Tìm hiểu xây dựng hệ thống Firewall Windows ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC NGÀNH CÔNG NGHỆ THÔNG TIN TÌM HIỂU VÀ XÂY DỰNG HỆ THỐNG FIREWALL TRÊN WINDOWS Sinh viên thực : Nguyễn Đức Nhân Lớp Tin6 - K48 Giáo viên hướng dẫn: ThS Đỗ Văn Uy Nguyễn Đức Nhân K48 Lớp CNPM Trang /96 Tìm hiểu xây dựng hệ thống Firewall Windows PHIẾU GIAO NHIỆM VỤ ĐỒ ÁN TỐT NGHIỆP Mục đích nội dung ĐATN Trước phương thức công phá hoại mạng ngày tinh vi phức tạp, việc nghiên cứu nắm bắt giải pháp an ninh cho mạng Internet Việt Nam nói chung mạng nội khách hàng nói riêng vơ cần thiết Mục đích đồ án nghiên cứu công nghệ giải pháp cho mạng trước cơng từ bên ngồi (cụ thể từ Internet) sâu vào phương pháp sử dụng Firewall bảo mật hệ thống mạng Windows Các nhiệm vụ cụ thể ĐATN      Tìm hiểu an ninh mạng máy tính Tìm hiểu thành phần kiến trúc Firewall Nghiên cứu chế hoạt động NDIS driver Tìm hiểu cách tích hợp Firewall NDIS Xây dựng chương trình demo Lời cam đoan sinh viên: Tơi Nguyễn Đức Nhân cam kết ĐATN cơng trình nghiên cứu thân hướng dẫn ThS.Đỗ Văn Uy Các kết nêu ĐATN trung thực, khơng phải chép tồn văn cơng trình khác Hà Nội, ngày 24 tháng năm 2008 Tác giả ĐATN Nguyễn Đức Nhân Xác nhận giáo viên hướng dẫn Hà Nội, ngày 24 tháng năm 2008 mức độ hoàn thành ĐATN cho phép Giáo viên hướng dẫn bảo vệ: ThS.Đỗ Văn Uy TÓM TẮT NỘI DUNG ĐỒ ÁN TỐT NGHIỆP Nguyễn Đức Nhân K48 Lớp CNPM Trang /96 Tìm hiểu xây dựng hệ thống Firewall Windows Internet đưa giới bước vào thời đại mới, thời đại công nghệ thông tin Tuy nhiên với quy mô ngày lớn mạng Internet đồng nghĩa với khả bị cơng lợi dụng cao Chính lẽ việc nghiên cứu, tìm hiểu an tồn thơng tin mạng điều vô cần thiết Với đề tài “Tìm hiểu xây dựng hệ thống Firewall Windows” hướng đi, hướng nghiên cứu nhằm tăng cường an tồn thơng tin mạng cho hệ điều hành Windows - hệ điều hành sử dụng phổ biến Những nội dung đồ án : Chương 1: Nghiên cứu tổng quan mạng máy tính ứng dụng.Tìm hiểu khái niệm bảo mật, an ninh mạng, hình thức cơng hệ thống mạng cách thức phịng chống Chương 2: Giới thiệu tổng quan Firewall, định nghĩa, chức ưu khuyết điểm nghiên cứu kỹ thuật tích hợp hệ thống Firewall kiến trúc nguyên tắc hoặt động Firewall Chương 3: Trình bày tổng quan kiến trúc phân tầng chế làm việc driver Windows Nghiên cứu kiến trúc NDIS driver,các thành phần chế xây dựng Firewall NDIS, cách thức quản lý, lọc gói tin NDIS Intermediate driver Chương 4: Phân tích, thiết kế xây dựng chương trình NDIS Firewall.Triển khai hệ thống NDIS Firewall hệ điều hành Windows XP kiểm thử đánh giá hệ thống so với hệ thống trước Nguyễn Đức Nhân K48 Lớp CNPM Trang /96 Tìm hiểu xây dựng hệ thống Firewall Windows ABSTRACT OF THESIS Chapter1:  Research on NetWork and Application  Concept of NetWork Security  Safety and Network policy Chapter2:  Introduction about Firewall functions  Intergrated Technical in Firewall  Archietecture and Procesion of Firewall Chapter3  Generation about hierarchical structures and principal jobs of drivers On Windows  Archietecture of NDIS driver and its parts  Constructing Firewall based on NDIS, managing, filtering packages on NDIS Intermadiate driver Chapter4  Analys, design and