Tải bản đầy đủ (.docx) (32 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Quản trị mạng

Nghiên cứu các giải pháp checkpoint trong việc giám sát an ninh mạng doanh nghiệp

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (773.78 KB, 32 trang )

TTTN ĐẠI HỌC 2010-2015

Mục Lục

SVTH : MSSV :N10234009

Trang 1


TTTN ĐẠI HỌC 2010-2015

Liệt kê hình
Hình 1.1 Scan port theo phương pháp SYN Scan
Hình 1.2 Scan port theo phương pháp ACK Scan
Hình 2.1 Filewall cứng
Hình 3.1 Mô hình checkpoint
Hình 3.2 Install Checkpoint Gaia R77.
Hình 3.3 Wellcom Checkpoint.
Hình 3.4 Phân vùng ổ đĩa.
Hình 3.5 Đặt password cho tài khoản admin.
Hình 3.6 Đặt các thông số cho máy.
Hình 3.7 Hoàn thành cài đặt và khởi động lại.
Hình 3.8 Đăng nhập
Hình 3.9 Kiểm tra lại cấu hình IP
Hình 3.10 Đặt lại tài khoản
Hình 3.11 Finish
Hình 3.12 Giao diện quản lý Web UI Checkpoint
Hình 3.13 Giao diện Quản lý Checkpoint SmartDashboard R77
Hình 3.14 Đăng nhập SmartDashboard
Hình 3.15 Giao diện cấu hình dịch vụ Firewall
Hình 3.16 Giao diện cấu hình dịch vụ Application & URL Filtering



SVTH : MSSV :N10234009

Trang 2


TTTN ĐẠI HỌC 2010-2015

Trích Yếu
Chúng ta đang sống trong một thời đại mới, thời đại phát triển rực rỡ của CNTT. CNTT
đã ở một bước phát triển cao đó là số hóa tất cả dữ liệu thông tin, luân chuyển mạnh mẻ
và kết nối tất cả chúng ta lại với nhau. CNTT đã và đang ảnh hưởng sâu rộng tới mọi lĩnh
vực của cuộc sống. Đối với các cá nhân và Doanh nghiệp, CNTT trở thành công cụ để
tang năng lực cá nhân và hiệu suất làm việc của Doanh nghiệp, mang lại hiệu quả kinh tế
cao. Đặc biệt đối với các doanh nghiệp CNTT đóng vai trò nền tảng quan trọng trong việc
khai thác các ứng dụng nghiệp vụ.
Ngày nay cùng với sự phát triển mạnh mẻ của CNTT củng như những lợi ích to lớn mà
nó mang lại thì củng không ít phần tử lợi dụng các lỗ hổng của các tổ chức doanh nghiệp
thâm nhập cài mã độc, virut, đánh cắp thông tin qua mạng, thông tin cá nhân trực tiếp hay
gián tiếp… để phá hoại hệ thống, lấy cắp thông tin để phục vụ cho lợi ích cá nhân. Cho
nên Phát hiện ngăn chặn sự tấn công của các hacker củng như đảm bảo an toàn thông tin
mạng là một vấn đề quan trọng cấp thiết cần được nghiên cứu và áp dụng. Trong những
năm qua, một hệ thống bảo vệ đã được nghiên cứu và phát triển để các hệ thống phần
mềm có thể ngăn ngừa những sự tấn công từ bên ngoài internet vào hệ thống thông tin, đó
là filewall. Mà Checkpoint là một nhà cung cấp hang đầu về các sản phẩm bảo mật
internet, đặc biệt là các dòng filewall cho doanh nghiệp. Mặc dù không phải là tuyệt đối
an toàn, nhưng nó củng cung cấp các giải phấp bảo mật để ngăn ngừa những kẻ tấn công
khá hiệu quả.
Trong quá trình nghiên cứu đề tài “Nghiên cứu các giải pháp Checkpoint trong việc giám
sát An ninh mạng Doanh nghiệp” từ 16/6/2014 đến 1/8/2014 tôi sẻ giới thiệu tổng quan

về xu hướng quản trị và bảo mật mạng hiện nay cùng với việc tìm hiểu khảo sát các vấn
đề An ninh mang Doanh nghiệp, cơ chế bảo mật củng như hiệu suất làm việc của
Checkpoint trong hệ thống mạng. Đáp ứng nhu cầu ngày càng cao của bảo mật. Qua đó
thiết lập một hệ thống bảo mật tối ưu để giảm thiểu các mối đe dọa từ internet củng như
quản lý và giám sát an ninh mạng trong doanh nghiệp.
Tôi cam kết kết quả đạt được do tồi tự thực hiện dưới sự dướng dẫn của thầy Võ Đỗ
Thắng. Các bước của quá trình thực hiên đã được tồi ghi lại bằng video:
Clip giới thiệu bản thân />v=XUu4kPvWcg0&feature=youtu.be
Clip 10->20' khó khăn thuận lợi : />v=_FISaOHwAjk#t=21
Clip cài đặt và cấu hình: />
SVTH : MSSV :N10234009

Trang 3


TTTN ĐẠI HỌC 2010-2015

CHƯƠNG 1: TỔNG QUAN VỀ BẢO MẬT
Trong chương này chúng ta sẻ trình bày các khái niệm chung về an toàn an ninh mạng,
tình hình thực tế. Các mô hình mạng và các giao thức được sử dụng để truyền thông trên
mạng.
Các dạng tấn công, một số kỹ thuật tấn công đang được sủ dụng phổ biến hiện nay, từ đó
đưa ra các chiến lược bảo vệ hệ thống khỏi nguy cơ này.

1.1 Tình hình thực tế:
Mạng internet – Mạng toàn cầu kết nối các máy tính cung cấp các dịch vụ như WWW,
Email…là nền tảng cho dịch vụ điện tử ngày càng phát triển nhanh chóng. Internet đã và
đang trở thành một phần không thể thiếu được trong cuộc sống hang ngày. Và cùng với nó
là những sự nguy hiểm mà mạng internet mạng lại.
Những kể tấn công ngày càng tinh vi hơn trong các hoạt động của chúng. Thông tin về

các lổ hổng bảo mật, các kiểu tấn công được trình bày công khai trên mạng. Không kể
những kẻ tấn công chuyên nghiệp, những người có trình độ cao mà chỉ cần một người có
một chút hiểu biết về lập trình, về mạng khi đọc các thông tin này là có thể trở thành một
hacker. Chính vì lý do đó mà số vụ tấn công trên mạng ngày càng tang cao với nhiều
phương thức mới.
Những năm gần đây tình hình bảo mật mạng máy tính đã trở nên nóng bỏng hơn bao giờ
hết khi hang loạt vụ tấn công, những lỗ hổng bảo mật được phát hiện hoặc bị lợi dụng tấn
công. Theo Arthur Wong – giám điều hành Security – trung bình một tuần, phát hiện ra
hơn 30 lỗ hổng bảo mật mới. Theo điều tra của SecurityFocus trong số 10.000 khách hang
của hang có cài đặt phần mềm phát hiện xâm nhập. Những phần mềm web server như IIS
của Microsoft là mục tiêu phổ biến nhất của các cuộc tấn công.
Sử dụng filewall để ảo vệ mạng nội bộ, tránh sự tấn công từ bên ngoài là một giải pháp
hữu hiệu, đảm bảo được các yếu tố:
+ An toàn cho sự hoạt động của toàn hệ thống mạng.
+ Bảo mật cao trên nhiều phương diện.
+ Khả năng kiểm soát cao.
+ Mềm dẻo và dể sử dụng
+ Trong suốt với người dùng.
+ Đảm bảo kiến trúc mở.
SVTH : MSSV :N10234009

