và các ứng dụng theo các đường truyền thông. Mỗi thực thể
muốn truy nhập đuề phải định danh hay xác nhận có quyền truy nhập phù hợp.
2.3. Sẵn sàng phục vụ (Availability)
Sẵn sàng phục vụ đòi hỏi rằng các tài nguyên hệ thống máy tính luôn sẵn

sàng đối với những bên được ủy quyền khi cần thiết.
Các tấn công có thể làm mất hoặc giảm khả năng sẵn sàng phục vụ của
các chương trình phần mềm và các tài nguyên phần cứng của mạng máy tính.
Các phần mềm hoạt động sai chức năng có thể gây hậu quả không lường trước
được.
Các mối đe dọa chủ yếu tới sự an toàn trong các hệ thống mạng xuất phát từ
tính mở của các kênh truyền thông (chúng là các cổng được dùng cho truyền thông
hợp pháp giữa các tiến trình như client, server) và hậu quả là làm cho hệ thống bị
tấn công. Chúng ta phải thừa nhận rằng trong mọi kênh truyền thông, tại tất cả các
mức của phần cứng và phần mềm của hệ thống đều chịu sự nguy hiểm của các mối
đe dọa đó.
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
12
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
Biện pháp để ngăn chặn các kiểu tấn công ở trên là:
- Xây dựng các kênh truyền thông an toàn để tránh việc nghe trộm
- Thiết kế các giao thức xác nhận lẫn nhau giữa máy khách hàng và máy chủ:
+ Các máy chủ phải đảm bảo rằng các máy khách hàng đúng là máy của
những người dùng mà chúng đòi hỏi
+ Các máy khách hàng phải đảm bảo rằng các máy chủ cung cấp các dịch
vụ đặc trưng là các máy chủ được ủy quyền cho các dịch vụ đó.
+ Đảm bảo rằng kênh truyền thông là “tươi” nhằm tránh việc dùng lại thông
báo.
CÁC KỸ THUẬT BẢO VỆ THÔNG TIN TRÊN
MẠNG
Mã hóa
Việc mã hóa các thông báo có các vai trò sau:
1. Nó dùng để che dấu thông tin mật được đặt trong hệ thống. Như chúng ta
đã biết, các kênh truyền thông vật lý luôn bị tấn công bởi sự nghe trộm và

xuyên tạc thông báo. Theo truyền thống, việc trao đổi thư từ bằng mật mã được
dùng trong các hoạt động quân sự, tình báo. Điều này dựa trên nguyên tắc là
một thông báo được mã hóa với một khóa mã xác định và chỉ có thể được giải
mã bởi người biết khóa ngược tương ứng.
2. Nó được dùng để hỗ trợ cho cơ chế truyền thông xác thực giữa các cặp
người dùng hợp pháp mà ta gọi là người ủy nhiệm (Principal). Một người ủy
nhiệm sau khi giải mã thành công một thông báo bằng cách dùng một khóa dịch
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
13
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
xác định có thể thừa nhận rằng thông báo được xác thực nếu nó chứa một vài
giá trị mong muốn. Từ đó người nhận có thể suy ra rằng người gửi của thông
báo có khóa mã tương ứng. Như vậy nếu ác khóa được giữ bí mật thì việc giả
mã thành công sẽ xác thực thông báo đến từ một người gửi xác định.
3. Nó được dùng để cài đặt một cơ chế chữ kí số. Chữ kí số có vai trò quan
trọng như một chữ kí thông thường trong việc xác nhận với một thành viên thứ
ba rằng một thông báo là một bản sao không bị thay đổi của một thông báo
được tạo bởi người ủy nhiệm đặc biệt. Khả năng để cung cấp một chữ kí số dựa
trên nguyên tắc : có những việc chỉ có người ủy nhiệm là người gửi thực sự mới
có thể làm còn những người khác thì không thể. Điều này có thể đạt được bằng
việc đòi hỏi một thành viên thứ 3 tin cậy mà anh ta có bằng chứng định danh
của người yêu cầu để mã thông báo hoặc để mã một dạng ngắn của thông báo
được gọi là digest tương tự như một checksum. Thông báo hoặc digest được mã
đóng vai trò như một chữ kí đi kèm với thông báo.
Cơ chế sát thực
Trong các hệ thống nhiều người dùng tập trung các cơ chế xác thực
thường là đơn giản. Định danh của người dùng có thể được xác thực bởi việc
kiểm tra mật khẩu của mỗi phiên giao dịch. Cách tiếp cận này dựa vào cơ chế
quản lí tài nguyên hệt thống của nhân hệ điều hành. Nó chặn tất cả các phiên

