Tải bản đầy đủ (.docx) (26 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Công nghệ thông tin

Báo cáo thực tập về Firewall

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (526.41 KB, 26 trang )

MỤC LỤC

DANH MỤC HÌNH VẼ

Hình 1 : Tường lửa bộ lọc gói
Hình 2: Tường lửa dịch vụ ủy thác
Hình 3: Hoạt động của Standard ACL
Hình 4: Topology dự án Bắc Giang

15
16
19
25

1


LỜI MỞ ĐẦU
Với mong muốn hoàn thiện cho bản thân những kiến thức để đáp ứng tốt cho
công việc trong tương lai, em xác định là cần phải hiểu biết cả về lý thuyết và thực
hành. Trong suốt quãng thời gian nghiên cứu, học tập trên giảng đường về cơ bản lý
thuyết em đã được trang bị đầy đủ. Nhưng thực tại cho thấy giữa lý thuyết và thực
hành có rất nhiều điểm khác nhau, nếu chỉ nắm vững lý thuyết mà không có thực hành
thì kết quả sẽ không tốt hoặc đi chệch hướng.
Nhận thức được điều đó, em thấy được tầm quan trọng của quá trình thực tập.
Trong giai đoạn thực tập sẽ trang bị cho em những kiến thức thực tế. Vì được quan sát
trực tiếp, được thực hành công việc từ đó em sẽ có thêm kiến thức để hỗ trợ cho các
vấn đề lý thuyết đã được học. Hơn nữa từ thực tế ở công ty sẽ trang bị thêm cho em
những kinh nghiệm quý báu trong công việc mai sau.
Qua tìm hiểu được biết Công ty Bway là công ty đã và đang khẳng định vị thế
trong các lĩnh vực như: Tích hợp hệ thống, Dịch vụ phần mềm, Viễn thông – Phân


phối các sản phẩm ICT. Công ty đã từng bước đi lên và trở thành một công ty có uy tín
trong lĩnh vực Tích hợp hệ thống và Phân phối các sản phẩm ICT.
Được sự giúp đỡ tận tình của phòng Tích hợp hệ thống của Công ty cùng với sự
giúp đỡ của Phó Giám Đốc Nguyễn Đức Kiểm, em đã trình bày báo cáo tổng hợp tại
Công ty Bway.
Trong thời gian thực tập với những công việc và nhiệm vụ được giao em chia
bản báo cáo thành 3 phần với những nội dung như sau:
Chương 1. Tổng quan về đơn vị thực tập
Giới thiệu về đơn vị thực tập
Chương 2: Tìm hiểu về Firewall cứng
Trình bày khái niệm, phần loại, chức năng, nhiệm vụ và cơ chế hoạt động của Firewall
2


Chương 3: Triển khai dự án mạng tại Trường Cao đẳng Công nghệ Việt – Hàn
Bắc Giang
Trình bày về công việc được giao thực hiện khi tham gia triển khai dự án

CHƯƠNG 1. TỔNG QUAN VỀ ĐƠN VỊ THỰC TẬP
1.1.

Giới thiệu chung
Được thành lập ngày 28/09/20012 bởi một nhóm các chuyên gia giàu kinh

nghiệm trong lĩnh vực Công nghệ thông tin và Tích hợp hệ thống. Công ty Bway đã và
đang khẳng định vị thế trên thị trường thông qua những hoạt động kinh doanh chủ lực
như: Tích hợp hệ thống, Dịch vụ phần mềm, Viễn thông – Phân phối các sản phẩm
ICT.

Lĩnh vực hoạt động của Bway bao gồm: Cung cấp các giải pháp công nghệ

thông tin, cung cấp các thiết bị tin học, tích hợp hệ thống, dịch vụ phần mềm, chuyển
giao công nghệ và cung cấp dịch vụ bảo hành, bảo trì các sản phẩm CNTT.
Với cơ cấu gọn nhẹ, khả năng tài chính vững mạnh cùng với một chiến lược
quản trị doanh nghiệp rõ ràng, Bway đang ngày càng khẳng định vị trí và vị thế trong
lĩnh vực Công nghệ thông tin tại Việt nam.
1.2.

Phương châm hoạt động

3


Với phương châm “Chi phí - Thời gian - Hiệu quả - Chất lượng” phù hợp với
nhu cầu của từng cá nhân, cơ quan tổ chức, doanh nghiệp. Bway tin tưởng sẽ đem lại
cho khách hàng sự hài lòng về năng lực công nghệ, kinh nghiệm thực tế, bản lĩnh nghề
nghiệp và phong cách làm việc chuyên nghiệp sáng tạo.

Chi phí

Chất lương

Phương châm hoạt động

Thời gian

Hiệu quả

Đối với Bway sự hài lòng của khách hàng là giá trị và sự sống còn của doanh
nghiệp. Chính vì vậy điều quan trọng hàng đầu trong chiến lược kinh doanh của công
ty là cam kết mang lại hiệu quả tối ưu cho khách hàng bằng các giải pháp công nghệ

hữu ích và hơn hết là bằng chất lượng dịch vụ được thể hiện trong nguyên tắc phục vụ
khách hàng.
-

Đáp ứng nhanh chóng và hiệu quả mọi yêu cầu của khách hàng.
Đảm bảo sự phục vụ, hỗ trợ liên tục đối với các dịch vụ mà công ty cung cấp.
Nhiệt tình, chu đáo với thái độ nhanh nhẹn, hòa nhã.
Đảm bảo cung cấp dịch vụ với giá cả hợp lý và sức cạnh tranh cao.
Luôn quan tâm đến chính sách đào tạo nhân viên để đảm bảo tính chuyên môn
cao.

Chất lượng là yếu tố quyết định đối với sự hài lòng của khách hàng và cũng là sự
thành công của Công ty. Vì vậy Bway luôn dành ưu tiên hàng đầu cho công tác đảm
bảo chất lượng. Bway cam kết cung cấp cho khách hàng của mình các sản phẩm và
dịch vụ phần mềm chất lượng cao, đúng thời hạn và với giá cả hợp lý.