Trang 4


TTTN ĐẠI HỌC 2010-2015

1.2 Các lỗ hổng trên mạng:
Các mật khẩu yếu:
Mọi ngừoi thường có thói quen sử dụng mật khẩu theo tên của người thân hay những thứ
quen thuộc với bản thân, việc này giúp dể nhớ nhưng vô tình tạo điều kiện cho những kẻ

tấn công có thể đoán ra. Củng như việc sử dụng mật khẩu yếu như ngắn và chỉ toàn số
củng là một mối nguy hiểm vì nó có thể bị hacker dể dàng dò ra. Vậy nên ta cần sử dụng
những mật khẩu khó đoán, đủ dài và đủ khó ví dụ như dài 16 ký tự bao gồm cả số, cả chữ
và cả ký tự đặc biệt.
Dữ liệu không được mã hóa:
Các gói dữ liệu truyền đi trên mạng thường dể dàng bị bị bắt được , xem trộm và sữa
chữa… với những dữ liệu không được mã hóa, những kẻ tấn công sẻ chẳng mất bao nhiêu
thời gian để có thể hiểu được chúng. Vậy nên ta cần phải mã hóa các thông tin truyền đi,
đặc biệt là các thông tin quan trọng và nhạy cảm.
Các file chia sẻ:
Việc chia sẻ file trên mạng rất phổ biến nên vấn đề việc bảo mật và phần quyền tốt cho
các file này là điều rất quan trọng nếu không muốn bị xem trộm.

1.3 Các mục tiêu cần bảo vệ:
Để có thể bảo vệ tốt hệ thống và chống lại các cuộc tấn công của hacker. Chúng ta cần
phải biết mình cần bảo vệ những gì, và biết nhiều kiểu tấn công khác nhau từ đó mới có
được những chiến lược bảo vệ đúng đắn.

1.3.1 Dữ liệu
Mục tiêu chính sách an toàn của một hệ thống thông tin củng như đối với dữ liệu bao
gồm:
+ Tính bí mật
+ Tính toàn vẹn
+ Tính sẵn sang
Thông thường thì ta chủ yếu tập trung bảo vệ tính bí mật của dữ liệu, những thông tin có
tính nhạy cảm cao…Khi dữ liệu bị sao chép bởi những người không có quyền thì ta nói
dữ liệu bị mất tính bí mật.
Khi dữ liệu bị sữa đổi một cách bất ngờ bởi người không có quyền thì khi đó ta nói dữ
liệu bị mất tính toàn vẹn.
Tính sãn sàng là tính rất quan trọng nhất đối với các tổ chức hoạt động cần sử dụng nhiều

thông tin. Khi người sử dụng muốn xem một thông tin nào đó nhưng hệ thống không thể
đáp ứng ngay vì một lý do nào đó thì ta nói dữ liệu mất đi tính sẵn sàng.
SVTH : MSSV :N10234009

Trang 5


TTTN ĐẠI HỌC 2010-2015

1.3.2 Tài nguyên
Ví dụ như CPU hay bộ nhớ khi chúng bị những người không có quyền sử dụng, khai thác
thì ta nói tài nguyên đó bị xâm phạm.

1.3.3 Danh tiếng
Bảo vệ danh tiếng là một điều quá hiển nhiên đối với các cá nhân tổ chức. Không chỉ trên
mạng internet mà cả trong cuốc sống hang ngày chúng ta đều cần bảo vệ danh tiếng. vì nó
là thứ rất khó xây dựng nhưng rất dể mất đi và khi đã mất đi thì rất khó xây dựng lại.

1.4 Các dạng tấn công phổ biến
1.4.1 Port scan
Giới thiệu: Phương pháp scan port thường được thực hiện trực tiếp trên một host hoặc
một mạng nhằm mục đích nhận biết các dịch vụ mà host đó cung cấp. Ví dụ: web server
thường mở port 80, FTP server thường mở port 21…Attacker có thể dựa trên thông tin
thu nhận được để tìm cách tấn công, khai thác vào server đó.
Nguyên Lý: Dựa trên phương thức truyền thông TCP ta có thể scan xem server mở port
nào củng như đóng port nào.
Hai phương pháp scan port phổ biến:
SYS Scan: Máy attacker sẻ gửi hang loạt gói tin TCP có port đích lần lượt là các port cần
scan của server cần khai thác. Đặc điểm của các gói tin TCP này là chỉ bật cờ SYN như
bước đầu trong quá trình bắt tay 3 bước của giao thức TCP. Từ đó server khi nhận được

những gói tin này thì sẻ trả về gói SYN ACK nếu port đó có mở và attacker sẻ biết được
dịch vụ nào đang được bật ở server đó.

Hình 1.1 Scan port theo phương pháp SYN Scan
ACK Scan: Đây là phương pháp scan thường được dung kết hợp với SYN Scan nhằm phát
hiện sự có mặt của Firewall trong hệ thống. Nguyên tắc của ACK Scan là attacker sẻ gửi
SVTH : MSSV :N10234009

Trang 6


TTTN ĐẠI HỌC 2010-2015
gói TCP có bật cờ ACK lên. Server nhận được gói ACK sẻ trả về gói RST, khi đó attacker
sẻ nhận biết được không có sự giám sát về session trong hệ thống. Còn khi có sự xuất
hiện của một Firewall lớp Transport hay Multilayer Firewall thì những gói tin ACK gửi
vào như thế chắc chắn sẻ bị drop.

