LỜI NÓI ĐẦU

Trong công cuộc đổi mới không ngừng của khoa học kỹ
thuật công nghệ, nhiều lĩnh vực đã và đang phát triển vượt bậc
đặc biệt là lĩnh vực Công nghệ thông tin. Thành công lớn nhất có
thể kể đến là sự ra đời của chiếc máy tính. Máy tính được coi là
một phương tiện trợ giúp đắc lực cho con người trong nhiều công
việc đặc biệt là công tác quản lý. Mạng máy tính được hình thành
từ nhu cầu muốn chia sẻ tài nguyên và dùng chung nguồn dữ liệu.
Máy tính cá nhân là công cụ tuyệt vời giúp tạo dữ liệu, bảng tính,
hình ảnh, và nhiều dạng thông tin khác nhau, nhưng không cho
phép chia sẻ dữ liệu bạn đã tạo nên. Nếu không có hệ thống mạng,
dữ liệu phải được in ra giấy thì người khác mới có thể hiệu chỉnh
và sử dụng được hoặc chỉ có thể sao chép lên đĩa mềm do đó tốn
nhiều thời gian và công sức.
Khi người làm việc ở môi trường độc lập mà nối máy tính
của mình với máy tính của nhiều người khác, thì ta có thể sử dụng
trên các máy tính khác và cả máy in. Mạng máy tính được các tổ
chức sử dụng chủ yếu để chia sẻ, dùng chung tài nguyên và cho
phép giao tiếp trực tuyến bao gồm gửi và nhận thông điệp hay
thư điện tử, giao dịch, buôn bán trên mạng, tìm kiếm thông tin
trên mạng. Nhưng khi chia sẽ tài nguyên trên mạng thì phải đề
cập đến độ bảo mật của các tài nguyên cần chia sẽ tránh những kẻ
xâm nhập bât hợp pháp truy cập vào hệ thống của chúng ta, điều
này nảy sinh ra những chương trình, phần cứng hay phần mềm
hỗ trợ để quản lý và kiểm soát các tài nguyên ra, vào hệ thống, các
phần mềm hỗ trợ thông thường như ISA 2004, ISA 2006,
COMODO Firewall, iptables, TCP Wrappers… chúng có cùng
chung một xu hướng đó là bảo về và quản lý hệ thống mạng bên
trong của chúng ta trước những tin tặc truy cập bất hợp pháp.

Điều nảy thúc đẩy em tìm hiểu đề tài này.
Lý do chọn đề tài : Trước khi trien khai mộ t hệ thong mạ ng thı̀
đieu quan trọ ng nhat là khâ u thiet ke hệ thong mạ ng, là m the nà o
đe hệ thong củ a chú ng ta vậ n hà nh mộ t cá c trơn tru và hiệ u quả ,
nhưng bên cạnh đó ta không thể không tự đặt câu hỏi cho chính
mình là hệ thống mạng của chúng ta đã vận hành trơn tru rồi
nhưng có đủ độ an toàn và bảo mật hay chưa? điều này không
quan trọng lắm đối với những doanh nghiệp nhỏ những rất quan
trọng đối với các doanh nghiệp lớn, các tổ chức mang tầm cở
quốc gia bởi những thông tin của họ rất nhạy cảm nên để đảm
bảo độ an toàn cho hệ thống mạng chúng ta cần phải thiết lập
những chính sách quản trị phù hợp, điều này đã thôi thúc em
nghiên cứu và tìm tòi các ứng dụng phần cứng, phần mềm
FIREWALL tương thích trên các hệ điều hành phổ biến hiện nay
như Windows, Linux...
Trong phần này em nghiên cứu chủ yếu các ứng dụng trên
Iptables của Linux, tạo ra các chính sách để quản trị hệ thống
mạng dựa trên iptables và quản lý các dữ liệu ra vào hệ thống,
đảm bảo hệ thống được bảo vệ ở mức tối đa có thể. Em sử dụng
iptables trên hệ điều hành Linux Centos version 5.8
Bố cục đề tài : Đề tài gồm có 3 chương
Chương I : Tổng quan về mạng máy tính và bảo mật mạng
Tong quan ve hệ thong mạ ng và phâ n tı́ch cá c nguy cơ đe
doạ hệ thống mạng và hướng giải quyết, các phương pháp để
phò ng thủ hệ thống mạng.
Chương II : Tổng quan về Firewall và Iptables
Giới thiệu về các vấn đề cơ bản của Firewall, phân loại
Firewall, các kiến trúc cơ bản của Firewall và cơ chế làm việc của
chúng.



