BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƢỜNG ĐẠI HỌC NHA TRANG
KHOA CÔNG NGHỆ THÔNG TIN





NGUYỄN VĂN ĐƢỜNG

TÌM HIỂU VÀ CÀI ĐẶT HỆ THỐNG
FIREWALL KẾT HỢP VỚI PROXY ĐỂ
BẢO VỆ HỆ THỐNG MẠNG
BÊN TRONG

LUẬN VĂN TỐT NGHIỆP


GIÁO VIÊN HƢỚNG DẪN
Th.S NGÔ VĂN CÔNG





Nha Trang, 12/2009
Click to buy NOW!
P

D
F
-
X
C
h
a
n
g
e

V
i
e
w
e
r
w
w
w
.
d
o
c
u
-
t
r
a
c

k
.
c
o
m
Click to buy NOW!
P
D
F
-
X
C
h
a
n
g
e

V
i
e
w
e
r
w
w
w
.
d
o

c
u
-
t
r
a
c
k
.
c
o
m
GVHD: Th.S Ngô Văn Công SVTH: Nguyễn Văn Đường
Trang 1

LỜI MỞ ĐẦU

Song song với việc xây dựng nền tảng về công nghệ thông tin, cũng như phát
triển các ứng dụng máy tính trong sản xuất, kinh doanh, khoa học, giáo dục, xã
hội, thì việc bảo về những thành quả đó là một điều không thể thiếu. Sử dụng các
bức tường lửa (Firewall) để bảo vệ mạng nội bộ (Intranet), tránh sự tấn công từ bên
ngoài là một giải pháp hữu hiệu, đảm bảo được các yếu tố:
 An toàn cho sự hoạt động của toàn bộ hệ thống mạng
 Bảo mật cao trên nhiều phương diện
 Khả năng kiểm soát cao
 Đảm bảo tốc độ nhanh
 Mềm dẻo và dễ sử dụng
 Trong suốt với người sử dụng
Ngày nay, Internet, một kho tàng thông tin khổng lồ, phục vụ hữu hiệu trong sản
xuất kinh doanh. Internet đang ngày càng trở nên quan trọng. Nó mang lại rất nhiều

tiện ích cho mọi người. Internet vừa là nguồn tài nguyên khổng lồ, vừa là nơi chia
sẽ thông tin. Việc sử dụng Internet dần đã trở thành một nhu cầu của mọi người.
Nhu cầu chia sẽ thông tin của con người thông qua Internet ngày càng cao. Tuy
nhiên, Internet là một nơi công cộng, mọi người đều có quyền tham gia đóng góp
nhưng đồng thời đó cũng là nơi để trở mà bất kỳ người nào cũng có thể trở thành
đối tượng cho nhiều người khác tấn công với các mục đích khác nhau. Internet
mang lại nhiều lợi ích nhưng cũng đồng thời cũng mang lại nhiều nguy cơ tiềm ẩn.
Cùng với sự phát triển không ngừng của Internet và các dịch vụ trên Internet, số
lượng các vụ tấn công trên Internet cũng tăng theo cấp số nhân. Trong khi các
phương tiện thông tin đại chúng ngày càng nhắc nhiều đến Internet với những khả
năng truy nhập thông tin dường như đến vô tận của nó, thì các tài liệu chuyên môn
bắt đầu đề cập nhiều đến vấn đề bảo đảm và an toàn dữ liệu cho các máy tính được
kết nối vào mạng Internet.
Click to buy NOW!
P
D
F
-
X
C
h
a
n
g
e

V
i
e
w

e
r
w
w
w
.
d
o
c
u
-
t
r
a
c
k
.
c
o
m
Click to buy NOW!
P
D
F
-
X
C
h
a
n

g
e

V
i
e
w
e
r
w
w
w
.
d
o
c
u
-
t
r
a
c
k
.
c
o
m
GVHD: Th.S Ngô Văn Công SVTH: Nguyễn Văn Đường
Trang 2


Không chỉ số lượng các cuộc tấn công tăng lên nhanh chóng, mà các phương
pháp tấn công cũng liên tục được hoàn thiện. Điều đó cũng là một phần lý do các
nhân viên quản trị hệ thống được kết nối với Internet ngày càng đề cao cảnh giác.
Theo CERT, những cuộc tấn công thời kỳ 1988-1989 chủ yếu đoán tên người người
dùng, mật khẩu (UserID-password) hoặc sử dụng một số lỗi của các chương trình và
hệ điều hành (security hole) làm vô hiệu hệ thống bảo vệ, tuy nhiên các cuộc tấn
công vào thời gian gần đây bao gồm cả các thao tác như giả mạo địa chỉ IP, theo dõi
thông tin truyền qua mạng, tấn công từ chối dịch vụ, chiếm các phiên làm việc từ xa
(telnet hoặc rlogin). Cứ như vậy, phương thức tấn công ngày càng tinh vi và nguy
hiểm.
Vì vậy, mọi người dùng, cơ quan tổ chức, đều có nhu cầu bảo vệ thông tin của
mình trước khi tham gia vào Internet. Nhu cầu bảo vệ thông tin trên Internet có thể
chia thành ba loại gồm:
 Bảo vệ dữ liệu.
 Bảo vệ các tài nguyên sử dụng trên mạng.
 Bảo vệ danh tiếng của cơ quan.
Để tổ chức một hệ thống mạng có khả năng bảo mật cao, một công ty, tổ chức
có thể phải đầu tư một khoảng tài chính khá lớn. Tuy nhiên, với sự phát triển ngày
càng mạnh mẽ của phần mềm nguồn mở, đặt biệt là hệ điều hành nguồn mở đã giúp
các công ty, tổ chức tiết kiệm được một khoảng tài chính lớn. Hơn thế nữa, ngày
nay, các phát hành hệ điều hành dựa trên nhân Linux đã có rất nhiều. Người dùng
có thể hoàn toàn sử dụng hệ điều hành nguồn mở thay cho hệ điều hành thương mại
đắt tiền. Không những thế, hệ điều hành nguồn mở có khả năng bảo mật cao, và
được xem là miễn nhiễm với virus.
Cùng với sự ra đời của hệ điều hành Ubuntu. Một phát hành của Linux được
xem là sẽ thay thế cho Window trong những năm tiếp theo, công ty, tổ chức, doanh
nghiệp có thể tiết kiệm được tài chính và đầu tư vào hệ thống hạ tầng mạng, cũng
như tăng cường khả năng bảo mật hệ thống mạng của mình.
Click to buy NOW!
P

