LỜI CAM ĐOAN
Em xin cam đoan đồ án tốt nghiệp này là công trình do chính bản thân em
tự tìm hiểu, nghiên cứu và hoàn thành dưới sự hướng dẫn của thầy giáo hướng dẫn
ThS. Lê Hoàng Hiệp. Em xin cam đoan các kiến thức sử dụng trong đồ án chưa
từng được sử dụng để bảo vệ ở bất cứ hội đồng nào. Các mục trích dẫn từ nguồn
tài liệu tham khảo được chú thích rõ ràng.

Thái Nguyên, tháng 6 năm 2016
Sinh viên
Lê Duy Phương Quyền

1


LỜICẢMƠN
Để hoàn thành đồ án tốt nghiệp một cách tốt nhất với sự tự nỗ lực, cố
gắngtìmhiểuvànghiêncứucủabảnthântrongnhữngthángngàyhọctậptại
trường. Em luônghinhậnnhững sựđóng góp giúp đỡ nhiệt tìnhcủanhững
người bên cạnh mình, sự ủng hộ của thầycô và bạn bè đã giúp em có thêm
độnglựcđểhoànthànhởmứctốtnhấtđồántốtnghiệpcủamình.
Lờicảmơntrântrọngđầutiênemmuốngiànhtớithầygiáohướngdẫn
ThS.Lê Hoàng Hiệp, người thầy đã dìu dắt và hướng dẫn em rất nhiệt tình
trongsuốtquátrìnhlàmđồán,sựchỉbảovàđịnhhướngcủathầygiúpemtự
tintìmhiểuvàđưaracácthànhquảnghiêncứumộtcáchtốtnhấtvềđềtài
củamình.
Emmuốngửilờicảmơnchânthànhđếngiađìnhcùngtậpthểbạnbèlớp
MMT-K10Bđãcùngemđiquanhữngthángngàymiệtmàihọctập,cùngchia
sẻ những niềm vui, nỗi buồn, động viên em đi qua những khó khăn, để em
vữngbướcvượtquanhữngvấtvảvàkhókhăntrongquátrìnhthựchiệnđồ
án.

Thái Nguyên, tháng 6 năm 2016

2


MỤC LỤC
LỜICAMĐOAN

1

LỜICẢMƠN 2
MỤCLỤC

3

DANHMỤCHÌNHVẼ
LỜINÓIĐẦU

5

7

CHƯƠNGI.TỔNGQUANVỀĐỀTÀI
1.1.

8

Lýdochọnđềtài 8

1.2.Mụctiêu


8

1.3.Phươnghướngthựchiệnđềtài 8
1.4.Phạmvinghiêncứu9
1.5.Bốcụcđềtài 9
CHƯƠNGII:CƠSỞLÝTHUYẾT 10
2.1.Tổngquanvềvấnđềanninh,antoànmạngmáytính

10

2.1.1.Đedọaanninhtừđâu 10
2.1.2.Cácgiảiphápcơbảnđảmbảoanninh
2.2.Vấnđềbảomậttrongmạngmáytính

11

13

2.2.1.Cácvấnđềchungvềbảomậthệthốngmạng

13

2.2.2.Mộtsốkháiniệmvàlịchsửbảomậthệthống

13

2.2.3. Các loại lỗ hổng bảo mật và phương thức tấn công mạng chủ yếu
15
2.2.4.Giớithiệuvềtườnglửa(Firewall) 19

CHƯƠNG III: KHẢO SÁT, ĐÁNH GIÁ HIỆN TRẠNG VÀ ĐỀ XUẤT GIẢI PHÁP
BẢO MẬT HỆ THỐNG MẠNG TẠI TRƯỜNG ĐH KINH TẾ & QTKD THÁI
NGUYÊN
23
3.1.Khảosátthựctế

23
3


3.1.1GiớithiệuvềtrườngĐHKinhTế&QuảntrịkinhdoanhTháiNguyên
23
3.1.2.TìnhhìnhtổchứctrườngĐHKinhTế&QuảnTrịKinhDoanhThái
Nguyên 24
3.1.3.CơsởhạtầngmạngcủatrườngĐHKinhTế&QuảnTrịKinhDoanh
TháiNguyên 26
3.1.4. Khảo sát mô hình mạng của trường ĐH Kinh Tế & Quản Trị Kinh
DoanhTháiNguyên 30
3.2.Đặtvấnđề,đánhgiáhiệntrạng 37
3.3.Mộtsốgiảiphápbảomậtcóthểápdụng

39

3.3.1.SửdụngtườnglửamềmISAServer2006 39
3.3.2.SửdụngFirewallCiscoASA 42
3.3.3.Giảipháptổngthểkếthợp

46

3.4.Lựachọngiảiphápvàxâydựngquytrìnhbảomật

3.4.1.Lựachọngiảipháp

48

48

3.4.2.Xâydựngquytrìnhbảomật 48
3.5.Hạchtoánchiphícủadựán

51

CHƯƠNGIV:XÂYDỰNGVÀCÀIĐẶTMÔPHỎNGCHƯƠNGTRÌNH

52

4.1. Xây dựng demo sử dụng ISA firewall cho hệ thống mạng trường ĐH
KinhTế&QuảnTrịKinhDoanhTháiNguyên
52
4.1.1.
2006

Cài đặt máy ảo VMWare 12, Windows XP và Windows Server
52

4.1.2.

TạoAccessRulechophépmáyclientkếtnốiInternet 55

4.1.3.


TạoruletruyvấnDNS

4.1.4.

Access Rule chặn Server truy cập trang web trong giờ làm việc
62

4.1.5.

Application&WebFilter

59

64

4.2. XâydựngdemosửdụngASAFirewallchohệthốngmạngtrườngĐH
KinhTế&QuảnTrịKinhDoanhTháiNguyên
66
4


4.2.1.

CauhinhNATWebserver 70

4.2.2. Cau hı̀nh NAT người dù ng ra ngoà i internet sử dụ ng port
80,442,fpt
71
4.2.3.


Cauhı̀nhchophé psửdụ ngsshtừServervà oserver 72

4.2.4.

Filtermọ tsodịchvụ nhưactiveX,Java 73

4.2.5.

