A. Giới thiệu chung về tường lửa
1.Lý do chọn tường lửa
Mạng internet ngày càng phát triển và phổ biến rộng khắp mọi nơi, lợi ích của nó rất lớn.
Tuy nhiên cũng có rất nhiều ngoại tỏc khụng mong muốn đối với các cá nhân là cha mẹ hay tổ
chức, doanh nghiệp, cơ quan nhà nước như các trang web không phù hợp lứa tuổi, nhiệm
vụ, lợi ích, đạo đức, pháp luật hoặc trao đổi thông tin bất lợi cho cá nhân, doanh nghiệp Do
vậy họ (các cá nhân, tổ chức, cơ quan và nhà nước) sử dụng tường lửa để ngăn chặn.
Một lí do khác tường lửa cũng là một công cụ sử dụng cho mục đích chính trị để quản lý
tài nguyên và ngăn chặn sự trao đổi thông tin không mong muốn với bên ngoài.
Với mức độ ứng dụng mạnh mẽ và quy mô lớn của mạng Internet, việc chia sẻ tài nguyên
là vô cùng quan trọng và hữu ích. Tuy nhiên sự phân tán và sự phát triển của mạng thông tin
dẫn đến tất yếu là tài nguyên rất dễ bị xâm phạm và nạn trộm cắp tấn công phá hoại thông tin
gây mất mát dữ liệu. Điều đó rất nguy hiểm. Tóm lại trên một quy mô rộng lớn như Internet
thì mọi khe hở hay lỗi hệ thống đều có nguy cơ gây ra thiệt hại như nhau .Nó có thể là những
phiền phức nhỏ có khi làm suy yếu hoàn toàn, các dữ liệu quan trọng bị xóa, sự riêng tư bị
xâm phạm, toàn bộ hệ thống có thể bị tê liệt.
Chớnh vì vậy cùng với sự phát triển của công nghệ mạng máy tính, công nghệ tường lửa
cũng phát triển theo để đáp ứng nhu cầu an toàn thông tin trờn mạng.Nú là giải pháp hữu hiệu
để tránh sự tấn công từ bên ngoài, giảm nguy cơ lây nhiễm và bảo vệ được các yếu tố: An
tũan cho sự hoạt động của hẹ thống mạng, bảo mật cao trên toàn phương diện, khả năng kiểm
súat cao, đảm bảo tốc độ nhanh, đảm bảo kiến trúc mở.
2.Tường lửa là gì?
Có rất nhiều định nghĩa khác nhau về tưởng lửa. Đây là 2 cách định nghĩa:
Tường lửa (firewall) là hệ thống ngăn chặn việc truy nhập trái phép từ bên ngoài vào
mạng mà cá nhân, tổ chức doanh nghiệp và cơ quan nhà nước lập ra nhằm đảm bảo thông tin
bảo mật nằm trong mạng nội bộ.
Tường lửa có thể là hệ thống phần cứng, phần mềm hoặc kết hợp cả hai hoạt động trong
môi trường mạng. Tường lửa còn được gọi là thiết bị bảo vệ biên giới hay bộ lọc gói tin.
3.Lịch sử phát triển tường lửa
Công nghệ tường lửa bắt đầu xuất hiện vào cuối những năm 1980 khi Internet vẫn còn là một
công nghệ khá mới mẻ để kết nối và sử dụng trên toàn cầu. Ý tưởng đầu tiên được hình thành

sau hàng loạt các vụ xâm phạm nghiêm trọng đối với an ninh liên mạng xảy ra vào cuối
những năm 1980. Cộng đồng mạng đã không hề chuẩn bị cho những cuộc tấn công như vậy
và đã hoàn toàn bị bất ngờ. Sau đó, cộng đồng Internet đã quyết định rằng ưu tiên tối cao là
phải ngăn chặn không cho một cuộc tấn công bất kỳ nào nữa có thể xảy ra, họ bắt đầu cộng
tác đưa ra các ý tưởng mới, những hệ thống và phần mềm mới để làm cho mạng Internet có
thể trở lại an toàn.
Năm 1988, bài báo đầu tiên về công nghệ tường lửa được công bố, khi Jeff Mogul thuộc
Digital Equipment Corp. phát triển các hệ thống lọc đầu tiên được biết đến với tờn cỏc tường
lửa lọc gói tin. Hệ thống khá cơ bản này đã là thế hệ đầu tiên của cái mà sau này sẽ trở thành
một tính năng kỹ thuật an toàn mạng được phát triển cao. Từ năm 1980 đến năm 1990, hai
nhà nghiên cứu tại phòng thí nghiệm AT&T Bell, Dave Presetto và Howard Trickey, đã phát
triển thế hệ tường lửa thứ hai, được biến đến với tờn cỏc tường lửa tầng mạch (circuit level
firewall). Các bài báo của Gene Spafford ở Đại học Purdue, Bill Cheswick ở phòng thí
nghiệm AT&T và Marcus Ranum đã mô tả thế hệ tường lửa thứ ba, với tên gọi tường lửa tầng
ứng dụng (application layer firewall), hay tường lửa dựa proxy (proxy-based firewall).
Nghiên cứu công nghệ của Marcus Ranum đã khởi đầu cho việc tạo ra sản phẩn thương mại
đầu tiên.
Năm 1992, Bob Braden và Annette DeSchon tại Đại học Nam California đã phát triển hệ
thống tường lửa lọc gói tin thế hệ thứ tư. Sản phẩm có tên “Visas” này là hệ thống đầu tiên có
một giao diện với màu sắc và các biểu tượng, có thể dễ dàng cài đặt thành phần mềm cho các
hệ điều hành chẳng hạn Microsoft Windows và Mac/OS của Apple và truy nhập từ các hệ
điều hành đó. Năm 1994, một công ty Israel có tên Check Point Software Technologies đã
xây dựng sản phẩm này thành một phần mềm sẵn sàng cho sử dụng, đó là FireWall-1. Một thế
hệ thứ hai của các tường lửa proxy đã được dựa trên công nghệ Kernel Proxy. Cisco, một
trong những công ty an ninh mạng lớn nhất trên thế giới đã phát hành sản phẩm này năm
1997.
4.Các loại tường lửa
Có 3 cỏch phõn lọai tường lửa theo các tiêu chí sau đây:
• Truyền thông được thực hiện giữa một nút đơn và mạng, hay giữa một số mạng.
• Truyền thông được chặn tại tầng mạng, hay tại tầng ứng dụng.

