*Đặtvấnđề:
Internetchophépchúngtatruycậptớimọinơitrênthếgiớithôngquamộtsốdịchvụ.
Ngồitrướcmáytínhcủamìnhbạncóthểbiếtđượcthôngtintrêntoàncầu,nhưngcũng
chínhvìthếmàhệthốngmáytínhcủabạncóthểbịxâmnhậpvàobấtkỳlúcnàomàbạn
khônghềđượcbiếttrước.Dovậyviệcbảovệhệthốnglàmộtvấnđềchúngtađángphải
quantâm.NgườitađãđưarakháiniệmFireWallđểgiảiquyếtvấnđềnày.
NỘIDUNGTRÌNHBÀY
1. Kháiniệm:
2. Tạisaolạidùngtườnglửa?
3. Phânloại:
4. CấutrúcCáchthứchoạtđộng
5. Thiếtlập
6. Cácphươngphápvượttườnglửa(dùngđểvàomộtsốtrangbịchặn)
NỘIDUNG:
1. Kháiniệm:
Bứctườnglửa(firewall)làmộtkỹthuậtđượctíchhợpvàohệthốngmạngđể:
● Chốnglạisựtruycậptráiphéptừbênngoài(ExternalnetworkInternet)vàotrong
mạng(InternalnetworkIntranet)vàngượclại.
● Bảovệthôngtinnộibộcũngnhưhạnchếsựxâmnhậpkhôngmongmuốnvàohệ
thốngmạngnộibộ.
2. Tạisaolạidùngtườnglửa?
Nếumáytínhkhôngđượcbảovệ,khikếtnốiInternet,tấtcảcáchoạtđộngravàomạng
đềuđượcchophép,vìthếhacker,viruscóthểtruycậpvàlấycắpthôngtincánhântrênmáy
tính.Chúngcóthểcàiđặtcácđoạnmãđểtấncôngfiledữliệutrênmáytính.Hoặcsửdụng
máytínhđãtấncôngđểtấncôngmộtmáytínhcủagiađìnhhoặcdoanhnghiệpkháckếtnối
Internet.Mộtfirewallcóthểgiúpbạnthoátkhỏigóitinhiểmđộctrướckhinóđếnhệ
thốngcủabạn.
ChứcnăngchínhcủaFirewall.
ChứcnăngchínhcủaFirewalllàkiểmsoátluồngthôngtintừgiữaIntranetvàInternet.Thiết
lậpcơchếđiềukhiểndòngthôngtingiữamạngbêntrong(Intranet)vàmạngInternet.Cụ
thểlà:
Chophéphoặccấmnhữngdịchvụtruynhậprangoài(từIntranetraInternet).
Chophéphoặccấmnhữngdịchvụphéptruynhậpvàotrong(từInternetvàoIntranet).
TheodõiluồngdữliệumạnggiữaInternetvàIntranet.
Kiểmsoátđịachỉtruynhập,cấmđịachỉtruynhập.
Kiểmsoátngườisửdụngvàviệctruynhậpcủangườisửdụng.
Kiểmsoátnộidungthôngtinthôngtinlưuchuyểntrênmạng.
3. Phânloại:
Cóthểphânloại:Firewallcứngvàfirewallmềm
Firewallcứng:LànhữngfirewallđượctíchhợptrênRouter.
ĐặcđiểmcủaFirewallcứng:
KhôngđượclinhhoạtnhưFirewallmềm:(Khôngthểthêmchứcnăng,thêmquytắcnhư
firewallmềm)
FirewallcứnghoạtđộngởtầngthấphơnFirewallmềm(TầngNetworkvàtầngTransport)
Firewallcứngkhôngthểkiểmtrađượcnộtdungcủagóitin.
VídụFirewallcứng:NAT(NetworkAddressTranslate).
Firewallmềm:LànhữngFirewallđượccàiđặttrênServer.
ĐặcđiểmcủaFirewallmềm:
Tínhlinhhoạtcao:Cóthểthêm,bớtcácquytắc,cácchứcnăng.