Bạ tcheđọ ThreatDetectionvà BotnetTrafficFilter 73

TÀILIỆUTHAMKHẢO

76

NHẬNXÉTCỦAGIÁOVIÊNHƯỚNGDẪN

77

DANHMỤCHÌNHVẼ

Hình 3.1. Sơ đồ tổ chức của trường ĐH Kinh Tế & QTKD . . . . . . . . . . . . . . . . . . . . 25
Hình 3.2. Sơ đồ trường ĐH KT & QTKD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
Hình 3.3. Sơ đồ mặt bằng tầng 1 tòa nhà hiệu bộ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
Hình 3.4. Sơ đồ mặt bằng tầng 2 tòa nhà hiệu bộ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
Hình 3.5. Sơ đồ mặt bằng tầng 3 tòa nhà hiệu bộ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
Hình 3.8: Sơ đồ logic hệ thống mạng trường ĐH KT & QTKD . . . . . . . . . . . . . . . . 29
Hình 3.9. Sơ đồ vật lý hệ thống mạng trường ĐH KT & QTKD. . . . . . . . . . . . . . . . 29
Hình 3.10. Sơ đồ vật lý tầng 1 nhà hiệu bộ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
Hình 3.11. Sơ đồ vật lý tầng 2 nhà hiệu bộ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
Hình 3.12. Sơ đồ vật lý tầng 3 nhà hiệu bộ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

Hình 3.15. Sơ đồ logic sử dụng ISA Server 2006 áp dụng cho hệ thống mạng
trường ĐH Kinh Tế & QTKD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
Hình 3.16. Sơ đồ logic sử dụng ASA Firewall cho hệ thống mạng trường ĐH Kinh
5


Tế & QTKD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
Hình 3.17. Sơ đồ logic hệ thống mạng trường ĐH Kinh Tế & QTKD sử dụng ISA
Server và Cisco ASA. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
Hình 3.18. Sơ đồ logic sử dụng ISA Server và Cisco ASA. . . . . . . . . . . . . . . . . . . . . 45
Hình 3.19. Sơ đồ vật lý hệ thống mạng trường ĐH Kinh Tế & QTKD sử dụng ISA
Server 2006 và Cisco ASA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Hình 4.1: Chọn Access rule.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
Hình 4.2: Đặt tên. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
Hình 4.3: Chọn Allow và nhấn next.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Hình 4.4: Chọn chọn All outbound traffic.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Hình 4.5: chọn thêm Internal và Localhost. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Hình 4.6: Chọn External . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
Hình 4.7: chọn All Server s. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
Hình 4.8: chọn Apply.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50

6


LỜINÓIĐẦU
Vớisựpháttriểnnhanhchóngcủamạnginternetvàđặtbiệtlàcáccông
nghệmạng,kèmtheođólàvấnđềbảovệcáctàinguyênthôngtintrênmạng,
tránhsựmấtmát,xâmphạmlàviệccầnthiếtvàcấpbách.Bảomậtmạngcó
thểhiểulàcáchbảovệ,đảmbảoantoànchocácthànhphầnmạngbaogồm
dữ liệu, thiết bị, cơ sở hạ tầng mạng và đảm bảo mọi tài nguyên trên mạng

tránhđượcviệcđánhcắpthôngtin,đồngthờităngtínhbảomậtthôngtincho
mạngđượccaohơn.
Vấnđềbảomật,antoànchohệthốngmạngcầnphảiđượcđặtlênhàng
đầu trước khi đi xây dựng một hệ thống mạng cho người sử dụng. Vậy nên
việc sửdụng các thiếtbịtườnglửatrongcáchệthốngmạngđểđảmbảoan
ninh,antoànmạnglàrấtcầnthiết.Nhằmngănchặncáckếtnốikhôngmong
muốn,giảmnguycơmấtkiểmsoáthệthốnghoặcbịtấncôngvàlâynhiễmcác
chươngtrìnhvàmãđộchại.
Trongbàibáocáonàyemxinđượctrìnhbàynghiêncứuvềvấnđề:Xây
dựng giải pháp bảo mật mạng doanh nghiệp áp dụng cho hệ thống mạng
của trường ĐH Kinh tế và Quản trị kinh doanh Thái Nguyên.Dùđãcốgắng
rất nhiều trong quá trình tìm hiểu, nghiên cứu và viết báo cáo, nhưng chắc
chắn không thể tránh khỏi những hạn chế và thiếu sót. Em rất mong nhận
đượcnhữngýkiếnđónggópvàchỉbảothêmcủacácthầy,côgiáogiúpbàiđồ
áncủaemhoànthiệnbàihơn.

TháiNguyên,năm2016

7


CHƯƠNG I. TỔNG QUAN VỀ ĐỀ TÀI

 Lýdochọnđềtài
Anninhmạngđangtrởthànhmốilongạivànguycơtiềmtàng,tintặccó
thểtruycậpvàohệthốngcủacáccơquan,tổchứctừkhắpnơitrênthếgiới.
Cáchoạtđộngtintặcliêntụctăng,Mứcđộnguyhiểmngàymộtgiatăng,tính
tựđộngngàycàngcao,đadạngvềkiểutấncông,xuhướngtấncôngvàocáctổ
chứctàichính,ngânhàng,trườnghọc,cáccơquanchínhphủ.
TrườngĐHKinhTế&QuảnTrịKinhDoanhlàmộttrườngđạihọcđang

trênđàpháttriểnmạnhcảvềchấtlượngvàsốlượngsinhviên.Trườngđãsở
hữumộthệthốngmạngkháhoànthiện,tuynhiênemnhậnthấycònthiếucác
giải pháp bảo mật, dẫn đến nguy cơ mất mát thông tin, dữ liệu là rất cao.
Trướctìnhhìnhđóemnhậnthấyđềtài“Xây dựng giải pháp bảo mật mạng
doanh nghiệp áp dụng cho hệ thống mạng của trường ĐH Kinh tế và Quản
trị kinh doanh Thái Nguyên”,làcầnthiếtphảithựchiệnđểtránhviệcnhững
dữliệuquantrọngcủatrườngbịkẻxấuđánhcắp.
1.2.Mụctiêu
 KhaitháctriệtđểcáctínhnăngbảomậtcủatườnglửaFirewallISAvà
ASA.
 Xây dựng được một số giải pháp bảo mật tối ưudựatrênkhảosátvà
đánhgiáhiệntrạng,nănglựccủahệthốngmạngtạitrườngĐHKinhTế
&QuảnTrịKinhDoanhTháiNguyên.
 Lựachọn,đềxuấtđượcmộtgiảiphápbảomậttốiưunhấttheotiêuchí
đãđềxuất.
 Xây dựng được demo mô phỏngsửdụng firewall trên hệ thống mạng
hiệncócủatrườngĐHKinhTế&QuảnTrịKinhDoanhTháiNguyên.
8


