Tải bản đầy đủ (.doc) (32 trang)

BÁO CÁO BÀI TẬP LỚN MÔN MẠNG NÂNG CAO ĐỀ TÀI TƯỜNG LỬA FIREWALL

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (935.99 KB, 32 trang )

BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC SƯ PHẠM HÀ NỘI
KHOA CNTT
BÁO CÁO BÀI TẬP
LỚNMÔN MẠNG NÂNG CAO
ĐỀ TÀI: TƯỜNG LỬA - FIREWALL
Giáo viên hướng dẫn: Nguyễn Thế Lộc
Sinh viên thực hiện:
1. Nguyễn Thị Thắm.
2. Tống Thị Thu Nga.
3. Dương Thị Phương Mai Chi.
4. Đặng Thị Thu Trang.
5. Nguyễn Văn Thiều.
6. Đào Văn Hùng.
7. Bùi Xuân Thanh.
Hà Nội -2012
Mở Đầu
1
Ngày nay khoa học công nghệ phát triển mạnh mẽ ở trình độ cao cả về chiều rộng lẫn
chiều sâu. Nhu cầu ứng dụng công nghệ cao vào phát triển mọi mặt của đời sống trên
phạm vi toàn cầu ngày càng trở nên gay gắt. Chúng ta cần cập nhật những thành tựu mới
về khoa học kĩ thuật hiện đại. Từ đó nhu cầu trao đổi thông tin không chỉ dừng lại trong
phạm vi nhỏ (trong công ty, cơ quan , tổ chức, đoàn thể, ) mà còn mở rộng trong một
quốc gia, thậm trí là trên toàn cầu. Mọi người đa phần trao đổi với nhau thông qua
Internet. Kết nối vào Internet, sử dụng và khai thác là việc làm quen thuộc của mỗi chúng
ta. Nhưng phải làm sao để việc trao đổi thông tin vẫn đảm bảo được tính an toàn.
Hiện nay, đảm bảo an toàn trong kết nối với môi trường Internet là vấn đề mà cả thế
giới quan tâm. Nhiều giải pháp đã được đề xuất. Một trong các giải pháp hữu hiệu nhất
đó chính là Firewall- tường lửa.
Vì chưa có kinh nghiệm trong quá trinh soạn thảo, biên tập cũng như trình bày nên
còn gặp nhiều thiếu sót. Vì vậy rất mong thầy cô và các bạn sinh viên bổ sung góp ý để


bài giảng được hoàn thiện hơn. Mọi ý kiến có thể gửi về địa chi mai sau:

Hà Nội – 23 – 03 – 2012
MỤC LỤC
A. Tổng quan về tường lửa (Phụ trách: Nguyễn Thị Thắm)
2
B. Tường lửa Cá nhân (Phụ trách: Bùi Xuân Thanh + Đặng Thị Thu Trang).
C. Tường lửa tầng Mạng và tầng Ứng dụng (Phụ trách: Nguyễn Văn Thiều+ Tống
Thị Thu Nga)
D. Tường lửa có trạng thái và phi trạng thái (Phụ trách: Đào Văn Hùng+ Dương
Thị Phương Mai Chi).
E. Nguồn tham khảo .
A. Tổng quan về Firewall- Tường lửa.
1. Giới thiệu về Firewall.
a. Giới thiệu:
3
Ngày nay, ở bất cứ đâu chúng ta cũng nghe nói đến mạng Internet, các phương tiện
thông tin đại chúng như báo chí, phát thanh, truyền hình,
Qua mạng Internet, con người có thể kinh doanh tiếp thị trên toàn cầu và tiếp cận
được khối lượng thông tin khổng lồ, cập nhật trong thời gian nhanh. Lợi ích của Internet
mạng lại là không nhỏ, nhưng nguy hiểm khi tham gia vào mạng cũng không ít. Nguy
hiểm chính là càng ngày có nhiều mối đe dọa đến sự bảo mật và mất mát thông tin.
Thông tin là sự sống còn của một doanh nghiệp, một tổ chức hay một quốc gia. Do
đó thông tin là vô giá, chúng ta bằng mọi cách để bảo vệ chúng tránh các mối nguy
hiểm , một trong những giải pháp tốt hiện nay là xây dựng Firewall. Sử dụng các bức
tường lửa (Firewall) để bảo vệ mạng, tránh sự tấn công từ bên ngoài đảm bảo được các
yếu tố:
• An toàn cho sự hoạt động của toàn bộ hệ thống mạng.
• Bảo mật cao trên nhiều phương tiện.
• Khả năng kiểm soát cao.

• Đảm bảo tốc độ nhanh.
• Mềm dẻo và dễ sử dụng.
• Trong suốt với người sử dụng.
• Đảm bảo kiến trúc mở.
b. Firewall là gì ?
Một vài thuật ngữ:
Mạng nội bộ (Inernal network) : Bao gồm các máy tính, các thiết bị mạng. Mạng máy
tính thuộc một đơn vị quản lý (Trường học, công ty, tổ chức, đoàn thể, ) cùng nằm một
bên với firewall, mà thông tin đến và đi từ một máy thuộc nó đến một máy không thuộc
nó đều phải qua firewall đó.
• Host bên trong (Internal Host) : Máy thuộc mạng nội bộ.
• Host bên ngoài (External Host) : Máy bất kỳ kết nối vào liên mạng và không thuộc
mạng nội bộ nói trên.
4
Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn
chặn , hạn chế hỏa hoạn. Trong công nghệ mạng thông tin, Firewall là một kỹ thuật được
tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn
thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống.
Một cách vắn tắt, Firewall là hệ thống ngăn chặn việc truy nhập trái phép từ bên ngoài
vào mạng cũng như những kết nối không hợp lệ từ bên trong ra. Firewall thực hiện việc
lọc bỏ những địa chỉ không hợp lệ dựa theo quy tắc hay chỉ tiêu định trước.
Firewall là một thiết bị hệ thống phần cứng hoặc phần mềm hoặc kết hợp cả hai.
Tính chất chung của các Firewall là phân biệt địa chỉ IP dựa trên các gói tin hay từ chối
việc truy nhập bất hợp pháp căn cứ trên địa chỉ nguồn, việc này tương tự với hoạt động
của các bức tường ngăn lửa trong các tòa nhà. Tường lửa còn được gọi là Thiết bị bảo
vệ biên giới (Border Protection Device -BPD), đặc biệt trong các ngữ cảnh của NATO,
hay bộ lọc gói tin (packet filter) trong hệ điều hành BSD- một phiên bản Unix của Đại
học California, Berkeley.
• Phần cứng:
• Điển hình là các tường lửa mạng, thiết bị mở rộng này được đặt giữa máy tính

