Đồ Án Tốt Nghiệp Tìm hiểu về Tường Lửa và An Ninh Mạng
M C L C 
Trang
PH N M U  ………….……………………… …… … 4
L I M UỜ ỞĐẦ …… … ……… …… ….………. 4
CH NG I : C S LÝ THUY T T NG L A     ………… 5
I. T NG QUAN V T NG L AỔ Ề ƯỜ Ử ….……… … ……………… 5
II. CH C N NG C A T NG L A (FIREWALL)Ứ Ă Ủ ƯỜ Ử 6
CH NG II : TÌM HI U C C LO I T NG L A (Firewall)     8
I. KH O SÁT CÁC LO I T NG L AẢ Ạ ƯỜ Ử 8
II. MÁY CH DUAL-HOMEDỦ 9
1. Máy tính ch hai c a nh m t t ng l a 12ủ ử ư ộ ườ ử
2. Gây h i cho an to n c a m t t ng l a hai c a 17ạ à ủ ộ ườ ử ử
3. Các d ch v trên t ng l a 2 c a 18ị ụ ườ ử ử
III. CÁC MÁY T NH CH THÀNH TRÌ (BASTION HOSTS)Í Ủ 18
1. Tri n khai n gi n nh t m t máy ch th nh trìề đơ ả ấ ộ ủ à ………… 19
2. Ký hi u c s d ng mô t các c u hìnhệ đượ ử ụ ả ấ ……………… 20
3. C ng n i máy tính ch s ng l c (Screend Host Gateway)ổ ố ủ à ọ 20
4. L c gói ki u trút t i (off-loading) i v i IAPọ ể ả đố ớ ………… …. 23
Trang
5. C u hình nh tuy n cho các m ng c ng máy tính s ng l c 24ấ đị ế ả ổ à ọ
Sinh viên: Nguyễn Kim Ngọc - 506101042 ~ 1 ~
Đồ Án Tốt Nghiệp Tìm hiểu về Tường Lửa và An Ninh Mạng
6. Máy tính ch th nh trì v i c hai giao di n m ng u c ủ à ớ ả ệ ạ đề đượ
c u hìnhấ …………………………………………………… … 28
IV. CÁC M NG CON C SÀNG L C.Ạ ĐƯỢ Ọ …………… ………… 30
CH NG III : KH I NI M PROXY  ………………….………… 34
I. GI I THI U CHUNGỚ Ệ ………………………………………… 34
II. T I SAO TA PH I C N PROXYẠ Ả Ầ ………………………… 34
III. S C N THI T C A PROXYỰ Ầ Ế Ủ ……………………………… 36
IV. NH NG KHUY T I M C A PROXYỮ Ế ĐỂ Ủ ……………………… 37

V. PROXING Ã TH C HI N NH TH NÀOĐ Ự Ệ Ư Ế ………………… 48
CH NG IV : AN NINH M NG ………………… ……………. 40
I. GI I THI U CHUNG V AN NINH M NGỚ Ệ Ề Ạ ………………… 40 II.
T I SAO C N PH I M B O AN NINH M NGẠ Ầ Ả ĐẢ Ả Ạ …………… 41
2.1 – 4 M I E D A CH NH I V I AN NINH M NGỐ Đ Ọ Í ĐỐ Ớ Ạ ………. 41
2.1.1 - M i e d a không có c u trúcố đ ọ ấ ……………………. 41
2.1.2 - M i e d a có c u trúcố đ ọ ấ …………………………… 41
2.1.3 - M i e d a t bên ngo iố đ ọ ừ à ………………………. 41
2.1.4 - M i e d a t bên trongố đ ọ ừ ………………………… 42
2.2  3 CÁCH TH C T N CÔNG QUA M NGỨ Ấ Ạ ………………… 42
2.2.1 - T n công theo ki u th m dòấ ể ă ……………………… 42
Sinh viên: Nguyễn Kim Ngọc - 506101042 ~ 2 ~
Đồ Án Tốt Nghiệp Tìm hiểu về Tường Lửa và An Ninh Mạng
2.2.2 - T n công theo ki u truy c pấ ể ậ ……………………… 43
2.2.3 - T n công theo ki u DoSấ ể ………………………… 44
K T LU N, T I LI U THAM KH O     ……………… …… … 52
PH N M U 
GI I THI U V T I NGHIÊN C U    
L I M UỜ ỞĐẦ
Sinh viên: Nguyễn Kim Ngọc - 506101042 ~ 3 ~
Đồ Án Tốt Nghiệp Tìm hiểu về Tường Lửa và An Ninh Mạng
Ng y nay, khi Internet c ph bi n r ng rãi, các t ch c cá nhânà đượ ổ ế ộ ổ ứ
u có nhu c u trao i thông tin trên xa l thông tin c ng nh th c hi n cácđề ầ đổ ộ ũ ư ự ệ
giao d ch tr c tuy n. M t v n n y sinh l : v y nh ng thông tin, d li u cóị ự ế ộ ấ đề ả à ậ ữ ữ ệ
cái gì m b o cho s an to n khi trao i thông tin, trong khi s v b t nđả ả ự à đổ ố ụ ị ấ
công trên m ng ng y c ng t ng v ph ng th c t n công ng y c ng tinh viạ à à ă à ươ ứ ấ à à
v có t ch c v i nhi u m c ích khác nhau.à ổ ứ ớ ề ụ đ
ng tr c v n th c t ó. Các t i li u chuyên môn b t u c pĐứ ướ ấ đề ự ếđ à ệ ắ đầ đề ậ
n nhi u v n m b o an to n thông tin cho các máy tính k t n i v iđế ề ấ đềđểđả ả à ế ố ớ
m ng Internet.ạ