1.3.Phươnghướngthựchiệnđềtài
 Thamkhảocáctàiliệuliênquantớianninhmạng,bảomậtmạngđãáp
dụngchocácdoanhnghiệptạiViệtNam.
 Thực hiện các yêu cầu nội dung nghiên cứu trong đề cương dưới sự
hướngdẫnchuyênmôncủagiáoviênhướngdẫn.
 Thuthậpsốliệu,minhchứngtừviệcthựcnghiệmcácbàiLabsửdụng
cáccôngcụanninhmạngnhưISAServer,ASAvàhạtầngmạngđangcó
củatrườngĐHKinhTế&QuảnTrịKinhDoanhTháiNguyên.
1.4.Phạmvinghiêncứu
- Một số chủ điểm an ninh mạng được áp dụng tại hệ thống mạng của

trườngKinhTế&QuảnTrịKinhDoanhTháiNguyên.
- Nghiên cứu dựa trên các thiết bị thật đang có tại hệ thống mạng của
trườngKinhTế&QuảnTrịKinhDoanhTháiNguyên.
1.5.Bốcụcđềtài
Đềtàidựkiếnbaogồmcó4chương:
 Chương1:Tổngquanvềđềtài
 Chương2:Cơsởlýthuyết
 Chương3:Khảosát,đánhgiáhiệntrạngvàđềxuấtgiảiphápbảomật
chohệthốngmạngcủatrườngĐHKinhTế&QuảnTrịKinhDoanhThái
Nguyên.
 Chương4:Xâydựngvàcàiđặtmôphỏngchươngtrình

9


CHƯƠNGII:CƠSỞLÝTHUYẾT
2.1. Tổng quan về vấn đề an ninh, an toàn mạng máy tính
 2.1.1. Đe dọa an ninh từ đâu
Trong xã hội, cái thiện và cái ác luôn song song tồn tại như hai mặt
không tách rời, chúng luôn phủ định nhau. Có biết bao nhiêu người muốn
hướngtớicáichânthiện,cáitốtđẹp,thìcũngcókhôngítkẻvìmụcđíchnày
haymụcđíchkháclạilàmchocáiácnảysinh,lấnlướtcáithiện.Sựgiằngco
giữacáithiệnvàcáiácấyluônlàvấnđềbứcxúccủaxãhội,cầnphảiloạitrừ
cáiác,thếnhưngcáiáclạiluônnảysinhtheothờigian.Mạngmáytínhcũng
vậy,cónhữngngườiphảimấtbiếtbaonhiêucôngsứcnghiêncứuracácbiện
phápbảovệchoanninhcủatổchứcmình,thìcũnglạicókẻtìmmọicáchphá
vỡlớpbảovệđóvớinhiềuýđồkhácnhau.
Mụcđíchcủangườilươngthiệnlàluônmuốntạoracáckhảnăngbảo
vệanninhchotổchứcrấtrõràng.Ngượclại,ýđồcủakẻxấulạiởnhiềugóc
độ,cungbậckhácnhau.Cókẻmuốnphávỡlớpvỏanninhđểchứngtỏkhả

năng của mình, để thoả mãn thói hư ích kỷ. Loại người này thường làm hại
người khác bằng cách phá hoại các tài nguyên trên mạng, xâm phạm quyền
riêngtưhoặcbôinhọdanhdựcủahọ.Nguyhiểmhơn,cónhữngkẻlạimuốn
đoạtkhôngcácnguồnlợicủangườikhácnhưviệclấycắpcácthôngtinmật
củacáccôngty,độtnhậpvàongânhàngđểchuyểntrộmtiền...Bởitrênthực
tế,hầuhếtcáctổchứccôngtythamgiavàomạngmáytínhtoàncầuđềucó
mộtlượnglớncácthôngtinkếtnốitrựctuyến.Tronglượnglớncácthôngtin
ấy,cócácthôngtinbímậtnhư:cácbímậtthươngmại,cáckếhoạchpháttriển
sảnphẩm,chiếnlượcmaketing,phântíchtàichính...haycácthôngtinvềnhân

10


sự, bí mật riêng tư... Các thông tin này hết sức quan trọng, việc để lộ ra các
thôngtinchocácđốithủcạnhtranhsẽdẫnđếnmộthậuquảhếtsứcnghiêm
trọng.
Tuynhiên,khôngphảibấtcứkhinàomuốnnhữngkẻxấucũngcóthể
thựchiệnđượcmụcđíchcủamình.Chúngcầnphảicóthờigian,nhữngsơhở,
yếu kém của chính những hệ thống bảo vệ an ninh mạng. Và để thực hiện
đượcđiềuđó,chúngcũngphảicótrítuệthôngminhcộngvớicảmộtchuỗidài
kinhnghiệm.
Cònđểxâydựngđượccácbiệnphápđảmbảoanninh,đòihỏiởngười
xâydựngcũngkhôngkémvềtrítuệvàkinhnghiệmthựctiễn.Nhưthế,cảhai
mặt tích cực và tiêu cực ấyđều được thực hiện bởi bàn tay khốióccủacon
người, không có máy móc nào có thể thaythế được. Vậy, vấn đề an ninh an
toànmạngmáytínhhoàntoànmangtínhconngười.
Banđầu,nhữngtròpháhoạichỉmangtínhchấtlàtròchơicủanhững
ngườicótrítuệkhôngnhằmmụcđíchvụlợi,xấuxa.Tuynhiên,khimạngmáy
tínhtrởnênphổdụng,cósựkếtnốicủanhiềutổchức,côngty,cánhânvới
nhiềuthôngtinbímật,thìnhữngtròpháhoạiấylạikhôngngừnggiatăng.Sự

pháhoạiấyđãgâyranhiềuhậuquảnghiêmtrọng,nóđãtrởthànhmộtloại
tội phạm. Theo số liệu thống kê của CERT (Computer Emegency Response
Team)thìsốlượngcácvụtấncôngtrênInternetđượcthôngbáochotổchức
nàylàíthơn200vàonăm1989,khoảng400vàonăm1991,1400năm1993
và 2241 năm 1994. Những vụ tấn côngnày nhằm vào tất cảcác máy tính có
mặttrênInternet,từcácmáytínhcủacáccôngtylớnnhưAT&T,IBM,các
trường đại học, các cơ quan nhà nước, các nhà băng... Những con số đưa ra
này,trênthựctếchỉlàphầnnổicủatảngbăng.Mộtphầnlớncácvụtấncông
khôngđượcthôngbáovìnhiềulýdokhácnhau,nhưsựmấtuytín,hoặcchỉ
đơngiảnlàhọkhônghềbiếtmìnhbịtấncông.
11


