LỜI MỞ ĐẦU
Trong vai trò là người quản trị hệ thống hay một chuyên gia thiết kế mạng thì
vấn đề an ninh cho mạng máy tính luôn đặt lên hàng đầu. Tường lửa chính là phương
thức giúp chúng ta thực hiện việc này một cách tối ưu nhất. Nó ngăn chặn các truy
nhập bất hợp pháp từ bên ngoài, và lọc các gói tin ra vào mạng nội bộ.
Ngày nay, có rất nhiều công cụ tường lửa thương mại cũng như miễn phí và
Smoothwall là một trong những tường lửa miễn phí được đánh giá rất cao từ cộng
đồng người sử dụng. Tuy miễn phí nhưng Smoothwall mang đầy đủ tính năng của một
tường lửa thương mại.
Mục tiêu của đề tài là tìm hiểu về hệ thống tường lửa và phát triển ứng dụng sử
dụng phấn mềm mã nguồn mở Smoothwall. Cho đến nay phần mềm này chưa được
ứng dụng rộng rãi tại Việt Nam. Chính vì thế em muốn tìm hiểu về phân mềm để góp
phần phát triển phần mềm mã nguồn mở tại Việt Nam.
Hiện nay, trường đã áp dụng hình thức dạy học mới, tiên tiến trên thế giới là E-
learning ( học trực tuyến). Hình thức này cần phải đưa các bài giảng lên Trung tâm dữ
liệu, cùng với đó là các thông tin về sinh viên, giảng viên, các tài liệu phục vụ việc học
và giảng dạy,… đều được đưa lên Trung tâm dữ liệu. Do đó, cần phải đảm bảo cho
Trung tâm dữ liệu được an toàn, bảo mật và ổn định là rất quan trọng.
Vì vậy, em chọn đề tài: “Đảm bảo an toàn cho hệ thống Trung tâm dữ liệu
trường Đại học Điện Lực”.
 Mục tiêu của luân văn
Nâng cao hiệu quả của hệ thống.
Bảo vệ tài nguyên hệ thống và chống lại các xâm nhập trái phép.
Quản lý hệ thống mạng của trường tốt hơn.
 Bố cục báo cáo
Luận văn gồm 3 chương:
Chương 1: Tổng quan về an toàn bảo mật hệ thống trung tâm dữ liệu.
Chương 2: Tìm hiểu và cài đặt hệ thống Smoothwall.
Chương 3: Xây dựng hệ thống mạng cho trường Đại học Điện Lực.
LỜI CẢM ƠN
Trong quá trình thực hiện luận văn này, em luôn nhận được sự hướng dẫn, chỉ

bảo tận tình của Th.S Lê Mạnh Hùng, giảng viên khoa công nghệ thông tin trường Đại
học Điện Lực, thầy đã giành nhiều thời gian hướng dẫn, giúp đỡ tận tình chúng em
trong quá trình thực hiện, hoàn thành luận văn.
Em xin chân thành cảm ơn toàn thể các thầy cô trong khoa Công Nghệ Thông
Tin, những giảng viên đã tận tình giảng dạy và truyền đạt cho em những kiến thức,
kinh nghiệm quý báu trong suốt những năm học tập và rèn luyện tại trường Đại học
Điện Lực.
Xin cảm ơn những bạn bè trong tập thể lớp D4-CNTT cùng những người bạn
trong khoa Công Nghệ Thông Tin đã chung vai sát cánh bên em vượt qua những khó
khăn, thử thách của quãng đời sinh viên, cùng nhau vững bước trên con đường học tập
đầy gian nan, vất vả.
Cuối cùng em xin gửi lời cảm ơn tới bố mẹ, gia đình của em, những người luôn
miệt mài chăm lo, an ủi, động viên em những lúc khó khăn và luôn giành cho em
những tình cảm đặc biệt nhất.
Em xin chân thành cảm ơn !
Hà Nội, ngày 26 tháng 12 năm 2013
Sinh viên thực hiện
Nguyễn Minh Đức
MỤC LỤC
LỜI MỞ ĐẦU
Trang
DANH MỤC HÌNH ẢNH
DANH MỤC BẢNG BIỂU
MỤC TỪ VIẾT TẮT
Từ viết
tắt
Diễn giải
Từ viết
tắt
Diễn giải

DC
Data Center Qos Quality of Service
CSDL Cơ sở dữ liệu Ppp Point – to – Point Protocol
IP Internet Protocol VPN Virtual Private Network
TCP
Transmission Control
Protocol
MB Megabyte
UDP User Datagram Protocol KB Kilobyte
ICMP
Internet Control Message
Protocol
MSN Microsoft Network
DMZ Demilitarized Zone AIM Aol Instant Mesenger
DNS Domain Name System IRC Internet Relay Chat
RAM Random Access Memory NIS
Network Information
Service
DHCP
Dynamic Host
Configuration Protocol
IDS Intrusion Detection System
CD Compact Disc SSH Secure Shell
CD-ROM
Compact Disc Read Only
Memory
URL Uniform Resource Locator
LAN Local Area Network ADSL
Asymmetric Digital
Subscriber Line