Trong nh ng ph ng pháp b o v s to n v n thông tin khi k t n iữ ươ ả ệ ự à ẹ ế ố
Internet ph bi n nh t hi n nay l ph ng pháp t ổ ế ấ ệ à ươ đặ T ng l a ườ ử “Firewall”
v m b o à đả ả An ninh m ngạ vì kh n ng ng d ng r ng rãi, linh ho t, m mả ă ứ ụ ộ ạ ề
d o, d tri n khai cho các mô hình m ng.ẻ ễ ể ạ
Xu t phát t ý ngh a th c ti n ó, trong án t t nghi p, em nh nấ ừ ĩ ự ễ đ đồ ố ệ ậ
nhi m v nghiên c u tìm hi u v ệ ụ ứ ể ề T ng l aườ ử v àAn ninh m ngạ , trong ó emđ
t p trung tìm hi u 2 v n : i sâu tìm hi u ậ ể ấ đề đ ể “các lo i t ng l aạ ườ ử ” v à “sự
c n thi t ph i m b o an ninh m ngầ ế ả đả ả ạ ”.
CH NG I
C S LÝ THUY T T NG L A    
I. T NG QUAN V T NG L A   
Khái ni m “t ng l a” (Firewall) r t n gi n. M t t ng l a l m tệ ườ ử ấ đơ ả ộ ườ ử à ộ
máy tính chuyên d ng cùng h th ng ph n m m trên ó (c ng c g i lụ ệ ố ầ ề đ ũ đượ ọ à
Sinh viên: Nguyễn Kim Ngọc - 506101042 ~ 4 ~
Đồ Án Tốt Nghiệp Tìm hiểu về Tường Lửa và An Ninh Mạng
máy tính t ng l a (firewall computer)) nh m b o v m ng máy tính dùngườ ử ằ ả ệ ạ
riêng kh i các truy c p b t h p pháp t bên ngo i.ỏ ậ ấ ợ ừ à
Thu t ng FireWall có ngu n g c t m t k thu t thi t k trong xâyậ ữ ồ ố ừ ộ ỹ ậ ế ế
d ng ng n ch n, h n ch ho ho n. Trong Công ngh m ng thông tin,ự để ă ặ ạ ế ả ạ ệ ạ
FireWall l m t k thu t c tích h p v o h th ng m ng ch ng l i sà ộ ỹ ậ đượ ợ à ệ ố ạ để ố ạ ự
truy c p trái phép nh m b o v các ngu n thông tin n i b c ng nh h n chậ ằ ả ệ ồ ộ ộ ũ ư ạ ế
s xâm nh p v o h thông c a m t s thông tin khác không mong mu n.ự ậ à ệ ủ ộ ố ố
Internet FireWall l m t t p h p thi t b (bao g m ph n c ng v ph nà ộ ậ ợ ế ị ồ ầ ứ à ầ
m m) c t gi a m ng c a m t t ch c, m t công ty, hay m t qu c giaề đượ đặ ữ ạ ủ ộ ổ ứ ộ ộ ố
(Intranet) v Internet.à Trong m t s tr ng h p, Firewall có th c thi tộ ố ườ ợ ể đượ ế
l p trong cùng m t m ng n i b v cô l p các mi n an to n. Ví d nh môậ ở ộ ạ ộ ộ à ậ ề à ụ ư
hình d i ây th hi n m t m ng Firewall ng n cách phòng máy, ng iướ đ ể ệ ộ ạ để ă ườ
s d ng v Internet.ử ụ à
N u so sánh gi a router IP ( nh tuy n IP) v T ng l a, ta th y routerế ữ đị ế à ườ ử ấ
i u khi n các gói tin trên l p IP. Router chuy n ti p m i gói tin d a trên ađề ể ớ ể ế ỗ ự đị

ch ích (destination) c a gói tin ó. a ch ích n y c th hi n trongỉ đ ủ đ Đị ỉ đ à đượ ể ệ
b ng nh tuy n (routing table). Trong lúc ó m t máy tính ch n o khôngả đị ế đ ộ ủ à
l m nhi m v chuy n ti p các gói tin v h th ng t ng l a th c t chính là ệ ụ ể ế à ệ ố ườ ử ự ế à
m t d ng c bi t c a máy ch a ng i dùng (multi-homed host).ộ ạ đặ ệ ủ ủđ ườ
C ng gi ng nh m t máy tính b t k , Firewall ch ti p nh n nh ngũ ố ư ộ ấ ỳ ỉ ế ậ ữ
gói tin m Firewall bi t c a ch ích v s lý gói tin ó qua l p ngà ế đượ đị ỉ đ à ử đ ớ ứ
d ng. Firewall s b qua nh ng gói tin m nó không bi t a ch . Tóm l iụ ẽ ỏ ữ à ế đị ỉ ạ
Firewall không ph i l router b i vì Firewall không l m nhi n v chuy nả à ở à ệ ụ ể
ti p các gói thông tin (packets) ngay c khi Firewall c dung thay choế ả đượ
router.
II.C C CH C N NG C A T NG L A (FIREWALL)     
Sinh viên: Nguyễn Kim Ngọc - 506101042 ~ 5 ~
Đồ Án Tốt Nghiệp Tìm hiểu về Tường Lửa và An Ninh Mạng
V i ch c n ng c a m t t ng l a, k t nh p khó có kh n ng t nớ ứ ă ủ ộ ườ ử ẻ độ ậ ả ă ấ
công tr c ti p v o v o b t k h th ng m ng n o sau t ng l a. Thay v o óự ế à à ấ ỳ ệ ố ạ à ườ ử à đ
k t nh p th ng mu n t n công tr c ti p v o ngay t ng l a. Do t ngẻ độ ậ ườ ố ấ ự ế à ườ ử ườ
l a l m c ích c a b n t n công, nên nó b o s d ng m t cách th c b oử à ụ đ ủ ọ ấ ả ử ụ ộ ứ để ả
v an to n r t ch t ch . thay cho router, t ng l a ph i m b o nhi mệ à ấ ặ ẽ Để ườ ử ả đả ả ệ
v c bi t. Tuy v y, gi m thi u nh ng phi n toái do t ng l a gây ra hụđặ ệ ậ để ả ể ữ ề ườ ử ệ
th ng t ng l a ph i m nhi m nhi u ch c n ng sau:ố ườ ử ả đả ệ ề ứ ă
• D ch v tên mi n (DNS) cho h th ng bên ngo i : T ng l a cungị ụ ề ệ ố à ườ ử
c p d ch v tên có gi i h n cho các m ng bên ngo i. Tuy nhiên d ch v tênấ ị ụ ớ ạ ạ à ị ụ
t ng l a không cung c p tên ho c thông tin a ch v b t c host n o ườ ử ấ ặ đị ỉ ề ấ ứ à ở
trong m ng.ạ
• Chuy n ti p th i n t : trên h th ng t ng l a g i th i n tể ế ưđệ ử ở ệ ố ườ ử ử ưđệ ử
s c c u hình chuy n t i các th i n t cho m i ng i dùng trên t tẽđượ ấ để ể ả ư đệ ử ỗ ườ ấ
c các m ng n i b . M i ng i s d ng trong m ng n i b c ng nh tả ạ ộ ộ ỗ ườ ử ụ ạ ộ ộ đượ đồ ấ
b ng m t tên khác (alias) nh m che d u tên login th c. Khi th n y cằ ộ ằ ấ ự ư à đượ
chuy n ra m ng bên ngo i thì s c vi t l i ph n ánh tên gi n y c aể ạ à ẽđượ ế ạ để ả ả à ủ
ng i s d ng v ch rõ h th ng t ng l a n y nh l xu t s c a th i nườ ử ụ à ỉ ệ ố ườ ử à ư à ấ ứ ủ ư đệ