FirewallmềmhoạtđộngởtầngcaohơnFirewallcứng(tầngứngdụng)
Firewalmềmcóthểkiểmtrađượcnộidungcủagóitin(thôngquacáctừkhóa).
Firewallmềmphụthuộcvàohệđiềuhành.
Vídụ:sunScreenfirewall,IPF,MicrosoftISAserver,CheckPointNG,…Firewall
mềmcóthểđảmnhậnvaitrònhưmộtDNSserverhaymộtDHCPserver.
Cáccôngtylớnthườngsửdụngcả2loại"mềm"và"cứng"tùytheođểlọcởtronghayở
ngoài.
4. Cấutrúc:
FireWallbaogồm:
Mộthoặcnhiềuhệthốngmáychủkếtnốivớicácbộđịnhtuyến(router)hoặccóchứcnăng
router.Cácphầnmềmquảnlíanninhchạytrênhệthốngmáychủ.Thôngthườnglàcáchệ
quảntrịxácthực(Authentication),cấpquyền(Authorization)vàkếtoán(Accounting).
CácthànhphầncủaFireWall
MộtFireWallbaogồmmộthaynhiềuthànhphầnsau:
+Bộlọcpacket(packetfilteringrouter).
+Cổngứngdụng(Applicationlevelgatewayhayproxyserver).
+Cổngmạch(Circuitelevelgateway).
Bộlọcpaket(Paketfilteringrouter)
Nguyênlýhoạtđộng
FirewalllọcgóihoạtđộngởlớpmạngcủamôhìnhOSI,hoặclớpIPcủaTCP/IP.Chúng
thườnglàmộtphầncủarouter.Routerlàthiếtbịnhậngóitừmộtmạngvàchuyểngóitới
mạngkhác.Trongfirewalllọcgói,mỗigóiđượcsosánhvớitậpcáctiêuchuẩntrướckhinó
đượcchuyểntiếp.Dựavàogóivàtiêuchuẩn,firewallcóthểhủygói,chuyểntiếphoặcgởi
thôngđiệptớinơitạogói.CácluậtbaogồmđịachỉIP,sốcổngnguồnvàđíchvàgiaothức
sửdụng.Hầuhếtcácrouterđềuhỗtrợlọcgói.
TấtcảcácluồnglưuthôngtrênInternetđềuởdạnggói.Mộtgóilàmộtlượngdữliệucó
kíchthướcgiớihạn,đủnhỏđểđiềukhiểndễ.Khilượnglớndữliệuđượcgửiliêntục,dễ
xảyratìnhtrạnghỏngtrongviệctruyềnvàtáihợpởnơinhận.
Mộtgóilàmộtchuỗisốcơbảntruyềnđạtcácthứsau:
•Dữliệu,kiếnthức,yêucầuhoặcdònglệnhtừhệthốngbắtđầu
•ĐịachỉIPvàcổngcủanguồn
•ĐịachỉIPvàcổngcủađích
•Thôngtinvềgiaothức(tậpcácluật)điềukhiểngói
•Thôngtinkiểmtralỗi
•Cóvàisựsắpxếpthôngtinvềkiểuvàtìnhtrạngcủadữliệuđangđượcgửi
•Vàcònvàithứkhác…
Trongpacketfiltering,chỉprotocolvàthôngtinđịachỉcủamỗigóiđượckiểmtra.Nội
dungvàngữcảnh(mốiliênhệvớicácgóikhác)củanóbịbỏqua.
Filteringchứacácgóivàoravàchophéphoặckhôngchophépviệclưuthôngcủachúng
hoặcchấpnhậndựatrênmộttậpluậtnàođó,đượcgọilàchínhsách(policies).
Cácchínhsáchlọcgóicóthểcăncứtrêncácđiềusau:
•ChophéphoặckhôngchophépgóidựavàođịachỉIPnguồn
•Chophéphoặckhôngchophépgóidựavàocổngđích
•Chophéphoặckhôngchophépgóidựatheogiaothức.