4


1.3.

Giá trị cốt lõi

Hướng tới khách hàng

Con người là trung tâm

Cam kết hoàn thiện

Phát triển bền vững


-

Hợp tác chia sẻ

Hướng tới khách hàng: Phục vụ khách hàng với sản phẩm, dịch vụ an toàn hiệu
quả với chất lượng tốt nhất. Mọi hoạt động kinh doanh của công ty đều hướng
đến nhu cầu và sự hài lòng của khách hàng. Sự hài lòng của khách hàng là một

-

trong những sứ mệnh của Bway, giúp công ty phát triển trường tồn.
Cam kết hoàn thiện: Công ty chủ động nắm bắt trước nhu cầu của khách hàng
và không ngừng hoàn thiện và sáng tạo những sản phẩm dịch vụ hiện tại, đưa ra
những sản phẩm và dịch vụ mới, đáp ứng nhu cầu ngày càng cao và đa dạng
của thị trường. Chúng tôi mong muốn cung cấp "sự hoàn hảo trong mọi dịch

-

vụ" của Bway.
Hợp tác chia sẻ: hành động trên tinh thần hợp tác với khách hàng, đối tác,

-

CBNV để tạo ra và cùng nhau chia sẻ những lợi ích dài hạn, bền vững.
Phát triển bền vững: Bway cam kết tạo ra giá trị bền vững, đặt trọng tâm vào lợi
ích dài hạn cho khách hàng.
5



-

Con người là trung tâm: Chúng tôi tin tưởng rằng con người là yếu tố quan
trọng nhất, là nguồn vốn của bất kỳ tổ chức nào. Với “nguồn vốn” dồi dào của
mình, cùng chiến lược đúng đắn, công ty sẽ không ngừng vươn xa và phát triển
mạnh mẽ.

1.4. Nội quy lao động tại công ty
1.4.1. Quy định về thời gian làm việc và ngày nghỉ của công
ty
-

Thời gian làm việc buổi sáng: Từ 8h00 - 12h.
Thời gian làm việc buổi chiều: Từ 13h – 17h.
CBCNV được nghỉ chiều thứ bảy và cả ngày chủ nhật hàng tuần.

Các hình thức xử lý vi phạm về thời gian làm việc: đi làm muộn, vắng mặt trong giờ
làm việc không có lý do…như sau:
Đối với mỗi cá nhân vi phạm:
-

Trừ điểm hoàn thành nhiệm vụ của tháng theo quy định.
Khiển trách: Vi phạm từ 03 lần trở lên trong 01 tháng, 03 tháng trong 01 năm.
Xem xét chuyển loại hình HĐLĐ nếu thường xuyên bị khiển trách.
Các trường hợp thường xuyên bị khiển trách sẽ không được xét thưởng cuối

-

năm.
Kéo dài thời hạn nâng lương 6 tháng hoặc bị sa thải nếu thường xuyên bị khiển

trách.

Đối với tập thể có cá nhân vi phạm:
-

Tập thể bị trừ điểm hoàn thành nhiệm vụ hàng tháng theo quy định.
Xem xét để đánh giá xét thưởng cuối năm tùy thuộc vào mức độ vi phạm của

tập thể có cá nhân vi phạm.
1.4.2. Quy định về các ngày nghỉ Lễ, Tết, nghỉ phép, nghỉ chế độ
Nghỉ lễ tết, nghỉ phép:
CÁC NGÀY
NGHỈ

SỐ NGÀY ÁP DỤNG

SỐ NGÀY
NGHỈ

Tết âm lịch

01 ngày cuối năm và 03 ngày đầu năm

04 ngày

Tết dương lịch

01 tháng 01

01 ngày


6


Ngày giải phóng

30 tháng 04

01 ngày

Ngày quốc tế LĐ

01 tháng 05

01 ngày

Ngày Quốc khánh

02 tháng 09

01 ngày

Ngày giỗ tổ Hùng
vương

Ngày 10 tháng 3 âm lịch hàng năm.

01 ngày

Nghỉ phép năm


12 ngày, CBNV ký HĐLĐ xác định
thời hạn hoặc vô thời hạn.

12 ngày

Nghỉ chế độ:
-

Nghỉ việc riêng có hưởng lương:

• Nghỉ kết hôn bản thân (03 ngày).
• Nghỉ con kết hôn( 01 ngày).
• Bố (đẻ/vợ/chồng), Mẹ(đẻ/vợ/chồng), vợ/chồng/con – mất (03 ngày).
-

Nghỉ được hưởng lương Bảo hiểm xã hội:

• Nghỉ ốm đau, thai sản, tai nạn, bệnh nghề nghiệp.
• Nghỉ chuẩn bị trước khi nghỉ hưu.
-

Nghỉ việc không hưởng lương:

• CBCNV gặp hoàn cảnh khó khăn phải nghỉ việc riêng, có lý do chính
đáng, có ý kiến đề nghị của Trưởng phòng và được cấp có thẩm quyền
phê duyệt.

• CBCNV có ông nội, bà nội, ông ngoại, bà ngoại, anh, chị, em ruột mất
bố hoặc mẹ tái hôn; anh, chị, em ruột kết hôn được nghỉ 01 ngày không

hưởng lương và phải thông báo để lãnh đạo công ty phê duyệt.

7


CHƯƠNG 2: TÌM HIỂU VỀ FIREWALL CỨNG
2.1. Tổng quan về Firewall
2.1.1. Khái niệm
Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để
ngăn chặn, hạn chế hỏa hoạn. Trong công nghệ thông tin, tường lửa (Firewall) là một
thuật ngữ dùng mô tả những thiết bị hay phần mềm có nhiệm vụ lọc những thông tin đi
vào hay đi ra một hệ thống mạng hay máy tính theo những quy định đã được cài đặt
trước đó. Mục tiêu của việc sử dụng tường lửa là tạo ra những kết nối an toàn từ vùng
mạng bên trong ra bên ngoài hệ thống, cũng như đảm bảo không có những truy cập
trái phép từ bên ngoài vào những máy chủ và thiết bị bên trong hệ thống mạng.