TÀI LIỆU THAM KHẢO
Tiếng Việt
[1] Phạm Hoàng Dũng, Linux tự học trong 24 giờ, NXB Thống Kê,
2005.
[2] Nguyễn Thúc Hải, Mạng máy tính và các hệ thống mở, NXB
Giáo dục, 1999.
[3] Nguyễn Phương Lan, Hoàng Đức Hải, Lập trình LINUX, NXB
Giáo Dục, 2001
[4] Nguyễn Hồng Thái, Cài đặt và cấu hình Iptables, TP Hồ Chí
Minh
[5] Trần Nhật Huy– Hoà ng Hả i Nguyê n – Ngô Trı́ Hù ng Nam,Từng
bước làm quen với Iptables, TP Hồ Chí Minh, 12/2006

Chương III : Triển khai hệ thống Firewall trên Iptables cho
mạng của công ty TNHH Vươn Cao
Triển khai và cấu hình hệ thống Firewall


1. Những gì đã đạt được

CHƯƠNG I

TỔNG QUAN VỀ MẠNG MÁY TÍNH VÀ BẢO MẬT MẠNG

Đề tài đã đi sâu phân tích làm rõ những nét tổng quan về
hệ thong tường lửa cũ ng như trien khai mộ t hệ thong tường lửa
được ứng dụ ng mạ nh và mien phı́ hiệ n nay là iptables.
2. Những phần chưa đạt


I.1 GIỚI THIỆU MẠNG MÁY TÍNH VÀ MÔ HÌNH MẠNG
I.1.1 Giới thiệu về mạng máy tính

I.1.1.1 Mạng máy tính là gì?
Mạng máy tính là tập hợp các máy tính kết nối với nhau bởi
đường truyền vật lý theo một cấu trúc nào đó để đáp ứng các yêu

Đề tài còn rất nhiều những thiếu sót. Chưa đi sâu đánh giá
và giải thích nguyên tắc hoạt động cụ thể của Firewall…. Phần lý
thuyết tổng quát chỉ chỉ sơ lược tóm tắt chứ chưa đi sâu nghiên
cứu kı̃ lưỡng van đề. Phần thử nghiệm chạ y trê n má y ả o thı̀ đã
thà nh cô ng nhưng chưa á p dụ ng trê n thực te.
3. Hướng mở rộng

cầu của người dùng.
I.1.1.2 Vai trò của mạng máy tính ?
-

Khả năng sử dụng chung tài nguyên

-

Tăng độ tin cậy của hệ thống

-

Nâng cao chất lượng và hiệu quả khai thác thông tin trong
mạng



Đáp ứng những nhu cầu của hệ thống ứng dụng kinh
doanh hiện đại

- Khai thá c và phoi hợp cá c luậ t củ a iptables đe bả o vệ
mạ ng
- Tı́ch hợp hệ thong Snort và o trong hệ thong
- Trien khai cho mộ t mô hı̀nh cô ng ty cụ the

Đà Nẵng, Ngày 26 tháng 4 năm 2013
Sinh viên thực hiện

 Cung cấp sự thống nhất giữa các dữ liệu
I.1.2 Mô hình mạng máy tính
I.1.2.1 Mô hình khách- chủ (Client- Server)
Các máy trạm được nối với các máy chủ, nhận quyền truy nhập
mạng và tài nguyên mạng từ các máy chủ. Đối với Windows NT các
máy được tổ chức thành các miền (domain). An ninh trên các domain
được quản lý bởi một số máy chủ đặc biệt gọi là domain controller.