• Tường lửa có theo dõi trạng thái của truyền thông hay không.
Phân loại theo phạm vi của các truyền trông được lọc, cú cỏc loại sau:
• Tường lửa cá nhân , một ứng dụng phần mềm với chức năng thông thường là lọc dữ
liệu ra vào một máy tính đơn.
• Tường lửa mạng, thường chạy trên một thiết bị mạng hay máy tính chuyên dụng đặt
tại ranh giới của hai hay nhiều mạng hoặc các khu phi quân sự (mạng con trung gian
nằm giữa mạng nội bộ và mạng bên ngoài). Một tường lửa thuộc loại này lọc tất cả
giao thông dữ liệu vào hoặc ra các mạng được kết nối qua nó.
Loại tường lửa mạng tương ứng với ý nghĩa truyền thống của thuật ngữ "tường lửa" trong
ngành mạng máy tính.
Khi phân loại theo các tầng giao thức nơi giao thông dữ liệu có thể bị chặn, có ba loại tường
lửa chính:
• Tường lửa tầng mạng . Ví dụ iptables.
• Tường lửa tầng ứng dụng . Ví dụ TCP Wrappers.
• Tường lửa ứng dụng . Ví dụ: hạn chế các dịch vụ ftp bằng việc định cấu hình tại tệp
/etc/ftpaccess.
Các loại tường lửa tầng mạng và tường lửa tầng ứng dụng thường trựm lờn nhau, mặc dù
tường lửa cá nhân không phục vụ mạng, nhưng một số hệ thống đơn đã cài đặt chung cả hai.
Cuối cùng, nếu phân loại theo tiêu chí rằng tường lửa theo dõi trạng thái của các kết nối mạng
hay chỉ quan tâm đến từng gói tin một cách riêng rẽ, có hai loại tường lửa:
• Tường lửa có trạng thái (Stateful firewall)
• Tường lửa phi trạng thái (Stateless firewall)
Có một cách phân loại tường lửa phổ biến là : Tường lửa cứng và mềm.
• Tường lửa cứng là những tường lửa được tích hợp trên router ví dụ như Tường lửa
cứng NAT(Network address translate)
• Tường lửa mềm là các phần mềm ví dụ như: zone alarm, norton firewall…
• Tường lửa cứng không linh hoạt như mềm, khụng thờm chức năng, thêm quy tắc
như mềm
• Tường lửa cứng hoạt động ở tầng thấp hơn tường lửa mềm( tầng mạng và tầng
chuyển vận)

• Tường lửa cứng không thể kiểm tra được nội dung của gói tin
5.Nhược điểm khi sử dụng tường lửa:
• Sử dụng tường lửa cần phải xử lý một lượng lớn thông tin nên việc xử lý lọc thông tin
có thể làm chậm quá trình kết nối của người kết nối.
• Việc sử dụng tường lửa chỉ hữu hiệu đối với những người không thành thạo kỹ thuật
vượt tường lửa, những người sử dụng khỏc cú hiểu biết có thể dễ dàng vượt qua tường
lửa bằng cách sử dụng các proxy không bị ngăn chặn.
• Mặc dù có tính năng bảo vệ rất cao nhưng tường lửa cũng không phải là phương thức
bảo vệ an toàn một cách tuyệt đối. Có rất nhiều cách vượt tường lửa để truy cập vào
thông tin dữ liệu người dùng dựa vào những khe hở trên tường lửa.
• Tường lửa không đủ thông minh như con người để có thể đọc hiểu từng loại thông tin
và phân tích nội dung tốt hay xấu của nó. Nó chỉ có thể ngăn chặn sự xâm nhập của
những nguồn thông tin không mong muốn nhưng phải xác định rừ cỏc thông số địa
chỉ.
• Tường lửa không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không "đi
qua" nó. Một cách cụ thể, tường lửa không thể chống lại một cuộc tấn công từ một đ-
ờng dial-up, hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa mềm.
• Tường lửa cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data-drivent
attack). Khi có một số chương trình được chuyển theo thiết bị điện tử, vượt qua tường
lửa vào trong mạng được bảo vệ và bắt đầu hoạt động ở đây.
• Một ví dụ là các virus máy tính. Tường lửa làm nhiệm vụ rà quét virus trờn cỏc dữ liệu
được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do
có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả năng kiểm soát của tường lửa .
6. Một số cỏch né và vượt tường lửa:
Vì một số lí do nào đó mà bạn không thể vào được trang web mà bạn “ưa thớch” Do các
trang web bị chặn nhất là các trang web sex thường rất linh động thay đổi địa chỉ để tránh sự
nhận diện hoặc nhanh chóng thông báo địa chỉ mới một cách hạn chế với các đối tượng dùng
đã định.
. Người dùng ở các nước có hệ thống tường lửa có thể tiếp cận với nội dung bị chận qua cỏc
ngừ khỏc bằng cách thay đổi địa chỉ Proxy, DNS hoặc qua vùng nhớ đệm cached của trang