Một Firewall có thể được định nghĩa là một tập hợp các thành phần được đặt
giữa hai mạng và có chung ba đặc điểm sau đây:
-

Tất cả các lưu lượng từ trong ra ngoài và ngược lại đều phải đi qua Firewall.
Chỉ các lưu lượng được cho phép như được ấn định bởi chính sách bảo mật cục

-

bộ mới được phép đi qua.
Chính Firewall không bị ảnh hưởng bởi sự thâm nhập.

2.1.2. Chức năng
Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet và

Internet. Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và
mạng Internet.
8


-

Cho phép hoặc cấm những dịch vụ truy cập ra ngoài.
Cho phép hoặc cấm những dịch vụ từ ngoài truy cập vào trong.
Theo dõi luồng dữ liệu mạng giữa Internet và Intranet
Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập
Kiểm soát người sử dụng và việc truy cập của người sử dụng.
Kiểm soát nội dung thông tin lưu chuyển trên mạng.

2.1.3. Phân loại
Firewall được chia làm 2 loại, gồm Firewall cứng và Firewall mềm:
Firewall cứng: là loại Firewall được tích hợp trực tiếp lên phần cứng. Firewall cứng
có khả năng hoạt động ở mọi lớp với tốc độ cao nhưng giá cả rất cao.

Đặc điểm của Firewall cứng:
-

Không được linh hoạt như Firewall mềm (không thể thêm chức năng, thêm quy

-

tắc như firewall mềm)
Firewall cứng hoạt động ở tầng thấp hơn Firewall mềm (tầng Network và tầng

-


Transport)
Firewall cứng không thể kiểm tra được nột dung của gói tin.

Firewall mềm
Firewall mềm là những phần mềm được cài đặt trên máy tính đóng vai trò làm
firewall. Có 2 loại là Stateful Firewall (tường lửa có trạng thái) và Stateless Firewall
(tường lửa không trạng thái).

Đặc điểm :
9


-

Có tính linh hoạt cao :có thể thêm bớt các luật hoặc các chức năng vì bản chất

-

nó chỉ là 1 phần mềm.
Firewall mềm hoạt động ở tầng cao hơn Firewall cứng (tầng ứng dụng).
Có khả năng kiểm tra nội dung của các gói tin thông qua các từ khóa được quy
định trong chương trình.

2.1.4. Ưu, nhược điểm của Firewall
Ưu điểm:
-

Firewall do con người cấu hình có thể che dấu mạng nội bộ bên trong, lọc dữ
liệu và nội dung của dữ liệu để ngăn chặn được các ý đồ xấu từ bên ngoài như:

muốn đánh cắp thông tin mật, muốn gây thiệt tê liệt hệ thống đối thủ của mình

-

để gây thiệt hại về kinh tế.
Firewall có thể ngăn chặn các cuộc tấn công vào các server gây tổn thất lớn cho

-

các doanh nghiệp .
Ngoài ra firewall còn có khả năng quét virus, chống spam … khi được tích hợp
những công cụ cần thiết.

Nhược Điểm:
-

Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại
thông tin và phân tích nội dung tốt hay xấu của nó. Firewall chỉ có thể ngăn
chặn sự xâm nhập của những nguồn thông tin không mong muốn nhưng phải

-

xác định rõ các thông số địa chỉ.
Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không
“đi qua” nó. Một cách cụ thể, firewall không thể chống lại một cuộc tấn công từ
một line dial-up, hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên

-

đĩa mềm.

Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data-driven

-

attack).
Firewall có thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua nó.
Nhưng do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có rất
nhiều cách để mã hóa dữ liệu…Virus vẫn thoát khỏi khả năng rà quét của
firewall.

10


2.2. Chức năng, nhiệm vụ của Firewall cứng
2.2.1. Chức năng của Firewall
Chức năng chính của Firewall là kiểm soát luồng thông tin giữa Intranet và
Internet. Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và
mạng Internet.
-

Cho phép hoặc cấm các dịch vụ truy cập ra ngoài.
Cho phép hoặc cấm các dịch vụ từ ngoài truy cập vào trong.
Theo dõi luồng dữ liệu mạng giữa Internet và Intranet.
Kiểm soát địa chỉ truy nhập, cấm hoặc cho phép địa chỉ truy nhập.
Kiểm soát người dùng và việc truy cập của người dùng.
Kiểm soát nội dung thông tin lưu chuyển trên mạng.
Ngăn ngừa khả năng tấn công từ các mạng ngoài.
Khi Firewall hoạt động, nó sẽ khảo sát tất cả các luồng lưu lượng giữa hai mạng

để xem luồng lưu lượng này có đạt chuẩn hay không. Nếu đạt, nó được định tuyến

giữa các mạng, ngược lại, lưu lượng sẽ bị hủy.
Bộ lọc của Firewall có khả năng lọc cả lưu lượng ra lẫn lưu lượng vào. Nó cũng
có thể quản lý việc truy cập từ bên ngoài vào nguồn tài nguyên bên trong mạng.
Firewall có thể được sử dụng để ghi lại tất cả các cố gắng truy nhập vào mạng
riêng và đưa ra cảnh báo kịp thời đối với những thâm nhập trái phép.
Firewall có thể lọc các gói tin dựa vào địa chỉ nguồn, địa chỉ đích và số cổng
của chúng, đây được gọi là lọc địa chỉ. Firewall cũng có thể lọc các loại lưu lượng đặc
biệt của mạng và điều này được gọi là lọc giao thức bởi vì việc ra quyết định cho
chuyển tiếp hoặc từ chối lưu lượng phụ thuộc vào giao thức được sử dụng, ví dụ
HTTP, FTP hoặc Telnet. Firewall cũng có thể lọc luồng lưu lượng thông qua thuộc tính
và trạng thái của gói.
Một số Firewall có chức năng cao cấp như: đánh lừa được Hacker, làm cho
Hacker nhầm tưởng rằng đã phá vỡ được hệ thống an toàn nhưng về cơ bản, nó phát
hiện sự tấn công và tiếp quản nó, dẫn dắt kẻ tấn công đi theo một hướng nhất định
nhằm để Hacker tin rằng họ đã vào được một phần của hệ thống và có thể truy cập xa
hơn, các họat động của kẻ tấn công có thể được ghi lại và theo dõi. Nếu có thể giữ kẻ
phá hoại trong một thời gian, người quản trị có thể lần theo dấu vết của họ.
11