Thựctế,đedoạanninhkhôngchỉởbênngoàitổchức,màbêntrongtổ
chứcvấnđềcũnghếtsứcnghiêmtrọng.Đedoạbêntrongtổchứcxẩyralớn
hơnbênngoài,nguyênnhânchínhlàdocácnhânviêncóquyềntruynhậphệ
thốnggâyra.Vìhọcóquyềntruynhậphệthốngnênhọcóthểtìmđượccác
điểmyếucủahệthống,hoặcvôtìnhhọcũngcóthểpháhủyhaytạocơhộicho
những kẻ khác xâm nhập hệ thống.Và nguy hiểm hơn, một khi họ là kẻ bất
mãnhayphảnbộithìhậuquảkhôngthểlườngtrướcđược.
Tómlại,vấnđềanninhantoànmạngmáytínhhoàntoànlàvấnđềcon
người và không ngừng gia tăng, nó có thể bị đe doạ từ bên ngoài hoặc bên
trongtổchức.Vấnđềnàyđãtrởthànhmốilongạilớnchobấtkìchủthểnào
thamgiavàomạngmáytínhtoàncầu.Vànhưvậy,đểđảmbảoviệctraođổi
thông tin an toàn và an ninh cho mạng máy tính, buộc các tổ chức đó phải
triểnkhaicácbiệnphápbảovệđảmbảoanninh,màtrướchếtlàchochính
mình.
 2.1.2. Các giải pháp cơ bản đảm bảo an ninh
Nhưtrêntađãthấy,anninhantoànmạngmáytínhcóthểbịđedoạtừ
rấtnhiềugócđộvànguyênnhânkhácnhau.Đedoạanninhcóthểxuấtphát

từ bên ngoài mạng nội bộ hoặc cũng có thể xuất phát từ ngay bên trong tổ
chức. Do đó, việc đảm bảo an ninh an toàn cho mạng máy tính cần phải có
nhiềugiảiphápcụthểkhácnhau.Tuynhiên,tổngquannhấtcóbagiảipháp
cơbảnsau:
 Giảiphápvềphầncứng.
 Giảiphápvềphầnmềm.
 Giảiphápvềconngười.
Đâylàbagiảipháptổngquátnhấtmàbấtkìmộtnhàquảntrịanninh
nào cũng phải tính đến trong công tác đảm bảo an ninh an toàn mạng máy
tính. Mỗi giải pháp có một ưu nhược điểm riêng mà người quản trị an ninh
12


cần phải biết phân tích, tổng hợp và chọn lựa để tạo khả năng đảm bảo an
ninhtốiưunhấtchotổchứcmình.
Giảiphápphầncứnglàgiảiphápsửdụngcácthiếtbịvậtlýnhưcáchệ
thống máy chuyên dụng, cũng có thể là các thiết lập trong mô hình mạng
(thiếtlậpkênhtruyềnriêng,mạngriêng)...Giảiphápphầncứngthôngthường
đi kèm với nó là hệ thống phần mềm điều khiểntương ứng. Đâylàmộtgiải
pháp không phổ biến, vì không linh hoạt trong việc đáp ứng với các tiến bộ
củacácdịchvụmớixuấthiện,vàchiphírấtcao.
Khácvớigiảiphápphầncứng,giảiphápvềphầnmềmhếtsứcđadạng.
Giảiphápphầnmềmcóthểphụthuộchaykhôngphụthuộcvàophầncứng.Cụ
thểcácgiảiphápvềphầnmềmnhư:cácphươngphápxácthực,cácphương
phápmãhoá,mạngriêngảo,cáchệthốngtườnglửa,...Cácphươngphápxác
thực và mã hoá đảm bảo cho thông tin truyền trên mạng một cách an toàn
nhất.Vìvớicáchthứclàmviệccủanó,thôngtinthậttrênđườngtruyềnđược
mãhoádướidạngmànhữngkẻ“nhòmtrộm”khôngthểthấyđược,hoặcnếu
thôngtinbịsửađổithìtạinơinhậnsẽcócơchếpháthiệnsựsửađổiđó.Còn
phươngphápsửdụnghệthốngbứctườnglửalạiđảmbảoanninhởgócđộ

khác. Bằng cách thiết lậpcác luật tạimộtđiểmđặcbiệt(thườnggọilàđiểm
nghẹt)giữahệthốngmạngbêntrong(mạngcầnbảovệ)vớihệthốngmạng
bênngoài(mạngđượccoilàkhôngantoànvềbảomật-haylàInternet),hệ
thốngtườnglửahoàntoàncóthểkiểmsoátcáckếtnốitraođổithôngtingiữa
haimạng.Vớicáchthứcnày,hệthốngtườnglửađảmbảoanninhkhátốtcho
hệ thống mạng cần bảo vệ. Như thế, giải pháp về phần mềm gần như hoàn
toàngồmcácchươngtrìnhmáytính,dođóchiphíchogiảiphápnàysẽíthơn
sovớigiảiphápvềphầncứng.
Bêncạnhhaigiảipháptrên,giảiphápvềchínhsáchconngườilàmột
giảipháphếtsứccơbảnvàkhôngthểthiếuđược.Vìnhưphầntrênđãthấy,
13