t ó. Các tên login v tên n i b thì không c cung c p trong th i nửđ à ộ ộ đượ ấ ở ưđ ệ
t khi c chuy n t i ra bên ngo i.ử đượ ể ả à
• D ch v FTP (d ch v chuy n t p): T t c các FTP chuy n iị ụ ị ụ ể ệ ấ ả để ể đ
t c h t ph i thông qua thi t b t ng l a. telnet (ho c rlogin) n / trênướ ế ả ế ị ườ ử Để ặ đế
site xa, tr c h t ng i s d ng ph i log v o h th ng t ng l a.ở ướ ế ườ ử ụ ả à ệ ố ườ ử
Sinh viên: Nguyễn Kim Ngọc - 506101042 ~ 6 ~
Đồ Án Tốt Nghiệp Tìm hiểu về Tường Lửa và An Ninh Mạng
CH NG II
TÌM HI U C C LO I T NG L A (FIREWALL)    
I. KH O S T C C LO I T NG L A     
M c ích chính c a m t t ng l a l b o v m ng n y kh i m ngụ đ ủ ộ ườ ử à ả ệ ạ à ỏ ạ
khác. Thông th ng m ng c n c b o v l thu c trách nhi m c a chúngườ ạ ầ đượ ả ệ à ộ ệ ủ
ta v m ng m chúng ta ang ch ng l i l m ng bên ngo i không th tinà ạ à đ ố ạ à ạ à ể
t ng c, t ó các vi ph m bên ngo i có th phát sinh. m b o m ngưở đượ ừđ ạ à ể Đểđả ả ạ
n y c an to n thì ph i ng n ch n ng i s d ng b t h p pháp truy nh pà đượ à ả ă ặ ườ ử ụ ấ ợ ậ
v o các d li u nh y c m trong khi ó v n cho ng i s d ng chính angà ữ ệ ạ ả đ ẫ ườ ử ụ đ
truy nh p các t i nguyên trên m ng m t cách d d ng.ậ à ạ ộ ễ à
Mô hình OSI l m t ph ng ti n phân bi t gi a b nh tuy nà ộ ươ ệ để ệ ữ ộ đị ế
s ng l c v t ng l a. M c dù mô hình OSI dùng phân bi t gi a các c uà ọ à ườ ử ặ để ệ ữ ấ
trúc truy n thông v kh n ng truy n thông, nh ng không ph i ai c ng có ýề à ả ă ề ư ả ũ
th c c nó ho c s d ng nó. Thu t ng “t ng l a” c nhi u ng i sứ đượ ặ ử ụ ậ ữ ườ ử đượ ề ườ ử
d ng nh m t thu t ng chung mô t m t ph m vi r ng các ch c n ng vụ ư ộ ậ ữ để ả ộ ạ ộ ứ ă à
c u trúc c a m t thi t b b o v m ng. Trên th c t có m t s ng i s d ngấ ủ ộ ế ị ả ệ ạ ự ế ộ ố ườ ử ụ
thu t ng “t ng l a” ám ch h u nh b t k thi t b m b o an to n n o,ậ ữ ườ ử để ỉ ầ ư ấ ỳ ế ị đả ả à à
ch ng h n nh m t thi t b mã hóa ph n c ng, m t b nh tuy n s ng l cẳ ạ ư ộ ế ị ầ ứ ộ ộ đị ế à ọ
ho c m t c ng l p ng d ng.ặ ộ ổ ở ớ ứ ụ
Sinh viên: Nguyễn Kim Ngọc - 506101042 ~ 7 ~
Đồ Án Tốt Nghiệp Tìm hiểu về Tường Lửa và An Ninh Mạng
Nói chung, m t t ng l a c b trí gi a m t m ng bên trong tinộ ườ ử đượ ố ữ ộ ạ
c y c v m t m ng bên ngo i không áng tin c y. T ng l a ho t ngậ đượ à ộ ạ à đ ậ ườ ử ạ độ

nh m t i m ch n giám sát v lo i b l u l ng m ng t i l p ng d ngư ộ để ặ để à ạ ỏ ư ượ ạ ạ ớ ứ ụ
(xem hình 1.1). Các t ng l a c ng có th ho t ng t i các l p m ng vườ ử ũ ể ạ độ ạ ớ ạ à
v n chuy n, trong tr ng h p ó chúng ki m tra các tiêu c a IP v TCPậ ể ườ ợ đ ể đề ủ à
thu c các gói g i n, g i i v lo i b ho c cho i các gói d a v o quy t cộ ọ đế ọ đ à ạ ỏ ặ đ ự à ắ
l c gói ã c l p trình.ọ đ đượ ậ
Hình 1.1: Ho t ng c a t ng l a    
II. M Y CH DUAL-HOMED 
Trong m t m ng TCP/IP thu t ng “multi-homed host” (máy tính chộ ạ ậ ữ ủ
nhi u c a) ám ch m t máy tính ch có nhi u b n m ch giao di n m ngề ử ỉ ộ ủ ề ả ạ ệ ạ
(xem hình 1.2) . Thông th ng m t b n giao di n m ng c k t n i t i m tườ ộ ả ệ ạ đượ ế ố ớ ộ
m ng. V m t l ch s , máy tính ch “multi-home” n y c ng có th nhạ ề ặ ị ử ủ à ũ ể đị
tuy n l u l ng gi a các nhánh m ng. Thu t ng c ng n i (c ng ngõ-ế ư ượ ữ ạ ậ ữ ổ ố ổ
Sinh viên: Nguyễn Kim Ngọc - 506101042 ~ 8 ~
Đồ Án Tốt Nghiệp Tìm hiểu về Tường Lửa và An Ninh Mạng
gateway) ã c s d ng mô t ch c n ng nh tuy n do các máy tínhđ đượ ử ụ để ả ứ ă đị ế
ch nhi u c a (“multi-homed”) n y th c hi n. Hi n nay, thu t ng “b nhủ ề ử à ự ệ ệ ậ ữ ộ đị
tuy n” (Router) c s d ng mô t ch c n ng nh tuy n n y trong khiế đượ ử ụ để ả ứ ă đị ế à
ó thu t ng c ng n i c d nh cho nh ng ch c n ng t ng ng v i các l pđ ậ ữ ổ ố đượ à ữ ứ ă ươ ứ ớ ớ
cao h n c a mô hình OSI.ơ ủ
N u ch c n ng nh tuy n trong máy tính ch nhi u c a b m t hi uế ứ ă đị ế ủ ề ử ị ấ ệ
l c thì máy tính ch n y có th phân cách l u l ng gi a các m ng m nóự ủ à ể ư ượ ữ ạ à
k t n t t i v m i m ng có kh n ng s lý ng d ng trên máy tính chế ố ớ à ỗ ạ ả ă ử ứ ụ ủ
nhi u c a. H n n a, các m ng còn có th dùng chung s li u n u các ngề ử ơ ữ ạ ể ố ệ ế ứ
d ng n y cho phép. M t máy tính ch hai c a “dual-homed” l m t ví dụ à ộ ủ ử à ộ ụ
c a máy tính ch nhi u c a, nó có giao di n m ng v có các ch c n ng nhủ ủ ề ử ệ ạ à ứ ă đị
tuy n b vô hi u hóa. Hình 1.3 trình b y m t ví d v máy tính ch hai c aế ị ệ à ộ ụ ề ủ ử
v i các ch c n ng nh tuy n b vô hi u hóa. Máy tính ch A trên m ng 1ớ ứ ă đị ế ị ệ ủ ạ
có th truy nh p ng d ng A trên máy tính ch hai c a. T ng t nh v y,ể ậ ứ ụ ủ ử ươ ự ư ậ
máy tính ch B có th truy nh p ng d ng B trên máy tính ch hai c a.ủ ể ậ ứ ụ ủ ử
Th m trí hai ng d ng trên các máy tính ch 2 c a có th dùng chung sậ ứ ụ ủ ử ể ố