tìm kiếm thông dụng như Google, Yahoo , hoặc sử dụng phần mềm miễn phí Tor. Nói chung
người dùng mạng hiểu biết nhiều về máy tính thì biết nhiều kỹ xảo vượt tường lửa.
Có rất nhiều cách để vượt tường lửa bằng cách "ẩn danh", những trở ngại như download từ
RapidShare, megaupload sẽ không còn làm bạn phải đau đầu nữa.
Những công cụ giới thiệu trong bài viết này các bạn có thể download bản Full miễn phí tại
Một trong những công cụ hữu hiệu để dễ dàng truy cập vào trang web mà
bạn yêu thích:
+ Dùng "song kiếm hợp bích" Tunnelier+Proxifier
Ưu điểm: Sau khi đã chạy Tunnelier và Proxifier thỡ cỏc bạn có thể vào được mọi trang mà
không gặp trở ngại gì. Đặc biệt cách này sẽ Fake được hoàn toàn cho mạng.Nhược điểm: Cấu
hình hơi khó với những Newbie.
Nhược điểm: Cấu hình hơi khó với những Newbie.
+ Kết nối qua dịch vụ Translate của Google.
Đây là một mẹo rất hay mà có lẽ các bạn chưa để ý. Google Translate không chỉ để dịch văn
bản trực tuyến mà nó có thể giúp bạn "ẩn danh" rất hữu hiệu.
Cách thực hiện: Kết nối vào > ở phần "Translate a web page" nhập
địa chỉ cần vào > Chọn loại dịch vụ dịch (Nên để 2 loại ngôn ngữ tương tự nhau. Ví dụ:
German to English) > Click vào nút Translate.
Ưu điểm: Dễ thực hiện, nhanh.
Nhược điểm: Hầu hết các bạn sẽ gặp trở ngại về ngôn ngữ.
B.Tường lửa mềm
1.Phần mềm ISA Firewall client
Phần mềm tường lửa mỏy khỏch (Firewall client) là một phần mềm được cài đặt trờn cỏc hệ
điều hành Windows nhằm cung cấp sự bảo mật và khả năng truy cập nâng cao. Phần mềm này
cung cấp các tính năng nâng cao dưới đây cho mỏy khỏch Windows:
• Cho phép thẩm định dựa trên nhóm người dùng hoặc một người dùng riêng lẻ cho tất cả các
ứng dụng Winsock bằng sử dụng các giao thức TCP và UDP
• Cho phép người dùng và thông tin ứng dụng được ghi lại trong file bản ghi của tường lửa
ISA
• Cung cấp hỗ trợ nâng cao cho các ứng dụng mạng gồm giao thức phức hợp có yêu cầu đến

kết nối thứ cấp
• Cung cấp hỗ trợ “proxy” DNS cho tường lửa máy tính
• Cho phép bạn đưa ra các máy chủ yêu cầu giao thức phức hợp mà không cần sự hỗ trợ của
bộ lọc ứng dụng
• Cơ sở hạ tầng định tuyến mạng là trong suốt đối với tường lửa mỏy khách
Một số ưu điểm của Firewall client
• Thẩm định tụt dựa trên người dùng hay nhóm đối với các ứng dụng bằng sử dụng TCP
và UDP cho phép bạn kiểm soát một cách chặt chẽ truy cập đi ra,thực hiện nguyên lý
đặc quyền tối thiểu bảo vệ hệ thống mạng máy tính.
• Tên người dùng và thông tin ứng dụng được lưu trong bản ghi của ISA firewall giúp
kiểm soát truy cập nhóm và tăng sự bảo mật đối với mạng.
• Hỗ trợ nâng cao cho các ứng dụng và giao thức mạng. Do vậy Firewall có thể truy cập
ảo vào bất kỳ giao thức dựa trên TCP và UDP nào.
• Proxy DNS hỗ trợ cho Firewall client. Tính năng DNS proxy này nâng cao cấu hình
bảo mật cho firewall client.
• Cho phép công bố các máy chủ yêu cầu giao thức mạng phức hợp.
Cơ sở hạ tầng định tuyến mạng hoàn toàn trong suốt với firewall client. Firewall client chỉ
cần biết định tuyến cho địa chỉ IP trên giao diện bên trong của ISA firewall. Điều này làm
giảm được vấn đề quản lý yêu cầu để hỗ trợ cho Firewall client.
Túm lại,trờn đây là một số thông tin về phần mềm Firewall client của ISA firewall.
Dịch vụ tường lửa của ISA Firewall sau đó ủy nhiệm các kết nối đến đích được yêu cầu
bởi mỏy khỏch. Firewall client hỗ trợ các giao thức có nhiều kết nối chính và phụ và
không yêu cầu định nghĩa giao thức cụ thể nếu một nguyên tắc truy cập “mở tất cả” được
tạo ra. Quan trọng nhất, Firewall client có thể gửi thông tin tên máy tính và sử dụng đến
ISA Firewall và thông tin này được lưu trong các bản ghi và báo cáo để bạn có thể có
được thông tin chi tiết về những gì người dùng đang thực hiện với kết nối Internet, với
hầu hết các ứng dụng và giao thức, những thứ mà không thể được thực hiện với máy tính
được cấu hình như Web proxy hoặc SecureNET client. Thêm vào đó, Firewall client gửi
tên ảnh ứng dụng đến ISA Firewall để bạn có thể quyết định một cách dễ dàng xem ứng
dụng bị cấm có đang được sử dụng bởi người dùng hay không.