FTP File Tranfer Protocol GBIC Gigabit interface converter
Pop3 Post Office Protocol NAT
Network Address
Translation
SIP Session Initition Protocol WAN Wide Area network
PC Personal Computer IPv4 Internet Protocol version 4
SNAT Source – NAT DNAT Destioation – NAT
7
CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN BẢO MẬT HỆ THỐNG
TRUNG TÂM DỮ LIỆU
1.1 Khái niệm Trung Tâm Dữ Liệu (Data Center)
Nơi tập trung nhiều thành phần tài nguyên mật độ cao (hardware, software…)
làm chức năng lưu trữ, xử lý toàn bộ dữ liệu hệ thống với khả năng sẵn sàng và độ ổn
định cao. Các tiêu chí khi thiết kế DC bao gồm:
Tính module hóa cao.
Khả năng mở rộng dễ dàng.
Triển khai các giải pháp mới tối ưu về nguồn và làm mát.
Khả năng hỗ trợ hợp nhất Server và thiết bị lưu trữ mật độ cao.
• Data center là nơi chứa đựng, tập hợp tất cả dữ liệu của doanh
nghiệp, của các tổ chức, ngành… nhằm hỗ trợ việc xử lý thông tin
và ra các quyết định. Với mục đích đó, các số liệu là nguyên liệu
của các phép tính và rất quan trọng.
1.2 An toàn bảo mật thông tin, dữ liệu.
1.2.1 Khái quát bảo mật thông tin
Ngày nay, với sự phát triển mạnh mẽ của công nghệ thông tin, đặc biệt là sự phát
triển của mạng Internet, ngày càng có nhiều thông tin được lưu trữ trên máy vi tính và
gửi đi trên mạng Internet. Và do đó xuất hiện nhu cầu về an toàn và bảo mật thông tin
trên máy tính. Có thể phân loại mô hình an toàn bảo mật thông tin trên máy tính theo
hai hướng chính như sau:
• Bảo vệ thông tin trong quá trình truyền thông tin trên mạng

(Network Security).
• Bảo vệ hệ thống máy tính, và mạng máy tính, khỏi sự xâm nhập
phá hoại từ bên ngoài (System Security).
Từ đó, các khái niệm về biện pháp bảo vệ thông tin dữ liệu cũng không ngừng
đổi mới đảm bảo tính toàn vẹn và bảo mật cho việc lưu trữ và truyền tin trong các máy
tính nối mạng. Tính bảo mật và toàn vẹn đảm bảo cho các dữ liệu trong quá trình
truyền không thể đọc được bởi bất kỳ người dùng trái phép và toàn vẹn dữ liệu đó
trong khi truyền dẫn không bị sửa đổi hoặc tạo ra bởi bất kỳ người dùng trái phép nào
thông qua mạng.
GVHD: ThS. Lê Mạnh Hùng SVTH: Nguyễn Minh Đức
8
1.2.2 Khái niệm
Trung tâm tích hợp dữ liệu trước hết là trung tâm có phòng Server, phòng tin học
có những thiết bị phục vụ cho việc kết nối mạng như Switch, Router, Hub, và có các
máy chủ Webdite, máy chủ CSDL, Hosting, chia sẻ dữ liệu, máy chủ mail để phục vụ
cho việc lưu trữ, sử lý thông tin, … phục vụ cho hoạt động của cơ quan, tổ chức,…
1.2.3 Các loại tấn công cơ bản
Ta có thể phân ra 2 loại tấn công là tấn công thụ động và tấn công chủ động.
Tấn công thụ động: Mục tiêu của Hacker là chỉ nắm bắt và đánh cắp thông tin.
Họ chỉ có thể biết được người gửi, người nhận trong phần IP Header và thống kê được
tần số trao đổi, số lượng, độ dài của thông tin, chứ chúng không thể chỉnh sửa hoặc
làm hủy hoại nội dung thông tin dữ liệu trao đổi. Kiểu tấn công này khó phát hiện
nhưng có thể có biện pháp ngăn chặn hiệu quả. Đối với tấn công chủ động có thể làm
thay đổi nội dung, xóa bỏ, xắp xếp lại thứ tự hoặc làm lại gói tin đó.
Tấn công chủ động: Dễ phát hiện nhưng để ngăn chặn hiệu quả thì khó khăn
hơn nhiều. Một thực tế cho thấy bất kỳ một hệ thống nào dù được bảo vệ chắc chắn
đến đâu cũng không thể đảm bảo là an toàn tuyệt đối. Vì vậy, chúng ta cần phải xây
dựng các chiến lược bảo mật để có thể từng bước bảo vệ hệ thống an toàn hơn.
1.2.4 Nhiệm vụ của người quản trị.
Lĩnh vực bảo mật thông tin đòi hỏi người quản trị mạng phải luôn tìm tòi, nghiên

cứu và đào sâu những kiến thức mới để luôn làm chủ trong mọi tình huống sự cố.
Đồng thời họ phải thiết lập các chiến lược xây dựng hệ thống bảo mật sao cho
hiệu quả và phù hợp với cơ địa của từng hệ thống thông tin của các doanh nghiệp khác
nhau.
Thường xuyên theo dõi, giám sát những luồng thông tin và lượng truy cập vào tài
nguyên mạng. Đề xuất những phương án dự phòng khi hệ thống gặp sự cố hay bị tấn
công. Lập lịch bảo trì hệ thống thường xuyên để giảm thiểu những rủi ro ngoài ý
muốn.
Luôn cập nhật những công nghệ mới về bảo mật thông tin và áp dụng chính một
cách hài hòa và hợp lý. Đó chỉ là điều kiện cần cho những quản trị mạng phải có để
đảm bảo hệ thống thông tin luôn an toàn và bảo mật ở mức độ cao nhất có thể.
GVHD: ThS. Lê Mạnh Hùng SVTH: Nguyễn Minh Đức
9
1.3 Tìm hiểu về tường lửa (Firewall).
1.3.1 Khái niệm về tường lửa (Firewall).

Firewall là một cơ chế bảo vệ mạng tin tưởng intranet với các mạng không tin
tưởng thường là Internet. Firewall bao gồm các cơ cấu nhằm:
Ngăn chặn truy nhập bất hợp pháp.
Kiểm soát thông tin trao đổi từ trong ra và từ Internet vào hệ thống cục bộ.
Ghi nhận và theo dõi thông tin mạng.

Thông tin giao lưu được theo hai chiều.
Chỉ có những thông tin thỏa mãn nhu cầu bảo vệ mới được đi qua.
Bước đầu tiên trong việc cấu hình Firewall là thiết lập các chính sách:
Những dịch vụ nào cần ngăn chặn
Những host nào cần phục vụ
Mỗi nhóm cần truy nhập những dịch vụ nào
Mỗi dịch vụ sẽ được bảo vệ như thế nào


 Ưu điểm:
• Ngăn chặn thông tin từ bên ngoài (Internet) vào trong mạng được
bảo vệ, trong khi cho phép người sử dụng hợp pháp truy nhập tự do
mạng bên ngoài.
• Firewall còn là một điểm quan trọng trong chính sách kiểm soát
truy nhập. Nó là “cửa khẩu” duy nhất nối mạng được bảo vệ với
bên ngoài, do đó có thể ghi nhận mọi cuộc trao đổi thông tin, điểm
xuất phát và đích, thời gian,…
• Firewall có thể phục vụ như một công cụ theo dõi các cuộc tấn
công với ý đồ xấu từ bên ngoài nhằm dự báo khả năng bị tấn công
trước khi cuộc tấn công xẩy ra.
 Hạn chế:
• Firewall không thể đọc hiểu từng loại thông tin và phân tích nội
dung của nó. Firewall chỉ có thể ngăn chặn sự xâm nhập của những
nguồn thông tin đã xác định trước.
GVHD: ThS. Lê Mạnh Hùng SVTH: Nguyễn Minh Đức
10
• Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công
này không “đi qua” nó, như là sự dò rỉ thông tin do dữ liệu sao
chép bất hợp pháp lên đĩa mềm.
• Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu
(data – drivent attack). Khi có một số chương trình được chuyền
theo thư điện tử, vượt qua Firewall vào trong mạng được bảo vệ và
bắt đầu hoạt động ở đây.
• Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu
được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của
các virus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi
khả năng kiểm soát của Firewall.
• Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu được áp dụng rộng
rãi.

1.3.2 Các thành loại Firewall và cơ chế hoạt động.
Một Firewall chuẩn bao gồm một hay nhiều các loại sau đây:
• Bộ lọc gói (Packet – Fileter).
• Cổng ứng dụng (Application – level Gateway hay Proxy Server).
• Cổng vòng (Circuite level Gateway).
a) Bộ lọc gói (Packet Filtering)
 Nguyên lý hoạt động:
Hình 11. Sơ đồ làm việc của Packet Filtering.
Bộ lọc gói cho phép hay từ chối mỗi Packet mà nó nhận được. Nó kiểm tra toàn
bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thỏa mãn một trong số các luật
lệ của lọc gói hay không. Các luật lệ lọc gói này là dựa trên các thông tin ở đầu mỗi
Packet (Packet Header), dùng để cho phép truyền các Packet đó ở trên mạng. Đó là:
Địa chỉ IP nơi xuất phát (IP Source address).
GVHD: ThS. Lê Mạnh Hùng SVTH: Nguyễn Minh Đức
11
Địa chỉ IP nơi nhận (IP Destination address).
Những thủ rục truyền tin (TCP, UDP, ICMP, IP tunnel).
Cổng TCP/UDP nơi xuất phát (TCP/UDP souree port).
Cổng TCP/UDP nơi nhận (TCP/UDP destination port).
Dạng thông báo ICMP (ICMP message type).
Giao diện Packet đến (Incomming interface of Packet).
Giao diện Packet đi (Outcomming interface of Packet).
 Ưu điểm
Đa số các hệ thống Firewall đều sử dụng bộ lọc gói. Một trong những ưu điểm
của phương pháp dùng bộ lọc gói là chi phí thấp vì cơ chế lọc gói đã được bao gồm
trong mỗi phần mềm Router.
Ngoài ra, bộ lọc gói là trong suốt đối với người sử dụng và các ứng dụng, vì vậy
nó không yêu cầu sự huấn luyện đặc biệt nào cả.
 Hạn chế
Việc định nghĩa các chế độ lọc gói là một việc khá phức tạp, nó đòi hỏi người