Hình 1.2 Scan port theo phương pháp ACK Scan

1.4.2 DOS (Denial of Services)
Giới thiệu: Một cuộc tấn công từ chối dịch vụ (tấn công DoS) hay tấn công từ chối dịch
vụ phân tán (tấn công DDoS) là sự cố gắng làm cho tài nguyên của một máy tính không
thể sử dụng được nhầm vào những người dung của nó. Mặc dù phương tiện để tiến hành,
động cơ, mục tiêu của tấn công từ chối dịch vụ là khác nhau, nhưng nói chung nó gồm có
sự phối hợp, sự cố gắng ác ý của một người hay nhiều người để chống lại internetsite
hoặc service (dịch vụ web) vận hành hiệu quả trong tất cả, tạm thời hay một cách không
xác định. Thủ phạm tấn công từ chối dịch vụ nhằm vào các mục tiêu site hay service tiêu
biểu như ngân hang, cổng thanh toán thẻ tín dụng và thậm chí DNS root servers.
Nguyên Lý:
Teardrop:

Như ta đã biết, tất cả các dữ liệu di chuyển qua mạng từ hệ thống nguồn đén hệ thống
đích đều phải trải qua 2 quá trình: dữ liệu sẻ được chia ra thành các mảnh nhỏ ở hệ thống
nguồn, mỗi mảnh đều phải có mổ giá trị offset nhất định để xác định vị trí của mảnh đó
trong gói dữ liệu được chuyền đi. Khi các mảnh này đến hệ thống đích, hề thống đích sẻ
dựa vào giá trị offset để sắp xếp các mảnh lại với nhau theo thứu tự đúng như ban đầu.
Lợi dụng sơ hở đó, ta chỉ cần gửi đến hệ thống đích một loạt gói packets với giá trị offset
chồng chéo lên nhau. Hệ thống đích sẻ không thể nào sắp xếp lại các packets này, nó
không điều khiển được và có thể bị crash, reboot hoặc ngừng hoạt động nếu số lượng gói
packets với giá trị offset chồng chéo lên quá lớn.
SYN Attack:
Trong SYN Attack, hacker sẻ gửi đến hệ thống đích một loạt SYN packets với địa chỉ ip
nguồn không có thực. Hệ thống đích khi nhận được SYN packets này sẻ trả lời các gói

SVTH : MSSV :N10234009

Trang 7


TTTN ĐẠI HỌC 2010-2015
SYN này đồng thời lưu các request này vào bộ nhớ để xử lý. Với hang loạt gói tin như thế
được chờ xử lý sẻ làm cho hệ thống quá tải, reoot…đạt được mục đích của tấn công DOS.
Land Attack:
Land Attack củng gần giống như SYN Attack, nhưng thay vì dùng các địa chỉ IP không có
thực, hacker sẻ dùng chính địa chỉ IP của hệ thống nạn nhân. Điều này sẻ tạo nên một
vòng lặp vô tận trong chính hệ thống nạn nhân đó.
Smurf Attack:
Smurf Attack, cần có ba thành phần: hacker (người ra lệnh tấn công), mạng khuếch đại
(sẻ nghe lệnh của hacker) và hệ thống của nạn nhân. Hacker sẻ gởi các gói tin ICMP đến
địa chỉ broadcast của mạng khuếch đại. Điều đặc biệt là các gói tin ICMP packets này có
địa chỉ IP nguồn chính là địa chỉ IP nạn nhân. Khi các packets đó đến được địa chỉ

broadcast của mạng khuếch đại, các máy tính trong mạng khuếch đại sẻ tưởng rằng máy
tính nạn nhân đã gửi gói ICMP packets đến và chúng sẻ đồng loạt gửi trả lại hệ thống nạn
nhân các gói tin phản hồi ICMP packets. Hệ thống máy nạn nhân sẻ không chịu nổi một
khối lượng khổng lồ các gói tin này và nhanh chóng bị ngừng hoạt động, crash hoặc
reboot.

1.4.3 ARP Spoofing
Mỗi thiết bị trong hệ thống mạng của chúng ta có ít nhất hai địa chỉ. Một địa chỉ là Media
Access Control (MAC) và một địa chỉ Internet Protocol (IP). Địa chỉ MAC là địa chỉ của
card mạng gắn vào bên trong thiết bị, nó là duy nhất. Địa chỉ IP có thể thay đổi theo người
sủ dụng tùy vào môi trường mạng. ARP là một giao thức của lớp 2, chức năng của nó
dùng để định vị một host trong một segment mạng bằng cách phân giải địa chỉ IP ra địa
chỉ MAC. ARP thực hiên điều đó thông qua một tiến trình broadcast gói tin đến tất cả các
host trong mạng, gói tin đó chưa địa chỉ IP của host cần giao tiếp. Các host trong mạng
đều nhận được gói tin đó và chỉ duy nhất host nào có địa chỉ IP trùng với địa chỉ IP trong
gói tin mới trả lời lại, còn lại sẻ tự động drop gói tin.
Ví dụ: ARP Request: Máy tính A sẻ hỏi toàn mạng:” ai có địa chỉ IP này? “
ARP reply: máy tính B trả lời máy tính A: “ tôi có IP đó, địa chỉ MAC của tôi là…”
Kỹ thuật ARP Spoofing lợi dụng điểm yếu của giao thức này đó là không có sự xác thực
khi gửi các gói tin ARP, tức là không biết ai gửi gói tin đó. Người tấn công sẻ giả cá gói
tin ARP reply với địa chỉ IP là của một máy trong mạng nhưng địa chỉ MAC lại là giả
hoặc là MAC của máy tấn công. Như vậy máy nạn nhân khi nhận được các gói tin này sẻ
tưởng nhầm đối tác của mình có địa chỉ MAC do người tấn công gửi đến dẫn đến sai lệch
trong việc gửi/nhận thông tin.

SVTH : MSSV :N10234009

Trang 8



TTTN ĐẠI HỌC 2010-2015

1.5 Các chiến lược bảo vệ mạng
1.5.1 Quyền hạn tối thiểu ( Least Privilege)
Một nguyên tắc cơ bản nhất của an toàn nói chung là trao quyền tối thiểu. Có nghĩa là:
Bất kỳ một đối tượng nào trên mạng chỉ nên có những quyền hạn nhất định mà đối
tượng đó cần phải có để thực hiện các nhiệm vụ của mình và chỉ có những quyền đó mà
thôi. Như vậy, mọi người sử dụng đều không nhất thiết được trao quyền truy nhập mọi
dich vụ Internet, đọc và sửa đổi tất cả các file trong hệ thống…Người quản trị hệ thống
không nhất thiết phải biết các mật khẩu root hoặc mật khẩu của mọi người sử dụng…
Nhiều vấn đề an toàn trên mạng Internet bị xem là thất bại khi thực hiện nguyên tắc
Quyền hạn tối thiểu. Vì vậy, các chương trình đặc quyền phải được đơn giản đến mức có
thể và nếu một chương trình phức tạp, ta phải tìm cách chia nhỏ và cô lập từng phần mà
nó yêu cầu quyền hạn.