2.Phần mềm Symantec
Phần mềm Symantec có những ưu điểm sau:
-Ứng dụng dễ sử dụng, đi kèm nhiều tính năng bảo mật bổ sung và là ứng dụng duy nhất
không xảy ra tình trạng nhận dạng nhầm.
-Tốc độ quét của Symantec khá nhanh.
-Symantec tỏ ra vượt trội so với những ứng dụng khác trong khả năng khử lây nhiễm. Nó phát
hiện được tất cả các mẫu rootkit(malware được thiết kế để che giấu một malware khác) dạng
hoạt động hay không hoạt động và thành công trong việc vô hiệu hóa chúng, ngay cả những
malware chưa được nhận biết trước đó.
- Giao diện của Symantec được bố trí tốt, các cảnh báo dạng cửa sổ pop-up nói chung dễ hiểu.
Mục nhật ký quột giỳp đơn giản hóa tác vụ tìm kiếm những gì mà ứng dụng đã thực hiện.
Tuy nhiên, Symantec vẫn còn tồn tại một số nhược điểm sau:
-Symantec lại xếp áp chót trong các thử nghiệm phát hiện malware mới theo phương pháp thử
sai (heuristic), chỉ bắt được 10% mẫu malware khi sử dụng cơ sở dữ liệu nhận dạng của 1
tháng trước đó.
-Nhược điểm chính ở Symantec là khi gỡ bỏ cài đặt bộ ứng dụng này, Symantec bỏ quên
thành phần Live Update, do đó bạn phải quay lại và gõ bỏ thủ công.
Đây là giao diện của Symantec với tính năng nhật ký quét được thiết kế tốt, giúp dễ dàng
nhận biết ứng dụng đang làm gì và khi nào:

.
Trong tất các phần mềm hiện nay thì ZoneAlarm được coi là phổ biến và hiệu quả nhất
3.Phần mềm ZoneAlarm
3.1.Định nghĩa
3.1.1. Giới thiệu chung về zone alarm
Bản basic của ZA miễn phí, đó là lựa chọn hàng đầu nếu bạn muốn có firewall nào tốt hơn
chương trình tự nhiên Windows Firewall. Nhưng vẫn còn một số vấn đề nhỏ về chi phí. Nếu
bạn thích, bạn có thể trả tiền cho bản nâng cấp cao nhất với nhiều thành phần mở rộng hơn.
Hai bản nâng cấp chủ yếu là ZoneAlarm Pro (39 đô la) và ZoneAlarm Internet Security Suite
(49 đô la). Giá mua cho mỗi bộ đã bao gồm một năm cập nhật miễn phí và giỏm giỏ nhiều

cho thời gian sau.
3.1.2. Định nghĩa:
ZoneAlarm của Zone Labs là một trong những firewall cá nhân được biết đến nhiều nhất.
ZoneAlarm định nghĩa tên qua cơ chế network-zone, cho phép bạn định nghĩa nhiều nguyên
tắc truy cập khác nhau tới các phân đoạn mạng.
Bạn có thể chia sẻ file và máy in cho cỏc mỏy gia đình khi không kết nối chúng với mạng
diện rộng. Thực tế đó là một thành phần cấu hình mặc định.
3.2.Chức năng
3.2.1 Bảo vệ bằng tường lửa – Fire Wall
Firewall bảo vệ máy tính tránh khỏi những trao đổi thông tin có nguy cơ gây hại cho máy tính
của bạn. Z/A chia các máy tính có thể giao tiếp với máy tính của bạn qua hệ thống mạng
thành 3 vùng để bảo vệ:
3.2.1.1 Internet Zone: Vùng dành cho những máy tính mà ta không biết rõ nguồn gốc, xuất
xứ
3.2.1.2 Trusted Zone: vùng chia sẻ tài nguyên với những máy tính được tin cậy.
3.2.1.3Blocked Zone: Vùng bị khóa đối với những máy tính có nguy cơ gây nguy hiểm.
3.2.2 Program Control: Kiểm soỏt cỏc chương trỡnh trờn mỏy
+Cho phép ta thiết lập các thông số nhằm kiểm soát việc thực thi các chương trình trên máy
tính nhằm tránh sự xâm nhập trái phép từ các hacker hoặc tránh rò rỉ thông tin từ một chương
trình bí ẩn nào đó
3.2.3 Email Protection: Bảo vệ hệ thống thư điện tử
virut, sõu… có thể dựa vào thư điện tử để phát tán. Do vậy viờc lọc thư rác là rất cần thiết.
Mục này nhằm bảo vệ an toàn cho hệ thống thư điện tử.
Cho phép bảo vệ Inbound MailSafe
• Cho phép bảo vệOutbound MailSafe
• Tùy biến bảo vệ Inbound MailSafe
• Tùy biến bảo vệ Outbound MailSafe
• Lọc thư rác
• Bảo vệ thử khỏi virut
3.2.4 Privacy:Bảo vệ cá nhân

