TRƯỜNG ĐẠI HỌC SÀI GỊN KHOA CƠNG NGHỆ THƠNG TIN BÁO CÁO ĐỒ ÁN MƠN PHÂN TÍCH THIẾT KẾ MẠNG MÁY TÍNH Đề tài: THIẾT KẾ GIẢI PHÁP FIREWALL Giảng Viên Hướng Dẫn: ThS Lương Minh Huấn Thành viên nhóm: Giang Chí Bảo Võ Hồng Đại Đinh Thị Minh Thư 3120410047 3120410106 3120410517 Thành phố Hồ Chí Minh, Tháng 4/2023 MỤC LỤC CHƯƠNG I: TÌM HIỂU VỀ FIREWALL Khái niệm firewall Chức firewall Phân loại thành phần firewall Các sản phẩm thực tế firewall CHƯƠNG II: TÌM HIỂU VỀ FORTINET FIREWALL 10 Giới thiệu: 10 Các tính bật Fortinet Firewall: 10 CHƯƠNG III: THIẾT KẾ SƠ ĐỒ 14 CHƯƠNG IV: DANH MỤC THIẾT BỊ DỰ KIẾN 18 CHƯƠNG V: TRIỂN KHAI DEMO 26 CHƯƠNG I: TÌM HIỂU VỀ FIREWALL Khái niệm firewall Hình Ảnh minh họa firewall Thuật ngữ Firewall có nguồn gốc từ kỹ thuật viên thiết kế xây dựng để ngăn chặn, hạn chế hỏa hoạn Tuy nhiên, công nghệ thơng tin, firewall kỹ thuật tích hợp vào hệ thống mạng để chống truy cập trái phép, nhằm bảo vệ nguồn thông tin nội hạn chế xâm nhập không mong muốn vào hệ thống Thông thường Firewall đặt mạng bên (Intranet) công ty, tổ chức, ngành hay quốc gia, Internet Vai trị bảo mật thông tin, ngăn chặn truy cập không mong muốn từ bên (Internet) cấm truy cập từ bên (Intranet) tới số địa định Internet Hình Ảnh minh họa firewall Chức firewall Firewall giúp kiểm soát luồng thông tin Intranet Internet, chúng phát phán xét hành vi truy cập không truy cập vào bên hệ thống, đảm bảo tối đa an tồn thơng tin Tính dịng thiết bị tóm tắt gạch đầu dòng đây: - Cho phép vơ hiệu hóa dịch vụ truy cập bên ngồi, đảm bảo thơng tin có mạng nội - Cho phép vơ hiệu hóa dịch vụ bên truy cập vào - Phát ngăn chặn công từ bên ngồi - Hỗ trợ kiểm sốt địa truy cập (bạn đặt lệnh cấm cho phép) - Kiểm soát truy cập người dùng - Quản lý kiểm soát luồng liệu mạng - Xác thực quyền truy cập - Hỗ trợ kiểm sốt nội dung thơng tin gói tin lưu chuyển hệ thống mạng - Lọc gói tin dựa vào địa nguồn, địa đích số Port ( hay cổng), giao thức mạng - Người quản trị biết kẻ cố gắng để truy cập vào hệ thống mạng - Firewall hoạt động Proxy trung gian - Bảo vệ tài nguyên hệ thống mối đe dọa bảo mật - Cân tải: Bạn sử dụng nhiều đường truyền internet lúc, việc chia tải giúp đường truyền internet ổn định nhiều Phân loại thành phần firewall Hình Ảnh minh họa firewall Công việc firewall khó khăn, có nhiều liệu hợp pháp cần cấp phép cho vào máy tính kết nối mạng Ví dụ, truy cập vào trang web semtek.com.vn, đọc tin tức, blog thơng tin liệu trang web cần truyền từ tới máy thông qua mạng để hồn thành q trình Một firewall cần biết khác biệt lưu lượng hợp pháp với loại liệu gây hại khác Dựa nhu cầu sử dụng hệ thống mà Firewall phân thành loại bao gồm: a) Personal Firewall: Personal Firewall: Loại thiết kế để bảo vệ máy tính trước truy cập trái phép từ bên ngồi Bên cạnh Personal Firewall cịn tích hợp thêm tính theo dõi phần mềm chống virus, phần mềm