NDIS Firewall  Deploy NDIS-Firewall system on XP operating system Windows  Check and compare new system with previous systems Nguyễn Đức Nhân K48 Lớp CNPM Trang /96 Tìm hiểu xây dựng hệ thống Firewall Windows MỤC LỤC MỤC LỤC DANH MỤC HÌNH VẼ .7 DANH MỤC BẢNG DANH MỤC THUẬT NGỮ 10 LỜI NÓI ĐẦU 11 CHƯƠNG 1:TỐNG QUAN VỀ AN TOÀN MẠNG .12 1.1 Tìm hiểu mạng máy tính .12 1.1.1 1.1.2 1.2 Kiến trúc mạng 14 1.2.1 1.2.2 1.2.3 1.2.4 1.2.5 1.2.6 1.2.7 1.3 Khái niệm mạng máy tính 12 Mơ hình chuẩn hóa .12 Network Card Driver Protocol .14 Network Driver Interface Specification (NDIS) 15 Transport Driver Interface (TDI) .15 Phương thức bảo vệ mạng 16 Quản trị môi trường người sử dụng 16 Quản lý tài nguyên mạng mạng 17 Quản lý người người sử dụng .17 An toàn an ninh mạng 18 1.3.1 1.3.2 1.3.3 Khái niệm an ninh mạng .18 Nghiên cứu nguy an ninh mạng 19 Các giải pháp an toàn an ninh cho hệ thống mạng 25 CHƯƠNG 2: TÌM HIỂU VỀ HỆ THỐNG FIREWALL .33 2.1 Giới thiệu chung .33 2.1.1 2.1.2 2.1.3 2.2 Các kỹ thuật Firewall 35 2.2.1 2.2.2 2.2.3 2.2.4 2.2.5 2.3 Định nghĩa 33 Khả Firewall .34 Những hạn chế Firewall .34 Kỹ thuật Packet Filtering 35 Kỹ thuật Proxy 39 Kỹ thuật kiểm tra trạng thái (Stateful Inspection) 41 Kỹ thuật NAT (Network Address Translation) 43 Cổng vòng (Circuit-level Gateway) 46 Kiến trúc Firewall 46 2.3.1 2.3.2 2.3.3 2.3.4 2.3.5 Kiến trúc Single-Box 46 Kiến trúc Screened Host .48 Kiến trúc Screened Subnet 48 Kiến trúc kết hợp 49 Kiến trúc Firewall cho nội mạng (Internal Firewall) 50 Nguyễn Đức Nhân K48 Lớp CNPM Trang /96 Tìm hiểu xây dựng hệ thống Firewall Windows CHƯƠNG 3: CƠ CHẾ XÂY DỰNG FIREWALL TRÊN NDIS 53 3.1 Tổng quan Windows Driver .53 3.1.1 3.1.2 3.1.3 3.2 Network Driver 56 3.2.1 3.2.2 3.2.3 3.2.4 3.3 Khái niệm 53 Kiến trúc phân tầng Driver 54 Cơ chế làm việc driver 55 NDIS driver 56 NDIS Miniport Driver 57 NDIS Protocol driver 59 NDIS Intermediate driver 60 Cơ chế xây dựng Firewall NDIS Intermediate driver 61 3.3.1 3.3.2 3.3.3 Mối quan hệ Protocol, Miniport Intermediate driver 61 Xây dựng NDIS Intermediate Driver 63 Quản lý, lọc Packet NDIS Intermediate driver 67 CHƯƠNG 4: THIẾT KẾ, XÂY DỰNG, CÀI ĐẶT VÀ KIỂM THỬ HỆ THỐNG NDIS FIREWALL TRÊN WINDOWS 75 4.1 Phân tích thiết kế tổng thể .75 4.1.1 4.1.2 4.1.3 4.1.4 4.1.5 4.2 Phân tích thiết kế chương trình 81 4.2.1 4.2.2 4.2.3 4.3 Đánh giá hệ thống 75 Phát triển driver base Microsoft 76 Nguyên lý hoạt động hệ thống xây dựng .77 Cơ chế chặn gói tin .77 Các công cụ sử dụng để xây dựng chương trình .78 Chức thiết lập tập luật 84 Chức xử lý gói tin 87 Chức lọc gói tin 89 Triển khai đánh giá kết chương trình 91 4.3.1 4.3.2 4.3.3 4.3.4 Cài đặt PassThru Driver .92 Cài đặt ứng dụng Usermode - Sản phẩm NDIS-Firewall 94 Kiểm thử chương trình .95 Đánh giá kết chương trình 98 KẾT LUẬN .100 TÀI LIỆU THAM KHẢO .102 Nguyễn Đức Nhân K48 Lớp CNPM Trang /96 Tìm hiểu xây dựng hệ thống Firewall Windows DANH MỤC HÌNH VẼ Hình 1.1: Mơ hình OSI tầng .13 Hình 1.3: Tấn cơng từ chối dịch vụ DoS .20 Hình 1.4: Tấn cơng DDoS .21 Hình 1.5: Truy nhập gói tin truyền qua mạng 23 Hình 1.6: cơng Virus, trojan horse 25 Hình 1.7: Bảo vệ thơng tin mạng nhiều mức 26 Hình 1.8: Quá trình thu thập xử