giao dịch mới bằng cách giả mạo người khác.
Trong các mạng máy tính, việc xác thực là biện pháp mà nhờ nó các định
danh của các máy chủ và các máy khách hàng được xác minh là đáng tin cậy.
Cơ chế được dùng để đạt điều này là dựa trên quyền sở hữu các khóa mã. Từ
thực tế rằng chỉ một người ủy nhiệm mới có quyền sở hữu khóa bí mật, chúng
ta suy ra rằng người ủy nhiệm chính là người có định danh mà nó đòi hỏi. Việc
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
14
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
sở hữu một mật khẩu bí mật cũng được dùng để xác nhận định danh của người
sở hữu. Các dịch vụ xác thực dựa vào việc dùng mật mã có độ an toàn cao .
Dịch vụ phân phối khóa có chức năng tạo, lưu giữ và phân phối tất cả các khóa
mật mã cần thiết cho tất cả người dùng trên mạng.

Các cơ chế điều khiển truy nhập
Các cơ chế điều khiển truy nhập được dùng để đảm bảo rằng chỉ có một
số người dùng được gán quyền mới có thể truy nhập đến các tài nguyên thông
tin (tệp, tiến trình, cổng truyền thông…) và các tài nguyên phần cứng (máy chủ,
processor, Gateway…)
Các cơ chế điều khiển truy nhập xảy ra trong các hệ điều hành đa người
dùng không phân tán. Trong UNIX và các hệ thống nhiều người dùng khác, các
tệp là các tài nguyên thông tin có thể chia xẻ quan trọng nhất và một cơ chế
điều khiển truy nhập được cung cấp để cho phép mỗi người dùng quản lí một số
tệp bí mật và để chia xẻ chúng trong một cách thức được điều khiển nào đó.
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
15
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
GIẢI PHÁP TỔNG THỂ CHO AN TOÀN THÔNG

TIN TRÊN MẠNG
Khi nói đến giả pháp tổng thể cho an toàn thông tin trên mạng, các chuyên
gia đểu nhấn mạnh một thực tế là không có thứ gì là an toàn tuyệt đối. Hệ thống
bảo vệ có chắc chắn đến đâu đi nữa rồi cũng có lúc bị vô hiệu hóa bởi những kẻ
phá hoại điêu luyện về kĩ xảo và có đủ thời gian. Chưa kể trong nhiều trường hợp
kẻ phá hoại lại nằm ngay trong nội bộ cơ quan có mạng cần bảo vệ. Từ đó có thể
thấy rằng vấn đề an toàn mạng máy tính thực tế là một cuộc chạy tiếp sức không
ngừng và không ai dám khẳng định là có đích cuối cùng hay không.
Các mức bảo vệ thông tin trên mạng
Vì không thể có một giải pháp an toàn tuyệt đối nên người ta thường phải
sử dụng đồng thời nhiều mức bảo vệ khác nhau tạo thành nhiều lớp “rào chắn”
đối với các hoạt động xâm phạm. Ngoài việc bảo vệ thông tin trên đường
truyền, chúng ta còn phải bảo vệ thông tin được cất giữ trong các máy tính, đặc
biệt là trong các máy chủ trên mạng. Bởi thế ngoài một số biện pháp nhằm
chống lại việc tấn công vào thông tin trên đường truyền, mọi cố gắng phải tập
trung vào việc xây dựng các mức “rào chắn” từ ngoài vào trong cho các hệ
thống kết nối vào mạng. Hình 1.3 mô tả các lớp “rào chắn” thông dụng hiện nay
để bảo vệ thông tin trên mạng máy tính:
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
16
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
Hình 2: Các mức bảo vệ thông tin trên mạng máy tính
• Quyền truy nhập:
Lớp bảo vệ trong cùng là quyền truy nhập nhằm kiểm soát các tài nguyên
thông tin của mạng và quyền hạn của người sử dụng trên tài nguyên đó. Hiện tại
việc kiểm soát thường ở mức tệp.
• Đăng kí tên và mật khẩu:
Lớp bảo vệ tiếp theo là đăng kí tên/ mật khẩu (login/password). Thực ra
đây cũng là lớp kiểm soát quyền truy nhập, nhưng không phải truy nhập ở mức