D
F
-
X
C
h
a
n
g
e

V
i
e
w
e
r
w
w
w
.
d
o
c
u
-
t
r
a
c

k
.
c
o
m
Click to buy NOW!
P
D
F
-
X
C
h
a
n
g
e

V
i
e
w
e
r
w
w
w
.
d
o

c
u
-
t
r
a
c
k
.
c
o
m
GVHD: Th.S Ngô Văn Công SVTH: Nguyễn Văn Đường
Trang 3

Khóa luận này với mục tiêu tìm hiểu hệ điều hành nguồn mở Ubuntu Linux,
Firewall iptables, một Firewall được tích match sẵn trong nhân của Linux, Proxy
Squid, một web cache proxy, và các phần mềm nguồn mở khác nhằm thay thế cho
hệ điều hành mạng Window Server và các máy trạm hệ điều hành Window vốn rất
được sử dụng thông dụng hiện nay.

Click to buy NOW!
P
D
F
-
X
C
h
a

n
g
e

V
i
e
w
e
r
w
w
w
.
d
o
c
u
-
t
r
a
c
k
.
c
o
m
Click to buy NOW!
P

D
F
-
X
C
h
a
n
g
e

V
i
e
w
e
r
w
w
w
.
d
o
c
u
-
t
r
a
c

k
.
c
o
m
GVHD: Th.S Ngô Văn Công SVTH: Nguyễn Văn Đường
Trang 4

LỜI CẢM ƠN

Trước hết tôi xin bày tỏ lòng cảm ơn đến quý thầy cô thuộc khoa Công nghệ
thông tin, trường Đại Học Nha Trang đã tận tình dạy dỗ và truyền đạt cho tôi nhiều
kiến thức quý báu trong suốt hơn bốn năm qua.
Xin tỏ lòng biết ơn xâu sắc đến thầy Ngô Văn Công, người đã trực tiếp gợi ý,
hướng dẫn và tận tình truyền đạt nhiều kinh nghiệm để tôi có thể thực hiện và hoàn
thành đề tài này.
Xin tỏ lòng biết ơn đến thầy xxxx Dương thuộc bộ môn xxx và thầy Nguyễn
Tấn Tài đã hết lòng giúp đỡ để tôi có thể thử nghiệm được mô hình trong mạng thực
của trường.
Con cũng xin gửi tất cả lòng biết ơn sâu sắc đến cha mẹ, cùng toàn thể gia đình,
những người nuôi dạy con trưởng thành như ngày hôm nay, đồng thời cũng giúp đỡ,
chăm sóc con trong suốt quá trình thực hiện đề tài.
Cuối cùng, tôi xin cảm ơn đến bạn bè, quý thầy cô, quý anh chị trong công ty
OdysseyVN Nha Trang đã động viên và chỉ bảo nhiệt tình để tôi có thể hoàn thành
tốt đề tài này

Nha Trang, 12/2009
Sinh viên thực hiện
Nguyễn Văn Đường


Click to buy NOW!
P
D
F
-
X
C
h
a
n
g
e

V
i
e
w
e
r
w
w
w
.
d
o
c
u
-
t
r

a
c
k
.
c
o
m
Click to buy NOW!
P
D
F
-
X
C
h
a
n
g
e

V
i
e
w
e
r
w
w
w
.

d
o
c
u
-
t
r
a
c
k
.
c
o
m
GVHD: Th.S Ngô Văn Công SVTH: Nguyễn Văn Đường
Trang 5

NHẬN XÉT CỦA GIÁO VIÊN HƢỚNG DẪN




























Click to buy NOW!
P
D
F
-
X
C
h
a
n
g
e

V
i

e
w
e
r
w
w
w
.
d
o
c
u
-
t
r
a
c
k
.
c
o
m
Click to buy NOW!
P
D
F
-
X
C
h

a
n
g
e

V
i
e
w
e
r
w
w
w
.
d
o
c
u
-
t
r
a
c
k
.
c
o
m
GVHD: Th.S Ngô Văn Công SVTH: Nguyễn Văn Đường

Trang 6

NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN




























Click to buy NOW!
P
D
F
-
X
C
h
a
n
g
e

V
i
e
w
e
r
w
w
w
.
d
o
c
u
-
t
r

a
c
k
.
c
o
m
Click to buy NOW!
P
D
F
-
X
C
h
a
n
g
e

V
i
e
w
e
r
w
w
w
.

d
o
c
u
-
t
r
a
c
k
.
c
o
m
GVHD: Th.S Ngô Văn Công SVTH: Nguyễn Văn Đường
Trang 7

MỤC LỤC

Chương 1: Giới thiệu về Firewall 17
1.1. Firewall là gì? 17
1.2. Chức năng chính 17
1.2.1. Bộ lọc gói tin 18
1.2.1.1. Ưu điểm 19
1.2.1.2. Nhược điểm 20
1.2.2. Bộ lọc gói tin có trạng thái 20
1.2.2.1. Ưu điểm 21
1.2.2.2. Nhược điểm 22
1.2.3. Firewall default policy 22
1.2.3.1. Lựa chọn chính sách mặc định 22