2.2.2. Nhiệm vụ của Firewall
Bảo vệ thông tin
-

Bảo vệ các dữ liệu quan trọng trong hệ thống mạng nội bộ.
Bảo vệ tài nguyên hệ thống.
Bảo vệ danh tiếng của công ty sở hữu các thông tin cần bảo vệ.

Phòng thủ các cuộc tấn công


-

Ngoài việc bảo vệ các thông tin từ bên trong hệ thống, Firewall còn có thể

-

chống lại các cuộc tấn công từ bên ngoài vào như:
Hacker thường sử dụng một số chương trình có khả năng dò tìm các thông tin
về hệ thống của bạn như tài khoản và password đăng nhập. Firewall có khả

-

năng phát hiện và ngăn chặn kịp thời các tấn công theo kiểu tấn công này.
Firewall cũng có khả năng phát hiện và ngăn chặn các chương trình Sniff
(chương trình có khả năng chụp lại các gói tin khi nó được truyền đi trên mạng)

-

mà Hacker thường sử dụng để lấy các thông tin đang được truyền đi trên mạng.
Hacker hay sử dụng lỗi của các chương trình ứng dụng và bản thân hệ điều
hành đã được sử dụng từ những vụ tấn công đầu tiên và vẫn được để chiếm

-

quyền truy cập (có được quyền của người quản trị hệ thống).
Nghe trộm: Có thể biết được tên, mật khẩu, các thông tin chuyền qua mạng
thông qua các chương trình cho phép đưa vỉ giao tiếp mạng (NIC) vào chế độ

-


nhận toàn bộ các thông tin lưu truyền qua mạng.
Giả mạo địa chỉ IP: Hacker thường dung cách này để giả mạo là máy tính hợp
pháp nhằm chiếm quyền điều khiển trình duyệt web trên máy tính bị tấn công.
12


-

Vô hiệu hoá các chức năng của hệ thống (deny service). Đây là kiểu tấn công
nhằm làm tê liệt toàn bộ hệ thống không cho nó thực hiện các chức năng mà nó
được thiết kế. Kiểu tấn công này không thể ngăn chặn được do những phương
tiện tổ chức tấn công cũng chính là các phương tiện để làm việc và truy nhập

-

thông tin trên mạng.
Lỗi người quản trị hệ thống: yếu tố con người với tính cách chủ quan và không
hiểu rõ tầm quan trọng của việc bảo mật hệ thống nên dễ dàng để lộ các thông
tin quan trọng cho hacker. Ngày nay, trình độ của các hacker ngày càng giỏi
hơn trong khi các hệ thống mạng vẫn còn chậm chạp trong việc xử lí lỗ hổng
của mình. Điều này đòi hỏi người quản trị mạng phải có kiến thức tốt về bảo
mật mạng để có thể giữ vững an toàn cho thông tin hệ thống. Đối với người
dung cá nhân, họ không biết hết các thủ thuật để tự xây dựng cho mình một
Firewall, nhưng cũng nên hiểu rõ tầm quan trọng của việc bảo mật thông tin
cho mỗi cá nhân, qua đó tự tìm hiểu để biết các phòng tránh những sự tấn công
đơn giản từ hacker. Vấn đề là ý thức, khi có ý thức đề phòng thì khả năng an
toàn sẽ cao hơn.
Ngoài ra, Firewall còn có nhiều chức năng kiểm tra, lọc các lưu lượng vào/ra hệ

thống, bảo vệ an toàn các thông tin từ bên trong và ngăn chặn các cố gắng thâm nhập

từ bên ngoài vào hệ thống.
2.3. Cấu trúc và nguyên tắc hoạt động của Firewall cứng
2.3.1. Cấu trúc của Firewall cứng
Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua firewall
thì điều đó có nghĩa rằng firewall hoạt động kết hợp chặt chẽ với giao thức TCP/IP. Vì
giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng
trên mạng, hay chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP,
DSN, SMNP, NFS,...) thành các gói dữ liệu (data packets) rồi gán cho các packet này
những địa chỉ để có thể được định tuyến, nhận dạng và tái lập lại ở đích cần gửi đến,
do đó các loại firewall cũng liên quan rất nhiều đến các packet và những con số địa chỉ
của chúng.
Ngày nay Firewall được xây dựng dựa trên cơ sở bộ lọc gói (packet filter), trên
cổng ứng dụng (Application gateway),
13

kĩ thuật giám sát trạng thái (Stateful


inspecting) Trong phần này tôi sẽ trình bày 3 kiến trúc firewall cơ bản dựa theo sư
phân loại đó.
2.3.1.1. Firewall bộ lọc gói tin (PACKET FILTERING FIREWALL)
Loại firewall này thực hiện việc kiểm các thông số điều khiển trong trường
header của các gói tin IP để cho phép chúng có thể lưu thông qua lại hay không. Các
thông số có thể lọc được của một gói tin như sau:
-

Địa chỉ IP nguồn (source IP address)
Địa chỉ IP đích (destination IP address)
Cổng TCP nguồn (TCP source port)
Cổng TCP đích (TCP destination port)


Nhờ vậy mà firewall có thể ngăn cản được các kết nối vào những máy chủ hoặc
mạng nào đó đã được xác định, hoặc khóa việc truy cập vào hệ thống nội bộ từ những
địa chỉ nguồn không cho phép. Hơn nữa việc kiểm soát các cổng làm cho firewall có
khả năng chỉ cho phép một số loại kết nối nhất định vào máy chủ nào đó, hoặc chỉ có
những dịch vụ nào đó (Telnet, SMTP, FTP,...) được phép mới chạy được trên hệ thống
mạng nội bộ.