thông tin mà ở mức hệ thống. Đây là phương pháp bảo vệ phổ biến nhất vì nó
đơn giản, ít phí tổn và cũng rất hiệu quả. Mỗi người sử dụng, kể cả người quản
trị mạng muốn vào được mạng để sử dụng các tài nguyên của mạng đều phải
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
Thông
tin
Quyền truy nhập
Login/password
Mã hóa dữ liệu
Bảo vệ vật lý
17
Firewall
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
đăng kí tên và mật khẩu trước. Người quản trị mạng có trách nhiệm quản lí,
kiểm soát mọi hoạt động của mạng và xác định quyền truy nhập của những
người sử dụng khác tùy theo thời gian và không gian, nghĩa là một người sử
dụng chỉ được phép vào mạng ở những thời điểm và từ những vị trí xác định.
Về lí thuyết, nếu mọi người đều giữ kín được tên và mật khẩu đăng kí của mình
thì sẽ không xảy ra các truy nhập trái phép. Song điều đó rất khó đảm bảo trong
thực tế vì nhiều nguyên nhân, chẳng hạn như người sử dụng thiếu cẩn thận khi
chọn mật khẩu trùng với ngày sinh, tên người thân hoặc ghi mật khẩu ra giấy…
Điều đó làm giảm hiệu quả của lớp bảo vệ này. Có thể khắc phục bằng nhiều
cách như người quản trị có trách nhiệm đặt mật khẩu, thay đổi mật khẩu theo
thời gian…
• Mã hóa dữ liệu;
Để bảo mật thông tin truyền trên mạng, người ta sử dụng các phương
pháp mã hóa. Dữ liệu được biến đổi từ dạng nhận thức được sang dạng không
nhận thức được theo một thuật toán nào đó (lập mã) và sẽ được biến đổi ngược
lại (dịch mã) ở nơi nhận. Đây là lớp bảo vệ thông tin rất quan trọng và được sử

dụng rộng rãi trong môi trường mạng.
• Bảo vệ vật lý
Nhằm ngăn cản các truy nhập vật lý bất hợp pháp vào hệ thống. Người ta
thường dùng các biện pháp truyền thống như cấm tuyệt đối người không phận
sự vào phòng đặt máy mạng, dùng ổ khóa trên máy tính (ngắt nguồn điện đến
màn hình và bàn phím nhưng vẫn giữ liên lạc trực tuyến giữa máy tính với
mạng, hoặc cài cơ chế báo động khi có truy nhập vào hệ thống) hoặc dùng các
trạm không có ổ đĩa mềm…
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
18
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
• Bức tường lửa (Firewall)
Để bảo vệ từ xa một máy tính hoặc cho cả một mạng nội bộ, người ta
thường dùng các hệ thống đặc biệt là tường lửa. Chức năng của các tường lửa là
ngăn chặn các thâm nhập trái phép (theo danh sách truy nhập xác định trước) và
thậm chí có thể “lọc” bỏ các gói tin mà ta không muốn gửi đi hoặc nhận vì
những lí do nào đó. Phương thức này được sử dụng nhiều trong môi trường
mạng Internet.
Một cách tiếp cận khác trong việc xây dựng giải pháp tổng thể về an toàn
thông tin trên mạng máy tính là đưa ra các phương pháp và phương tiện bảo vệ
thông tin.
Các phương pháp và phương tiện bảo vệ thông tin
Trong giai đoạn đầu tiên, người ta cho rằng việc bảo vệ thông tin trong hệ
thống thông tin tính toán có thể được thực hiện tương đối dễ dàng, thuần túy
bằng các chương trình phần mềm. Chính vì vậy các phương tiện chương trình
có kèm theo việc bổ sung các biện pháp tổ chức cần thiết được phát triển một
cách đáng kể. Nhưng cho đến lúc chỉ riêng các phương tiện tỏ ra không thể đảm
bảo chắc chắn việc bảo vệ thông tin thì các thiết bị kỹ thuật đa năng, thậm chí
cả một hệ thống kĩ thuật lại phát triển một cách mạnh mẽ. Từ đó cần thiết phải

