HỌC VIỆN KỸ THUẬT MẬT MÃ KHOAAN TỒN THƠNG TIN BÁO CÁO MƠN HỌC CƠ SỞ AN TỒN THƠNG TIN Đề tài: TÌM HIỂU VÀ SO SÁNH TÍNH NĂNG CỦA MỘT SỐ LOẠI TƯỜNG LỬA Sinh viên thực hiện: NGUYỄN HỒNG ANH AT160504 NGUYỄN THANH HẢI AT160221 NHĨM Giảng viên hướng dẫn: TS NGUYỄN NGỌC TOÀN Hà Nội, 9-2022 TIEU LUAN MOI download : skknchat123@gmail.com moi nhat MỤC LỤC CHƯƠNG GIỚI THIỆU VỀ TƯỜNG LỬA VÀ SO SÁNH MỘT SỐ LOẠI TƯỜNG LỬA PHỔ BIẾN 1.1 Tổng quan tường lửa 1.1.1 Khái niệm tường lửa 1.1.2 Tác dụng tường lửa 1.1.3 Cấu trúc tường lửa 1.1.4 Phân loại tường lửa 1.1.5 Nguyên lý hoạt động tường lửa 1.2 So sánh số loại tường lửa phổ biến 1.2.1 Cisco ASA 1.2.2 Fortigate 1.2.3 So sánh CHƯƠNG TỔNG QUAN VỀ TƯỜNG LỬA IPTABLES VÀ TƯỜNG LỬA PFSENSE 2.1 Tổng quan tưởng lửa Iptables 2.1.1 Giới thiệu Iptables 2.1.2 Thành phần Iptables 2.1.3 Cấu hình Iptables 10 2.1.4 Các câu lệnh Iptables 11 2.2 Tổng quan tường lửa Pfsense 12 2.2.1 Giới thiệu Pfsense 12 2.2.2 Tính Pfsense 13 CHƯƠNG TRIỂN KHAI XÂY DỰNG TƯỜNG LỬA IPTABLES VÀ TƯỜNG LỬA PFSENSE 18 3.1 Triển khai Iptables 18 3.1.1 Mô tả 18 3.1.2 Chuẩn bị 18 3.1.3 Mơ hình cài đặt 18 TIEU LUAN MOI download : skknchat123@gmail.com moi nhat 3.1.4 Một số câu lệnh sử dụng tường lửa Iptables 19 3.1.5 Các kịch thực 19 3.2 Thiết lập cấu hình tường lửa PfSense 23 3.2.1 Mô tả 23 3.2.2 Chuẩn bị 23 3.2.3 Mơ hình cài đặt .23 3.2.4 Chuẩn bị máy ảo 24 3.2.5 Máy ảo PfSense 27 3.2.6 Cài đặt tường lửa PfSense 28 3.2.7 Cấu hình tường lửa .29 3.2.8 Quản trị tường lửa đồ họa .32 3.2.9 Tạo tập luật theo kịch 34 TIEU LUAN MOI download : skknchat123@gmail.com moi nhat DANH MỤC KÍ HIỆU VÀ TỪ NGỮ VIẾT TẮT STT 10 11 12 13 14 15 TIEU LUAN MOI download : skknchat123@gmail.com moi nhat TIEU LUAN MOI download : skknchat123@gmail.com moi nhat LỜI MỞ ĐẦU Trong thời đại ngày nay, Internet phát triển mạnh mẽ, nhu cầu kết nối, chia sẻ, trao đổi liệu mạng dần trở thành phần thiết yếu sống Kèm theo gia tăng vụ cơng mạng xâm nhập sở liệu gia tăng nhanh chóng với cách thức tinh vi khó lường Vì vậy, vấn đề bảo mật mạng trở nên quan trọng người dùng máy tính cá nhân, tổ chức quân Theo Báo cáo Rủi ro Toàn cầu năm 2019 Diễn đàn Kinh tế Thế giới, cơng an tồn, an ninh mạng nằm số rủi ro hàng đầu tồn cầu Các cơng mạng dẫn đến thiệt hại hàng tỷ đô la lĩnh vực kinh doanh, đặc biệt máy chủ ngân hàng, bệnh viện, nhà máy điện thiết bị thơng minh bị xâm nhập Điều dẫn đến thiệt hại nghiêm trọng thay hỗ trợ phát triển kinh tế, xã hội Việc xuất công nghệ bảo mật trở thành mối quan tâm lớn bảo mật mạng Nhiều doanh nghiệp tự bảo mật tường lửa chế mã hóa để giảm thiểu cơng gửi qua mạng Nhận thấy tầm quan trọng xu hướng phát triển tương lai hướng dẫn thầy Nguyễn Ngọc Toàn, chúng em nghiên cứu đề tài: “Tìm hiểu so sánh tính số loại tường lửa” Đề tài trình bày vấn đề tổng quan tường lửa, số loại tường lửa phổ biến, tường lửa Iptables, tường lửa Pfsense với nội dung sau: Chương 1: Giới thiệu tường lửa so sánh số loại tường lửa phổ biến Chương 2: Tổng quan tường lửa Iptables tường lửa Pfsense Chương 3: Triển khai xây dựng tường lửa Iptables tường lửa Pfsense TIEU LUAN MOI download : skknchat123@gmail.com moi nhat CHƯƠNG GIỚI THIỆU VỀ TƯỜNG LỬA VÀ SO SÁNH MỘT SỐ LOẠI TƯỜNG LỬA PHỔ BIẾN 1.1 Tổng quan tường lửa Trong phần chúng em dự định trình bày khái niệm, tác dụng, cấu trúc, phân loại tường lửa 1.1.1 Khái niệm tường lửa Thuật ngữ tường lửa (firewall) từ mượn kỹ thuật thiết kế xây dựng nhằm để ngăn chặn, hạn chế hoả hoạn Trong lĩnh vực công nghệ thông tin, firewall kỹ thuật tích hợp vào hệ thống mạng với mục đích chống lại truy cập trái phép, giúp bảo vệ thông tin, liệu nội hạn chế xâm nhập từ bên ngồi Firewall có chức tên gọi nó, tường lửa bảo vệ máy tính, máy tính bảng hay điện thoại thông minh khỏi mối nguy hiểm truy cập mạng Internet 1.1.2 Tác dụng tường lửa Tường lửa mang đến nhiều tác dụng có lợi cho hệ thống máy tính Cụ thể: Tường lửa ngăn chặn truy cập trái phép vào mạng riêng Nó hoạt động người gác cửa, kiểm tra tất liệu vào từ mạng riêng Khi phát có truy cập trái phép ngăn chặn, khơng cho traffic tiếp cận đến mạng riêng Tường lửa giúp chặn công mạng Firewall hoạt động chốt chặn kiểm tra an ninh Bằng cách lọc thông tin kết nối qua internet vào mạng hay máy tính cá nhân Dễ dàng kiểm soát kết nối vào website hạn chế số kết nối từ người dùng mà doanh nghiệp, tổ chức, cá nhân không mong muốn Người dùng tùy chỉnh tường lửa theo nhu cầu sử dụng Bằng cách thiết lập sách bảo mật phù hợp 1.1.3 Cấu trúc tường lửa Một nhiều hệ thống máy chủ kết nối với định tuyến (router) có chức router Các phần mềm quản lí an ninh chạy hệ thống máy chủ Thông thường hệ quản trị xác thực (Authentication), cấp quyền (Authorization) kế toán (Accounting) 1.1.4 Phân loại tường lửa a Tường lửa kiểm tra trạng thái Tường lửa kiểm tra trạng thái loại tường lửa theo dõi giám sát trạng thái kết nối mạng hoạt động Nó phân tích lưu lượng đến TIEU LUAN MOI download : skknchat123@gmail com moi nhat với việc tìm kiếm rủi ro liệu xảy Loại tường lửa nằm Lớp Lớp mơ hình Kết nối Hệ thống mở (OSI) Một chức kèm với tường lửa trạng thái khả ngăn chặn lưu lượng độc hại xâm nhập rời bỏ mạng riêng Hơn giám sát trạng thái tổng thể giao tiếp mạng phát nỗ lực truy cập mạng trái phép Ưu điểm o o o o Khả ngăn chặn cơng Khả ghi nhật kí mở rộng Sẽ khơng mở loạt cổng để lưu lượng truy cập Biết trạng thái kết nối Nhược điểm o Có thể khó định dạng cấu hình o Khơng có khả tránh công cấp ứng dụng o Một số giao thức khơng có thơng tin trạng thái Duy trì bảng trạng thái đồi hỏi chi phí bổ o xung b Tường lửa lọc gói Tường lửa khơng trạng thái cịn gọi tường lửa lọc gói Đây loại tường lửa lâu đời có So với loại khác, loại tường lửa hoạt động nội tuyến ngoại vi mạng Loại tường lửa khơng định tuyến gói, mà thay vào so sánh gói nhận với quy tắc xác định trước Bởi cung cấp bảo mật bản, người dùng đặt để bảo vệ khỏi mối đe dọa biết, khơng hoạt động tốt với mối đe dọa chưa biết Ưu điểm o Không tốn nhiều chi phí bảo trì o Q trình xử lý gói thực nhanh chóng o Lọc lưu lượng cho tồn mạng thực với thiết bị Nhược điểm o Trong số trường hợp, phức tạp để cấu hình khó quản lý o Khả ghi nhật ký bị giới hạn o Khi nói đến cơng ứng dụng, khơng thể tránh chúng o Không hỗ trợ xác thực người dùng o Khơng thể bảo vệ hồn tồn khỏi tất công giao thức TCP / IP c Tường lửa cổng cấp ứng dụng Tường lửa