Võ Vă n Vương


-

Cài đặt và cấu hình Webs
Cài đặt và cấu hình FTPs

III.3.3.5 Thiết kế các chính sách cho 2 irewall dành cho công ty
Vươn Cao

Thiết lập các chính sách dựa vào mô hình mạng giả i phá p á p dụ ng
cho công ty

Hình 1.1 Mô hình Client – Server
+ Cho phép vùng Internal truy cập Internet.
I.1.2.2 Mô
hình
mạng
ngang
hàng truy
(Peerto-DMZ
Peer)
+ Cho
phép
vùng
Internal
cập
I.2 CÁC PHƯƠNG PHÁP TẤN CÔNG MẠNG
+ Cho phép người dùng bên ngoài truy cập DMZ với cá c
I.2.1 Main
in đươ
thẹ middle
cong
dịch vụ
c ho trợattack
như 80,443,53,21,25…..
Đây là
tấn côngtruy
cổ điển
vẫn

sử dụng
+ một
Cấmkỹvùthuật
ng Internal
cậpnhưng
đến cá
c được
web khô
ng làcho
nh
mạ
nh.
đến ngày hôm nay, kiểu tấn công này thường dùng cho mạng không
Chặn
các
cuộcDNS,
tấn công
từ quyền
bên ngoài
như
DOS đánh
dây như+giả
mạo
ARP,
chiếm
điều vào
khiển
Sestion,

cắp Cookies

bằng
Hamster
và Ferret…..
III.3.4
Một số
hình
ảnh minh
họa

Hình 1.3 Mô hình ARP- spoofing
KẾT LUẬN


Kiểu
công
dụng
là lươ
kiểu
giảngmạo
- tấn
2 má
y tı́này
nh, thường
moi má yđược
có 2sử
card
mạ nhất
ng lan
̣ t đó
vai

trò là irewall 1 và irewall 2.
ARP, hiểu được cách tấn công giả mạo này thì cũng phần nào hình
- Hệ đieu hà nh Linux (Centos 5.8)
dung được hình thức phương thức tấn công này.Việc sử dụng kỹ
Đe tien hà nh trien khai giả i phá p trê n ta sẽ demo mô hı̀nh trê n
thuật
authentication
để nâng
cấp
bảo
nen tảencryption
ng má y ả ovà
, khi
đó ta can chuan
bị như
̃ ngviệc
thiet
bị mật
sau dữ
: liệu
nhưng hackers vẫn còn có thễ thâm nhập vào hệ thống của bạn dựa
- 3 máy cài hệ điều hành Linux Centos trong đó có:
vào sự hoạt động của các giao thức. Hackers sử dụng một thiết bị
+ 1 máy đóng vai trò là irewall 1 có 2 card mạ ng
không có thật giữa người dùng cuối và mạng không dây. Hackers sử
là eth0 và eth1
dụng những tools để có thể tìm ra những gói tin arp và có thể điều
+ 1 má y đó ng và i trò là irewall 2 có 2 card mạ n g
khiển mạng
bạn. và eth1

cũ ngcủa
là eth0

+ 1 máy đóng vai trò FTPs và WEBs có 1 NIC eth0
I.2.2 Tấn công DoS
Cá c má
y Client
đặ t đị
a chı̉
ip thuô
̣ c lớp internal
Tấn- công
DoS
là kiểuđươ
tấṇ ccông
mà
người
mà người
tấn côngđe
tien hà nh kiem tra sự thực thi củ a luậ t .
làm cho hệ thống nạn nhân không thể sử dụng hoặc làm cho hệ
Bả ng phâ n chia địa chı̉ IP cho cá c NIC theo mô hı̀nh
thống đó bị chậm đi một cách đáng kể so với người sử dụng bình
thường bằng cách làm quá tải tài nguyên của hệ thống. Nếu kẻ tấn
công không có khả năng xâm nhập vào hệ thống thì chúng cố gắng
làm cho hệ thống bị sụp đổ và không có khả năng phục vụ người
dùng bình thường thì đó gọi là tấn công Denial of Service.
I.2.2.1 Các mục đích của tấn công DoS
Cố gắng chiếm băng thông mạng và làm hệ thống mạng bị ngập