li u. Các máy tính A v B có kh n ng trao i thông tin qua các s li uệ à ả ă đổ ố ệ
dùng trên các máy tính ch hai c a, nh ng không có s trao i l u l ngủ ử ư ự đổ ư ượ
m ng gi a hai nhánh m ng c k t n i v i máy ch hai c a n y.ạ ữ ạ đượ ế ố ớ ủ ử à
Sinh viên: Nguyễn Kim Ngọc - 506101042 ~ 9 ~
Đồ Án Tốt Nghiệp Tìm hiểu về Tường Lửa và An Ninh Mạng
Hình 1.2: M t máy tính ch nhi u c a truy n thông    
Hình 1.3: Máy tính ch hai c a 
Sinh viên: Nguyễn Kim Ngọc - 506101042 ~ 10 ~
Đồ Án Tốt Nghiệp Tìm hiểu về Tường Lửa và An Ninh Mạng
1. Máy tính ch hai c a nh m t t ng l a.     
Ta có th s d ng máy tính ch hai c a ng n ch n m t m ng bênể ử ụ ủ ử để ă ặ ộ ạ
trong v i m ng bên ngo i không tin t ng c (xem hình 1.4). Vì máyớ ạ à ưở đượ
tính ch hai c a không chuy n ti p b t c l ng TCP/IP n o, cho nên nóủ ử ể ế ấ ứ ượ à
ho n to n ng n ch n b t k l u l ng IP n o gi a m ng bên trong v m ngà à ă ặ ấ ỳ ư ượ à ữ ạ à ạ
bên ngo i không tin c y.à ậ
Nhi u d ch v Internet ch y u l các d ch v l u tr v chuy n ti pề ị ụ ủ ế à ị ụ ư ữ à ể ế
(store – and – forward). N u các d ch v n y ch y trên máy tính ch haiế ị ụ à ạ ủ
c a thì chúng có th c c u hình phát các d ch v ng d ng t máyử ể đượ ấ để ị ụ ứ ụ ừ
n y n máy kia. N u các s li u ng d ng ph i i qua t ng l a thì tácà đế ế ố ệ ứ ụ ả đ ườ ử
nhân chuy n ti p ng d ng (apply catiob forward agents) có th c thi tể ế ứ ụ ể đượ ế
l p ch y trên máy tính ch hai c a n y (xem hình 1.5).ậ ạ ủ ử à
Các tác nhân chuy n ti p ng d ng l m t ph n m m c bi t cể ế ứ ụ à ộ ầ ề đặ ệ đượ
s d ng chuy n ti p các yêu c u ng d ng gi a hai m ng k t n t v iử ụ để ể ế ầ ứ ụ ữ ạ ế ố ớ
nhau. M t ph ng pháp khác l cho phép ng i s d ng ng nh p (login)ộ ươ à ườ ử ụ đă ậ
v o máy ch hai c a v sau ó truy nh p các d ch v bên ngo i t giao di nà ủ ử à đ ậ ị ụ à ừ ệ
m ng bên ngo i c a máy tính ch hai c a n y (xem hình 1.6).ạ à ủ ủ ử à
Sinh viên: Nguyễn Kim Ngọc - 506101042 ~ 11 ~
Đồ Án Tốt Nghiệp Tìm hiểu về Tường Lửa và An Ninh Mạng
Hình1.4: Máy tính ch hai c a nh m t t ng l a     
Hình 1.5: Máy tính ch hai c a v i các tác nhân chuy n ti p ng d ng  ! " # $

N u s d ng các b chuy n ti p ng d ng thì l u l ng ng d ng c ngế ử ụ ộ ể ế ứ ụ ư ượ ứ ụ ũ
không th i qua c t ng l a hai c a, tr khi các b chuy n ti p ngể đ đượ ườ ử ử ừ ộ ể ế ứ
d ng n y c c u hình v ang ch y trên thi t b t ng l a. ây l m t sụ à đượ ấ àđ ạ ế ị ườ ử Đ à ộ ự
th c hi n chính sách “cái gì không nêu rõ l c phép thì có ngh a l bự ệ à đượ ĩ à ị
Sinh viên: Nguyễn Kim Ngọc - 506101042 ~ 12 ~
Đồ Án Tốt Nghiệp Tìm hiểu về Tường Lửa và An Ninh Mạng
c m”. N u ng i s d ng c phép tr c ti p ng nh p v o t ng l a thìấ ế ườ ử ụ đượ ự ế đă ậ à ườ ử
tính ch t an to n c a t ng l a có th b nguy h i (xem hình 1.6). S d nhấ à ủ ườ ử ể ị ạ ở ĩ ư
v y l vì t ng l a hai c a l i m gi a c a k t n i m ng bên trong v iậ à ườ ử ử à để ữ ủ ế ố ạ ớ
m ng bên ngo i. Theo nh ngh a, t ng l a n m trong khu v c r i ro. N uạ à đị ĩ ườ ử ằ ự ủ ế
ng i s d ng ch n m t m t kh u y u ho c cho m t t i kho n thuê baoườ ử ụ ọ ộ ậ ẩ ế ặ để ộ à ả
(user account) c a mình b l i d ng (ch ng h n l các m t kh u) thì khuủ ị ợ ụ ẳ ạ để ộ ậ ẩ
v c r i ro n y có th m r ng v m ng bên trong, do v y phá v m c íchự ủ à ể ở ộ ề ạ ậ ỡ ụ đ
c a t ng l a hai c a. ủ ườ ử ử
Hình 1.6: Khi ng i s d ng truy nh p (login) tr c ti p v o máy ch  $ % & " ' 
hai c a thì s d n n vi c m t an to n ( ) " * + '
N u ghi nh n nh t kí chính xác v các ng nh p c a ng i s d ngế ậ ậ ề đă ậ ủ ườ ử ụ
thì có th truy tìm các d ch v ng nh p b t h p pháp t i t ng l a khiể ị ụ đă ậ ấ ợ ớ ườ ử
Sinh viên: Nguyễn Kim Ngọc - 506101042 ~ 13 ~
Đồ Án Tốt Nghiệp Tìm hiểu về Tường Lửa và An Ninh Mạng
phát hi n s ng nh p m t an to n. Tuy nhiên , n u ng i s d ng khôngệ ự đă ậ ấ à ế ườ ử ụ
c phép tr c ti p ng nh p v o t ng l a hai c a thì m i c g ng ngđượ ự ế đă ậ à ườ ử ử ọ ố ắ đă
nh p tr c ti p s c ghi nh n nh m t s ki n áng ghi nh v nh m t sậ ự ế ẽđượ ậ ư ộ ự ệ đ ớ à ư ộ ự
xâm ph m an to n ti m t ng. Các ví d v các d ch v l u tr v chuy nạ à ề à ụ ề ị ụ ư ữ à ể
ti p l th i n t SMTP, tin t c NNTP. Hình 1.7 s trình b y m t tìnhế à ư đ ệ ử ứ ẽ à ộ
hu ng trong ó máy tính ch hai c a c c u hình chuy n ti p cácố đ ủ ử đượ ấ để ể ế
thông báo th tùy ý gi a m ng bên trong v m ng bên ngo i không tin c yư ữ ạ à ạ à ậ
c.đượ
Hình 1.7: M t máy tính ch hai c a nh m t b chuy n ti p th      ! " 
Hình 1.8 trình b y m t tình hu ng trong ó máy tính ch hai c aà ộ ố đ ủ ử

