TÌM HIỂU FIREWALL VÀ TRIỂN KHAI TRÊN MÃ NGUỒN MỞ

Nhận xét của giáo viên hướng dẫn
NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
Tp Hồ Chí Minh, ngày….tháng….năm…
Giáo viên hướng dẫn

Nhận xét của giáo viên phản biện
NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
Tp Hồ Chí Minh, ngày….tháng….năm…
Giáo viên phản biện

Lời cảm ơn
LỜI CẢM ƠN
Trong suốt thời gian học tập tại Khoa Đào tạo Chất lượng cao trường Đại
Học Sự Phạm Kỹ Thuật Tp Hồ Chí Minh, chúng em đã được các thầy cô trong khoa
CNTT, Khoa Chất lượng cao giảng dạy nhiệt tình, truyền đạt nhiều kiến thức quý
báu làm tiền đề cho quá trình nghiên cứu đề tài này.
Ngoài ra cũng xin cám ơn những góp ý, chia sẻ và giúp đỡ từ một số anh chị,
bạn bè trong quá trình nghiên cứu và triển khai.
Đặc biệt chúng em xin cám ơn Cô Nguyễn Thị Thanh Vân đã tận tình chỉ
bảo, hướng dẫn chúng em. Cám ơn cô đã theo sát và định hướng cho chúng em
trong suốt quá trình nghiên cứu đề tài. Giúp chúng em có thể hoàn thành đúng tiến
độ đề tài nghiên cứu này.
Sau 4 tháng nghiên cứu và thực hiện thì đề tài “Tìm hiểu về firewall và
triển khai trên mã nguồn mở” cũng đã hoàn thành. Chúng em xin chân thành gửi
lời cảm ơn sâu sắc đến tất cả các thầy cô, bạn bè đã giúp đỡ, đóng góp ý kiến cho đề
tài này!

Phần mở đầu
DANH MỤC HÌNH VẼ
Hình 1.1: Các lớp trong an toàn mạng -----------------------------------------------------
Hình 1.2 - Firewall. ---------------------------------------------------------------------------
Hình 1.3: Phân loại Firewall.----------------------------------------------------------------
Hình 1.4: Các kỹ thuật sử dụng trên firewall.---------------------------------------------
Hình 1.5: Packet Filters ----------------------------------------------------------------------
Hình 1.6: Circult-Level Gateways----------------------------------------------------------
Hình 1.7:Application-Level Gateways-----------------------------------------------------
Hình 1.8: Stateful MutilayerInspection Firewalls ----------------------------------------
Hình 1.9: Kiến trúc Dual Homed Host-----------------------------------------------------
Hình 1.10: Kiến trúc Screened host --------------------------------------------------------
Hình 1.11: Kiến trúc Screened Subnet -----------------------------------------------------
Hình 2.1: Quá trình phát triển của ClearOS. ----------------------------------------------
Hình 2.2 : Giao diện chính ClearOS ------------------------------------------------
Hình 2.3 : Menu Network--------------------------------------------------------------------
Hình 2.4: Menu Gateway. -------------------------------------------------------------------
Hình 2.5: Menu System ----------------------------------------------------------------------
Hình 2.5: Menu Report-----------------------------------------------------------------------
Hình 3.1: Mô hình thực tế..------------------------------------------------------------------
Hình 3.2: Mô hình Demo.--------------------------------------------------------------------
Hình 3.3: Start Web Proxy và Content Filter.---------------------------------------------
Hình 3.3: Enabled Transparent Mode và Content Filter. --------------------------------
Hình 3.4: Thêm Domain Block.-------------------------------------------------------------
Hình 3.5: Thêm từ khóa chặn.---------------------------------------------------------------
Hình 3.6: Chỉnh sửa file weighted. ---------------------------------------------------------
Hình 3.7: Restart dịch vụ dansguardian-av. -----------------------------------------------

Phần mở đầu
Hình 3.8: Test domain http://zing.vn ------------------------------------------------------
Hình 3.8: Test domain http://vnexpress.net -----------------------------------------------
Hình 3.9: Cấu hình publish Webserver ra ngoài Internet. -------------------------------
Hình 3.10: Kiểm tra truy cập ----------------------------------------------------------------
Hình 3.10: Cấu hình block một IP public.
Hình 3.11: Kiểm tra block.
Hình 3.12: Cấu hình chặn tất cả SSH.
Hình 3.13: Cấu hình cho phép 1 ip public SSH.
Hình 3.14: Cấu hình cho phép 1 ip private SSH.
Hình 3.15:Cấu hình chặn scan port.
Hình 3.16: Kiểm tra với scan FIN.
Hình 3.17: Kiểm tra với scan NULL.
Hình 3.18: Kiểm tra với Scan XMAS.
Hình 3.19: Rule chống SYN Flood.

Phần mở đầu
PHẦN MỞ ĐẦU
Thực trạng và tính khả thi của đề tài.
Năm 1997 Internet bắt đầu du nhập vào Việt Nam, từ những năm đầu đó Internet ở
Việt Nam vẫn là một dịch vụ cao cấp và hạn chế đối với phần đông người dùng.
Trải qua hơn 10 năm phát triển đến nay Internet từ một dịch vụ cao cấp đã trở thành
một dịch vụ bình dân, phổ biến trong mọi gia đình, công sở, trường học, làm thay
đổi cuộc sống của người dân và xã hội ở Việt Nam. Theo thống kê của website TT
Internet Việt Nam - VNNIC vào tháng 9 năm 2011 thì số người sử dụng Internet ở
VN đã đạt 30.248.846, tỉ lệ dân số sử dụng Internet chiếm 34,79%, tổng số tên miền
tiếng Việt đã đăng ký là 237.342.Việc sử dụng Internet để phục vụ cho cuộc sống đã
trở lên phổ biến như giao tiếp với nhau qua email, sử dụng Internet để tra cứu thông
tin phục vụ cho công việc hay học tập, sử dụng Internet để giải trí, giao lưu, kết
bạn....
Ngày 7/11/2006 Việt Nam gia nhập tổ chức thương mại thế giới WTO, từ đó
Internet được nhìn nhận là công cụ mũi nhọn hỗ trợ, thúc đấy tích cực cho sự phát
triển của nền kinh tế. Đa số các doanh nghiệp và các tổ chức đều có hệ thống mạng
và website để quảng bá thương hiệu và sản phẩm (237.342 tên miền tiếng Việt và
hàng triệu tên miền thương mại khác). Cùng với sự phát triển của Internet thì
thương mại điện tử cũng phát triển theo. Đối với các doanh nghiệp và tổ chức việc
sử dụng thư điện tử (email), thanh toán trực tuyến (electronic payment), trao đổi dữ
liệu điện tử, số hóa dữ liệu, lưu trữ dự liệu, hỗ trợ cho công việc kinh doanh đã
không còn quá xa lạ. Ngoài ra, chính phủ và các tổ chức chính phủ khác cũng sử
dụng Internet để thông báo, trao đổi, giao tiếp với người dân.
Tóm lại, Internet và hệ thống mạng máy tính đã trở thành một phần không thể thiếu
để phục vụ cho cá nhân người dùng, cho các tổ chức, doanh nghiệp kinh tế và cả
cho các tổ chức chính phủ...
Cùng với sự phát triển đó và những lợi ích mà Internet và máy tính đem lại, nó cũng
tạo ra những nguy cơ và rủi ro cho nền kinh tế và xã hội hiện đại. Các vấn đề về
truy cập bất hợp pháp, virus, rò rỉ thông tin, lỗ hổng trên hệ thống...đã trở thành mối

Phần mở đầu
lo ngại cho các nhà quản lý ở bất kỳ một quốc gia nào từ các cơ quan, bộ, ngành
đến từng doanh nghiệp, đơn vị hay cá nhân người dùng.
Theo TS. Vũ Quốc Khánh, GĐ TT Ứng cứu khẩn cấp máy tính VNCERT đánh giá:
"Năm 2011 đã xuất hiện các xu hướng tội phạm và sự cố an ninh về mạng, tấn công
trên mạng ngày càng tinh vi hơn, phát triển có tổ chức, có quy mô và có sự phối
hợp cả trong và ngoài nước. Có các định hướng về mặt tấn công thu lợi tài chính,
phá hoại các dịch vụ. Không ít mã độc trên thế giới đã nhanh chóng lan truyền đến
Việt Nam".
Tin tặc Việt Nam phát triển với tốc độ nhanh hơn bao giờ hết cả về quy mô, tính
chuyên nghiệp, trình độ kỹ thuật và cả tiềm lực về tài chính. Điều đáng báo động là
sự phá hoại của tin tắc hiện nay không nhằm mục đích trục lợi cá nhân hay khoe
khoang nữa mà đã chuyển sang hướng tấn công các tổ chức doanh nghiệp kinh tế và
đặc biệt hơn nữa là hạ tầng công nghiệp quốc gia.
Thời gian gần đây một loạt các website của các cơ quan nhà nước và doanh nghiệp
bị hacker tấn công như website của Viện khoa học thanh tra chính phủ bị hack vào
tháng 4/2007, tên miền của công ty P.A Vietnam bị cướp vào tháng 7/2008, website
của Techcombank vào tháng 7/2008. Năm 2010, cuộc tấn công đình đám nhất chính
là cuộc tấn công vào hệ thống điện tử của báo Vietnamnet, cuộc tấn công diễn ra
nhiều tháng và nhiều lần với các hình thức tấn công khác nhau. Cũng trong năm này
thì hơn 1000 website lớn ở Việt Nam bị tấn công. Các hình thức tấn công thì rất đa
dạng từ thay đổi giao diện, đánh cắp các thông tin nhạy cảm ở trong website, tấn
công làm tê liệt website đó. Mới đây nhất là cuộc tấn công đánh cắp tên miền
diadiem.com và vozforums.vn xảy ra vào tháng 10/2011.
Từ những số liệu và cảnh báo trên nên vấn đề bảo vệ an ninh mạng ngày càng nóng
bỏng hơn nữa. Đối với cá nhân người dùng việc bảo vệ thông tin cá nhân của mình
trước những kẻ đánh cắp. Đối với tổ chức chính phủ, sở ban ngành, doanh nghiệp
bảo vệ hệ thống mạng của mình về dữ liệu, về thông tin khách hàng, về website, về
tài chính, về uy tín.... Chính vì lý do đó chúng em chọn đề tài "Tìm hiểu về
Firewall và triển khai trên mã nguồn mở" nhằm mục đích nghiên cứu về một
giải pháp an toàn cho mạng máy tính.

Phần mở đầu
Mục đích và nhiệm vụ nghiên cứu.
Trước khi tìm hiểu chúng em cũng hiểu rằng không có một giải pháp nào là toàn
diện cho an ninh mạng, một hệ thống dù vững chắc tới đâu rồi cũng sẽ bị vô hiệu
hóa bởi những kẻ tấn công. Vì không thể có một giải pháp an toàn tuyệt đối nên để
bảo vệ thông tin trên mạng máy tính thì cần xây dựng nhiều "lớp" bảo vệ khác nhau.
Và Firewall là lớp ngoài cùng của hệ thống đó. Mục đích của đề tài là:
 Tìm hiểu các mối đe dọa đối với một hệ thống mạng máy tính.
 Tìm hiểu về các khái niệm cơ bản của firewall.
 Nghiên cứu về các công nghệ firewall và cách làm việc của chúng.
 Giới thiệu một số sản phẩm firewall đang được sử dụng trên thị trường và
cách là việc của chúng.
 Demo triển khai sản phẩm firewall trên mã nguồn mở.
Đối tượng nghiên cứu.
Tìm hiểu kiến thức lý thuyết về các loại firewall, cách phân loại chúng một cách
tổng quan. Các thành phần tạo lên một firewall và cách làm việc của chúng.
Tìm hiểu về các loại firewall trên nền tảng mã nguồn mở Linux, cách làm việc,
những ưu nhược điểm so với các sản phẩm khác.
Tìm hiểu về các kiến trúc Firewall, một số mô hình dành cho hệ thống mạng.
Sản phẩm ClearOS triển khai trên nền tảng Linux.
Phạm vi nghiên cứu.
Tập trung vào cách thức hoạt động của các loại firewall
Triển khai thành công ClearOS cho một mô hình mạng cỡ nhỏ, tạo các rule theo
các tình huống khác nhau, phân tích và giải thích ý nghĩa.