Bộđịnhtuyếnkiểmtranhìnvàothôngtinliênquanđếnđịachỉcứng(hardwired)của
máytính,địachỉIPcủanó(lớpmạng)vàloạikếtnối(lớptransport),vàsauđólọccácgói
dữliệudựatrênnhữngthôngtinnày.Bộđịnhtuyếnkiểmtracóthểlàthiếtbịđịnhtuyến
độclậphoặcmáytínhgắnhaicardmạng.Bộđịnhtuyếnnốigiữahaimạngvàthựchiệnlọc
góidữliệuđểđiềukhiểnluồnglưuthônggiữacácmạng.Ngườiquảntrịlậptrìnhchothiết
bịvớicácluậtxácđịnhcáchlọcgóidữliệu.Vídụ,bạncóthểthườngxuyênngăncácgói
củamộtdịchvụnàođónhưFTP(FileTransferProtocol)hayHTTP(HyperTextTransfer
Protocol).Tuyvậy,cácluậtbạnxácđịnhchobộđịnhtuyếncóthểkhôngđủđểbảovệtài
nguyêntrênmạng.Nhữngluậtnàycóthểrấtkhócàiđặtvàdễcólỗi,tạonênnhữnglỗhỏng
tronghệthốngphòngthủ.
Đâylàkiểucơbảnnhấtcủafirewall.
Ưuđiểm
Đasốcáchệthốngfirewallđềusửdụngbộlọcpacket.Mộttrongnhữngưuđiểmcủa
phươngphápdùngbộlọcpacketlàchiphíthấpvìcơchếlọcpacketđãđượcbaogồmtrong
mỗiphầnmềmrouter.
Ngoàira,bộlọcpacketlàtrongsuốtđốivớingườisửdụngvàcácứngdụng,vìvậynó
khôngyêucầusựhuấnluyệnđặcbiệtnàocả.
Hạnchế
● Việcđịnhnghĩacácchếđộlọcpackagelàmộtviệckháphứctạp;đòihỏingườiquản
trịmạngcầncóhiểubiếtchitiếtvểcácdịchvụInternet,cácdạngpacketheader,vàcácgiá
trịcụthểcóthểnhậntrênmỗitrường.Khiđòihỏivểsựlọccànglớn,cácluậtlệvểlọc
càngtrởnêndàivàphứctạp,rấtkhóđểquảnlývàđiềukhiển.
● Dolàmviệcdựatrênheadercủacácpacket,rõrànglàbộlọcpacketkhôngkiểmsoát
đượcnôidungthôngtincủapacket.Cácpacketchuyểnquavẫncóthểmangtheonhững
hànhđộngvớiýđồăncắpthôngtinhaypháhoạicủakẻxấu.
CácProxyServerGateway
Gatewaylàcácthiếtbịmứcứngdụng,cungcấpnhiềucơhộihơnđểtheodõivàđiều
khiểntruycậpmạng.Mộtfirewaregatewayhoạtđộngnhưngườitrunggian,chuyểntiếpcác
thôngđiệpgiữakhách/dịchvụnộivàngoại.
Dịchvụủythác(proxyservice)cóthể“biểudiễn”ngườidùngnộitrêninternetbằng
cáchthayđổiđịachỉIPcủakháchtrongcácgóidữliệusangđịachỉIPcủariêngnó.Kỹ
thuậtnàyvềcơbảnchedấuhệthốngnộivàbảođảmrằngnhữngngườidùngnộikhôngkết
nốitrựctiếpvớihệthốngbênngoài.Proxyservercóthểđánhgiávàlọctấtcảcácgóidữ
liệuđếnhoặcngăncácgóidữliệuđira.
Mộtsốproxyserverđượcthiếtkếđểchophépchỉnhữngngườidùngnộitruycập
internetvàkhôngchophépbấtcứngườidùngngoạinàotrongmạng.Vìmọiyêucầuđến
internetserverđềutạoraphảnhồi,proxyserverphảichophépluồnggiaothôngquayvề,
nhưngnóthựchiệnđiềunàybằngcáchchỉchophépluồnglưuthônglàmộtphảnhồinàođó
củangườidùngnội.Cácloạiproxyserverkháccungcấpdịchvụchuyểntiếpantoàntheocả
haichiều.