vấnđềanninhantoànmạngmáytínhhoàntoànlàvấnđềconngười,dođó
việcđưaramộthànhlangpháplývàcácquynguyêntắclàmviệccụthểlàcần
thiết.
Ởđây,hànhlangpháplýcóthểgồm:cácđiềukhoảntrongbộluậtcủa
nhànước,cácvănbảndướiluật,...Còncácquyđịnhcóthểdotừngtổchứcđặt
rachophùhợpvớitừngđặcđiểmriêng.Cácquyđịnhcóthểnhư:quyđịnhvề
nhânsự,việcsửdụngmáy,sửdụngphầnmềm,...Vànhưvậy,sẽhiệuquảnhất
trongviệcđảmbảoanninhantoànchohệthốngmạngmáytínhmộtkhita
thựchiệntriệtđểgiảiphápvềchínhsáchconngười.
Tóm lại, vấn đề an ninh an toàn mạng máytínhlàmộtvấnđềlớn,nó
yêucầucầnphảicómộtgiảipháptổngthể,khôngchỉphầnmềm,phầncứng
máytínhmànóđòihỏicảvấnđềchínhsáchvềconngười.Vàvấnđềnàycần
phảiđượcthựchiệnmộtcáchthườngxuyênliêntục,khôngbaogiờtriệtđể
được vì nó luôn nảy sinh theo thời gian.Tuy nhiên, bằngcác giải pháp tổng
thểhợplý,đặcbiệtlàgiảiquyếttốtvấnđềchínhsáchvềconngườitacóthể
tạorachomìnhsựantoànchắcchắnhơn.
2.2.Vấnđềbảomậttrongmạngmáytính

2.2.1.Cácvấnđềchungvềbảomậthệthốngmạng
Đặcđiểmchungcủamộthệthốngmạnglàcónhiềungườisửdụngchung
và phân tán về mặt địa lý nên việc bảo vệ tài nguyên (mất mát hoặc sử dụng
khônghợplệ)phứctạphơnnhiềusovớiviệcmôitrườngmộtmáytínhđơnlẻ,
hoặcmộtngườisửdụng.
Hoạtđộngcủangườiquảntrịhệthốngmạngphảiđảmbảocácthông
tintrênmạnglàtincậyvàsửdụngđúngmụcđích,đốitượngđồngthờiđảm
bảomạnghoạtđộngổnđịnhkhôngbịtấncôngbởinhữngkẻpháhoại.Nhưng
trên thực tế là không một mạng nào đảm bảo là an toàn tuyệt đối, một hệ
thốngdùđượcbảovệchắcchắnđếnmứcnàothìcũngcólúcbịvôhiệuhóa
14


bởinhữngkẻcóýđồxấu.

15


2.2.2. Một số khái niệm và lịch sử bảo mật hệ thống
 Đốitượngtấncôngmạng(intruder)
Đốitượnglànhữngcánhânhoặctổchứcsửdụngnhữngkiếnthứcvề
mạngvàcáccôngcụpháhoại(gồmphầncứnghoặcphầnmềm)đểdòtìmcác
điểmyếuvàcáclỗhổngbảomậttrênhệthống,thựchiệncáchoạtđộngxâm
nhậpvàchiếmđoạttàinguyêntráiphép.
Mộtsốđốitượngtấncôngmạngnhư:
Hacker:lànhữngkẻxâmnhậpvàomạngtráiphépbằngcáchsửdụng
các côngcụ phá mật khẩu hoặc khaitháccácđiểmyếucủathànhphầntruy
nhậptrênhệthống
Masquerader: Là những kẻ giả mạo thông tin trên mạng như giả mạo
địachỉIP,tênmiền,địnhdanhngườidùng…

Eavesdropping:Lànhữngđốitượngnghetrộmthôngtintrênmạng,sử
dụngcáccôngcụSniffer,sauđódùngcáccôngcụphântíchvàdebugđểlấy
đượccácthôngtincógiátrị.
Những đối tượng tấn công mạng có thể nhằm nhiều mục đích khác
nhaunhưăncắpcácthôngtincógiátrịvềkinhtế,pháhoạihệthốngmạngcó
chủđịnh,hoặccóthểđólànhữnghànhđộngvôýthức…
 Cáclỗhổngbảomật
Các lỗ hổng bảo mật là những điểm yếu trên hệ thống hoặc ẩn chứa
trongmộtdịchvụmàdựavàođókẻtấncôngcóthểxâmnhậptráiphépvào
hệthốngđểthựchiệnnhữnghànhđộngpháhoạichiếmđoạttàinguyênbất
hợppháp.
Cónhiềunguyênnhângâyranhữnglỗhổngbảomật:cóthểdolỗicủa
bản thân hệ thống, hoặc phần mềm cung cấp hoặc người quản trị yếu kém
khônghiểusâuvềcácdịchvụcungcấp…
16


Mứcđộảnhhưởngcủacáclỗhổngtớihệthốnglàkhácnhau.Cólỗhổng
chỉảnhhưởngtớichấtlượngdịchvụcungcấp,cólỗhổngảnhhưởngtớitoàn
bộhệthốnghoặcpháhủyhệthống.
 Chínhsáchbảomật
Chính sách bảo mật là tập hợp các quy tắc áp dụng cho những người
thamgiaquảntrịmạng,cósửdụngcáctàinguyênvàcácdịchvụmạng.
Đối với từng trường hợp phải có chính sách bảomậtkhácnhau.Chính
sáchbảomậtgiúpngườisửdụngbiếttráchnhiệmcủamìnhtrongviệcbảovệ
cáctàinguyêntrênmạng,đồngthờicòngiúpchonhàquảntrịmạngthiếtlập
cácbiênphápđảmbảohữuhiệutrongquátrìnhtrangbị,cấuhìnhvàkiểmsoát
hoạtđộngcủahệthốngvàmạng.
 2.2.3. Các loại lỗ hổng bảo mật và phương thức tấn công mạng chủ
yếu