Chương I: Tổng quan về Firewall
PHẦN NỘI DUNG
Chương 1: Tổng quan về Firewall
Tại sao chúng ta cần những giải pháp bảo mật cho hệ thống mạng?
Mạng máy tính cũng tương tự như thế giới thật mà chúng ta đang sống và việc triển
khai các giải pháp bảo mật cho hệ thống mạng cũng tương tự như cách chúng ta bảo
vệ bản thân chúng ta, tài sản của chúng ta, thông tin của chúng ta trước những kẻ
tấn công. Tương tự như trong thế giới thật, Internet đem lại cho chúng ta nhiều thứ
hữu ích nhưng nó cũng đem đến cho chúng ta những hiểm họa tiềm tàng như virus,
worm, phần mềm gián điệp, phần mềm đánh cắp password, thư rác, hay các cuộc
tấn công.
Ngoài thế giới thật chúng ta phải đối mặt với kẻ không tuân thủ luật pháp, dùng mọi
biện pháp để ăn cắp hay xâm phạm thông tin cá nhân hay tài sản của người khác.
Tương tự vậy, trên hệ thống mạng cũng tồn tại những kẻ muốn đánh cắp thông tin
cá nhân, dữ liệu hay phá hoại hệ thống của bạn. Ngoài những mục đích tấn công cá
nhân, những kẻ này còn coi đó là một cách để kiếm sống. Chúng có thể đột nhập
vào hệ thống mạng của bạn hoặc máy tính của bạn để ăn cắp các thông tin nhạy
cảm, tấn công các website, ngăn chặn các kết nối, phá hủy hoặc làm sai lệnh dữ
liệu. Những kẻ này có nhiều mục đích khác nhau từ những mục đích cá nhân như
trả thù, khoe khoang kiến thức hay những động cơ nguy hiểm hơn như tiền bạc, phá
hoại đối thủ, chính trị....
Chúng ta không thể đoán được lúc nào các cuộc tấn công sẽ xảy ra vì thế biện
pháp tốt nhất đó chính là "phòng ngừa". Tương tự như trong thế giới thật chúng ta
xây rào chắn, mua khóa, thuê vệ sĩ để bảo vệ thì trên hệ thống mạng chúng ta có thể
triển khai các giải pháp bảo mật như chứng thực, cấp quyền, xây dựng firewall, xây
dựng hệ thống giám sát....
Tóm lại: Những thông tin, dữ liệu nhạy cảm luôn là miếng mối béo bở để những kẻ
tấn công trục lợi. Bởi vậy khi xây dựng hệ thống mạng bất kỳ bạn cần phải quan

tâm đến việc làm như thế nào để bảo vệ những thông tin, những dữ liệu quan trọng
đó.
Các mối nguy hiểm.
Tấn công có mục tiêu và tấn công không có mục tiêu.
Sự khác nhau của hai kiểu tấn công này nằm ở mục đích của kẻ tấn công. Kẻ tấn
công có mục tiêu hắn sẽ tìm mọi cách để có thể đạt được mục đích của mình dù cho
bạn có ngăn chặn nó như thế nào đi chăng nữa. Đây chính là điểm nguy hiểm hơn
rất nhiều so với một cuộc tấn công không có mục tiêu đơn thuần.
Những cuộc tấn công không có mục tiêu thường không có chủ đích rõ ràng, những
kẻ tấn công thường rà soát những hệ thống nào dễ tấn công và có nhiều lỗi hổng.
Nếu một hệ thống được bảo vệ tốt thì kẻ tấn công sẽ từ bỏ và chuyển sang mục tiêu
mới, những kẻ tấn công này thường có ít kiến thức hoặc mục đích nhằm khoe
khoang là chính. Điều này làm cho việc ngăn chặn nó dễ dàng hơn rất nhiều.
Khác với những cuộc tấn công không có mục tiêu, những cuộc tấn công có mục tiêu
nguy hiểm hơn rất nhiều. Bởi kẻ tấn công có nhiều mục đích để tấn công, có thể đó
là tiền bạc, trả thù, được đối thủ của bạn thuê để phá hoại...Những kẻ này sẽ tìm mọi
cách để tấn công bạn, dù cho bạn có bảo vệ đến đâu hắn cũng sẽ không từ bỏ. Chính
vì lí do đó nên nó khá là nguy hiểm, bạn cần phải luôn đề phòng vì rất có thể ngày
hôm nay bạn chặn được cuộc tấn công đó nhưng ngày hôm sau kẻ tấn công sẽ sử
dụng những thủ đoạn tinh vi và nguy hiểm hơn. Cách tốt nhất để chặn cuộc tấn công
loại này là nhờ đến pháp luật
Virus, worm và trojan.
Virus máy tính (hay thường được gọi tắt là virus) là một chương trình hay một
đoạn mã được thiết kế để tự nhân bản và sao chép chính nó vào các đối tượng lây
nhiễm khác như file, thư mục, ổ đĩa...Ban đầu nó được viết ra nhằm mục đích chứng
tỏ khả năng lập trình nên có một số hành động như xóa dữ liệu, làm treo máy tính
hay thực hiện các trò đùa khó chịu. Ngày nay thì nó được sử dụng để đánh cắp các
thông tin nhạy cảm, mở cửa sau cho tin tặc đột nhập hoặc chiếm quyền điều khiển

máy tính. Đặc điểm quan trọng của virus đó là nó không thể tự động lây lan mà ban
đầu nó cần sự tác động của con người để cho phép nó hoạt động.
Worm (sâu máy tính): tương tự như virus nó cũng có khả năng tự nhân bản và lây
lan. Điểm đặc biệt của nó là nó có thể lây lan qua hệ thống mạng còn virus thì
không thể. Nhiệm vụ chính của worm là phá hoại các mạng thông tin làm giảm khả
năng hoạt động hay hủy hoại toàn bộ mạng đó. Một điểm khác biệt nữa của worm
và virus đó là nó không cần sự tác động của con người mà vẫn có thể hoạt động
được. Từ những đặc điểm đó khiến cho worm nguy hiểm hơn nhiều so với các virus
truyền thống bởi vì nó có thể lây lan sang hàng trăm, hàng ngàn máy tính.
Trojan: Là một chương trình tương tự như virus, chỉ khác là nó không thể tự nhân
bản. Trojan sẽ ẩn mình vào một chương trình tin cậy nào đó và khi bạn thực thi
chương trình đó thì trojan nó cũng được khởi động. Mục đích chính của trojan là
đánh cắp các thông tin cá nhân như password, số tài khoản...và gửi về cho kẻ phát
tán hoặc cũng có thể "âm thầm" mở một kết nối cho tin tặc.
Virus, worm và trojan có thể phòng chống bằng cách sử dụng firewall hoặc các
phần mềm diệt virus có tích hợp sẵn firewall
Nội dung độc hại và phần mềm độc hại.
Nội dung độc hại chính là những nội dung văn bản được viết ra nhằm những mục
đích bất chính. Thông thường thì nó yêu cầu người dùng làm một hành động gì đó
để cho phép tin tặc tiếp cận với hệ thống của bạn. Những hành động này khá là đơn
giản ví dụ như yêu cầu bạn nhấp một link nào đó để truy cập tới một website hay
yêu cầu bạn đọc một email. Những hành động tưởng chừng như đơn giản nhưng
thực ra bạn đã thực hiện một hành động rất là nguy hiểm đó là vô tình cho phép nội
dung độc hại ảnh hưởng tới hệ thống của bạn. Kịch bản chung của nội dung độc hại
đó là cố gắng "lừa" bạn kiến bạn vô tình hoặc cố ý cho phép nội dung đó được thực
hiện. Thông thường nội dung độc hại sẽ thực hiện các chức năng như truy cập/phá
hoại dữ liêu hay cài đặt virus, worm, trojan hay mở cổng hậu.

Malware. (Malicious và Software) là một từ dùng để chỉ chung các phần mềm có
tính năng gây hại nó bao gồm cả virus, worm, trojan, spyware, adware, keylogger,
rootkit...
Cách phòng chống nội dung độc hại và phần mềm độc hại đó là sử dụng tưởng lửa
để giám sát việc trao đổi thông tin trên mạng, cảnh báo người dùng trước những
nguy hại kết hợp với sử dụng phần mềm diệt virus, worm, trojan...
Tấn công từ chối dịch vụ (Denial of Service)
Có thể mô tả DoS như một hành động ngăn cản những người dùng hợp pháp của
một dịch vụ nào đó truy cập và sử dụng dịch vụ đó. Nó bao gồm cả việc làm tràn
ngập mạng, làm mất kết nối tới dịch vụ...mà mục đích cuối cùng là làm cho server
không thể đáp ứng được các yêu cầu từ client. DoS có thể làm ngưng hoạt động của
một máy tính, một mạng nội bộ, thậm chí cả một hệ thống mạng rất lớn. Thực chất
của DoS là kẻ tấn công sẽ chiếm dụng một lượng tài nguyên mạng như băng thông,
bộ nhớ...để làm mất khả năng xử lý các yêu cầu dịch vụ từ client.
DDoS là một biến thể của DoS, sự khác biệt giữa chúng chính là số lượng máy tính
tham gia tấn công. Hacker sẽ xâm nhập vào nhiều máy tính và cài đặt các chương
trình điều khiển từ xa và sẽ kích hoạt các chương trình này vào cũng một thời điểm
để tấn công một mục tiêu. Cách thức này có thể huy động đến hàng trăm thậm chí
hàng ngàn máy tình cùng tham gia tấn công (hacker chuẩn bị trước). Chính vì lẽ đó
nó khá nguy hiểm và có thể tiêu tốn băng thông một cách nháy mắt.
Rất khó để có thể chống lại DDoS, cách hiệu quả đó là tăng băng thông đường
truyền, sử dụng firewall để lọc bớt các lưu lượng nguy hiểm...
Zombie
Ta có thể hiểu Zombie là một máy tính đã bị nhiễm bệnh và chịu sự kiểm soát của
một kẻ tấn công nào đó. Một zombie PC vẫn có thể hoạt động bình thường mà
không hề phát hiện ra rằng nó đã bị kiểm soát. Tin tặc có thể sẽ sử dụng zombie vào
mục đích tấn công DoS. Cách phòng chống đối với các zombie đó là dùng firewall
để chặn những máy tính bị nhiễm bệnh. Tuy nhiên điều này có thể làm ảnh hưởng