1.2.3.2. Rejecting so với Denying 24
1.3. Perimeter Networks 25
1.3.1. Bastion host 26
1.3.2. Three-legged configuration 27
1.3.3. Back to Back 28
Chương 2: Linux Firewall iptables 30
2.1. Giới thiệu iptables 30
2.2. Tính năng trong iptables 30
2.2.1. Bảng filter 30
2.2.2. Bảng mangle 32
2.2.3. Bảng nat 32
2.3. Tính năng NAT 33
2.4. Tính năng Mangle 34
2.5. Cú pháp lệnh iptables 36
2.5.1. Những lệnh thao tác bảng filter 37
Click to buy NOW!
P
D
F
-
X
C
h
a
n
g
e

V
i

e
w
e
r
w
w
w
.
d
o
c
u
-
t
r
a
c
k
.
c
o
m
Click to buy NOW!
P
D
F
-
X
C
h

a
n
g
e

V
i
e
w
e
r
w
w
w
.
d
o
c
u
-
t
r
a
c
k
.
c
o
m
GVHD: Th.S Ngô Văn Công SVTH: Nguyễn Văn Đường

Trang 8

2.5.1.1. Những thao tác tác động đến chain 37
2.5.1.2. Những thao tác tác động đến luật 38
2.5.1.3. Bảng thao tác match cơ bản 39
2.5.1.4. Những thao tác match với tcp filter 40
2.5.1.5. Những thao tác match với udp filter 40
2.5.1.6. Những thao tác match với icmp filter 40
2.5.2. Target của bảng filter 40
2.5.3. Bổ trợ match trong bảng filter 42
2.5.3.1. Bổ trợ match multiport filter 42
2.5.3.2. Bổ trợ match limit filter 43
2.5.3.3. Bổ trợ match dstlimit filter 44
2.5.3.4. Bổ trợ match state filter 45
2.5.3.5. Match mở rộng mac filter 47
2.5.3.6. Match mở rộng owner filter 48
2.5.3.7. Match mở rộng mark filter 48
2.5.3.8. Match mở rộng tos filter 49
2.5.3.9. Match mở rộng addrtype filter 49
2.5.3.10. Match mở rộng iprange filter 50
2.5.3.11. Match mở rộng length filter 50
2.5.4. Những lệnh thao tác bảng nat 50
2.5.4.1. Target SNAT 50
2.5.4.2. Target MASQUERADE 51
2.5.4.3. Target DNAT 52
2.5.4.4. Target REDIRECT 52
2.5.4.5. Target BALANCE 53
2.5.5. Những lệnh thao tác bảng mangle 53
2.6. Xây dựng firewall iptables 54
2.6.1. Định nghĩa các biến đại diện 54

2.6.2. Cho phép sự hỗ trợ của nhân 54
Click to buy NOW!
P
D
F
-
X
C
h
a
n
g
e

V
i
e
w
e
r
w
w
w
.
d
o
c
u
-
t

r
a
c
k
.
c
o
m
Click to buy NOW!
P
D
F
-
X
C
h
a
n
g
e

V
i
e
w
e
r
w
w
w

.
d
o
c
u
-
t
r
a
c
k
.
c
o
m
GVHD: Th.S Ngô Văn Công SVTH: Nguyễn Văn Đường
Trang 9

2.6.3. Xóa luật hiện tại 55
2.6.4. Đặt lại chính sách mặc định và ngắt Firewall 56
2.6.5. Cho phép interface loopback 56
2.6.6. Xác định lựa chọn chính sách mặc định 56
2.6.7. Kiểm tra nhanh tính match lệ của gói tin 57
2.6.8. Sử dụng kết nối có trạng thái để giảm xét luật 57
2.6.9. Ngăn giả mạo địa chỉ 58
2.7. Cho phép một số dịch vụ mạng cơ bản 59
2.7.1. Dịch vụ phân giải tên miền 59
2.7.1.1. Cho phép người dùng phân giải địa chỉ 60
2.7.1.2. Cho phép làm một DNS server trung chuyển 61
2.7.2. Cho phép một số dịch vụ TCP thông dụng 62

2.7.2.1. Email 62
2.7.2.2. Telnet 63
2.7.2.3. SSH 64
2.7.2.4. FTP 64
2.7.2.5. Web 65
2.7.3. Lọc chặn một số thông điệp ICMP 66
2.8. Logging 67
2.9. Tối ưu Firewall 67
2.9.1. Tổ chức luật 67
2.9.2. Sử dụng module trạng thái 69
2.9.3. Sử dụng chain tự định nghĩa 69
2.10. Một số cấu hình đối với Perimeter Network 70
2.11. Ánh xạ địa chỉ 71
Chương 3: SQUID Proxy 73
3.1. Biên dịch và cài đặt chương trình 73
3.1.1. Configure Script 73
3.1.2. make Install 73
Click to buy NOW!
P
D
F
-
X
C
h
a
n
g
e


