HỌC VIỆN KỸ THUẬT MẬT MÃ KHOAAN TỒN THƠNG TIN BÁO CÁO MƠN HỌC CƠ SỞ AN TỒN THƠNG TIN Đề tài: TÌM HIỂU VÀ SO SÁNH TÍNH NĂNG CỦA MỘT SỐ LOẠI TƯỜNG LỬA Sinh viên thực hiện: NGUYỄN HỒNG ANH AT160504 NGUYỄN THANH HẢI AT160221 NHĨM Giảng viên hướng dẫn: TS NGUYỄN NGỌC TOÀN Hà Nội, 9-2022 MỤC LỤC CHƯƠNG GIỚI THIỆU VỀ TƯỜNG LỬA VÀ SO SÁNH MỘT SỐ LOẠI TƯỜNG LỬA PHỔ BIẾN 1.1 Tổng quan tường lửa 1.1.1 Khái niệm tường lửa 1.1.2 Tác dụng tường lửa 1.1.3 Cấu trúc tường lửa 1.1.4 Phân loại tường lửa 1.1.5 Nguyên lý hoạt động tường lửa 1.2 So sánh số loại tường lửa phổ biến 1.2.1 Cisco ASA 1.2.2 Fortigate 1.2.3 So sánh CHƯƠNG TỔNG QUAN VỀ TƯỜNG LỬA IPTABLES VÀ TƯỜNG LỬA PFSENSE 2.1 Tổng quan tưởng lửa Iptables 2.1.1 Giới thiệu Iptables 2.1.2 Thành phần Iptables 2.1.3 Cấu hình Iptables 10 2.1.4 Các câu lệnh Iptables 11 2.2 Tổng quan tường lửa Pfsense 12 2.2.1 Giới thiệu Pfsense 12 2.2.2 Tính Pfsense 13 CHƯƠNG TRIỂN KHAI XÂY DỰNG TƯỜNG LỬA IPTABLES VÀ TƯỜNG LỬA PFSENSE 18 3.1 Triển khai Iptables 18 3.1.1 Mô tả 18 3.1.2 Chuẩn bị 18 3.1.3 Mơ hình cài đặt .18 3.1.4 Một số câu lệnh sử dụng tường lửa Iptables 19 3.1.5 Các kịch thực 19 3.2 Thiết lập cấu hình tường lửa PfSense 23 3.2.1 Mô tả 23 3.2.2 Chuẩn bị 23 3.2.3 Mơ hình cài đặt .23 3.2.4 Chuẩn bị máy ảo 24 3.2.5 Máy ảo PfSense 27 3.2.6 Cài đặt tường lửa PfSense 28 3.2.7 Cấu hình tường lửa .29 3.2.8 Quản trị tường lửa đồ họa .32 3.2.9 Tạo tập luật theo kịch 34 DANH MỤC KÍ HIỆU VÀ TỪ NGỮ VIẾT TẮT STT 10 11 12 13 14 15 LỜI MỞ ĐẦU Trong thời đại ngày nay, Internet phát triển mạnh mẽ, nhu cầu kết nối, chia sẻ, trao đổi liệu mạng dần trở thành phần thiết yếu sống Kèm theo gia tăng vụ cơng mạng xâm nhập sở liệu gia tăng nhanh chóng với cách thức tinh vi khó lường Vì vậy, vấn đề bảo mật mạng trở nên quan trọng người dùng máy tính cá nhân, tổ chức quân Theo Báo cáo Rủi ro Toàn cầu năm 2019 Diễn đàn Kinh tế Thế giới, cơng an tồn, an ninh mạng nằm số rủi ro hàng đầu tồn cầu Các cơng mạng dẫn đến thiệt hại hàng tỷ la lĩnh vực kinh doanh, đặc biệt máy chủ ngân hàng, bệnh viện, nhà máy điện thiết bị thơng minh bị xâm nhập Điều dẫn đến thiệt hại nghiêm trọng thay hỗ trợ phát triển kinh tế, xã hội Việc xuất công nghệ bảo mật trở thành mối quan tâm lớn bảo mật mạng Nhiều doanh nghiệp tự bảo mật tường lửa chế mã hóa để giảm thiểu cơng gửi qua mạng Nhận thấy tầm quan trọng xu hướng phát triển tương lai hướng dẫn thầy Nguyễn Ngọc Toàn, chúng em nghiên cứu đề tài: “Tìm hiểu so sánh tính số loại tường lửa” Đề tài trình bày vấn đề tổng quan tường lửa, số loại tường lửa phổ biến, tường lửa Iptables, tường lửa Pfsense với nội dung sau: Chương 1: Giới thiệu tường lửa so sánh số loại tường lửa phổ biến Chương 2: Tổng quan tường lửa Iptables tường lửa Pfsense Chương 3: Triển khai xây dựng tường lửa Iptables tường lửa Pfsense CHƯƠNG GIỚI THIỆU VỀ TƯỜNG LỬA VÀ SO SÁNH MỘT SỐ LOẠI TƯỜNG LỬA PHỔ BIẾN 1.1 Tổng quan tường lửa Trong phần chúng em dự định trình bày khái niệm, tác dụng, cấu trúc, phân loại tường lửa 1.1.1 Khái niệm tường lửa Thuật ngữ tường lửa (firewall) từ mượn kỹ thuật thiết kế xây dựng nhằm để ngăn chặn, hạn chế hoả hoạn Trong lĩnh vực công nghệ thơng tin, firewall kỹ thuật tích hợp vào hệ thống mạng với mục đích chống lại truy cập trái phép, giúp bảo vệ thông tin, liệu nội