tới người dùng bởi họ thực sự có nhu cầu truy cập hệ thống mạng. Cách tốt nhất là
tìm cách gỡ bỏ zombie và đưa máy tính về trạng thái ban đầu.
Sự tổn hại thông tin cá nhân
Thử tưởng tượng một ngày những thông tin cá nhân của bạn tràn ngập trên Internet
từ tên tuổi, số điện thoại, email, địa chỉ hay những thông tin về tài chính khác như
số tài khoản, mật khẩu.... bạn sẽ cảm thấy như thế nào? Tất nhiên bạn sẽ chẳng hề
mong muốn điều này, tin tặc có thể lợi dụng những thông tin này để lừa đảo, đánh
cắp tài sản của bạn, nói chung sự tổn hại về thông tin cá nhân sẽ gây cho bạn những
phiền toái.
Đối với doanh nghiệp hay các tổ chức sự tổn hại về thông tin còn nguy hiểm hơn.
Ví dụ những thông tin độc quyền hoặc bí mật của công ty mà bạn cần giấu kín. Bạn
có một ý tưởng và xây dựng thành một công trình, bạn chuẩn bị công bố nó thì bất
ngờ thấy đối thủ của mình công bố nó trước bạn. Điều này tạo một sự thiếu công
bằng trong hoạt động kinh doanh, nghiên cứu.
Giải pháp được đưa ra đó là firewall sẽ phân loại và cô lập các hệ thống quan trọng.
Đối với vùng này firewall sẽ áp dụng những chính sách kiểm soát truy cập chặt chẽ
hơn.
Social Engineering.
Social Engineering là kỹ thuật lợi dụng sự ảnh hưởng và niềm tin để lừa một người
nào đó nhắm lấy cắp thông tin hoặc thuyết phục người đó làm một việc gì đó.
Chúng ta có thể xem tình huống sau đây để rõ hơn.
Attacker: “Chào bà, tôi là Bob, tôi muốn nói chuyện với cô Alice”
Alice: “Xin chào, tôi là Alice”.
Attacker: “Chào cô Alice, tôi gọi từ trung tâm dữ liệu, xin lỗi vì tôi gọi điện cho
cô sớm thế này…”
Alice: “Trung tâm dữ liệu à, tôi đang ăn sáng, nhưng không sao đâu.”
Attacker: “Tôi gọi điện cho cô vì những thông tin cá nhân của cô trong phiếu
thông tin tạo account có vấn đề.”
Alice: “Của tôi à..à vâng.”
Attacker: “Tôi thông báo với cô về việc server mail vừa bị sập tối qua, và chúng
tôi đang cố gắng phục hồi lại hệ thống mail. Vì cô là người sử dụng ở xa nên
chúng tôi xử lý trường hợp của cô trước tiên.”

Do bản chất của cuộc tấn công này là dựa vào sự ảnh hưởng và niềm tin nên nó
không thể phòng chống bằng firewall được. Cách tốt nhất là bạn nên đào tạo cho
người dùng và nhân viên của mình cảnh giác trước những mối nguy hiểm này.
Các hướng tấn công mới.
Khi một lỗ hổng bảo mật được phát hiện và công bố, nó sẽ được khai thác một cách
ngay lập tực. Nếu các nhà cung cấp không thể tung ra một bản vá hoặc đưa ra một
giải pháp thích hợp, hệ thống có thể sẽ dễ dàng bị tấn công và khai khác. Nếu bạn là
một quản trị viên, cách hiệu quả để đối phó với kiểu tấn công mới này là bạn phải
đảm bảo hệ thống của bạn luôn luôn được cập nhật đầy đủ và nhanh chóng nhất các
bản vá.
Ứng dụng được thiết kế kém bảo mật và an toàn.
Một ứng dụng có thể được lập trình kém khiến cho kẻ tấn công có thể dễ dàng khai
thác những lỗ hổng. Cũng có thể kiến thức của người lập trình kém, vi phạm các
nguyên tắc thiết kế làm cho ứng dụng đó dễ dàng được khai thác. Điều này vô tình
Alice: “Vậy mail của tôi có bị mất không?”
Attacker: “Không đâu, chúng tôi có thể phục hồi lại được mà. Nhưng vì chúng
tôi là nhân viên phòng dữ liệu, và chúng tôi không được phép can thiệp vào hệ
thống mail của văn phòng, nên chúng tôi cần có password của cô, nếu không
chúng tôi không thể làm gì được.”
Alice: “Password của tôi à? uhm..”
Attacker: “Vâng, chúng tôi hiểu, trong bản đăng kí ghi rõ chúng tôi không được
hỏi về vấn đề này, nhưng nó được viết bởi văn phòng luật, nên tất cả phải làm
đúng theo luật.” ( nỗ lực làm tăng sự tin tưởng từ nạn nhân)
Attacker: “Username của cô là AliceDxb phải không? Phòng hệ thống đưa cho
chúng tôi username và số điện thoại của cô, nhưng họ không đưa password cho
chúng tôi. Không có password thì không ai có thể truy cập vào mail của cô được,
cho dù chúng tôi ở phòng dữ liệu. Nhưng chúng tôi phải phục hồi lại mail của cô,
và chúng tôi cần phải truy cập vào mail của cô. Chúng tôi đảm bảo với cô chúng
tôi sẽ không sử dụng password của cô vào bất cứ mục đích nào khác.”
Alice: “Uhm, pass này cũng không riêng tư lắm đâu, pass của tôi là 123456”
Attacker: “Cám ơn sự hợp tác của cô. Chúng tôi sẽ phục hồi lại mail của cô
trong vài phút nữa.”
Alice: “ Có chắc là mail không bị mất không?”
Attacker: “Tất nhiên là không rồi. Chắc cô chưa gặp trường hợp này bao giờ,
nếu có thắc mắc gì thì hãy liên hệ với chúng tôi. Cô có thể tìm số liên lạc ở trên
Internet.”
Alice: “Cảm ơn.”
Attacker: “Chào cô.”

làm cho một phần mềm thông thường không có “mục đích xấu” trở thành mục tiêu
của các kẻ tấn công. Và từ đây kẻ tấn công có thể thông qua ứng dụng đó khai thác
hệ thống của bạn.
Các giải pháp bảo mật dành cho mạng máy tính.
Vì không có một giải pháp an toàn tuyệt đối nên người ta thường phải phải sử dụng
đồng thời nhiều mức bảo vệ khác nhau tạo thành một lớp "rào chắn" đối với các
hoạt động xâm phạm. Việc bảo vệ thông tin trên mạng chủ yếu là bảo vệ thông tin
được lưu trữ trong máy tính, đặc biệt là trong các server mạng. Hình sau sẽ mô tả
các lớp bảo vệ thông dụng hiện nay để bảo vệ thông tin tại các trạm của mạng.
Hình 1.1: Các lớp trong an toàn mạng
 Lớp bảo vệ trong cùng là quyền truy cập (Access Right) nhằm kiểm soát các
tài nguyên (thông tin) của mạng và quyền hạn (người dùng có thể làm gì trên tài
nguyên đó). Việc kiểm soát được thực hiện trên cả partion, thư mục và tới tập tin.
 Lớp bảo vệ tiếp theo là hạn chế theo tài khoản truy cập gồm username và
password tương ứng (Login/Password). Đây là một phương pháp bảo vệ phổ
biến vì nó khá đơn giản, ít tốn kém và lại có hiệu quả khá cao. Người quản trị sẽ
có trách nhiệm quản lý, kiểm soát hoạt động của người sử dụng khác nhau tùy
theo thời gian và không gian.
 Lớp thứ ba sử dụng các phương pháp mã hóa (Encryption). Dữ liệu sẽ được
mã hóa bằng một thuật toán nào đó để hạn chế việc dù lấy được dữ liệu nhưng tin
tặc cũng chưa chắc có khả năng đọc nó.
Bức tường lửa (Firewall)
Mã hóa dữ liệu (Data Encryption)
Đăng nhập/Mật khẩu (Login/Password)
Quyền truy cập (Access Right)
Thông tin (Infomation)

 Lớp thứ tư là lớp bảo vệ vật lý (Physical Protection) nghĩa là ta sẽ ngăn
chặn các quyền truy cập vật lý vào hệ thống. Ví dụ như không cho phép người
không có nhiệm vụ vào phòng đặt máy tính, yêu cầu truy cập từ xa, sử dụng khóa
để bảo vệ phòng máy tính, hệ thống chuông báo động khi phát hiện có truy cập
vật lý.
 Lớp thứ năm (Firewall): Cài đặt các hệ thống firewall (firewall) nhằm ngăn
chặn các thâm nhập trái phép, lọc các gói tin mà ta không muốn gửi đi hoặc nhận
vào....
 Trong phạm vi nghiên cứu của đề tài, chúng ta sẽ chỉ nghiên cứu đến lớp bảo
vệ thứ năm đó là firewall.
Firewall và mã nguồn mở.
Mỗi doanh nghiệp, tổ chức hay cá nhân đều có nhu cầu bảo vệ thông tin của mình.
Họ có thể lựa chọn nhiều giải pháp xây dựng firewall khác nhau để phục vụ cho
mục đích của mình. Firewall thì có rất nhiều loại từ loại firewall cứng, firewall
mềm, các sản phẩm thương mại hay các sản phẩm mã nguồn mở khác. Việc lựa
chọn triển khai một sản phẩm firewall nào tùy thuộc vào nhiều yếu tố khác nhau
như kinh phí, yêu cầu về tính bảo mật của doanh nghiệp cá nhân đó, hiệu quả kinh
tế, trình độ người quản trị, số lượng thông tin cần bảo vệ. Trong các phần tiếp theo
chúng ta sẽ nghiên cứu kỹ hơn về từng loại firewall khác nhau mà ta đã đề cập tới.
Những ưu điểm của firewall dựa trên mã nguồn mở đó là:
 Trước tiên nó là một dạng FOSS nên có những ưu thế như mã mở, cộng đồng
người sử dụng lớn nên bạn hoàn toàn có thể nhận được sự giúp đỡ một cách
dễ dàng, phát triển liên tục.
 Dựa trên nền tảng các hệ điều hành *nix. Ưu điểm của các hệ điều hành này
so với các hệ điều hành khác đã được chứng minh qua thời gian, hiểu quả và
tính bảo mật của nó.
 Chi phí để chi trả cho firewall dựa trên mã nguồn mở gần như bằng không,
bạn có thể download trực tiếp trên trang chủ và sử dụng cũng như có thể trả
tiền để nhận được sự support tốt hơn từ nhà sản xuất.

 Đáp ứng được các công nghệ tiên tiến như lọc gói theo trạng thái, proxy,
ngoài ra còn có thể kết hợp nhiều tính năng khác như VPN, DHCP.... phần
này chúng ta sẽ thảo luận sâu hơn ở những phần tiếp theo của bài báo cáo.
Firewall là gì?
Ý tưởng về một bức tường để tránh những kể xâm nhập đã có từ hàng ngàn năm
nay. Ví dụ, hơn 2000 năm trước người Trung Quốc đã xây Vạn Lý Trường Thành
nhằm bảo vệ họ trước những bộ lạc láng giềng từ phương Bắc. Hay một ví dụ thứ
hai đó là các vị vua châu Âu đã xây dựng lâu đài với những bức tường cao và hào
(moats) nhằm bảo vệ họ và những đối tượng của họ, cả từ quân xâm lược và cả từ
những băng nhóm có ý định cướp bóc.
Thuật ngữ “Firewall” được sử dụng sớm nhất bởi Lightoler vào năm 1764 để mô tả
một bức tường tách các bộ phận của một tòa nhà ra khỏi những nơi dễ cháy (ví dụ
như nhà bếp...). Nó là một rào cản vật lý ngăn chặn hoặc làm chậm lại quá trình lan
rộng của đám cháy ra khắp tòa nhà nhằm giảm thiểu thiệt hại về cả mạng sống và
tài sản.
Tuy nhiên chúng ta không nghiên cứu về firewall trong xây dựng mà vấn đề chúng
ta quan tâm ở đây là firewall trong một thiết lập hiên đại hơn đó là mạng máy tính
(Computer Networks). Tiền thân của firewall trong an ninh mạng là một thiết bị
định tuyến (router) được sử dụng vào cuối những năm 1980 để tách các mạng ra với
nhau.
Vậy firewall là gì?
Firewall có thể là một thiết bị phần cứng hoặc một chương trình phần mềm chạy
trên máy chủ hoặc là sự kết hợp của cả hai. Được thiết kế nhằm mục đích cho phép
hoặc từ chối truyền thông mạng dựa trên một bộ các quy tắc và nó thường được sử
dụng để bảo vệ mạng khỏi những truy cập trái phép đồng thời cho phép các truyền
thông mạng hợp pháp đi qua. Trong mọi trường hợp nó phải có ít nhất hai giao tiếp
mạng, một cho mạng mà nó bảo vệ, một cho mạng công cộng bên ngoài như
Internet. Lúc đó nó như một cái “cổng” kiểm soát các luồng dữ liệu ra/vào mạng
nội bộ.