chống xâm nhập để bảo vệ liệu Một số Personal Firewall thông dụng như: Microsoft Internet connection firewall, Symantec personal firewall, Cisco Security Agent… Loại Firewall thích hợp với cá nhân thơng thường họ cần bảo vệ máy tính họ, thường tích hợp sẵn máy tính Laptop, máy tính PC b) Network Firewall: Network Firewalls: Được thiết kế để bảo vệ host mạng trước cơng từ bên ngồi Chúng ta có Appliance-Based network Firewalls Cisco PIX, Cisco ASA, Juniper NetScreen firewall, Nokia firewalls, Symantec’s Enterprise Firewall Hoặc số ví dụ Software-Base firewalls include Check Point’s Firewall, Microsoft ISA Server, Linux-based IPTables Trong đó, hệ thống Network Firewall cấu tạo thành phần sau: Bộ lọc Packet (Packet- Filtering Router) Cổng ứng dụng ( Application-Level Gateway hay Proxy Server) Cổng mạch (Circuite Level Gateway) => Điểm khác loại Firewall số lượng host Firewall bảo vệ Bạn nhớ điều Personal firewall bảo vệ cho máy Network firewall lại khác, bảo vệ cho hệ thống mạng máy tính Các sản phẩm thực tế firewall Có loại, bao gồm: Firewall cứng (Appliance firewall), Firewall mềm (Software Firewall), Firewal tích hợp (Integrated Firewall) a) Appliance firewall (hay gọi Firewall cứng): Là firewall tích hợp router Hình Appliance Firewalls Đặc điểm Firewall cứng: • Không linh hoạt Firewall mềm: thêm chức năng, thêm quy tắc Firewall mềm • Firewall cứng hoạt động tầng thấp Firewall mềm (tầng Network tầng Transport) • Firewall cứng khơng thể kiểm tra nội dung gói tin Ưu điểm Nhược điểm - Cung cấp hiệu suất tổng thể tốt Nó khơng linh hoạt so với Firewall mềm hệ điều hành Firewall mềm khơng tích hợp firewall cứng thiết kế để tối thêm chức quy tắc ưu cho firewall firewall mềm Ví thấp so với Firewall mềm rác firewall mềm bạn - Tính bảo mật cao tổng chi phí dụ chức kiểm soát thư cần cài đặt chức ứng dụng, Firewall cứng địi hỏi bạn phải có thiết bị phần cứng hỗ trợ cho chức b) Software firewall (hay gọi Firewall mềm): Là firewall cài đặt server Hình Software Firewalls Đặc điểm Firewall mềm: • Tính linh hoạt cao: thêm, bớt quy tắc, chức • Firewall mềm hoạt động tầng cao Firewall cứng (Tầng Applycation) • Firewall mềm kiểm tra nội dung gói tin (thơng qua từ khóa) • Một số Firewall mềm thông dụng: Zone Alarm, Microsoft ISA Server 2006, Norton Firewall,… Ưu điểm Nhược điểm Firewall mềm thường đảm nhận nhiều Firewall mềm cài đặt vai trị firewall cứng, hệ điều hành khơng đóng vai trị DNS server hay thể loại trừ khả có lỗ hổng DHCP server hệ điều hành Khi lỗ Việc thay đổi nâng cấp thiết bị phần hổng phát bạn thực cứng tương đối dễ dàng nhanh cập nhật vá lỗi cho hệ chóng điều hành bạn nên nâng cấp vá cho Firewall luôn, khơng Firewall hoạt động khơng ổn định c) Integrated firewall (hay gọi Firewall tích hợp): Ngồi chức Firewall cịn đảm nhận chức khác ví dụ VPN, phát chống xâm nhập từ bên ngoài, lọc thư