1.5.2 Bảo vệ theo chiều sâu ( Defence in Depth)
Một nguyên tắc khác của moi cơ chế an ninh là bảo vệ theo chiều sâu.Đối với mỗi hệ
thống đừng phụ thuộc vào chỉ một cơ chế an ninh, cho dù là nó mạnh đến đâu đi nữa.
Thay vào đó là sử dụng nhiều cơ chế an ninh để chúng hỗ trợ nhau

1.5.3 Nút thắt ( Choke Point)
Một nút thắt bắt buộc những kẻ đột nhập phải đi qua một lối hẹp mà chúng ta có thể kiểm
soát và điều khiển được. Trong cơ chế an toàn mạng, Firewall nằm giữa hệ thống mạng
của ta và mạng Internet, nó chính là một nút thắt. Khi đó, bất kỳ ai muốn truy nhập vào hệ
thống cũng phải đi qua nó, vì vậy, ta có thể theo dõi, quản lý được.
Nhưng một nút thắt cũng sẽ trở nên vô dụng nếu có một đường khác vào hệ thống mà
không cần đi qua nó (trong môi trường mạng, còn có những đường Dial–up không
được bảo vệ khác có thể truy nhập được vào hệ thống)

1.5.4 Liên kết yếu nhất ( Weakest Link)

Đối với một hệ thống bảo vệ thì cho dù có nhiều khâu có mức an toàn cao nhưng chỉ cần
một khâu mất an toàn thì toàn thì toàn bộ hệ thống củng sẻ mất an toàn. Những kẻ tấn
công thông minh sẻ tim ra những điểm yếu và tập trung tấn công vào đó. Cần Phải thận
trọng tới các điểm yếu này bởi kẻ tấn công luôn biết tìm cách để khai thác nó.

1.5.5 Hỏng an toàn ( Fail – Safe Stance )
Một điểm yếu cơ bản khác trong chiến lược an ninh là khả năng cho phép hệ thống hỏng
an toàn ( faile –safe ) – có nghĩa là nếu hệ thống có hỏng thì sẻ hỏng theo cách chống lại
sự tấn công của đối phương. Sự sụp đổ hiện nay đều có cơ chế hỏng an toàn. Ví dụ như
nếu một router lọc gói bị down, nó sẻ không cho bất kỳ một gói tin nào đi qua. Nếu một
proxy bị down, nó sẽ không cung cấp một dịch vụ nào cả. Nhưng nếu một hệ thống lọc
SVTH : MSSV :N10234009

Trang 9


TTTN ĐẠI HỌC 2010-2015
gói được cấu hình mà tất cả các gói tin được hướng tới một máy chạy ứng dụng lọc gói cà
một máy khác cung cấp ứng dụng thì khi máy chạy ứng dụng lọc gói bị down, các gói tin
sẻ di chuyển toàn bộ đến các ứng dụng cung cấp dịch vụ. Kiểu thiết kế này không phải là
dạng hỏng an toàn và cần phải được ngăn ngừa.
Điểm quan trọng trong chiến lược này là nguyên tắc, quan điểm của ra về an ninh. Ta có
xu hướng hạn chế, ngăn cấm hay cho phép? Có hai nguyên tắc cơ bản mà ta có thể quyết
định đến chính sách an ninh:
+ Mặc định từ chối: Chỉ quan tâm những gì ta cho phép và cấm tất cả những cái còn lại.
+ Mặc định cho phép: chỉ quan tâm đến những gì mà ta ngăn cấm và cho qua tất cả những
cái còn lại.

1.5.6 Tính toàn cục ( Universal Participation )
Để đạt được hiệu quả cao, hầu hêt các hệ thống an toàn đòi hỏi phải có tính toàn cục của

các hệ thống cục bộ. Nếu một kẻ nào đó có thể dể dàng bẻ gãy một cơ chế an toàn thì
chúng có thể thành công bằng cách tấn công hệ thống tự do của ai đó rồi tiếp tục tấn công
hệ thống nội bộ bên trong. Có rất nhiều hình thức làm cho hỏng an toàn hệ thống và
chúng ta cần được báo lại những hiện tượng lạ xảy ra có thể lien quan đến an toàn của hệ
thống cục bộ.

1.5.7 Đa dạng trong bảo vệ ( Diversity of Defence )
Ý tưởng thực sự đằng sau “ đa dạng trong bảo vệ” chính là sử dụng các hệ thống an ninh
của nhiều nhà cung cấp khác nhau nhằm giảm sự rủi ro về các lỗi phổ biến mà mỗi hệ
thống mắc phải. Nhưng bên cạnh đó là những khó khan đi kèm khi sử dụng hệ thống bao
gồm nhiều sản phẩm của những nhà cung cấp khác nhau như: Cài đặt, cấu hình khó hơn,
chi phí sẽ lớn hơn, bỏ ra nhiều thời gian hơn để có thể vận hành hệ thống.
Chúng ta hảy thận trọng với ý tưởng đa dạng này. Vì khi sử dụng nhiều hệ thống khác
nhau như vậy chưa chắc đã có sự đa dạng trong bảo vệ mà còn có thể xảy ra trường hợp
hệ thống này hạn chế hoạt động của hệ thống khác mà không hổ trợ nhau như ta mong
muốn.

1.5.8 Đơn giản hóa ( Simplicity )
Đơn giản là một trong những chiến lược an ninh vì hai lý do sau:
Thứ nhất: Với những gì đơn giản thì củng có nghĩa là dể hiểu, nếu ta không hiểu về phần
nào đó, ta không thể chắc chắn liệu nó có an toàn không.
Thứ hai: Sự phức tạp sẻ tạo ra nhiều ngóc nghách mà ta không thể quản lý nổi, nhiều thứ
sẻ ẩn chứa trong đó mà ta không biết. Rõ rang, bảo vệ một căn hộ dễ dàng hơn nhiều bảo
vệ một tòa lâu đài lớn.

SVTH : MSSV :N10234009

Trang 10



TTTN ĐẠI HỌC 2010-2015

CHƯƠNG 2: TỔNG QUAN VỀ FILEWALL

2.1 Khái niệm
Bảo mật là vấn đề được đề cập nhiều nhất trong các diễn đàn. Có nhiều cách thức để bảo
mật hệ thống nhưng cách điển hình và thông dụng nhất là dùng firewall. Vậy tại sao
firewall lại thông dụng như vậy? chức năng của nó như thế nào?
Firewall Có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn và hạn chế
hỏa hoạn.
Trong công nghệ mạng, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng nhằm
ngăn chặn việc truy cập dữ liệu trái phép, nhằm bảo vệ nguồn thông tin nội bộ và hạn chế
sự xâm nhập không mong muốn vào hệ thống. Cũng có thể hiểu FireWall là một cơ chế
bảo vệ trust network (mạng nội bộ) khỏi các Untrust Network (mạng internet).