III.3.3 Các bước triển khai

III.3.3.1 Lắp đặt các thiết bị theo sơ đồ logic
lụt
III.3.3.2 Cấu hình trên máy Firewall 2

Cố gắng ngắt kết nổi giữa 2 máy và ngăn chặn truy cập vào dịch

III.3.3.3 Cấu hình trên máy Firewall 1

vụ
III.3.3.4 Cài đặt và cấu hình vùng DMZ


III.3 TRIỂN KHAI HỆ THỐNG FIREWALL TRÊN IPTABLES CHO
MẠNG CỦA CÔNG TY TNHH VƯƠN CAO
III.3.1 Sơ đồ logic khi áp dụng giải pháp

Ngăn chặn người dùng truy cập một dịch vụ cụ thể và dấu hiệu
tấn công DoS thường nhận thấy là tắt mạng, tổ chức không hoạt
động, tài chính bị mất…
I.2.2.2 Mục tiêu mà kẻ tấn công thường sử dụng tấn công DoS
I.2.3 Tấn công DDoS
I.2.3.1 Các đặc tính của tấn công DDoS.
I.2.3.2 Tấn công DDoS không thể ngăn chặn hoàn toàn.
I.3 CÁC KỸ THUẬT TẤN CÔNG MẠNG PHỔ BIẾN
I.3.1 Nghe lén (sniffing)

Theo đúng như tên gọi, kỹ thuật này không tấn công trực diện
vào các máy người dùng (client) hay máy chủ (server), mà nó nhằm

vào không gian truyền dữ liệu giữa các máy. Sniffing là kỹ thuật
được các quản trị viên dùng theo dõi, chuẩn đoán, phát hiện các sự cố
nhằm giúp cải thiện hoạt động hệ thống mạng. Tuy nhiên, kỹ thuật
này về sau bị biến tướng, trở thành công cụ đắc lực phục vụ mục đích

Hình 3.2 - Sơ đo logic hệ thong mạ ng ứng dụ ng irewall
-

192.168.1.x/24
internet
172.16.0.x/16
10.0.0.x/8
internal

Lớp mạ ng noi ra ngoà i
Lớp mạ ng vù ng DMZ
Lớp mạ ng nộ i bộ bê n trong -

thu thập trái phép các thông tin nhạy cảm, tên tài khoản, mật khẩu,
credit card,… của người dùng khi luân chuyển trên mạng .
I.3.2 Quét thăm dò ( Scanning)

Phần lớn thông tin quan trọng từ server có được từ bước này.
Xác định hệ điều hành, xác định hệ thống có đang chạy không, tìm

III.3.2 Các chương trình và thiết bị cần thiết cho giải pháp

hiểu các dịch vụ đang chạy hay đang lắng nghe, tìm hiểu các lỗ hổng,

Tuy là xâ y dựng sơ đo hệ thong mới nhưng chú ng ta van

tậ n dụ ng triệ t đe những thiet bị củ a hệ thong cũ mà van đá p ứng
tot được yê u cau, với mô hı̀nh mới thı̀ cô ng ty chı̉ can mua thê m
cá c thiet bị sau :

kiểm tra các cổng, xác định các dịch vụ sử dụng giao thức TCP và
UDP... Những thông tin này sẽ giúp cho hacker có kế hoạch tấn công
hợp lý, cũng như việc chọn kỹ thuật tấn công nào. Quét giúp định vị


hệ thống còn hoạt động trên mạng hay không. Một hacker chân chính
sử dụng cách này đề tìm kiếm thông tin của hệ thống đích.

