LỜI CẢM ƠN
Lời đầu tiên em xin gửi lời cảm ơn chân thành tới tất cả các Thầy cô giáo
tại Trường Đại học Công nghệ thông tin và Truyền thông – Đại học Thái Nguyên
đã tận tình giảng dạy, chỉ bảo cho chúng em những kiến thức quý báu trong suốt
thời gian học tập tại trường.
Đặc biệt, em xin gửi lời cảm ơn Thầy giáo Thạc sỹ Trần Duy Minh đã
trực tiếp hướng dẫn và tạo điều kiện để em có thể hoàn thành đồ án này.
Mặc dù đã có nhiều cố gắng để hoàn thiện đồ án, xong không thể tránh
khỏi thiếu sót, em rất mong nhận được sự quan tâm, giúp đỡ và đóng góp quý báu
của thầy cô và các bạn.
Em xin chân thành cảm ơn!
Thái Nguyên, tháng 06 năm 2012
Sinh viên
Nguyễn Thế Anh


LỜI CAM ĐOAN
Để hoàn thành đồ án tốt nghiệp đúng thời gian quy định và đáp ứng được
yêu cầu đề ra, bản thân em đã cố gắng nghiên cứu, học tập và làm việc trong thời
gian dài. Em đã tham khảo một số tài liệu nêu trong phần “Tài liệu tham khảo” và
không hề sao chép nội dung từ bất kỳ đồ án nào khác. Toàn bộ đồ án là do bản
thân nghiên cứu xây dựng nên.
Em xin cam đoan những lời nói trên là đúng sự thật, mọi thông tin sai lệch
em xin hoàn toàn chịu trách nhiệm trước Hội đồng.


MỤC LỤC

3

DANH MỤC HÌNH VẼ

TỪ VIẾT TẮT
STT
1
2

Ý NGHĨA

CỤM TỪ
Access Control Lists
Acknowledgement

Danh sách điều khiển truy
cập
(data Báo nhận (dữ liệu mạng)

networks)
Asymmetric Digital Subscriber

Đường dây thuê bao số bất

4

Line
Demilitarized Zone

đối xứng
Vùng phi quân sự


5

Domain Name System

Hệ thống phân giải tên miền

6

Denial Of Service (attack)

7

File Transfer Protocol

8

Hypertext Transfer Protocol

9

Internet Protocol

10
11
12
13
14

Virtual Local Area Network
New Material

Open Systems Interconnection
Personal Computer
Simple Mail Transfer Protocol

15

Transmission Control Protocol

16
17
18
19

Virtual Private Network
Network Address Translation
Wide Area Network
Internet Control Message Protocol

3

Từ chối dịch vụ
Giao thức truyền tập tin
Giao thức truyền siêu văn
bản
Giao thức mạng
Mạng cục bộ ảo
Chất liệu mới
Mô hình kết nối hệ thống mở
Máy tính cá nhân
Giao thức truyển thư điện tử

Giao thức điều khiển truyền
vận
Mạng riêng ảo
Chuyển đổi địa chỉ mạng
Mạng diện rộng
Giao thức điều khiển truyền

4

VIẾT TẮT
ACLs
ACK
ADSL
DMZ
DNS
DoS
FTP
HTTP
IP
VLAN
NEWMAT
OSI
PC
SMTP
TCP
VPN
NAT
WAN
ICMP



20

Post Office Protocol

tin trên mạng
Giao thức truyền thư

POP

MỞ ĐẦU
Trong thực tế hiện nay bảo mật thông tin đang đóng một vai trò thiết yếu
trong mọi hoạt động liên quan đến việc ứng dụng công nghệ thông tin. Vai trò to
lớn của việc ứng dụng công nghệ thông tin đã và đang diễn ra sôi động, không chỉ
thuần túy là những công cụ (Hardware, software), mà thực sự đã được xem như
là giải pháp cho nhiều vấn đề.
Internet cho phép chúng ta truy cập tới mọi nơi trên thế giới thông qua
một số dịch vụ. Ngồi trước máy tính của mình bạn có thể biết được thông tin trên
toàn cầu, nhưng cũng chính vì thế mà hệ thống máy tính của bạn có thể bị xâm
nhập vào bất kỳ lúc nào mà bạn không hề được biết trước. Do đó song song với
việc triển khai và mở rộng khai thác các dịch vụ trên Internet thì cũng rất cần
nghiên cứu giải quyết vấn đề đảm bảo an toàn thông tin và an ninh trong tổ chức
Nhận thấy yêu cầu cấp bách đó, trong lần làm đồ án này em đã tìm hiểu về
hệ thống tường lửa, đặc biệt quan tâm đến giải pháp an toàn mạng bằng hệ
thống tường lửa lọc gói tin tĩnh. Do đó em chọn đề tài : “Nghiên cứu và áp dụng
công nghệ tường lửa Static Packet Filtering trên các thiết bị Cisco trong
thiết kế mô hình mạng Công ty Cổ phần NEWMAT”. Nội dung đề tài gồm :
Chương 1 : Tổng quan về cơ sở lý thuyết
Chương 2 : Công nghệ tường lửa Static Packet Filtering
Chương 3 : Khảo sát và áp dụng cấu hình công nghệ tường lửa Static

Packet Filtering trong hệ thống mạng Công ty cổ phần NEWMAT.
Sinh viên thực hiện
Nguyễn Thế Anh