quản trị mạng cần có hiểu biết chi tiết về các dịch vụ Internet, các dạng Packet Header,
và các giá trị cụ thể mà họ có thể nhận trên mỗi trường. Khi đòi hỏi về sự lọc càng lớn,
các luật lệ về lọc càng trở nên dài và phức tạp, rất khó để quản lý và điều khiển.
b) Cổng ứng dụng (Application – Level Gateway)
 Nguyên lý hoạt động
Một cổng ứng dụng thường được coi như là một pháo đài (bastion Host), bởi vì
nó được thiết kế đặc biệt để chống lại sự tấn công từ bên ngoài. Những biện pháp đảm
bảo an ninh của một Bastion Host là:
Bastion Host luôn chạy các version an toàn (secure version) của các phần mềm
hệ thống (Operating system). Các version an toàn này được thiết kế chuyên cho mục
đích chống lại sự tấn công vào hệ điều hành (Operating System), cũng như là đảm bảo
sự tích hợp Firewall.
Bastion Host có thể yêu cầu nhiều mức độ xác thực khác nhau, Ví Dụ như user
password hay smart card.
Mỗi Proxy được đặt cấu hình để cho phép truy nhập chỉ một số các máy chủ nhất
định.
GVHD: ThS. Lê Mạnh Hùng SVTH: Nguyễn Minh Đức
12
Mỗi Proxy duy trì một quyển nhật ký ghi chép lại toàn bộ chi tiết của giao thông
qua nó, mỗi sự kết nối, khoảng thời gian kết nói. Nhật ký này rất có ích trong việc tìm
theo dấu vết hay ngăn chặn kẻ phá hoại.
Mỗi Proxy đều độc lập với các proxies khác trên Bastion Host. Điều này cho
phép dễ dàng quá trình cài đặt một Proxy mới, hay tháo gỡ một Proxy đang có vấn đề.
 Ưu điểm
Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ trên
mạng, bởi vì ứng dụng Proxy hạn chế bộ lệnh và quyết định những máy chủ nào có thể
truy nhập được bởi các dịch vụ.
Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt, và nó có nhật ký ghi chép
lại thông tin về truy nhập hệ thống.
 Hạn chế

Yêu cầu các users biến đổi (modify) thao tác, hoặc modify phần mềm đã cài đặt
trên máy Client cho truy nhập vào các dịch vụ Proxy. Ví Dụ, Telnet truy nhập qua
cổng ứng dụng đòi hỏi hai bước để nối với máy chủ chứ không phải là một bước thôi.
Tuy nhiên, cũng đã có một số phần mềm Client cho phép ứng dụng trên cổng ứng
dụng là trong suốt, bằng cách cho phép user chỉ ra máy đích chứ không phải cổng ứng
dụng trên lệnh Telnet.
c) Cổng vòng (Circuit-Level Gateway)
Cổng vòng là một chức năng đặc biệt có thể thực hiện được bởi một cổng ứng
dụng. Cổng vòng đơn giản chỉ chuyển tiếp (relay) các kết nối TCP mà không thực hiện
bất kỳ một hành động xử lý hay lọc gói nào.
Hình 12. Kết nối qua cổng vòng( Circuit-Level Gateway).
Cổng vòng thường được sử dụng cho những kết nối ra ngoài, nơi mà các quản trị
mạng thật sự tin tưởng những người dùng bên trong. Ưu điểm lớn nhất là một Bastion
Host có thể được cấu hình như là một hỗn hợp cung cấp. Cổng ứng dụng cho những
kết nối đến, và cổng vòng cho các kết nối đi. Điều này làm cho hệ thống bức tường lửa
GVHD: ThS. Lê Mạnh Hùng SVTH: Nguyễn Minh Đức
13
dễ dàng sử dụng cho những mạng nội bộ muốn trực tiếp truy nhập tới các dịch vụ
Internet, trong khi vẫn cung cấp chức năng Bastion Host để bảo vệ mạng nội bộ từ
những sự tấn công bên ngoài.
1.3.3 Những mô hình Firewall
 ! "#
Dual–homed Host là hình thức xuất hiện đầu tiên trong cuộc đấu để bảo vệ mạng
nội bộ. Dual–homed Host là một máy tính có hai giao tiếp mạng một nối với mạng cục
bộ và một nối với mạng ngoài (Internet).
Hình 13. Sơ đồ kiến trúc Dual-homed Host
 Ưu điểm của Dual–homed Host:
• Cài đặt dễ dàng, không yêu cầu phần cứng hoặc phần mềm đặc
biệt.
• Dual–homed Host chỉ yêu cầu cấm khả năng chuyển các gói tin, do

