HỌC VIỆN CÔNG NGHỆ BƢU CHÍNH VIỄN THÔNG CƠ SỞ TẠI THÀNH PHỐ HỒ CHÍ MINH KHOA VIỄN THÔNG II BÁO CÁO ĐỒ ÁN TỐT NGHIỆP CHUYÊN NGÀNH KỸ THUẬT ĐIỆN TỬ TRUYỀN THÔNG HỆ ĐẠI HỌC CHÍNH QUY NIÊN KHÓA 2014 2019[.]
HỌC VIỆN CƠNG NGHỆ BƢU CHÍNH VIỄN THƠNG CƠ SỞ TẠI THÀNH PHỐ HỒ CHÍ MINH KHOA VIỄN THƠNG II - BÁO CÁO ĐỒ ÁN TỐT NGHIỆP CHUYÊN NGÀNH: KỸ THUẬT ĐIỆN TỬ TRUYỀN THƠNG HỆ ĐẠI HỌC CHÍNH QUY NIÊN KHÓA: 2014-2019 Đề tài: BẢO VỆ HỆ THỐNG MẠNG DOANH NGHIỆP BẰNG FIREWALL THẾ HỆ MỚI Sinh viên thực MSSV Lớp Giáo viên hƣớng dẫn : : : : LÊ VĂN TÀI N14DCVT079 D14DCVT01-N ThS NGUYỄN XUÂN KHÁNH TP.HCM – 12/2018 LỜI CẢM ƠN Trong trình học trường Học Viện Cơng Nghệ Bưu Chính Viễn Thơng sở TP HỒ CHÍ MINH chúng em nhận dược giảng dạy nhiệt tình giúp đỡ tận tâm quý thầy khoa Điện Tử Viễn Thông Nhận thấy chúng em tuổi trẻ đầy nhiệt huyết, sáng tạo cần cù nên quý thầy không quản ngại giấc xếp công việc để dành thời gian tâm sức kinh nghiệm để truyền đạt cho chúng em kiến thức mà chúng em cịn mơ hồ chí khơng biết Nhờ chúng em biết hạn chế để khắc phục cố gắng Khơng có kiến thức chun ngành, mà quý thầy (cô) với kinh nghiệm sống truyền đạt cho chúng em kinh nghiệm sống mà hẳn quý thầy(cô) đánh đổi phần mồ nước mắt để có ,chúng em trân trọng cố gắng hoàn thiện thân để sống tốt ngày Chúng em xin chân thành cảm ơn quý thầy khoa môn tạo điều kiện tốt để chúng em học tập, chuẩn bị hành trang kiến thức cho công việc sau tốt nghiệp Trong đề tài Em xin gửi lời cảm ơn chân thành tới thầy ThS Nguyễn Xuân Khánh hướng dẫn em hoàn thành đề tài kịp thời hạn Tuy nhiên với lực kiến thức hạn chế lý chủ quan khách quan, em cố gắng tránh khỏi sai sót, mong q thầy bạn đóng góp ý kiến để em rút kinh nghiệm củng cố thêm kiến thức cho thân Sau em khơng biết nói gửi tới quý thầy lời cảm ơn sâu sắc lời chúc sức khỏe chân thành Sinh viên thực Lê Văn Tài i MỤC LỤC LỜI CẢM ƠN i MỤC LỤC ii MỤC LỤC HÌNH ẢNH iv MỤC LỤC BẢNG vii LỜI MỞ ĐẦU CHƢƠNG I: AN NINH MẠNG DOANH NGHIỆP 1.1 Tổng quan An ninh mạng doanh nghiệp 1.1.1 Tình hình an ninh mạng Thế giới Việt Nam năm gần 1.1.2 Mục tiêu yêu cầu an ninh mạng .4 1.1.3 Các tính chất an tồn thơng tin mạng 1.2 Các lỗ hỏng tác nhân, phương thức đe dọa An ninh mạng 1.2.1 Các lỗ hỏng an ninh tạo điều kiện cho công mạng 1.2.2 Các chương trình phần mềm phá hoại (Malwares) 1.2.3 Các phương thức công phổ biến 12 CHƢƠNG II: TỔNG QUAN VỀ FIREWALL VÀ CÁC CÔNG NGHỆ TRÊN FIREWALL 15 2.1 Tổng quan Firewall: 15 2.1.1 Khái niệm: 15 2.1.2 Mục đích việc tạo tường lửa: 15 2.2 Phân loại Firewall 17 2.2.1 Firewall phần cứng .17 2.2.2 Firewall phần mềm .18 2.3 Chức hạn chế Firewall 18 2.3.1 Chức Firewall 18 2.3.2 Những hạn chế Firewall .19 2.4 Kiến trúc chung Firewall 19 2.5 Các công nghệ Firewall .21 2.5.1 Kiểm tra trạng thái gói tin (Statefull Packet Inspection-SPI) 21 2.5.2 Deep Packet Inspection (DPI) 23 CHƢƠNG III: SONICWALL VÀ FIREWALL THẾ HỆ MỚI: NEXTGENERATION FIREWALL SONICWALL (NGFW) 25 ii 3.1 Tổng quan SonicWALL .25 3.1.1 Giới thiệu chung SonicWALL 25 3.1.2 Tính Giải pháp 25 3.1.3 Sản phẩm SonicWALL 26 3.2 Firewall hệ SonicWALL (Next-Generation Firewall Firewall SonicWALL-NGFW) 26 3.2.1 Tính vượt trội .27 3.2.2 Giới thiệu số dòng sản phẩm Next-Generation Firewall SonicWALL 37 CHƢƠNG IV: DEMO SỬ DỤNG NGFW BẢO VỆ MẠNG DOANH NGHIỆP VỪA VÀ NHỎ .39 4.1 Mơ hình giả lập NGFW VMware Workstation: .39 4.2 Chuẩn bị: 39 4.3 Thiết bị thứ nghiệm: 39 4.4 Giả định vấn đề: 40 