Hình 1.2 - Firewall.
Lưu ý: Bạn có thể đọc được nhiều khái niệm về firewall từ một số quyển sách và
một số website trên mạng. Điều cần lưu ý ở đây là không có một thuật ngữ cố định
cho việc miêu tả một bức firewall. (The thing to note here is that there is no fixed
terminology for the description of firewalls.) RFC 2196.
Firewall có thể làm gì?
Trước khi tìm hiểu về cách hoạt động của firewall chúng ta cần phải hiểu rõ rằng
firewall có thể làm gì và không thể làm gì. Tất cả các firewall đều có một số đặc
điểm chung và chức năng giúp chúng ta có thể xác định những việc mà firewall có
thể làm được.
Về cơ bản firewall phải có khả năng thực hiện các nhiệm vụ sau:
 Quản lý và kiểm soát lưu lượng mạng ( Manage and Control network
traffic)
 Xác thực truy cập (Authenticate Access)
 Hoạt động như một thiết bị trung gian (Act as an intermediary)
 Bảo vệ tài nguyên (Protect Resources)
 Ghi lại và báo cáo các sự kiện (Record and report on events)
Tất nhiên firewall cũng chỉ là một giải pháp bảo vệ ở lớp ngoài nên không phải nó
có thể làm được tất cả mọi thứ được. Một số điểm mà firewall không thể làm được
như:
 Firewall không đủ thông minh như con người để đọc hiểu các thông tin
và phân tích nó tốt hay xấu. Nó chỉ có thể chặn thông tin khi đã được xác
định rõ các thông số.

 Firewall không thể chặn một cuộc tấn công nếu cuộc tấn công đó không
"đi qua" nó. Nói chung nó sẽ không thể ngăn chặn sự dò rỉ thông tin khi
mà dữ liệu bị sao chép một cách vật lý.
 Nó cũng không thể kiêm luôn nhiệm vụ quét virus trên dữ liệu do tốc độ
xử lý, sự xuất hiện liên tục của các loại virus và những cách mã hóa dữ
liệu để che dấu virus nhằm qua mặt firewall.
Tuy nhiên nó vẫn là một giải pháp hữu hiệu được sử dụng phổ biến hiện nay.
Quản lý và kiểm soát lưu lượng mạng.
Chức năng đầu tiên và cơ bản nhất mà tất cả các firewall đều phải thực hiện được
đó là quản lý và kiểm soát lưu lượng mạng. Điều này có nghĩa là nó sẽ phải biết
được những gói tin nào đi qua nó, có những kết nối nào thông qua nó. Đồng thời nó
sẽ kiểm soát các gói tin vào ra và các kết nối với hệ thống của bạn. Firewall sẽ làm
điều này bằng cách kiểm tra các gói dữ liệu và giám sát các kết nối đang được thực
hiện. Sau đó dựa vào kết quả kiểm tra gói tin và các kết nối bị giám sát đó nó sẽ đưa
ra quyết định cho phép hay từ chối truy cập.
Kiểm tra gói tin (Packet Inspection): là quá trình chặn và xử lý dữ liệu trong một
gói tin nhằm xác định liệu cho nên cho phép hoặc từ chối gói tin đó theo những
chính sách truy cập đã được xác định. Quá trình này có thể dựa vào bất kỳ yếu tố
nào hoặc tất cả các yếu tố sau đây để đưa ra quyết định lọc gói đó hay không.
 Source IP Address
 Source Port
 Destination IP Address
 Destination Port
 IP Protocol
 Phần Header của gói tin (sequence number, checksum, data flags,
payload infomation và những thông tin khác)
Việc kiểm tra gói tin sẽ phải được thực hiện trên mọi hướng (cả hướng ra và hướng
vô) và trên mọi interface, các quy tắc kiểm soát truy cập phải được áp dụng cho mọi
gói tin đi qua nó.

Kết nối và trạng thái của kết nối (Connection và State)
Giả sử chúng ta có hai máy tính sử dụng giao thức TCP/IP muốn giao tiếp với nhau
thì chúng sẽ phải thiết lập một vài kết nối với nhau. Kết nối này nhằm mục đích
 Thứ nhất là hai máy có thể định danh nhau, điều này đảm bảo rằng hệ thống
của bạn không cung cấp dữ liệu cho một máy tính không tham gia kết nối
 Thứ hai nó được sử dụng để xác định cách thức mà hai máy tính liên lạc với
nhau, ở đây nghĩa là nó sẽ sử dụng connection-oriented (TCP) hay
connectionless (UDP và ICMP).
Cấu trúc của một kết nối có thể giúp ta xác định trạng thái truyền thông giữa hai
máy tính.
Ví dụ:
Nếu Bob hỏi John một câu hỏi, thì phản ứng thích hợp của John trong trường hợp
này là “trả lời câu hỏi của Bob”. Như vậy ta có thể nói tại thời điểm Bob hỏi John
thì trạng thái của cuộc đàm thoại này là “đang chờ đợi” một câu trả lời từ John.
Việc xác định trạng thái của kết nối nhằm mục đích gì? Việc xác định trạng thái của
kết nối và phản ứng tiếp theo mà máy tính sẽ làm giúp ta xây dựng một cơ chế lọc
gói thông minh hơn. Ví dụ firewall có thể giám sát trạng thái của một kết nối và đưa
ra yêu cầu cho phép hay từ chối gói tin nào đó. Một máy tính khi tạo một kết nối tới
một máy tính đầu tiên nó gửi yêu cầu kết nối tới máy tính đó (SYN). Firewall biết
rằng sau yêu cầu kết nối này thì máy tính đích sẽ phải trả về một yêu cầu phản hồi
nào đó (ví dụ SYN/ACK). Việc xác định này được firewall thực hiện bằng cách lưu
một bảng trạng thái theo dõi tất cả các kết nối đi qua nó từ khi kết nối được khởi tạo
cho đến khi kết thúc. Nếu máy tính đích không trả về một phản hồi phù hợp với yêu
cầu kết nối từ máy A hoặc phản hồi đó không hề có trong bảng trạng thái (State
Table) thì gói tin đó sẽ bị hủy.
Statefull Packet Inspection.
Packet Inspection mặc dù có ưu điểm về tốc độ và khả năng kiểm soát các gói tin
theo yêu cầu cho trước khá tốt nhưng nó lại có một khuyết điểm khá nghiêm trọng.

Ví dụ kẻ tấn công cố tình thay đổi các thông số và các tùy chọn trong packet nhằm
mục đích “đi qua firewall một cách hợp pháp”.
Ví dụ:
Thông thường các bộ lọc gói tin sẽ drop tất cả các gói ICMP Echo Request tạo ra từ
công cụ ping để tránh tình trạng DDoS hoặc bị thăm dò thông tin. Tuy nhiên kẻ tấn
công có thể sử dụng kỹ thuật ACK Scan Nmap, kỹ thuật này nghĩa là thay vì gửi
một gói tin ICMP kẻ tấn công sẽ tạo một packet với flag ACK được active rồi gửi
đến port 80 chẳng hạn. Các Static Packet Filter khi kiểm tra gói tin sẽ thấy cờ ACK
được active nên nó nghĩ rằng đây là packet trả lời cho SYN packet từ trước đó nên
nó sẽ cho qua.
Stateful Packet Inspection là một cơ chế lọc gói thông minh, nó có thể nhận dạng
và theo dõi *state* của một connection bằng cách lưu trữ tất cả các thông tin về
connection đó, từ lúc khởi tạo cho đến khi kết thúc vào một "table". Sau này nó sẽ
sử dụng "table" này để kiểm tra các gói tin tương tự, ví dụ nếu máy chủ không gửi
một gói SYN thì không thể tự nhiên có một gói ACK được trả lời được.
Firewall Authentiaction Access.
Việc sử dụng cơ chế lọc gói tin đã giúp bạn hạn chế việc truy cập tài nguyên từ
những nguồn không mong muốn. Điều này đã hạn chế được phần nào mối nguy
hiểm đối với tài nguyên của bạn. Tuy nhiên, hay thử tưởng tượng kẻ tấn công sẽ giả
mạo một địa chỉ IP nào đó đáng tin cậy nào đó và lúc đó hắn có thể đàng hoàng truy
cập tài nguyên của bạn. Lúc này bạn cần thêm một cơ chế nào đó giúp cho tài
nguyên của bạn an toàn hơn.Firewall cung cấp cho bạn một cơ chế xác thực truy
cập nhằm loại bỏ những nguy cơ trên.
Cơ chế xác thực đơn giản nhất đó là yêu cầu người dùng cung cấp username và
password khi họ muốn truy cập tài nguyên của bạn. Thông tin về username và
password này phải được người quản trị tạo ra trên máy chủ cần truy cập từ trước đó.
Khi người dùng cố gắng truy cập vào một máy chủ nào đó, máy chủ đó sẽ thông
báo yêu cầu người sử dụng nhập vào username và password trước khi kết nối. Nếu
đúng thì máy chủ sẽ cho phép kết nối ngược lại nếu sai thì kết nối sẽ hủy bỏ.