hoặc mạng và cáp hoặc modem DSL. Nhiều hãng và nhà cung cấp dịch vụ Internet (ISP)
đưa ra các thiết bị “router” trong đó cũng bao gồm các tính năng tường lửa. Tường lửa
phần cứng được sử dụng có hiệu quả trong việc bảo vệ nhiều máy tính mà vẫn có mức
bảo mật cao cho một máy tính đơn.
• Đối với tường lửa phần cứng, bản thân nó cũng là một Gateway (cổng). Chiếc
máy tính trong nhà bạn khi kết nối tới router thì router đó sẽ tiếp tục kết nối tới modem
chủ, bạn có thể thiết lập router thông qua trình duyệt Web của ISP và thêm các chức năng
ngăn chặn địa chỉ IP hay bộ lọc. Vì thế bộ định tuyến (router) có khả năng bảo mật rất
cao.
5
• Nếu bạn chỉ có một máy tính phía sau tường lửa, hoặc nếu bạn chắc chắn rằng tất
cả các máy tính khác trên mạng được cập nhật các bản diệt miễn phí về virus , worm và
các mã nguy hiểm khác thì bạn không cần mở rộng sự bảo vệ của một phần mềm tường
lửa. Tường lửa phần cứng có ưu điểm trong việc phân chia các thiết bị đang chạy trên hệ
điều hành riêng, vì vậy chúng cung cấp khả năng chống lại các tấn công.
• Tuy nhiên, mặt hạn chế lớn đối với chúng là chi phí, mặc dù vậy nhiều sản phẩm
cũng có giá thấp hơn 100$(thậm chí có sản phẩm thấp hơn 50$).
• Phần mềm :
• Một vài hệ điều hành có tường lửa kèm theo, nếu hệ điều hành của bạn không có
thì cũng dễ dàng kiếm được từ một số cửa hàng máy tính hay hãng phần mềm hoặc các
nhà cung cấp dịch vụ Internet. Vì có nhiều rủi ro trong việc download phần mềm từ
Internet về một máy tính không được bảo vệ nên tốt nhất là bạn nên cài đặt tường lửa từ
CD, DVD hoặc đĩa mềm.
c. Lịch sử.
• Công nghệ tường lửa bắt đầu xuất hiện vào cuối những năm 1980 khi Internet vẫn
còn là một công nghệ khá mới mẻ theo khía cạnh kết nối và sử dụng trên toàn cầu.
6
• Ý tưởng đầu tiên đã được hình thành sau khi hàng loạt các vụ xâm phạm nghiêm
trọng đối với an ninh liên mạng xảy ra vào cuối những năm 1980.
• Năm 1988, một nhân viên tại trung tâm nghiên cứu NASA Ames tại California

gửi một bản ghi nhớ qua thư điện tử tới đông nghiệp rằng : “chúng ta đang bị một con
VIRUS Internet tấn công ! Nó đã đánh Berkeley, UC San Diego, Lawrence Livermore,
Stanford, và NASA Ames.” Con virus được biết đến với tên Sâu Morris này đã được phát
tán qua thư điện tử và khi đó đã có một sự khó chịu chung ngay cả đối với những người
dùng vô thưởng vô phạt nhất. Sâu Morris là cuộc tấn công không hề chuẩn bị cho một
cuộc tấn công như vậy và đã hoàn toàn bị bất ngờ. Sau đó, cộng đồng Internet đã quyết
định rằng ưu tiên tối cao là phải ngăn chặn không cho một cuộc tấn công bất kỳ nào nữa
có thể xảy ra, họ bắt đầu cộng tác đưa ra các ý tưởng mới, những hệ thống và phần mềm
mới để làm cho mạng Internet có thể trở lại an toàn.
• Năm 1988, bài báo đầu tiên về công nghệ tường lửa được công bố, khi JeffMogul
thuộc Digital Equipment Corp phát triển các hệ thống lọc đầu tiên được biết đến với tên
các tường lửa lọc gói tin. Hệ thống khá cơ bản này đã là thế hệ đầu tiên của cái mà sau
này sẽ trở thành một tính năng kỹ thuật an toàn mạng được phát triển cao.
• Từ năm 1980 đến năm 1990, hai nhà nghiên cứu tại phòng thí nghiệm AT&T Bell,
Dave Presetto và Howard Trickey, đã phát triển thế hệ tường lửa thứ hai, được biết đến
với tên các tường lửa tầng mạch (circuit level firewall).
• Các bài báo của Gene Spafford ở Đại học Purdue, Bill Cheswick ở phòng thí
nghiệm AT&T và Marcus Ranum đã mô tả thế hệ tường lửa thứ ba, với tên gọi tường lửa
tầng ứng dụng (application layer firewall), hay tường lửa dựa proxy (proxy-based
firewall). Nghiên cứu công nghệ của Marcus Ranum đã khởi đầu cho việc tạo ra sản
phẩm thương mại đầu tiên. Sản phẩm này đã được Digital Equipment Corporantion’s
(DEC) phát hành với tên SEAL. Đợt bán hàng lớn đầu tiên của DEC là vào ngày 13
tháng 9 năm 1991 cho một công ty hóa chất tại bờ biển phía Đông của Mỹ.
• Tại AT&T , Bill Cheswick và Steve Bellovin tiếp tục nghiên cứu của họ về lọc gói
tin và đã phát triển một mô hình chạy được cho công ty của chính họ, dựa trên kiến trúc
của thế hệ tường lửa thứ nhất của mình. Năm 1992, Bob Braden và Annette DeSchon tại
Đại học Nam California đã phát triển hệ thống tường lửa lọc gói tin thế hệ thứ tư. Sản
phẩm có tên “Visas” này là hệ thống đầu tiên có một giao diện với màu sắc và các biểu
tưởng, có thể dễ dàng cài đặt thành phần mềm cho các hệ điều hành chẳng hạn Microsoft
Windows và Mac/OS của Apple và truy nhập từ các hệ điều hành đó. Năm 1994, một

công ty Israel có tên Check Point Software Technologies đã xây dựng sản phẩm này
thành một phần mềm sẵn sàng cho sử dụng, đó là Firewall-1. Một thế hệ thứ hai của các
tường lửa proxy đã được dựa trên công nghệ Kernel Proxy. Thiết kế này liên tục được cải
tiến nhưng các tính năng và mã chương trình cơ bản hiện đang được sử dụng rộng rãi
trong cả các hệ thống máy tính gia đình và thương mại. Cisco, một trong những công ty
an ninh mạng lớn nhất trên thế giới đã phát hành sản phẩm này năm 1997.
• Thế hệ FireWall-1 mới tạo thêm hiệu lực cho động cơ kiểm tra sâu gói tin bằng
cách chia sẻ chức năng này với một hệ thống ngăn chặn xâm nhập.
2. Chức năng.
7
Chức năng cơ bản của tường lửa là kiểm soát giao thông dữ liệu giữa hai vùng
tin cậy khác nhau. Các vùng tin cậy (zone of trust) điển hình bao gồm: mạng Internet
(vùng không đáng tin cậy) và mạng nội bộ (một vùng có độ tin cậy cao). Mục đích cuối
cùng là cung cấp kết nối có kiểm soát giữa các vùng với độ tin cậy khác nhau thông qua
việc áp dụng một số chính sách an ninh và mô hình kết nối dựa trên nguyên tắc quyền
tối thiểu (principle of least privilege).
Cụ thể là:
• Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet).
• Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet vào
Intranet).
• Theo dõi luồng dữ liệu mạng giữa Intranet và Internet.
• Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập.
• Kiểm soát người sử dụng và việc truy nhập của người sử dụng. Kiểm soát nội dung
thông tin lưu chuyển trên mạng.
3. Lý do sử dụng tường lửa.
• Mạng Internet ngày càng phát triển và phổ biến rộng khắp mọi nơi, lợi ích của nó rất
lớn. Tuy nhiên cũng có rất nhiều ngoại tác không mong muốn đối với các cá nhân là
cha mẹ hay tổ chức, doanh nghiệp, cơ quan nhà nước, như các trang web không phù
hợp lứa tuổi , nhiệm vụ, lợi ích, đạo đức, pháp luật hoặc trao đổi thông tin bất lợi cho
cá nhân, doanh nghiệp, Do vậy họ sử dụng tường lửa để ngăn chặn.

• Một lý do khác là một số quốc gia theo chế độ độc tài, độc đảng áp dụng tường lửa để
ngăn chặn quyền trao đổi, tiếp cận thông tin của công dân nước mình không cho họ
truy cập vào các trang web hoặc trao đổi với bên ngoài, điều mà nhà cầm quyền cho
rằng không có lợi cho chế độ đó.
• Ngăn chặn các ngoại tác không mong muốn. Ngăn chặn các truy cập trái phép, các
cuộc tấn công lấy cắp dữ liệu, đánh sập mạng máy tính của hacker.
• Bảo vệ chống lại những kẻ tấn công từ bên ngoài bằng cách chặn các mã nguy hiểm
hoặc lưu lượng Internet không cần thiết vào máy tính hay mạng. Tường lửa thực sự
rất quan trọng đối với những quốc gia, tổ chức, cơ quan, công ty thường xuyên kết nối
Internet.
4. Phương thức hoạt động chung.
• Để ngăn chặn các trang web không mong muốn, các trao đổi thông tin không mong
muốn người ta dùng cách lọc các địa chỉ web không mong muốn mà họ đã tập hợp
được hoặc lọc nội dung thông tin trong các trang thông qua các từ khóa để ngăn chặn
8
những người dùng không mong muốn truy cập vào mạng và cho phép người dùng hợp
lệ thực hiện việc truy xuất.
• Bức tường lửa có thể là một thiết bị định hướng (Router, một thiết bị kết nối giữa hai
hay nhiều mạng và chuyển các thông tin giữa các mạng này) hay trên một máy chủ
(Server), bao gồm phần cứng hoặc phần mềm nằm giữa hai mạng (chẳng hạn mạng
Internet) và mạng liên kết các gia đình , điểm kinh doanh Internet , tổ chức, công ty,
hệ thống Ngân hàng, cơ quan nhà nước.
• Cơ quan nhà nước có thể lập bức tường lửa ngay từ cổng Internet quốc gia hoặc yêu
cầu các nhà cung cấp dịch vụ đường truyền (IXP) và cung cấp dịch vụ Internet (ISP)
thiết lập hệ thống tường lửa hữu hiệu hoặc yêu cầu các đại lý kinh doanh Internet thực
hiện các biện pháp khác.
5. Các thành phần.
Firewall chuẩn bao gồm một hay nhiều các thành phần sau đây:
• Bộ lọc gói tin (packet- filtering router).
• Cổng ứng dụng (application- level gateway hay proxy server).

• Cổng vòng (circuite level gateway).
5.1 Bộ lọc gói tin (packet- filtering router).
a. Nguyên lý.
• Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua Firewall thì
điều đó có nghĩa rằng Firewall hoạt động chặt chẽ với giao thức TCP/IP. Vì giao thức
này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên
mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP,
DNS, SMNP, NFS, ) thành các gói dữ liệu (data pakets) rồi gán cho các packet này
những địa chỉ để có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại
Firewall cũng liên quan rất nhiều đến các packet và những con số địa chỉ của chúng.
• Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được. Nó kiểm tra toàn bộ
đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thỏa mãn một trong số các luật lệ
của lọc packet hay không. Các luật lệ lọc packet này dựa trên các thông tin ở đầu mỗi
packet (packet header), dùng để cho phép truyền các packet đó ở trên mạng.
Đó là:
• Địa chỉ IP nơi xuất phát (IP Source address).
• Địa chỉ IP nơi nhận (IP Destination address).
• Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel).
• Cổng TCP/UDP nơi xuất phát (TCP/UDP source port).
• Cổng TCP/UDP nơi nhận (TCP/UDP destination port).
9
• Dạng thông báo ICMP (ICMP message type).
• Giao diện packet đến (incomming interface of packet).
• Giao diện packet đi (outcomming interface of packet).
Nếu luật lệ lọc packet được thỏa mãn thì packet được chuyển đi qua Firewall. Nếu
không packet sẽ bị bỏ đi. Nhờ vậy mà Firewall có thể ngăn cản được các kết nối vào các
máy chủ hoặc mạng nào đó được xác định, hoặc khóa việc truy cập vào hệ thống mạng
nội bộ từ những địa chỉ không cho phép. Hơn nữa, việc kiểm soát các cổng làm cho
Firewall có khả năng chỉ cho phép một số loại kết nối nhất định vào các loại máy chủ nào
đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP, ) được phép mới chạy được

trên hệ thống mạng cục bộ.
b. Ưu điểm.
• Đa số các hệ thống Firewall đều sử dụng bộ lọc packet. Một trong những ưu điểm của
phương pháp dùng bộ lọc packet là chi phí thấp vì cơ chế lọc packet đã được bao gồm
trong mỗi phần mềm router.
• Ngoài ra , bộ lọc packet là trong suốt đối với người sử dụng và các ứng dụng , vì vậy
nó không yêu cầu sự huấn luyện đặc biệt nào cả.
c. Nhược điểm.
- Việc định nghĩa các chế độ lọc package là một việc khá phức tạp, đòi hỏi người quản
trị mạng cần có hiểu biết chi tiết về các dịch vụ Internet, các dạng packet header, và
các giá trị cụ thể có thể nhận trên mỗi trường.
- Do làm việc dựa trên header của các packet, rõ ràng là bộ lọc packet không kiểm soát
được nội dung thông tin của packet. Các packet chuyển qua vẫn có thể mang theo
những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu.
5.2. Cổng ứng dụng(application- level gateway hay proxy server).
a. Nguyên lý.
• Một dạng phổ biến là Firewall dựa trên ứng dụng application-proxy. Loại này hoạt
động hơi khác với Firewall dựa trên bộ định tuyến lọc gói tin. Application gateway
dựa trên cơ sở phần mềm. Khi một người dùng không xác định kết nối từ xa vào
mạng chạy application gateway, gateway sẽ ngăn chặn kết nối từ xa này.
• Thay vì nối thông, gateway sẽ kiểm tra các thành phần của kết nối theo những quy tắc
định trước. Nếu thỏa mãn các quy tắc, gateway sẽ tạo cầu nối (bridge) giữa trạm
nguồn và trạm đích.
10
• Cầu nối đóng vai trò trung gian giữa hai giao thức. Ví dụ, trong một mô hình gateway
đặc trưng, gói tin theo giao thức IP không được chuyển tiếp tới mạng cục bộ, lúc đó
sẽ hình thành quá trình dịch mà gateway đóng vai trò bộ phiên dịch.
b. Ưu điểm .
• Ưu điểm của Firewall application gateway là không phải chuyển tiếp IP. Quan trọng
hơn, các điều khiển thực hiện ngay trên kết nối. Sau cùng, mỗi công cụ đề cung cấp

những tính năng thuận tiện cho việc truy nhập mạng.
• Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ trên mạng, bởi
vì ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủ nào có thể truy nhập
được bởi các dịch vụ.
• Cho phép người quản trị mạng hoàn toàn điều khiển được những dịch vụ nào cho
phép, bởi vì sự vắng mặt của các proxy cho các dịch vụ tương ứng có nghĩa là các
dịch vụ ấy bị khóa.
• Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt, và nó có nhật ký ghi chép lại
thông tin về truy nhập hệ thống.
• Luật lệ lọc filltering cho cổng ứng dụng là dễ dàng cấu hình và kiểm tra hơn so với bộ
lọc packet.
c. Nhược điểm.
• Hạn chế khác của mô hình Firewall này là mỗi ứng dụng bảo mật (proxy application )
phải được tạo ra cho từng dịch vụ mạng. Như vậy một ứng dụng dùng cho Telnet, ứng
dụng khác dùng cho HTTP,
• Yêu cầu các users thay đổi thao tác, hoặc thay đổi phần mềm đã cài đặt trên máy
client cho truy nhập vào các dịch vụ proxy. Chẳng hạn, Telnet truy nhập qua cổng
ứng dụng đòi hỏi hai bước để nối với máy chủ chứ không phải là một bước thôi. Tuy
nhiên, cũng đã có một số phần mềm client cho phép ứng dụng trên cổng ứng dụng là
trong suốt, bằng cách cho phép user chỉ ra máy đích chứ không phải cổng ứng dụng
trên lệnh Telnet.
• Do không thông qua quá trình chuyển dịch IP nên gói tin IP từ địa chỉ không xác định
sẽ không thể tới máy tính trong mạng của bạn, do đó hệ thống application gateway có
độ bảo mật cao hơn.
5.3 Cổng vòng (circuite level gateway).
11
- Cổng vòng là một chức năng đặc biệt có thể thực hiện được bởi một cổng ứng dụng
(application gateway). Cổng vòng đơn giản chỉ chuyển tiếp (relay) các kết nối TCP
mà không thực hiện bất kỳ một hành động xử lý hay lọc packet nào.
Ví dụ: Cổng vòng đơn giản chuyển tiếp kết nối Telnet qua Firewall mà không thực