4.5 Giải vấn đề: 42 4.6 Kết luận: 59 KẾT LUẬN 61 PHỤ LỤC .62 DANH MỤC TỪ VIẾT TẮT 66 TÀI LIỆU THAM KHẢO 67 iii MỤC LỤC HÌNH ẢNH Hình 1: Cảnh báo hàng năm Cisco 2010-2013 Hình 2: Cuộc khảo sát thực tế mối đe doạ từ bên ngồi Thơng tin lấy từ “Cisco 2016 Annual Security Report” Hình 3: Các cơng thành cơng tảng mã hóa 2017-2018 Hình 4: Số lượng malware gây ảnh hưởng đến thiết bị IoT tăng chóng mặt theo thời gian Hình 5: Tính quan trọng cần bảo đảm an ninh hệ thống Hình 6: Lỗ hổng từ việc kết nối internet sử dụng dịch vụ đám mây Hình 7: Lỗ hổng từ việc truy cập từ xa .8 Hình 8: Các loại Malware 10 Hình 9: Vịng đời cơng APT .12 Hình 10: Tấn công xen (Man-in-the-middle attack) 13 Hình 11: Tấn cơng phát lại 14 Hình 1: Mơ hình việc sử dụng Firewall mạng 15 Hình 2: Mơ hình Firewall cứng 17 Hình 3: Mơ hình Firewall mềm 18 Hình 4: Mô tả luồng liệu vào internet intranet 19 Hình 5: Kiến trúc vùng Firewall 19 Hình 6: Cơng nghệ kiểm tra trạng thái gói tin (SPI) 21 Hình 7: Quá trình kiểm tra trạng thái gói tin sử dụng SPI 22 Hình 8: Quá trình lọc Stateful Packet Inspection 23 Hình 1: Logo SonicWALL 25 Hình 2: Quá trình hình thành phát triển SonicWALL 25 Hình 3.3: Sản phẩm SonicWALL 26 Hình 4: Tường lửa SonicWALL 26 Hình 5: Công nghệ Firewall hệ SonicWALL (NGFW) 27 Hình 6: Q trình lọc gói tin IPS 28 Hình 7: Quá trình Anti-Virus 28 Hình 8: Quá trình Anti-Spyware .29 Hình 9: Quá trình CFS 30 Hình 10: Cơng nghệ RFDPI 30 iv Hình 11: Kiểm tra gói tin với RFDPI 31 Hình 12: Kiến trúc đa lõi (Multi-Core Architecture) 32 Hình 13: Công nghệ DPI-SSL 33 Hình 14: Quá trình mã hóa SSL 34 Hình 15: Phân loại ứng dụng nhờ Application Identification & Control 34 Hình 16: Dịch vụ Cloud phát chặn mối đe dọa zero-day Gateway 35 Hình 17: Cơng nghệ SSO tích hợp NGFW giúp quản lý người dùng đầu cuối 36 Hình 18: Quá trình CCAS 37 Hình 19: Dải sản phẩm Firewall hệ SonicWALL (NGFW) 37 Hình 20: Biểu đồ xếp hiệu dòng sản phẩm NGFW 38 Hình 4.1: Sơ đồ bảo vệ mạng doanh nghiệp vừa nhỏ dùng NGFW 39 Hình 4.2: Thơng số NGFW NSv200 40 Hình 4.3: Thơng tin đầy đủ Firewall NSv200 kèm thơng tin License tính 40 Hình 4.4: Thơng số cấu hình địa IP tĩnh WindowsXP-Bob 42 Hình 4.5: Thơng số cấu hình địa IP tĩnh WindowsXP-Sales 43 Hình 4.6: Thơng số cấu hình địa IP tĩnh WindowsXP-Product 43 Hình 4.7: Giao diện cài đặt thời gian, ngày tháng NSv200 44 Hình 4.8: Giao diện setup IP Gateway Group Bob cho X2 44 Hình 4.9: Thơng tin Interface Firewall NSv200 sau thiết lập IPGateway cho Group 44 Hình 4.10: Giao diện cấu hình Gateway Anti-Virus 45 Hình 4.11: Cơ sở liệu nhóm Virus độc lập 46 Hình 4.12: Checkbox Gateway AV Network > Zones 46 Hình 4.13: Cảnh bảo chặn tải tệp có chưa Virus (1) 47 Hình 4.14: Cảnh bảo chặn tải tệp có chưa Virus (2) 47 Hình 4.15: Cấu hình Bandwidth Object 48 Hình 4.16: Tạo Rule từ X2 (Group Bob) tới WAN 49 Hình 4.17: Gắn Bandwith Object vừa tạo vào Rule từ X2 -> WAN 49 Hình 4.18: Tốc độ mạng Group Bob trước sau bị hạn chế 50 Hình 4.19: PC WindowsXP-Bob cấp full quyền (App giải trí, web đọc báo…) 50 Hình 4.20: Giao diện cấu hình lịch trình 51 Hình 4.21: Giao diện cấu hình App Control 51 Hình 4.22: Lọc App Facebook NSv200 52 Hình 4.23: Giao diện cấu hình chặn App Facebook 52 Hình 4.24: Check Zone App Control 52 v Hình 4.25: Firewall chặn Facebook PC Group Sales 53 Hình 4.26: Cấu hình App control chặn app Youtube 53 Hình 4.27: Firewall chặn Youtube PC Group Sales 53 Hình 4.28: Nhờ Schedule “Nghỉ trưa” mà Group Sales phép truy cập Facebook, Youtube 54 Hình 4.29: Giao diện cấu hình Content Filter 54 Hình 4.30: Giao diện cấu hình thêm CFS Policies 55 Hình 4.31: Giao diện tạo profiles objects 55 Hình 4.32: Giao diện thêm địa vào danh sách URL cho phép (Allow) cấm (Forbidden) 56 Hình 4.33: Giao diện CFS Action 56 Hình 4.34: Giao diện cấu hình hồn chỉnh Content Filter chặn Web 57 Hình 4.35: Group Sales bị chặn Web đọc báo làm việc dùng nghỉ trưa 57 Hình 4.36: Tốc độ Internet Group Sales so với Bob bị bóp băng thơng 58 Hình 37: Tạo rule cho phép đường truyền Internet từ Port X4 đến Cổng WAN 58 Hình 4.38: Quá trình tạo Rule Group Product cho phép truy cập Internet khung nghỉ trưa nhờ Schedule 59 Hình 4.39: PC Group Product sử dụng Internet nghỉ trưa 59 vi MỤC LỤC BẢNG Bảng 1: Quyền hạn ba Group demo .41 Bảng 2: Thông tin ba Group demo 42 Bảng 3: Kết Checklist 59 vii LỜI MỞ ĐẦU LỜI MỞ ĐẦU Mạng máy tính đời đem lại nhiều lợi ích lớn cho nhu cầu đời sống người, nhân tố hàng đầu góp phần vào phát triển nhanh chóng giới Bên cạnh người sử dụng phải đối mặt với hiểm họa thông tin mạng họ bị công Những tác động bất hợp pháp lên thơng tin mục đích làm tổn thất, sai lạc, lấy cắp tệp lưu giữ tin, chép thông tin mật, giả mạo người dùng phép sử dụng thơng tin mạng máy tính Đã có nhiều giải pháp bảo mật cho mạng máy tính đưa dùng phần mềm, chương trình để bảo vệ tài nguyên, tạo tài khoản truy xuất mạng địi hỏi có mật … Nhưng giải pháp bảo vệ phần mạng máy tính mà thơi, kẻ phá hoại mạng máy tính thâm nhập sâu vào bên mạng có nhiều cách để phá hoại hệ thống mạng Vì u cầu đặt phải có công cụ để chống xâm nhập mạng bất hợp pháp từ bên ngồi mạng, nguyên nhân dẫn tới đời Firewall Tường lửa Hiện nay, dịng Next-Generation Firewall (NGFW) nhóm thiết bị tường lửa mạnh mẽ đến từ SonicWALL Những thiết bị tường lửa hệ SonicWALL tường kiên cố ngăn chặn mối đe dọa với hệ thống mạng nội Những dịch vụ đảm bảo hoàn toản NGFW cao cấp bao gồm hộp cát, đánh giá SSL, chống xâm nhập, chống Malware, nhận biết phần mềm lọc thông tin Do đó, NGFW giải pháp bảo mật nhiều công ty lựa chọn để bảo vệ hạ tầng mạng cơng ty tương lai Trên sở đó, em định chọn hướng nghiên cứu đồ án “Bảo vệ Hệ thống mạng doanh nghiệp Firewall hệ mới” Mục đích đồ án tìm hiểu vấn đề kỹ thuật có liên quan đến việc xây dựng bảo vệ hệ thống mạng doanh nghiệp thiết bị Firewall SonicWALL Bố cục đồ án gồm chương: Chương 1: An ninh mạng doanh nghiệp Chương 2: Tổng quan Firewall công nghệ Firewall Chương 3: SonicWALL Firewall hệ mới: Next-Generation Firewall SonicWALL (NGFW) Chương 4: Demo sử dụng NGFW bảo vệ mạng doanh nghiệp vừa nhỏ Mặc dù nhận nhiều giúp đỡ thầy hướng dẫn, thầy khoa viễn thông, đồ án nhiều chỗ cần phải đầu tư phân tích kĩ Vì em mong nhận phản hồi từ phía Thầy Em xin chân thành cảm ơn! TP Hồ Chí Minh, ngày tháng 12 năm 2018 Sinh viên thực Lê Văn Tài SVTH: LÊ VĂN TÀI LỚP: D14CQVT01-N CHƢƠNG I: AN NINH MẠNG DOANH NGHIỆP CHƢƠNG I: AN NINH MẠNG DOANH NGHIỆP 1.1 Tổng quan An ninh mạng doanh nghiệp 1.1.1 Tình hình an ninh mạng Thế giới Việt Nam năm gần Hình 1.1: Cảnh báo hàng năm Cisco 2010-2013 Hình 1.2: Cuộc khảo sát thực tế mối đe doạ từ bên ngồi Thơng tin lấy từ “Cisco 2016 Annual Security Report” Một số thông tin an ninh nước năm gần đây: Trong Quý I/2016, Nitol dẫn đầu danh sách hoạt động mạng botnet, hoạt động mạng botnet tăng từ 33.3% lên 44.4%, gia tăng tỉ lệ hoạt động