Ưu điểm của cơ chế xác thực này là ngoài xác thực bạn hoàn toàn có thể áp dụng
những chính sách bảo mật lên từng username riêng biệt (ví dụ cấp cho user đó có
chỉ có quyền đọc trong thư mục Data nhưng được phép tạo, xóa sửa tài liệu trong
mục Chung)
Một cơ chế xác thực thứ hai đó là sử dụng Certificate và khóa công khai (Public
Keys). Ưu điểm của việc sử dụng cơ chế xác thực này so với xác thực bằng
username và password đó là nó không cần đến sự can thiệp của người dùng. Người
dùng sẽ không cần phải vất vả nhập username và password nữa. Hệ thống sẽ tạo ra
một cặp khóa Private keys và Public key. Cơ chế này khá hiệu quả khi triển khai
trên quy mô lớn.
Ngoài hai cơ chế xác thực trên thì người ta còn sử dụng một cơ chế xác thực khác
nữa đó là sử dụng Pre-shared key (PSKs). Khóa này đã được tạo ra từ trước và chia
sẻ cho người dùng thông qua một kênh an toàn. Ưu điểm của nó là ít phức tạp hơn
so với việc xác thực bằng Certificate đồng thời nó cũng cho phép xác thực mà
không cần sự can thiệp của người dùng. Một nhược điểm của PSKs đó là nó hiếm
khi thay đổi và được sử dụng chung nên nó có thể làm hỏng quá trình xác thực.
Bằng cách xác thực truy cập, firewall đã bổ sung thêm một giải pháp để đảm bảo
một kết nối có hợp pháp hay không. Ngay cả khi gói tin đó vượt qua được cơ chế
lọc gói tin nhưng không thể xác thực thì nó cũng bị hủy.
Hoạt động như một thiết bị trung gian.
Nhu cầu kết nối Internet là một nhu cầu thiết thực và không thể thiếu đối với mỗi
doanh nghiệp. Tuy nhiên việc cho phép các máy tính nội bộ trong hệ thống mạng
của bạn kết nối trực tiếp ra ngoài mạng Internet sẽ đem lại nhiều nguy hiểm. Người
sử dụng có thể bị lợi dụng để download về các phần mềm hay nội dung độc hại gây
nguy hiểm cho hệ thống mạng của bạn.
Giải pháp được đưa ra đó là thay vì cho các máy tính nội bộ kết nối trực tiếp ra
ngoài ta sẽ xây dựng firewall thành một thiết bị có nhiệm vụ “thay mặt” các máy
tính nội bộ đi ra ngoài Internet. Lúc này firewall hoạt động như một Proxy Server.
Quy trình làm việc của nó như sau:

Khi một client đi ra ngoài Internet, ví dụ ở đây là muốn truy cập website
http://www.abc.com thì thay vì client sẽ gửi một request tới webserver đó nó sẽ gửi
yêu cầu tới Proxy Server. Proxy Server sẽ tiếp nhận yêu cầu đó và nếu nó hợp lệ nó
sẽ xử lý yêu cầu đó. Lúc này Proxy sẽ thay mặt client đi ra ngoài Internet lấy thông
tin website http://www.abc.com về. Thông tin được lấy về sẽ được Proxy Server
kiểm tra sau đó nó mới được trả lại cho client.
Các máy tính nội bộ sẽ không nhận thấy sự khác biệt khi có Proxy Server, nó gần
như là trong suốt.
Lợi ích của Proxy Server đó là:
 Cache: Tăng hiệu suất sử dụng dịch vụ mạng.
 Các Request được gửi ra ngoài Internet bằng địa chỉ IP của Proxy Server
nên ngăn chặn các cuộc tấn công không hợp lệ vào các client từ Internet.
 Dữ liệu Response được gửi từ Internet về Proxy, sẽ được Proxy xử lý
(kiểm tra có virus hay không, có thông tin gì độc hại hay không….) sau
đó mới được chuyển về cho client.
Bảo vệ tài nguyên mạng.
Nhiệm vụ quan trọng nhất của firewall đó là bảo vệ tài nguyên mạng trước các mối
de dọa từ bên ngoài. Tài nguyên mạng có thể là các máy tính cá nhân trong hệ thống
nội bộ, cũng có thể là những Server của công ty như mail server, web server và
quan trọng nhất là những dữ liệu bí mật của công ty. Bạn có thể áp dụng việc lọc
gói tin, kiểm soát truy cập, ngăn chặn kết nối trực tiếp hoặc áp dụng tất cả các cách
trên để bảo vệ tài nguyên của bạn. Tuy nhiên bạn nên nhớ rằng firewall không phải
là một giải pháp toàn diện nên đừng quá phụ thuộc vào nó.
Ghi lại và báo cáo các sự kiện.
Một thực tế đó là dù bạn có giỏi đến đâu, bạn có triển khai bao nhiêu biện pháp bảo
mật đi chăng nữa thì cũng chưa chắc rằng hệ thống của bạn an toàn. Bạn không thể
ngăn chặn mọi cuộc tấn công hay những thứ độc hại xâm nhập vào hệ thống mạng
của mình được. Do đó bạn cần phải chuẩn bị để phòng chống những lỗ hổng mà
firewall không thể ngăn chặn được.

Do đó firewall cần phải có chức năng ghi chép lại tất cả các thông tin liên lạc vi
phạm chính sách để báo lại với quản trị viên. Quản trị viên sẽ dựa vào đây để phân
tích tình hình và đưa ra giải pháp cụ thể. Bạn có thể ghi lại các sự kiện bằng nhiều
cách khác nhau nhưng hầu hết các firewall sử dụng một trong hai phương pháp đó
là syslog hoặc một định dạng độc quyền nào đó.Những dữ liệu này sẽ được sử dụng
thường xuyên để phân tích các sự cố và nguyên nhân gây ra trong hệ thống mạng.
Ngoài việc ghi lại các sự kiện firewall còn hỗ trợ khả năng cảnh báo khi chính sách
bảo mật bị vi phạm như:
 Giao diện thông báo: đây là cách đơn giản nhất để cảnh bảo khi có điều gì đó
bất thường trong mạng. Nhược điểm của nó là bạn phải thường xuyên theo
dõi màn hình điều khiển để có thể cập nhật kịp thời các thông báo này.
 Cảnh báo SNMP giúp bạn theo dõi toàn bộ trạng thái của hệ thống mạng từ
các thiết bị như router, switch, server đến thông tin chi tiết như CPU, bộ nhớ,
băng thông.
 Sử dụng email để cảnh báo
Phân loại
Firewall có thể là một thiết bị phần cứng chuyên dụng hoặc có thể là một sản phẩm
phần mềm được cài trên một máy chủ làm nhiệm vụ như một firewall hoặc cũng có
thể là một ứng dụng được cài trên máy tính cá nhân. Việc phân loại firewall có thể
có nhiều cách khác nhau, tuy nhiên ta có thể phân loại nó thành một trong hai loại
sau.
 Desktop hoặc Personal Firewall: Đây là loại firewall dành cho cá nhân và
máy tính cá nhân, ta có thể liệt firewall của các phần mềm diệt virus vào
nhóm này.
 Network Firewall:
Sự khác nhau chính giữa hai loại firewall này đơn giản là số lượng máy tính mà nó
bảo vệ.

Hình 1.3: Phân loại Firewall.
Personal Firewalls. Đây là loại firewall được thiết kế để bảo vệ duy nhất một máy
tính trước các truy cập trái phép. Hiện nay nó đã được phát triển nên rất nhiều và
tích hợp nhiều chức năng đáng giá hơn như diệt virus, diệt các phần mềm độc hại,
phát hiện xâm nhập. Một số firewall cá nhân thương mại phổ biến như BlackICE,
Cisco Security Agen. Còn trong thị trường SOHO (Small Office/Home Office) thì
có các sản phẩm như: Comodo Internet Security, Emsisoft Online Armor Premium,
KIS, ZoneAlam Pro Firewall, Trend Micro Titanium Internet Security [1]
[1].http://personal-firewall-software-review.toptenreviews.com/
Vì dành cho người dùng cá nhân nên personal firewall phải tích hợp giải pháp kiểm
soát tập trung, tích hợp nhiều chức năng, dễ sử dụng, ít cấu hình. Những chức năng
thường thấy ở personal firewall đó là:
 Bảo vệ người dùng trước những xâm nhập trái phép.
 Cảnh báo người dùng về những mối nguy hại.
 Giám sát và điều tiết tất cả các ứng dụng sử dụng internet.

Network firewall. Được thiết kế để bảo vệ toàn bộ một hệ thống mạng máy tính.
Đây chính là điểm khác biệt quan trọng giữa network firewall và personal firewall,
số lượng máy tính mà network firewall cần bảo vệ lớn hơn rất nhiều so với số máy
tính mà personal firewall cần bảo vệ. Chính vì lý do đó mà network firewall cần
phải được thiết kế và xây dựng với những chức năng chuyên biệt hơn nhằm phục vụ
tốt hơn công viêc của nó.
Network firewall cung cấp cho doanh nghiệp một sự linh hoạt và an toàn tối đa cho
hệ thống mạng của họ. Hiện này network firewall đã được phát triển lên nhiều bằng
cách tích hợp nhiều tính năng mới hơn như khả năng phát hiện xâm nhập, khả năng
đọc gói tin sauu hơn. Ngoài ra network firewall không chỉ kiểm soát giao thông
mạng bằng cách nhìn vào thông tin ở Layer 3 hoặc Layer 4 mà nó có thể kiểm soát
các dữ liệu cả ở tầng ứng dụng.
Các sản phẩm Firewall (Firewall Products)
Trên thị trường hiện nay chúng ta có thể tìm thấy ba loại network firewall cơ bản
sau: Server-based, Appliance-based và Integrated.
Server-based firewall là một loại software firewall được cài đặt trên một hệ điều
hành mạng (Network Operating System) và có chức năng của một firewall. Nó có
thể được triển khai trên các nền tảng sau đây
 Apple Mac OS X
 UNIX (Solaris, HP-UX, IBM-AIX)
 GNU/Linux
 Microsoft Windows NT.
Có thể kể đến một số firewall loại này như Microsoft ISA Server, Check Point NG,
Gauntlet, iptable trên Linux hay FreeBSD hay bộ lọc gói pf trên OpenBSD...Ưu
điểm của loại firewall này là nó khá đa năng ví dụ như nó có thể được triển khai
thành một hệ thống DNS hay bộ lọc các spam mail. Firewall loại này dễ dàng đảm
nhiệm vai trò đa năng hơn các thiết bị firewall cứng chuyên dụng khác. Nó cũng dễ
triển khai và quản trị cũng tương đối là dễ dàng.

Tuy nhiên nhược điểm của nó do được cài đặt trên một hệ điều hành nên nó phụ
thuộc vào hệ điều hành đó. Nếu hệ điều hành đó đó tồn tại có nhiều lỗ hổng bảo mật
thì kẻ tấn công có thể khai thác những lỗ hổng đó để tấn công chính firewall đó. Khi
quản trị một firewall loài này người quản trị cần phải cân nhắc việc cập nhật các
bản vá của hệ điều hành, liệu nó có tương thích với firewall chúng ta đang cài trên
đó hay không. Một nhược điểm nữa là do hệ điều hành được viết ra để thực hiện
nhiều chức năng khác chứ không chuyên biệt để cài firewall lên đó nên không có gì
đảm bảo rằng nó sẽ đạt hiệu suất tối đa. Cuối cùng có thể là sự không tương thích
giữa firewall và hệ điều hành, nguyên nhân này do có nhiều software-firewall do
một hãng khác viết ra chứ không phải do hãng cung cấp hệ điều hành.
Nói chung nó khá thích hợp cho môi trường doanh nghiệp vừa và nhỏ do những ưu
điểm về giá cả, quản trị dễ dàng và đáp ứng đủ các nhu cầu.
Appliance-based firewall là một loại firewall dựa trên nền tảng phần cứng và được
thiết kế đặc biệt như một thiết bị firewall chuyên dụng. Ngoài chức năng là firewall
nó còn một số chức năng thứ yếu khác. Có thể kể tới một số sản phẩm như Cisco
PIX, Jupiter's NetScreen Firewall hay Symantec Enterprise Firewall, các sản phầm
của Nokia, Sonicwall....Loại firewall này có một sự thống nhất từ phần cứng, hệ
điều hành, đến phần mềm quản lý trên nó nên nó đạt được hiệu suất khá là cao.
Ngoài ra nó thường là các sản phẩm thương mại nên bạn có thể dễ dàng nhận sự hỗ
trợ từ nhà sản xuất.
Nhược điểm của nó là hạn chế những chức năng mà, nếu muốn bổ sung bạn cần
phải mua và gắn thêm các thiết bị phần cứng khác. Điều này khiến cho việc quản trị
có thể trở nên khó khăn hơn.
Cuối cùng là Integrated firewall đây là một thiết bị "đa năng" ngoài làm firewall
thì nó còn có thể đảm nhận nhiều chức năng khác như VPN, phát hiện phòng chống
xâm nhập, chống spam mail....Nói chung đây là một thiết bị All-in-one.
Hiện nay sự phân biệt giữa Appliance-based firewall và Integrated firewall đã
không còn rõ ràng như trước nữa bởi nhu cầu sử dụng và tính cạnh tranh. Hầu hết cả
hai loại này đều được tích hợp nhiều chức năng khác nhau. Điều này không chỉ làm