hiện một sự kiểm tra, lọc hay điều khiển các thủ tục Telnet nào. Cổng vòng làm việc
như một sợi dây, sao chép các byte giữa kết nối bên trong (inside connection) và các
kết nối bên ngoài (outside connection). Tuy nhiên, vì sự kết nối này xuất hiện từ hệ
thống Firewall, nên nó che dấu thông tin về mạng nội bộ.
- Cổng vòng thường được sử dụng cho những kết nối ra ngoài, nơi mà các quản trị
mạng thật sự tin tưởng những người dùng bên trong. Ưu điểm lớn nhất là một bastion
host có thể được cấu hình như là một hỗn hợp cung cấp cổng ứng dụng cho những kết
nối đến, và cổng vòng cho các kết nối đi. Điều này làm cho hệ thống Firewal dễ dàng
sử dụng cho những người trong mạng nội bộ muốn trực tiếp truy nhập tới các dịch vụ
Internet, trong khi vẫn cung cấp chức năng Firewall để bảo vệ mạng nội bộ từ những
sự tấn công bên ngoài.
6. Phân loại .
• Có ba loại tường lửa cơ bản:
- Truyền thông được thực hiện giữa một nút đơn và mạng, hay giữa một số mạng.
- Truyền thông được chặn tại tầng mạng, hay tầng ứng dụng.
- Tường lửa có theo dõi trạng thái của truyền thông hay không.
• Phân loại theo phạm vi của các truyền thông trông được lọc, có các loại sau:
- Tường lửa cá nhân, một ứng dụng phần mềm với chức năng thông thường là lọc dữ
liệu ra vào một máy tính đơn.
- Tường lửa mạng, thường chạy trên một thiết bị mạng hay máy tính chuyên dụng đặt
tại ranh giới của hai hay nhiều mạng hoặc các khu phi quân sự (mạng con trung gian
giữa mạng nội bộ và mạng bên ngoài). Một tường lửa mạng tương ứng với ý nghĩa
truyền thông của thuật ngữ “tường lửa” trong ngành mạng máy tính.
• Khi phân loại theo các tầng giao thức nơi giao thông dữ liệu có thể bị chặn, có ba
loại tường lửa chính:
- Tường lửa tầng mạng. Ví dụ Iptables.
- Tường lửa tầng ứng dụng. Ví dụ TCP Wrappers.
- Tường lửa ứng dụng. Ví dụ: hạn chế các dịch vụ FTP bằng việc định cấu hình tại tệp /
etc/ ftpaccess.
- Các loại tường lửa tầng mạng và tường lửa tầng ứng dụng thường trùm lên nhau, mặc

dù tường lửa cá nhân không phục vụ mạng, nhưng một số hệ thống đơn đã cài đặt
chung cả hai.
• Cuối cùng , nếu phân loại theo tiêu chí rằng tường lửa theo dõi trạng thái của các
kết nối mạng hay chỉ quan tâm đến từng gói tin một cách riêng rẽ, có hai loại
tường lửa:
- Tường lửa có trạng thái (Stateful firewall).
- Tường lửa phi trạng thái (Stateless firewall).
7. Hạn chế Firewall.
- Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại thông tin
và phân tích nội dung tốt hay xấu của nó. Firewall chỉ có thể ngăn chặn sự xâm nhập
12
của những nguồn thông tin không mong muốn nhưng không phải xác định rõ các
thông số địa chỉ.
- Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không “đi
qua” nó. Một cách cụ thể, Firewall không thể chống lại một cuộc tấn công từ một
đường dial-up , hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa
mềm.
- Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (datadriven attack).
Khi có một số chương trình được chuyển theo thư điện tử, vượt qua firewall vào trong
mạng được bảo vệ và bắt đầu hoạt động ở đây.
- Một ví dụ là các virus máy tính. Firewall không thể làm nhiệm vụ rà quét virus trên
các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các
virus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả năng kiểm soát
của firewall.
- Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu được áp dụng rộng rãi.
8. Firewall có dễ phá hay không ?
• Câu trả lời là không. Lý thuyết không chứng minh được có khe hở trên Firewall, tuy
nhiên thực tiễn thì lại có. Các hacker đã nghiên cứu nhiều cách phá Firewall. Quá
trình phá Firewall gồm hai giai đoạn:
• Đầu tiên phải tìm ra dạng Firewall mà mạng sử dụng cùng các loại dịch vụ hoạt động

phía sau nó.
• Tiếp theo là phát hiện khe hở trên Firewall đó, giai đoạn này thường khó khăn hơn.
Theo nghiên cứu của các hacker, khe hở trên Firewall tồn tại là do lỗi định cấu hình
của người quản trị hệ thống, sai sót này cũng không hiếm khi xảy ra. Người quản trị
phải chắc chắn sẽ không có bất trắc cho dù sử dụng hệ điều hành (HĐH) mạng nào,
đây là cả một vấn đề nan giải.
• Trong các mạng UNIX, điều này một phần là do HĐH UNIX quá phức tạp, có tới
hàng trăm ứng dụng, giao thức và lệnh riêng. Sai sót trong xây dựng Firewall có thể
do người quản trị mạng không nắm vững về TCP/IP.
• Một trong những việc phải làm của các hacker là tách các thành phần thực ra khỏi các
thành phần giả mạo. Nhiều Firewall sử dụng trạm hy sinh (sacrificial hosts)là hệ
thống được thiết kế như các server Web (có thể sẵn sàng bỏ đi) hay bẫy(decoys), dùng
để bắt các hành vi thâm nhập của hacker. Bẫy có thể cần dùng tới những thiết bị ngụy
trang phức tạp nhằm che dấu tính chất thật của nó, ví dụ: đưa ra câu trả lời tương tự
hệ thống tập tin hay các ứng dụng thực. Vì vậy, công việc đầu tiên của hacker là phải
xác định đây là các đối tượng tồn tại thật.
• Để có được thông tin về hệ thống, hacker cần dùng tới thiết bị có khả năng phục vụ
mail và các dịch vụ khác. Hacker sẽ tìm cách để nhận được một thông điệp đến từ bên
trong hệ thống, khi đó, đường đi được kiểm tra và có thể tìm ra những manh mối về
cấu trúc hệ thống.
• Ngoài ra, không Firewall nào có thể ngăn cản việc phá hoại từ bên trong. Nếu hacker
tồn tại ngay trong nội bộ tổ chức , chẳng bao lâu mạng của bạn sẽ bị hack. Thực tế đã
xảy ra với một công ty dầu lửa lớn: một tay hacker trà trộn vào đội ngũ nhân viên và
thu thập những thông tin quan trọng không chỉ về mạng mà còn về các trạm Firewall.
13
9. Một số mô hình Firewall.
9.1 Packet- Filtering Router (Bộ trung chuyển có lọc gói).
- Hệ thống Internet Firewall phổ biến nhất chỉ bao gồm một packet- filtering router đặt
giữa mạng nội bộ và Internet. Một packet-filtering router có hai chức năng : chuyển
tiếp truyền thông giữa hai mạng và sử dụng các quy luật về lọc gói để cho phép hay từ