V
i
e
w
e
r
w
w
w
.
d
o
c
u
-
t
r
a
c
k
.
c
o
m
Click to buy NOW!
P
D
F
-
X

C
h
a
n
g
e

V
i
e
w
e
r
w
w
w
.
d
o
c
u
-
t
r
a
c
k
.
c
o

m
GVHD: Th.S Ngô Văn Công SVTH: Nguyễn Văn Đường
Trang 10

3.1.3. Cài đặt Squid từ một Repository 73
3.2. Những lưu ý trước khi khởi động 74
3.2.1. Những tham số tùy chọn khi khởi động 74
3.2.2. Khởi tạo cache 75
3.3. Chạy thử chương trình 75
3.4. Access Control trong Squid 76
3.4.1. Access Control Elements cơ sở 77
3.4.1.1. Địa chỉ IP 77
3.4.1.2. Tên miền 78
3.4.1.3. Tên người dùng 79
3.4.1.4. Biểu thức chính quy (regular expression) 80
3.4.1.5. Số hiệu cổng TCP 80
3.4.1.6. Số hiệu của hệ thống tự trị 80
3.4.2. Phương thức (method) 81
3.4.3. Giao thức (proto) 81
3.4.4. Thời gian (time) 81
3.4.5. Xác thực (ident) 83
3.4.6. Số lương kết nối tối đa (maxconn) 83
3.4.7. Trình duyệt (browser) 84
3.4.8. Nội dung trong request (req_mine_type) 84
3.4.9. Nội dung trong response (rep_mine_type) 84
3.4.10. External ACL 85
3.4.11. Luật kiểm soát truy cập 86
3.4.12. Phương thức match luật trong Squid 87
3.4.13. Một số tình huống sử dụng Squid 89
3.5. Những vấn đề cơ bản về đĩa cache 90

3.5.1. Chỉ thị cache_dir 90
3.5.2. Chỉ thị cache_swap_low và cache_swap_high 92
3.5.3. Chỉ thị minimum_object_size và maximum_object_size 92
Click to buy NOW!
P
D
F
-
X
C
h
a
n
g
e

V
i
e
w
e
r
w
w
w
.
d
o
c
u

-
t
r
a
c
k
.
c
o
m
Click to buy NOW!
P
D
F
-
X
C
h
a
n
g
e

V
i
e
w
e
r
w

w
w
.
d
o
c
u
-
t
r
a
c
k
.
c
o
m
GVHD: Th.S Ngô Văn Công SVTH: Nguyễn Văn Đường
Trang 11

3.5.4. Chỉ thị store_dir_select_algorithm 92
3.5.5. Chỉ thị cache_replacement_policy 92
3.5.6. Chỉ thị refresh_pattern 93
3.6. Interception Caching 94
3.6.1. Vì sao, khi nào dùng interception caching 94
3.6.2. Cấu hình interception caching cho Squid 96
3.7. Sử dụng nhiều proxy 96
3.7.1. Xác định các proxy hàng xóm 97
3.7.2. Giới hạn truy cập đến hàng xóm 97
3.7.3. Giao thức ICP 99

3.7.3.1. ICP server 99
3.7.3.2. ICP client 99
3.8. Bộ điều hướng 100
3.9. Chứng thực 101
3.9.1. Chứng thực bằng HTTP Basic 101
3.9.2. Chứng thực bằng HTTP Digest 102
3.9.3. Chứng thực bằng NTLM 103
3.9.4. External ACLs 104
3.9.4.1. ip_user 104
3.9.4.2. ldap_group 105
3.9.4.3. unix_group 105
3.9.4.4. winbind_group 105
3.10. Log 105
3.10.1. Tập tin cache.log 106
3.10.2. Tập tin access.log 106
3.10.3. Tập tin store.log 108
Chương 4: Mô hình thử nghiệm 109
4.1. Môi trường thử nghiệm 109
4.2. Mô hình thử nghiệm 109
Click to buy NOW!
P
D
F
-
X
C
h
a
n
g

e

V
i
e
w
e
r
w
w
w
.
d
o
c
u
-
t
r
a
c
k
.
c
o
m
Click to buy NOW!
P
D
F

-
X
C
h
a
n
g
e

V
i
e
w
e
r
w
w
w
.
d
o
c
u
-
t
r
a
c
k
.

c
o
m
GVHD: Th.S Ngô Văn Công SVTH: Nguyễn Văn Đường
Trang 12

4.3. Cấu hình Firewall và proxy 110
4.3.1. Yêu cầu và cấu hình Firewall 111
4.3.2. Yêu cầu và cấu hình proxy 113
4.4. Cấu hình chia sẽ tập tin và máy in 115
4.4.1. Phân quyền chia sẽ tập tin bằng Samba 115
4.4.2. Phân quyền chia sẽ máy in 118
4.4.3. Phân tích log của Squid băng Webzlizer 119
Chương 5: Tổng kết 123
5.1. Kết quả đạt được 123
5.2. Những hạn chế 123
5.3. Hướng nghiên cứu tiếp theo 124
Tài liệu tham khảo 125

Click to buy NOW!
P
D
F
-
X
C
h
a
n
g

e

V
i
e
w
e
r
w
w
w
.
d
o
c
u
-
t
r
a
c
k
.
c
o
m
Click to buy NOW!
P
D
F

-
X
C
h
a
n
g
e

V
i
e
w
e
r
w
w
w
.
d
o
c
u
-
t
r
a
c
k
.

c
o
m
GVHD: Th.S Ngô Văn Công SVTH: Nguyễn Văn Đường
Trang 13

DANH SÁCH CÁC HÌNH

Hình 1.1. Chính sách từ chối mặc định
Hình 1.2. Chính sách chấp nhận mặc định
Hình 1.3. Rejecting so với Denying
Hình 1.4. Mô hình pháo đài, một Firewall với hai card mạng
Hình 1.5. Mô hình ba chân, một Firewall và ba card mạng
Hình 1.6. Mô hình Firewall back-to-back
Hình 2.1. Luồng gói tin trong bảng filter
Hình 2.2. Sơ đồ duyệt gói trong iptables có đi qua NAT
Hình 2.3. Sơ đồ duyệt gói tin trong Netfilter đầy đủ
Hình 2.4. Phân giải địa chỉ client-to-server
Hình 2.5. Phân giải địa chỉ khi có server trung chuyển
Hình 2.6. Duyệt luật trong chain mặc định
Hình 2.7. Duyệt luật chain tự tạo dựa trên địa chỉ đích của gói tin
Hình 2.8. Duyệt chain tự tạo dựa vào giao thức
Hình 3.1. Cấu trúc thư mục cahce theo lược đồ ufs
Hình 3.2. Mạng ví dụ interception caching
Hình 4.1. Mô hình thử nghiệm tổng thể
Hình 4.2. Mô hình thử nghiệm với địa chỉ mạng
Hình 4.3. Mô hình chia sẽ tập tin và máy in
Hình 4.4. Thống kê dạng biểu đồ cột theo từng tháng
Hình 4.5. Thống kê dạng bảng theo từng tháng
Hình 4.6. Thống kê chi tiết trong tháng