c c u hình chuy n ti p các thông báo tin t c (new) tùy ý gi a cácđượ ấ để ể ế ứ ữ
máy ch tin t c (new server) trên m ng bên trong v m ng bên ngo i khôngủ ứ ạ à ạ à
tin c y.ậ
Sinh viên: Nguyễn Kim Ngọc - 506101042 ~ 14 ~
Đồ Án Tốt Nghiệp Tìm hiểu về Tường Lửa và An Ninh Mạng
Hình 1.8: M t máy tính ch hai c a nh m t b chuy n ti p tin t c      ! " #
(news forwarder)
Máy tính ch hai c a l c u hình c b n c s d ng trong cácủ ử à ấ ơ ả đượ ử ụ
t ng l a. M t khía c nh quan tr ng khác c a máy tính t ng l a hai c aườ ử ộ ạ ọ ủ ườ ử ử
l ch c n ng nh tuy n b lo i b v ch có m t ng truy n duy nh t gi aà ứ ă đị ế ị ạ ỏ à ỉ ộ đườ ề ấ ữ
các nhánh m ng thông qua m t ch c n ng c a l p ng d ng. N u ta vô tìnhạ ộ ứ ă ủ ớ ứ ụ ế
cho phép vi c nh tuy n có hi u l c (theo thi t k ho c do c u hình sai)ệ đị ế ệ ự ế ế ặ ấ
thì các ch c n ng t i các l p ng d ng c a các t ng l a hai c a s cứ ă ạ ớ ứ ụ ủ ườ ử ử ẽ đượ
b qua.ỏ
H u h t các t ng l a c s d ng trên môi tr ng Unix. Trên m tầ ế ườ ử đượ ử ụ ườ ộ
s phiên b n c a Unix các ch c n ng nh tuy n ã c h y b trên t ngố ả ủ ứ ă đị ế đ đượ ủ ỏ ườ
l a hai c a v n u chúng ch a c h y b thì chúng ta c n ph i bi t cáchử ử à ế ư đượ ủ ỏ ầ ả ế
l m th n o vô hi u hóa chúng.à ế à ệ
2. Gây h i cho an to n c a m t t ng l a hai c a '     
Sinh viên: Nguyễn Kim Ngọc - 506101042 ~ 15 ~
Đồ Án Tốt Nghiệp Tìm hiểu về Tường Lửa và An Ninh Mạng
Nguy c l n nh t l li u k t nh p có t c truy nh p (login)ơ ớ ấ à ệ ẻ độ ậ đạ đượ ậ
tr c ti p v i máy tính ch hai c a hay không. Trên máy tính ch hai c aự ế ớ ủ ử ủ ử
vi c truy nh p (login) luôn x y ra thông qua m t tác nhân ng d ng. C n cóệ ậ ả ộ ứ ụ ầ
bi n pháp xác minh m nh i v i vi c truy nh p t m ng không tin c y bênệ ạ đố ớ ệ ậ ừ ạ ậ
ngo i.à
N u ng i s d ng có c truy nh p t i máy ch hai c a thì m ngế ườ ử ụ đượ ậ ớ ủ ử ạ
bên trong có nguy c b xâm nh p. Các kh n ng xâm nh p n y có th cơ ị ậ ả ă ậ à ểđượ
th c hi n thông qua m t trong các ngu n sau:ự ệ ộ ồ
- Ch cho phép y u trên h th ng t p.ếđộ ế ệ ố ệ