5


CHƯƠNG 1
TỔNG QUAN VỀ CƠ SỞ LÝ THUYẾT
1.1. Giới thiệu chung về mạng máy tính
1.1.1 Định nghĩa mạng máy tính
Mạng máy tính là một hệ thống kết nối các máy tính đơn lẻ thông qua các
đường truyền vật lý theo một kiến trúc nào đó.
Đường truyền vật lý dùng để chuyển các tín hiệu số hay tín hiệu tương tự
giữa các máy, nó bao gồm:
- Đường dây điện thoại thông thường.
- Cáp đồng trục.
- Sóng vô tuyến điện từ.
- Cáp sợi quang

Việc nối máy tính thành mạng từ lâu đã trở thành một nhu cầu khách quan do
:
- Có rất nhiều công việc về bản chất là phân tán hoặc về thông tin,

hoặc về xử lý hoặc cả hai đòi hỏi có sự kết hợp truyền thông với xử lý
hoặc sử dụng phương tiện từ xa
- Chia sẻ các tài nguyên trên mạng cho nhiều người sử dụng tại một
thời điểm (ổ cứng, máy in, ổ CD ROM ...)
- Nhu cầu liên lạc, trao đổi thông tin nhờ phương tiện máy tính
- Các ứng dụng phần mềm đòi hòi tại một thời điểm cần có nhiều

người sử dụng, truy cập vào cùng một cơ sở dữ liệu.
1.1.2 Mục đích của việc kết nối các máy tính thành mạng

- Chia sẻ dữ liệu: Về nguyên tắc, bất kỳ người sử dụng nào trên mạng đều có quyền
truy nhập, khai thác và sử dụng những tài nguyên chung của mạng (thường được

6


tập trung trên một Máy phục vụ – Server) mà không phụ thuộc vào vị trí địa lý
của người sử dụng đó.

- Chia sẻ phần cứng: Tài nguyên chung của mạng cũng bao gồm các máy móc, thiết
bị như: Máy in (Printer), Máy quét (Scanner), Ổ đĩa mềm (Floppy), Ổ đĩa CD (CD
Rom), … được nối vào mạng. Thông qua mạng máy tính, người sử dụng có thể sử
dụng những tài nguyên phần cứng này ngay cả khi máy tính của họ không có
những phần cứng đó.

- Duy trì và bảo vệ dữ liệu: Một mạng máy tính có thể cho phép các dữ liệu được tự
động lưu trữ dự phòng tới một trung tâm nào đó trong mạng. Công việc này là
hết sức khó khăn và tốn nhiều thời gian nếu phải làm trên từng máy độc lập. Hơn
nữa, mạng máy tính còn cung cấp một môi trường bảo mật an toàn cho mạng
qua việc cung cấp cơ chế Bảo mật (Security) bằng Mật khẩu (Password) đối với
từng người sử dụng, hạn chế được việc sao chép, mất mát thông tin ngoài ý
muốn.

- Nâng cao độ tin cậy của hệ thống nhờ khả năng thay thế cho nhau khi xảy ra sự
cố kỹ thuật đối với một máy tính nào đó trong mạng.

- Khai thác có hiệu quả các cơ sở dữ liệu tập trung và phân tán, nâng cao khả năng

tích hợp và trao đổi các loại dữ liệu giữa các máy tính trên mạng.
1.1.3. Mạng diện rộng – WAN
Mạng diện rộng WAN (Wide Area Network) có phạm vi bao phủ một vùng
rộng lớn,có thể là quốc gia,lục địa hay toàn cầu. Mạng WAN thường là mạng của
các công ty đa quốc gia hay toàn cầu. Mạng WAN lớn nhất hiện nay là mạng
Internet. Mạng WAN là tập hợp của nhiều mạng LAN và MAN được nối lại với
nhau thông qua các phương tiện như vệ tinh ,sóng vi ba,cáp quang,điện thoại ….

7


Hình .1 Mạng diện rộng – WAN
Mạng WAN có các đặc điểm sau :
-

Băng thông thấp,dễ mất kết nối,thường chỉ phù hợp với các ứng dụng
online như e – mail ,ftp,web….

-

Phạm vi hoạt động không giới hạn

-

Do kết nối nhiều LAN và MAN với nhau nên mạng rất phức tạp và các tổ
chức toàn cầu phải đứng ra quy định và quản lý

-

Chi phí cho các thiết bị và công nghệ WAN rất đắt


1.1.3.1. Định tuyến trong WAN
Định tuyến là quá trình router sử dụng để chuyển tiếp các packet đến
mạng đích. Router đưa ra quyết định dựa trên địa chỉ IP đích của packet. Để có
thể đưa ra được quyết định chính xác router phải học cách làm sao để đi đến các
mạng ở xa.
Để định tuyến thì router cần phải biết các thông tin sau:
-

Địa chỉ đích
Các nguồn mà nó có thể học

8


Các tuyến (routes)
Tuyến tốt nhất (best route)
Bảo trì và kiểm tra thông tin định tuyến

-

-

Có 2 loại định tuyến :
-

Định tuyến tĩnh: Khi quá trình định tuyến tĩnh được sử dụng, nhà quản trị

-


mạng sẽ cấu hình thông tin về những mạng ở xa bằng tay cho router.
Định tuyến động: Khi router sử dụng quá trình định tuyến động, thông tin
này sẽ được học từ những router khác. Một số giao thức định tuyến động
như RIP, EIGRP, OSPF, IS-IS, BGP…