vậy, thông thường trên các hệ Unix, chỉ cần cấu hình và dịch lại
nhân (Kernel) của hệ điều hành là đủ.
 Nhược điểm của Dual–homed Host:
• Không đáp ứng được những yêu cầu bảo mật ngày càng phức tạp,
cũng như những hệ phần mềm mới được tung ra thị trường.
GVHD: ThS. Lê Mạnh Hùng SVTH: Nguyễn Minh Đức
14
• Không có khả năng chống đỡ những cuộc tấn công nhằm vào chính
bản thân nó, và khi Dual–homed Host đó bị đột nhập, nó sẽ trở
thành đầu cầu lý tưởng để tấn công vào mạng nội bộ.
$!% "#
Kiến trúc này kết hợp 2 kỹ thuật đó là Packet Filtering và Proxy Services.
Packet Filtering: Lọc một số loại dịch vụ mà hệ thống muốn cung cấp sử dụng
Proxy Server, bắt người sử dụng nếu muốn dùng dịch vụ thì phải kết nối đến Proxy
Server mà không được bỏ qua Proxy Server để nối trực tiếp với mạng bên trong/bên
ngoài (internal/external network), đồng thời có thể cho phép Bastion Host mở một số
kết nối với internal/external host.
Proxy Service: Bastion Host sẽ chứa các Proxy Server để phục vụ một số dịch vụ
hệ thống cung cấp cho người sử dụng qua Proxy Server.
Hình 14. Sơ đồ kiến trúc Screened Host
 Ưu điểm
• Kiến trúc screened host hay hơn kiến trúc dual–homed host ở một
số điểm cụ thể sau:
• Dual–Homed Host: Khó có thể bảo vệ tốt vì máy này cùng lúc
cung cấp nhiều dịch vụ, vi phạm qui tắc căn bản là mỗi phần tử hay
GVHD: ThS. Lê Mạnh Hùng SVTH: Nguyễn Minh Đức
15
thành phần nên giữ ít chức năng nếu có thể được (mỗi phần tử nên
giữ ít chức năng càng tốt), cũng như tốc độ đáp ứng khó có thể cao
vì cùng lúc đảm nhận nhiều chức năng.

• Screened Host: Đã tách chức năng lọc các gói IP và các Proxy
Server ở hai máy riêng biệt. Packet Filtering chỉ giữ chức năng lọc
gói nên có thể kiểm soát, cũng như khó xảy ra lỗi (tuân thủ qui tắc
ít chức năng). Proxy Servers được đặt ở máy khác nên khả năng
phục vụ (tốc độ đáp ứng) cũng cao.
 Nhược điểm
• Cũng tương tự như kiến trúc Dual–Homed Host khi mà Packet
Filtering system cũng như Bastion Host chứa các Proxy Server bị
đột nhập vào (người tấn công đột nhập được qua các hàng rào này)
thì lưu thông của internal network bị người tấn công thấy.
• Từ khuyết điểm chính của 2 kiến trúc trên ta có kiến trúc thứ 3 sau
đây khắc phục được phần nào khuyết điểm trên .
$!$&#
Hình 15. Sơ đồ kiến trúc Screened Subnet Host.
Với kiến trúc này, hệ thống này bao gồm hai Packet–Filtering Router và một
Bastion Host (hình 2.7). Kiến trúc này có độ an toàn cao nhất vì nó cung cấp cả mức
bảo mật Network và Application trong khi định nghĩa một mạng perimeter network.
Mạng trung gian (DMZ) đóng vai trò như một mạng nhỏ, cô lập đặt giữa Internet và
GVHD: ThS. Lê Mạnh Hùng SVTH: Nguyễn Minh Đức
16
mạng nội bộ. Cơ bản, một DMZ được cấu hình sao cho các hệ thống trên Internet và
mạng nội bộ chỉ có thể truy nhập được một số giới hạn các hệ thống trên mạng DMZ,
và sự truyền trực tiếp qua mạng DMZ là không thể được.
 Ưu điểm
Kẻ tấn công cần phá vỡ ba tầng bảo vệ: Router ngoài, Bastion Host và Router
trong.
 Bởi vì Router ngoài chỉ quảng bá DMZ Network tới Internet, hệ thống mạng nội bộ là
không thể nhìn thấy (invisible). Chỉ có một số hệ thống đã được chọn ra trên DMZ là
được biết đến bởi Internet qua routing table và DNS information exchange ( Domain
Name Server ).