I.3.3 Social Engineering
I.3.4 Reverse engineering
I.3.5 Tấn công tràn bộ đệm (Buffer Overflow)
I.3.6 Tấn công bằng cách cài worm,virus và trojan.
I.3.6.1 Virus máy tính
I.3.6.2 Worm
I.3.6.3 Trojan Horse

I.4 PHÒNG THỦ MẠNG
Hầu hết trên thế giới hiện nay đều nghiên cứu kỹ lưỡng từng kỹ thuật
tấn công và tìm kiếm nhược điểm nhằm mục đích vô hiệu hóa
phương thức tấn công đó. Công cụ để triển khai phòng thủ không
khác gì ngoài những hệ thống được dựng lên với những chính sách
và luật riêng như tường lửa, hệ thống xác thực, mã hóa, phân quyền,

năm 2013 nhiều hơn gấp 2 lần cùng kỳ năm trước và tình trạng
chung là nhân viên không thể truy cập vào 2 trang này
Email của giám đốc và kế toán trưởng bị xem trộm, một

vấn đề rất nhạy cảm và cần có những phương án cấp bách để
ngăn chặn tình trạng này xảy ra một lần nữa trước khi tìm ra thủ
phạm.
Công việc làm ăn của công ty thuận lợi và ngày càng mở
rộng, yêu cầu bây giờ là phải xây dựng một mô hình công ty phù
hợp với tình hình mới trong đó cơ sở hạ tầng hệ thống mạng của
công ty phải đảm bảo được tính mở.Trong thời gian tới đây công
ty tiến hành public các server ra ngoài internet, xây dựng website
hoàn chỉnh nhằm quảng bá hình ảnh của công ty để phù hợp với
xu thế phát triển của thị trường. Ngoài việc xây dựng một hệ
thống mạng mang tính oan toàn, bảo mật thì phải đáp ứng được
tính sẵn sàng khi hệ thống mạng đòi hỏi cần nâng cấp cũng như
triển khai các chính sách của công ty ngay trên đó.
Những thô ng tin trê n là hoi chuô ng cả nh bá o can có những thay
đoi và phả i xâ y dựng lạ i mộ t hệ thong mạ ng phù hợp hơn khac
phụ c được những điem yeu củ a hệ thong mạ ng hiệ n tạ i củ a cô ng
ty và phả i đá p ứng được những yê u cau an toà n đặ t ra cũ ng như
phù hợp với việ c quả n lý sau nà y.

những bản vá lỗi lổ hổng bảo mật, IDS,honeynet,honeysport…..
Người quản trị phải luôn cập nhật mới kiến thức và thường xuyên thử
đóng vai trò người tấn công vào chính hệ thống của mình từ đó xây
dựng các phương án phòng thủ phù hợp.
I.4.1 Các nguyên tắc cơ bản của công tác phòng thủ mạng
I.4.1.1 Nguyên tắc chỉnh thể
I.4.1.2 Nguyên tắc quy phạm

III.2.2 Đề xuất giải pháp
Xây dựng hệ thống Firewall 2 lớp theo mô hình đề xuất đề
xuất có khả năng khắc phục được hầu hết các nhược điểm hiện có

của mô hình hiện tại của công ty. Mô hình có nhiều ưu điểm và có
tính khả thi cao vì đáp ứng được các vấn đề cấp thiết, oan toàn, bảo
mật, chi phí thấp.


I.4.1.3 Nguyên tắc độ thích ứng
I.4.1.4 Nguyên tắc đồng bộ

I.4.2 Đánh giá nguy cơ hệ thống mạng
I.4.3 Một số kỹ thuât phòng thủ
I.4.3.1 Anti DDoS
I.4.3.2 Anti ARP- snoofing
I.4.3.3 Anti SSL (man- in- the- middle)

Hình 3.1 - Sơ đo logic hệ thong mạ ng đang á p dụ ng
III.1.2 Phân tích sơ đồ hệ thống
-

Mô hình mạng mà công ty đang áp dụng là mạng ngang
hàng.
Vùng DMZ nằm chung lớp mạng với vùng Inside.
Hệ thống hầu như không được bảo vệ và phản ứng yếu ớt khi
bị tấn công…

III.2 HIỆN TRẠNG MẠNG CỦA CTY VƯƠN CAO ĐANG SỬ DỤNG
III.2.1 Hiện trạng bị tấn công
Trong quá trình hoạt động của công ty mà bộ phận kỹ
thuật ghi nhận được thì có tổng cộng 4 cuộc tấn công DDoS vào
hai máy FTP server và WEB server của công ty trong 6 tháng đầu



- d <ip_address>

CHƯƠNG II
- i <interface- name>

TỔNG QUAN VỀ FIREWALL VÀ IPTABLES
II.1 TỔNG QUAN VỀ FIREWALL
II.1.1 Firewall là gì?