Proxyservercòncóthểcungcấpdịchvụcachechongườidùngnội.Nólưutrữthông
tinvềcácnơi(site)đểngườidùngtruycậpnhanhhơn.Khingườidùngtruycậpđếnnhững
nơinày,thôngtinđượclấytừvùngcacheđãlưutrữtrướcđó.
Cóhailoạiproxyserver:mứcbảnmạchvàmứcứngdụng
Cổngvòng(circuitLevelGateway)
Đây là một bước phát triển kế tiếp của tường lửa, Circuit Gateway không chỉ xử lí dữ
liệu phần đầu mỗi gói mà còn đảm bảo kết nối chuyển tiếp tới gói (packet) hợp lệ. Để làm
điều này, Circuit Gateway để ý tới gói dữ liệu, tìm kiếm những sự thay đổi như địa chỉ IP
nguồn hoặc cổng đến (port) bất thường. Nếu kết nối được xác định không hợp lệ, nó sẽ
được đóng lại. Loại tường lửa này cũng có thể tự động từ chối những thông tin cụ thể do
ngườidùngbêntrongnógửiyêucầu.
CircuitLevelGateway(CLG)hoạtđộngởlớpsessioncủamôhìnhOSI,hoặclớpTCP
củamôhìnhTCP/IP.ChúnggiámsátviệcbắttayTCP(TCPhandshaking)giữacácgóiđể
xácđịnhrằngmộtphiênyêucầulàphùhợp.Thôngtintớimáytínhtừxathôngquamột
CLG,làmchomáytínhởxađónghĩlàthôngtinđếntừgateway.Điềunàychedấuđược
thôngtinvềmạngđượcbảovệ.CLGthườngcóchiphíthấpvàchedấuđượcthôngtinvề
mạngmànóbảovệ.Ngượclại,chúngkhônglọccácgói.
Firewallkhôngchỉchophép(allow)hoặckhôngchophép(disallow)góimàcònxác
địnhkếtnốigiữahaiđầucuốicóhợplệtheocácluậthaykhông,sauđómởmộtsession
(phiênlàmviệc)vàchophépluồnglưuthôngvàcósựgiớihạnthờigian.
Ưuđiểm:
● Chốnglạikẻđộtnhậpbằngtruycậptừxa.
● Ngăn chặn thông tin từ bên ngoài (Internet) vào trong mạng được bảo vệ, trong khi
chophépngườisửdụnghợpphápđượctruynhậptựdomạngbênngoài.
● Ghi nhận mọi cuộc trao đổi thông tin, điểm xuất phát và đích, thời gian, … theo dõi
các cuộc tấn công với ý đồ xấu từ bên ngoài nhằm dự báo khả năng bị tấn công trước khi
cuộctấncôngxảyra.
Nhượcđiểm:
● Khôngthểđọchiểuthôngtinvàphântíchtốtxấucủanó.
● Khôngthểngănchặnđượcnhữngtấncôngmàkhôngđiquacổngcủanó.Vd:không
thểngăntấncôngtừdial–up,ròrỉthôngtinhdodữliệusaochépbấthợppháplênđĩa
mềm.
● Khôngquétvirus.Dotốcđộlàmviệc,sựxuấthiệnliêntụccủavirusvàcáchmãhoá
dữliệu,thoátkhỏisựkiểmsoátcủaFirewall
Cổngứngdụng(applicationlevelgetway)
Nguyênlýhoạtđộng.
Cổngứngdụngđượcthiếtkếđểtăngcườngkiểmsoátdịchvụ,giaothứctruycậphệthống
mạng.
Loại tường lửa này chia sẻ đặc tính của cổng vòng, nhưng nghiên cứu sâu hơn vào các
thông tin gửi qua tường lửa và xem xét mối liên quan tới ứng dụng, dịch vụ và trang web cụ
thể. Ví dụ, một cổng ứng dụng có thể “nhìn” vào gói tin truyền tải lưu lượng web và xác định
lưu lượng truy cập web xuất phát từ đâu. Tường lửa sau đó sẽ chặn dữ liệu từ trang web nếu
ngườiquảntrịmongmuốn.