1.2. Tổng quan về tường lửa - Firewall
Internet ra đời đã đem lại nhiều lợi ích rất lớn cho con người, nó là một
trong những nhân tố hàng đầu góp phần vào sự phát triển nhanh chóng của cả
thế giới và có thể nói Internet đã kết nối mọi người tới gần nhau hơn. Chính vì
khả năng kết nối rộng rãi như vậy mà các nguy cơ mất an toàn của mạng máy
tính rất lớn.
Đó là các nguy cơ bị tấn công của các mạng máy tính, tấn công để lấy dữ
liệu, tấn công nhằm mục đích phá hoại làm tê liệt cả một hệ thống máy tính lớn,
tấn công thay đổi cơ sở dữ liệu …Trước những nguy cơ đó, vấn đề đảm bảo an
toàn cho mạng máy tính trở nên rất cấp thiết và quan trọng hơn bao giờ hết. Các
nguy cơ bị tấn công ngày càng nhiều và ngày càng tinh vi hơn, nguy hiểm hơn.
Đã có nhiều giải pháp bảo mật cho mạng máy tính được đưa ra như dùng
các phần mềm, chương trình để bảo vệ tài nguyên, tạo những tài khoản truy xuất
mạng đòi hỏi có mật khẩu … nhưng những giải pháp đó chỉ bảo vệ một phần
mạng máy tính mà thôi, một khi những kẻ phá hoại mạng máy tính đã thâm nhập
sâu hơn vào bên trong mạng thì có rất nhiều cách để phá hoại hệ thống mạng. Vì
vậy đã đặt ra một yêu cầu là phải có những công cụ để chống sự xâm nhập mạng
bất hợp pháp ngay từ bên ngoài mạng, đó chính là nguyên nhân dẫn tới sự ra đời
của Firewall (Tường lửa).

9


Một Firewall có thể lọc các lưu lượng Internet nguy hiểm như hacker, các
loại sâu, và một số loại virus trước khi chúng có thể gây ra trục trặc trên hệ

thống. Ngoài ra, Firewall có thể giúp cho máy tính tránh tham gia các cuộc tấn
công vào các máy tính khác mà không hay biết. Việc sử dụng một Firewall là cực
kỳ quan trọng đối với các máy tính luôn kết nối Internet, như trường hợp có một
kết nối băng thông rộng hoặc kết nối DSL/ADSL.
Trên Internet, các tin tặc sử dụng mã hiểm độc, như là các virus, sâu và
Trojan, để tìm cách phát hiện những cửa không khóa của một máy tính không
được bảo vệ. Một tường lửa có thể giúp bảo vệ máy tính khỏi bị những hoạt động
này và các cuộc tấn công bảo mật khác.
Vậy một tin tặc có thể làm gì? Tùy thuộc vào bản chất của việc tấn công.
Trong khi một số chỉ đơn giản là sự quấy rầy với những trò đùa nghịch đơn giản,
một số khác được tạo ra với những ý định nguy hiểm. Những loại nghiêm trọng
hơn này tìm cách xóa thông tin từ máy tính, phá hủy nó, hoặc thậm chí ăn căp
thông tin cá nhân, như là các mật khẩu hoặc số thẻ tín dụng. Một số tin tặc chỉ
thích đột nhập vào các máy tính dễ bị tấn công. Các virus, sâu và Trojan rất đáng
sợ. May mắn là có thể giảm nguy cơ lây nhiễm bằng cách sử dụng một Firewall.
1.2.1. Định nghĩa Firewall
Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng
để ngăn chặn, hạn chế hỏa hoạn.
Trong công nghệ mạng thông tin, Firewall là một kỹ thuật được tích hợp
vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông
tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống. Cũng có thể
hiểu Firewall là một cơ chế (Mechanism) để bảo vệ mạng tin tưởng (Trusted
network) khỏi các mạng không tin tưởng (Untrusted network).
Thông thường Firewall được đặt giữa mạng bên trong (Intranet) của một
công ty, tổ chức, ngành hay một quốc gia và Internet. Vai trò chính là bảo mật

10


thông tin, ngăn chặn sự truy nhập không mong muốn từ bên ngoài (Internet) và

cấm truy nhập từ bên trong (Intranet) tới một số địa chỉ nhất định trên Internet.
Internet Firewall là một tập hợp thiết bị (bao gồm phần cứng và phần
mềm) giữa mạng của một tổ chức, một công ty, hay một quốc gia (Intranet) và
Internet: (INTRANET - FIREWALL - INTERNET)
Trong một số trường hợp, Firewall có thể được thiết lập ở trong cùng một
mạng nội bộ và cô lập các miền an toàn. Ví dụ như một mạng cục bộ sử dụng
Firewall để ngăn cách phòng máy và hệ thống mạng ở tầng dưới.
Một Firewall Internet có thể giúp ngăn chặn người ngoài trên Internet
không xâm nhập được vào máy tính.
Một Firewall làm việc bằng cách kiểm tra thông tin đến và ra Internet. Nó
nhận dạng và bỏ qua các thông tin đến từ một nơi nguy hiểm hoặc có vẻ nghi ngờ.
Nếu bạn cài đặt Firewall của bạn một cách thích hợp, các tin tặc tìm kiếm các
máy tính dễ bị tấn công không thể phát hiện ra máy tính.
Firewall là một giải pháp dựa trên phần cứng hoặc phần mềm dùng để
kiểm tra các dữ liệu. Một lời khuyên là nên sử dụng firewall cho bất kỳ máy tính
hay mạng nào có kết nối tới Internet. Đối với kết nối Internet băng thông rộng thì
Firewall càng quan trọng, bởi vì đây là loại kết nối thường xuyên bật (always on)
nên những tin tặc sẽ có nhiều thời gian hơn khi muốn tìm cách đột nhập vào máy
tính. Kết nối băng thông rộng cũng thuận lợi hơn cho tin tặc khi được sử dụng để
làm phương tiện tiếp tục tấn công các máy tính khác.
1.2.2. Khả năng bảo vệ của Firewall
Hệ thống tường lửa có thể thực hiện nhiều chức năng và cung cấp nhiều
giải pháp.Tuy nhiên, một trong các mục đích chính là để kiểm soát quyền truy cập
vào các nguồn tài nguyên, có thể sử dụng nhiều phương pháp để thực hiện nhiệm
vụ này.
Ví dụ : Có thể bảo đảm cho hoạt động cho tất cả các máy chủ và máy tính
cá nhân với hệ thống tường lửa và tất cả chúng đều được cập nhật mới từng