- o <interface- name>

II.1.1.1 khái niệm Firewall

Trong công nghệ mạng thông tin, Firewall là một kỹ thuật
được tı́ch hợp vào hệ thống mạng để chống sự truy cập trái phép,
nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập
không mong muốn vào hệ thống. Cũng có thể hiểu Firewall là một
cơ chế (mechanism) để bảo vệ mạng tin tưởng (Trusted network)
khỏi các mạng khô ng tin tưởng (Untrusted network).
Thô ng thường Firewall được đặt giữa mạng bên trong
(Intranet) của một công ty, tổ chức, ngành hay một quốc gia, và
Internet. Vai trò chính là bảo mật thông tin, ngăn chặn sự truy
nhập không mong muốn từ bên ngoài (Internet) và cấm truy
nhập từ bên trong (Intranet) tới một số địa chỉ nhất định trên
Internet.

Destination để chỉ ip đích.
Phù hợp điều kiện INPUT khi gói dữ liệu
đi vào Firewall

Phù hợp điều kiện OUTPUT khi gói dữ
liệu đi ra khỏi Firewall

Bảng 2.3 Các tham số chuyển mạch quan trọng của iptables
II.2.2.6 Những module kernel cần thiết
II.2.2.7 lưu cấu hình script cho iptables
II.2.2.8 Khắc phục sự cố trên iptables

CHƯƠNG III
TRIỂN KHAI HỆ THỐNG FIREWALL TRÊN IPTABLES CHO
MẠNG CỦA CÔNG TY TNHH VƯƠN CAO
III.1 GIỚI THIỆU HỆ THỐNG MẠNG CÔNG TY TNHH VƯƠN
CAO
III.1.1 Sơ đồ logic hệ thống mạng hiện tại công ty đang áp dụng

Hình 2.1 Mô hı̀nh mạ ng sử dụ ng tường lửa


- Target: Là cơ chế hoạt động trong iptables, dùng để nhận
diện và kiểm tra packet. Các target được xây dựng sẵn trong
iptables như : MASQUERADE, SNAT, DNAT, REJECT, LOG,
DROP, ACCEPT.
II.2.2.5 Các tham số chuyển mạch quan trọng của iptables

Lệnh switching

Ý Nghĩa

quan trọng


Nếu bạn không chỉ rõ là tables nào, thì
- t <table>

filter tables sẽ được áp dụng. Có 3 loại
table là filter, nat, mangle.
Nhảy thêm một chuỗi targer nào đó khi

- j <target>

- I <chain>

- A <chain>

-F

- p

gói dữ liệu phù hợp quy luật hiện tại.
Insert thêm rule vào đầu chain.
Nối thêm một quy luật nào đó vào cuối
chain.

II.1.1.3 Firewall không làm được những gì?
II.1.1.4 Nguyên lý hoạt động của Firewall
Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau
thông qua Firewall thì điều đó có nghĩa rằng Firewall hoạt động
chặt chẽ với giao thức TCP/IP. Vì giao thức này làm việc theo
thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên
mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao
thức (Telnet, SMTP, DNS, SMNP, NFS ...) thành các gói dữ liệu

(data pakets) rồi gán cho các paket này những địa chỉ để có thể
nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại Firewall
cũng liên quan rất nhiều đến các Packet và những con số địa chỉ
của chúng.
Bộ lọc gói cho phép hay từ chối mỗi Packet mà nó nhận
được. Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn
dữ liệu đó có thoả mãn một trong số các luật lệ của lọc gói hay
không. Các luật lệ lọc gói này là dựa trên các thông tin ở đầu mỗi
Packet (Packet Header ), dùng để cho phép truyền các Packet đó
ở trên mạng. Đó là :
•

Địa chỉ IP nơi xuất phát ( IP Source address)

•

Địa chỉ IP nơi nhận (IP Destination address)