Hình 1 : Tường lửa bộ lọc gói

2.3.1.2. Firewall các dịch vụ uỷ thác (PROXY SERVER)
Firewall dịch vụ ủy thác là một thiết bị bình phong bảo mật dùng để phân tích
các gói dữ liệu được chuyển vào. Khi các gói dữ liệu từ bên ngoài đến proxy server,
chúng được kiểm tra và đánh giá để xác định xem chính sách bảo mật có cho phép
14


chúng vào mạng hay không. Proxy server không chỉ định giá trị các địa chỉ IP mà còn
xem xét dữ liệu trong các gói để tìm lỗi và sửa sai.

Hình 2: Tường lửa dịch vụ ủy thác

Có 2 loại proxy server cơ bản đó là: cổng mức mạng và cổng mức ứng dụng.
Gateway mức mạng (Network Level Gateway)
-

Loại proxy server này cung cấp kết nối (có điều khiển) giữa các hệ thống nội và

-


ngoại.
Có một mạch ảo giữa người dùng nội và proxy server.
Các yêu cầu Internet đi qua mạch này đến proxy server, và proxy server chuyển

-

giao yêu cầu này đến Internet sau khi thay đổi địa chỉ IP.
Người dùng ngoại chỉ thấy địa chỉ IP của proxy server.
Các phản hồi được proxy server nhận và gởi đến người dùng thông qua mạch

-

ảo.
Mặc dù luồng lưu thông được phép đi qua, các hệ thống ngoại không bao giờ

-

thấy được hệ thống nội.
Loại kết nối này thường được dùng để kết nối người dùng nội “được ủy thác”
với Internet.

Gateway mức ứng dụng (Application level Gateway)
-

Proxy server mức ứng dụng cung cấp tất cả các chức năng cơ bản của proxy

-

server và còn phân tích các gói dữ liệu.
Khi các gói từ bên ngoài đến cổng này, chúng được kiểm tra và đánh giá để xác


-

định chính sách an toàn có cho phép gói này đi vào mạng nội bộ hay không.
Proxy server không chỉ đánh giá địa chỉ IP, nó còn nhìn vào dữ liệu trong gói để
ngăn những kẻ đột nhập cất dấu thông tin trong đó.
15


-

Các chính sách an toàn mạnh hơn và mềm dẻo hơn nhiều vì tất cả thông tin
trong các gói được người điều hành sử dụng để ghi các luật xác định cách xử lý

-

các gói.
Có thể giám sát dễ dàng mọi việc xảy ra trên proxy server.
Có thể bỏ các tên máy tính để che dấu hệ thống bên trong, và có thể đánh giá
nội dung của các gói dữ liệu vì mục đích hợp lý và an toàn.

2.3.1.3. Kĩ thuật kiểm tra trạng thái (Stateful packet filtering)
Một trong những vấn đề với proxy server là nó phải đánh giá một lượng lớn
thông tin trong một lượng lớn các gói dữ liệu. Ngoài ra, phải cài đặt từng proxy cho
mỗi ứng dụng. Điều này ảnh hưởng đến hiệu suất và làm tăng chi phí. Với kỹ thuật
kiểm tra trạng thái, các mẫu bit của gói dữ liệu được so sánh với các gói “tin cậy” đã
biết.
Ví dụ, nếu bạn truy cập một dịch vụ bên ngoài, proxy server sẽ nhớ mọi thứ về
yêu cầu ban đầu, như số hiệu cổng, địa chỉ nguồn và đích. Cách “nhớ” này được gọi là
lưu trạng thái. Khi hệ thống bên ngoài phản hồi yêu cầu của bạn, firewall server so

sánh các gói nhận được với trạng thái đã lưu để xác định chúng được phép vào hay
không.
Vào thời điểm mà kết nối TCP hoặc UDP được thiết lập theo hướng đi vào hay
đi ra khỏi mạng thì thông tin được đưa vào 1 bảng gọi là bảng “stateful session flow
table”.
Bảng này còn được gọi là bảng trạng thái, nó bao gồm những thông tin về địa
chỉ nguồn, địa chỉ đích, địa chỉ cổng, thông tin về số hiệu gói tin TCP và cờ dấu thêm
vào mỗi kết nối TCP hay UDP, các kết nối này đều liên kết với 1 phiên nào đó. Thông
tin này tạo ra các đối tượng kết nối và do đó các gói tin đi vào hoặc đi ra được so sánh
với các phiên trong “bảng phiên có trạng thái”. Dữ liệu chỉ được phép đi qua firewall
nếu đã tồn tại một kết nối tương ứng xác nhận sự luân chuyển đó.
2.3.2. Nguyên tắc hoạt động của Firewall
Firewall hoạt động dựa trên cơ chế lọc gói tin (packet filtering)

16


Cơ chế lọc gói tin của firewall cứng như dòng ASA, PIX của CISCO dựa trên
hoạt động của Access Control List (ACL) hay còn gọi là danh sách điều khiển truy
nhập. Vậy nguyên tắc hoạt động của ACL như thế nào.
ACL định nghĩa ra các luật được sử dụng để ngăn chặn các gói tin lưu thông
trên mạng. Một ACL là tập hợp của nhiều câu lệnh (statements) liên tiếp dùng để so
sánh với các thông tin điều khiển trong trường header của gói tin IP, thông qua đó mà
thiết bị firewall thực hiện một trong 2 hành vi là chặn gói tin lại hoặc cho phép đi qua.
Danh sách điều khiển truy nhập IP (IP access control lists) khiến bộ định tuyến
hủy bỏ những gói tin dựa trên những tiêu chí đặt ra của người quản trị mạng. Mục đích
là để ngăn chặn những lưu lượng không được phép lưu thông trên mạng đó có thể là
ngăn chặn kẻ phá hoại tấn công vào mạng nội bộ của công ty hay chỉ đơn giản là
người sử dụng truy nhập vào tài nguyên hệ thống mà họ không nên và không được
phép vào. ACL luôn đóng vai trò quan trọng trong chiến lược kiểm soát an ninh của

công ty.
Một số đặc điểm ACL:
-

Gói tin có thể bị lọc khi chúng đi vào hoặc đi vào một cổng, trước khi được

-

định tuyến.
Gói tin có thể bị lọc khi chúng đi ra khỏi một cổng, sau khi được định tuyến.
Từ chối (deny) là một thuật ngữ dùng để nói rằng gói tin bị chặn lại hay bị lọc
(filtered), còn cho phép (permit) thì có nghĩa là gói tin không bị lọc mà được