giảm số lượng thiết bị mà còn giảm chi phí triển khai và quản lý các thiết bị đó. Các
firewall tích hợp như Cisco ASA hay Tipping Point X505
Firewall Technologies
Trong phần này chúng ta sẽ tập trung vào các công nghệ được sử dụng trong các
loại firewall khác nhau và cách nó làm việc như thế nào. Ở hình 2.... ta đã có một
cái nhìn tổng quát về các loại firewall, tuy nhiên một loại firewall có thể sử dụng
nhiều công nghệ khác nhau để tăng cao hiệu suất sử dụng. Các công nghệ đó bao
gồm:
 (Simple) Packet Filters.
 Circuit-Level Firewalls.
 Application-Level Firewalls.
 Stateful Multilayer Inspection Firewall.
Hình 1.4: Các kỹ thuật sử dụng trên firewall.
Chú ý đây không phải là cách phân loại các loại firewall, các công nghệ này hoàn
toàn có thể được áp dụng trên cùng một loại firewall. Dù cho firewall đó thuộc loại
Server-based firewall hay Appliance-based firewall hay loại Intergrated firewall thì
nó cũng có thể áp dụng những công nghệ trên.
Packet Filters

Nguyên lý hoạt động
Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua Firewall
thì điều đó có nghĩa rằng Firewall hoạt động chặt chẽ với giao thức TCI/IP. Vì giao
thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng
trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet,
SMTP, DNS, SMNP, NFS ...) thành các gói dữ liệu (data pakets) rồi gán cho các
paket này những địa chỉ để có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó
các loại Firewall cũng liên quan rất nhiều đến các Packet và những con số địa chỉ
của chúng.
Bộ lọc gói cho phép hay từ chối mỗi Packet mà nó nhận được. Nó kiểm tra toàn bộ
đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoả mãn một trong số các luật
lệ của lọc gói hay không. Các luật lệ lọc gói này là dựa trên các thông tin ở đầu mỗi
Packet (Packet Header ), dùng để cho phép truyền các Packet đó ở trên mạng. Đó là:
 Địa chỉ IP nơi xuất phát ( IP Source address)
 Địa chỉ IP nơi nhận (IP Destination address)
 Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel)
 Cổng TCP/UDP nơi xuất phát (TCP/UDP source port)
 Cổng TCP/UDP nơi nhận (TCP/UDP destination port)
 Dạng thông báo ICMP (ICMP message type)
 Giao diện Packet đến (Incomming interface of Packet)
 Giao diện Packet đi (Outcomming interface of Packet)
Nếu luật lệ lọc gói được thoả mãn thì Packet được chuyển qua Firewall. Nếu không
Packet sẽ bị bỏ đi. Nhờ vậy mà Firewall có thể ngăn cản được các kết nối vào các
máy chủ hoặc mạng nào đó được xác định, hoặc khoá việc truy cập vào hệ thống
mạng nội bộ từ những địa chỉ không cho phép. Hơn nữa, việc kiểm soát các cổng
làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất định vào các
loại máy chủ nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP...)
được phép mới chạy được trên hệ thống mạng cục bộ.

Hình 1.5: Packet Filters
Ưu điểm và hạn chế của hệ thống Firewall sử dụng bộ lọc gói
Ưu điểm:
Đa số các hệ thống Firewall đều sử dụng bộ lọc gói. Một trong những ưu điểm của
phương pháp dùng bộ lọc gói là chi phí thấp vì cơ chế lọc gói đã được bao gồm
trong mỗi phần mềm Router.
Ngoài ra, bộ lọc gói là trong suốt đối với người sử dụng và các ứng dụng, vì vậy nó
không yêu cầu sự huấn luyện đặc biệt nào cả.
Hạn chế:
Việc định nghĩa các chế độ lọc gói là một việc khá phức tạp nó đòi hỏi người quản
trị mạng cần có hiểu biết chi tiết về các dịch vụ Internet, các dạng Packet Header, và
các giá trị cụ thể mà họ có thể nhận trên mỗi trường. Khi đòi hỏi vể sự lọc càng lớn,
các luật lệ về lọc càng trở nên dài và phức tạp, rất khó để quản lý và điều khiển.
Do làm việc dựa trên Header của các Packet, rõ ràng là bộ lọc gói không kiểm soát
được nội dung thông tin của Packet. Các Packet chuyển qua vẫn có thể mang theo
những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu.
Circult-Level Gateways
Circuit-Level Gateways hoạt động ở mức session của mô hình OSI hoặc lớp TCP
của mô hình TCP/IP. Chúng giám sát việc “bắt tay” ( handshaking ) giữa các gói tin
để xem xét phiên yêu cầu có hợp lệ hay không. Khi một thông tin nào đó được trao
đổi với một máy tính ở xa, Circuit-Level Gateways có nhiệm vụ sửa đổi thông tin

đó để chúng trông có vẻ như xuất phát từ Circuit-Level Gateways. Nó làm việc như
một sợi dây,sao chép các byte giữa kết nối bên trong (inside connection) và các kết
nối bên ngoài (outside connection). Điều này thật sự hữu dụng trong việc che giấu
thông tin về một mạng nội bộ mà nó đang bảo vệ, tuy nhiên nhiệm vụ của Circult-
Level gateways đơn giản là chuyển tiếp các packet nên có một hạn chế là không
thực hiện lọc gói tin bên trong kết nối đó.
Circult-Level gateways thường được sử dụng cho những kết nối ra ngoài, nơi mà
những người quản trị thật sự tin tưởng những người dùng bên trong mạng nội bộ.
Hình 1.6: Circult-Level Gateways
Application-Level Gateways
Hay còn được gọi là Proxy, hoạt động như kẻ trung gian giữa hai hệ thống giống
như Circuit-Level Gateways nhưng có chức năng lọc gói tin và hoạt động ở lớp
Application của mô hình OSI. Chúng làm việc bằng cách tạo ra và chạy một tiến
trình để các lưu lượng bắt buộc phải đi qua nó trước khi được truyền đến đích. Để
hỗ trợ cho các dịch vụ khác nhau, proxy firewall bắt buộc phải tạo ra một giao thức
đặt biệt để hỗ trợ dịch vụ đó: một SMTP Proxy cho Email, một FTP Proxy cho việc
truyền tải tập tin, một HTTP Proxy cho dịch vụ Web.
Bất cứ khi nào một máy tính muốn truy cập một dịch vụ trên internet, gói tin yêu
cầu kết nối phải được xử lý bởi các dịch vụ proxy cụ thể của các giao thức đó trước
khi được truyền đến đích. Các gói tin trở về từ máy chủ trên internet cũng phải được
xử lý một cách tương tự trước khi chuyển tiếp đến hệ thống nội bộ. Trong một số
proxy firewall, một dịch vụ proxy chung có thể sử dụng cho nhiều dịch vụ khác

nhau. Tuy nhiên, không phải tất cả các dịch vụ đều có thể sử dụng proxy chung đó.
Hoặc khi một dịch vụ không thể sử dụng proxy chung và chúng cũng không có một
proxy riêng biệt nào thì Application-Level Gateways không thể thực hiện được bất
kỳ biện pháp lọc gói tin nào.
Do có khả năng giám sát, nên tường lửa proxy có khả năng kiểm tra sâu vào trong
các gói tin của một kết nối và áp dụng các dịch vụ bổ sung để xác định xem gói tin
có được chuyển tiếp hay không. Tuy nhiên chúng có một vài hạn chế là việc cấu
hình tương đối phức tạp và tốc độ của chúng cũng là một trở ngại lớn. Bởi vì loại
firewall này kiểm tra sâu vào trong các ứng dụng nên gây ra sự chậm trễ trong kết
nối mạng.
Hình 1.7:Application-Level Gateways
Stateful Mutilayer Inspection Firewalls
Mô hình Stateful Multilayer Inspection Firewalls kết hợp các khía cạnh của NAT
Firewalls, Packet Filters, Circuit-Level Gateways và Application-Level Gateways
lại với nhau. Firewall này lọc các lưu lượng ban đầu dựa trên đặc tính của các gói
tin như Packet Filters Firewalls, nhưng cũng bao gồm cả việc kiểm tra phiên làm
việc xem chúng có hợp lệ hay không.
Stateful Multilayer Inspection Firewalls phức tạp hơn các thành phần cấu tạo nên
chúng nhưng được coi là cơ sở trong vấn đề an ninh mạng ngày nay và hầu hết các
firewall trên thị trường ngày nay là Stateful Multilayer Inspection Firewalls.

Hình 1.8: Stateful MutilayerInspection Firewalls
Những kiến trúc cơ bản của firewall
Dual Homed Host:
Kiến trúc Dual homed host gồm một máy tính có ít nhất hai network interface, có
nghĩa là máy đó có gắn hai card mạng giao tiếp với hai mạng khác nhau và như thế
máy tính này đóng vai trò là router phần mềm.
 Public interface: là card nối trực tiếp với vùng mạng không đáng tin cậy
(Internet)
 Private interface: nối với vùng mạng nội bộ.
Dual-homed host chỉ có thể cung cấp các dịch vụ bằng cách ủy quyền (proxy)
chúng hoặc cho phép users đăng nhập trực tiếp vào Dual-homed host. Mọi giao tiếp
từ một host trong mạng nội bộ và host bên ngoài đều bị cấm, Dual-homed host là
nơi giao tiếp duy nhất.
Đối với kiến trúc này, bastion host là nơi thường xuyên bị tấn công nhất nên nó phải
được cấu hình sao cho giảm tối thiểu những lỗi mà kẻ tấn công có thể lợi dụng để
khai thác. Một số gợi ý để cấu hình tốt một bastion host:
 Vô hiệu hóa hoặc loại bỏ bất kỳ dịch vụ nào không cần thiết hoặc không
được sử dụng.
 Vô hiệu hóa hoặc loại bỏ bất kỳ tài khoản người sử dụng nào không cần
thiết.
 Vô hiệu hóa hoặc loại bỏ bất kỳ giao thức mạng nào không cần thiết.

 Cập nhật liên tục các bản vá của hệ điều hành.
 Đóng tất cả các port không cần thiết hoặc không sử dụng.
 Sử dụng cơ chế mã hóa để đăng nhập.
Hình 1.9: Kiến trúc Dual Homed Host
Screened Host:
Kiến trúc này cung cấp các dịch vụ từ một host bên trong mạng nội bộ, dùng một
router tách rời với mạng bên ngoài. Trong kiểu kiến trúc này, bảo mật chính là
phương pháp Packet Filtering.
Kiến trúc này cung cấp mức độ bảo mật cao hơn vì nó thực hiện bảo mật ở tầng
network và tầng application. Đồng thời kẻ tấn công phải phá vỡ cả hai tầng bảo mật
để xâm nhập được vào hệ thống mạng nội bộ
Trong hệ thống này bastion host được cấu hình ở mạng nội bộ. Quy luật filter được
định nghĩa sao cho tất cả các hệ thống bên ngoài internet chỉ có thể truy cập được
vào bastion host, việc liên lạc với các hệ thống trong mạng nội bộ khác đều bị cấm.
Bởi vì các hệ thống nội bộ và bastion host ở trên cùng một mạng, chính sách bảo
mật sẽ quyết định xem trong hệ thống mạng nội bộ nơi nào được kết nối trực tiếp ra
internet, nơi nào phải sử dụng các dịch vụ proxy trên bastion host. Bất kỳ một hệ
thống bên ngoài nào cố gắng truy cập vào hệ thống hoặc các dịch vụ bên trong đều
phải kết nối tới host này. Vì thế, Bastion host là host cần phải được duy trì ở chế độ
bảo mật cao. Packet Filtering cũng cho phép Bastion host có thể mở kết nối ra bên
ngoài.