•

Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel)

Phù hợp với giao thức (protocols), thông

•

Cổng TCP/UDP nơi xuất phát (TCP/UDP source port)

thường là các giao thức như icmp, tcp,

•

Cổng TCP/UDP nơi nhận (TCP/UDP destination port)

•

Dạng thông báo ICMP (ICMP message type)

•

Giao diện Packet đến (Incomming interface of Packet)

•

Giao diện Packet đi (Outcomming interface of Packet)

Xóa hết tất cả mọi quy luật trong bảng đã
chọn.

udp và all.
- s <ip_address>

II.1.1.1 Firewall làm được những gì?

Source để chỉ ip nguồn.


II.2.2.2 Nguyên tắc triển khai Firewall iptables
II.2.2.3 Cơ chế xử lý trong iptables

Nếu
luật
lọcliệu
góiđề
được
thoả
mãn
được
chuyển
Tất cả
mọi
góilệdữ
được
kiểm
trathì
bởiPacket
Iptables
bằng
cách
qua
Firewall.
Nếu
không
Packet
sẽ
bị
bỏ
đi.
Nhờ
vậy

mà
Firewall
dùng tuần tự xâu dựng sẵn (queues). Có 3 loại bảng là:
có thể ngăn cản được các kết nối vào các máy chủ hoặc mạng nào
đó được
xác định,Chịu
hoặctrách
khóanhiệm
việc truy
cậpđổi
vàocác
hệ bits
thống
mạng
nội
- Mangle:
thay
chất
lượng
dịch
vụ
trong
TCP
header
như
TOS
(type
of
service),
TTL

(time
to
bộ từ những địa chỉ không cho phép.
live) và MARK
II.1.1.5 Phân tích cấu trúc của gói ip
- Filter: Chịu trách nhiệm lọc các gói dữ liệu. Nó gồm có 3
II.1.1.6 Chức năng của Firewall
quy tắc nhỏ (chain)
- Tường lửa quyet định những người nà o, những dịch vụ
Forwoard
Lọc gói
server
nà o từ bê n +trong
đượ c chain:
phé p truy
cậ pkhi
ra đi
bêđến
n ngoà
i và khác.
cả những
dịch vụ từ bê
n
ngoà
i
nà
o
đươ
̣
c

phé
p
truy
câ
̣
p
và
o
bê
n
trong.
+ Input chain: Lọc gói ki đi vào trong server.
- Trien khai giá m sá t cá c sự kiệ n an ninh mạ ng : hệ thong
+ Output
chain:
Lọc gói
khihêđi
ra khỏi
server.
cả nh bá o, IDS
và IPS có
the trien
khai
̣ thong
tươ
̀ ng lửa.
- Trien khai mộ t và i chức nă ng trê n nen tường lửa : NAT,
- Nat: Gồm có 2 loại Nat ta thường gọi là Nat Outbound và
thong kê , logs…
Nat Inbound

- Đe tường lửa là m việ c hiệ u quả , tat cả trao đoi thô ng tin
từ trong ra ngoà i và ngược lạ i đeu phả i thực hiệ n thô ng qua
tường lửa.
II.1.1.7 Ưu nhược điểm khi dùng Firewall
II.1.1 Phân loại Firewall
- Packet Flitering: là hệ thống Firewall cho phép chuyển
thông tin giữa hệ thống trong và ngoài mạng có kiểm soát.
- Application- proxy Firewall: là hệ thống Firewall thực hiện
các kết nối trực tiếp từ máy khách yêu cầu.
II.1.2.1 Packet flitering
Hình 2.6 Quá trình lọc gói tin qua Firewall
- Kiểu Firewall chung nhất là kiểu dựa trên mức mạng của mô
hình
Firewall
mạng thường
hoạtđến
động
theo
nguyên
tắc
- OSI.
Jumps:
Là cơ mức
chế chuyển
một packet
một
target
nào đó
của
Firewall

đượctác
gọikhác.
là Router/Firewall, có nghĩa là tạo
để xử
lý thêmhay
mộtcòn
số thao