2.2. Phân loại – Chức năng – Cấu trúc
2.2.1 Phân Loại:
Tường lửa được chia làm 2 loại, firewall cứng và firewall mềm
* Firewall cứng
Là loại firewall được tích hợp trực tiếp lên phần cứng(như Router Cisco, Check point ,
Planet, Juniper…).
Đặc điểm :
- Không được linh hoạt như firewall mềm vì hầu như các firewall cứng đều hướng theo
xu hướng tích hợp tất cả trong một( ví dụ : không thể thêm quy tắc hay chức năng ngoài
những chức năng đã được tích hợp sẵn…) đối với những firewall cứng trước kia. Hiện tại
xuất hiện xu hướng mới của firewall cứng mà đi đầu là dòng sản phẩm PIX ASA 5500
của Cisco. Tuy là firewall cứng nhưng có khả năng tích hợp những module khác ngoài
module có sẵn. Cấu trúc chính của loại firewall này bao gồm :
+ Adaptive tích hợp cơ bản hầu hết các tính năng chính của 1 firewall như DHCP,
HTTPS, VPNs, hỗ trợ DMZ, PAT, NAT…và các interface trên nó. Một Adaptive có thể

SVTH : MSSV :N10234009

Trang 11


TTTN ĐẠI HỌC 2010-2015
hoạt động độc lập mà không cần bất kỳ module nào khác. Adaptive hỗ trợ nhiều cách cấu
hình : Cấu hình thông qua giao diện web hoặc cấu hình qua cổng consol …
+ Các module riêng lẻ : mỗi module thực hiện một chức năng chuyên biệt và kết nối trực
tiếp với Adaptive thông qua cable. Nếu thiết bị đầu cuối nào muốn sử dụng thêm chức
năng của module nào thì sẽ được kết nối trực tiếp với module đó.Có nhiều loại module
thực hiện nhiều chức năng khác nhau : cung cấp các giao tiếp đến các thiết bị có giao tiếp
đặc biệt, cung cấp hệ thống cảnh báo cao cấp IPS,…
- Có khả năng hoạt động ở mọi lớp với tốc độ cao nhưng giá cả rất cao.

Hình 2.1 Filewall cứng
* Firewall mềm
Là những phần mềm được cài đặt trên máy tính đóng vai trò làm firewall. Có 2 loại là
Stateful Firewall (Tường lửa có trạng thái) và Stateless Firewall (Tường lửa không trạng
thái).
Đặc điểm :
- Có tính linh hoạt cao: có thể thêm bớt các luật hoặc các chức năng vì bản chất nó chỉ là
1 phần mềm.
- Hoạt động ở tầng ứng dụng ( layer 7).
SVTH : MSSV :N10234009

Trang 12


TTTN ĐẠI HỌC 2010-2015

- Có khả năng kiểm tra nội dung của các gói tin thông qua các từ khóa được quy định
trong chương trình.

2.2.2 Chức Năng :
Chức năng chính của firewall là kiểm soát luồng dữ liệu qua nó ra vào giữa intranet và
internet. Nó thiết lập cơ chế điều khiển dòng thông tin lưu thông giữa intranet và internet.
Cụ thể là :
- Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet).
- Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet vào Intranet).
- Theo dõi luồng dữ liệu mạng giữa Internet và Intranet.
- Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập.
- Kiểm soát người sử dụng và việc truy nhập của người sử dụng.
- Kiểm soát nội dung thông tin thông tin luân chuyển trên mạng.
2.2.3 Cấu Trúc :
Tường lửa chuẩn bao gồm một hay nhiều các thành phần sau đây:
- Bộ lọc gói tin (packet-filtering router).
- Cổng ứng dụng (application-level gateway hay proxy server).
- Cổng mạch (circuite level gateway).

2.3 Ưu - nhược điểm của firewall:
2.3.1. Ưu điểm :
-Firewall do con người cấu hình có thể che dấu mạng nội bộ bên trong, lọc dữ liệu và nội
dung của dữ liệu để ngăn chặn được các ý đồ xấu từ bên ngoài như : muốn đánh cắp
thông tin mật, muốn gây thiệt tê liệt hệ thống đối thủ của mình để gây thiệt hại về kinh tế .
- Firewall có thể ngăn chặn các cuộc tấn công vào các server gây tổn thất lớn cho các
doanh nghiệp .
- Ngoài ra firewall còn có khả năng quét virus, chống spam … khi được tích hợp những
công cụ cần thiết.

2.3.2. Nhược điểm :

- Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại thông tin và
phân tích nội dung tốt hay xấu của nó. Firewall chỉ có thể ngăn chặn sự xâm nhập của
những nguồn thông tin không mong muốn nhưng phải xác định rõ các thông số địa chỉ.
- Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không “đi qua”
nó. Một cách cụ thể, firewall không thể chống lại một cuộc tấn công từ một line dial-up,
hoặc sự rò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa mềm.
SVTH : MSSV :N10234009

Trang 13


TTTN ĐẠI HỌC 2010-2015
- Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data-driven attack).
- Khi có một số chương trình được chuyển theo thư điện tử, vượt qua firewall vào trong
network và bắt đầu hoạt động ở đây. Một ví dụ là các virus máy tính. Firewall có thể làm
nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua nó. Nhưng do tốc độ làm việc, sự
xuất hiện liên tục của các virus mới và do có rất nhiều cách để mã hóa dữ liệu… Virus
vẫn thoát khỏi khả năng rà quét của firewall.

2.4 Cơ chế - nguyên lý hoạt động và ưu nhược điểm của từng nguyên lý :
Có 2 nguyên lý cơ bản:

2.4.1 Firewall được xây dựng dựa trên Bộ lọc dữ liệu (Packet Filter)
Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua firewall thì điều đó
có nghĩa rằng firewall hoạt động chặt chẽ với giao thức TCI/IP. Vì giao thức này làm việc
theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay nói chính
xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS…)
thành các gói dữ liệu (data pakets) rồi gán cho các gói dữ liệu (packet) này những địa chỉ
để có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại firewall cũng liên quan
rất nhiều đến các packet và những con số địa chỉ của chúng.

Packet filter cho phép hay từ chối mỗi packet mà nó nhận được. Nó kiểm tra toàn bộ
packet để quyết định xem packet đó có thoả mãn một trong số các luật lệ (rule) của packet
filtering hay không. Các rule của packet filter này là dựa trên các thông tin ở đầu mỗi gói
tin (packet header), dùng để cho phép truyền các gói tin đó ở trên mạng. Đó là các thông
tin như:
- Địa chỉ IP nơi xuất phát ( IP Source address).
- Địa chỉ IP nơi nhận (IP Destination address).
- Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel).
- Cổng TCP/UDP nơi xuất phát (TCP/UDP source port).
- Cổng TCP/UDP nơi nhận (TCP/UDP destination port).
- Dạng thông báo ICMP ( ICMP message type).
- Giao diện gói tin đến ( incomming interface of packet).
- Giao diện gói tin đi ( outcomming interface of packet)
Nếu luật lệ lọc gói tin được thoả mãn thì gói tin được thông qua. Nếu không gói tin sẽ bị
bỏ đi. Nhờ vậy mà Tường lửa có thể ngăn cản được các kết nối vào các máy chủ hoặc
mạng nào đó được xác định, hoặc khoá việc truy cập vào hệ thống mạng nội bộ từ những
địa chỉ không cho phép. Hơn nữa, việc kiểm soát các cổng làm cho Tường lửa có khả
năng chỉ cho phép một số loại kết nối nhất định vào các loại máy chủ nào đó, hoặc chỉ có