- Các a thu c m ng bên trong c gán theo NFS (NFS-mounted).ổđĩ ộ ạ đượ
- Các phép c p cho các công c r* c a Berkeley thông qua các t pấ ụ ủ ệ
t ng ng máy tính ch nh Rhosts trong các th m c homeươ đươ ủ ư ư ụ
nh ng ng i có s d ng t i kho n ã b l m h i.ữ ườ ử ụ à ả đ ị à ạ
- Các ch ng trình sao chép d phòng có th s a ch a l i.ươ ự ể ử ữ ạ
- Vi c s d ng các giao di n qu n lý ch a c m b o an to n.ệ ử ụ ệ ả ư đượ đả ả à
- Khám phá h th ng t phiên b n ph n m m c ã c s a i v cácệ ố ừ ả ầ ề ũđ đượ ử đổ à
chú gi i phiên b n ch a c m b o an to n úng n.ả ả ư đượ đả ả à đ đắ
- C i t các nhân h i u h nh c cho phép ch c n ng chuy n ti p IPà đặ ệđề à ũ ứ ă ể ế
ho c c i t các phiên b n c a nhân h i u h nh c m ng i taặ à đặ ả ủ ệ đề à ũ à ườ
ã bi t t i các s c an to n.đ ế ớ ự ố à
N u máy tính ch hai c a b h ng thì m ng bên trong b ng choế ủ ử ị ỏ ạ ị để ỏ
nh ng k xâm nh p. Do ó, ta nên phát hi n s m có bi n pháp s a ch aữ ẻ ậ đ ệ ớ để ệ ử ữ
ngay. Nh ng ng i qu n tr m ng c n có bi n pháp c p nh t thông tin vữ ườ ả ị ạ ầ ệ ậ ậ ề
ho t ng c a nó m t cách th ng xuyên.ạ độ ủ ộ ườ
3. Các d ch v trên m t t ng l a hai c a, $    
Sinh viên: Nguyễn Kim Ngọc - 506101042 ~ 16 ~
Đồ Án Tốt Nghiệp Tìm hiểu về Tường Lửa và An Ninh Mạng
Ngo i vi c vô hi u hóa chuy n ti p IP (IP forwarding) chúng ta c ngà ệ ệ ể ế ũ
c n lo i b kh i t ng l a 2 c a t t c các d ch v , các công c v cácầ ạ ỏ ỏ ườ ử ử ấ ả ị ụ ụ à
ch ng trình không c n thi t có th gây nguy h i cho an ninh t ng l a.ươ ầ ế ể ạ ườ ử
D i ây l m t danh sách ch a y các i m ki m tra h u ích i v iướ đ à ộ ứ đầ đủ để ể ữ đố ớ
các t ng l a hai c a ch y trên Unix.ườ ử ử ạ
• Xóa b các công c l p trình nh : Compilers, linkers v.vỏ ụ ậ ư …
• Xóa b các ch ng trình có các permisstion SUID, SGID mỏ ươ à
chúng ta không c n ho c không hi u.ầ ặ ể
• S d ng vi c phân chia a (disk partition) sao cho k t nh p cóử ụ ệ đĩ ẻ độ ậ
th y không gian a trên ph n (partition) a ó m thôi.ểđổđầ đĩ ầ ổđĩ đ à
• Xóa b các account h th ng v account c bi t không c n thi t.ỏ ệ ố à đặ ệ ầ ế
• Xóa b các d ch v m ng không c n thi t.ỏ ị ụ ạ ầ ế

III. C C M Y T NH CH TH NH TRÌ (BASTION HOSTS)  -  
Máy tính ch th nh trì l b t k máy tính ch t ng l a n o có tínhủ à à ấ ỳ ủ ườ ử à
ch t quy t nh i v i an ninh m ng. Máy tính ch th nh trì l máy tínhấ ế đị đố ớ ạ ủ à à
trung tâm cho h th ng an ninh m ng c a 1 c quan. Vì máy tính ch th nhệ ố ạ ủ ơ ủ à
trì có tính ch t quy t nh i v i an ninh m ng cho nên ph i c c ng cấ ế đị đố ớ ạ ả đượ ủ ố
v ng ch c. i u n y có ngh a l các nh qu n tr m ng c n giám sát máyữ ắ Đề à ĩ à à ả ị ạ ầ
tính ch n y m t cách ch t ch . Ph i th ng xuyên ki m tra ph n m m vủ à ộ ặ ẽ ả ườ ể ầ ề à
s an to n h th ng máy tính ch th nh trì n y. Các nh t ký truy nh pự à ệ ố ủ à à ậ ậ
(accegg logs) c n c ki m tra phát hi n b t k s vi ph m an to n ti mầ đượ ể để ệ ấ ỳ ự ạ à ề
t ng n o ho c âm m u t n công máy tính ch th nh trì có th có. à à ặ ư ấ ủ à ể
Máy tính ch 2 c a (dual-homed host) th o lu n trên l 1 ví dủ ử ả ậ ở à ụ
máy tính ch th nh trì b i vì nó h t s c quan tr ng i v i an ninh m ng.ủ à ở ế ứ ọ đố ớ ạ
1. Tri n khai n gi n nh t m t máy ch th nh trì! . / +   '
Sinh viên: Nguyễn Kim Ngọc - 506101042 ~ 17 ~
Đồ Án Tốt Nghiệp Tìm hiểu về Tường Lửa và An Ninh Mạng
Các máy tính ch th nh trì th ng l i t ng b t n công b i vìủ à ườ à đố ượ ị ấ ở
chúng óng vai trò m t i m ph i phép t i m ng bên ngo i không tin c y.đ ộ để ố ớ ạ à ậ
S tri n khai n gi n nh t m t máy tính ch th nh trì l coi ó l i mự ể đơ ả ấ ộ ủ à à đ à đ ể
xâm nh p u tiên v duy nh t cho l u l ng c a m ng bên ngo i (xemậ đầ à ấ ư ượ ủ ạ à
hình 1.9).
Hình 1.9: Tri n khai n gi n nh t cho 1 máy tính ch th nh trì (c u! . / +  ' +
hình B2)
2. Kí hi u c s d ng mô t các c u hình th nh trì * 0  $ ! / + '
B ng các kí hi u sau ây c dùng nh m n gi n hóa vi c mô t ả ệ đ đượ ằ đơ ả ệ ả
c u hình t ng l a.Trong h th ng n y, các kí hi u c s d ng có ý ấ ườ ử ệ ố à ệ đượ ử ụ
ngh a nh sau:ĩ ư
Kí hi uệ Mô tả
S B nh tuy n s ng l cộđị ế à ọ
R B nh tuy n thông th ngộđị ế ườ
F1 T ng l a có 1 k t n i duy nh t t i m ngườ ử ế ố ấ ớ ạ