11



ngày, các dịch vụ không cần thiết bị vô hiệu hóa, sử dụng một hình thức xác thực
mạnh mẽ cho phép truy cập, sử dụng các nguồn tài nguyên và có phần mềm bảo
mật được cài đặt trên chúng như trong Hình 1.1.Trong ví dụ này, phần mềm
tường lửa được cài đặt trên mỗi máy PC và máy chủ phục vụ tập tin được cấu
hình chỉ để cho phép một số loại lưu lượng truy cập vào hoặc rời khỏi máy
tính.Việc này trở thành đơn giản khi trong văn phòng có số lượng máy nhỏ, các
thiết bị này có thể chỉ cần chia sẻ tập tin, in ấn, cũng như truy cập mạng Internet
tốt nhất do đó việc thiết lập chính sách bảo mật này trên mỗi thiết bị là đơn giản.

Hình 1. Bảo vệ cho từng thiết bị mạng
Tuy nhiên trong một mạng lưới với hàng chục ngàn thiết bị thì điều này
trở nên khó khăn để quản lý tất cả các thiết bị để bảo đảm rằng chúng hoạt động
tốt. Bên cạnh việc cung cấp tập tin và các dịch vụ chia sẻ in ấn, có thể muốn thực
hiện mức độ Internet truy cập cho các nhóm người dùng khác nhau, cần để bảo vệ
tài nguyên nội bộ nhất định trên cơ sở thành viên nhóm của người dùng, có thể
cho phép các loại chỉ có một số lưu lượng truy cập Internet vào mạng…
Một phương pháp tiếp cận có khả năng mở rộng hơn sẽ được mở rộng để
tập trung vào giải pháp bảo mật của bạn, như thể hiện trong Hình 1.3. Sử dụng

12


cùng một ví dụ trong Hình 1.2, nhưng thay vì sử dụng một giải pháp tường lửa
trên mỗi thiết bị nội bộ, thì ta đặt nó trên các bộ định tuyến vành đai. Trong ví dụ
này, vì các giải pháp tường lửa được thực hiện trong một thiết bị, nó trở nên dễ
dàng hơn nhiều để quản lý các chính sách an ninh và xác thực. Với một thiết bị
duy nhất, nó trở nên dễ dàng hơn để hạn chế lưu lượng truy cập vào và ra trong
mạng. Thiết lập các chính sách chỉ một lần thay vì trên tất cả các thiết bị nội bộ.
Điều này cũng làm giảm tổng chi phí của giải pháp.


Hình 1. Bảo vệ cho tất cả các thiết bị mạng
Điều này không phải là nói rằng chỉ phải sử dụng một trong hai giải pháp
này, cần tập trung vào việc thiết kế đông thời phải cân bằng giữa an ninh, chức
năng và chi phí trong thiết kế. Ví dụ, cần phải quan tâm về những mối đe dọa nội
bộ đến các nguồn tài nguyên nội bộ, vì vậy một số các nguồn tài nguyên quan
trọng nội bộ có thể thực hiện một giải pháp tường lửa.
Trước khi tìm hiểu về các loại tường lửa khác nhau và chức năng của
chúng, ta cần hiểu một số vấn đề hoạt động cơ bản của tường lửa: làm thế nào
bức tường lửa đối phó với lưu lượng truy cập. Ta xem xét mô hình tham chiếu hệ
thống kết nối mở (OSI), được phát triển bởi Tổ chức tiêu chuẩn quốc tế (ISO). ISO
là một cơ quan tiêu chuẩn xác định các tiêu chuẩn cho khả năng tương tác, bao
gồm các tiêu chuẩn mạng. Sử dụng mô hình tham chiếu OSI sẽ cho thấy quá trình

13


lọc lưu lượng truy cập của tường lửa như thế nào. Nhiều chủng loại khác nhau
của các giải pháp tường lửa tồn tại, mỗi chức năng khác nhau. Điều này đặc biệt
đúng với bức tường lửa lọc lưu lượng truy cập.
ISO phát triển mô hình tham chiếu OSI để mô tả làm thế nào các thiết bị
giao tiếp với nhau. Mô hình này được phát triển để giúp hướng dẫn mọi người về
quá trình truyền thông tin, đơn giản hóa nhiệm vụ xử lý sự cố, chia thành phần
liên quan thành một cấu trúc mô-đun, dễ dàng phát triển và thực hiện nhiệm vụ
cho các nhà cung cấp.
Các mô hình tham chiếu OSI chia quá trình truyền thông thành 7 lớp, thể
hiện trong Hình 1.4. Nó xác định quá trình diễn ra khi một người dùng ngồi tại
một vị trí gõ bàn phím truyền thông tin và làm thế nào thông tin đó được vận
chuyển qua mạng và xử lý tại một thiết bị đích.