 Cácloạilỗhổng
Cónhiềucáctổchứcđãtiếnhànhphânloạicácdạnglỗhổngđặcbiệt.
TheobộquốcphòngMỹcácloạilỗhổngđượcphânlàmbaloạinhưsau:
 LỗhổngloạiC:ChophépthựchiệncáchìnhthứctấncôngtheoDoS
(Denial of Services- Từ chối dịch vụ) Mức độ nguy hiểm thấp chỉ ảnh
hưởngtớichấtlượngdịchvụ,làmngưngtrệgiánđoạnhệthống,khônglàm
pháhỏngdữliệuhoặcđạtđượcquyềntruycậpbấthợppháp.
DoSlàhìnhthứctấncôngsửdụngcácgiaothứcởtầngInternettrong
bộgiao thức TCP/IP để làm hệ thống ngưng trệ dẫn đến tình trạng từ chối
ngườisửdụnghợppháptruynhậphaysửdụnghệthống.
Các dịch vụ có lỗ hổng cho phép các cuộc tấn công DoS có thể được
nâng cấp hoặc sửa chữa bằng các phiên bản mới hơn của các nhà cung cấp
dịch vụ. Hiện nay chưa có một biện pháp hữu hiệu nào để khắc phục tình
trạngtấncôngkiểunàyvìbảnthânthiếtkếởtầngInternet(IP)nóiriêngvà
17


bộgiaothứcTCP/IPnóichungđãẩnchứanhữngnguycơtiềmtàngcủacáclỗ
hổngloạinày.
 LỗhổngloạiB:Chophépngườisửdụngcóthêmcácquyềntrênhệ
thốngmàkhôngcầnkiểmtratínhhợplệdẫnđếnmấtmátthôngtinyêucầu
cần bảo mật. Lỗ hổng này thường có trong các ứng dụng trên hệ thống. Có
mứcđộnguyhiểmtrungbình.
LỗhổngloạiBnàycómứcđộnguyhiểmhơnlỗhổngloạiC.Chophép
ngườisửdụngnộibộcóthểchiếmđượcquyềncaohơnhoặctruynhậpkhông
hợppháp.Nhữnglỗhổngloạinàythườngxuấthiệntrongcácdịchvụtrênhệ
thống.Ngườisửdụnglocalđượchiểulàngườiđãcóquyềntruynhậpvàohệ
thốngvớimộtsốquyềnhạnnhấtđịnh.MộtdạngkháccủalỗhổngloạiBxảy
ravớicácchươngtrìnhviếtbằngmãnguồnC.Nhữngchươngtrìnhviếtbằng
mãnguồnCthườngsửdụngmộtvùngđệm,mộtvùngtrongbộnhớsửdụng

đểlưutrữdữliệutrướckhixửlý.
Ngườilậptrìnhthườngsửdụngvùngđệmtrongbộnhớtrướckhigán
mộtkhoảngkhônggianbộnhớchotừngkhốidữliệu.Vídụkhiviếtchương
trìnhnhậptrườngtênngườisửdụngquyđịnhtrườngnàydài20kýtựbằng
khaibáo:Charfirst_name[20];Khaibáonàychophépngườisửdụngnhậptối
đa20kýtự.Khinhậpdữliệubanđầudữliệuđượclưuởvùngđệm.Khingười
sửdụngnhậpnhiềuhơn20kýtựsẽtrànvùngđệm.Nhữngkýtựnhậpthừasẽ
nằm ngoài vùng đệm khiến ta không thể kiểm soát được. Nhưng đối với
những kẻ tấn công chúng có thể lợi dụng những lỗ hổng này để nhập vào
những ký tự đặc biệt để thực thi một số lệnh đặc biệt trên hệ thống. Thông
thường những lỗ hổng này được lợi dụng bởi những ngườisửdụng trên hệ
thốngđểđạtđượcquyềnrootkhônghợplệ.Đểhạnchếđượccáclỗhổngloại
Bphảikiêmsoátchặtchẽcấuhìnhhệthốngvàcácchươngtrình.
 LỗhổngloạiA:Chophépngườingoàihệthốngcóthểtruycậpbất
18


hợpphápvàohệthống.Cóthểlàmpháhuỷtoànbộhệthống.Loạilỗhổngnàycó
mứcđộrấtnguyhiểmđedọatínhtoànvẹnvàbảomậtcủahệthống.Cáclỗhổng
nàythườngxuấthiệnởnhữnghệthốngquảntrịyếukémhoặckhôngkiểmsoát
đượccấuhìnhmạng.VídụvớicácwebserverchạytrênhệđiềuhànhNovellcác
servernàycómộtscripstlàconvert.baschạyscripstnàychophépđọctoànbộ
nộidungcácfiletrênhệthống.
Nhữnglỗhổngloạinàyhếtsứcnguyhiểmvìnóđãtồntạisẵncótrên
phần mềm sử dụng, người quản trị nếu không hiểu sâu về dịch vụ và phần
mềmsửdụngcóthểbỏquađiểmyếunày.Vìvậythườngxuyênphảikiểmtra
cácthôngbáocủacácnhómtinvềbảomậttrênmạngđểpháthiệnnhữnglỗ
hổng loại này. Một loạt các chương trình phiên bản cũ thường sử dụng có
nhữnglỗhổngloạiAnhư:FTP,Gopher,Telnet,Sendmail,ARP,finger...


 Cáchìnhthứctấncôngmạngphổbiến
 Scanner
Scannerlàmộttrươngtrìnhtựđộngràsoátvàpháthiệnnhữngđiểm
yếuvềbảomậttrênmộttrạmlàmviệccụcbộhoặcmộttrạmởxa.Mộtkẻphá
hoạisửdụngchươngtrìnhScannercóthểpháthiệnranhữnglỗhổngvềbảo
mậttrênmộtServerdùởxa.
CơchếhoạtđộnglàràsoátvàpháthiệnnhữngcổngTCP/UDPđượcsử
dụng trên hệ thống cần tấn công và các dịch vụ sử dụng trên hệ thống đó.
Scannerghilạinhữngđápứngtrênhệthốngtừxatươngứngvớidịchvụmà
nópháthiệnra.Từđónócóthểtìmrađiểmyếucủahệthống.
NhữngyếutốđểmộtScannerhoạtđộngnhưsau:
 Yêucầuthiếtbịvàhệthống:MôitrườngcóhỗtrợTCP/IP
 HệthốngphảikếtnốivàomạngInternet.
 Các chương trình Scanner có vai trò quan trọng trong một hệ
thống bảo mật, vì chúng có khả năng phát hiện ra những điểm
19


yếukémtrênmộthệthốngmạng.
 PasswordCracker
Là một chương trình có khả năng giải mã một mật khẩu đã được mã
hoáhoặccóthểvôhiệuhoáchứcnăngbảovệmậtkhẩucủamộthệthống.
Mộtsốchươngtrìnhphákhoácónguyêntắchoạtđộngkhácnhau.Một
sốchươngtrìnhtạoradanhsáchcáctừgiớihạn,ápdụngmộtsốthuậttoán
mãhoátừkếtquảsosánhvớiPasswordđãmãhoácầnbẻkhoáđểtạoramột
danhsáchkháctheomộtlogiccủachươngtrình.
Khithấyphùhợpvớimậtkhẩuđãmãhoá,kẻpháhoạiđãcóđượcmật
khẩu dưới dạng text. Mật khẩu text thông thường sẽ được ghi vào một file.
Biện pháp khắc phục đối với cách thức phá hoại này là cần xây dựng một
chínhsáchbảovệmậtkhẩuđúngđắn.