cổng cấp ứng dụng, viết tắt (ALG), proxy tường lửa cung cấp bảo mật mạng Nó thiết kế để lọc lưu lượng nút đến theo thông số kỹ thuật cụ TIEU LUAN MOI download : skknchat123@gmail com moi nhat thể, có nghĩa đơn giản là, liệu lọc từ ứng dụng mạng truyền Đối với ứng dụng mạng hoạt động với ALG, số số Giao thức truyền tệp (FTP), Telnet, Giao thức truyền trực tuyến thời gian thực (RTSP) BitTorrent Chúng ta nên ALG cung cấp giao diện mạng cấp cao an tồn Để giải thích điều tốt hơn, xem ví dụ đơn giản cách thứ hoạt động Khi máy khách di chuyển để yêu cầu quyền truy cập vào máy chủ mạng cho tài nguyên cụ thể, trước tiên máy khách kết nối với máy chủ proxy từ đó, máy chủ proxy thiết lập kết nối với máy chủ Ưu điểm o o o o o Ghi nhật ký lưu lượng truy cập dễ dàng Hiệu suất mạng tốt nhiều Khó kích hoạt kết nối trực tiếp từ bên ngồi mạng Hỗ trợ nhớ đệm nội dung Nhược điểm o Khả thông lượng tác động Ứng dụng tác động d Tường lửa hệ Đây loại tường lửa kiểm tra gói tin sâu mở rộng ngồi kiểm tra cổng / giao thức Khơng vậy, cịn vượt khỏi quy trình chặn để cung cấp thử nghiệm cấp ứng dụng, lên đến Lớp Như bạn nói, phiên nâng cao hệ thống tường lửa điển hình, cung cấp lợi ích tương tự Tuy nhiên, không giống hệ thống tường lửa truyền thống, NGFW áp dụng lọc gói tin động tĩnh với hỗ trợ VPN để bảo mật tất kết nối đến mạng, internet tường lửa Ưu điểm o An toàn nơi khác o Ghi nhật ký chi tiết o Hỗ trợ xác thực người dùng o Về mặt kiểm tra mức ứng dụng, điều hỗ trợ lên đến Lớp mơ hình OSI Nhược điểm o Sẽ sử dụng nhiều tài nguyên hệ thống so sánh với tài nguyên khác o Tổng chi phí đắt o Để hạn chế âm tính dương tính giả, cần phải tinh chỉnh nhiều TIEU LUAN MOI download : skknchat123@gmail com moi nhat Luật tạo sau: Kiểm tra kết truy cập website Windows 7: Kết thành công 40 TIEU LUAN MOI download : skknchat123@gmail com moi nhat Kịch 4: Cho phép máy tính ngồi Internet truy cập vào website máy chủ DMZ Tạo luật: Chuyển qua giao diện cấu hình cho WAN Bỏ luật mặc định tạo sẵn mạng WAN cách vào phần setting bỏ tùy chọn sau: Lưu thoát Vào phần Add để tạo luật với thông tin sau: Lưu thoát 41 TIEU LUAN MOI download : skknchat123@gmail com moi nhat Kết quả: Để người dùng từ bên ngồi truy cập cần thực NAT từ vào máy web server Vào Firewall → NAT Để public dịch vụ, sử dụng NAT chế độ Port Forward Chọn Add, tạo luật: 42 TIEU LUAN MOI download : skknchat123@gmail com moi nhat Chú ý: WAN address địa cổng mạng firewall kết nối Internet, theo cấu hình địa là: 192.168.190.129 Máy trạm Internet (trong thực hành sử dụng máy tính vật lý) truy cập vào website theo địa Chọn lưu Apply Change Kết quả: Kiểm tra kết quả: Tại máy vật lý sử dụng trình duyệt web, truy cập vào địa (Máy vật lý máy ảo kết nối với qua cổng NAT máy ảo) Kết thành công 43 TIEU LUAN MOI download : skknchat123@gmail com moi nhat 44 TIEU LUAN MOI download : skknchat123@gmail com moi nhat Kịch 5: cho phép người dùng mạng LAN gửi nhận mail với người dùng Internet sử dụng mail server DMZ Cài đặt dịch vụ DNS máy chủ Windows Server 2012 Truy cập vào Server Manager chọn Manage → Add role and feature Tích vào dịch vụ DNS để cài đặt Các tùy chọn để mặc định Sau cài đặt