lý hệ thống IDS 28 Hình 1.9: Hệ thống phòng chống xâm nhập IPS 30 Hình 1.10: Ví dụ Website cú sử dụng SSL kết nối 31 Hình 1.11: Vị trí SSL mơ hình TCP/IP 31 Hình 2.1: Firewall bảo vệ hệ thống mạng 33 Hình 2.2: Screening Router sử dụng kỹ thuật Packet Filtering 36 Hình 2.3: Sử dụng Proxy services với Dual-home host 40 Hình 2.4: Mơ hình Stateful Inspection Firewall 42 Hình 2.5: Kỹ thuật NAT (Network Address Translation) 44 Hình 2.6: Screening Router 47 Hình 2.7: Kiến trúc Dual-Homed Host 47 Hình 2.8: Kiến trúc Screened Host 48 Hình 2.9: Kiến trúc Screened Subnet .49 Hình 2.10: Kiến trúc kết hợp sử dụng nhiều bastion host 50 Hình 2.11: Hợp Router Router .50 Hình 2.12: Kiến trúc Firewall cho nội mạng (Internal Firewall) .51 Hình 3.1: Tổng quan thành phần hệ thống Windows 53 Hình 3.2: Kiến trúc phân tấng Driver 54 Hình 3.3: Sơ đồ tổng quan NDIS 57 Hình 3.4: Miniport Driver NDIS 57 Hình 3.5: Tầng NDIS Intermediate Driver 60 Hình 3.6: Mối quan hệ NDIS, Miniport Driver Protocol Driver .62 Hình 3.7: Kết nối kết nối NDIS IM driver 63 Hình 3.8: Đơn vị liệu mơ hình OSI 68 Hình 3.9: IP Packet header 69 Hình 3.10 Sự phân đoạn 70 Hình 3.11: TCP Segment header 71 Hình 3.12: Sơ đồ thiết lập hàm lọc liệu gửi 72 Hình 3.13: Sơ đồ thiết lập hàm lọc liệu gửi 73 Nguyễn Đức Nhân K48 Lớp CNPM Trang /96 Tìm hiểu xây dựng hệ thống Firewall Windows Hình 4.1: Chốt chặn IM NDIS Firewall kiểm sốt thơng tin vào mạng 75 Hình 4.2: Biểu đồ phân cấp chức hệ thống NDIS-Firewall 82 Hình 4.3: Lược đồ cấu trúc chương trình .83 Hình 4.3: Sơ đồ khối chức thiết lập tập luật 84 Hình 4.4: Sơ đồ hoạt động chức xử lý gói tin .88 Hình 4.5: Sơ đồ hoạt động chức chặn gói tin 90 Hình 4.6: Cây nhị phân tìm kiếm 91 Hình 4.7: Cài đặt PassThru Driver (1) 92 Hình 4.8: Cài đặt PassThru Driver (2) 93 Hình 4.9: Cài đặt PassThru Driver (3) 94 Hình 4.10: Cấu hình Firewall 94 Nguyễn Đức Nhân K48 Lớp CNPM Trang /96 Tìm hiểu xây dựng hệ thống Firewall Windows DANH MỤC BẢNG Bảng trạng thái Stateful Inspection Firewall 43 Bảng hàm MiniportXxx bắt buộc có thiết lập Miniport .59 Bảng hàm ProtocolXxx bắt buộc có thiết lập Protocol 60 Bảng mặc định chế thiết lập luật .85 Bảng thông tin đọc Packet .89 Bảng kiểm thử: So sánhchức xử lý gói tin NDIS-Firewall IPMON .96 Bảng kiểm thử: So sánh chức xử lý gói tin NDIS-Firewall ShowTraf96 Bảng kiểm thử: Kiểm thử chức chặn gói tin 97 Bảng kiểm thử: Kiểm thử sức căng .97 Bảng kiểm thử: Kiểm thử tính tương thích 98 Bảng đánh giá kết chương trình 99 Nguyễn Đức Nhân K48 Lớp CNPM Trang /96 Tìm hiểu xây dựng hệ thống Firewall Windows DANH MỤC THUẬT NGỮ Số TT Từ Giải nghĩa API Application Programming Iinterface DDK Driver Development Kit FTP File Transfer Protocol HTTP Hypertext Transfer Protocol ICMP Internet Control Message Protocol IDS Intrusion Detection Systems IM Intermediate IP Internet Protocols IPS Intrusion Prevention Systems 10 IRP I/O Request Packet 11 ISO The International Standards Organization 12 NAT Network Address Translation 13 NDIS Network Driver Interface Specification 14 SNA Systems Netwokd Architecture 15 TCP Transmission Control Protocol 16 UDP User Datagram Protocol Nguyễn Đức Nhân K48 Lớp CNPM Trang 10 /96