rác, chống lại virus… Ưu điểm Nhược điểm Sử dụng Firewall tích hợp đơn giản Việc tích hợp nhiều chức hóa thiết kế mạng cách giảm thiết bị dẫn đến lượng thiết bị mạng giảm chi việc khó khăn khắc phí quản lý, giảm gánh nặng cho phục cố chuyên viên quản trị, ngồi cịn tiết kiệm chi phí so với việc dùng nhiều thiết bị cho nhiều mục đích khác CHƯƠNG II: TÌM HIỂU VỀ FORTINET FIREWALL Giới thiệu: Đây hệ thống mạng, tích hợp nằm mạng LAN mạng Internet ngồi mạng WAN, luôn chạy để bảo vệ độ an toàn cho toàn hệ thống lúc nơi Tương tự Sonicwall firewall, tường lửa Fortinet hoạt động máy chủ kết nối Internet dạng phần mềm phần cứng Phần mềm cài đặt máy chủ, phần cứng người dùng phải mua Firewall, sau cài đặt để biến máy chủ thành thiết bị tường lửa Các tính bật Fortinet Firewall: Khả nhận dạng 7000 hình thức cơng & tự động cập nhật (push update) thông qua hệ thống khoảng 50 cụm server đặt khắp nơi tồn giới cơng Cho phép khách hàng khả tự định nghĩa hình thức Kiểm tra nội dung gói liệu mã hóa VPN (IPSec SSL) Hỗ trợ 50 loại protocol ứng dụng Cung cấp khả phịng chống ngăn chặn cơng thơng qua đội ngũ kỹ sư nghiên cứu phát triển Fortinet tồn cầu Chi phí đầu tư thấp (TCO) Fortinet tính license thiết bị (license per box) khơng tính license theo người dùng (license per user) Tính IPS Fortinet chứng nhận ICSALab, NSS AntiSpam: CLIENT STT LOẠI Mainboard RAM Màn hình CPU Nguồn Bộ bàn phím +Chuột Ổ cứng Tản nhiệt Vỏ case TÊN SẢN PHẨM Mainboard Asus PRIME H510M-K (LGA 1200 - m-ATX Form Factor - DDR4) RAM Kingston Fury 16 GB-DDR4-3200 MHz (KF432C16BB1/16) Màn hình Viewsonic VA2215-H/22 inch/FHD(1920 x 1080)/75Hz CPU Intel Core i3 - 10105 Nguồn máy tính Xigmatek X-Power III 350 (250W, 230V) Bộ bàn phím chuột Gaming Prolink GMK6001M Ổ cứng SSD Kingston SA400 240 GB 2.5" SATA - Đọc: 500 MB/s - Ghi: 350 MB/s (SA400S37/240G) Tản nhiệt khí Cooler Master Hyper 212 Spectrum V2 ARGB Vỏ case Xigmatek XA-22 TỔNG CỘNG: SL ĐƠN GIÁ (VNĐ) 1,990,000 1,590,000 2,590,000 2,890,000 600,000 790,000 650,000 1 399,000 299,000 12,158,000 VNĐ THIẾT BỊ MẠNG ST T LOẠI Firewall Fortinet TÊN SẢN PHẨM Firewall Fortinet FortiGate FG200E-BDL-950-12 18 x GE RJ45 ports Firewall FORTINET FG-200E-BDL-950-12 - 18 x GE RJ45 (including x WAN ports, x MGMT port, X HA port, 14 x switch ports) - x GE SFP slots - SPU NP6Lite and CP9 hardware accelerated - VPN support - Hardware plus 24x7 FortiCare and FortiGuard Unified (UTM) Router Wi-Fi Archer AX72 (Wi-Fi Gigabit Băng Tần Kép AX5400) SL ĐƠN GIÁ (VNĐ) 111,720,000 11 20,350,000 15,210,000 Wi-Fi Gigabit cho Truyền trực tuyến 8K Router Đầy đủ tính Wi-Fi Kết nối 100 thiết bị Phạm vi phủ sóng rộng HomeShield Nhiều lỗ thơng hơn, nóng Chia sẻ USB Switch Layer (48 port) Thiết lập dễ dàng Switch CISCO Catalyst 2960 WS-C2960+48TC-S – 48 Ethernet 10/100 ports and dual-purpose uplinks (each dual-purpose uplink port has