SVTH : MSSV :N10234009

Trang 14


TTTN ĐẠI HỌC 2010-2015
những dịch vụ nào đó (Telnet, SMTP, FTP…) được phép mới chạy được trên hệ thống
mạng cục bộ.
* Ưu điểm:
- Đa số các hệ thống firewall đều sử dụng bộ lọc packet. Một trong những ưu điểm của
phương pháp dùng bộ lọc packet là chi phí thấp vì cơ chế lọc packet đã được tích hợp sẵn

trong mỗi phần mềm router.
- Ngoài ra, bộ lọc packet là trong suốt đối với người sử dụng và các ứng dụng, vì vậy nó
không yêu cầu sự huấn luyện đặc biệt nào cả.
* Nhược điểm:
- Việc định nghĩa các chế độ lọc package là một việc khá phức tạp; đòi hỏi ng¬ười quản
trị mạng cần có hiểu biết chi tiết về các dịch vụ Internet, các dạng packet header, và các
giá trị cụ thể có thể nhận trên mỗi trường. Khi đòi hỏi vể sự lọc càng lớn, các rule về lọc
càng trở nên dài và phức tạp, rất khó để quản lý và điều khiển.
- Do làm việc dựa trên header của các packet, rõ ràng là bộ lọc packet không kiểm soát
được nội dung thông tin của packet. Các packet chuyển qua vẫn có thể mang theo những
hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu.

2.4.2 Firewall được xây dựng dựa vào Cổng ứng dụng(Application-LevelGateway)
Đây là một loại Tường lửa được thiết kế để tăng cường chức năng kiểm soát các loại dịch
vụ, các giao thức được cho phép truy cập vào hệ thống mạng. Cơ chế hoạt động của nó
dựa trên cách thức gọi là Proxy service. Proxy service là các bộ mã đặc biệt cài đặt trên
gateway cho từng ứng dụng.
Nếu người quản trị mạng không cài đặt proxy code cho một ứng dụng nào đó, dịch vụ
tương ứng sẽ không được cung cấp và do đó không thể chuyển thông tin qua firewall.
Ngoài ra, proxy code có thể được định cấu hình để hỗ trợ chỉ một số đặc điểm trong ứng
dụng mà người quản trị mạng cho là chấp nhận được trong khi từ chối những đặc điểm
khác.
Một cổng ứng dụng thường được coi như là một pháo đài (bastion host), bởi vì nó được
thiết kế đặt biệt để chống lại sự tấn công từ bên ngoài. Những biện pháp đảm bảo an ninh
của một bastion host là:
- Bastion host luôn chạy các version an toàn (secure version) của các phần mềm hệ thống
(Operating system). Các version an toàn này được thiết kế chuyên cho mục đích chống lại
sự tấn công vào Operating System, cũng như là đảm bảo sự tích hợp firewall.

SVTH : MSSV :N10234009


Trang 15


TTTN ĐẠI HỌC 2010-2015
- Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài đặt trên
bastion host, đơn giản chỉ vì nếu một dịch vụ không được cài đặt, nó không thể bị tấn
công. Thông thường, chỉ một số giới hạn các ứng dụng cho các dịch vụ Telnet, DNS, FTP,
SMTP và xác thực user là được cài đặt trên bastion host.
- Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau, ví dụ như user password
hay smart card.
Mỗi proxy được đặt cấu hình để cho phép truy nhập chỉ một sồ các máy chủ nhất định.
Điều này có nghĩa rằng bộ lệnh và đặc điểm thiết lập cho mỗi proxy chỉ đúng với một số
máy chủ trên toàn hệ thống.
Mỗi proxy duy trì một quyển nhật ký (logs) ghi chép lại toàn bộ chi tiết của giao thông
qua nó, mỗi sự kết nối, khoảng thời gian kết nối. Nhật ký này rất có ích trong việc tìm
theo dấu vết hay ngăn chặn kẻ phá hoại.
Mỗi proxy đều độc lập với các proxies khác trên bastion host. Điều này cho phép dễ dàng
quá trình cài đặt một proxy mới, hay tháo gỡ môt proxy đang có vấn đề.
* Ưu điểm :
- Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ trên mạng, bởi
vì ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủ nào có thể truy nhập
được bởi các dịch vụ.
- Cho phép người quản trị mạng hoàn toàn điều khiển được những dịch vụ nào cho phép,
bởi vì sự vắng mặt của các proxy cho các dịch vụ tương ứng có nghĩa là các dịch vụ ấy bị
khoá.
- Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt, và nó có các logs ghi chép
lại thông tin về truy nhập hệ thống.
- Luật lệ lọc cho cổng ứng dụng là dễ dàng cấu hình và kiểm tra hơn so với bộ lọc packet
* Nhược điểm :

- Yêu cầu các người dùng(users) phải thay đổi thao tác, hoặc thay đổi phần mềm đã cài
đặt trên máy khách (client) cho truy nhập vào các dịch vụ proxy. Chẳng hạn, Telnet truy
nhập qua cổng ứng dụng đòi hỏi hai bước để nối với máy chủ chứ không phải là một bước
như thông thường. Tuy nhiên, cũng đã có một số phần mềm client cho phép ứng dụng trên
cổng ứng dụng là trong suốt, bằng cách cho phép user chỉ ra máy đích chứ không phải
cổng ứng dụng ví dụ trên lệnh Telnet. Chủ yếu sử dụng Cổng vòng (circuit-Level
Gateway) để làm trong suốt proxy.
- Cổng vòng là một chức năng đặc biệt có thể thực hiện được bởi một cổng ứng dụng.
Cổng vòng đơn giản chỉ chuyển tiếp (relay) các kết nối TCP mà không thực hiện bất kỳ
SVTH : MSSV :N10234009

Trang 16


TTTN ĐẠI HỌC 2010-2015
một hành động xử lý hay lọc packet nào. Cổng vòng thường được sử dụng cho những kết
nối ra ngoài, nơi mà các nhà quản trị mạng thật sự tin tưởng những người dùng bên trong.

2.5 Một số firewall thông dụng :
2.5.1 Check Point (Giới thiệu Check Point Next Generation)
Là sản phẩm cung cấp một sự kết hợp các công cụ hàng đầu và các ứng dụng trong việc
bảo mật hệ thống mạng sử dụng kiến trúc SVN (Secure Vitual Network) cho phép Check
Point đưa ra những công cụ bảo đảm sự an toàn cho dữ liệu. VPN-1/Firewall-1 là một
phần của Checkpoint NG cung cấp việc bảo mật mạng và hệ thống mạng ảo riêng
VPN(Vitual Private Network). Để thực hiện VPN ta cần Secure Remote và Secure Client.
Secure Remote – chứng thực người dùng và mã hóa dữ liệu, Secure Client – thêm một
personal firewall vào hệ thống.
Mặc dù VPN-1/Firewall-1 là một bản bảo mật cơ bản nhưng nó cung cấp nhiều cách bảo
vệ hệ thống mạng, VPN và các nhận dạng trên kỹ thuật SVN. Check Point phát triển siêu
IP để cung cấp việc quản lý DNS, dịch vụ DHCP.