F2 T ng l a có 2 k t n i v i m ngườ ử ế ố ớ ạ
Sinh viên: Nguyễn Kim Ngọc - 506101042 ~ 18 ~
Đồ Án Tốt Nghiệp Tìm hiểu về Tường Lửa và An Ninh Mạng
B1 Máy tính ch th nh trì v i 1 k t n i duy nh t t i m ngủ à ớ ế ố ấ ớ ạ
B2 Máy tính ch th nh trì v i 2 ng liên k t m ngủ à ớ đườ ế ạ
B ng vi c s d ng các kí hi u n y chúng ta có th mô t c u hìnhằ ệ ử ụ ệ à ể ả ấ
m ng nh trong hình 1.9. Chúng ta có th theo dõi ng i c a l u l ngạ ư ể đườ đ ủ ư ượ
m ng bên ngo i t i m ng bên trong: ạ à ớ ạ
B2
Nh v y m ng thu c hình 1.9 có c u hình B2.ư ậ ạ ộ ấ
3. C ng n i máy tính ch s ng l c (Screend Host Gateway) 1 2  ' 3
Do t m quan tr ng c a máy tính ch th nh trì i v i s an to n c aầ ọ ủ ủ à đố ớ ự à ủ
m ng bên trong, ng i ta th ng a ra m t h ng phòng v u tiên gi aạ ườ ườ đư ộ à ệ đầ ữ
m ng bên trong v m ng bên ngo i không tin c y. Thông th ng b nhạ à ạ à ậ ườ ộ đị
tuy n s ng l c m b o nhi m v c a h ng phòng v n y. Hình 1.10 gi iế à ọ đả ả ệ ụ ủ à ệ à ớ
thi u vi c s d ng m t máy ch th nh trì cùng v i m t b nh tuy n sangệ ệ ử ụ ộ ủ à ớ ộ ộ đị ế
l c l m hang phòng v u tiên. Trong ví d n y ch có giao di n m ngọ à ệ đầ ụ à ỉ ệ ạ
thu c máy tính ch th nh trì c c u hình v c ng chính giao di n m ngộ ủ à đượ ấ à ũ ệ ạ
n y c k t n i v i m ng bên trong. M t trong s các c ng thu c b nhà đượ ế ố ớ ạ ộ ố ổ ộ ộ đị
tuy n s ng l c c k t n i v i m ng bên trong còn c ng kia liên k t v iế à ọ đượ ế ố ớ ạ ổ ế ớ
Internet. Lo i c u hình n y c g i l “c ng n i máy tính ch s ng l c”.ạ ấ à đượ ọ à ổ ố ủ à ọ
B ng các các kí hi u c nh ngh a nh trên, c u hình c ng máyằ ệ đượ đị ĩ ư ấ ổ
tính ch s ng l c trình b y trên hình 1.10 có th c mô t nh c u hìnhủ à ọ à ểđượ ả ư ấ
S-B1 ho c “SB1”.ặ
Sinh viên: Nguyễn Kim Ngọc - 506101042 ~ 19 ~
Đồ Án Tốt Nghiệp Tìm hiểu về Tường Lửa và An Ninh Mạng
Hình 1.10: Máy tính ch th nh trì v i m t giao di n m ng duy nh t '  *  +
v b nh tuy n s ng l c nh l h ng phòng v u tiên (c u hình' , " ' 3  ' ' *4 +
SB1)
Chúng ta c n ph i c u hình b nh tuy n s ng l c nó g i to n bầ ả ấ ộ đị ế à ọ để ử à ộ

l u l ng nh n c t các m ng bên ngo i t i các m ng bên trong, nh ngư ượ ậ đượ ừ ạ à ớ ạ ư
tr c h t ph i i qua máy tính ch th nh trì. Tr c khi chuy n ti p l uướ ế ả đ ủ à ướ ể ế ư
l ng t i máy tính ch th nh trì, b nh tuy n s ng l c s áp d ng các quyượ ớ ủ à ộđị ế à ọ ẽ ụ
t c l c c a nó i v i l u l ng tin n y. Ch nh ng l u l ng áp d ng úngắ ọ ủ đố ớ ư ượ à ỉ ữ ư ượ ụ đ
các quy t c l c gói tin n y m i c h ng t i máy tính ch th nh trì, to nắ ọ à ớ đượ ướ ớ ủ à à
b các l u l ng khác u b xóa b . C u trúc n y cho ta m c tin c yộ ư ượ đề ị ỏ ấ à ứ độ ậ
nh t nh trong an ninh m ng không có trong hình 1.10. K t nh p tr cấ đị ạ ẻđộ ậ ướ
h t ph i v t qua b nh tuy n s ng l c. N u k xâm nh p tìm cách l tế ả ượ ộ đị ế à ọ ế ẻ ậ ọ
qua b nh tuy n s ng l c thì nó ph i i phó v i máy tính ch th nh trì.ộđị ế à ọ ả đố ớ ủ à
Máy tính ch th nh trì s d ng các ch c n ng thu c l p ng d ng ủ à ử ụ ứ ă ộ ớ ứ ụ
quy t nh nên cho phép hay nên t ch i các yêu c u t ho c v i m ngđể ế đị ừ ố ầ ừ ặ ớ ạ
bên ngo i. N u yêu c u n y v t qua c máy tính ch th nh trì thì nóà ế ầ à ượ đượ ủ à
c phép chuy n ti p v o m ng bên trong d i d ng l u l ng n. i v iđượ ể ế à ạ ướ ạ ư ượ đế Đố ớ
Sinh viên: Nguyễn Kim Ngọc - 506101042 ~ 20 ~
Đồ Án Tốt Nghiệp Tìm hiểu về Tường Lửa và An Ninh Mạng
l u l ng gói i (v i m ng bên ngo i) các yêu c u (requests) c chuy nư ượ đ ớ ạ à ầ đượ ể
b nh tuy n s ng l c. Hình 1.11 cho ta th y ng i c a l u l ng m ngộ đị ế à ọ ấ đườ đ ủ ư ượ ạ
bên trong v m ng bên ngo i.à ạ à
Hình 1.11 ng i c a l u l ng m ng i v i m ng có b nh tuy n    0  2  , "
s ng l c v máy tính ch th nh trì.' 3 '  '
4. L c gói ki u trút t i (off - loading) i v i IAP3 ! / 2
M t s c quan thích nh cung c p d ch v truy c p internet (IAP)ộ ố ơ để à ấ ị ụ ậ
c a h m b o quy t c l c gói i v i các l u l ng c g i t i ủ ọđả ả ắ ọ đố ớ ư ượ đượ ử ớ
m ng c quan h (xem hình 3.12). B l c gói v n ho t ng nh h ngạ ơ ọ ộ ọ ẫ ạ độ ư à
phòng v u tiên, nh ng chúng d a v o IAP c a mình duy trì úng cácệđầ ư ự à ủ để đ
quy t c l c gói.ắ ọ
Sinh viên: Nguyễn Kim Ngọc - 506101042 ~ 21 ~
Đồ Án Tốt Nghiệp Tìm hiểu về Tường Lửa và An Ninh Mạng
5. C u hình nh tuy n cho các m ng c ng máy tính ch s ng+ , " / 1  '
l c3