-

phép đi qua.
Các logic lọc hay thứ tự của các luật lọc được cấu hình trong các danh sách điều

-

khiển truy nhập (ACLs).
Kết thúc mỗi ACL nếu các lưu lượng đi qua không thỏa mãn một điều kiện nào
trong các logic của ACL thì tất cả sẽ bị từ chối tức là sẽ không được phép đi
qua cổng đó.
Phân loại ACL: có 2 loại ACL cơ bản: danh sách điều khiển truy nhập cơ bản và

danh sách điều khiển truy nhập mở rộng (Standard ACL và Extended ACL). Standard
ACL có cấu trúc đơn giản dễ thực hiện trong khi đó Extended ACL có cấu trúc phức
tạp và khó thực hiện hơn.
Danh sách điều khiển truy nhập cơ bản (Standard IP Access Control Lists)

17


-

Chỉ có ngăn chặn gói tin dựa trên thông tin về địa chỉ IP đích (IP source

-

address) trong trường header của gói tin IP.
Hoạt động của standard ACL như sau, giả sử là ACL được đặt trên Router 1 với
cổng vào của lưu lượng là cổng S1 còn cổng ra là cổng E0.

Hình 3: Hoạt động của Standard ACL

1. Khi gói tin IP vào cổng S1, địa chỉ IP nguồn của gói tin đó sẽ được so sánh với các
luật đặt ra trong câu lệnh ACL, liệu rằng ứng với địa chỉ nguồn đó thì gói tin sẽ được
phép đi qua hay chặn lại.
2. Nếu có một gói tin nào đó thỏa mãn (phù hợp) điều kiện của một cây lệnh được định
nghĩa trong ACL, thì gói tin sẽ được cho phép đi qua hoặc bị chặn lại.
3. Nếu không có một sự phù hợp nào xảy ra ở bước 2 thì, lại quay trở lại bước 1 và 2
cho đến khi tìm được một điều kiện thỏa mãn.
4. Nếu kiểm tra xong với tất cả các câu lệnh mà vẫn không thỏa mãn với một điều
kiện nào thì gói tin đó sẽ bị từ chối (deny).
Danh sách điều khiển truy nhập mở rộng (Extended IP Access Control Lists)
Extended ACL vừa có những điểm tương tự vừa khác so với Standard ACL.
18


Cũng như Standard ACL, bạn có thể cho phép áp đặt Extended ACL lên cổng

theo chiều đi vào hoặc đi ra của gói tin. IOS của firewall cũng so sánh gói tin với các
lệnh theo thứ tự lần lượt của các câu lệnh đó. Nếu câu lệnh đầu tiên mà thỏa mãn thì
nó sẽ dừng việc so sánh với các lệnh còn lại ở trong list và xác định ngay hành động
cần tiến hành với gói tin đó. Tất cả các tính năng này cũng đều giống với cách xử sự
của Standard ACL.
Điểm khác nhau chủ yếu giữa 2 loại này là extended ACL có thể sử dụng nhiều
thông tin điều khiển trong trường header để so sánh hơn là standard ACL. Standard
ACL chỉ kiểm tra được địa chỉ IP nguồn thì Extended còn sử dụng được thêm cả địa
chỉ IP đích, địa chỉ cổng, loại ứng dụng, địa chỉ MAC, loại giao thức…Điều này làm
cho Extended ACL có thể kiểm tra và lọc được nhiều lưu lượng với độ chính xác và an
toàn cao hơn. Tuy nhiên nó cũng khó thực hiện hơn vì phức tạp hơn Standard ACL rất
nhiều.
So sánh giữa standard ACL và extended ACL
Loại ACL

Các tham số có thể so sánh
Địa chỉ IP nguồn
Phần địa chỉ IP nguồn sử dụng
wildcard mark chỉ ra địa chỉ mạng
nguồn.
Phần địa chỉ IP đích sử dụng
wildcard mark chỉ ra địa chỉ mạng
đích
Loại giao thức (TCP, UDP, ICMP,
IGRP, IGMP, và các giao thức khác)
Cổng nguồn
Cổng đích
All TCP flows except the first
IP TOS
IP precedence (quyền ưu tiên)


Standard ACL và Extandard ACL

Extandard ACL

2.3.3. Hạn chế cửa Firewall cứng
Firewall không thể làm được những gì ?
Firewall có thể mang lại sự bảo vệ chống lại các mối đe dọa từ mạng bên ngoài nhưng
Firewall không phải là 1 biện pháp an ninh toàn diện, 1 số các mối đe dọa nằm ngoài
tầm kiểm soát của Firewall. Do đó ta cần tìm ra các biện pháp để chống lại các mối đe
19


dọa đó bằng cách kết hợp với an ninh mức vật lý, an ninh máy chủ cũng như sự giáo
dục người dùng vào cùng 1 chính sách an ninh chung.
Hạn chế so với Firewall mềm:
-

Không được linh hoạt như Firewall mềm: vì hầu như các firewall cứng đều
hướng theo xu hướng tích hợp tất cả trong một (ví dụ: không thể thêm quy tắc
hay chức năng ngoài những chức năng đã được tích hợp sẵn.. ) đối với những

-

firewall cứng trước kia.
Firewall cứng hoạt động ở tầng thấp hơn Firewall mềm (Tầng Network và tầng

-

Transport còn firewall mềm ở tầng Ứng dụng).