botnet Hàn Quốc Trong Quý này, biến thể Generic!BT sử dụng công từ 7,756 IP 52 quốc gia, chủ yếu Đông Âu Phần lớn hoạt động bắt nguồn từ Nga (52.6%) Ukraine (26.6%) – Theo securitydaily.net SVTH: LÊ VĂN TÀI LỚP: D14CQVT01-N CHƢƠNG II: TỔNG QUAN VỀ FIREWALL VÀ CÁC CÔNG NGHỆ TRÊN FIREWALL 2.2.2 Firewall phần mềm Nếu không muốn tốn tiền mua Firewall phần cứng ta sử dụng Firewall phần mềm Về giá cả, Firewall phần mềm thường khơng đắt firewall phần cứng, chí số cịn miễn phí (phần mềm Comodo Firewall Pro 3.0, PC Tools Firewall Plus 3.0, ZoneAlarm Firewall 7.1 …) tải từ mạng Internet Một vài hệ điều hành có tường lửa kèm theo, hệ điều hành khơng có dễ dàng kiếm từ số cửa hàng máy tính hay hãng phần mềm nhà cung cấp dịch vụ Internet.Một số Firewall mềm ISA server, Zone Alarm, Norton, ForFront Firewall,… Đặc điểm: Hoạt động tầng Application Tính linh hoạt cao: Có thể thêm, bớt quy tắc, chức Có thể kiểm tra nội dung gói tin (thơng qua từ khóa) Hình 2.3: Mơ hình Firewall mềm 2.3 Chức hạn chế Firewall Tóm lại, dù Firewall phần cứng hay Firewall phần mềm chúng đề có chức ln tồn hạn chế định 2.3.1 Chức Firewall Kiểm sốt luồng thơng tin Intranet Internet Thiết lập chế điều khiển dịng thơng tin mạng bên (Intranet) mạng Internet Cụ thể là: + Cho phép cấm dịch vụ truy nhập (từ Intranet Internet) + Cho phép cấm dịch vụ phép truy nhập vào (từ Internet vào Intranet) SVTH: LÊ VĂN TÀI LỚP: D14CQVT01-N 18 CHƢƠNG II: TỔNG QUAN VỀ FIREWALL VÀ CÁC CƠNG NGHỆ TRÊN FIREWALL Hình 2.4: Mơ tả luồng liệu vào internet intranet Theo dõi luồng liệu mạng Internet Intranet Kiểm soát địa truy nhập, cấm địa truy nhập Kiểm soát người sử dụng việc truy nhập người sử dụng Kiểm sốt nội dung thơng tin thông tin lưu chuyển mạng 2.3.2 Những hạn chế Firewall Firewall không đủ thông minh người để đọc hiểu loại thơng tin phân tích nội dung tốt hay xấu Firewall ngăn chặn xâm nhập nguồn thông tin không mong muốn phải xác định rõ thông số địa Firewall khơng bảo vệ cơng vịng qua Ví dụ thiết bị modems, tổ chức tin cậy, dịch vụ tin cậy (SSL/SSH) Firewall chống lại công liệu (data-drivent attack) Khi có số chương trình chuyển theo thư điện tử, vượt qua Firewall vào mạng bảo vệ bắt đầu hoạt động Firewall bảo vệ chống lại việc truyền chương trình file nhiễm virus 2.4 Kiến trúc chung Firewall Hình 2.5: Kiến trúc vùng Firewall SVTH: LÊ VĂN TÀI LỚP: D14CQVT01-N 19 CHƢƠNG II: TỔNG QUAN VỀ FIREWALL VÀ CÁC CÔNG NGHỆ TRÊN FIREWALL Firewall chuẩn bao gồm hay nhiều thành phần sau đây: Inside network: vùng nằm phía sau Firewall vùng mạng nội bên có mức bảo mật cao Bình thường, host vùng có quyền truy nhập đến tất host vùng khác (Outside/ DMZ) thiết bị Firewall mặc định cho phép gói tin từ vùng có mức bảo mật cao đến vùng có mức bảo mật thấp Outside network: vùng nằm phía ngồi mạng nội vùng có mức độ bảo mật thấp Bình thường, khơng có cho phép Firewall host vùng khơng có quyền truy cập vào vùng có mức bảo mật cao vùng inside DMZ (vùng phi quân sự): có tài ngun mạng cần cơng khai đến user vùng outside network Web Server, FTP Server…ta đặt tài nguyên vào mạng riêng rẽ phía sau Firewall, gọi vùng DMZ Firewall cho phép giới hạn truy cập đến vùng DMZ Vùng DMZ bao gồm Public Server, bị công có Server Public bị ảnh hưởng khơng ảnh hưởng đến vùng Inside Network + DMZ vùng mạng trung lập mạng nội mạng internet + DMZ nơi chứa thông tin cho phép người dùng từ internet truy xuất vào chấp nhận rủi ro công từ internet + Các dịch vụ thường triển khai vùng DMZ là: Mail, Web, FTP + Có hai cách thiết lập vùng DMZ: - Đặt DMZ Firewall, để lọc thông tin từ internet vào để kiểm tra luồng thông tin vào mạng cục - Sử dụng Router có nhiều cổng để đặt vùng DMZ vào nhánh riêng tách rời với mạng cục + Mục đích thiết lập vùng DMZ né cơng từ bên ngồi từ mạng nội Security Level Firewall Security Level gán cho Interface (hoặc vật lý hay logical sub-interfaces) số từ 0-100 định tin cậy interface liên quan đến interface khác thiết bị Mức độ bảo mật cao interface đáng tin cậy (và mạng kết nối phía sau nó) coi là, liên quan đến interface khác Vì interface Firewall đại diện cho mạng cụ thể (hoặc khu vực an ninh), cách sử dụng mức độ bảo mật, định mức độ tin tưởng khu vực an ninh Các quy tắc cho mức độ bảo mật interface (hoặc zone) với mức độ bảo mật cao truy cập vào interface với mức độ bảo mật thấp Mặt khác, interface với mức độ bảo mật thấp truy cập vào interface với mức độ bảo mật cao hơn, mà khơng có cho phép rõ ràng quy tắc bảo mật (Access Control List - ACL) Một số mức độ bảo mật điển hình: SVTH: LÊ VĂN TÀI LỚP: D14CQVT01-N 20 CHƢƠNG II: TỔNG QUAN VỀ FIREWALL VÀ CÁC CÔNG NGHỆ TRÊN FIREWALL − Security Level 0: Đây mức độ bảo mật thấp gán mặc định interface bên ngồi Firewall Đó mức độ bảo mật tin cậy phải định phù hợp với mạng (interface) mà khơng muốn có truy cập vào mạng nội Mức độ bảo mật thường gán cho interface kết nối với Internet Điều có nghĩa tất thiết bị kết nối Internet khơng thể có quyền truy cập vào mạng phía sau Firewall, trừ rõ ràng cho phép quy tắc ACL − Security Level đến 99: Những mức độ bảo mật khu vực bảo mật vịng ngồi (ví dụ khu vực DMZ, khu vực quản lý, ) − Security Level 100: Đây mức độ bảo mật cao gán mặc định interface bên tường lửa Đây mức độ bảo mật đáng tin cậy phải gán cho mạng (interface) mà muốn áp dụng bảo vệ nhiều từ thiết bị an ninh Mức độ bảo mật thường gán cho interface kết nối mạng nội cơng ty đằng sau Các cơng nghệ Firewall 2.5.1 Kiểm tra trạng thái gói tin (Statefull Packet Inspection-SPI) 2.5 Tường lửa lọc gói kiểm tra luồng liệu đến tầng vận chuyển (Transport Layer) mô hình OSI (Open System Interconnection) Nó phân tích gói tin IP (IP Packet) so sánh chúng với quy tắc đặt trước danh sách điều khiển truy cập (Access Control List - ACL) Hình 2.6: Cơng nghệ kiểm tra trạng thái gói tin (SPI) Nó kiểm tra thành phần sau gói tin: + Địa Ip nguồn (Source IP Address) + Cổng nguồn (Source Port) + Địa Ip đích (Destination IP Address) SVTH: LÊ VĂN TÀI LỚP: D14CQVT01-N 21 CHƢƠNG II: TỔNG QUAN VỀ FIREWALL VÀ CÁC CÔNG NGHỆ TRÊN FIREWALL + Cổng đích (Destination Port) + Giao thức (Protocol) Ngồi tường lửa lọc gói đọc tất thơng tin tiêu đề gói liệu IP luân chuyển qua tường lửa, dựa thông tin để định chấp nhận (accept) hay loại bỏ gói liệu (drop) Chú ý: + Tường lửa lọc gói phân tích tiêu đề gói IP, khơng phân tích nội dung gói khơng có khả ngăn chặn truy xuất theo nội dung liệu + Tường lửa lọc gói hữu ích trường hợp muốn ngăn chặn cổng xác định đó, từ chối địa IP xác định giao thức xác định (ví dụ ICMP) Trong thực tế, công xâm nhập thường thực thông qua cổng khác với cổng dịch vụ phổ biến (như SSH port 22, Telnet port 23, FTP port 21, SNMP port 161…) Hình 2.7: Quá trình kiểm tra trạng thái gói tin sử dụng SPI Các mối nguy hiểm tiến hóa ngày đa dạng nguy hiểm Firewall SPI truyền thống có thể: SVTH: LÊ VĂN TÀI LỚP: D14CQVT01-N 22 CHƢƠNG II: TỔNG QUAN VỀ FIREWALL VÀ CÁC CƠNG NGHỆ TRÊN FIREWALL Hình 2.8: Quá trình lọc Stateful Packet Inspection Ƣu điểm: Hoạt động độc lập suất với người dùng, ảnh hưởng đến hiệu mạng Bảo mật hơn, kiểm soát giao thức tầng ứng dụng Khả ghi nhật ký (loging) tốt so với cơng nghệ lọc gói tin Nhƣợc điểm: Bảo vệ mức độ port giao thức Tốn triển khai quản lý Không thể phát chặn malware Không thể nhận dạng traffic user Không phát mã hóa SSL Giảm suất hệ thống 2.5.2 Deep Packet Inspection (DPI) Nhận nhiều nhược điểm công nghệ cũ, qua nhiều năm tường lửa bổ sung thêm vơ số tính mới, bao gồm phân tích sâu gói (Deep Packet Inspection - DPI), phát xâm nhập, ngăn kiểm tra lưu lượng mã hóa Kiểm tra gói sâu (DPI) phương pháp tiên tiến để kiểm tra quản lý lưu lượng mạng Nó dạng lọc gói định vị, xác định, phân loại, định tuyến lại chặn gói liệu cụ thể mã tải trọng mà lọc gói thơng thường, kiểm tra tiêu đề gói, khơng thể phát Kiểm tra gói sâu kiểm tra nội dung tin nhắn xác định ứng dụng dịch vụ cụ thể mà đến Ngồi ra, lọc lập trình để tìm định tuyến lại lưu lượng mạng từ dải địa Giao thức Internet (IP) cụ thể dịch vụ trực tuyến định Facebook Tuy nhiên tồn số hạn chế như: SVTH: LÊ VĂN TÀI LỚP: D14CQVT01-N 23 CHƢƠNG II: TỔNG QUAN VỀ FIREWALL VÀ CÁC CƠNG NGHỆ TRÊN FIREWALL Đầu tiên, tạo lỗ hổng ngồi việc bảo vệ chống lại lỗ hổng có.Trong có hiệu chống lại cơng tràn đệm , công từ chối dịch vụ (DoS) số loại phần mềm độc hại , DPI khai thác để tạo điều kiện công danh mục tương tự Thứ hai, kiểm tra gói sâu thêm vào tính phức tạp khó sử dụng tường lửa có phần mềm liên quan đến bảo mật khác Kiểm tra gói sâu địi hỏi cập nhật sửa đổi định kỳ riêng để trì hiệu tối ưu Thứ ba, DPI giảm tốc độ mạng làm tăng gánh nặng cho vi xử lý tường lửa Mặc dù có hạn chế này, nhiều quản trị viên mạng chấp nhận cơng nghệ kiểm tra gói sâu nỗ lực để đối phó với gia tăng nhận thức tính phức tạp tính chất lan rộng hiểm họa liên quan đến internet Và Next-Generation Firewall (NGFW) hãng SonicWALL tường lửa hệ tích hợp tính tiên tiến SVTH: LÊ VĂN TÀI LỚP: D14CQVT01-N 24 CHƢƠNG III: SONICWALL VÀ FIREWALL THẾ HỆ MỚI: NEXTGENERATION FIREWALL SONICWALL (NGFW CHƢƠNG III: SONICWALL VÀ FIREWALL THẾ HỆ MỚI: NEXT-GENERATION FIREWALL SONICWALL (NGFW) 3.1 Tổng quan SonicWALL 3.1.1 Giới thiệu chung SonicWALL Hình 3.1: Logo SonicWALL SonicWALL hãng bảo mật Mỹ, thành lập từ năm 1991 có trụ sở đặt San Jose, California Ngày tháng năm 2012 Dell mua lại SonicWALL sỡ hữu 130 sáng chế 950 nhân viên Vào ngày 20 tháng năm 2016, Dell bán SonicWALL cho công ty cổ phần tư nhân Francisco Partners Elliott Management Hình 3.2: Quá trình hình thành phát triển SonicWALL 3.1.2 Tính Giải pháp Hiện nay, SonicWALL cung cấp tính năng, giải pháp bao gồm: ● Network Security: chống Malware, kiểm soát ứng dụng, quản lý bang thông ● Email Security: chống spam mail, chống phishing, Malware… ● Secure Remote Access: VPN (Ipsec, SSL VPN), kiểm soát Endpoint, bảo mật thiết bị di động cho IOS & Android ● Quản lý danh tính người dung kiểm soát quyền truy cập SVTH: LÊ VĂN TÀI LỚP: D14CQVT01-N 25 CHƢƠNG III: SONICWALL VÀ FIREWALL THẾ HỆ MỚI: NEXTGENERATION FIREWALL SONICWALL (NGFW 3.1.3 Sản phẩm SonicWALL Hình 3.3: Sản phẩm SonicWALL 3.2 Firewall hệ SonicWALL (Next-Generation Firewall Firewall SonicWALL-NGFW) Với đa dạng chủng loại sản phẩm, dòng Firewall SonicWALL hỗ trợ cho loại hình quy mơ bảo mật khách hàng, từ SOHO, SMB Enterprise, ISP…Với