Hình 4.7. Thống kê theo ngày sử dụng
Hình 4.8. Thống kê top url

Click to buy NOW!
P
D
F
-
X
C
h
a
n
g
e

V
i
e
w
e
r
w
w
w
.
d
o
c
u

-
t
r
a
c
k
.
c
o
m
Click to buy NOW!
P
D
F
-
X
C
h
a
n
g
e

V
i
e
w
e
r
w

w
w
.
d
o
c
u
-
t
r
a
c
k
.
c
o
m
GVHD: Th.S Ngô Văn Công SVTH: Nguyễn Văn Đường
Trang 14

DANH SÁCH CÁC BẢNG

Bảng 2.1. Những thao tác tác động đến chain
Bảng 2.2. Những tùy chọn khi liệt kê luật trong chain
Bảng 2.3. Những thao tác tác động đến luật
Bảng 2.4. Những thao tác match cơ bản
Bảng 2.5. Những thao tác match với tcp filter
Bảng 2.6. Những thao tác match với udp filter
Bảng 2.7. Những thao tác match với icmp filter
Bảng 2.8. Target LOG

Bảng 2.9. Target REJECT
Bảng 2.10. Target ULOG
Bảng 2.11. Bổ trợ match multiport filter
Bảng 2.12. Bổ trợ match limit filter
Bảng 2.13. Bổ trợ match dstlimit filter
Bảng 2.14. Bổ trợ match state filter
Bảng 2.15. Match mở rộng mac filter
Bảng 2.16. Match mở rộng owner filter
Bảng 2.17. Match mở rộng mark filter
Bảng 2.18. Match mở rộng tos filter
Bảng 2.19. Match mở rộng addrtype filter
Bảng 2.20. Các loại địa chỉ
Bảng 2.21. Match mở rộng iprange filter
Bảng 2.22. Match mở rộng length filter
Bảng 2.23. Target MARK và target TOS
Bảng 3.1. Match bằng tên miền
Bảng 3.2. Mã và giá trị của ngày
Bảng 4.1. Người dùng trong mạng thử nghiệm

Click to buy NOW!
P
D
F
-
X
C
h
a
n
g

e

V
i
e
w
e
r
w
w
w
.
d
o
c
u
-
t
r
a
c
k
.
c
o
m
Click to buy NOW!
P
D
F

-
X
C
h
a
n
g
e

V
i
e
w
e
r
w
w
w
.
d
o
c
u
-
t
r
a
c
k
.

c
o
m
GVHD: Th.S Ngô Văn Công SVTH: Nguyễn Văn Đường
Trang 15

DANH SÁCH CHỮ VIẾT TẮT

IP Internet Protocol
Giao thức giao tiếp mạng Internet
TCP Transmission Control Protocol
Giao thức truyền thông tin cậy
UDP User Datagram Protocol
Giao thức truyền thông không tin cậy
ICMP Internet Control Message Protocol
Giao thức kiểm soát mạng
IDS Intrusion Dection System
Hệ thống phát hiện chống xâm nhập
VPN Virtual Private Network
Mạng riêng ảo
NAT Network Address Translation
Ánh xạ địa chỉ
NAPT Network Address Port Translation
Ánh xạ địa chỉ và cổng
MAC Media Access Control
Địa chỉ MAC
SSL Secure Socket Layer
Giao thức truyền tin bảo mật
TLS Transport Layer Security
Giao thức truyền tin bảo mật

ACL Access Control List
Danh sách kiểm soát truy cập
URL Universal Resource Location
Chuỗi định vị tài nguyên
Click to buy NOW!
P
D
F
-
X
C
h
a
n
g
e

V
i
e
w
e
r
w
w
w
.
d
o
c

u
-
t
r
a
c
k
.
c
o
m
Click to buy NOW!
P
D
F
-
X
C
h
a
n
g
e

V
i
e
w
e
r

w
w
w
.
d
o
c
u
-
t
r
a
c
k
.
c
o
m
GVHD: Th.S Ngô Văn Công SVTH: Nguyễn Văn Đường
Trang 16

AS Autonomous System
Hệ thống tự trị
ARP Address Resolution Protocol
Giao thức phân giải địa chỉ
ICP Internet Caching Protocol
Giao thức bộ đệm mạng
LDAP Lightweight Directory Access Protocol
Giao thức truy cập dịch vụ thư mục
PAM Pluggable Authentication Modules

Một module chứng thực mở
SMB Server Message Block
Giao thức của Microsoft truy vấn dữ liệu máy quản lý miền

Click to buy NOW!
P
D
F
-
X
C
h
a
n
g
e

V
i
e
w
e
r
w
w
w
.
d
o
c

u
-
t
r
a
c
k
.
c
o
m
Click to buy NOW!
P
D
F
-
X
C
h
a
n
g
e

V
i
e
w
e
r

w
w
w
.
d
o
c
u
-
t
r
a
c
k
.
c
o
m
GVHD: Th.S Ngô Văn Công SVTH: Nguyễn Văn Đường
Trang 17

Chƣơng 1
TỔNG QUAN VỀ FIREWALL
1.1. Firewall là gì?
Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để
ngăn chặn, hạn chế hoả hoạn. Trong công nghệ mạng thông tin, Firewall là một kỹ
thuật được tích match vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo
vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ
thống. Cũng có thể hiểu Firewall là một cơ chế để bảo vệ mạng tin tưởng (Trusted
network) khỏi các mạng không tin tưởng (Untrusted network).