Firewall cứng không thể kiểm tra được nột dung của gói tin như firewall mềm.
Giá thành thiết bị, lắp đặt firewall cứng cao hơn nhiều so với firewall mềm.
Firewall cứng được tích hợp trực tiếp lên phần cứng ( như : Router Cisco,
Check point, Planet, Juniper….). nó vẫn có thể bị hỏng, lỗi phần cứng làm treo
firewall.

Hạn chế khác:
Firewall không thể chống lại các mối nguy hại đã xâm nhập vào bên trong:
-

Một Firewall có thể kiểm soát các thông tin bí mật mà 1 user gửi ra khỏi mạng
nội bộ đi qua 1 kết nối mạng. Tuy nhiên user vẫn có thể copy dữ liệu vào đĩa,

-

băng hay ra giấy và mang nó đi mà Firewall không thể ngăn cản .
Nếu như kẻ tấn công đã ở bên trong Firewall rồi thì có thể Firewall hầu như
không thể làm gì được nữa .Các user bên trong có thể ăn cắp dữ liệu, phá hủy
phần cứng, phần mềm hay thay đổi các chương trình mà không cần tiếp cận

-

Firewall .
Các mối đe dọa ở nội bộ đòi hỏi các biện pháp an ninh nội bộ như an ninh máy
chủ hay việc giáo dục đối với người dùng .

Firewall không thể chống lại các kết nối mà không đi qua nó:
-

Một Firewall có thể kiểm soát hiệu quả các lưu lượng đi qua nó tuy nhiên,

Firewall không thể làm gì được nếu như lưu lượng đó không đi qua nó. Ví dụ,
điều gì sẽ xảy ra nếu như 1 site cho phép sự truy nhập quay số (qua đường điện
thoại) vào 1 hệ thống đằng sau Firewall .Firewall hoàn toàn không có cách nào
ngăn cản sự xâm nhập qua 1 modem như vậy.
20


-

Đôi khi các chuyên gia kỹ thuật quản trị hệ thống mở ra những cửa hậu
(BackDoor) vào trong mạng ( như là 1 kết nối qua modem dạng quay số ) tạm
thời hay cố định. Firewall không thể làm gì trong trường hợp này. Đó là 1 vấn
đề về quản lý nhân sự chứ không phải là 1 vấn đề kỹ thuật.

Firewall khó có thể chống lại các mối đe dọa kiểu mới:
-

Firewall được thiết kế để bảo vệ lại các mối đe dọa đã biết. Một Firewall được
thiết kế tốt có thể chống lại mối đe dọa mới. Ví dụ, bằng cách từ chối tất cả trừ
1 vài dịch vụ tin cậy, Firewall sẽ ngăn chặn mọi người thiết lập các dịch vụ mới

-

không an toàn.
Tuy nhiên, không có Firewall nào có thể tự động bảo vệ để chống lại các mối
nguy hại mới nảy sinh. Các kẻ tấn công sẽ tìm ra các cách thức tấn công mới,
có thể sử dụng các dịch vụ tin cậy trước đó hay sử dụng các cách tấn công chưa
từng có trước đó. Do đó không thể thiết lập Firewall 1 lần và hy rằng nó có thể
bảo vệ ta mãi mãi .


Firewall khó có thể bảo vệ ta chống lại các loại virus:
-

Firewall không thể giữ cho mạng khỏi tầm ảnh hưởng của virus. Mặc dù nhiều
loại Firewall quét tất cả các lưu lượng đến để quyết định xem nó có được phép
đi vào mạng nội bộ hay không. Nhưng việc quét này chủ yếu là đối với các địa
chỉ đích, địa chỉ nguồn và số cổng chứ phải là nội dung của dữ liệu .Thậm chí
với các phần mềm lọc gói và proxy phức tạp, việc bảo vệ chống lại virus tại
Firewall là không thực tế lắm Đơn giản là có nhiều loại virus và cũng có quá
nhiều cách để virus có thể giấu mình trong dữ liệu. Việc phát hiện virus trong 1

-

gói dữ liệu ngẫu nhiên đi qua Firewall là rất khó. Nó đòi hỏi:
o Nhận dạng packet như là 1 phần của dữ liệu
o Xác định chương trình virus đó như thế nào .
o Xác định xem có sự thay đổi nào khi có virus.
Thậm chí ngay cả cái điều thứ nhất đã là 1 thử thách. Hầu hết những máy mà
Firewall bảo vệ, mỗi máy có 1 loại định dạng khác nhau. Hơn nữa hầu hết các
chương trình được đóng gói cho việc vận chuyển cững như được nén lại. Các
Packet được chuyển qua email hoặc Usenet news cũng như được mã hóa dưới
dạng ký tự ASCII theo nhiều cách khác nhau.

21


-

Với tất cả các lý do đó User có thể mang virus qua Firewall mà không cần để ý


-

đến Firewall như thế nào.
Phương pháp thực tế nhất để giải quyết vấn đề virus là sử dụng phần mềm bảo
vệ chống lại virus dựa trên máy chủ, và việc giáo dục người dùng liên qua tới
các mối nguy hiểm của virus và sự đề phòng chúng.

CHƯƠNG 3: TRIỂN KHAI DỰ ÁN MẠNG TẠI TRƯỜNG
CAO ĐẲNG CÔNG NGHỆ VIỆT – HÀN BẮC GIANG
Trong quá trình tham gia thực tập tại Công ty, em đã được công ty tạo điều kiện
cho tham gia triển khai thực tế dự án mạng tại Trường Cao đẳng Công nghệ Việt – Hàn
Bắc Giang.
Tên dự án: Triển khai mạng tại Trường Cao đẳng Công nghệ Việt – Hàn Bắc Giang.
Đơn vị quản lí dự án: Khoa Công nghệ thông tin, Trường Cao đẳng Công nghệ Việt
Hàn Bắc Giang.
Đơn vị thực hiện dự án: Phòng Tích hợp hệ thống, Công ty Bway
22


Thời gian thực hiện: từ ngày 14 đến 19/07/2015.
Địa điểm thực hiện: Phòng MDF, Trường Cao Đẳng Công nghệ Việt – Hàn, Bắc
Giang
Địa chỉ: Xã Dĩnh Trì, thành phố Bắc Giang, tỉnh Bắc Giang.