triển khai một cách đồng bộ tất cả các phương tiện bảo vệ thông tin. Các
phương pháp bảo vệ thông tin bao gồm
• Các chướng ngại:
Chướng ngại là nhằm ngăn cản kẻ tấn công tiếp cận thông tin được bảo
vệ.
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
19
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
• Điều khiển sự tiếp cận:
Điều khiển sự tiếp cận là phương pháp bảo vệ thông tin bằng cách kiểm
soát việc sử dụng tất cả các tài nguyên của hệ thống. Trong một mạng máy tính
cần xây dựng các qui định rõ ràng và chặt chẽ về chế độ làm việc của người sử
dụng, các kĩ thuật viên sử dụng các chương trình phần mềm, các cơ sở dữ liệu
và các thiết bị mang tin.
Cần phải quy định thời gian làm việc trong tuần, trong ngày cho người sử
dụng và nhân viên kĩ thuật trên mạng. Trong thời gian làm việc, cần phải xác
định một danh mục những tài nguyên của mạng được phép tiếp cận và trình tự
tiếp cận chúng. Cần thiết phải có cả một danh sách các cá nhân được quyền sử
dụng các phương tiện kĩ thuật, các chương trình.
Với các ngân hàng dữ liệu người ta cũng chỉ ra một danh sách những
người sử dụng dược quyền tiếp cận nó. Đối với các thiết bị mang tin, phải xác
định chặt chẽ vị trí lưu giữ thường xuyên, danh sách các cá nhân có quyền nhận
các thiết bị này.
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
20
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
Hình 3: Các phương pháp và phương tiện bảo vệ thông tin.
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng

Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
Các chướng
ngại
Điều khiển
Mã hóa thông
tin
Quy định
Cướng bức
Kích thích
Vật lý
Máy móc
Chương
trình
Tổ chức
Luật pháp
Đạo đức
Các
phương
tiện bảo
vệ
Các
phương
pháp bảo
vệ
21
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
• Mã hóa thông tin:
Là phương pháp bảo vệ thông tin trên mạng máy tính bằng cách dùng các
phương pháp mật mã để che dấu thông tin mật. Dạng bảo vệ này được sử dụng
rộng rãi trong quá trình truyền và lưu giữ thông tin. Khi truyền tin theo kênh

truyền công khai thì việc mã hóa là phương pháp duy nhất để bảo vệ thông tin.
• Các qui định:
Các qui định nhằm tránh được một cách tối đa các khả năng tiếp cận phi
pháp thông tin trong các hệ thống xử lí tự động. Để bảo vệ một cách có hiệu
quả cũng cần phải quy định một cách chặt chẽ về kiến trúc của hệ thống thông
tin tính toán, về lược đồ công nghệ của việc xử lí tự động các thông tin cần bảo
vệ , tổ chức và đảm bảo điều kiện làm việc của tất cả các nhân viên xử lí thông
tin…
• Cưỡng bức:
Là phương pháp bảo vệ bắt buộc người sử dụng và các nhân viên của hệ
thống phải tuân theo nguyên tắc xử lí và sử dụng thông tin cần bảo vệ dưới áp
lực của các hình phạt về tài chính và trách nhiệm hình sự.
• Kích thích:
Là các biện pháp động viên giáo dục ý thức, tính tự giác đối với vấn đề
bảo vệ thông tin người sử dụng.
Các phương pháp bảo vệ thông tin đã xét ở trên thường được thực hiện bằng
cách sử dụng các phương tiện bảo vệ khác nhau, đồng thời các phương tiện bảo vệ
này cũng được phân chia thành các phương tiện kĩ thuật, các phương tiện chương
trình, tổ chức, luật pháp và đạo đức.
Các phương tiện bảo vệ là tất cả các biện pháp tổ chức và kỹ thuật. Các biện
pháp tổ chức và pháp lí được thực hiện trong quá trình thiết kế và vận hành hệ
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
22
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
thống thông tin. Các biện pháp tổ chức cần được quan tâm một cáh đầy đủ trong
quá trình thiết kế, xây dựng và hoạt động của hệ thống.
Các phương tiện luật pháp bao gồm các điều khoản luật pháp của nhà nước
qui định về nguyên tắc sử dụng và xử lí thông tin, về việc tiếp cận có hạn chế
thông tin và những biện pháp xử lí khi vi phạm những nguyên tắc đó.