Applicationgateway
Cácgatewaymứcứngdụng,cònđượcgọilàcácproxy,tươngtựnhưcácgatewaymức
mạngngoạitrừviệcchỉđịnhcácứngdụng.Chúngcóthểlọcgóiởlớpứngdụngcủamô
hìnhOSI.Cácgóivàohoặcrakhôngthểtruycậpcácdịchvụmàkhôngcóproxy.Một
gatewaymứcứngdụngđượccấuhìnhnhưmộtwebproxysẽkhôngchobấtkỳftp,gopher,
telnethoặclưulượngkhácxuyênqua.Bởivìchúngkiểmtracácgóiởlớpứngdụng,chúng
cóthểlọccácdònglệnhchỉđịnhứngdụngnhưhttp:postvàget,etc.Điềunàykhôngthể
đượcthựchiệnvớifirewalllọcgóivàfirewallmứcmạch,cảhaiđiềukhôngbiếtgìvề
thôngtinlớpứngdụng.Cácgatewaymứcứngdụngcòncóthểđượcsửdụngđểghilạicác
hoạtđộngvàcáclogincủauser.Chúngđềracấpđộbảomậtcao,vàcósựtácđộngmạnhvề
performancecủamạng.Bởivìsựthayđổingữcảnhmàlàmchậmmạngtruycậpmộtcách
độtngột.Chúngkhôngdễthựchiện(transparent)ởđầucuốingườidùngvàyêucầusựcấu
hìnhthủcôngởmọimáyclient.
Cổngứngdụngđượccoilàbastionhostvìthiếtkếđểchốngtấncôngtừbênngoài.Biện
phápanninhcủaBastionhost:
Chạytrênversionantoàncủacácphầnmềmhệđiềuhànhvớimụcđíchchốngtấn
côngvàohệđiềuhành.
Chỉnhữngdịchvụmàngườiquảntrịmạngcholàcầnthiếtmớiđượccàiđặttrên
Bastionhost,chỉvìnếumộtdịchvụkhôngđượccàiđặt,nókhôngthểbịtấncông.Thông
thường,chỉmộtsốgiớihạncácứngdụngchocácdịchvụtelnet,DNS,FTP,SMTPvàxác
thựcuserlàđượccàiđặttrênBastionhost.
Bastionhostcóthểyêucầunhiềumứcđộkhácnhauvídụnhưusernamevàpassword
haysmartcard.
Mỗiproxyđượccàiđặtcấuhìnhđểchophéptruynhậpchỉmộtsốcácmáychủnhất
định.
Mỗiproxyduytrìmộtquyểnnhậtkýghichéplạitoànbộchitiếtcủadữliệumạngđi
quatươngđươngvớibộlệnhvàđặcđiểmthiếtlậpchomỗiproxychỉđúngvớimộtsốmáy
chủtrêntoànhệthống.
MỗiproxyđềuđộclậpvớicácproxykháctrênBastionhost,chophépdễdàngcàiđặt
mộtproxymớihaytháogỡmộtproxy.
Ưuđiểm:
● Chophépngườiquảntrịhoàntoànđiềukhiểnđượctừngdịchvụtrênmạng.
● Chophépkiểmtrađộxác,nhậykýghichéplạithôngtinvềtruycậphệthống.
● Rulelọcchocổngứngdụngdễdàngcấuhìnhvàkiểmtrahơnsovớibộlọcgói.
Nhượcđiểm:
● Cầnphảicósựcấuhìnhtrênmáyuserđểusertruycậpvàocácdịchvụproxy.Vídụ
telnel.