Hình 4: Topology dự án Bắc Giang

Quy trình triển khai dự án:
1)
2)
3)

4)
5)

Khảo sát thực địa.
Xây dựng topo mạng dựa trên các yêu cầu từ phía đơn vị quản lí, lập dự toán.
Lập kế hoạch triển khai, báo giá chi tiết gửi đơn vị quản lí dự án.
Sau khi được duyệt kế hoạch triển khai, tiến hành triển khai tại thực địa.
Triển khai tại thực địa: viết báo cáo công việc và tiến độ hàng ngày gửi trưởng

nhóm.
6) Lập báo cáo dự án; ghi lại tất cả các file cấu hình ra đĩa, chụp ảnh màn hình các
kết quả test gửi kèm báo cáo.
7) Nghiệm thu dự án
23


Trong quá trình tham gia dự án, em đã được phân công thực hiện các công việc sau:
1. Lập kế hoạch triển khai:
- Xây dựng topology trên máy ảo giống như topology thật để test thử các yêu cầu
-

của phía đơn vị chủ quản.
In ra các cấu hình của từng thiết bị, ghi rõ các bước cấu hình, các câu lệnh thực

-

hiện cho từng yêu cầu của đơn vị quản lí để gửi kèm kế hoạch triển khai.
Liệt kê các lỗi có thể xảy ra khi triển khai gồm cả lỗi do con người và các lỗi

thiết bị có thể gặp phải.

2. Xuống triển khai tại thực địa: thực hiện lần lượt các bước theo quy trình triển
-

khai của Công ty:
Test kiểm tra từng thiết bị: test nguồn, các cổng kết nối.
Test kiểm tra dây console, dây mạng.
Kiểm tra nguồn điện tại phòng MDF, thực hiện đấu nối các thiết bị quan trọng

-

với UPS.
Thực hiện cấu hình các thiết bị như cấu hình đã thực hiện bằng máy ảo. Thực
hiện theo từng yêu cầu của đơn vị chủ quản, xong mỗi yêu cầu thực hiện ping,

-

test kiểm tra và chụp lại màn hình khi test.
Sau khi cấu hình xong thực hiện đấu nối toàn bộ hệ thống. Trước khi đấu nối
cần test lại từng dây mạng sử dụng để đấu nối. Sau khi đấu nối thực hiện test

-

kiểm tra lại toàn bộ hệ thống, test lại tất cả các yêu cầu của khách hàng.
Kiểm tra lại các lỗi theo như bảng liệt kê lỗi đã chuẩn bị trước và khắc phục lỗi.
Nếu lỗi không có trong bảng liệt kê cần kiểm tra kĩ từng bước cấu hình, đấu nối

-

để khắc phục lỗi.
Sau mỗi ngày triển khai, cần viết báo cáo hàng ngày và nhật kí triển khai của


bản thân.
3. Viết báo cáo tổng hợp dự án nộp nhóm trưởng dựa vào báo cáo hàng ngày.
Trong quá trình triển khai dự án em đã đảm nhiệm phần Network trong topology và
đã thực hiện cấu hình các yêu cầu cho những thiết bị sau (do yêu cầu từ phía công
ty và khách hàng nên em không thể cung cấp cụ thể các lệnh cấu hình cho từng
thiết bị):

Tên thiết bị

Đơn

Số
24

Yêu cầu triển khai, cài


Firewall
Model: ASA 5512-K9
Hãng sản xuất: Cisco

vị
tính
Chiếc

lượn đặt, cấu hình
g
1
- Lắp đặt, cấu hình VPN,

Bảo mật cho từng vùng,
Định tuyến giữa các vùng
mạng.
- NAT các cổng cho
Camera, Web, Mail Server
- Cấu hình các cổng cần
thiết
- Cấm truy cập từ vùng
mạng này sang vùng mạng
kia
3
Cài đặt, cấu hình, hướng
dẫn sử dụng

Wifi
Model: LINKSYS E1200
=> LINKSYS EA2700
Hãng sản xuất:
LINKSYS - Cisco
Thiết bị cân bằng tải
Model: TL-R480T+
Hãng sản xuất: TPLINK

Chiếc

Chiếc

2

Switch Cisco

Model: WS-C296024LT-L-RF
Hãng sản xuất: Cisco
Switch HP
Model: HP2920
Hãng sản xuất: HP
Hệ thống thiết bị lưu
trữ NAS, Thecus
Model: N7510
Hãng sản xuất: Thecus

Chiếc

7

Chiếc

1

Cấu hình VLAN, Trunk
Gán các Port vào VLAN

Bộ

2

Patch panel 24 port,
AMP
Hãng sản xuất: AMP
Cáp kết nối console


Chiếc

3

Cấu hình kết nối với máy
chủ FILE Server.
Cấu hình RAID 1
Cấu hình để tạo dữ liệu
chia sẻ phân quyền theo
User thuộc các nhóm khác
nhau. Sẽ có quyền theo
từng nhóm.
Cấu hình cho 1 thiết bị NAS
cho Sinh Viên truy cập
Cấu hình cho 1 thiết bị NAS
cho Giáo viên truy cập
Hướng dẫn đấu nối và chú
ý khi sử dụng

Cái

4

Hướng dẫn cấu hình PPPoE
Server, Cấu hình NAT,
WAN, LAN
Cấu hình User, Group
Cấu hình Load Balance,
Routing, Anti ARP Spoofing.
Cấu hình VLAN, Trunk

Gán các Port vào VLAN

25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×