LỜI NÓI ĐẦU Với bùng nổ ngày mạnh mẽ mạng Internet, quốc gia tổ chức, công ty tất người ngày xích lại gần Khoảng cách địa lý ngày trở nên mờ dần khái niệm giới “phẳng” trở nên rõ nét Thật khó mà kể hết lợi ích mà Internet mang lại cho người tưởng tượng ngày thiếu Internet người phải xoay sở Đó khơng cơng cụ trao đổi thơng tin nhanh chóng tin cậy mà cịn kho thơng tin vơ tận, cập nhật, đa dạng đầy đủ Có thể nói Internet nguồn tài nguyên vô giá kỉ nguyên số Chính việc khai thác tận dụng tài nguyên mạng mối quan tâm hàng đầu doanh nghiệp Công nghệ mạng Lan mạng Wan phát triển thỏa mãn nhu cầu Tuy nhiên ngồi lợi ích to lớn mạng Internet ẩn chứa nguy khôn lường khả đánh cắp, phá hoại tài sản thông tin tổ chức dẫn đến hậu nghiêm trọng Chính cơng việc trọng trách đặt lên vai người làm công nghệ thông tin giới nói chung Việt Nam nói riêng không nghiên cứu xây dựng phát triển nhanh chóng mạng máy tính nước để người khai thác tiềm phong phú Internet mà đồng thời phải nghiên cứu thực tốt biện pháp ngăn chặn, phòng chống, phát phục hồi hành vi công phá hoại trái phép mạng, nhằm đảm bảo tối đa phát triển cho tổ chức kinh doanh… Với mục đích thời gian thực tập tơi tự tìm hiểu khái niệm bảo mật với kiến thức mạng máy tính học học viện mạng Cisco, mong muốn xây dựng hệ thống bảo mật sử dụng cơng nghệ firewall có nhiều tính ứng dụng thực tiễn Đồ án tốt nghiệp giới thiệu kiến thức chung bảo mật mạng máy tính, cơng nghệ thường sử dụng để bảo mật giao thức TCP/IP, Lớp Điện Tử - K48 giao thức Intenet cụ thể sâu vào công nghệ Firewall công nghệ bảo mật phổ biến Phần cuối đồ án đưa phương pháp xây dựng mơ hình bảo mật Firewall cho hệ thống mạng doanh nghiệp Tôi xin chân thành cảm ơn bảo hướng dẫn tận tình Thầy Đinh Hữu Thanh - giảng viên khoa Điện tử viễn thông Đại Học Bách Khoa Hà Nội , CCNP Trần Thanh Long giảng viên CCNA – Giám đốc học viện mạng Cisco - ĐH Công nghệ - ĐH Quốc gia Hà Nội , Giám đốc - giảng viên học viện ITLAB Nguyễn Anh Thao , Mr Christian Tusborg – IT manager Skills Group giúp thực đồ án Vì thời gian hạn hẹp, vấn đề cần tìm hiểu q rộng, lượng thơng tin tài liệu cần đọc lớn, kiến thức hạn chế nên chắn đồ án không tránh khỏi thiếu sót, tơi mong nhận bảo góp ý thắng thắn từ phía hội đồng bạn Trân trọng cảm ơn Lớp Điện Tử - K48 TÓM TẮT ĐỒ ÁN Bảo mật phạm trù rộng phức tạp, lĩnh vực cơng nghệ thơng tin tổng hịa nhiều công nghệ khác nhằm mang lại an tồn cho hệ thống thơng tin tổ chức Ngày hệ thống thơng tin phải tuân theo tiêu chuẩn mang tính chất quốc tế, quy định bắt buộc phạm vi truyền thơng có tính chất tồn cầu khơng bó hẹp phạm vi tổ chức hay phạm vi khu vực Vì để bảo đảm an tồn thơng tin q trình truyền thơng phương pháp bảo mật cần tương thích với chuẩn mang tính chất quốc tế Phần I đồ án đưa nhìn tồn diện mơ hình truyền thơng mạng Internet hình dung chung công nghệ bảo mật tranh tổng thể Trong công nghệ bảo mật hiệu sâu phân tích đánh giá phương pháp bảo mật cơng nghệ “bức tường lửa”, Phần II đồ án tập