5. Thiếtlập
*Cácgiảiphápthiếtlập:
● SingleFirewall
Firewallcấuhìnhkhôngchỉbảovệmạngriêngtừinternetmàcònchophépngườidùng
trongmạngriêngtruycậprangoài
Chỉcó1firewallvà1kếtnốitớiinternetnênchỉcómộtđiểmđiềukhiểnvàquảnlý
trongthiếtkếnày.Khitổchứcmuốncungcấpcácdịchvụchokháchhàngsửdụng:Web,
FTP,MailServer
Sẽcó2lựachọntrongtrườnghợpnày:
○ Đặtcácservercôngkhaisaufirewallsauđómởkếtnốivớimạngbênngoàiđểcóthể
truycậpvàocácservernàytừmạngngoài(dualhomedgatewayfirewall,firewallcó2
cardmạngmộtchomạngtincậyvà1chochocácmạngkháckhôngtincậy)
○ Đặtcácserver
côngkhaibênngoài
phạmvicủafirewall,
trongtrườnghợpnày
cácserversẽmởchó
cáccuộctấncông
Hackertấncôngvàocácdịchvụmứccaocóthểchiếmquyềntruycậpvàomạng
riêng
● DemilitarizedZone(DMZ)
Firewallđầutiênsẽđượcđặtgiữakếtnốiinternetvàcácservercôngkhaicủatổchức
cungcấpcơchếbảomậtchocácservercôngkhaisovớiinternet
Firewallthứ2sẽđặtgiữacácservercôngkhaivàmạngriêngbảođảmchomạngriêng
rấtlàantoànvìnókhôngkếtnốitrựctiếpvớimộtkếtnốibênngoàivàcácthiếtlậpchedấu
đượcbênngoài
Phươngphápnàyđượcxemlàmộttrongnhữngphuơngphápantoànnhấtchomạngcủa
tổchức
Firewallđầuchứa3cardmạng,1kếtnốivớimạngbênngoài,1vớimạngriêngvàmột
vớimạngcủacácservercôngkhaivới3chiếnlượcbảomậtkhácnhau,mộtchiếnlượccó
thểđượctùychọnhóađểchongănchặncáckếtnốivàomạngriêngnhưngcóthểđiqua
mạngserverchung
● Screenedhostfirewall
Screeningrouter:Phântíchdữliệucủagóitinmuốnđivàobêntrongmạngriêngdựa
trêncácluâtđượcthiếtlậptrênrouter
Bastionhost:Làmộtservercàiđặtcácdịchvụcóthểtruycậptừinternet:Web,Email,
DNS
● Screenedsubnetfirewall
Có2firewallvàbastionhost
1bastionhostvàmộtvàimáytinhkháctạothànhmộtsubnet(mạngcon)
Subnetđượcđặtgiữa2screeningrouter
CácvấnđềcầnlưuýkhichọnlựamộtgiảiphápFirewall
● Xácđịnhcácđiểmyếucủamạng
● Cáctàinguyênmạng:network,server,workstation
● CácdịchvụFTP,Email
● Ướclượnggiáthành
● Giáthànhcủasảnphẩnfirewall
● Càiđặt
● Quảntrị
● Bảotrì
● Chọnmộtgiảiphápfirewallphùhợp
● Firewallmứcứngdụng
● Firewallmứcmạng
● Đánhgiágiảipháplựachọn
● Hiệunăng
● Độphứctạp
● Cácđặctínhphụ
6. Vượttườnglửa
Cách1:Sửdụngtrangwebtrunggian.
Tìm hiểu: Trang web trung gian không nằm trong danh sách bị tường lửa, ta truy cập
được,từđóta"nhờ"trangtrunggiannàytruycậptiếpvàotrangwebbịchặn1cáchdễdàng.
Cáchdùng:
Truy cập vào các trang web trung gian sau (theo kinh nghiệm thì đây là những trang tốt
nhấthiệnnay):
o(khôngquảngcáohỗtrợnghe,xem,download)
https://go2web.appspot.com (khôngquảngcáo)
o (quảngcáonhỏ)
(quảngcáokhálớn,hỗtrợlinktrựctiếp)
www.hidemyass.com,www.anonymouse.org,www.shadowsurf.com,
www.anonymizer.com,www.proxify.com,www.proxyforall.com,www.proxeasy.com
Cách2:Thayđổiđịachỉproxycủatrìnhduyệt.
Đầyđủnhất.Trangwebsẽhiểnthịđầyđủnhưkhôngbịtườnglửa(xem,nghe,download
được),nhưngphảimấtmộtítthờigianđểtìmvàthiếtlậpproxychotrìnhduyệt.