hạn chế xâm nhập từ bên ngồi Firewall có chức tên gọi nó, tường lửa bảo vệ máy tính, máy tính bảng hay điện thoại thơng minh khỏi mối nguy hiểm truy cập mạng Internet 1.1.2 Tác dụng tường lửa Tường lửa mang đến nhiều tác dụng có lợi cho hệ thống máy tính Cụ thể: Tường lửa ngăn chặn truy cập trái phép vào mạng riêng Nó hoạt động người gác cửa, kiểm tra tất liệu vào từ mạng riêng Khi phát có truy cập trái phép ngăn chặn, khơng cho traffic tiếp cận đến mạng riêng Tường lửa giúp chặn công mạng Firewall hoạt động chốt chặn kiểm tra an ninh Bằng cách lọc thông tin kết nối qua internet vào mạng hay máy tính cá nhân Dễ dàng kiểm sốt kết nối vào website hạn chế số kết nối từ người dùng mà doanh nghiệp, tổ chức, cá nhân khơng mong muốn Người dùng tùy chỉnh tường lửa theo nhu cầu sử dụng Bằng cách thiết lập sách bảo mật phù hợp 1.1.3 Cấu trúc tường lửa Một nhiều hệ thống máy chủ kết nối với định tuyến (router) có chức router Các phần mềm quản lí an ninh chạy hệ thống máy chủ Thông thường hệ quản trị xác thực (Authentication), cấp quyền (Authorization) kế toán (Accounting) 1.1.4 Phân loại tường lửa a Tường lửa kiểm tra trạng thái Tường lửa kiểm tra trạng thái loại tường lửa theo dõi giám sát trạng thái kết nối mạng hoạt động Nó phân tích lưu lượng đến với việc tìm kiếm rủi ro liệu xảy Loại tường lửa nằm Lớp Lớp mô hình Kết nối Hệ thống mở (OSI) Một chức kèm với tường lửa trạng thái khả ngăn chặn lưu lượng độc hại xâm nhập rời bỏ mạng riêng Hơn giám sát trạng thái tổng thể giao tiếp mạng phát nỗ lực truy cập mạng trái phép Ưu điểm o Khả ngăn chặn cơng o Khả ghi nhật kí mở rộng o Sẽ không mở loạt cổng để lưu lượng truy cập o Biết trạng thái kết nối Nhược điểm o Có thể khó định dạng cấu hình o Khơng có khả tránh cơng cấp ứng dụng o Một số giao thức khơng có thơng tin trạng thái Duy trì bảng trạng thái đồi hỏi chi phí bổ o xung b Tường lửa lọc gói Tường lửa khơng trạng thái cịn gọi tường lửa lọc gói Đây loại tường lửa lâu đời có So với loại khác, loại tường lửa hoạt động nội tuyến ngoại vi mạng Loại tường lửa khơng định tuyến gói, mà thay vào so sánh gói nhận với quy tắc xác định trước Bởi cung cấp bảo mật bản, người dùng đặt để bảo vệ khỏi mối đe dọa biết, khơng hoạt động tốt với mối đe dọa chưa biết Ưu điểm o Khơng tốn nhiều chi phí bảo trì o Q trình xử lý gói thực nhanh chóng o Lọc lưu lượng cho tồn mạng thực với thiết bị Nhược điểm o Trong số trường hợp, phức tạp để cấu hình khó quản lý o Khả ghi nhật ký bị giới hạn o Khi nói đến công ứng dụng, tránh chúng o Không hỗ trợ xác thực người dùng o Không thể bảo vệ hồn tồn khỏi tất cơng giao thức TCP / IP c Tường lửa cổng cấp ứng dụng Tường lửa cổng cấp ứng dụng, viết tắt (ALG), proxy tường lửa cung cấp bảo mật mạng Nó thiết kế để lọc lưu lượng nút đến theo thông số kỹ thuật cụ Luật tạo sau: Kiểm tra kết truy cập website Windows 7: Kết thành công 40 Kịch 4: Cho phép máy tính ngồi Internet truy cập vào website máy chủ DMZ Tạo luật: Chuyển qua giao diện cấu hình cho WAN Bỏ luật mặc định tạo sẵn mạng WAN cách vào phần setting bỏ tùy chọn sau: Lưu thoát Vào phần Add để tạo luật với thơng tin sau: Lưu 41 Kết quả: Để người dùng từ bên ngồi truy cập cần thực NAT từ vào máy web server Vào Firewall → NAT Để public dịch vụ, sử dụng NAT chế độ Port Forward Chọn