Quản lý và chia sẻ các tài khoản và chứng thực thông tin cho các tài khoản truy cập để sử
dụng tài nguyên. Để cho việc quản lý các tài khoản dễ dàng hơn hệ thống cung cấp thêm
2 công cụ : Account Management (LDAP – sắp xếp các tài khoản và kết hợp các thông
tin) và User Authority (cho phép truy cập đến các tài khoản đặc quyền).
GUI (Graphical User Interface) có khả năng quản lý từ xa Security Policy và cung cấp
giao diện chính cho NG. GUI client là công cụ để tạo Security Policy và được sắp xếp
trên Management Server. Công cụ Management Module của Management Server không
chỉ sắp xếp Security Policy mà còn tạo và phân phát ACLs giống như Routers và
Switches.
Nói tóm lại Check Point Next Generation bao gồm các tính năng sau :
- Firewall : hỗ trợ các dịch vụ NAT, điều khiển truy cập (ACLs), logging, bảo mật nội
dung, và chứng thực phiên làm việc.
- Mã hóa và hỗ trợ kết nối mạng riêng ảo VPNs (với hai kiểu site-to-site và client-to-site
dựa trên hai phương thức FWZ và IKE)
- LDAP Account Management có thể chạy tách rời ứng dụng hoặc kết hợp với Security
Dashboard để quản lý LDAP(Lightweight Directory Access Protocol) – sắp xếp cơ sở dữ
liệu tài khoản người dùng rất dễ dàng.
- Cung cấp cơ chế chứng thực, mã hóa cho sự thiết lập và duy trì kết nối mạng riêng
ảo(VPNs).
- OPSEC (Open Platform for Security) - ứng dụng nền cho việc bảo mật của Check Point.
Lọc nội dung gói tin HTTP, SMTP, FTP và URL filtering.
SVTH : MSSV :N10234009

Trang 17


TTTN ĐẠI HỌC 2010-2015
- Check Point High Availability tạo ra nhóm firewalls làm giảm thời gian chết cho hệ
thống.
- Cung cấp Quality of Service dành ưu tiên cho lưu lượng trên mạng.

- Siêu IP cung cấp các dịch vụ DNS, DHCP. Ngoài ra còn có các công cụ như Secure
DHCP để chứng thực người dùng.
- User Authority mở rộng quyền hạn chứng thực thông tin người dùng thu từ VPN1/FireWall-1 để giảm bớt tải cho ứng dụng thứ 3.
- Mạng DMZ để cấu hình cho các services trong hệ thống : SMTP, FTP, HTTP hoặc
HTTPs
- Cơ chế xử lý sự cố.

2.5.2. ISA
ISA Server 2004 được thiết kế để bảo vệ Network, chống các xâm nhập từ bên ngoài lẫn
kiểm soát các truy cập từ bên trong Nội bộ Network của một Tổ chức. ISA Server 2004
Firewall làm điều này thông qua cơ chế điều khiển những gì có thể được phép qua
Firewall và những gì sẽ bị ngăn chặn. Chúng ta hình dung đơn giản như sau: Có một quy
tắc được áp đặt trên Firewall cho phép thông tin được truyền qua Firewall, sau đó những
thông tin này sẽ được “Pass” qua, và ngược lại nếu không có bất kì quy tắc nào cho phép
những thông tin ấy truyền qua, những thông tin này sẽ bị Firewall chặn lại.
ISA Server Firewall chứa nhiều tính năng mà các Security Admin có thể dùng để đảm bảo
an toàn cho việc truy cập Internet, và cũng bảo đảm an ninh cho các tài nguyên trong Nội
bộ Network
Các Network Services và những tính năng trên ISA Server sẽ được cài đặt và cấu hình
gồm:
- Cài đặt và cấu hình Microsoft Certificate Services : Dịch vụ cung cấp các chứng từ kĩ
thuật số phục vụ nhận dạng an toàn khi giao dịch trên mạng.
- Cài đặt và cấu hình Microsoft Internet Authentication Services (RADIUS) : Dịch vụ xác
thực an toàn cho các truy cập từ xa thông qua các remote connections (Dial-up hoặc
VPN)
- Cài đặt và cấu hình Microsoft DHCP Services (Dịch vụ cung cấp các xác lập TCP/IP
cho các node trên và) và WINS Services (dịch vụ cung cấp giải pháp truy vấn NETBIOS
name của các máy tính trên mạng)
- Cấu hình các WPAD entries trong DNS để hỗ trợ chức năng Autodiscovery (tự động
khám phá) và Autoconfiguration (tự động cấu hình) cho Web Proxy và Firewall clients.

Thuận lợi cho các ISA Clients (Web và Firewall clients) trong một Tổ chức khi họ phải
mang máy tính từ một mạng (có một ISA Server) đến mạng khác (có ISA Server khác) mà
SVTH : MSSV :N10234009

Trang 18


TTTN ĐẠI HỌC 2010-2015
vẫn tự động phát hiện và làm việc được với Web Proxy Service và Firewall Service trên
ISA Server này.
- DNS : Cài đặt Microsoft DNS server trên Perimeter Network server (Mạng chứa các
máy chủ cung cấp trực tuyến cho các máy khách bên ngoài, nằm sau Firewall, nhưng
cũng tách biệt với LAN)
- Back up và phục hồi thông tin cấu hình của ISA Server Firewall
- Tạo các chính sách truy cập (Access Policy) trên ISA Server Firewall
- Publish Web Server trên một Perimeter Network .
- Dùng ISA Server Firewall đóng vai trò một Spam filtering SMTP relay (trạm trung
chuyển e-mails, có chức năng ngăn chặn Spam mails). Publish Microsoft Exchange
Server services (hệ thống Mail và làm việc cộng tác của Microsoft, tương tự Lotus Notes
của IBM)
- VPN : Cấu hình ISA Server Firewall đóng vai trò một VPN server, tạo kết nối VPN theo
kiểu site-to-site giữa hai Networks

2.5.3 IPCop
- Firewall :Tích hợp IPTable một firewall mạnh của Linux Netfilter.
- Mở rộng cổng giao tiếp hỗ trợ : Analog modem, an ISDN modem, an ADSL modem, hỗ
trợ giao thức PPTP(point-to-point-tunneling-protocol) trong dịch vụ SSH…
- Hỗ trợ một card mạng riêng cho phân vùng DMZ để cấu hình cho các services trong hệ
thống nếu có.
- Hỗ trợ truy xuất từ xa qua SSH server.