Các thiết lập cho mục Privacy nhằm bảo vệ những thông tin riêng tư có thể bị rò rỉ khi duyệt
Internet đồng thời hạn chế các quảng cáo khi duyệt web
Trước đây, World Wide Web không chứa gì ngoại trừ những trang văn bản cơ sở an toàn.
Ngày nay, những trang Web thường xuyên chứa những yếu tố mà chúng có thể phát giác
những thông tin riêng tư về bạn, ngắt đoạn công việc của bạn với những quấy nhiễu ngày
càng nhiều, thậm chí phá háng máy tính của bạn. Trong khi thêm vào, những files mà được
đặt ỏ bên trái phía dưới khi bạn dùng Web có thể làm chậm việc thực hiện trên máy tính của
bạn. Dùng bảo vệ riêng để tự mình chống lại sự lạm dụng của quảng cáo, nội dung trang Web
động và để giải thoát định kì máy tính của bạn khỏi những file Inernet không cần thiết.
Đặc tính Privacy sẵn có trong ZoneAlarm Pro và ZoneAlarm Pro Security Suite.
3.3.Phân loại
_ZoneAlarm with Anti-Spyware
_ZoneAlarm Security Suite
_ZoneAlar Anti-virus
_ZoneAlarm pro
_ZoneAlarm wireless security
_ZoneAlarm zonelabs IMSecure _ZoneAlarm Checkpoint Integrity client _ZoneAlarm
Checkpoint Intergrity Program Advisor _
_ZoneAlarm Checkpoint Integrity client
_ZoneAlarm Checkpoint Intergrity Program Advisor
_ZoneAlarm Free
3.4.Zone alarm security
Nếu bạn dùng ở nhà thỡ nờn dựng ZoneAlarm Secuirty Suite, cái này gũm tất cả mấy cái
option như là virus scan, antispyware, v.v.
3.4.1.Tại sao lại chọn phần mềm này?
-Security Suite 7 (ZAISS):(ZoneAlarm Internet Security Suite ) chống virus, chống spyware,
chống thư rác, chống lừa đảo trực tuyến, chống đánh cắp thông tin cá nhân, và… hơn thế nữa.
-ZAISS được đánh giá là phần mềm đứng đầu về chức năng tường lửa, mà chức năng của
tường lửa là chống hacker xâm nhập hệ thống một cách trái phép.
-ZA cũng có bản free vậy tại sao phải dùng ZAISS chi cho mệt trong khi chỉ cần tường lửa là

đủ?
Đó là vì ZAISS cú thờm tính năng “Auto Learn” có nghĩa là sẽ tự nhận biết phần mềm nào
do chính bạn chạy phần mềm nào chạy trái phép, và sẽ không xuất hiện các thông báo, còn
ZA free thỡ luụn xuất hiện các thông báo cảnh báo, rất phiền.
3.4.2. Hạn chế
Khi dùng phần mềm này do tính năng bảo vệ chặt của Zonealarm nờn nó thường bật ra các
bảng hỏi cảnh báo bạn cú nờn chaỵ tiếp phần mềm này không. Do vậy rất mất thời gian nếu
bạn có lòng kiên nhẫn để trả lời thì phần mềm này là hữu hiệu nhất. Nhưng điều này đã được
khắc phục ở ZAISS. Do vậy lựa chọn dùng ZAISS là sự lựa chọn hoàn hảo.
3.4.3.Cài đặt
a> Yêu cầu cấu hình
• 128 MB RAM, 10MB hard disk space.• Pentium II processor 450 MHz trở lờn• Windows
98SE/ME/2000/XP Để cài đặt trên máy tính sử dụng Windows 2000 hay XP, bạn phải đăng
nhập vào máy với quyền Administrator hoặc tương đương. Các bước cài đặt th
• Pentium II processor 450 MHz trở lên
• Windows 98SE/ME/2000/XP
Để cài đặt trên máy tính sử dụng Windows 2000 hay XP, bạn phải đăng nhập vào máy với
quyền Administrator hoặc tương đương. Các bước cài đặt thật đơn giản, bạn chỉ cần chạy tập
tin Zapsetup_45_594_000.exe vừa tải về để cài đặt Zone Alarm vào máy tính.
b. Cách cài đặt
Quá trình cài đặt như sau:




Trước khi bạn bắt đầu quá trình cài đặt, bạn phải download ZoneAlarm từ trang web
ZoneAlarm, sau đó đặt đường dẫn trên máy tính của bạn khi bạn lưu file cài đặt
Nhấn đúp vào file cài đặt mà bạn đã downloaded.
Việc cài đặt chương trình bắt đầu.
1. Có thể lựa chọn vị trí cho những files cài đặt, hoặc nhấn next để tiếp tục.
Vị trí ngầm định là C:Program FilesZone LabsZoneAlarm.
2. Điền vào tờn, tờn công ty, và địa chỉ e-mail, sau đó nhấn next.
3. Đọc và điền vào key, sau đó nhấn Install.
Chương trình cài đặt bắt đầu
4. Nhấn vào finish để đóng chương trình cài đặt.
5. Nhấn vào yes để bắt đầu ZoneAlarm.
License Wizard xuất hiện.
8.chọn chương trình ZoneAlarm security dùng thử hoặc miễn phí, sau đó nhấn next.
Khi ZoneAlarm đang cài đặt, bạn có thể tùy chọn cài đặt một phiên bản dùng thử của
ZoneAlarm security, miễn phí 15 ngày. Trong suốt giai đoạn dùng thử bạn sẽ nâng cao
được mức bảo mật sẵn có trong Zone. Khi kết thúc giai đoạn dùng thử, bạn có thể tiếp tục
sử dụng tính năng này bằng cách trả tiền hoặc bạn có thể (hoàn nguyên) trở lại trạng thái
tự nhiên của Zone. Khi hoàn nguyên ZoneAlarm sau khi dùng thử, một vài những thiết lập
mà bạn tạo ra trong ZoneAlarm sẽ bị loại bỏ.
3.5. Cách thức hoạt động
3.5.1.Tắt các thông báo
Trong phần cài đặt, hãy thiết lập ZoneAlarm không gửi cảnh báo khi block một liên hệ tới
máy tính của bạn qua Internet. Hầu hết các liên hệ này đều vô hại. Xem hoạt động gì đang
diễn ra cũng thú vị, nhưng những thông báo liên miên gây sao lãng công việc của bạn.
3.5.2.Block các truy c p không c n thi t ậ ầ ế
ZoneAlarm sẽ cảnh báo bạn khi một ứng dụng nào đó trong máy cố gắng liên hệ tới một điạ
chỉ trên Internet. Hãy thiết lập chế độ chỉ cho phép truy cập các chương trình bạn đã biết và
cần thiết. Chẳng hạn như trình duyệt Web, e-mail client hay bất kỳ chương trình nào có thành
phần tự động cập nhật. Đừng cho phép một số chương trình khác (như Microsoft Word) liên

hệ Internet trừ khi bạn biết chúng đang làm gì.
3.5.3.T ng khóa quy n truy c p Internet ự độ ề ậ
Trừ khi bạn đang download file, nếu không nờn khoỏ quyền truy cập Internet khi bạn không
ngồi gần máy tính. Trong ZoneAlarm Control Center, kích vào Program Control, sau đó là nút
On ở Automatic Lock Area. Kích vào nút Custom và chọn thời gian “idle time”. Thời gian
này nên chọn trước khi chương trình khoá Internet được thực hiện.
3.5.4.Khoá file host
Một số virus hay chương trình độc hại khác có thể bổ sung điểm vào riêng của chúng trên file
host của bạn. Việc này làm khiến phần xác định trình duyệt của máy bị sai. ZoneAlarm có thể
khoá file host, ngăn chặn bất cứ sự thay đổi nào.
Trong ZoneAlarm Control Center chọn Firewall; sau đó kích vào nút Advanced, đánh dấu
chọn vào ô cạnh Lock Host File.
3.5.5.T o m t Trusted Zone ạ ộ
Nếu bạn có hai hay nhiều máy tính kết nối Internet qua một router, bạn nên tạo một Trusted
Zone. Vào Firewall trong ZoneAlarm Control Center > Zones > Add: nhập địa chỉ IP cục bộ
của các máy tính. Bạn có thể cài đặt chức năng bảo mật Trusted Zone khi muốn chia sẻ file và
không gian đĩa.
3.6. Nâng cấp
Phần mềm bảo mật ZoneAlarm được thiết kế để nâng cấp dễ dàng từ phiên bản này đến phiên
bản khác.
Trong hầu hết các trường hợp, bạn không cần phải cài đặt phiên bản có sẵn của bạn trước khi
sự nâng cấp phiên bản đó.
3.6.1Sự Nâng cấp và Tường lửa của Windows Windows
Nếu bạn đang chạy Windows XP SP2 và nâng cấp tới phiên bản 6.5, sau khi nâng cấp bạn có
thể điều khiển bằng tay quay để quay về Tường lửa Windows Windows XP SP2. Trong hệ
thống Windows XP Help, tìm kiếm Tường lửa để học cách để khởi động Tường lửa Windows
XP
3.6.2Sự Nâng cấp và cài đặt IMsecure myVault.
Nếu bạn đang chạy phiên bản standalone của Pro IMsecure hay IMsecure và nâng cấp tới mức
bảo mật ZoneAlarm, chương trình nâng cấp đã được thiết kế 1 cách bảo mật để không thể