Các b ng nh tuy n c a b s ng l c ph i c c u hình sao cho l uả đị ế ủ ộ à ọ ả đượ ấ ư
l ng bên ngo i c chuy n ti p t i máy tính ch th nh trì. C n ph i b oượ à đượ ể ế ớ ủ à ầ ả ả
v các b ng nh tuy n thu c b nh tuy n s ng l c kh i b xâm nh p ho cệ ả đị ế ộ ộđị ế à ọ ỏ ị ậ ặ
b thay i b t h p pháp.N u m t u v o c a b nh tuy n b thay i ị đổ ấ ợ ế ộ đầ à ủ ộđị ế ị đổ để
l u l ng không c chuy n ti p t i máy tính ch th nh trì m l i c g iư ượ đượ ể ế ớ ủ à à ạ đượ ử
th ng t i m ng k t n i b thì máy tính ch th nh trì ã b b qua.ẳ ớ ạ ế ố ộ ủ à đ ị ỏ
Hình 1.13 trình b y m t tình hu ng trong ó b ng nh tuy n c a bà ộ ố đ ả đị ế ủ ộ
nh tuy n s ng l c h ng t i máy tính ch th nh trì. S c a m ng bênđị ế à ọ ướ ớ ủ à ố ủ ạ
trong l 199.245.180.0 v a ch IP c a máy tính ch th nh trì là à đị ỉ ủ ủ à à
199.245.180.10.B nh tuy n s ng l c u v o sau ây trong b ng nhộ đị ế à ọ đầ à đ ả đị
tuy n c a nó: destination ( ích) = 199.245.180.10ế ủ đ
Hình 1.12: IAP cung c p vi c l c gói cho m ng bên trong+ * 3 
Sinh viên: Nguyễn Kim Ngọc - 506101042 ~ 22 ~
Đồ Án Tốt Nghiệp Tìm hiểu về Tường Lửa và An Ninh Mạng
Hình 1.13: B ng nh tuy n c a b nh tuy n s ng l c c thi t k m t / , "  , " ' 3 0 " " 
cách bình th ng.
To n b l u l ng cho m ng 199.245.180.0 c chuy n ti p t i aà ộ ư ượ ạ đượ ể ế ớ đị
ch IP 199.245.180.0 c a máy tính ch th nh trì ỉ ủ ủ à
Hình 1.14 gi i thi u m t tình hu ng trong ó các b ng nh tuy n c aớ ệ ộ ố đ ả đị ế ủ
b nh tuy n s ng l c ã b phá v v m t u v o (entry) i v i m ngộ đị ế à ọ đ ị ỡ à ộ đầ à đố ớ ạ
ích 199.245.180.0 ã b lo i b . Các l u l ng bên ngo i do b nh tuy nđ đ ị ạ ỏ ư ượ à ộđị ế
Sinh viên: Nguyễn Kim Ngọc - 506101042 ~ 23 ~
INTERNET
Đích
199.245.180.0
Chuyển Tới
199.245.180.10
Giao Diện
e0
Cổng SLO Bộ định

tuyến sàng lọc
Bảng định tuyến của bộ định tuyến
sàng lọc
Mạng bên trong = 199.245.180.0
Máy chủ thành trì
199.245.180.10
Đồ Án Tốt Nghiệp Tìm hiểu về Tường Lửa và An Ninh Mạng
s ng l c nh n c cho m ng 199.245.180.0 không c g i t i máy tínhà ọ ậ đượ ạ đượ ử ớ
ch th nh trì m c g i th ng qua giao di n n i b trên m ng bên trong.ủ à à đượ ử ẳ ệ ộ ộ ạ
Máy tính ch th nh trì b b qua v b nh tuy n s ng l c l h ng phòngủ à ị ỏ à ộđị ế à ọ à à
v duy nh t. Các kh n ng s l , n u b nh tuy n s ng l c ã phá v thìệ ấ ả ă ẽ à ế ộ đị ế à ọ đ ỡ
các ch c n ng khác c a b nh tuy n c ng có th b phá v v vùng r i roứ ă ủ ộ đị ế ũ ể ị ỡ à ủ
bao trùm c m ng bên trong.ả ạ
Hình 1.14 B ng nh tuy n c a b nh tuy n s ng l c b phá v ./ , "  , " ' 3 , 5
N u b nh tuy n s ng l c tr l i các tin báo i h ng ICMPế ộ đị ế à ọ ả ờ đổ ướ
(Internet Control Message Protocol) thì nó r t d b t n th ng b i các b cấ ễ ị ổ ươ ở ứ
i n ICMP do k t nh p g i i. Chính vì v y vi c tr l i các tin báo iđệ ẻ độ ậ ử đ ậ ệ ả ờ đổ
h ng ICMP c n c vô hi u hóa.ướ ầ đượ ệ
Chúng ta c n c u hình các b nh tuy n s ng l c s d ng nhầ ấ ộ đị ế à ọ để ử ụ đị
tuy n t nh (statucrouting). Các h nh trình t nh n y không b các giao th cế ĩ à ĩ à ị ứ
Sinh viên: Nguyễn Kim Ngọc - 506101042 ~ 24 ~
INTERNET
Đích
Chuyển Tới Giao Diện Bộ định tuyến
sàng lọc
Mạng bên trong = 199.245.180.0
Máy chủ thành trì
Bị bỏ qua
Đầu vào định tuyến cho máy
chủ thành trì bị bỏ qua

Máy chủ thành trì
199.245.180.10
Đồ Án Tốt Nghiệp Tìm hiểu về Tường Lửa và An Ninh Mạng
nh tuy n l m m t hi u l c v thay i. i u n y b o v các h nh trìnhđị ế à ấ ệ ự à đổ Đề à ả ệ à
t nh kh i các thông báo nh tuy n gi .ĩ ỏ đị ế ả
T i b nh tuy n chúng ta c ng c n lo i b kh n ng x lí các thôngạ ộđị ế ũ ầ ạ ỏ ả ă ử
báo sau : ARP, ICMP i h ng l i, proxy ARP, MOP, v ICMP unreachable.đổ ướ ạ à
Ví d chúng ta có th s d ng các khai báo c u hình sau trên m t b nhụ ể ử ụ ấ ộ ộ đị
tuy n Cisco :ế
No ip redirects
No ip route-cache
No mop enabled
No service finger
N u b nh tuy n s ng l c c a chúng ta h tr truy nh p TELNET,ế ộ đị ế à ọ ủ ỗ ợ ậ
chúng ta c ng c n vô hi u hóa nó. Trên m t b nh tuy n Cisco, chúng taũ ầ ệ ộ ộ đị ế
có th t các danh m c i u khi n truy nh p (access control lists) cho thi tểđặ ụ đề ể ậ ế
b cu i o ng n ch n vi c truy nh p t xa thông qua TELNET.ị ố ả để ă ặ ệ ậ ừ
Trong ho t ng ARP bình th ng, các u v o ARP c xây d ngạ độ ườ đầ à đượ ự
m t cách n ng ng v s c k t thúc sau m t kho ng th i gian xác nhộ ă độ à ẽđượ ế ộ ả ờ đị
tr c. Chúng ta c n t o b ng tay b ng ti m n ( cache table ) ARP dùng choướ ầ ạ ằ ả ề ẩ
b nh tuy n v máy tính ch th nh trì. Các u v o ARP c th c hi nộđị ế à ủ à đầ à đượ ự ệ
b ng tay n y không bao gi k t thúc v ho t ng nh các u v o “ t nh“.ằ à ờ ế à ạ độ ư đầ à ĩ
V i các ch c n ng x lí ARP b vô hi u hóa t i b nh tuy n, b nhớ ứ ă ử ị ệ ạ ộ đị ế ộ đị
tuy n n y s không cho a ch ph n c ng b th t l c ra bên ngo i.ế à ẽ đị ỉ ầ ứ ị ấ ạ à
6. Máy tính ch th nh trì v i c hai giao di n m ng u  ' / *  
c c u hình0 +
Sinh viên: Nguyễn Kim Ngọc - 506101042 ~ 25 ~