trung giải vấn đề Trên sở lý luận nghiên cứu việc đưa phương án áp dụng thành công công nghệ lựa chọn điều cần thiết Với mong muốn đồ án sản phẩm mang tính thực tiễn cao tơi trình bày phương pháp triển khai công nghệ tường lửa hệ thống thông tin tổ chức, kèm theo minh họa có tính chất trực quan Với nội dung hy vọng mang lại cho người đọc nhìn tồn cảnh tranh bảo mật nói chung cơng nghệ tưởng lửa nói riêng Theo nhịp độ phát triển mau lẹ công nghệ biện pháp cơng ngày tinh vi hơn, công nghệ cần không ngừng cải tiến không ngừng để đảm bảo cho thông tin an toàn bền vững Lớp Điện Tử - K48 THESIS SUMMARY Information security is a wide-reaching and complex term because it is made up of many high technologies in order to make our information system more secure Today, most information systems must meet the international standards because information transportation takes place not only in a organization itseft or in a region but also all over the world Therefore to secure information exchanged, the security technologies used must meet international standards The first Part of my thesis will provide an overview of information transportation process in the Internet and a genaral picture of information security technologies I will a thorough research on firewall technology, one of the most popular and effective security methods in the second part of my thesis It’s essential that research results be successfully applicable in real-life selected technologies Bearing this in mind, I will clarify applications of firewall technology into information systems in enterprises in addition to visual illustrations All of these are presented in third part Hopefully, readers will have general understanding of security technologies in general and firewall technology in particular As technological progresses take place nearly every minute, hacking activities have become increasingly damaging and seemingly uncontrollable Hence, security technologies must be steadily improved for the sake of a well-sustained information system Lớp Điện Tử - K48 MỤC LỤC LỜI NÓI ĐẦU TÓM TẮT ĐỒ ÁN THESIS SUMMARY DANH SÁCH HÌNH VẼ DANH SÁCH CÁC TỪ VIẾT TẮT LỜI MỞ ĐẦU 10 PHẦN I: KHÁI NIỆM CHUNG VỀ BẢO MẬT 12 Chương 12 MƠ HÌNH OSI VÀ BỘ GIAO THỨC TCP/IP 12 1.1 GIỚI THIỆU CHUNG 12 1.2 MƠ HÌNH OSI 12 1.3 KIẾN TRÚC TCP/IP 14 1.4 MỘT SỐ GIAO THỨC CƠ BẢN TRONG BỘ GIAO THỨC TCP/IP 17 1.4.1 Giao thức IP (Internet Protocol) 17 1.4.2 Giao thức UDP ( User Datagram Protocol ) 21 1.4.3 Giao thức TCP ( Transmission Control Protocol ) 22 1.5 Q TRÌNH ĐĨNG MỞ GĨI DỮ LIỆU KHI TRUYỀN TIN QUA CÁC LỚP 30 Chương 32 KHÁI NIỆM BẢO MẬT 32 2.1 KHÁI NIỆM BẢO MẬT 32 2.2 MỤC TIÊU CỦA BẢO MẬT THÔNG TIN 31 2.3 BẢO MẬT LÀ MỘT QUY TRÌNH 34 2.4 NHẬN BIẾT CÁC NGUY CƠ MẤT AN NINH DỮ LIỆU 36 Chương 45 CÁC CÔNG NGHỆ BẢO MẬT 45 3.1 CÔNG NGHỆ BẢO MẬT THEO LỚP 45 3.1.1 Bảo mật mức vật lý 46 3.1.2 Bảo mật sử dụng tường lửa 47 3.1.3 Bảo mật sử dụng lọc gói liệu 49 3.1.4 Bảo mật sử dụng phương pháp