chối truyền thông.
- Căn bản, các quy luật lọc được định nghĩa sao cho các host trên mạng nội bộ được
quyền truy nhập trực tiếp tới Internet, trong khi các host trên Internet chỉ có một số
giới hạn các truy nhập vào các máy tính trên mạng nội bộ. Tư tưởng của mô cấu trúc
Firewall này là tất cả những gì không được chỉ ra rõ ràng là cho phép thì có nghĩa là
bị từ chối.
a.Ưu điểm:
- Giá thành thấp, cấu hình đơn giản.
- Trong suốt (transparent) đối với user.
b. Nhược điểm:
- Có rất nhiều hạn chế đối với một packet –filtering router, như là dễ bị tấn công vào
các bộ lọc mà cấu hình được đặt không hoàn toàn, hoặc là bị tấn công ngầm dưới
những dịch vụ đã được phép.
- Bởi vì các packet được trao đổi trực tiếp giữa hai mạng thông qua router, nguy cơ bị
tấn công quyết định bởi số lượng các host và dịch vụ được phép. Điều đó dẫn đến mỗi
một host được phép truy nhập trực tiếp vào Internet cần phải được cung cấp một hệ
thống xác thực phức tạp, và thường xuyên kiểm tra bởi người quản trị mạng xem có
dấu hiệu của sự tấn công nào không.
- Nếu một packet-filtering router do một sự cố nào đó ngừng hoạt động , tất cả hệ
thống trên mạng nội bộ có thể bị tấn công.
9.2 Mô hình Screened Host Firewall.
• Hệ thống này bao gồm một packet-filtering router và một basion host. Hệ thống này
cung cấp độ bảo mật cao hơn hệ thống trên , vì nó thực hiện cả bảo mật ở tầng
network (packet-filtering) và ở tầng ứng dụng (application level). Đồng thời , kẻ tấn
công phải phá vỡ cả hai tầng bảo mật để tấn công vào mạng nội bộ.
• Trong hệ thống này, basion host được cấu hình ở trong mạng nội bộ. Quy luật
filtering trên packet-filtering router được định nghĩa sao cho tất cả các hệ thống ở bên
ngoài chỉ có thể truy nhập bastion host. Việc truyền thông tới tất cả các hệ thống bên
cùng một mạng, chính sách bảo mật của một số tổ chức sẽ quyết định xem các hệ
thống nội bộ được phép truy nhập trực tiếp vào bastion Internet hay là chúng phải sử

14
dụng dịch vụ proxy trên basion host. Việc bắt buộc những user nội bộ được thực hiện
bằng cách đặt cấu hình bộ lọc của router sao cho chỉ chấp nhận những truyền thông
nội bộ xuất phát từ basion host.
Ưu điểm.
• Máy chủ cung cấp các thông tin công cộng qua dịch vụ Web và FTP có thể đặt trên
packet-filtering router và basion. Trong trường hợp yêu cầu độ an toàn cao nhất,
basion host có thể chạy các dịch vụ proxy yêu cầu tất cả các user cả trong và ngoài
truy cập qua basion host trước khi nối với máy chủ. Trong trường hợp không yêu cầu
độ an toàn cao thì các máy nội bộ có thể nối thẳng với máy chủ.
• Nếu cần độ bảo mật cao hơn nữa thì có thể dùng hệ thống Firewall dual-homed (hai
chiều) bastion host. Một hệ thống bastion host như vậy có hai giao diện mạng
(network interface), nhưng khi đó khả năng truyền thông trực tiếp giữa hai giao diện
qua dịch vụ proxy là bị cấm.
• Bởi vì bastion host là hệ thống bên trong duy nhất có thể truy nhập được từ Internet,
sự tấn công cũng chỉ giới hạn đến bastion host mà thôi. Truy nhiên, nếu được user log
on được vào basion host thì họ có thể dễ dàng truy nhập toàn bộ mạng nội bộ. Vì vậy
cần phải cấm không cho user logon vào bastion host.
9.3.Mô hình Demilitarized Zone (DMZ- khu vực phi quân sự ) hay Screened- subnet
Firewall.
• Hệ thống bao gồm hai packet-filtering router và một bastion host. Hệ có độ an toàn
cao nhất vì nó cung cấp cả mức bảo mật network và application, trong khi định nghĩa
một mạng “phi quân sự”. Mạng DMZ đóng vai trò như một mạng nhở, cô lập đặt giữa
Internet và mạng nội bộ. Cơ bản, một DMZ được cấu hình sao cho các hệ thống trên
Internet và mạng nội bộ chỉ có thể truy nhập được một số giới hạn các hệ thống trên
mạng DMZ , và sự truyền trực tiếp qua mạng DMZ là không thể được.
• Với những thông tin đến, router ngoài chống lại những sự tấn công chuẩn (như giả
mạo địa chỉ IP), và điều khiển truy nhập tới DMZ. Hệ thống chỉ cho phép bên ngoài
truy nhập vào bastion host. Router trong cung cấp sự bảo vệ thứ hai bằng cách điều
khiển DMZ truy nhập mạng nội bộ chỉ với những truyền thông bắt đầu từ bastion

host.
• Với những thông tin đi, router trong điều khiển mạng nội bộ truy nhập tới DMZ. Nó
chỉ cho phép các hệ thống trên trong truy nhập bastion host và có thể cả information
sever. Quy luật filtering trên router ngoài yêu cầu sử dụng dịch vụ proxy bằng cách
chỉ cho phép thông tin ra bắt nguồn từ bastion host.
15
Ưu điểm :
- Kẻ tấn công phá vỡ ba tầng bảo vệ : router ngoài, bastion host và router trong.
- Bởi vì router ngoài chỉ quảng cáo DMZ network tới Internet, hệ thống mạng nội bộ là
không thể nhìn thấy được (invisible). Chỉ có một số hệ thống đã được chọn ra trên
DMZ là được biết đến bởi Internet qua routing table và DNS information exchange
(Domain Name Server).
- Bởi vì router trong chỉ quảng cáo DMZ network tới mạng nội bộ, các hệ thống trong
mạng nội bộ không thể truy nhập trực tiếp vào Internet. Điều này đảm bảo rằng những
user bên trong bắt buộc phải truy nhập Internet qua dịch vụ proxy.
B. TƯỜNG LỬA CÁ NHÂN.
1. Tường lửa Cá nhân (Personal Firewall):
• Một tường lửa cá nhân là một ứng dụng điều khiển lưu lượng mạng đến và đi từ một
máy tính, cho phép hoặc từ chối giao tiếp dựa trên một chính sách an ninh.
• Một tường lửa cá nhân khác với tường lửa truyền thống về quy mô. Tường lửa cá
nhân thường được thiết kế để sử dụng bởi người dùng cuối cùng. Kết quả là, một
tường lửa cá nhân thường sẽ chỉ bảo vệ máy tính mà nó được cài đặt.
• Nhiều bức tường lửa cá nhân có thể kiểm soát lưu lượng mạng bằng cách nhắc nhở
người dùng mỗi lần một kết nối được không và chính sách bảo mật thích ứng phù
hợp. bức tường lửa cá nhân cũng có thể cung cấp một số mức độ phát hiện xâm nhập ,
cho phép các phần mềm chấm dứt hoặc chặn kết nối mà nó nghi ngờ đang cố gắng
xâm nhập.
16
• Các tính năng phổ biến của tường lửa cá nhân:
- Cảnh báo người dùng về những cố gắng kết nối gửi đi.