Quá trình xây dựng hệ thống bảo vệ thông tin trải qua nhiều giai đoạn.
Trong giai đoạn đầu các phương tiện chương trình chiếm ưu thế phát triển còn đến
giai đoạn hai thì tất cả các phương tiện bảo vệ đều được quan tâm. Nhưng đến giai
đoạn ba thì hình thành rõ rệt các khuynh hướng sau:
- Tạo ra những thiết bị có chức năng bảo vệ cơ bản.
- Xây dựng các phương tiện bảo vệ phức hợp có thể thực hiện một vài
chức năng bảo vệ khác nhau.
- Thống nhất và chuẩn hóa các phương tiện bảo vệ.
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
23
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
PHẦN II: FIREWALL
GIỚI THIỆU VỀ FIREWALL
Ngày nay, ở bất kỳ đâu chúng ta cũng nghe nói đến mạng Internet, các
phương tiện thông tin đại chúng như báo chí, phát thanh, truyền hình…
Qua mạng Internet, con người có thể kinh doanh tiếp thị trên toàn cầu và tiếp
cận được khối lượng thông tin khổng lồ, cập nhật trong thời gian nhanh. Lợi ích
của Internet mang lại là không nhỏ, nhưng nguy hiểm khi tham gia vào mạng cũng
không ít. Nguy hiểm chính là ngày càng có nhiều mối đe dạo đến sự bảo mật và
mất mát thông tin.
Thông tin là sự sống còn của một doanh nghiệp, một tổ chức hay một quốc
gia. Do đó thông tin là vô giá. Chúng ta bằng mọi cách để bảo vệ chúng tránh các
mối nguy hiểm, một trong những giải pháp tốt hiện nay là xây dựng Firewall. Sử
dụng các bức tường lửa (Firewall) để bảo vệ mạng, tránh sự tấn công từ bên ngoài
đảm bảo được các yếu tố:
• An toàn cho sự hoạt động của toàn bộ hệ thống mạng
• Bảo mật cao trên nhiều phương diện
• Khả năng kiểm soát cao
• Đảm bảo tốc độ nhanh

• Mềm dẻo và dễ sử dụng
• Trong suốt với người sử dụng
• Đảm bảo kiến trúc mở
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
24
Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
ĐỐI TƯỢNG BẢO VỆ
Nhu cầu bảo vệ thông tin trên mạng có thể chia thành ba loại gồm: Bảo vệ
dữ liệu; Bảo vệ các tài nguyên sử dụng trên mạng và Bảo vệ uy tín của cơ quan.
1.1 Đối với dữ liệu
Những thông tin lưu trữ trên hệ thống máy tính cần được bảo vệ do các
yêu cầu sau:
- Tính bí mật (Secrecy): Những thông tin có giá trị về kinh tế, quân sự,
chính sách vv cần được giữ kín. Lộ lọt thông tin có thể do con người hoặc hệ
thống bảo mật kém.
- Tính toàn vẹn (Integriry): Thông tin không bị mất mát hoặc sửa đổi, đánh
tráo. Những người sử dụng có thể là nguyên nhân lớn nhất gây ra lỗi. Việc lưu
trữ các thông tin không chính xác trong hệ thống cũng có thể gây nên những kết
quả xấu như là bị mất dữ liệu. Những kẻ tấn công hệ thống có thể sửa đổi, xóa
bỏ hoặc làm hỏng thông tin quan trọng mang tính sống còn cho các hoạt động
của tổ chức.
- Tính kịp thời: Yêu cầu truy nhập thông tin vào đúng thời điểm cần thiết.
Trong các yêu cầu này, thông thường yêu cầu về tính bí mật được coi là
yêu cầu số 1 đối với thông tin lưu trữ trên mạng. Tuy nhiên, ngay cả khi những
thông tin này không được giữ bí mật, thì những yêu cầu về tính toàn vẹn cũng
rất quan trọng. Không một cá nhân, một tổ chức nào lãng phí tài nguyên vật
chất và thời gian để lưu trữ những thông tin mà không biết về tính đúng đắn của
những thông tin đó.
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng

Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
25