mã hóa 50 3.1.5 Bảo mật sử dụng xác thực, cấp quyền truy nhập thống kê 53 3.2 CÁC CHÍNH SÁCH CHUNG CHO CON NGƯỜI 54 Phần II 56 CÔNG NGHỆ FIREWALL VÀ ỨNG DỤNG 56 Chương I 56 CÁC KHÁI NIỆM CƠ BẢN VỀ FIREWALL 56 1.1 LỊCH SỬ RA ĐỜI VÀ PHÁT TRIỂN CỦA CÔNG NGHỆ FIREWALL56 Lớp Điện Tử - K48 1.2 ĐỊNH NGHĨA FIREWALL 58 1.3 PHÂN LOẠI FIREWALL 59 1.3.1 Firewall phần mềm 59 1.3.2 Firewall phần cứng 59 1.4 CHỨC NĂNG CỦA FIREWALL 59 1.4.1 Điều khiển truy nhập (Access Control) 59 1.4.1.1 Vị trí xảy q trình lọc gói 59 1.4.1.2 Hoạt động lọc gói (Packet Filtering) 61 1.4.1.3 Luật lọc ( Filtering Rules) 61 1.4.1.4 Hoạt động tường lửa người đại diện ứng dụng ( Proxy Application) 62 1.4.2 Quản lý xác thực (User Authentication) 64 1.4.3 Kiểm tra Cảnh báo (Activity Logging and Alarms) 65 1.4.3.1 Chức kiểm tra (Activity logging) 65 1.4.3.2 Chức cảnh báo (Alarm) 65 Chương 66 CÁC KIẾN TRÚC FIREWALL CƠ BẢN 66 2.1 FIREWALL BỘ LỌC GÓI TIN (PACKET FILTERING FIREWALL) 66 2.2 FIREWALL DỊCH VỤ ỦY THÁC (PROXY SERVER) 67 2.2.1 Gateway mức mạng (Network Level Gateway) 68 2.2.2 Gateway mức ứng dụng (Application level Gateway) 68 2.3 KĨ THUẬT KIỂM TRA TRẠNG THÁI (Stateful packet filtering) .70 2.4 FIREWALL PHÁO ĐÀI PHÒNG NGỰ (BASTION HOST FIREWALL ) 71 2.4.1 Dạng thứ máy phòng thủ có hai card mạng 71 2.4.2 Dạng thứ hai máy phịng thủ có card mạng 71 Chương 72 NGUYÊN TẮC HOẠT ĐỘNG CỦA CÁC LOẠI FIREWALL 72 3.1 HOẠT ĐỘNG CỦA FIREWALL “MỀM” 72 3.2 HOẠT ĐỘNG CỦA FIREWALL “CỨNG” 75 3.2.1 Cơ chế lọc gói tin : 75 3.2.2 Một số đặc điểm ACL: 75 3.2.3 Phân loại ACL 76 3.2.3.1 Danh sách điều khiển truy nhập (Standard IP Access Control Lists) 76 3.2.3.2 Danh sách điều khiển truy nhập mở rộng (Extended IP Access Control Lists) 77 3.2.3.3 So sánh standard ACL extended ACL 78 3.2.4 Ứng dụng ACL 79 3.3 NAT 79 3.3.1 Cấu hình NAT nhiều cổng 83 3.3.2 Phiên dịch địa động 84 3.3.3 Phiên dịch địa tĩnh 85 Lớp Điện Tử - K48 3.3.4 Cơ chế phiên dịch thông qua địa cổng (Port Address Translation) 85 3.4 Cơ chế điều khiển giám sát kết nối qua Firewall 86 3.4.1 Vận chuyển giao thức TCP 86 3.4.2 Vận chuyển giao thức UDP 88 3.5 Một số kỹ thuật khác sử dụng Firewall 89 3.5.1 Kỹ thuật thẩm kế an toàn 89 3.5.2 Kỹ thuật lõi an toàn 89 3.5.3 Kỹ thuật cân phụ tải 90 3.6 Sự kết hợp biện pháp kỹ thuật 90 Chương 91 CÁC PHƯƠNG PHÁP TRIỂN KHAI FIREWALL 91 4.1 CHỨC NĂNG PHÂN VÙNG CỦA FIREWALL TRONG THIẾT KẾ AN NINH MẠNG 92 4.1.1 Mạng bên trong(Inside Network) 92 4.1.2 Mạng bên (Outside Network) 92 4.1.3 Vùng phi quân (Demilitarized Zone -DMZ) 92 4.2 CÁC KIẾN TRÚC FIREWALL ĐƠN GIẢN THƯỜNG GẶP .93 4.2.1 Kiến trúc 93 4.2.2 Dual-Homed System 94 4.2.3 Kiến trúc Screening Host 95 4.2.4 Kiến trúc Screened Subnet 96 4.3 CÁC MƠ HÌNH FIREWALL PHỨC TẠP 97 4.4 Đánh giá Firewall 100 KẾT LUẬN 103 TÀI LIÊỤ THAM KHẢO 105 Lớp Điện Tử - K48 DANH SÁCH HÌNH VẼ Hình 1.1 Mơ hình tham chiếu OSI Hình 1.2 Kiến trúc TCP/IP Hình 1.3 Khn dạng IP datagram Hình 1.4 Phân lớp địa IP Hình 1.6 Khn dạng UDP datagram