tảng phần cứng mạnh mẽ, tích hợp đầy đủ giao tiếp, khả mở rộng dễ dàng, sản phẩm SonicWALL phân loại theo số quy mô số lượng người dùng (khi hoạt động với full tính Security, kiểm nghiệm thực tế) Hình 3.4: Tường lửa SonicWALL SVTH: LÊ VĂN TÀI LỚP: D14CQVT01-N 26 CHƢƠNG III: SONICWALL VÀ FIREWALL THẾ HỆ MỚI: NEXTGENERATION FIREWALL SONICWALL (NGFW 3.2.1 Tính vƣợt trội Nhận dòng Traditional Firewall nhiều khuyết điểm, SonicWALL cho mắt dòng Firewall hệ (NGFW) trang bị nhiều dịch vụ tính cao cấp để tăng cường khả bảo vệ cho hệ thống trước mối nguy hiểm Các dịch vụ giúp tăng khả bảo vệ cho hệ thống Hình 3.5: Cơng nghệ Firewall hệ SonicWALL (NGFW) 3.2.1.1 Tính ngăn ngừa xâm nhập (Intrusion Prevention Service-IPS) IPS tích hợp NGFW để ngăn chặn mối nguy hiểm có khả xâm nhập vào hệ thống Ngoài việc kiểm tra port giao thức, IPS kiểm tra sâu vô liệu gói tin để phát mối nguy hiểm có khả xâm nhập vào hệ thống IPS chủ yếu vào IDS (Intrusion Detection System) – hệ thống phát xâm nhập IDS hệ thống phịng chống, nhằm phát hành động cơng vào mạng Mục đích phát ngăn ngừa hành động phá hoại vấn đề bảo mật hệ thống, hành động tiến trình cơng sưu tập, qt cổng IDS cung cấp thông tin nhận biết hành động khơng bình thường đưa báo cảnh thơng báo cho quản trị viên mạng khóa kết nối cơng Thêm vào cơng cụ IDS phân biệt cơng bên từ bên tổ chức (từ nhân viên khách hàng) cơng bên ngồi (tấn công từ hacker) SVTH: LÊ VĂN TÀI LỚP: D14CQVT01-N 27 CHƢƠNG III: SONICWALL VÀ FIREWALL THẾ HỆ MỚI: NEXTGENERATION FIREWALL SONICWALL (NGFW Hình 3.6: Q trình lọc gói tin IPS 3.2.1.2 Gateway Anti-Virus Anti-Spyware Tương tự IPS, Gateway Anti-Virus Anti-Spyware kiểm tra sâu vào gói tin để kiểm tra xem liệu gói tin có chứa viruses phần mềm spyware có khả xâm nhập vào hệ thống Hình 3.7: Quá trình Anti-Virus SVTH: LÊ VĂN TÀI LỚP: D14CQVT01-N 28 CHƢƠNG III: SONICWALL VÀ FIREWALL THẾ HỆ MỚI: NEXTGENERATION FIREWALL SONICWALL (NGFW Hình 8: Quá trình Anti-Spyware 3.2.1.3 Lọc nội dung (Content Filtering Service -CFS) Một tính khác NGFW khả lọc website không cho người dùng truy cập vào trang web người quan trị đặt (Facebook, Twitter, ) Firewall SonicWALL hỗ trợ người dung chặn Web theo hình thức: Chặn thủ cơng theo tên trang web: Người dùng nhập tên trang web, tên miền… Sử dụng sách CFS Policy SonicWALL Firewall: tham chiếu chéo tất trang web với sở liệu SonicWALL, so sánh với sách lọc nội dung quản trị viên thiết lập Yêu cầu trang web cho phép thông qua trang Web tạo thiết bị bảo mật SonicWALL thông báo cho người dùng trang web bị chặn theo sách Thơng thường CFS Policy SonicWALL có loại: Chặn theo 12 Category với dòng Standard chạy SonicOS Standard 2.0 Chặn theo 56 Category với dòng Premium chạy SonicOS Standard 2.1 Với CFS SonicWALL khơng có phần cứng máy chủ hệ điều hành phụ thuộc, khơng có quản lý máy chủ bảo trì SonicWALL CFS đơn giản để triển khai sử dụng với giao diện quản lý dựa web SVTH: LÊ VĂN TÀI LỚP: D14CQVT01-N 29 CHƢƠNG III: SONICWALL VÀ FIREWALL THẾ HỆ MỚI: NEXTGENERATION FIREWALL SONICWALL (NGFW Hình 3.9: Quá trình CFS 3.2.1.4 Kiểm tra gói sâu miễn phí Reassembly-Free (Reassembly-Free Deep Packet Inspection-RFDPI) – Kiến trúc đa lõi (Multi-Core Architecture) Tải FULL (75 trang): https://bit.ly/3fQM1u2 Dự phịng: fb.com/KhoTaiLieuAZ Hình 3.10: Công nghệ RFDPI SVTH: LÊ VĂN TÀI LỚP: D14CQVT01-N 30 CHƢƠNG III: SONICWALL VÀ FIREWALL THẾ HỆ MỚI: NEXTGENERATION FIREWALL SONICWALL (NGFW Đối với gói tin phức tạp, Traditional Firewall khơng thể chặn q trình thâm nhập hệ thống mạng SPI dừng lại việc quét tiêu đề thông thường, điều bỏ qua mối nguy hiểm phần liệu gói tin Để thực bảo vệ chống lại tất mối đe dọa bên lẫn bên trong, ta cần phải quét tất lưu lượng truy cập Tải FULL (75 trang): https://bit.ly/3fQM1u2 giao thức lẫn cổng Dự phòng: fb.com/KhoTaiLieuAZ Để vượt qua rào cản tốc độ DPI, SonicWALL thiết kế cho mắt công nghệ real-time full-packet DPI cấp sang chế, gọi Reassembly-Free Deep Packet Inspection (RFDPI) Hình 3.11: Kiểm tra gói tin với RFDPI Là trái tim cốt lõi SonicWALL Firewall cấp sáng chế, Cơng nghệ RFDPI tích hợp nhiều giải pháp bảo mật vào chung cơng nghệ quét tất file từ mạng nội từ xa người dùng thiết bị di động Công nghệ RFDPI kiểm tra byte gói dứ liệu để xác định ứng dụng gói liệu người sử dụng ứng dụng Dựa việc xác định ứng dụng chạy hệ thống giúp người quản trị đưa sách việc điều khiển quản lý tài ngun mạng cho cơng ty Ngồi ra, công nghệ RFDPI giúp người quản trị việc quản lý hệ thống, tiết kiệm chi phí thời gian Ngoài để tránh việc làm giảm suất hệ thống, tăng độ trễ việc quét tất gói tin qua hệ thống, NGFW Dell SonicWALL tích hợp kiến trúc nhiều vi xử lý (Multi-Core Architecture ) – lên tới 96 thiết bị cao cấp SVTH: LÊ VĂN TÀI LỚP: D14CQVT01-N 31 CHƢƠNG III: SONICWALL VÀ FIREWALL THẾ HỆ MỚI: NEXTGENERATION FIREWALL SONICWALL (NGFW Hình 3.12: Kiến trúc đa lõi Multi-Core Architecture) Mô tả kiến trúc Multicore: Trên thiết bị phần cứng bao gồm 01 (hoặc tập hợp) vi xử lý đa lõi Cavium (hãng chuyên sản xuất chip cho xử lý bảo mật Mỹ) Các vi xử lý cho phép xử lý song song chia tải yêu cầu luồng liệu vào/ra Tại thời điểm dò quét, cores tận dụng tối đa lực xử lý Các core khơng cung cấp tính xử lý chun biệt (chỉ xử lý cho tính cụ thể Firewall, IPS, Threat Prevention), mà xử lý lúc nhiều tính Chạy hệ điều hành SonicOS (phiên 6.2.5) Hệ điều hành SonicOS quản trị điều khiển trực tiếp CPU, không thông qua trung gian SonicOS hệ điều hành phát triển chuyên biệt từ SonicWALL, thiết kế tối ưu cho kiến trúc phần cứng mà SonicWALL xây dựng • Hệ điều hành SonicWALL nâng cấp tối ưu hóa phần mềm thơng qua giúp tối ưu hóa phần cứng giúp tăng hiệu thiết bị lên nhiều lần • Thiết kế giao diện thay đổi để giúp việc quản lý trực quan dễ dàng Sự kết hợp tối ưu giúp giúp tối đa hiệu suất khả mở rộng, đồng thời giảm thiểu mức tiêu thụ điện năng, từ cắt giảm chi phí thiểu xử lý phức tạp 3.2.1.5 Giải mã lớp bảo mật (Secure Socket Layer Decryption-SSL) Ngày việc sử dụng mã hóa SSL ngày nhiều (hơn 35% trang web giới chuyển dần sáng HTTPS – HTTP bảo mật với việc mã hóa SSL) nhằm tăng khả bảo mật cho gói tin hệ thống Tuy nhiên kẻ xấu lợi dụng loại mã hóa để nguy trang cho malware vỏ bọc gói tin SVTH: LÊ VĂN TÀI LỚP: D14CQVT01-N 32 9314760 ... NGFW giải pháp bảo mật nhiều công ty lựa chọn để bảo vệ hạ tầng mạng cơng ty tương lai Trên sở đó, em định chọn hướng nghiên cứu đồ án ? ?Bảo vệ Hệ thống mạng doanh nghiệp Firewall hệ mới? ?? Mục đích... việc xây dựng bảo vệ hệ thống mạng doanh nghiệp thiết bị Firewall SonicWALL Bố cục đồ án gồm chương: Chương 1: An ninh mạng doanh nghiệp Chương 2: Tổng quan Firewall công nghệ Firewall Chương... mạng doanh nghiệp mục tiêu dễ bị công Dưới số lỗ hổng bảo mật thường bị khai thác hệ thống mạng doanh nghiệp: 1.2.1.1 Lỗ hỏng xây dựng hệ thống chƣa tối ƣu Lỗ hổng lỗi xây dựng hệ thống Khi xây