Add, tạo luật: 42 Chú ý: WAN address địa cổng mạng firewall kết nối Internet, theo cấu hình địa là: 192.168.190.129 Máy trạm Internet (trong thực hành sử dụng máy tính vật lý) truy cập vào website theo địa Chọn lưu Apply Change Kết quả: Kiểm tra kết quả: Tại máy vật lý sử dụng trình duyệt web, truy cập vào địa (Máy vật lý máy ảo kết nối với qua cổng NAT máy ảo) Kết thành công 43 44 Kịch 5: cho phép người dùng mạng LAN gửi nhận mail với người dùng Internet sử dụng mail server DMZ Cài đặt dịch vụ DNS máy chủ Windows Server 2012 Truy cập vào Server Manager chọn Manage → Add role and feature Tích vào dịch vụ DNS để cài đặt Các tùy chọn để mặc định Sau cài đặt thành cơng vào Tool để cấu hình cho DNS 45 Giao diện quản trị DNS xuất hiện: Chọn Forward Lookup Zone để tạo tên miền với IP tương ứng Chọn Reverse Lookup Zone để tạo phân giải ngược 46 Để kiểm tra dịch vụ DNS hoạt động hay chưa cần sử dụng chương trình DOS (cmd) lệnh nslookup Trước tiên cần cấu hình lại địa IP máy chủ DNS cấu hình mạng Kiểm tra Kết truy vấn thành công 47 Cài đặt dịch vụ mail máy chủ Windows Server 2012: Sao chép phần mềm máy chủ thư điện tử MDaemon V10 vào Server 2012 Thực cài đặt điền số thông tin sau: Domain Name: hvktmm.net Primary IP DNS: 10.0.0.20 Sau cài đặt xong mail server, tạo tài khoản người dùng mail Vào mục Account → new account, với thông tin 48 Tương tự tạo tài khoản cho user2 Tại máy Windows thiết lập tài khoản cho user1 Sử dụng phần mềm Thunderbird Setup 31.5.0 làm mail client cho tài khoản user1 Cài đặt cấu sau: Trước tiên phải chuyển IP DNS Windows sau: Sử dụng DOS (cmd) lệnh nslookup để truy vấn thử tên miền Kết thành công 49 Cài đặt phần mềm Thunderbird, cấu sau: Chọn Continue để tiếp tục, sổ xuất chọn Manual config Chọn Re-test để kiểm tra kết nối Lúc chương trình báo lỗi tường lửa chặn kết nối từ LAN tới DMZ Mở luật tường lửa phép kết nối mail (POP3, SMTP) truyền tải thông tin Truy cập vào trình duyệt quản trị tường lửa, vào phần Rules → LAN mở luật sau: 50 Kết quả: mail client truy vấn thành công Nhấn Done để kết thúc cài đặt thiết lập cho mail client Kiểm tra q trình gửi nhận mail thành cơng hay chưa Tại phần mềm mail, với tài khoản user1 gửi nhận thư cho để kiểm tra Kết quả: 51 Đã gửi nhận thư thành công 52 Cấu hình luật để Public dịch vụ mail Internet: Cấu hình NAT: - Cấu hình máy tính vật lý Cài đặt phần mềm Thunderbirth thiết lập giống Win7 Kết thành cơng Done để đóng sổ cấu hình 53 Sử dụng phần mềm mail client vừa cấu hình gửi thư cho user1: Truy cập vào mail client Win để kiểm tra: Kết người dùng user1 Windows nhận mail từ người dùng user2 Internet qua máy chủ thư DMZ Kết luận: Cấu hình luật thành cơng tường lửa phép người dùng gửi nhận thư 54 ... Toàn, chúng em nghiên cứu đề tài: ? ?Tìm hiểu so sánh tính số loại tường lửa? ?? Đề tài trình bày vấn đề tổng quan tường lửa, số loại tường lửa phổ biến, tường lửa Iptables, tường lửa Pfsense với nội dung... VỀ TƯỜNG LỬA VÀ SO SÁNH MỘT SỐ LOẠI TƯỜNG LỬA PHỔ BIẾN 1.1 Tổng quan tường lửa 1.1.1 Khái niệm tường lửa 1.1.2 Tác dụng tường lửa 1.1.3 Cấu trúc tường. .. tường lửa so sánh số loại tường lửa phổ biến Chương 2: Tổng quan tường lửa Iptables tường lửa Pfsense Chương 3: Triển khai xây dựng tường lửa Iptables tường lửa Pfsense CHƯƠNG GIỚI THIỆU VỀ TƯỜNG