- Cho phép người dùng kiểm soát các chương trình có thể và không thể truy cập vào
mạng nội bộ và / hoặc Internet.
- Ẩn các máy tính từ cổng quét do không đáp ứng với lưu lượng mạng không được yêu
cầu.
- Màn hình ứng dụng đã được nghe các kết nối đến.
- Giám sát và điều tiết tất cả người dùng Internet vào và ra.
- Ngăn chặn không mong muốn mạng lưới giao thông từ các ứng dụng cài đặt cục bộ.
- Cung cấp cho người dùng thông tin về một ứng dụng mà làm cho một nỗ lực kết nối.
- Cung cấp thông tin về các điểm đến máy chủ mà một ứng dụng đang cố gắng để liên
lạc.
- Thay vì giảm số lượng nhận biết các dịch vụ mạng, một tường lửa cá nhân là một dịch
vụ bổ sung mà tiêu thụ tài nguyên hệ thống và cũng có thể là mục tiêu của cuộc tấn
công, như minh chứng bằng những con sâu Witty.
- Nếu hệ thống đã bị xâm nhập bởi phần mềm độc hại , phần mềm gián điệp hoặc phần
mềm tương tự, các chương trình này cũng có thể thao tác các bức tường lửa, bởi vì cả
hai đang chạy trên cùng hệ thống. Nó có thể là có thể bỏ qua hoặc thậm chí hoàn toàn
tắt tường lửa phần mềm theo cách như vậy.
- Số lượng cao của các cảnh báo được tạo ra bởi các ứng dụng như vậy có thể có thể
bớt ăn nhạy người sử dụng cảnh báo bằng cách cảnh báo người sử dụng các hành
động mà có thể không độc hại (ví dụ như yêu cầu ICMP ).
- Phần mềm tường lửa mà giao diện với hệ điều hành ở cấp độ hạt nhân có khả năng có
thể gây ra sự bất ổn định và / hoặc giới thiệu các lỗi bảo mật và lỗi phần mềm khác.
• Tường lửa cá nhân bây giờ không còn là thứ “xa xỉ” chỉ dành cho các đại gia nữa. Khi
ngày càng nhiều người dùng lang thang với chiếc laptop trong tay, làm việc bên ngoài
bốn bức tường chật hẹp của văn phòng, thì nguy cơ bị hứng đòn tấn công từ những kẻ
suốt ngày rình mò trên mạng ngày càng cao. Nhiều sự kiện cũng như dấu hiệu đã xuất
hiện, nhắc nhở các công ty tìm kiếm cách thức và con đường bảo vệ người dùng hiệu
quả trước các cuộc tấn công liên tục qua Internet.
• Phải, các cuộc tấn công diễn ra liên tục. Một nghiên cứu gần đây do Trung tâm nghiên
cứu về nguy hiểm và độ tin cậy của Đại học Maryland Clark School kết hợp với Viện

nghiên cứu hệ thống tìm ra rằng, cứ khoảng 39 phút lại có một cuộc tấn công do
hacker tiến hành nhắm vào máy tính có kết nối Internet. “Dữ liệu của chúng tôi cung
cấp bằng chứng đáng tin cậy cho thấy hoạt động tấn công diễn ra không ngừng nghỉ
với tất cả máy tính nối mạng Internet”, Michel Cukier - tác giả cuộc nghiên cứu và
đồng thời là giáo sư công trình đang giảng dạy trong trường đại học nói. Các máy tính
trong nghiên cứu của Cukier đều bị tấn công, trung bình 2.244 lần/ngày.
• Thời kỳ tấn công của virus qua e-mail ngày xưa dường như quá ôn hoà và dịu nhẹ khi
so sánh với các đe doạ nguy hiểm bảo mật ngày nay. “Các nguy cơ không hề giảm”,
Richard Weiss - giám đốc marketing sản phẩm bảo mật ở CheckPoint Software khẳng
định. “Chúng tôi đã từng chứng kiến thay đổi rất rõ ràng trong kiểu tấn công. Bây giờ
không còn kiểu trẻ con ham danh tập phá hoại mà hết sức tinh vi và chuyên nghiệp.
Bởi chúng đang chuyển hướng mục tiêu từ ham hố nổi trội, chứng tỏ bản lĩnh sang lợi
17
nhuận, kiếm tiền từ thế giới ngầm thông qua lấy cắp và mua bán dữ liệu doanh
nghiệp, thông tin mật”. Trojan bây giờ phổ biến gấp 4 lần virus và worm, theo báo
cáo của hãng sản xuất phần mềm diệt virus Shophos. Tỷ lệ này tăng gấp hai lần so với
nửa đầu năm 2005.
• Máy tính xách tay du lịch thường kết nối tới nhiều mạng cục bộ khác nhau, cả có dây
và không dây. “Chúng là những mạng mà các doanh nghiệp không thể kiểm soát
được”, Monte Robertson - chuyên gia tư vấn ở Software Security Solutions và cũng là
nhà phân phối sản phẩm bảo mật tự do lưu ý. Đã đến lúc các công ty nên bắt đầu kế
hoạch bảo vệ thiết bị di động, như laptop và PDA, với cùng phương thức phân lớp đã
từng dùng cho mạng doanh nghiệp của mình.
• Hai phương thức cơ bản:
- Cái khó nhất là làm sao lựa chọn đúng phương pháp kết hợp hiệu quả các sản phẩm
bảo vệ dành cho máy để bàn và cân bằng được giữa thuận tiện, bảo mật và đơn giản.
Có hai phương thức cơ bản do các hãng bảo mật cung cấp mà cho đến nay vẫn được
dùng phổ biến.
- Phương thức thứ nhất là sử dụng thiết bị phần cứng để bảo vệ vành đai, hay biên giới
mạng và làm việc chung với phần mềm trên từng máy để bàn. Các thiết bị này hoàn

toàn có thể sử dụng trong phạm vi rộng của các hãng lớn như CheckPoint, Cisco,
Juniper và Symantec. Ưu điểm của phương thức này là một hãng đơn lẻ cũng có thể
kiểm soát được cả bảo mật vành đai và bảo mật desktop. Nhưng mặc dù vậy, xét trên
khía cạnh khác, có thể nhiều công ty sẽ không tìm ra được cho mình thành phần phù
hợp nhất mà họ cần.
- Lựa chọn thứ hai là sử dụng bộ phần mềm bảo mật hoạt động cùng với cổng vào
doanh nghiệp hoặc giải pháp diệt virus trung tâm hoá. Ví dụ, bộ phần mềm có thể là:
• Symantec Client Security v3.1
• McAfee Host IPS for desktops v6.0.1
• Windows Live OneCare
- Cái hay của phương thức này là người dùng không cần cài đặt hay cấu hình bất kỳ
thành phần nào trên hệ thống của riêng họ. Các bộ phần mềm doanh nghiệp (hoặc
trong trường hợp của Windows Live, một dịch vụ nền tảng Web) sẽ quản lý chương
trình update riêng. Như thế có nghĩa là cơ sở dữ liệu dấu hiệu tấn công được update tự
động một cách tập trung để chương trình bảo vệ luôn thực hiện được công việc như
hiện tại. Điểm hạn chế trong phương thức này là các giải pháp thường bị tổn thương
do không có chương trình bảo vệ tốt nhất và cơ hội khai thác có thể bị tuột qua. Thêm
vào đó, chúng không hỗ trợ tất cả phiên bản cũ hơn của Windows.
- Các nhà quản lý IT đang tìm kiếm phương thức kiểm soát PC không chịu sự quản lý
nào như máy tính của những người làm việc tại nhà hay người làm việc tạm thời chứ
không phải nhân viên chính thức. “Một vài năm trước, sau cuộc tấn công của sâu
Blaster họ phát hiện ra rằng, hệ thống dò tìm xâm phạm và diệt virus truyền thống giờ
trở nên quá đơn giản và không có tác dung”, Weiss khẳng định.
18
• Các điểm yếu của Windows Firewall:
- Nhược điểm lớn nhất của Windows Firewall là dựa trên tường lửa cá nhân tích hợp
sẵn của Windows (hoặc Mac OS). Nhãn “cá nhân” khiến Windows Firewall được
phân biệt với tường lửa doanh nghiệp, có nhiệm vụ bảo vệ toàn bộ mạng công ty
trước các cuộc tấn công. Phiên bản cá nhân chỉ chạy được trên máy tính để bàn.
- Dựa trên tường lửa cá nhân dựng sẵn do hệ điều hành cung cấp không phải là giải