Hình 1. Mô hình OSI
Khi nói về các giao thức và mô hình tham chiếu OSI, không phải tất cả các
giao thức được sử dụng đều có 7 tầng. Các mô hình tham chiếu OSI chỉ là một mô
hình sử dụng tổng quát để mô tả tương tác giữa các tầng. Ví dụ, trong giao thức
TCP/IP, các tầng Application, Presentation, và Session được nhóm lại thành một
lớp chung, gọi là tầng Ứng dụng. Còn các tầng Transport, Network, Data Link và

14


Physical được sử dụng để xử lý các cơ chế của việc truyền tải dữ liệu giữa các
thiết bị.

Nhiệm vụ của các tầng trong mô hình OSI như sau :
- Tầng ứng dụng (Application layer): Gần với người sử dụng nhất, nó
cung cấp phương tiện cho người dùng truy nhập các thông tin và dữ liệu trên
mạng thông qua chương trình ứng dụng. Tầng này là giao diện chính để người
dùng tương tác với chương trình ứng dụng, và qua đó với mạng. Một số ví dụ về
các ứng dụng trong tầng này bao gồm Telnet, Giao thức truyền tập tin FTP và
Giao thức truyền thư điện tử SMTP, HTTP, X.400 Mail remote
- Tầng trình diễn (Presentation layer) : Biến đổi dữ liệu để cung cấp một
giao diện tiêu chuẩn cho tầng ứng dụng. Nó thực hiện các tác vụ như mã hóa dữ
liệu sang dạng MIME (Multipurpose Internet Mail Extensions – mở rộng của
SMTP)- nén dữ liệu và các thao tác tương tự đối với biểu diễn dữ liệu để trình
diễn dữ liệu theo như cách mà chuyên viên phát triển giao thức hoặc dịch vụ cho
là thích hợp. Chẳng hạn: chuyển đổi tệp văn bản từ mã EBCDIC sang mã ASCII,
hoặc tuần tự hóa các đối tượng (object serialization) hoặc các cấu trúc dữ liệu
(data structure)…
- Tầng phiên (Session layer) : Kiểm soát các (phiên) hội thoại giữa các
máy tính. Tầng này thiết lập, quản lý và kết thúc các kết nối giữa trình ứng dụng

địa phương và trình ứng dụng ở xa. Tầng này còn hỗ trợ hoạt động song công
(duplex) hoặc bán song công (half-duplex) hoặc đơn công (Single) và thiết lập các
qui trình đánh dấu điểm hoàn thành (checkpointing) – giúp việc phục hồi truyền
thông nhanh hơn khi có lỗi xảy ra, vì điểm đã hoàn thành đã được đánh dấu – trì
hoãn (adjournment), kết thúc (termination) và khởi động lại (restart).
- Tầng giao vận (Transport Layer) : Cung cấp dịch vụ chuyên dụng
chuyển dữ liệu giữa các người dùng tại đầu cuối. Tầng giao vận kiểm soát độ tin

15


cậy của một kết nối được cho trước tức là có thể theo dõi các gói tin và truyền lại
các gói bị thất bại. Một ví dụ điển hình của giao thức tầng 4 là TCP. Tầng này là
nơi các thông điệp được chuyển sang thành các gói tin TCP hoặc UDP. Ở tầng 4
địa chỉ được đánh là address ports, thông qua address ports để phân biệt được
ứng dụng trao đổi.
- Tầng mạng (Network Layer) : Cung cấp các chức năng và qui trình cho
việc truyền các chuỗi dữ liệu có độ dài đa dạng, từ một nguồn tới một đích, thông
qua một hoặc nhiều mạng, trong khi vẫn duy trì chất lượng dịch vụ (quality of
service) mà tầng giao vận yêu cầu. Tầng mạng thực hiện chức năng định tuyến,
.Các thiết bị định tuyến (router) hoạt động tại tầng này - gửi dữ liệu ra khắp
mạng mở rộng, làm cho liên mạng trở nên khả thi (còn có thiết bị chuyển mạch
(switch) tầng 3, còn gọi là chuyển mạch IP). Đây là một hệ thống định vị địa chỉ
lôgic (logical addressing scheme) – các giá trị được chọn bởi kỹ sư mạng. Ví dụ
điển hình của giao thức tầng 3 là giao thức IP.
- Tầng liên kết dữ liệu (Data Link Layer) : Cung cấp các phương tiện có
tính chức năng và quy trình để truyền dữ liệu giữa các thực thể mạng, phát hiện
và có thể sửa chữa các lỗi trong tầng vật lý nếu có. Tầng liên kết dữ liệu chính là
nơi các cầu nối (bridge) và các thiết bị chuyển mạch (switches) hoạt động. Kết nối
chỉ được cung cấp giữa các nút mạng được nối với nhau trong nội bộ mạng.