Thông thường Firewall được đặt giữa mạng bên trong (Intranet) của một công
ty, tổ chức, hay một quốc gia, và Internet. Vai trò chính là bảo mật thông tin, ngăn
chặn sự truy nhập không mong muốn từ bên ngoài (Internet) và cấm truy nhập từ
bên trong (Intranet) tới một số địa chỉ nhất định trên Internet.
Trong trường lợp lý tưởng, một Firewall cần phải cung cấp sự tách biệt về mặt
vật lý giữa các mạng với nhau. Ngày nay, sự tách biệt đó đã trở nên mờ dần bởi việc
sử dụng những mạng ảo. Sự ảo hóa giúp phân chia các mạng ở mức logic, điều này
không được khuyến khích trong xây dựng một hệ thống Firewall.
Với vai trò là một hệ thống bảo mật, Firewall tạo một bức tường bao quanh máy
tính hoặc một mạng với Internet. Bức tường đó quyết định những luồng thông tin
nào được phép trong một máy tính hay trong một mạng cục bộ. Firewall giúp bảo
vệ máy tính hay một mạng khỏi hackers, viruses, và những hoạt động mang tính
nguy hiểm.
1.2. Chức năng chính
Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet và
Internet. Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet)
và mạng Internet. Cụ thể là:
Click to buy NOW!
P
D
F
-
X
C
h
a
n
g
e


V
i
e
w
e
r
w
w
w
.
d
o
c
u
-
t
r
a
c
k
.
c
o
m
Click to buy NOW!
P
D
F
-
X

C
h
a
n
g
e

V
i
e
w
e
r
w
w
w
.
d
o
c
u
-
t
r
a
c
k
.
c
o

m
GVHD: Th.S Ngô Văn Công SVTH: Nguyễn Văn Đường
Trang 18

 Firewall quyết định những dịch vụ nào ở bên trong được phép truy cập từ
bên ngoài và ngược lại những dịch vụ bên ngoài nào được phép truy cập từ
bên trong.
 Tất cả việc trao đổi thông tin giữa trong và ngoài đều được thực hiện thông
qua Firewall.
 Chỉ có những trao đổi nào thõa mãn chính sách an ninh của Firewall mới
được phép lưu thông qua Firewall.
Những thành phần chủ yếu của Firewall gồm:
1.2.1. Bộ lọc gói tin
Nhiệm vụ chính của Firewall là ngăn chặn luông lưu lượng mạng xâm nhập
vào mạng bên trong ngoại trừ những luồng lưu lượng được cho phép. Có một
cách để bảo đảm vấn đề này là cho lưu lượng mạng đó đi qua bộ lọc gói tin.
Bộ lọc gói tin sẽ điều khiển truy cập mạng ở tầng mạng bằng cách kiểm tra và
cho phép hoặc không cho phép những gói tin Internet Protocol (IP). Khi
Firewall kiểm tra gói tin, nó chỉ kiểm tra thông tin phần header của tầng mạng
và tầng vận chuyển.
Bộ lọc gói tin có thể đánh giá một gói tin IP dựa vào những yếu tố sau đây:
1. Địa chỉ đích, là địa chỉ có thể là địa chỉ thật của một máy trong một
mạng khác trong trường match hai mạng được định tuyến bởi Firewall.
Địa chỉ đích còn có thể là địa chỉ card mạng ngoài của Firewall trong
trường match hai mạng này có quan hệ ánh xạ địa chỉ (Network
Address Translation - NAT).
2. Địa chỉ nguồn, là địa chỉ của máy chuyển gói tin đi.
3. Giao thức mạng giao tiếp mạng (IP) và số hiệu giao thức. Một gói tin có
thể được gởi bởi một số giao thức như Transmission Control Protocol
(TCP), User Datagram Protocol (UDP), Internet Control Message

Protocol (ICMP) hay bằng bất kỳ một giao thức nào khác. Mỗi giao
thức đều được gán một số hiệu. Ví dụ, TCP có số hiệu giao thức là 6.
Click to buy NOW!
P
D
F
-
X
C
h
a
n
g
e

V
i
e
w
e
r
w
w
w
.
d
o
c
u
-

t
r
a
c
k
.
c
o
m
Click to buy NOW!
P
D
F
-
X
C
h
a
n
g
e

V
i
e
w
e
r
w
w

w
.
d
o
c
u
-
t
r
a
c
k
.
c
o
m
GVHD: Th.S Ngô Văn Công SVTH: Nguyễn Văn Đường
Trang 19

4. Hướng đi của gói tin qua Firewall. Hướng đi của một gói tin qua
Firewall có thể là đi vào, đi ra hoặc cả hai.
5. Số hiệu cổng. Mỗi gói tin TCP/UDP đều có số hiệu cổng nguồn và số
hiệu cổng đích.
Nếu luật lọc gói tin được thoả mãn thì gói tin đó chuyển qua Firewall. Nếu
không gói tin đó sẽ bị bỏ đi. Nhờ vậy mà Firewall có thể ngăn cản được các
kết nối vào các máy chủ hoặc mạng nào đó được xác định, hoặc khoá việc truy
cập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép.
1.2.1.1. Ƣu điểm
 Bộ lọc gói tin chỉ kiểm tra header của tầng mạng và tầng vận chuyển
nên việc lọc gói tin là rất nhanh.