 Sniffer
Snifferlàcáccôngcụ(phầncứnghoặcphầnmềm)”bắt”cácthôngtin
lưuchuyểntrênmạngvàlấycácthôngtincógiátrịtraođổitrênmạng.
Sniffercóthể“bắt”đượccácthôngtintraođổigiữanhiềutrạmlàmviệc
vớinhau.ThựchiệnbắtcácgóitintừtầngIPtrởxuống.GiaothứcởtầngIP
được định nghĩa công khai, và cấu trúc các trường header rõ ràng, nên việc
giảimãcácgóitinnàykhôngkhókhăn.Mụcđíchcủacácchươngtrìnhsniffer
đó là thiết lập chế độ promiscuous (mode dùng chung) trên các card mạng
ethernet-nơicácgóitintraođổitrongmạng-từđó“bắt”đượcthôngtin.
Cácthiếtbịsniffercóthểbắtđượctoànbộthôngtintraođổitrênmạng
làdựavàonguyêntắcbroadcast(quảngbá)cácgóitintrongmạngEthernet.
Tuynhiênviệcthiếtlậpmộthệthốngsnifferkhôngphảiđơngiảnvìcầnphải
xâmnhậpđượcvàohệthốngmạngđóvàcàiđặtcácphầnmềmsniffer.
Đồng thời các chương trình sniffer cũng yêu cầu người sử dụng phải
hiểu sâu về kiến trúc, các giao thức mạng. Việc phát hiện hệ thống bịsniffer
20


khôngphảiđơngiản,vìsnifferhoạtđộngởtầngrấtthấp,vàkhôngảnhhưởng
tớicácứngdụngcũngnhưcácdịchvụhệthốngđócungcấp.
Tuynhiênviệcxâydựngcácbiệnpháphạnchếsniffercũngkhôngquá
khókhănnếutatuânthủcácnguyêntắcvềbảomậtnhư:
 Khôngchongườilạtruynhậpvàocácthiếtbịtrênhệthống.
 Quảnlýcấuhìnhhệthốngchặtchẽ.
 Thiếtlậpcáckếtnốicótínhbảomậtcaothôngquacáccơchếmãhoá.
 Trojans
Trojanslàmộtchươngtrìnhchạykhônghợplệtrênmộthệthống.Với
vaitrònhưmộtchươngtrìnhhợppháp.Trojansnàycóthểchạyđượclàdo
cácchươngtrìnhhợpphápđãbịthayđổimãcủanóthànhmãbấthợppháp.
VídụnhưcácchươngtrìnhviruslàloạiđiểnhìnhcủaTrojans.Những

chương trình virus thường che dấu các đoạn mã trong các chương trình sử
dụnghợppháp.Khinhữngchươngtrìnhnàyđượckíchhoạtthìnhữngđoạn
mãẩndấusẽthựcthivàchúngthựchiệnmộtsốchứcnăngmàngườisửdụng
không biết như: ăn cắp mật khẩu hoặc copy file mà người sử dụng thường
khônghaybiết.
MộtchươngtrìnhTrojanssẽthựchiệnmộttrongnhữngcôngviệcsau:
 Thực hiện một vài chức năng hoặc giúp người lập trình lên nó
phát hiện những thông tin quan trọng hoặc những thông tin cá
nhântrênmộthệthốnghoặcchỉtrênmộtvàithànhphầncủahệ
thốngđó.
 Chedấumộtvàichứcnănghoặclàgiúpngườilậptrìnhpháthiện
nhữngThôngtinquantrọnghoặcnhữngthôngtincánhântrên
mộthệthốnghoặcchỉtrênmộtvàithànhphầncủahệthống.
NgoàiracòncócácchươngtrìnhTrojancóthểthựchiệnđựợccảhai
chứcnăngnày.CóchươngtrìnhTrojancòncóthểpháhủyhệthốngbằngcách
21


pháhoạicácthôngtintrênổcứng.NhưngngàynaycácTrojanskiểunàydễ
dàngbịpháthiệnvàkhópháthuyđượctácdụng.
Tuynhiêncónhữngtrườnghợpnghiêmtrọnghơnnhữngkẻtấncông
tạo ra những lỗ hổng bảo mật thông qua Trojans và kẻ tấn công lấy được
quyền root trên hệ thống và lợi dụng quyền đó để phá hủy một phần hoặc
toànbộhệthốnghoặcdùngquyềnrootđểthayđổilogfile,càiđặtcácchương
trìnhtrojanskhácmàngườiquảntrịkhôngthểpháthiệnđượcgâyramứcđộ
ảnhhưởngrấtnghiêmtrọngvàngườiquảntrịchỉcòncáchcàiđặtlạitoànbộ
hệthống.
 2.2.4.Giớithiệuvềtườnglửa(Firewall)
Firewalllàmộtthiếtbị–haymộthệthống– điềukhiểntruycậpmạng,nó
có thể là phần cứng hoặc phần mềm hoặc kết hợp cả hai. Firewall thường