Bởi vì bastion host là hệ thống bên trong duy nhất có thể kết nối ra được internet, sự
tấn công cũng chỉ giới hạn đến bastion host mà thôi. Tuy nhiên nếu bastion host đó
bị tấn công thì kẻ tấn công cũng có thể dễ dàng lám tổn thương hệ thống mạng nội
bộ.
Hình 1.10: Kiến trúc Screened host
Screened Subnet:
Kiến trúc này được xem là kiến trúc an toàn nhất, bao gồm hai packet filtering và
một bastion host. Hệ thống firewall này có độ an toàn rất cao. Kiến trúc Screened
subnet là kiến trúc mà ta tách riêng những dịch vụ được cung cấp công cộng ra một
vùng mạng riêng (DMZ) nhằm tăng cường khả năng bảo vệ mạng nội bộ, thực hiện
chiến lược phòng thủ theo chiều sâu. Khi một dịch vụ nào đó trong vùng DMZ bị
tấn công thì cũng không ảnh hưởng đến những máy trong vùng nội bộ. Hệ thống
này cần ít nhất ba network interfaces.
Với những thông tin đến từ bên ngoài, Screened subnet có chức năng chống lại
những sự tấn công vào vùng mạng nội bộ.
Kiểu Screened subnet đơn giản bao gồm hai screened router:
Router ngoài: nằm giữa vùng DMZ và vùng External có chức năng bảo vệ
cho vùng DMZ (Mail server, Web server). Một số quy tắc packet filter đặc biệt
được cấu hình ở mức cần thiết đủ để bảo vệ vùng DMZ.

Router trong: nằm giữa vùng DMZ và vùng LAN nhằm bảo vệ mạng nội bộ
trước khi ra ngoài internet và DMZ. Nó không thực hiện hết các quy tắc packet
filter của toàn bộ firewall.
Ưu điểm:
Kẻ tấn công muốn chiếm được quyền kiểm soát tài nguyên trong hệ thống mạng
nội bộ thì cần phải phá vỡ ba tầng bảo vệ: router trong, bastion host, router ngoài.
Hệ thống mạng nội bộ dường như là “vô hình” đối với bên ngoài.
Các máy trong mạng nội bộ không thể truy cập trực tiếp vào internet mà phải thông
qua các proxy server.
Hình 1.11: Kiến trúc Screened Subnet
Linux-based Firewall
Các firewall dựa trên Linux có rất nhiều loại khác nhau. Ban đầu các firewall-based
Linux dựa trên ipfw code (mã này được phân phối bởi Berkeley Software
Distribution BSD). Sau đó thì một tiện ích được viết ra đó là ipfwadm, nó trở nên
hữu ích và bắt đầu được đặt trong kernel của Linux từ bản 1.0 và cung cấp cho
người quản trị nhiều chức năng linh hoạt.
Đến phiên bản kernel 2.2, một hệ thống lọc khác đẵ được phát triển và kèm sẵn
trong kernel của Linux đó là ipchains. Bộ lọc ipchains mở rộng các tính năng có sẳn
của ipfwadm. Và đến khi phiên bản 2.4 được phát hành thì bộ lọc trên Linux đã
được viết lại một cách hoàn chỉnh hơn, và hệ thống lọc đó có tên là netfilter.
Netfilter là một phần rất quan trọng của kernel Linux trong việc bảo mật, quản lý
lưu lượng mạng. Netfilter hoạt động ở phía kernel và để người quản trị có thể dễ

dàng giao tiếp với netfilter và chỉ định những yêu cầu với netfilter thì ta có thể sử
dụng một chương trình rất nổi tiếng đó là iptables. Iptables thực ra là một tiện ích
nằm phía trên (front-end) netfilter, nó sẽ “nói” cho netfilter những gì người quản trị
muốn làm. Đặc điểm chính của netfilter chính là bộ lọc gói tin và NAT (Network
Address Translation).
 Stateless packet filtering (IPv4 và IPv6)
 Stateful packet filtering (IPv4 và IPv6)
 Tất cả các địa chỉ mạng và port được chuyển đổi ví dụ NAT/NAPT (chỉ
IPv4)
 Linh hoạt và cho phép mở rộng sơ sở hạ tầng.
 Nhiều lớp của thư viện API cho phép những phần mở rộng của các hãng
thứ 3.
Hiểu một cách đơn giản cách làm việc của netfilter như sau:
 Người quản trị sẽ yêu cầu kernel những gì nó cần làm với một gói tin
bằng các sử dụng iptables.
 Hệ thống sau đó sẽ phân tích header của tất cả các gói tin đi qua nó.
 Nếu khi nhìn vào phần header mà kernel phát hiện ra các rule phù hợp
gói tin đó sẽ bị điều khiển theo các rule đó.
Có 3 loại bảng trong netfilter đó là:
 Mangle table: Chịu trách nhiệm biến đổi quality of service bit trong TCP
Header.
 Filter table: Chịu trách nhiệm thiết lập bộ lọc packet (packet filtering). Nó
bao gồm 3 quy tắc (chain) nhỏ giúp cho bạn thiết lập các nguyên tắc lọc gói
gồm:
o Forward chain: Lọc gói khi gói đó thông qua firewall và tới một
server khác.
o Input chain: Lọc gói khi gói đó đi vào firewall.

o Output chain: Lọc gói đi ra khỏi firewall.
 NAT table: Thực thi chức năng NAT bao gồm hai chain sau:
o Pre-routing NAT: NAT từ ngoài vào nội bộ (NAT Inbound) thực hiện
trước quá trình routing.
o Post-routing NAT: NAT từ trong ra ngoài (NAT Outbound) thực hiện
sau khi routing nhằm thay đổi địa chỉ nguồn của gói tin.

Chương 2: Giới thiệu về ClearOS
Chương 2: Giới Thiệu về ClearOS
Giới thiệu về ClearOS
Trên thực tế có rất nhiều sản phẩm firewall dựa trên Linux, có thể kể tên một số sản
phẩm như Monowall, SmoothWall Express, Endian, IPCop, pfsence….Về cơ bản
chúng hầu như đều chạy phía trên netfilter của kernel Linux. Một số bản phân phối
còn bổ sung một số tính năng và giải pháp khác nhằm cung cấp một giải pháp toàn
diện hơn như Proxy, IDS, VPN…
ClearOS được phát triển bởi ClearFoundation một tổ chức uy tín, với cộng đồng
người sử dụng lớn và là một bản phân phối phổ biến theo http://distrowatch.com
(xếp hạng 37). ClearOS (còn có một tên khác là ClarkConnect) là một Linux
Distribution dựa trên CentOS và Red Hat Enterprise, được thiết kế như là một
Network Gateway, Network Server với giao diện quản lý hoàn toàn trên Web.
ClearOS được phát triển bởi ClearFoundation và giống như những phần mềm mã
nguồn mở khác (FOSS) ClearOS được phát hành dưới giấy phép GNU General
Public License v2, bạn có thể dễ dàng download một cách miễn phí về và cài đặt để
sử dụng. Đây là một giải pháp tốt nhằm thay thế cho Windows Small Bussiness
Server của Microsoft.
ClearOS có ba phiên bản tùy thuộc vào nhu cầu của bạn đó là ClearOS Enterprise,
ClearOS Home và ClearOS Core.
Hình 2.1: Quá trình phát triển của ClearOS.
Những điểm nổi trội của ClearOS
 Stateful firewall (iptables)
 Web proxy, content filtering và antivirus (Squid, DansGuardian )

 Intrusion Detection and prevention System (SNORT)
 Virtual Private Networking (PPTP, IPSec, OpenVPN)
 E-mail services (Webmail, Postfix, SMTP, POP3/s, IMAP/s)
 Groupware (Kolab)
 Database và Web Server (LAMP)
 File và Print services (Samba, CUPS)
 Flexshares (CIFS, HTTP/S, FTP/S, và SMTP)
 MultiWAN.
 Report, statistics (MRTG,…)
Yêu cầu phần cứng:
Tương tự như nhiều bản phân phối Linux khác, ClearOS Enterprise cho phép bạn
cài đặt cả ở chế độ đồ họa cũng như chế độ console. Bạn hoàn toàn có thể cài đặt ở
chế độ console và quản trị dễ dàng qua giao diện web. Với giao diện console server
của bạn chỉ cần cấu hình thấp với 512 MB RAM và 2GB ổ cứng.
Nếu cài đặt ở chế dộ Standalone thì bạn cần ít nhất một card mạng còn nếu cài đặt ở
chế độ Gateway thì bạn cần ít nhất hai card mạng.
Giới thiệu giao diện cấu hình web
Hình 2.2 : Giao diện chính ClearOS

Menu Directory: Menu này chứa các cấu hình cơ bản nhất về hệ thống, những
thông tin của hệ thống như:
 Account: cho phép thêm, xóa, chỉnh sửa thông tin về các user và group
trên hệ thống.
 Setup: Các cấu hình về Domain, LDAP, các thông tin về tổ chức của bạn,
các quy định của password.
Menu Network: Đây là menu cấu hình chính của hệ thống.
Hình 2.3 : Menu Network
 Setting: cho phép bạn tùy chỉnh các thông số về địa chỉ IP như địa chỉ IP
của vùng Internal, Extarnal, vùng DMZ, cấu hình DNS, DHCP,
MultiWan...
 Firewall: Cấu hình các rule liên quan chính đến firewall.
o 1-to-1 NAT: Ánh xạ một địa chỉ IP Private thành đại chỉ IP Public.
o DMZ: Cấu hình các luật liên quan đến vùng DMZ
o Incoming: Cấu hình các kết nối vào bên trong hệ thống.
o Outcoming: Cấu hình các kết nối đi ra ngoài hệ thống.