 Lọc gói tin có thể được sử dụng để ngăn chặn hoặc cho phép một
địa chỉ đã biết trước. Nếu ta truy vết được nguồn của một của tấn
công ở tầng ứng dụng và biết được biết được địa chỉ đó thì ta ngăn
tấn công đó ngay từ mức ở tầng mạng. Hoặc giả sử ta cần truy cập
vào mạng và biết rằng mọi sự truy cập đó đều bắt nguồn từ một địa
chỉ nhất định thì ta có thể chỉ cho phép địa chỉ đó như vậy có thể
giảm thiểu tối đa mức nguy cơ cho mạng.
 Lọc gói có thể được sử dụng trong ingress filtering và egress
filtering. Ingress filtering chặn tất cả truy cập tại external interface
của Firewall đối với những gói tin có địa chỉ IP nguồn là địa chỉ
thuộc mạng bên trong. Ví dụ: giả sử mạng internal có dải địa chỉ là
192.168.1.0/24, một ingress filter sẽ ngăn gói tin đến external
interface của Firewall có địa chỉ nguồn là 192.168.1.1. Một egress
filter sẽ chặn gói tin đi ra từ mạng internal nhưng lại có địa chỉ
nguồn không thuộc mạng đó.

Click to buy NOW!
P
D
F
-
X
C
h
a
n
g
e

V

i
e
w
e
r
w
w
w
.
d
o
c
u
-
t
r
a
c
k
.
c
o
m
Click to buy NOW!
P
D
F
-
X
C

h
a
n
g
e

V
i
e
w
e
r
w
w
w
.
d
o
c
u
-
t
r
a
c
k
.
c
o
m

GVHD: Th.S Ngô Văn Công SVTH: Nguyễn Văn Đường
Trang 20

1.2.1.2. Nhƣợc điểm
 Bộ lọc gói tin không thể ngăn chặn sự giả mạo địa chỉ IP hoặc tấn
công bằng source-routing. Một attacker có thể thay thế địa chỉ IP
của mình bằng địa chỉ của một host tin tưởng và bộ lọc gói sẽ không
thể ngăn được gói tin đi qua Firewall.
 Bộ lọc gói không thể ngăn được tấn công bằng IP-fragment. Tấn
công bằng IP-fragment là chia nhỏ gói tin IP thành nhiều mảnh. Hầu
hết các bộ lọc gói đều chỉ kiểm tra gói tin đầu tiên và mặc nhiên
xem như các gói tin tiếp theo sau là match lệ. Nhưng những phân
mảnh theo sau có thể mang những nội dung gây hại.
 Bộ lọc gói không nhận biết được ứng dụng đang chạy. Nếu ta ngăn
cổng mặc định Telnet (cổng 23) nhưng lại mở cổng cho giao thức
Hypertext Transfer Protocol (cổng 80) đi qua, nếu attacker có thể
cấu hình một Telnet server trong mạng của ta lắng nghe trên cổng 80
thì mặc nhiên gói tin sẽ được đi qua Firewall.
1.2.2. Bộ lọc gói tin có trạng thái
Khi Firewall sử dụng bộ lọc trạng thái (statefull filtering), Firewall không
những kiểm tra thông tin header của gói tin mà còn kiểm tra cả trạng thái của
gói tin. Một ví dụ củ thể, Firewall có thể kiểm tra gói tin tại external interface
và xác định xem gói tin đó có phải là trả lời của một yêu câu trước đó từ bên
trong ra hay không. Phần kiểm tra này có thể thực hiện tại cả hai tầng vận
chuyển và tầng ứng dụng.
Bộ lọc trạng thái sử dụng thông tin của phiên làm việc TCP (TCP session)
để xác định một gói tin sẽ được cho phép hay bị ngăn chặn tại Firewall. Phiên
làm việc TCP được thiết lập thông qua cơ chế bắt tay ba pha của TCP. Mục
tiêu của phương thức này là để đồng bộ hóa sequence number và
acknowledgment number và trao đổi những thông tin để hai host có thể truyền

gói tin với nhau. Các bước thực hiện của tiến trình đó như sau:
Click to buy NOW!
P
D
F
-
X
C
h
a
n
g
e

V
i
e
w
e
r
w
w
w
.
d
o
c
u
-
t

r
a
c
k
.
c
o
m
Click to buy NOW!
P
D
F
-
X
C
h
a
n
g
e

V
i
e
w
e
r
w
w
w

.
d
o
c
u
-
t
r
a
c
k
.
c
o
m
GVHD: Th.S Ngô Văn Công SVTH: Nguyễn Văn Đường
Trang 21

1. Bên khởi tạo của phiên làm việc TCP, thường là một client gửi một gói
tin TCP đến server. Client này gửi sequence number của nó và yêu cầu
phía server gửi lại sequence number của server (bằng cách bật bit SYN
lên 1).
2. Bên nhận yêu cầu, thường là server, gửi lại một gói TCP mang
sequence number và một dấu hiệu nhận biết là nó đã nhận yêu câu từ
phía yêu cầu kết nối. Server cũng đồng thời đặt giá trị của cả hai bit
SYN và bit ACK là 1. Bit ACK nhằm cho biết server đã nhận được yêu
cầu từ client.
3. Client gửi lại server một gói tin chấp nhận sequence number của server.
Một khi cả client và server thống nhất được sequence number thì cả hai
sẽ sử dụng sequence number để theo dõi mọi gói tin được truyền đi.