- Tầng vật lí (Physical Layer) : Định nghĩa tất cả các đặc tả về điện và vật
lý cho các thiết bị. Trong đó bao gồm bố trí của các chân cắm (pin), các hiệu điện
thế, và các đặc tả về cáp nối (cable). Các thiết bị tầng vật lí bao gồm Hub, bộ lặp
(repeater), thiết bị tiếp hợp mạng (network adapter) và thiết bị tiếp hợp kênh
máy chủ (Host Bus Adapter)- (HBA dùng trong mạng lưu trữ (Storage Area
Network).
1.2.3. Tường lửa và mô hình OSI
Một hệ thống tường lửa có thể hoạt động tại 5/7 tầng của mô hình OSI.Tuy
nhiên hầu hết các hệ thống tường lửa hoạt động chỉ ở 4 tầng : Liên kết dữ liệu

16


(Data Link), Mạng (Network), Giao vận (Transport) và có thể tầng Ứng dụng
(Application) nhưng cơ bản dựa trên sự đơn giản hay phức tạp của một sản
phẩm tường lửa hoặc giải pháp bảo mật đưa ra hoặc số lượng các tầng được bảo
vệ.Ví dụ một danh sách kiểm soát truy cập tiêu chuẩn IP (ACL) trên một bộ định
tuyến của Cisco có chức năng tại tầng 3 của mô hình OSI và IP ACL mở rộng tại
tầng 3 và 4.

Hình 1. Tường lửa và mô hình OSI
Khi một tường lửa hoặc giải pháp bảo mật sử dụng trên càng nhiều tầng
của mô hình OSI thì khả năng bảo mật càng hiệu quả và triệt để hơn, nó có thể
hạn chế quyền truy cập đến và đi từ các thiết bị. Ví dụ: Một tường lửa chỉ hoạt
động ở tầng 3 hoặc 4 chỉ có thể lọc thông tin trên giao thức IP, địa chỉ IP, số cồng
TCP hoặc UDP, nó không thể lọc thông tin ứng dụng như : xác thực người dùng
hoặc mã lệnh người dùng nhập…
1.3. Giới thiệu công nghệ tường lửa Static Packet Filtering
Ở thời điểm hiện tại có rất nhiều công nghệ Firewall được áp dụng trong
các hệ thống bảo mật mạng như ISA, ASA,….ở đây xin giới thiệu công nghệ Static

packet filtering.

17


Trước hết xem xét thiết bị định tuyến Cisco Router, thiết bị này chạy hệ
điều hành Cisco IOS (Internetworking Operating System). Router làm việc ở tầng
Network trong mô hình tham chiếu OSI. Chức năng của Router là thực hiện định
tuyến đường đi cho các gói tin (thực hiện truyền các gói tin giữa các đoạn mạng
khác nhau). Việc định tuyến của Router được thực hiện dựa vào các bảng định
tuyến mà Router xây dựng dựa vào các giao thức định tuyến để thực hiện tìm ra
tuyến đường tốt nhất giúp các gói tin tìm đến đích (router nhận gói tin ở một
cổng và Forward đến một cổng khác) và có các thông báo dựa vào các bản tin
ICMP nếu như gói tin không thể đến đích.
Các gói tin (IP packet) mà Router thực hiện Forward trong quá trình định
tuyến bao gồm địa chỉ IP nguồn, địa chỉ IP đích. Các gói tin này có thể bị lọc dựa
theo các điều kiện liên quan tới địa chỉ IP nguồn và đích đặt trên các thiết bị
Firewall dạng Packet-Filtering mà chúng ta đang muốn nói đến ở đây. Thêm nữa
các giao thức tại tầng Transport (TCP hay UDP) sẽ đưa thêm các thông tin như
Source port, Destination port vào Header của các Segment hay Datagram. Các
thông tin về port này ngoài việc chỉ ra việc xử lý tại các host cuối sẽ nhận các dữ
liệu đóng gói trong các IP packet, nó cũng được các thiết bị Firewall dạng Packet
Filtering sử dụng để đưa vào các điều kiện lọc (cho phép hay không cho phép).
Static Packet Filtering ra đời vào cuối những năm 80 đầu những năm 90
của thế kỷ trước. Ngày nay hầu hết các thiết bị Router được cung cấp khả năng
để kiểm tra các gói tin IP (IP Packet) để tiến hành lọc (cho phép hay không cho
phép) các gói tin này đi qua dựa vào một tập các IP Packet Filter Rule. Các Router
này đưa ra các kỹ thuật để điều khiển các loại lưu lượng (Traffic) vào ra trên
mạng, các dịch vụ mạng. Static Packet Filtering dựa vào các thông tin tìm được
trong các Packet header như:

-

Số lượng các giao thức
Các địa chỉ IP nguồn và đích
Số lượng cổng nguồn và đích
Các cờ kết nối TCP

18


-

Một vài tùy chọn khác.

Các Router không kiểm tra các TCP/UDP port number khi định tuyến mà
chỉ kiểm tra để Filtering. Ví dụ: Các Telnet Server thường xuyên lắng nghe ở TCP
port 23 còn các Telnet Client port lại không cố định (Source port của phiên telnet
từ telnet client đến telnet server là không cố định, thường được được gán một
port lớn hơn 1023).
Ngoài ra các router có thể thực hiện Filtering thông qua TCP Connection
Flag nhưng trên thực tế SYN và ACK flag được dùng phổ biến hơn để thực hiện
Filtering (SYN Flag và ACK Flag có thể xác định được Connection được thiết lập là
inbound hay outbound). Tất cả các TCP Segment trừ segment đầu tiên đều chứa
một ACK Flag (nó chính là TCP connection message request).
Không phải các thông tin trong Header đều được sử dụng trong các Filter
của Router mà router phải xem xét trên toàn gói tin IP. Xem xét tình huống sau:
Để cho phép các SMTP inbound và outbound, đầu tiên SMTP client sẽ phát kết nối
đến SMTP server với cổng nguồn là một cổng bất kỳ mà nó gán vào còn cổng đích
là 25. Khi SMTP server nhận được yêu cầu này nó sẽ trả lại các IP packet với cổng
nguồn là 25 và cổng đích là cổng nguồn của SMTP client khi kết nối đến (cổng này