'#(!) *+),
• DMZ (khu vực phi quân sự) là một vùng mạng trung lập giữa mạng
nội bộ và mạng internet, là nơi chứa các thông tin cho phép người
dùng từ internet truy xuất vào và chấp nhận các rủi ro tấn công từ
internet. Hệ thống firewall này có độ an toàn cao nhất vì nó cung
cấp cả mức bảo mật network và application.
Hình 16. Vùng DMZ được tách riêng với mạng nội bộ.
 Ưu điểm:
Kẻ tấn công cần phá vỡ ba tầng bảo vệ: router ngoài, bastion host và router trong.
GVHD: ThS. Lê Mạnh Hùng SVTH: Nguyễn Minh Đức
17
Router ngoài chỉ quảng cáo DMZ network tới Internet, hệ thống mạng nội bộ là
không thể nhìn thấy (invisible). Chỉ có một số hệ thống đã được chọn ra trên DMZ là
được biết đến bởi Internet qua routing table và DNS information exchange (Domain
Name Server).
-$.!/01"2 % "#
Do các yêu cầu về tốc độ đáp ứng (performance) và dư thừa (redundancy), cũng
như tách biệt các Servers khác nhau.
Hình 17. Sơ đồ kiến trúc sử dụng 2 Bastion Host.
Với cách này thì tốc độ đáp ứng cho những người sử dụng bên trong (local user)
một phần nào đó không bị ảnh hưởng (bị làm chậm đi) bởi hoạt động của những người
sử dụng bên ngoài (external user).
Sử dụng nhiều Bastion Host trong trường hợp muốn cung cấp dịch vụ cho nhiều
mạng khác nhau, và loại dữ liệu cung cấp cho mỗi mạng cũng khác nhau, khi mà một
Server nào đó bị đột nhập vào hay bị hỏng thì Server khác vẫn hoạt động tốt.
1.4 Tìm hiểu hệ thống Proxy
Proxy cung cấp cho người sử dụng truy xuất Internet với những host đơn. Những
Proxy server phục vụ những nghi thức đặc biệt hoặc một tập những nghi thức thực thi
trên dual-homed host hoặc Bastion Host. Những chương trình Client của người sử
dụng sẽ qua trung gian Proxy Server thay thế Server thật sự mà người sử dụng cần

giao tiếp.
1.4.1 Tác dụng và chức năng
Để đáp ứng nhu cầu của người sử dụng khi cần truy xuất đến ứng dụng được
cung cấp bởi Internet nhưng vẫn đảm bảo được an toàn cho hệ thống cục bộ, trong hầu
GVHD: ThS. Lê Mạnh Hùng SVTH: Nguyễn Minh Đức
18
hết những phương pháp được đưa ra để giải quyết điều này là cung cấp một host đơn
truy xuất đến Internet cho tất cả người sử dụng. Khi truy xuất đến Internet thì họ
không thể thực hiện những công việc đó một cách trực tiếp, phải login vào Dual-
Homed Host, thực hiện tất cả những công việc ở đây, và sau đó bằng phương pháp nào
đó chuyển đổi những kết quả đạt được của công việc trở lại Workstation sở hữu.
Hình 18. Kết nối sử dụng Application Level Gateway.
Proxy Application chính là chương trình trên Application – level Gateway
Firewall hành động trên hình thức chuyển đổi những yêu cầu người sử dụng thông qua
Firewall, tiến trình này được thực hiện trình tự như sau:
• Thành lập một kết nối đến Proxy Applicaltion trên Firewall.
• Proxy Applicaltion thu nhập thông tin về việc kết nối và yêu cầu
của người sử dụng.
• Sử dụng thông tin để xác định yêu cầu có được chấp nhận không,
nếu chấp nhận, Proxy sẽ tạo sự kết nối khác từ Firewall đến máy
đích.
• Sau đó thực hiện sự giao tiếp trung gian, truyền dữ liệu qua lại giữa
Client và Server.
1.4.2 Kết nối thông qua Proxy (Proxying)
Proxing được thực hiện khác nhau với từng dịch vụ, có một vài dịch vụ dễ dàng
cài đặt hoặc tự động, nhưng vài dịch vụ lại rất khó khăn. Tuy nhiên, hầu hết các dịch
vụ đều yêu cầu những phần mềm Proxy Server và Client tương ứng.
GVHD: ThS. Lê Mạnh Hùng SVTH: Nguyễn Minh Đức
19
Hình 19. Kết nối giữa người dùng (Client) với Server qua Proxy.