Hình 1.7 Khn dạng TCP datagram Hình 1.8 Thiết lập giải phóng liên kết Hình 1.9 Cơ chế cửa sổ trượt Hình 1.10 Q trình đóng /mở gói liệu Hình 1.11 Mục tiêu CIA Hình 1.12 Quy trình bảo mật Hình 1.13.Tấn cơng kẻ trung gian Hình 1.14 Mơ hình bảo mật theo lớp Hình 1.15 Bảo mật sử dụng tường lửa Hình 1.16 Các loại IPS Hình 1.17 Bảo mật sử dụng lọc gói liệu Hình 1.18 Kết nối từ xa sử dụng VPN Hình 2.1 Firewall làm chắn ngăn cách mạng nội Internet Hình 2.2 Các vị trí kiểm sốt gói tin tầng giao thức Hình 2.3 Các thơng tin sử dụng luật lọc gói tin IP Hình 2.4 Hoạt dộng người đại diện ứng dụng Hình 2.5 Tưởng lửa lọc gói tin Hình 2.6 Tường lửa dịch vụ ủy thác Hình 2.7 Giao tiếp mạng thơng qua proxy server Hình 2.8 Pháo đài phịng ngự Hình 2.9 Sơ đồ hoạt động ISA Server Hình 2.10 Hoạt động Standard ACL Hình 2.11 Di chuyển gói tin vùng có độ an tồn khác Hình 2.12 Chức phân vùng firewall Hình 2.13 Quá trình phiên dich địa Hình 2.14 Cấu hình NAT nhiều cổng Hình 2.15 Phiên dịch địa từ mạng mạng ngồi Hình 2.16 Q trình tạo kết nối TCP từ bên bên ngồi Hình 2.17 Kiến trúc vùng thiết kế an ninh mạng Hình 2.18 Kiến trúc firewall Hình 2.19 Hệ Dual-Homed system Hình 2.20 Hệ screening host Lớp Điện Tử - K48 15 16 20 22 23 25 27 29 30 33 35 39 46 47 49 50 52 58 60 61 62 67 67 69 71 74 76 79 81 82 83 84 87 91 94 95 95 Hình 2.21 Hệ Sreened Subnet 96 DANH SÁCH CÁC TỪ VIẾT TẮT Từ viết tắt Từ đầy đủ Chú thích FW Firewall Bức tường lửa VPN Virtual Private Network Mạng riêng ảo NAT Network Address Translation Phiên dịch địa mạng OSI Open Systems Interconnection CSU/DSU LAN Chanel Service Unit/ Digital Service Unit Local Area Network Mơ hình liên kết hệ thống mở Đơn vị dịch vụ kênh đơn vị dịch vụ số Mạng cục MAN Metropolitan Area Network Mạng thị GAN Global Area Network Mạng tồn cầu CAN Campus Area Network Mạng trường học WAN Wide Area Network Mạng diện rộng SAN Storage Area Network Mạng lưu trữ VPN Vitual Private Network Mạng riêng ảo IEEE Tổ chức chuẩn IEEE IBM Institue of Electrical and Electronic Engineers International Business Machines PC Personal Computer Máy vi tính RF Radio Frequency Tần số radio NIC Network Interface Card Card giao tiếp mạng AP Access Point Điểm truy cập ISO Tổ chức chuẩn ISO CSDL International Organization for Standardizations Cơ sở liệu FTP Fire Transfer Protocol Giao thức truyền file SMTP Simple Mail Transfer Protocol Giao thức truyền email DNS Domain Name System Hệ thống tên miền HTTP Hypertext Transfer Protocol Giao thức truyền tải nội dung mạng Lớp Điện Tử - K48 Tập đoàn IBM Từ viết tắt Từ đầy đủ Chú thích TCP Transmission Control Protocol UDP User Datagram Protocol Giao thức điều khiển đường truyền Giao thức UDP IP Internet Protocol Giao thức mạng IPX Internetwork Packet Exchange Giao thức mạng DoS Denial of Service Từ chối dịch vụ ACL Access Control List RFC Request For Comments Danh sách điều khiển truy cập Tổ chức chuẩn RFC IETF Internet Engineering Task Force Tổ chức chuẩn IETF Lớp Điện Tử - K48 10