sẽ lớn hơn 1023). Như vậy để cho phép kết nối này chúng ta phải cho phép các gói
tin IP có cổng nguồn và cổng đích lớn hơn 1023. Vậy nếu router tiến hành lọc dựa
trên cổng nguồn thì nó có thể tiến hành chặn các lưu lượng SMTP đến với cổng
đích lớn hơn 1023 và cổng nguồn khác 25. Tuy nhiên router không thể dựa vào
cổng nguồn trong tình huống này được và nó phải cho phép các lưu lượng SMTP
đến với cổng đích lớn hơn 1023 và cổng nguồn là 25 (do kết nối là hai chiều client
– server - client). Do đó các hacker có thể khai thác từ chính sách này để sử dụng
các cổng lớn hơn 1023 tại SMTP Server.
Các quy tắc lọc gói tin có thể dựa vào thông tin về giao diện mạng nơi gói
tin xuất phát và giao diện mạng nơi gói tin đi đến (trong trường hợp router có
nhiều hơn 2 giao diện). Tuy nhiên lại không phải Router nào cũng tiến hành lọc

19


dựa trên cả giao diện đến và đi được (nhiều router chỉ lọc trên các giao diện đi)
và trong tình huống chỉ lọc trên giao diện đi này nó lại được thực hiện sau khi
router xây dựng xong bảng định tuyến và xác định giao diện nào mà nó sẽ chuyển
tiếp gói tin qua để thực hiện định tuyến.
Packet filtering là mô hình lọc không trạng thái, tức là mỗi IP packet sẽ
được kiểm tra độc lập không có liên quan gì tới việc đã tiến hành với nó trước đó
cũng như những gì xảy ra tiếp theo. Việc cho phép hay không cho phép các packet
đi qua được thực hiện thông qua việc kiểm tra từng packet một và so sánh nó với
các quy tắc đã xác lập và làm tốn thời gian để kiểm tra cũng như hiệu năng làm
việc của router.
Thông thường các Packet filtering được đặt tại các giao diện để kết nối các
mạng với nhau (tránh trường hợp phải bổ sung nhiều bộ lọc và kiểm soát chặt
chẽ các tín hiệu ra vào).Có thể cấu hình bộ lọc gói tin trên các Firewall như
Microsoft ISA Server, Access Controll List trên thiết bị định tuyến Cisco Router,
Cisco PIX firewall, Check point,...

1.4. Tường lửa lọc gói tin tĩnh - Static Packet Filtering Firewalls
1.4.1. Tường lửa lọc gói tin tĩnh trong mô hình OSI
Tường lửa lọc gói tin thường là một phần của một giải pháp tường lửa
của router, làm nhiệm vụ lọc lưu lượng ở các lớp mạng của mô hình OSI (lớp IP
của TCP / IP). Hình 1.6 cho thấy tường lửa lọc gói tin tĩnh ánh xạ các lớp của mô
hình OSI.

20


Hình 1. Tường lửa lọc gói tin tĩnh ánh xạ các lớp của mô hình OSI
Tường lửa lọc gói tin tĩnh hoạt động như một thiết bị lớp 3, sử dụng các
quy tắc lọc và ACL để xác định cho phép hoặc từ chối lưu lượng truy cập dựa trên
địa chỉ IP nguồn và đích, cũng như số lượng cổng nguồn, đích và loại gói tin. Quy
tắc lọc cũng có thể được sử dụng để giúp những bức tường lửa quyết định có nên
từ chối bất kỳ gói dữ liệu nào từ bên ngoài khẳng định là đến từ một địa chỉ bên
trong mạng.
Mỗi dịch vụ dựa trên các cổng cụ thể nên tường lửa lọc gói tin tĩnh cũng có
thể kiểm soát luồng lưu lượng dựa trên các cổng.Vì vậy, bằng cách hạn chế các
cổng nhất định có thể hạn chế các dịch vụ dựa trên những cổng đó.Ví dụ, nếu
muốn ngăn chặn lưu lượng truy cập web từ một máy chủ nhất định có thể chặn
cổng 80 để ngăn chặn các máy chủ truy cập đến các trang web.
Tường lửa lọc gói tin tương tự như các bộ định tuyến lọc gói tin, nhưng
cung cấp thêm các lợi ích khác ví dụ như bộ lọc gói tin có khả năng mở rộng, ứng
dụng độc lập đạt tiêu chuẩn hiệu suất cao.Nhược điểm là chúng không cung cấp
đầy đủ các giải pháp bảo mật cần thiết trong các mạng ngày nay.
1.4.2. Lọc gói tin tĩnh sử dụng ACLs

21



Access Control List (ACL) là bộ lọc cho phép kiểm soát bản cập nhật định
tuyến hoặc các gói tin được cho phép hoặc bị từ chối đi vào hoặc đi ra khỏi mạng.
Đặc biệt các quản trị mạng sử dụng chúng để lọc lưu lượng truy cập và cung cấp
bảo mật thêm cho các mạng, điều này có thể được áp dụng trên thiết bị định
tuyến (Cisco). ACL cung cấp một cách mạnh mẽ để kiểm soát lưu lượng truy cập
vào và ra khỏi mạng, kiểm soát này có thể đơn giản như cho phép hoặc từ chối
các máy chủ mạng hoặc địa chỉ. Có thể cấu hình ACL cho tất cả các giao thức định
tuyến mạng. Ngoài ra ACL cũng có thể được cấu hình để kiểm soát lưu lượng truy
cập mạng dựa trên các cổng TCP đang được sử dụng.
Một router hoạt động như một bộ lọc gói tin khi nó chuyển tiếp hoặc từ
chối các gói tin theo các quy tắc lọc. Như một thiết bị lớp 3, một bộ định tuyến lọc
gói tin sử dụng quy tắc để xác định có cho phép hoặc từ chối lưu lượng truy cập
dựa trên địa chỉ IP nguồn và đích, cổng nguồn, cổng đích và giao thức của gói tin.
Những quy định này được xác định bằng cách sử dụng danh sách kiểm soát truy
cập hoặc ACL.