thành công vào Tool để cấu hình cho DNS 45 TIEU LUAN MOI download : skknchat123@gmail com moi nhat Giao diện quản trị DNS xuất hiện: Chọn Forward Lookup Zone để tạo tên miền với IP tương ứng Chọn Reverse Lookup Zone để tạo phân giải ngược 46 TIEU LUAN MOI download : skknchat123@gmail com moi nhat Để kiểm tra dịch vụ DNS hoạt động hay chưa cần sử dụng chương trình DOS (cmd) lệnh nslookup Trước tiên cần cấu hình lại địa IP máy chủ DNS cấu hình mạng Kiểm tra Kết truy vấn thành cơng 47 TIEU LUAN MOI download : skknchat123@gmail com moi nhat Cài đặt dịch vụ mail máy chủ Windows Server 2012: Sao chép phần mềm máy chủ thư điện tử MDaemon V10 vào Server 2012 Thực cài đặt điền số thông tin sau: Domain Name: hvktmm.net Primary IP DNS: 10.0.0.20 Sau cài đặt xong mail server, tạo tài khoản người dùng mail Vào mục Account → new account, với thông tin 48 TIEU LUAN MOI download : skknchat123@gmail com moi nhat Tương tự tạo tài khoản cho user2 Tại máy Windows thiết lập tài khoản cho user1 Sử dụng phần mềm Thunderbird Setup 31.5.0 làm mail client cho tài khoản user1 Cài đặt cấu sau: Trước tiên phải chuyển IP DNS Windows sau: Sử dụng DOS (cmd) lệnh nslookup để truy vấn thử tên miền Kết thành công 49 TIEU LUAN MOI download : skknchat123@gmail com moi nhat Cài đặt phần mềm Thunderbird, cấu sau: Chọn Continue để tiếp tục, sổ xuất chọn Manual config Chọn Re-test để kiểm tra kết nối Lúc chương trình báo lỗi tường lửa chặn kết nối từ LAN tới DMZ Mở luật tường lửa phép kết nối mail (POP3, SMTP) truyền tải thơng tin Truy cập vào trình duyệt quản trị tường lửa, vào phần Rules → LAN mở luật sau: 50 TIEU LUAN MOI download : skknchat123@gmail com moi nhat Kết quả: mail client truy vấn thành công Nhấn Done để kết thúc cài đặt thiết lập cho mail client Kiểm tra trình gửi nhận mail thành công hay chưa Tại phần mềm mail, với tài khoản user1 gửi nhận thư cho để kiểm tra Kết quả: 51 TIEU LUAN MOI download : skknchat123@gmail com moi nhat Đã gửi nhận thư thành công 52 TIEU LUAN MOI download : skknchat123@gmail com moi nhat Cấu hình luật để Public dịch vụ mail Internet: Cấu hình NAT: - Cấu hình máy tính vật lý Cài đặt phần mềm Thunderbirth thiết lập giống Win7 Kết thành cơng Done để đóng sổ cấu hình 53 TIEU LUAN MOI download : skknchat123@gmail.com moi nhat Sử dụng phần mềm mail client vừa cấu hình gửi thư cho user1: Truy cập vào mail client Win để kiểm tra: Kết người dùng user1 Windows nhận mail từ người dùng user2 Internet qua máy chủ thư DMZ Kết luận: Cấu hình luật thành cơng tường lửa phép người dùng gửi nhận thư 54 TIEU LUAN MOI download : skknchat123@gmail.com moi nhat ... số loại tường lửa? ?? Đề tài trình bày vấn đề tổng quan tường lửa, số loại tường lửa phổ biến, tường lửa Iptables, tường lửa Pfsense với nội dung sau: Chương 1: Giới thiệu tường lửa so sánh số loại. .. VỀ TƯỜNG LỬA VÀ SO SÁNH MỘT SỐ LOẠI TƯỜNG LỬA PHỔ BIẾN 1.1 Tổng quan tường lửa 1.1.1 Khái niệm tường lửa 1.1.2 Tác dụng tường lửa 1.1.3 Cấu trúc tường. .. VỀ TƯỜNG LỬA VÀ SO SÁNH MỘT SỐ LOẠI TƯỜNG LỬA PHỔ BIẾN 1.1 Tổng quan tường lửa Trong phần chúng em dự định trình bày khái niệm, tác dụng, cấu trúc, phân loại tường lửa 1.1.1 Khái niệm tường lửa