Tìmhiểu:Cóthểhiểunômnalàtasẽthayđổi"địachỉnhà"củamình.Nhàmìnhở"Việt
Nam",khôngđượctruycậpvàoweb,taragỡcáibiển"ViệtNam"xuống,treocáibảng
"America"lên>mọichuyệntrởnêndễdàngnhưthểchínhtaở"America"vậy.
Cáchdùng:MỗitrìnhduyệtcócáchthayđổiIPriêng.đâylàminhhọabằng2trìnhduyệt
phổbiếnnhất:InternetExplorervàMozillaFirefox(nêndùngFirefox,sẽcócôngcụgiúp
đơngiảnhóaviệcthayđổi"địachỉ"này).
Proxycódạng:
220.218.3.125:8080.
//190.145.104.226:8080
//41.190.16.17 :8080
84.42.3.12 :3128
//174.142.24.201:3128
Dãysốđứngtrướcdấu":"gọilàIP,dãysốphíasaulàPort
Đầutiên,tacầntìmkiếmcácproxytươngtựnhưtrên.
Sauđókiểmtraxemproxynàocòndùngđược.
Cuốicùng,tathiếtlậpproxychotrìnhduyệtcủamình.
cáctrangwebcungcấpproxy:, /> />+ Internet Explorer : vào Tool > Internet Options, chọn thẻ Connections, bấm chọn nút
LAN Settings ở dưới cùng, đánh dấu chọn và nhập địa chỉ proxy . Nhấn OK (Nếu muốn trở
lạikếtnốitrựctiếpcũ,bỏđánhdấu).
+ Firefox: vào Tool > Options, chọn thẻ Advanced > Network, bấm chọn nút Settings,
đánh dầu chọn và nhập địa chỉ proxy. Nhấn OK (Nếu muốn trở lại kết nối trực tiếp cũ, đánh
dấuchọnDirectconnectiontotheInternet)
Cách3:Sửdụngphầnmềm.
Giốngcách2,nhưngsẽcóthêmsựtrợgiúpcủacácphầnmềmtựđộng.
Cácphầnmềm:Ultrasurf,Hotspotshield,Freegate…
###ĐÁNHGIÁ:
Ưu,nhượcđiểmcủaFirewall
Ưuđiểm:
Firewallcóthểlàmrấtnhiềuđiềuchoanninhcủamạng.Thựctếnhữngưuđiểmkhisử
dụngFirewallkhôngchỉởtronglĩnhvựcanninh
Firewalllàđiểmtậptrunggiảiquyếtcácvấnđềanninh
QuansátvịtrícuảFirewalltrênhìnhchúngtathấyđâylàmộtdạngnútthắt.Firewallcho
takhảnăngtolớnđểbảovệmạngnộibộbởicôngviệccầnlàmchỉtậptrungtạinútthắtnày.
Việctậptrunggiảiquyếttạimộtđiểmnàycònchophépcóhiệuquảcảvềmặtkinhtế.
Firewallcóthểthiếtlậpchínhsáchanninh
Córấtnhiềudịchvụmàmọingườimuốnsửdụngvốnđãkhôngantoàn.
Firewallđóngvaitròkiểmsoátcácdịchvụnày.Nósẽthiếtlậpchínhsáchanninhcho
phépnhữngdịchvụthoảmãntậpluậttrênFirewallđanghoạtđộng.Tuỳthuộcvàocông
nghệlựachọnđểxâydựngFirewallmànócókhảnăngthựchiệncácchínhsáchanninhvới
hiệuquảkhácnhau.
Firewallcóthểghilạicáchoạtđộngmộtcáchhiệuquả
DomọiluồngthôngtinđềuquaFirewallnênđâysẽlànơilýtưởngđểthuthậpcác
thôngtinvềhệthốngvàmạngsửdụng.Firewallcóthểghichéplạinhữnggìxảyragiữa
mạngđượcbảovệvàmạngbênngoài.