1.4.3 Các dạng Proxy
Dạng kết nối trực tiếp
Phương pháp đầu tiên được sử dụng trong kỹ thuật Proxy là cho người sử dụng
kết nối trực tiếp đến Firewall Proxy, sử dụng cho địa chỉ của Firewall và số cổng của
Proxy, sau đó Proxy hỏi người sử dụng cho địa chỉ của Host hướng đến, đó là một
phương pháp Brute Force sử dụng bởi Firewall một cách dễ dàng, và đó cũng là một
vài nguyên nhân tại sao nó là phương pháp ít thích hợp.
Dạng thay đổi Client
Phương pháp kế tiếp sử dụng Proxy setup phải thêm vào những ứng dụng tại máy
tính của người sử dụng. Người sử dụng với ứng dụng đó hành động chỉ như những ứng
dụng không sửa đổi. Người sử dụng cho địa chỉ của host đích hướng tới. Những ứng
dụng thêm vào biết được địa chỉ Firewall từ file config cục bộ, setup sự kết nối đến
ứng dụng Proxy trên Firewall, và truyền cho nó địa chỉ cung cấp bởi người sử dụng.
Proxy vô hình
Trong mô hình này, không cần phải có những ứng dụng thêm vào với người sử
dụng và không phải kết nối trực tiếp đến Firewall hoặc biết rằng Firewall có tồn tại.
Tất cả sự kết nối đến mạng bên ngoài được chỉ đường thông qua Firewall. Chúng tự
động được đổi hướng đến ứng dụng Proxy đang chờ. Firewall đóng vai trò như một
Host đích. Khi kết nối được tạo ra Firewall Proxy, Clinet nghĩ rằng nó được kết nối
với Server thật. Nếu được phép Proxy sau đó tạo kết nối thứ hai đến Server thật.
GVHD: ThS. Lê Mạnh Hùng SVTH: Nguyễn Minh Đức
20
1.5 Các hình thức tấn công và giải pháp cho hệ thống Trung Tâm Dữ Liệu
1.5.1 Các hình thức tấn công
 Vô tình
Hiểm họa vô tình là khi người sử dụng click vào các thông báo mà không biết nội
dung của nó là gì, vô tình chỉnh sửa, thay đổi hoặc xóa bỏ các trạng thái, các dữ liệu
mà không biết nó ảnh hưởng xấu, phá hỏng hoặc làm thay đổi Trung Tâm Dữ Liệu.
 Cố ý
Tấn công cố ý (có chủ đích) là kẻ phá hoại đã có ý đồ, mục đích đánh phá vào

Trung Tâm Dữ Liệu.
 Thụ động
Mục tiêu của Hecker là chỉ nắm bắt và đánh cắp thông tin. Đối với tấn công chủ
động có thể làm thay đổi nội dung, xóa bỏ, xắp xếp lại thứ tự hoặc làm lại gói tin đó.
 Chủ động
• Dễ phát hiện nhưng để ngăn chặn hiệu quả thì khó khăn hơn nhiều.
Chúng ta cần phải xây dựng các chiến lược bảo mật để có thể từng
bước bảo vệ hệ thống an toàn hơn.
1.5.2 Giải pháp cho Trung tâm dữ liệu
-13 4##5026# 070#8!6
Bảo vệ dữ liệu tránh được những truy cập trái phép.
Bảo vệ dữ liệu khỏi bị thay đổi không mong muốn.
Bảo vệ trực tiếp dữ liệu bằng mật mã.
-13 # #5026
Bảo toàn thông tin Dữ liệu chính là việc bảo vệ tính toàn vẹn Dữ liệu: ở đây là
tránh được những truy cập trái phép đến Dữ liệu, từ đó thay đổi thông tin trong Dữ
liệu.
-9#:6
Nhiệm vụ chủ yếu là xác thực đúng đối tượng và quyền truy cập vào Dữ liệu của
đối tượng đến các dữ liệu được phép.
-'$;"0#<4=6# 070#8!6
Nhiệm vụ chủ yếu của chức năng này đảm bảo cho việc truy xuất của các đổi
tượng đến Dữ liệu luôn được thực hiện, không bị cản trở, ảnh hưởng bởi các yếu tố
GVHD: ThS. Lê Mạnh Hùng SVTH: Nguyễn Minh Đức
21
bên ngoài như kẻ khác giả mạo, ngăn chặn việc truy cập của người dùng hợp pháp và
đến dữ liệu được lưu trữ trong Trung tâm dữ liệu.
--" ##502 >70#8!6
• Ở đây việc kiểm soát thông tin vào, ra là kiểm soát việc truy xuất
thông tin trong Trung tâm dữ liệu.