chuyển quỹ an ninh xã hội, thẻ tín dụng và truy cập số Pin.
3.6.3.Sự Nâng cấp và cài đặt MailFrontier:
Nếu bạn đang chạy phiên bản standalone của MailFrontier và nâng cấp tới mức bảo mật của
ZoneAlarm, quá trình nâng cấp chuyển sổ địa chỉ của bạn nhưng cài đặt khác của MailFrontier
có thể bị mất.
Để nâng cấp phiên bản trước đây bạn làm như sau:
1.Nhấn đúp vào file cài đặt
Chương trình cài đặt bắt đầu
2.Lựa chọn một tùy chọn nâng cấp, rồi click Next để tiếp tục
Những tùy chọn này bảo vệ những cài đặt bảo mật đã có của bạn ứng dụng chúng vào phiên
bản mới. Những đặc tính mới mà được bổ sung trong quá trình nâng cấp nhận những cài
3.7.Cấu hình_Thiết lập cho phần mềm sau khi cài đặt
Sau khi cài đặt thành công, bạn sẽ thấy Configuration Wizard. Configuration Wizard chỉ
xuất hiện sau khi cài đặt và giúp bạn trong việc cài đặt các tuỳ chọn phần mềm bảo mật
ZoneAlarm cơ bản. Bạn có thể dùng Configuration Wizard để cho bảo vệ những riêng tư,
thiết lập mạng lưới phát hiện mới, chỉ rõ những cài đặt cần cảnh giác và định cấu hình các
chương trình được phép truy cập.
• Định cấu hình cho các chương trình được phép truy cập.
• Tham gia tập đoàn DefenseNet.
+ Định cấu hình cho các chương trình được phép truy cập.
Phần mềm bảo vệ ZoneAlarm có thể định cấu hình cho nhiều chương trình phổ biến
trong các loại phần mềm sau:
• Các chương trình thông báo ngay lập tức.
• Duyệt qua Web.
• Microsoft Office.
• E-mail.
• Anti -Virus.
• Các quy trình Microsoft Windows.
• Các tài liệu thiết thực.
• Ứng dụng phần mềm ZoneAlarm.

Để biết thêm thông tin về việc gán quyền cho chương trình, xem phần Settings
permission for specifics program.
+ Tham gia tập đoàn DefenseNet.
Người dùng phần mềm bảo vệ ZoneAlarm có thể giúp định hình sản phẩm ZoneAlarm trong
tương lai bằng việc tham gia mạng bảo vệ tập thể DefenseNet và một cách định kỳ gửi dữ liệu
cấu hình nặc danh tới ZoneAlarm để phân tích. Bằng việc tham gia DefenseNet, bạn có thể
giúp đỡ chúng tôi tập lưu ý vào các đặc trưng và các dịch vụ mà bạn dùng thường xuyên nhất
và để giới thiệu các chức năng mới là sẽ cung cấp kể cả là bảo vệ khó khăn hơn.
1. Ghỡ bỏ phần mềm ZoneAlarm
Nếu bạn muốn huỷ bỏ cài đặt phần mềm ZoneAlarm, hãy chạy chương trình huỷ cài
đặt đã gồm trong khi cài đặt hơn là dùng chương trình tiện Ých Add/Remove Programs. Điều
này đảm bảo rằng tất cả những gì của phần mềm bảo vệ ZoneAlarm đã được gỡ bỏ ra khái
computer của bạn.
Bạn phải nhập vào nh mét người dùng với đặc quyền quản trị để không cài đặt phần
mềm bảo vệ ZoneAlarm
3.6. Kết luận
Mặc dù Windows Firewall của Microsoft đã được gắn với hệ điều hành Windows XP, nhưng
tình hình bảo mật vẫn không khả quan hơn là bao. Thậm chí nhiều chuyên gia cũn khuyờn
rằng bạn nên thay thế phần mềm tường lửa này càng nhanh càng tốt. Nếu muốn phần mềm
miễn phí mà hoạt động hiệu quả, bạn nờn dựng ZoneAlarm. Về sau bạn cũng có thể nâng cấp
nó thành bản đầy đủ. PC-cillin thì có chức năng bảo vệ toàn diện tốt nhất và một tập hợp công
cụ bổ sung miễn phí cho người dùng.
Nếu muốn phần mềm miễn phí mà hoạt động hiệu quả, bạn nên dùng ZoneAlarm. Về sau bạn
cũng có thể nâng cấp nó thành bản đầy đủ. PC-cillin thì có chức năng bảo vệ toàn diện tốt
nhất và một tập hợp công cụ bổ sung miễn phí cho người dùng.
C.Tường lửa cứng
1. Giới thiệu về tường lửa cứng
Tường lửa mềm thường được sử dụng cho máy tính cá nhân còn trong các công ty hay một
mạng lớn giải pháp sử dụng tường lửa cứng là hữu hiệu nhất
Điển hình là các tường lửa mạng, thiết bị mở rộng này được đặt giữa máy tính hoặc mạng