pháp bảo mật hay, vì người dùng có thể dễ dàng tắt tường lửa (do tình cờ hoặc có chủ
đích) mà quên bật lại chúng khi cần. Với nhiều phiên bản hệ điều hành cũ, cụ thể như
Windows XP và một số phiên bản trước nữa, tường lửa dựng sẵn thường cung cấp
chương trình bảo vệ không làm hài lòng người dùng, thậm chí đem lại cảm giác an
toàn sai.
- Ví dụ, Windows XP chỉ bắt đầu tích hợp sẵn tường lửa với hệ điều hành từ Service
Pack 2 trở lên. Tuy nhiên, tường lửa XP chỉ bảo vệ được các kết nối bên trong chứ
không ngăn chặn được nguy hiểm đến từ bên ngoài đường biên mạng. Tức là, bất kỳ
nguy hiểm tiềm ẩn nào, vì một lý do nào đó tìm ra được cách thâm nhập vào ổ cứng
của người dùng đều có thể tiến đến chiếm quyền kiểm soát máy tính và sử dụng chính
máy tính này để gửi đi các cuộc tấn công hay tham gia botnet. “Yếu tố quan trọng
then chốt trong bảo mật máy tính là bảo vệ được mạng trước các cuộc tấn công từ bên
ngoài đường biên, nơi thông tin nhạy cảm đi ra ngoài” (Robertson).
- “SP2 đã vá rất nhiều lỗi, giúp XP mạnh hơn và Internet Explorer an toàn hơn nhiều”,
Igor Pankov - quản lý tiếp thị sản phẩm của Agnitum nhận xét. “Nhưng SP2 không
làm gì nhiều để nâng cao tổng thể tính bảo mật hợp nhất, vì malware, dù ít hay nhiều
vẫn luôn gửi dữ liệu cá nhân ra ngoài biên giới mạng”.
- Vista và dịch vụ quản lý Windows Live OneCare luôn được tích hợp sẵn tường lửa
riêng với khả năng nâng cao hơn một chút. Nhưng Vista firewall mặc định cũng chỉ
có thể bảo vệ được kết nối trong đường biên. Có thể cấu hình chương trình bảo vệ
ngoài đường biên nhưng không hề đơn giản và phần nào đấy vượt ra ngoài tầm của
người dùng mức trung bình. “Vista kế thừa nhiều tính năng và an toàn hơn các phiên
bản Windows trước, nhưng chưa phải là hoàn hảo”, Shane Coursen - chuyên gia tư
vấn kỹ thuật nhiều kinh nghiệm của Kaspersky Labs cho hay.
- Cân bằng giữa vấn đề an toàn hơn và dễ sử dụng đã tạo ra một thị trường thay thế
tường lửa tích hợp sẵn trên Windows. Các chương trình này cũng có thể sử dụng cho
người dùng từ xa hay những người hay lưu động, làm việc bên ngoài mạng nội bộ của
tổ chức họ
• Tường lửa cá nhân nhóm thứ ba:
- Hai phương thức cơ bản không đáp ứng được yêu cầu và thay vào đó, phương thức

thứ ba mới được sử dụng thường xuyên: kết hợp tường lửa mạnh hơn trên từng
desktop với thiết bị bảo mật trung tâm hoá hoặc một bộ phần mềm bảo mật. Đây
chính là vấn đề cốt lõi của các sản phẩm bảo mậthiện đang có trên thị trường, như sản
phẩm của Cisco, Consentry, Juniper, Lockdown Networks và Mirage Networks. Tất
19
cả đều triển khai công cụ giám sát trạng thái của từng thiết bị mạng và đảm bảo cho
chúng an toàn.
- Nhưng các giải pháp này thường rất tốn kém và tốn lượng lớn thời gian để triển khai.
Một lựa chọn tốt hơn là sử dụng tường lửa cá nhân của nhóm thứ ba như Zone Labs
của CheckPoint Software, Panda Software, Prevx và một số hãng khác như trong
bảng tóm tắt dưới đây:
Sản phẩm Địa chỉ (URL) Thành phần chính
Panda
Software
Client Shield
2006
Pandasoftware.com
Hỗ trợ Windows
98/2000, phiên bản
doanh nghiệp.
Zone Alarm
Internet
Security Suite
v7.0,
CheckPoint
Integrity
Zonelabs.com
Có phiên bản miễn phí
(chỉ tường lửa) và thu
tiền; bộ sản phẩm bao

gồm chương trình bảo
vệ IM và
antivirus/spyware
Prevx v1.0 Prevx.com
Ngăn chặn miễn phí,
nhưng mất 25 USD
một năm nếu thay đổi
hay dàn xếp lại.
Jetico Personal
Firewall v1.01
Jetico.com
Miễn phí, dùng cho
Win98/2000
Agnitum
Outpost Pro
v4.0
Agnitum.com
Dùng cho Windows
64-bit và Win98/2000;
Chức năng: anti-
malware/spyware
Kaspersky
Internet Suite
v6.0
Kaspersky.com
Dành cho Windows
64-bit và hỗ trợ Vista;
thành phần: anti-
malware/spyware
• Sản phẩm tường lửa cá nhân nhóm thứ ba:

- Lợi ích từ việc sử dụng các sản phẩm này đã được thể hiện trong thực tế. Chúng giúp
bảo vệ hiệu quả các máy để bàn và ngăn chặn tốt hơn việc khai thác lỗ hổng ze-ro day
trước khả năng tấn công của nhiều người qua mạng doanh nghiệp.
20
- Một ví dụ điển hình là công ty viễn thông VAR Tele-Verse đã dùng phần mềm diệt
virus Norton của Symantec để bảo vệ hàng loạt máy Windows 2000 20-plus khoảng 9
tháng trước đây, khi một máy tính được phát hiện bị tấn công bởi virus và phát tán ra
toàn bộ máy trong công ty. “Chúng tôi đã phải bỏ ra mất gần một ngày trời để tìm
kiếm chương trình có thể diệt được virus này, kể cả update phiên bản mới nhất của
Norton trên tất cả cá máy”, Scott Rendell - quản lý hoạt động của Tele-Verse kể lại.
“Cuối cùng chúng tôi tìm ra Prevx và nó đã cứu cả công ty. Nó làm việc rất dễ dàng
và nhanh chóng phát hiện ra vấn đề, rồi cách ly ngay lập tức virus. Chúng tôi không
gặp phải phiền phức gì từ sau lần đó”.
- Prevx kiểm tra thường xuyên các bản update có dấu hiệu mới và cũng phát hiện được
hoạt động tựa virus của ứng dụng. Một số sản phẩm tường lửa cá nhân nhóm thứ ba
khác cũng đã bắt đầu kết hợp chặt chẽ với các kỹ thuật tương tự. Và các nhà nghiên
cứu bảo mật đang bỏ ra nhiều thời gian để kiểm tra và tìm kiếm cách loại bỏ malware
mà không cần đòi hỏi dấu hiệu cụ thể.
- Tìm ra được tường lửa cá nhân tốt nhất không hề đơn giản. Các nhà quản lý IT sẽ cần
kiểm tra một lượng lớn cấu hình desktop và ứng dụng trước khi có được bất kỳ quyết
định nào. Chúng phải đảm bảo được hai yếu tố: có thể bảo vệ được những gì và có dễ
sử dụng trong các hoạt động tin học thường ngày không. “Thách thức nằm ở chỗ, làm
sao tối thiểu hoá được gánh nặng quản lý phần mềm bổ sung cho chương trình bảo vệ
desktop bổ sung”, Weiss của CheckPoint phân tích. “Các doanh nghiệp luôn có giới
hạn nhất định về số lượng khác nhau của phần mềm họ muốn hỗ trợ”.
- Người ta đã tiến hành một số kiểm tra thử nghiệm độc lập để xác định tính hiệu quả
của tường lửa cá nhân. Một trong số đó là Firewall Leak Tester. Một loạt sản phẩm
khác nhau được đưa và chương trình kiểm tra nhằm xác định liệu các tường lửa có thể
ngăn chặn một số kiểu tấn công cụ thể từ bất kỳ đe doạ nào. Các nhà quản lý IT có thể
đánh giá chương trình kiểm tra và xác định độ mạnh tương ứng trên từng sản phẩm.