- Kiểm soát thông tin vào, ra được chia làm ba loại chính: Kiểm soát thông tin truy
nhập, kiểm soát luồng và kiểm soát suy diễn.
 Kiểm soát truy nhập
Một hệ thống kiểm soát truy nhập bao gồm có 3 phần chính sau:
• Phần 1: Các chính sách an ninh và quy tắc truy nhập (security
policies, access rules).
• Phần 2: Cơ chế an ninh hay các thủ tục kiểm soát (control
procedures).
• Phần 3: Là các phương tiện và công cụ thực hiện việc kiểm soát
truy nhập hay còn gọi là hạ tầng cơ sở (bao gồm có kiểm soát trực
tiếp và tự động).
 Kiểm soát lưu lượng
• Ở đây chúng ta hiểu lưu lượng chính là “luồng” thông tin di chuyển
giữa hai đối tượng. Do đó việc kiểm soát lưu lượng chính là việc
kiểm tra luồng thông tin có “đi” từ đối tượng này sang đối tượng
khác hay không.
 Kiểm soát suy diễn
Ngay từ cái tên gọi thì việc suy diễn chính là việc lấy thông tin thông qua việc
tập hợp các thông tin khác, hay phân tích từ thông tin khác.
1.6 Kết luận
Hệ thống Trung tâm dữ liệu (Data Center) là kho lưu trữ thông tin, dữ liệu rất
quan trọng và cần thiết cho một trường học, doanh nghiệp,… Vì vậy, việc đảm bảo an
toàn và bảo mật cho hệ thống Trung tâm dữ liệu là vô cùng cần thiết.
Firewall là lựa chọn của rất nhiều hệ thống Trung tâm dữ liệu hiện nay. Firewall
có rất nhiều cách thức bảo mật khác nhau như:
• Bộ lọc gói (Packet – Fileter).
• Cổng ứng dụng (Application – level Gateway hay Proxy Server).
• Cổng vòng (Circuite level Gateway).
Một số giải pháp cho Trung tâm dữ liệu:
GVHD: ThS. Lê Mạnh Hùng SVTH: Nguyễn Minh Đức

22
• 13 4##5026# 070#8!6
• 13 # #5026
• " ##502 >70#8!6
GVHD: ThS. Lê Mạnh Hùng SVTH: Nguyễn Minh Đức
23
CHƯƠNG 2: TÌM HIỂU VÀ CÀI ĐẶT HỆ THỐNG SMOOTHWALL
2.1 Giới thiệu hệ thống Smoothwall
SmoothWall Express là một tường lửa mã nguồn mở hoạt động trên các bản phân
phối của hệ điều hành GNU/Linux. SmoothWall được cấu hình thông qua Web và
không đòi hỏi người sử dụng phải biết về Linux để cài đặt và sử dụng
SmoothWall Express cho phép bạn dễ dàng xây dựng một bức tường lửa kết nối
bảo mật một mạng máy tính đến Internet
Hình 2.1. Mô hình mạng sử dụng Smoothwall.
2.2 Cài đặt SmoothWall Express
2.2.1 Cấu hình yêu cầu
• Cấu hình tối thiểu đề nghị để cài đặt SmoothWall Express:
Bảng 2.1: Bảng cấu hình tối thiểu Smoothwall.
Phần cứng Thông tin
Vi xử lý Intel Pentium 200
Ram 128 Mb
Đĩa cứng 2Gb còn trống, hỗ trợ IDE và SCSI
Card mạng Hỗ trợ card mạng NIC
Keyboard,
CD-ROM,
Monitor
Chỉ cần khi cài đặt
2.2.2 Các bước cài đặt
• Lưu ý trước khi cài đặt
GVHD: ThS. Lê Mạnh Hùng SVTH: Nguyễn Minh Đức

24
• Không cài đặt SmoothWall trên máy chính hay là máy trạm duy
nhất vì tất cả dữ liệu trên máy trạm sẽ bị mất. Trước khi cài đặt cần
bảo chắc rằng tất cả dữ liệu đã được sao lưu
• Các bước cài đặt
 Tải bản cài đặt về từ website và gi ra đĩa CD để cài đặt
 Bỏ đĩa CD vào máy cần cài đặt tường lửa và reboot máy tính. Vào chế độ boot CD để
tiến hành cài đặt.
 Các màn hình thông báo xuất hiện, Nhấn Enter để tiếp tục.
 Một hộp thoại vế chính sách bảo mật xuất hiện
Hình 2.2. Hộp thoại về chích sách bảo mật.
Chọn chích sách phù hợp với yêu cầu của mạng rồi OK
 Một menu cấu hình mạng xuất hiện
Hình 2.3. Menu cấu hình mạng.
 Chọn Network configuration type rồi OK
GVHD: ThS. Lê Mạnh Hùng SVTH: Nguyễn Minh Đức
25
Hình 2.4. Hộp thoại cấu hình mạng
• GREEN: tương ứng với mạng LAN
• RED: tương ứng với mạng Internet
• ORANGE: tương ứng với vùng DMZ
• PURPLE: tương ứng với mạng Wireless
Chọn mạng phù hợp với yêu cầu rồi OK
 Sau khi cấu hình thông tin cho các card mạng, các hợp thoại về password xuất hiện
 Đặt password cho root và admin. Kết thúc quá trình cài đặt
2.2.3 Truy cập SmoothWall
• Sử dụng một trình duyệt Internet bất kỳ từ máy trạm truy cập vào
địa chỉ của Smoothwall, ví dụ: https://192.168.10.1:81 nhập vào
username và password mà bạn đã cài đặt. Trang chủ mặt định xuất
hiện

Hình 2.5. Trang chủ mặc định của Smoothwall
GVHD: ThS. Lê Mạnh Hùng SVTH: Nguyễn Minh Đức