Hình 1. Lọc gói tin tĩnh sử dụng ACLs

22


Khi một gói tin đến router, router trích xuất các thông tin nhất định từ tiêu
đề các gói tin và ra quyết định theo các quy tắc lọc để xem các gói tin có thể
truyền qua hoặc bị từ chối. Quá trình lọc gói tin hoạt động tại tầng mạng của mô
hình OSI hoặc lớp Internet của TCP / IP.
1.5. Hệ thống lọc gói tin tĩnh trên bộ định tuyến Cisco
Lọc gói tin tĩnh có thể được thực hiện bởi một vài thiết bị có sử dụng ACLs.
Ví dụ, Cisco IOS thường xuyên sử dụng ACLs không chỉ là tường lửa lọc gói tin
tĩnh mà còn chỉ định lựa chọn loại lưu lượng sẽ được phân tích, chuyển tiếp hoặc

ảnh hưởng theo một cách nào đó.

Hình 1. Tường lửa lọc gói tin tĩnh (Static Packet Filtering) trên Router
Cisco
Trong hầu hết các trường hợp chúng ta thường thiết lập bảo vệ các giao
diện Ethernet kết nối với mạng nội bộ (bên trong), trong khi các giao diện nối tiếp
kết nối với Internet (bên ngoài) là không được bảo vệ. Trong hình 1.8, cho phép
tất cả người dùng từ bên trong truy cập Internet, trong trường hợp này tất cả
các kết nối gửi đi được chấp nhận. Bộ định tuyến kiểm tra các gói tin đến từ

23


Internet và cho phép truy cập vào các hệ thống tên miền (DNS), dịch vụ Mail, FTP,
mặt khác từ chối truy cập vào tất cả các dịch vụ khác.

CHƯƠNG 2
CÔNG NGHỆ TƯỜNG LỬA STATIC PACKET FILTERING
2.1. Tường lửa lọc gói tin tĩnh (Static Packet Filtering Firewall)
Một hệ thống tường lửa có thể bao gồm nhiều thiết bị và các thành phần
khác nhau, một trong các thành phần quan trọng đó là Bộ lọc lưu lượng (filtering
of traffic) thường được gọi là Tường lửa.
Có các loại tường lửa như sau: tường lửa lọc gói tin, tường lửa trạng thái,
tường lửa cổng ứng dụng, tường lửa Address-translation, tường lửa Host-based
(server and personal), tường lửa lai (Hybrid).
Hình thức đơn giản nhất của một tường lửa là lọc gói tin, một tường lửa
lọc gói tin thường là một bộ định tuyến có khả năng lọc về một số nội dung của
các gói tin. Những thông tin mà một tường lửa lọc gói tin có thể kiểm tra bao
gồm thông tin tầng 3 và đôi khi ở tầng 4.
Ví dụ với Cisco Router ACLs tiêu chuẩn có thể lọc thông tin tại tầng 3 và

Cisco Router ACLs mở rộng có thể lọc thông tin ở cả hai tầng 3 và tầng 4.

24


Hình 2. Tường lửa lọc gói tin trong mô hình OSI
Bởi vì TCP/IP là chuẩn giao tiếp trên thực tế của các giao thức trong các
mạng ngày nay, hầu hết các tường lửa lọc gói tin hỗ trợ giao thức này, ngoài ra
tường lửa lọc gói tin có thể hỗ trợ các giao thức khác như : IPX, AppleTalk,
DECnet và địa chỉ MAC lớp 2 và chuyển tiếp thông tin…
2.1.1. Hành động lọc gói tin - Filtering Actions
Khi thực hiện lọc gói tin, các quy tắc lọc gói tin được xác định trên tường
lửa, các quy tắc này được sử dụng phù hợp với nội dung gói tin để xác định lưu
lượng truy cập được cho phép hay bị từ chối. Khi lưu lượng bị từ chối, hai hành
động có thể được thực hiện: Thông báo cho người gửi lưu lượng truy cập dữ liệu
của họ đã bị từ chối hoặc loại bỏ các dữ liệu mà không cần bất kỳ thông báo
nào.Việc này có thể quan trọng khi triển khai thực hiện một giải pháp bảo mật
với tường lửa, với tùy chọn đầu tiên, người dùng biết rằng lưu lượng truy cập đã
được lọc bởi một bức tường lửa. Nếu đây là một người sử dụng nội bộ để truy cập
vào một nguồn tài nguyên nội bộ, người sử dụng có thể gọi các quản trị viên và
thảo luận về các vấn đề. Các quản trị viên sau đó có thể thay đổi các quy tắc lọc để
cho phép người dùng truy cập nếu người dùng có đặc quyền thích hợp. Nếu các
bức tường lửa lọc gói tin không gửi lại một tin nhắn, người sử dụng sẽ không biết
tại sao kết nối không được thiết lập và sẽ phải dành nhiều thời gian xử lý sự cố.

25