Menu Gateway: Các cấu hình về Antimalware, giới hạn Bandwidth, lọc các
Protocol, Proxy…
Hình 2.4: Menu Gateway.
Menu System: Cấu hình cho máy chủ chủ cài đặt ClearOS, các tài nguyên của
máy chủ đó như ổ cứng, các tiến trình đang chạy, các dịch vụ đang được sử dụng…
Hình 2.5: Menu System

Menu Report: Bao gồm các báo cáo về lưu lượng mạng, các báo cáo về proxy,
các log của hệ thống…Menu này cho phép bạn theo dõi các thông số của hệ thống.
Hình 2.5: Menu Report

Chương 3: Demo một số tình huống thực tế
Mô hình
Thực tế
Hình 3.1: Mô hình thực tế.
Mô hình gồm:
ClearOS là một máy chủ có 3 interface kết nối với ba vùng mạng đó là vùng Local,
Internet, DMZ.
Modem: Thiết bị kết nối Internet.
Switch: Thiết bị phân chia kết nối giữa nhiều Server trong vùng DMZ.
Core Switch: Thiết bị Switch Layer 3 dùng để phân chia các phòng ban.
Các máy trạm của từng phòng ban như P. Kinh Doanh, Ban GDD, P. Nhân Sự.
Thực nghiệm

Hình 3.2: Mô hình Demo.
Gồm các thiết bị sau:
ClearOS là máy chủ được cài trên Virtualbox, gồm 3 interface là eth0 (nối v ới vùng
mạng giả định Internet), eth1 (nối với DMZ), eth2 (nối với mạng nội bộ).
Client: Máy nội bộ cài hệ điều hành Windows XP, cài trên máy ảo Virtualbox.
Web Server: Cài đặt hệ điều hành CentOS và dịch vụ httpd cài trên máy ảo
Virtualbox.
User: Máy thật Ubuntu.
Attacker: Hệ điều hành Backtrack 5, cài trên máy ảo Virtualbox
Danh sách demo thực nghiệm:
Chặn web xấu, nội dung độc hại bằng Web Proxy và Content Filter.
Publish WebServer ra ngoài Internet.
Thiết lập một số quy tắc bảo vệ WebServer.
Cho phép duy nhất một địa chỉ ngoài Internet và duy nhất một địa chỉ trong
mạng LAN (Administrator) SSH vô Firewall.
Chặn attacker scan port bằng nmap.
Chống DoS và DDoS.
(mô tả phần test – kết quả)
Chặn web xấu, nội dung độc hại bằng Web Proxy và Content Filter.

Mô tả: Công ty của bạn có nhu cầu cho nhân viêt kết nối Internet để phục vụ cho
công việc. Tuy nhiên nhân viên thường xuyên sử dụng Internet để truy cập vào
những website xấu, làm các công việc cá nhân như chơi game, chat, đọc báo, tải các
tập tin nguy hại như virus, sâu làm ảnh hưởng đến hệ thống.
Yêu cầu: Chặn người dùng vào các trang như http://zing.vn, http://vnexpress.net
trong giờ làm việc, cấm tìm với từ khóa “tim ban chat”.
Hình thức: Chặn ở phía người sử dụng nội bộ.
Menu thực hiện: Gateway ► Proxy and Filtering ► Content Filter và Web Proxy.
Mô hình: Mô hình thực tế.
Các bước thực hiện:
B1: Start dịch vụ Web Proxy và dịch vụ Content Filter trong menu
System/Service lên.
Hình 3.3: Start Web Proxy và Content Filter.
B2:
Config Web Proxy ở chế độ Transparent Mode (ở chế độ này tất cả các request từ
nội bộ sẽ phải đi qua Proxy Server, ở phía nội bộ không phải cấu hình gì, Proxy sẽ
“trong suốt” đối với người dùng)

Hình 3.3: Enabled Transparent Mode và Content Filter.
Enabled chế độ Content Filter lên.
B3: Tạo các rule trong module Content Filter để cấm truy cập http://zing.vn,
http://vnexpress.net trong Content Filter / Configure Filter Group #1: Default và
Edit ở dòng Site List.
Hình 3.4: Thêm Domain Block.
B4: Lọc theo nội dung không cho người dùng vào các trang có từ “tim ban chat”
(mặc định ClearOS đã định nghĩa một số cụm từ thông dụng như chat, webchat,
game, sport, news,malware...). Ta sẽ thêm cụm từ “tim ban chat” vào danh mục các
từ cần lọc.
Hình 3.5: Thêm từ khóa chặn.
Để thêm vào cụm từ “tim ban chat” ta tiến hành SSH vô ClearOS với quyền root và
thực hiện chỉnh sửa file.
vi /etc/dansguardian-av/lists/phraselists/chat/weighted

Hình 3.6: Chỉnh sửa file weighted.
Với <100> là mức độ lọc từ.
Sau đó Restart lại dịch vụ tương ứng. /etc/init.d/dansguardian-av restart
Hình 3.7: Restart dịch vụ dansguardian-av.
Kiểm tra lại thử
Máy nội bộ đã không thể truy cập vào hai domain zing.vn và vnexpress.net
Hình 3.8: Test domain http://zing.vn

Hình 3.8: Test domain http://vnexpress.net
Máy nội bộ đã không thể tìm kiếm với từ khóa “tim ban chat”
Publish WebServer ra ngoài Internet.
Mô tả: Công ty bạn đặt một Web Server ở trong hệ thống. Bạn muốn cho khách
hàng, đối tác…của bạn có thể truy cập vào website này.
Yêu cầu: Bên ngoài Internet có thể truy cập website đặt trong DMZ
Hình thức: NAT Inbound
Menu thực hiện: Network ► Firewall ► 1-to-1 NAT
Mô hình: Mô hình Demo
Thực hiện:
 Nickname: Đặt tùy ý.

 Interface: Card mạng mặt ngoài của Firewall, giao tiếp với Internet.
 Private IP: Địa chỉ IP của Web Server đặt trong vùng DMZ
 Public IP: Địa chỉ IP mặt ngoài của Firewall (eth0)
 Protocol: TCP
 Port: 80:80 (http)
Hình 3.9: Cấu hình publish Webserver ra ngoài Internet.
Kiểm tra: truy cập web từ máy thật có địa chỉ : 111.11.1.1
Hình 3.10: Kiểm tra truy cập

Như ta thấy ở đây máy có địa chi IP 111.11.1.1 đã có thể truy cập vào web server
thông qua đại chỉ IP mặt ngoài của Firewall là 111.11.1.10
Thiết lập một số quy tắc bảo vệ WebServer.
Mô tả: Bạn phát hiện một số địa chỉ IP Public phía bên ngoài Internet thường xuyên
truy cập vào website, forum của bạn để spam bài, viết các nội dung phá hoại.
Yêu cầu: Chặn không cho các địa chỉ IP này truy cập vào website, forum của công
ty bạn, những người dùng khác truy cập bình thường. Ở đây ta chặn User có địa chỉ
IP là 111.11.1.1 .
Hình thức: Chặn phía bên ngoài Internet.
Menu thực hiện: Network ► Firewall ► Incoming
Thực hiện:
Hình 3.10: Cấu hình block một IP public.
Lưu ý: Bạn cũng có thể chặn một dải IP nào đó bằng cách thay địa chỉ IP 111.11.1.1
bằng một dải IP. Ví dụ: 111.11.1.0/24.
Kiểm tra: truy cập từ máy bị chặn 111.11.1.1

Hình 3.11: Kiểm tra block.
Như chúng ta thấy ở đây, sau khi thiết lập rule chặn không cho địa chỉ 111.11.1.1
truy cập web server thì máy này đã không thể truy cập vào web server.
Cho phép duy nhất một địa chỉ ngoài Internet và duy nhất một địa chỉ trong
mạng LAN (Administrator) SSH vô Firewall.
Mô tả: Bạn là người quản trị hệ thống mạng của công ty. Nhưng không phải lúc
nào bạn cũng có thể có mặt ở công ty để truy cập vào hệ thống. Bạn cần truy cập
SSH vào Firewall từ ngoài Internet. Hoặc bạn đang ở công ty nhưng bạn chỉ muốn
máy tính của bạn mới có thể SSH vô Firewall để quản trị. Nhân viên các phòng ban
khác bị cấm.
Yêu cầu: Để đảm bảo tính bảo mật, bạn tạo rule cho phép duy nhất một máy tính có
địa chỉ IP xác định được truy vập vào Firewall thông qua giao thức SSH từ Internet.
Ví dụ ở đây chỉ cho phép IP 111.11.1.101 được phép truy cập SSH từ Internet, máy
tính 172.16.1.100 của Administrator từ mạng LAN còn lại chặn tất cả.
Hình thức: Cho phép SSH từ ngoài Internet và SSH từ LAN.
Menu thực hiện: Network ► Firewall ► Custom

Thực hiện:
B1: Chặn tất cả SSH vào hệ thống
Hình 3.12: Cấu hình chặn tất cả SSH.
B2: Cho phép IP 111.11.1.101 được phép SSH vào Firewall.
Hình 3.13: Cấu hình cho phép 1 ip public SSH.
B3: Cho phép máy Administrator truy cập Firewall.
Hình 3.14: Cấu hình cho phép 1 ip private SSH.

Chặn attacker scan port bằng nmap.
Mô tả: Kẻ tấn công thường sử dụng các công cụ như nmap để scan port trên các
server public như Web, Mail…nhằm tìm ra các dịch vụ dư thừa, các port đang mở
dư thừa của hệ thống để khai thác.Các cơ chế scan port như FIN Scan (-sF), Xmas
Scan (-sX), Null Scan (-sN), Ack Scan (-sA)
Yêu cầu: Dựa vào đặc điểm của các cơ chế scan port, chặn các cơ chế scan port đó.
Hình thức: Chặn ở phía bên ngoài Internet.
Hình 3.15:Cấu hình chặn scan port.
Kiểm tra: Chúng ta sẽ kiểm tra lần lượt bằng cách sử dụng chương trình nmap.
Hình 3.16: Kiểm tra với scan FIN.

Hình 3.17: Kiểm tra với scan NULL.
Hình 3.18: Kiểm tra với Scan XMAS.
Kết luận: Như chúng ta đã thấy, khi kẻ tấn công sử dụng một công cụ scan port
như nmap và scan hệ thống của chúng ta filewall sẽ phát hiện, thông báo và chặn
đứng các cuộc scan đó.
Chống DoS và DDoS.
Mô tả: Kẻ tấn công flood một lượng lớn gói tin đến Web Server làm cho hệ thống
của bạn bị treo và không thể cung cấp dịch vụ cho người dùng thông thường. Các
hình thức tấn công như SYN Flood, ICMP Flood
Yêu cầu: Giới hạn số lần request trên giây, lọc những IP có khả năng flood server
của bạn (gửi nhiều request trong cùng một thời điểm).

Hình thức: Lọc phía Internet.
Thiết lập các rule sau:
Hình 3.19: Rule chống SYN Flood.
Kiểm tra:
Sử dụng máy Back_Track để demo tấn công với câu lệnh: “# hping3 --flood –S –p
80 111.11.1.10”
Với:
hping3: là một công cụ cho phép gửi các packet theo những tùy chọn khác nhau.
--flood: gửi các packet với tốc độ cực nhanh.
-S: packet được gán cờ SYN
-p 80: gửi đến port 80 của firewall, firewall sẽ NAT Inbound vào web server trong
vùng DMZ.
111.11.1.10: địa chỉ ip mặt ngoài eth0 của firewall.
Trên web server sử dụng công cụ tcpdump (dòng lệnh) hoặc wireshark (đồ họa)
để bắt gói tin và phân tích.
# tcpdump –ni eth0 port 80  để bắt các gói tin đi vào card eth0 ở port 80.
Trên một máy khác có thể truy cập tới web server sử dụng câu lệnh
# time wget –o /dev/null 111.11.1.10
Để kiểm tra thời gian đáp ứng của web server đó.

TÌM HIỂU FIREWALL VÀ TRIỂN KHAI TRÊN MÃ NGUỒN MỞ

TÌM HIỂU FIREWALL VÀ TRIỂN KHAI TRÊN MÃ NGUỒN MỞ

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Destacado

Destacado (20)

Similar a TÌM HIỂU FIREWALL VÀ TRIỂN KHAI TRÊN MÃ NGUỒN MỞ

Similar a TÌM HIỂU FIREWALL VÀ TRIỂN KHAI TRÊN MÃ NGUỒN MỞ (20)

TÌM HIỂU FIREWALL VÀ TRIỂN KHAI TRÊN MÃ NGUỒN MỞ