- Tích hợp DHCP Server.
- Caching DNS.
- TCP/UDP port forwarding.
- Hỗ trợ IDS(Intrusion detection system) của Snort :Hệ thống dò tìm và phát hiện xâm
nhập trái phép nổi tiếng của Snort.
- Hỗ trợ Free S/WAN IPSec cho phép chúng ta xây dựng các máy chủ VPN cung cấp truy
cập tài nguyên nội bộ cho người dùng từ xa thông qua các phiên truyền được mã hóa và
chứng thực chặt chẽ.
- Hỗ trợ Squid – Web Proxy: chương trình kiểm soát và tăng tốc truy cập internet được
nhiều người yêu thích và áp dụng, giúp tiết kiệm đường truyền.
- Cho phép backup và restore các thông tin cấu hình của IPCop một cách nhanh chóng và
dễ dàng do giao diện thao tác là giao diện web.
- Có cơ chế tự vá lỗi và cập nhật các chính sách bảo mật một cách tự động.
SVTH : MSSV :N10234009

Trang 19


TTTN ĐẠI HỌC 2010-2015

CHƯƠNG 3: GIỚI THIỆU TỔNG QUÁT VỀ CHECKPOINT GAIA E77
3.1 Mô hình mạng

Hình 3.1 Mô hình checkpoint
1
2
3

Gateway Security
Internet

SmartDashboard và Máy chủ quản lí an
ninh

4
5
6
7

SVTH : MSSV :N10234009

HTTP Proxy
Mail Server
Active Directory
SmartView Tracker và Smart Event

Trang 20


TTTN ĐẠI HỌC 2010-2015

3.2 Giới thiệu Checkpoint firewall Gateway Security
Software blade là một khối kiến trúc an ninh logic có tính độc lập, modull hóa và quản
lý tập trung. Software Blades có thể được sẵn sàng và cấu hình theo một giải pháp dựa
trên những nhu cầu kinh doanh cụ thể. Và khi có nhu cầu, các blades bổ sung có thể
được kích hoạt để mở rộng an ninh cho cấu hình sẵn có bên trong cùng một cơ sở phần
cứng.

3.2.1 Kiến trúc Checkpoint software Blades
Là một kiến trúc giúp quản lý tốt hơn việc đảm bảo an ninh trong doanh nghiệp vì nó
quản lý tập trung mọi thứ thông qua bàn điều khiển duy nhất nhằm hạn chế sự phức tạp

và quá tải vận hành (phù hợp với việc nhu cầu phần cứng ngày càng phát triển nhanh
chóng mà ngành IT không thể theo kịp). Với tư cách một ứng cứu khẩn cấp các mối đe
dọa, kiến trúc Software Blade của Check Point mở rộng các dịch vụ một cách nhanh
chóng và linh hoạt khi cần thiết mà không cần bổ sung phần cứng hay tăng độ phức
tạp.
Check Point Software Blades là kiến trúc đầu tiên, cũng là duy nhất trong ngành nhằm
cung cấp an ninh mạng một cách linh hoạt và quản trị tập trung cho các công ty có qui
mô bất kỳ. Với khả năng chưa từng thấy này, Check Point Software Blades cung cấp sự
bảo vệ với giá sở hữu thấp và giá thành hợp lý mà vẫn có thế đáp ứng bất kỳ nhu cầu
an ninh mạng nào, hôm nay và trong tương lai.

3.2.2 Lợi ích mang lại
+Tính linh hoạt - Cung cấp một mức độ an ninh phù hợp với mức độ đầu tư
+Khả năng điều khiển – Cho phép triển khai nhanh các dịch vụ an ninh. Tăng cường
hiệu suất làm việc thông qua quản trị blade tập trung.
+An Ninh Toàn diện – Cung cấp mức độ an ninh phù hợp, trên tất cả các điểm thực thi,
và toàn bộ các lớp mạng.
+Tổng giá thành sở hữu (TCO) thấp – Bảo vệ sự đầu tư thông qua củng cố và sử dụng
hạ tầng phần cứng đang có.
+Năng suất đảm bảo – Cho phép dự phòng tài nguyên nhằm bảo đảm các mức độ dịch
vụ.

3.2.3 Các tính năng của Security Gateway Software Blades
+Firewall -Trường lửa được thử thách nhất bảo vệ cho hơn 200 ứng dụng, giao thức và
dịch vụ với tính năng công nghệ kiểm soát thích ứng và thông minh nhất.
+IPsec VPN – kết nối an toàn cho văn phòng và người dùng cuối thông qua VPN Siteto-Site được quản lý truy cập từ xa mềm dẻo.
SVTH : MSSV :N10234009

Trang 21



TTTN ĐẠI HỌC 2010-2015
+IPS – Giải pháp phòng chống xâm nhập IPS tích hợp hiệu năng cao nhất với tầm bao
phủ các nguy cơ tốt nhất
+Web Security – Bảo vệ tiên tiến cho toàn bộ môi trường Web đặc trưng bởi sự bảo vệ
mạnh nhất chống lại các tấn công tràn bộ đệm.
+URL Filtering – Bộ lọc Web thuộc hạng tốt nhất bao phủ hơn 20 triệu URLs,
bảo
vệ người dùng và doanh nghiệp bằng cách cấm truy cập tới các trang Web nguy hiểm.
+Antivirus & Anti-Malware – Bảo vệ diệt virus hàng đầu bao gồm phân tích virus
heuristic, ngăn chặn virus, sâu và các malware khác tại cổng.
+Anti-Spam & Email Security – Bảo vệ đa hướng cho hạ tầng thư tín, ngăn chặn spam,
bảo vệ các servers và hạn chế tấn công qua email.
+Advanced Networking – Bổ sung định tuyến động, hỗ trợ multicast và Quality of
Service (QOS) cho các cổng an ninh.
+Acceleration & Clustering – Công nghệ được cấp bằng SecureXL và ClusterXL cung
cấp sự kiểm soát packet nhanh như chớp, tính sẵn sàng cao và cân bằng tải.
+Voice over IP - Có hơn 60 phòng thủ ứng dụng VoIP và các phương pháp QoS tiên
tiến bảo vệ hạ tầng VoIP khỏi các cuộc tấn công như dạng tấn công từ chối dịch vụ
trong khi cung cấp thoại chất lượng cao.

3.3 Cài đặt

Hình 3.2 Install Checkpoint Gaia R77.

SVTH : MSSV :N10234009

Trang 22



TTTN ĐẠI HỌC 2010-2015

Hình 3.3 Wellcom Checkpoint.

Hình 3.4 Phân vùng ổ đĩa.

SVTH : MSSV :N10234009

Trang 23


TTTN ĐẠI HỌC 2010-2015

Hình 3.5 Đặt password cho tài khoản admin.

Hình 3.6 Đặt các thông số cho máy.

SVTH : MSSV :N10234009

Trang 24


TTTN ĐẠI HỌC 2010-2015

Hình 3.7 Hoàn thành cài đặt và khởi động lại.
Cấu hình Server Checkpoint Gaia R77 bằng giao diện Web UI

Hình 3.8 Đăng nhập

SVTH : MSSV :N10234009


Trang 25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×