Nhượcđiểm
Firewallcóthểbảovệmạngcóhiệuquảnhưngnókhôngphảilàtấtcả.Firewallcũng
tồntạicácnhượcđiểmcủanó
Firewallkhôngthểbảovệkhicósựtấncôngtừbêntrong
NếukẻtấncôngởphíatrongFirewall,thìnósẽkhôngthểgiúpgìđượcchota.Kẻtấn
côngséăncắpdữliệu,pháhỏngphầncứng,phầnmềm,sửađổichươngtrìnhmàFirewall
khôngthểbiếtđược.
Firewallkhôngthểbảovệđượcnếucáccuộctấncôngkhôngđiquanó
Firewallcóthểđiềukhiểnmộtcáchhiệuquảcácluồngthôngtin,nếunhưchúngđiqua
Firewall.Tuynhiên,Firewallkhôngthểlàmgìnếunhưcácluồngdữliệukhôngđiquanó.
Vídụchophéptruycậpdial–upkếtnốivàohệthốngbêntrongcủaFirewall?Khiđónósẽ
khôngchốnglạiđượcsựtấncôngtừkếtnốimodem
Cóthểdoviệccàiđặtbackdoorcủangườiquảntrịhaynhữngngườisửdụngtrìnhđộ
cao.
Firewallkhôngthểbảovệnếunhưcáchtấncônghoàntoànmớilạ
Firewallđượcthiếtkếchỉđểchốnglạinhữngkiểutấncôngđãbiết.NếumộtFirewall
đượcthiếtkếtốtthìcũngcóthểchốnglạiđượcnhữngcuộctấncôngtheocáchhoàntoàn
mớilạ.Ngườiquảntrịphảicậpnhậtnhữngcáchtấncôngmới,kếthợpvớikinhnghiệmđã
biếtđểcóthểbổxungchoFirewall.TakhôngthểcàiFirewallmộtlầnvàsửdụngmãimãi.
FirewallkhôngthểchốnglạiVirus
FirewallkhôngthểgiúpchomáytínhchốnglạiđượcVirus.MặcdùnhiềuFirewallđã
quétnhữngluồngthôngtinđivàonhằmkiểmtratínhhợplệcủanóvớicáctậpluậtđặtra.
TuynhiênFirewallchỉkiểmtrađượcđịachỉnguồn,địachỉđích,sốhiệucổngcuảgóitin
nàychứkhôngthểkiểmtrađượcnộidungcủanó.Đólàchưakểđếncórấtnhiềudạng
VirusvànhiềucáchđểVirusẩnvàodữliệu.
Ngoàira,
● Firewallkhôngđủthôngminhnhưconngườiđểcóthểđọchiểutừngloạithôngtin
vàphântíchnộidungtốthayxấucủanó.
● Firewallchỉcóthểngănchặnsựxâmnhậpcủanhữngnguồnthôngtinkhôngmong
muốnnhưngphảixácđịnhrõcácthôngsốđịachỉ.
● Firewallkhôngbảovệđượccáctấncôngđivòngquanó.
○ Vídụnhưthiếtbịmodems,tổchứctincậy,dịchvụtincậy(SSL/SSH)
● Firewallcũngkhôngthểchốnglạicáccuộctấncôngbằngdữliệu(datadrivent
attack).Khicómộtsốchươngtrìnhđượcchuyểntheothưđiệntử,vượtquafirewallvào
trongmạngđượcbảovệvàbắtđầuhoạtđộngởđây.
● Firewallkhôngthểbảovệchốnglạiviệctruyềncácchươngtrìnhhoặcfilenhiễm
virut.
Tuynhiên,Firewallvẫnlàgiảipháphữuhiệuđượcápdụngrộngrãi!
Tàiliệuthamkhảo:
/> />4%83ngc%C6%A1b%E1%BA%A3nc%E1%BB%A7aFirewall(trang
295 )
/> /> />%87m#.UZ9vmNJYP3I
/>/2128/FirewallCackhainiem,tinhchat,nguyenlyvasudungfirewall.asp
x
/>timhieuvetuongluahoatdongthenaocochebaovemaytinhcuaban/