- Một trong những điểm đáng ngạc nhiên phát hiện được từ các chương trình kiểm tra
này là sự khác nhau nhiều giữa bản miễn phí và bản trả tiền của Zone Alarm. Bản
miễn phí chỉ có thể loại bỏ được 27 kiểu tấn công khác nhau trong khi bản trả tiền có
thể loại bỏ được thêm gần 20 kiểu nữa.
- Tường lửa cá nhân được đánh giá ở top đầu là Jetico. Tường lửa này miễn phí hoàn
toàn nhưng không hề dễ cấu hình. Nếu sử dụng sản phẩm này, các nhà quản lý IT sẽ
cần đến nhiều thời gian để thiết lập và đưa nó vào hoạt động cho từng người dùng.
Chương trình kiểm tra cho thấy, Jetico rất khó cấu hình, nhất là với người dùng dùng
ứng dụng đa chức năng Internet chứ không phải chỉ e-mail và Web browsing.
- Hai tường lửa cũng ở top đầu khác là Outpu Pro firewall của Agnitum và Internet
Suite của Kaspersky Labs. Cả hai đều là sản phẩm thương mại, đã được tung ra thị
trường vài năm nay. Cả hai đều tích hợp tường lửa cá nhân với chương trình diệt virus
và chống spyware. Kaspersky hỗ trợ Vista cũng như các phiên bản Windows cũ hơn.
- Một số hãng sản xuất bắt ðầu ðýa týờng lửa cá nhân vào nhý một phần trong giải pháp
bảo mật hợp nhất tổng thể cho các công ty. Thýờng họ phân phối phần mềm bảo mật
điểm cuối tốt hơn hoặc đơn giản chỉ là kết hợp các dòng sản phẩm doanh nghiệp và cá
21
nhân riêng rẽ lại với nhau. Một ví dụ là trường hợp của Symantec với Client Security,
Integrity của CheckPoint Software và Open Space Security của Kaspersky. Cả ba
dòng tường lửa cá nhân này đều được kết hợp với các công cụ quản lý doanh nghiệp
tổng thể.
- Vấn đề không nằm ở chỗ bạn chọn sản phẩm nào, mà quan trọng là hãy nhanh chóng
bắt đầu đánh giá các tường lửa cá nhân. “Với laptop, bạn nên lựa chọn giải pháp bảo
mật tốt nhất với chức năng anti-virus, anti-spyware và firewall”, Robertson của
Software Security Solutions khẳng định. “Đã đến lúc bắt đầu suy nghĩ về yêu cầu cần
thiết đòi hỏi ở tường lửa cá nhân với vai trò là công cụ cực kỳ quan trọng cho người
dùng từ xa”.
- Yêu cầu cân bằng giữa sức mạnh của tường lửa cá nhân với sự tiện dụng đã tạo ra thị
trường cho các sản phẩm thay thế tường lửa tích hợp của Windows, một loại tường
lửa mà người quản trị mạng có thể giới thiệu cho tất cả những người làm việc từ xa và

những người làm bán thời gian.
C. TƯỜNG LỬA TẦNG MẠNG VÀ TẦNG ỨNG DỤNG
( NETWORK LAYER FIREWALL + APPLICATION LAYER FIREWALL).
• Ví dụ cụ thể cho tường lửa tầng Mạng là iptables.
22
• Một số chức năng của iptables:
- Tích hợp tốt với Linux kernel, để cải thiện sự tin cậy và tốc độ chạy iptables.
- Quan sát kỹ tất cả các gói dữ liệu. Điều này cho phép firewall theo dõi mỗi 1 kết nối
thong qua nó, và dĩ nhiên là xem xét nội dung của từng luồng dữ liệu để từ đó tiên
liệu hành động kế tiếp của các giao thức. Điều này rất quan trọng trong việc hỗ trợ
các giao thức FTP, DNS…
- Lọc gói dựa trên địa chỉ MAC và các cờ trong TCP header. Điều này giúp ngăn chặn
việc tấn công bằng cách sử dụng các gói dị dạng ( malformed packets ) và ngăn chặn
việc truy cập nội bộ đến 1 mạng khác bất chấp ip của nó.
- Ghi chép hệ thống ( system logging ) cho phép việc điều chỉnh mức độ của báo cáo.
- Hỗ trợ việc tính hợp các chương trình Web proxy chẳng hạn như Squid.
- Ngăn chặn các kiểu tấn công từ chối dịch vụ.
• Khởi động iptables:
23
• Gói trong iptables:
- Mangle: chịu trách nhiệm thay đổi các bits chất lượng dịch vụ trong TCP header như
TOS ( type of service ), TTL ( time to live ), và MARK.
- Filter : chịu trách nhiệm lọc các gói dữ liệu. Nó gồm có 3 quy tắc nhỏ ( chain ) để
giúp bạn thiết lập các nguyên tắc lọc gói, gồm:
• Forward chain: lọc gói khi đi đến các server khác.
• Input chain : lọc gói khi đi vào trong server.
• Output chain : lọc gói khi đi ra khỏi server.
- NAT : gồm có 2 loại :
• Pre-routing chain : thay đổi địa chỉ đến của gói dữ liệu khi cần thiết.
• Post-routing chain : thay đổi địa chỉ nguồn của gói dữ liệu khi cần thiết.

• Xử lý gói trong iptables:
• Đường đi của một gói dữ liệu:
24
• Targets:
- Targets là hành động sẽ diễn ra khi 1 gói dữ liệu được kiểm tra và phù hợp với 1 yêu
cầu nào đó. Khi 1 target đã được nhận dạng, gói dữ liệu cần nhảy (jump) để thực hiện
các xử lý tiếp theo. Bảng sau liệt kê các targets mà iptables thường sử dụng.
- Accept: iptables ngừng xử lý gói dữ liệu đó và chuyển tiếp nó vào 1 ứng dụng cuối
hoặc hệ điều hành để xử lý.
- Drop: iptables ngừng xử lý gói dữ liệu đó và nó bị chặn hoặc loại bỏ.
- Log: thông tin của gói được đưa vào syslog để kiểm tra. Iptables tiếp tục xử lý gói với
quy luật kế tiếp. Tùy chọn: “ –log-prefix “string” ”. Iptables sẽ thêm vào log message
1 chuỗi do người dùng định sẵn (thông thường là để thông báo lý do vì sao gói bị bỏ ).
- Reject: tương tự như drop nhưng nó sẽ gửi về cho người gửi 1 thông báo là gói đó đã
bị chặn và loại bỏ. Tùy chọn: “ –reject-with qualifier ”, tham số qualifier sẽ cho biết
loại thông báo gửi trả lại phía gửi. Qualifier gồm những loại sau: icmp-port-
unreachable ( default ), icmp-net-unreachable, icmp-host-unreachable, icmp-proto-
unreachable, icmp-net-prohibited, icmp-host-prohibited, tcp-reset, echo-reply.
25

×