II.2.1.1 Quá trình hình thành linux
II.2.1.2 Các phiên bản hiện nay

Linux là một trong những hệ điều hành mạnh nhất và nhanh
nhất hiện nay, với số lượng người dùng không ngừng tăng cao.
Linux được đánh giá là nhỉnh hơn hệ điều hành window về tốc độ
lẫn giá thành. Linux cung cấp cho người dùng tính năng và hiệu
quả cao, tốc độ xử lý nhanh, chi phí bỏ ra dường như không có
tức là nó hoàn toàn miễn phí. Hệ điều hành Linux thật sự đáng tin
cậy, bảo mật an ninh khá tốt, giao diện tùy biến, thích hợp cho các
doanh nghiệp.

ra các luật cho phép quyền truy cập mạng dựa trên mức mạng. Mô
hình này hoạt động theo nguyên tắc lọc gói tin (Packet Flitering).

II.1.2.2 Application- proxy Firewall
- Kiểu Firewall này hoạt động dựa trên phần mềm. khi một
kết nối từ một người dùng nào đó đến mạng sử dụng Firewall
kiểu này thì kết nối đó sẽ bị chặn lại, sau đó Firewall sẽ kiểm tra
các trường có liên quan của gói tin yêu cầu kết nối. Nếu việc kiểm
tra thành công, có nghĩa là các trường thông tin đáp ứng được các

luật đã đặt ra trên Firewall thì Firewall tạo ra một cái cầu kết nối
giữa 2 node với nhau.
II.1.3 Các thế hệ Firewall thường dùng
II.1.3.1 Firewall lọc gói tin

Có hàng chục các phiên bản Linux được cung cấp miến phí như :
+ Fredora
+ Ubuntu
+ Arch Linux Distros
+ Open SUSE
+ CentOS
+ Debyan GNU……
II.2.2 Tổng quan về IPTables

Tường lửa lọc gói tin : công nghệ tường lửa thế hệ đầu tiên
phân tích lưu lượng mạng ở tầng vận chuyển (transport protocol
layer).
II.1.3.2 Firewall mức giao vận (Circuit Level Firewall)
II.1.3.3 Firewall mức ứng dụng
II.1.3.4 Firewall lọc gói tin động
II.1.4 Một số phần mềm Firewall thông dụng

II.2.2.1 Iptables là gì ?

II.1.4.1 Packet filtering

Iptables là một chương trình chạy ở không gian người dùng,
cho phép người quản trị hệ thống có thể cấu hình các bảng
của tường lửa trong nhân Linux (được cài đặt trong các mô
đun Netfilter khác nhau) và lưu trữ các chuỗi, luật.

Kiểu lọc gói tin này có thể được thực hiện mà không cần tạo
một Firewall hoàn chỉnh, có rất nhiều các công cụ trợ giúp cho
việc lọc gói tin trên Internet (kể cả phải mua hay được miễn phí ).
Sau đây ta có thể liệt kê một số tiện ích như vậy:

Iptables yêu cầu quyền cao cấp trong hệ thống để hoạt động
và phải được người dùng root thực thi, nếu không một số chức
năng của chương trình sẽ không hoạt động.

II.1.4.2 TCP_wrappers
II.1.4.3 Netgate
II.1.4.4 Internet packet filter


II.1.4.5 Application- proxy Firewall

II.1.5 Các kiến trúc của Firewall
II.1.5.1 Dual homed host
II.1.5.1.a Mô hı̀n h
Hình 2.4 Sơ đồ kiến trúc Screened Host
II.1.5.2.b Đá nh giá
II.1.5.3 Screened subnet host
II.1.5.3.a Mô hı̀n h

Hình 2.3 Sơ đồ kiến trúc Dual – Homed Host
II.1.5.1.b đánh giá về kiến trúc Dual homed host
II.1.5.2 Screened host
II.1.5.2.a Mô hình

Hình 2.5 Sơ đồ kiến trúc Screened Subnet Host
II.1.5.3.b Đá nh giá
II.2 TỔNG QUAN VỀ LINUX VÀ IPTABLES
II.2.1 Tổng quan về Linux