TCP cũng sử dụng một cơ chế tương tự để kết thúc kết nối.
Firewall sử dụng thông tin này để thực hiện lọc trạng thái. Khi một client
thuộc mạng bên trong sử dụng cơ chế bắt tay ba pha để thực hiện kết nối gửi
gói tin đầu tiên, Firewall sẽ cho phép gói tin đó và ghi nhận lại gói tin đã gửi.
Khi có gói tin trả lời, Firewall chấp nhận vì nó là trả lời của một yêu cầu từ
bên trong. Nếu gói tin đến Firewall nhưng chỉ với giá trị bit SYN là 1 hoặc với
cả hai bit SYN và ACK nhưng Firewall không ghi nhận là đã chuyển gói tin
yêu cầu nào từ trong ra thì gói tin đó sẽ bị ngăn chặn.
Firewall cũng có thể sử dụng một cơ chế khác để kiểm soát phiên làm việc
TCP bằng cách sử dụng đồng hồ đếm. Khi một phiên làm việc được bắt đầu từ
bên trong thì Firewall ghi nhận và chỉ cho phiên làm việc đó có hiệu lực trong
một khoảng thời gian nào đó.
1.2.2.1. Ƣu điểm
 Bộ lọc trạng thái giúp ta chắc chắn rằng tất cả lưu lượng đi qua
Firewall đều là một phần của những phiên làm việc đang tồn tại,
hoặc sẽ phù match với luật của Firewall khi mở một kết nối mới.
Click to buy NOW!
P
D
F
-
X
C
h
a
n
g
e

V

i
e
w
e
r
w
w
w
.
d
o
c
u
-
t
r
a
c
k
.
c
o
m
Click to buy NOW!
P
D
F
-
X
C

h
a
n
g
e

V
i
e
w
e
r
w
w
w
.
d
o
c
u
-
t
r
a
c
k
.
c
o
m

GVHD: Th.S Ngô Văn Công SVTH: Nguyễn Văn Đường
Trang 22

 Bộ lọc trạng thái cho phép chúng ta thực hiện bộ lọc gói động, chắc
chắn rằng những cổng được chỉ định mới mở. Nói rõ hơn, nếu một
yêu cầu HTTP từ Web Proxy yêu cầu một Web Server trả lời trên
cổng 1289 thì Firewall sẽ chỉ lắng nghe trên cổng 1289 đến khi nào
kết nỗi kết thúc.
1.2.2.2. Nhƣợc điểm
Bộ lọc trạng thái không thể ngăn được những mối đe dọa xảy ra ở tầng
ứng dụng. Chẳng hạn, một client download những đoạn mã độc hại trong
một phiên làm việc bằng giao thức HTTP match lệ.
1.2.3. Chính sách mặc định của Firewall
1.2.3.1. Lựa chọn chính sách mặc định
Một Firewall là một thiết bị cài đặt một chính sách kiểm soát truy cập.
Phần lớn nhất trong chính sách này là quyết định lựa chọn chính sách mặc
định của Firewall. Có hai chính cách tiếp cận chính trong vấn đề này:
 Mặc định là từ chối mọi truy cập, chỉ cho phép những đi qua
Firewall nếu đã được chỉ rõ trong luật.
 Mặc định là chấp nhận tất cả, nếu là từ chối thì phải xác định rõ.
Thông thường lựa chọn mặc định từ chối mọi truy cập được khuyến
khích nhiều hơn. Cách tiếp cận này cũng giúp chúng ta dễ dàng xây dựng
được một Firewall bảo mật cao. Tuy nhiên chúng ta cần phải biết rõ những
dịch vụ và các giao thức liên quan để có thể cho phép nó và cụ thể thành
luật cho Firewall. Cách tiếp cận này đòi hỏi chúng ta cần phải làm nhiều
việc trước khi có thể truy cập được Internet.

Click to buy NOW!
P
D

F
-
X
C
h
a
n
g
e

V
i
e
w
e
r
w
w
w
.
d
o
c
u
-
t
r
a
c
k

.
c
o
m
Click to buy NOW!
P
D
F
-
X
C
h
a
n
g
e

V
i
e
w
e
r
w
w
w
.
d
o
c

u
-
t
r
a
c
k
.
c
o
m
GVHD: Th.S Ngô Văn Công SVTH: Nguyễn Văn Đường
Trang 23


Hình 1.1 Chính sách từ chối mặc định
Với cách tiếp cận là chấp nhận mọi thứ mặc định, cách này dể dàng xây
dựng được một Firewall và cho hoạt động ngay, nhưng nó cũng yêu cầu ta
phải đoán trước và thêm vào Firewall những luật đối với những truy cập
mà ta cần ngăn chặn. Nguy hiểm đối với cách tiếp cận này là chúng ta
không thể đoán trước hết được những loại truy cập nguy hiểm mà chúng ta
cần phải ngăn chặn.
Click to buy NOW!
P
D
F
-
X
C
h

a
n
g
e

V
i
e
w
e
r
w
w
w
.
d
o
c
u
-
t
r
a
c
k
.
c
o
m
Click to buy NOW!

P
D
F
-
X
C
h
a
n
g
e

V
i
e
w
e
r
w
w
w
.
d
o
c
u
-
t
r
a

c
k
.
c
o
m
GVHD: Th.S Ngô Văn Công SVTH: Nguyễn Văn Đường
Trang 24


Hình 1.2 Chính sách chấp nhận mặc định
1.2.3.2. Rejecting so với Denying
Firewall cung cấp hai lựa chọn hoặc là rejecting và dropping một gói
tin. Sự khác nhau nằm ở chổ, khi một gói tin bị reject thì gói tin đó sẽ bị
loại bỏ và một thông điệp ICMP sẽ được gửi lại cho nơi đã gửi gói tin đó,
trong khi một gói tin bị drop thì gói tin đó sẽ bị loại bỏ ngay mà không một
thông điệp nào gửi trả lại cho bên gửi.
Click to buy NOW!
P
D
F
-
X
C
h
a
n
g
e


V
i
e
w
e
r
w
w
w
.
d
o
c
u
-
t
r
a
c
k
.
c
o
m
Click to buy NOW!
P
D
F
-
X

C
h
a
n
g
e

V
i
e
w
e
r
w
w
w
.
d
o
c
u
-
t
r
a
c
k
.
c
o

m