và cáp hoặc modem DSL. Nhiều hãng và nhà cung cấp dịch vụ Internet (ISP) đưa ra các thiết
bị “router” trong đó cũng bao gồm các tính năng tường lửa. Tường lửa phần cứng được sử
dụng có hiệu quả trong việc bảo vệ nhiều máy tính mà vẫn có mức bảo mật cao cho một máy
tính đơn.Tường lửa phần cứng có ưu điểm trong việc phân chia các thiết bị đang chạy trên hệ
điều hành riêng, vì vậy chúng cung cấp khả năng chống lại các tấn công. Tuy nhiên mặt hạn
chế lớn đối với chúng là chi phí, mặc dù vậy nhiều sản phẩm cũng có giá thấp hơn 100$ (thậm
chí cũn cú sản phẩm thấp hơn 50$).
2. Giới thiệu về tường lửa cứng NAT cài đặt trên server 2003
Như đã được biết, địa chỉ IP được chia thành hai loại: địa chỉ private chỉ được sử dụng trong
mạng LAN, không được hiểu khi đi ra ngoài Internet, và địa chỉ Public được sử dụng trong
mạng Internet.
Như vậy khi một gói tin được gửi đi từ trong mạng LAN của bạn ra ngoài Internet cần phải có
một cơ cấu phiên dịch địa chỉ Private ra địa chỉ Public để có thể được vận chuyển trong mạng.
Đõy chớnh là chức năng của Network Address Translation (NAT).
3. Định nghĩa
NAT hay còn gọi là Network Address Translation là một kỉ thuật được phát minh lúc khởi
đầu dùng để giải quyết vấn đề thiếu IP, nhưng dần dần nó chứng tỏ nhiều ưu điểm mà lúc phát
minh ra nó người ta không nghĩ tới, một trong những lợi điểm của NAT ngày nay được ứng
dụng nhiều nhất là NAT cho phép
1. Chia sẽ kết nối internet với nhiều máy bên trong LAN với một địa chỉ IP của WAN
2.Một lợi điểm lớn của NAT là nó có thể làm việc như một Firewall, nó giỳp dấu tất cả
IP bên trong LAN với thế giới bên ngoài, tránh sự dòm ngó của hackers.
3. Tính linh hoạt và sự dễ dàng trong việc quản lý NAT giúp cho các home user và các doanh
nghiệp nhỏ có thể tạo kết nối với internet một cách dễ dàng và hiệu quả cũng như giúp tiết
kiệm vốn đầu tư.Và nói cho dễ hiểu thì NAT dùng để phiên dịc từ địa chỉ IP private sang địa
chỉ IP Public( IP hiên nay được chia làm 2 loại: 1 IP Public,2-IP Private
NAT giúp cho các home user và các doanh nghiệp nhỏ có thể tạo kết nối với internet một
cách dễ dàng và hiệu quả cũng như giúp tiết kiệm vốn đầu tư.
Và nói cho dễ hiểu thì NAT dùng để phiên dịc từ địa chỉ IP private sang địa chỉ IP Public( IP
hiên nay được chia làm 2 loại: 1 IP Public,2-IP Private)

4. Phân loại
Cú mụt số dạng NAT như sau:1. Static NAT chuyển đổi một địa chỉ local
1. Static NAT chuyển đổi một địa chỉ localmột địa chỉ global 2. Dynamic NAT chuyển đổi
một group địa chỉ local
2. Dynamic NAT chuyển đổi một group địa chỉ local một group địa chỉ global
3. PAT(Port Address Transalations) chuyển đổi một địa chỉ bên trong mạng lanmột địa chỉ
global duy nhất bên ngoài với số port trên mọi địa chỉ- Để cấu hình các dạng nat thì trước hết
bạn phải xác đinh interface inside va interface outside (giao diện bên trong và bên ngoài)- Tùy
theo từng loại NAT nào mà cách cấu hình sẽ khác nhau+ static nat bạn dựng cõu lệnh: ip nat
inside source static local address global address+ Dynamic Nat xác định khoảng pool cho
global address, tao access list cho mang Lan ben trong, dựng cõu lệnh: ip nat inside source list
pool poolname+ Pat cấu hình tương tự Dynamic. Bạn có thể tạo một khoảng pool 1 địa chỉ,
tạo access list, dựng cõu lệnh tương tự ip nat inside tương tự như cấu hình dynamic và thêm
vào tự khóa overload.
- Để cấu hình các dạng nat thì trước hết bạn phải xác đinh interface inside va interface outside
(giao diện bên trong và bên ngoài)
- Tùy theo từng loại NAT nào mà cách cấu hình sẽ khác nhau
+ static nat bạn dùng câu lệnh: ip nat inside source static local address global address
+ Dynamic Nat xác định khoảng pool cho global address, tao access list cho mang Lan ben
trong, dùng câu lệnh: ip nat inside source list pool poolname
+ Pat cấu hình tương tự Dynamic. Bạn có thể tạo một khoảng pool 1 địa chỉ, tạo access list,
dùng câu lệnh tương tự ip nat inside tương tự như cấu hình dynamic và thêm vào tự khóa
overload.
5. Cài đặt NAT
Để setup NAT bước đầu tiên bạn phải mở Configure your server wizard trong administrative
tool và lựa chọn chức năng RRAS/VPN Server->next-> RRAS setup winrad . Lựa chọn như
trong hình ở dưới:
Bấm next để tiếp tục tiến trình cài đặt, sau khi kết thúc sẽ xuất hiện hộp thoại thông báo.
Cấu hình NAT
Để cấu hình NAT đầu tiên bạn mở Routing and Remote Access mmc trong Administrative

Tools folder ở Control Panel hay trong Start menu.
Kích chuột vào interface bạn muốn cấu hình để hiện ra cửa sổ properties để thay đổi các
thông số như packet filtering hay port blocking, cũng như enabling/disabling các đặc tính hiện
tại như firewall.
Trong ví dụ trờn tụi chọn interface là public interface kết nối đến internet. NAT và basic
firewall option cũng đã được chọn. Cỏc nỳt inbound và outbound sẽ mở ra một cửa sổ cho
phép bạn giới hạn traffic dựa trên địa chỉ IP và Protocol. Để cấu hình thêm firewall , lựa chọn
tab Services and Ports . Tại đây bạn có thể lựa chọn dịch vụ nào bạn muốn cho các user trong
mạng của bạn truy cập vào.
Để cấu hình thêm firewall , lựa chọn tab Services and Ports . Tại đây bạn có thể lựa chọn dịch
vụ nào bạn muốn cho các user trong mạng của bạn truy cập vào.