đượcđặttạimạngvànhđaiđểđóngvaitrònhưcổngnối(gateway)bảomật
giữamộtmạngtincậyvàmạngkhôngtincậy,cóthểgiữaIntranetvàInternet
hoặcgiữamạngcủadoanhnghiệpchủvớimạngcủađốitác.
Firewallđượcthiếtkếđểngănchặntấtcảcáclưulượngkhôngđượcphép
và cho phép các lưu lượng được phép đi qua nó. Vì thế, thiết bị firewall
thường bao gồm hai giao tiếp mạng (network interface): Một nối với mạng
bên trong (vd: intranet: mạng cần bảo vệ); Một nối vớimạngbênngoài(vd:
Internet:mạngkhôngtincậy).
Ởđâycầnphânbiệtrõ,vềvàitrògateway,giữaroutervàfirewall:Nhưđã
biết, router là thiết bị mạng thường được sử dụng cho mục tiêu định tuyến
lưu lượng mạng (có thể từ chối lưu lượng nào đó). Trong khi đó, firewall là
thiếtbịbảomật,cónhiệmvụgiámsátvàđiềukhiểnlưulượngmạng(chỉcho
phéplưulượngthíchhợpđiqua).Trongthựctế,nếuđượccấuhìnhhợplệthì
routercóthểthựchiệnmộtvàichứcnăngcủafirewall,nhưngđiềungượclại
22


làkhócóthể.
Ngoàira,firewallcungcấpmộtcơchếcấuhìnhlinhhoạthơn,nócóthể
đượccấuhìnhđểchophép/cấm(allow/deny)cáclưulượngdựatrêndịchvụ,
địachỉIPcủanguồnhoặcđích,hoặcIDcủangườiyêucầusửdụngdịchvụ.Nó
cũngcóthểđượccấuhìnhđểghilại(log)tấtcảcáclưulượngquanó.
Ngườiquảntrịanninhcủahệthốngcũngcóthểcấuhìnhđểfirewallthực
hiệnchứcnăngnhưlàmộttrungtâmquảnlýbảomật.Tứclà,firewallsẽđóng
vaitròcổngnốibảomậttạimạngvànhđaicủamạngTổchức.Khiđómọilưu
lượngtừbênngoàimuốnđếntấtcảcáchệthốngtrongphạmvimạngcủamột
Tổchứcđềuphảithôngquafirewall.
 Mụctiêuthiếtkếmộtfirewall
 Tấtcảlưulượngtừmạngbêntrongrabênngoàihoặcngượclạiphảiđi
quafirewall.Đểđạtđượcmụctiêunàytaphảikhóatấtcả“conđường”

vàomạngbêntrong,ngoạitrừthôngquafirewall.
 Chỉ có lưu lượng được cho phép, được định nghĩa bởi chính sách bảo
mậtcụcbộ(localsecuritypolicy),mớiđượcphépđiquafirewall.Nhiều
loại firewall khác nhau có thể được sử dụng để cài đặt các loại chính
sáchbảomậtkhácnhau.
 Bản thân firewall phải có khả năng tránh được sự xâm nhập bất hợp
pháp.Đểđạtđượcmụctiêunàycầnphảithiếtkếmộthệthốngtincậy.
Ngườiquảntrịanninhhệthốngphảiluônhoànthiệncácđặctínhvàcấu
hìnhhệthống,điềunàygiúploạibỏmộtsốrủirocóthểxảyravớihệthống.
Nếuhệthốngkhôngđượccấuhìnhhợplệthìsẽtạođiềukiệnchohackertấn

23


côngvàomạngthôngquacácdịchvụkhônghợplệđó.
 ĐặctínhcủaFirewall:
Sauđâylàcáckỹthuậtchungnhấtmàcácfirewallsửdụngđểđiềukhiển
truy cập và làm cho chính sách bảo mật của site có hiệu lực. Trước đây
firewall chỉ tập trung vào điều khiển dịch vụ, nhưng hiện nay chúng có thể
thựchiệnbốnchứcnăngcụthểsau:
 Điềukhiểndịchvụ(servicecontrol):XácđịnhcácloạidịchvụInternet
có thể được truy cập, đi ra hoặc đi vào. Firewall có thể lọc lưu lượng
dựa vào địa chỉ IP và số hiệu cổng TCP; Có thể cung cấp phần mềm
proxy,màcóthểtiếpnhậnvàphiêndịchmỗiyêucầudịchvụtrướckhi
chuyểntiếpnó;Hoặctựnóquảnlýcácphầnmềmservernhưcácdịch
vụWebhoặcMail.
 Điềukhiểnhướng(directioncontrol):Xácđịnhhướngmàmỗidịchvụ
cụ thể yêu cầu, là có thể được khởi tạo và được phép thông qua
firewall.
 Điều khiển người sử dụng (Server control): Điều khiển truy cập đến

mộtdịchvụ,màngườisửdụngđangcốgắngtruycậpđếnnó.Đặctrưng
nàythườngđượcápdụngchonhữngngườisửdụngbêntrongfirewall
vànhđai(ngườisửdụngcụcbộ).Nócũngcóthểđượcápdụngcholưu
lượngđivào,từnhữngngườisửdụngbênngoài.
 Điềukhiểnhànhvi(BehaviourControl):Điềukhiểncácdịchvụđặcbiệt
đượcsửdụngnhưthếnào.Vídụ:firewallcóthểlọce-mailđểhạnchế
thưrác,hoặcnócóthểchophéptruycậpbênngoàiđếnduynhấtmột
phầnthôngtintrênmộtserverWebcụcbộ.
24


 ƯuđiểmvàhạnchếcủaFirewall:
 Ưuđiểm:
 Firewall định nghĩa một “choke point” đơn, làm cho người sử
dụngbấthợpphápkhôngtiếpcậnđượcmạngđượcbảovệ,giúp
bảo vệ mạng chống lại các tấn công theo kiểu spoofing IP và
routingIP.Việcsửdụng“chokepoint”đơnlàmchoviệcquảnlý
bảomậttrởnênđơngiảnhơn,vìnhữngkhảnăngbảomậtđược
kếthợptrênmộthệthốngđơnhoặcmộttậpcáchệthống.
 Firewallcungcấpmộtvịtríđểgiámsátcácsựkiệnliênquanđến
bảomật.Việckiểmtoán(audit)vàcảnhbáo(alarm)cũngcóthể
đượccàiđặttrênhệthốngfirewall.
 Firewall là một hệ nền tiện lợi cho nhiều chức năng Internet
khôngliênquanđếnbảomật,baogồm,chứcnăngNAT(network
address translator): ánh xạ địa chỉ mạng cục bộ thành địa chỉ
Internet, và chức năng quản trị mạng: kiểm toán và ghi lại các
thôngtinliênquanđếnviệcsửdụngInternet.
 FirewallcóthểphụcvụnhưlàmộthệnềnchoIPSec.Khichếđộ
đườnghầmđượctriểnkhai,firewallcóthểđượcsửdụngđểcài
đặtcácmạngriêngảo.


 Hạnchế:

25