Các thông tin nhạy cảm về quốc phòng, thương mại là vô giá và không thể để lọt vào tay đối thủ cạnh tranh Trên thế giới đã có nhiều công trình nghiên cứu về lĩnh vực bảo mật, bảo vệ an t
Trang 1_ BQ GIAO DUC VA DAO TAO
TRUONG ĐẠI HỌC NGOẠI NGỮ - TIN HỌC THÀNH PHÓ HÒ CHÍ MINH
_ DOAN MON
HE DIU HANH MANG
CHU D 12: Xây dựng hệ thông tường lửa Linux Server
Trang 2TP HÒ CHÍ MINH, /08/2023 LOI CAM ON
Để có được đồ án này, em xin bày tỏ lòng biết ơn sâu sắc đến các thầy cô giáo trong trường Đại học Ngoại Ngữ - Tin Học TPHCM nói chung, khoa Công nghệ thông tin nói riêng, những người đã tận tình giảng dạy, truyền đạt cho em những kiến thức quý báu trong quá trình học tập và nghiên cứu đề tài
Em xin chân thành cảm ơn thầy giáo hướng dẫn -, bộ môn An Ninh Mạng khoa Công nghệ thông tin, trường Đại học Ngoại Ngữ - Tin Học TPHCM đã nhiệt tình hướng dẫn, chỉ bảo và cung cấp cho em nhiều kiến thức cũng như tài liệu quý trong suốt quá trình làm đồ án Nhờ sự giúp đỡ của thầy em mới có thể hoàn thành được đồ án này
Thông qua đồ án tốt nghiệp, em mong muốn có thể hệ thống hoá lại toàn bộ kiến thức đã học cũng như đưa giải pháp vật liệu và kết cấu mới vào triển khai cho công trình Do khả năng
và thời gian hạn chế, đồ án tốt nghiệp của em không thể tránh khỏi những sai sót Em rất mong nhận được sự chỉ dạy và góp ý của các thầy cô cũng như của các bạn sinh viên khác để có thể thiết kế được các công trình hoàn thiện hơn sau này
Em xin trân thành cảm ơn!
Trang 3LỜI NÓI ĐẦU
Trong những năm gần đây, việc tổ chức và khai thác mạng Internet rất phát triển Mạng Internet cho phép các máy tính trao đổi thông tin một cách nhanh chóng, thuận tiện Mọi đối tượng đều có thể sử dụng các dịch vụ và tiện ích của Internet một cách dễ dàng như trao đổi thông tin, tham khảo các thư viện tri thức đồ sộ của nhân loại Tại thời điểm hiện nay thì lợi ích của Internet là quá rõ ràng và không thể phủ nhận Nhưng một điều không may là đi kèm với nó là các nguy cơ mất an toàn thông tin trên Internet đang là một vấn đề hang đầu cản trở sự phát triển của Internet Bảo đảm an toàn an ninh không chỉ là nhu cầu riêng của các nhà cung cấp dịch vụ mà nó còn là nhu cầu của chính đáng của mỗi người sử dụng Các thông tin
nhạy cảm về quốc phòng, thương mại là vô giá và không thể để lọt
vào tay đối thủ cạnh tranh
Trên thế giới đã có nhiều công trình nghiên cứu về lĩnh vực bảo mật, bảo vệ an toàn thông tin trên mạng và kết quả chúng đã trở thành các sản phẩm thương mại như : Vista Firewall, ZoneAlarm Firewall, VPN-1/Firewall-1, SmoothWall, Astaro Tuy nhién mdi loại có những
ưu nhược điểm riêng,phát triển theo những hướng khác nhau Các sản phẩm này được xây dựng trên những nền hệ điều hành khác
nhau nhưng chủ yếu là Windows của Microsoft và hệ điều hành mã
nguồn mở Linux
Linux là hệ điều hành họ UNIX miễn phí dùng cho máy tính cá nhân đang được sử dụng rộng rãi hiện nay Hệ điều hành Linux đã thu những thành công nhất định Hiện nay Linux ngày càng phát triển,
Trang 4được đánh giá cao và thu hút nhiều sự quan tâm của các nhà tin học
Tại Việt Nam, mặc dù Internet mới chỉ trở lên phổ biến mấy năm gần
đây nhưng những vấn đề an toàn an ninh mạng cũng không là ngoại
lệ Mặc dù thực sự chưa có tổn thất lớn về kinh tế nhưng vẫn tiềm ẩn
trong đó rất nhiều nguy cơ mất an toàn Các cuộc tấn công vào hệ
thống của nhà cung cấp dịch vụ, xoá bỏ dữ liệu ngày một tăng Ở Việt Nam hiện nay chưa có sản phẩm Firewall thương mại nào của người Việt tạo ra Đặc biệt là sản phẩm Firewall được xây dựng trên nền hệ điều hành mã nguồn mở Linux
Do đó, muốn khai thác và sử dụng Internet thì vấn để an toàn an ninh phải được đặt lên hang đầu Có rất nhiều biện pháp khác nhau
để bảo vệ hệ thống chống lại các cuộc tấn công từ bên ngoài Một trong những biện pháp được áp dụng rộng rãi là sử dụng tường lửa - Firewall Thực tế đã cho thấy đây là một biện pháp đơn giản nhưng hiệu quả đạt được lại rất khả quan
Trang 5c Tính chất, nguyên lí hoạt động của Firewall - - - - 13
+ Ứng dụỤng: - - cm mm Km ky nu n ng Km nh ni ng 19
b Cài đặt, cấu hình Firewall -. ‹ -« «se sen sn cm cm ng mm nà 21
IV Đánh giá kết Quả - -.-.- «sàn nu mm mm nu my nY ng mm 22
V Tài liệu tham khảo -.-.-.-.-. cm my my my mm 23
PHIẾU CHẤM ĐIỂM MÔN THỊ VẤN ĐÁP - Sex sec 24
Trang 6I Giới thiệu đề tài
+ Linh hoạt và tùy chỉnh: Linux là một hệ điều hành mã nguồn mở, cho phép bạn tùy chỉnh và điều chỉnh firewall theo nhu cầu cụ thể của hệ thống và mạng Bạn có thể sử dụng các công cụ và phần mềm như iptables, nftables, UFW (Uncomplicated Firewall), firewalld
để xây dựng và quản lý firewall trên Linux server một cách linh hoạt + Hiệu suất cao và ổn định: Linux được biết đến với hiệu suất cao
và ổn định, điều này có ý nghĩa rằng firewall xây dựng trên Linux
server có thể hoạt động một cách hiệu quả và tin cậy Hơn nữa, Linux cũng hỗ trợ các tính năng tiên tiến như tăng tốc phần cứng (hardware acceleration) để gia tăng hiệu suất của firewall
+ Sự hỗ trợ từ cộng đồng: Linux có một cộng đồng người dùng rộng lớn, đầy kiến thức và kinh nghiệm về bảo mật Bạn có thể tìm kiếm
hỗ trợ, tài liệu và các nguồn thông tin từ cộng đồng Linux để giúp bạn xây dựng và quản lý firewall trên Linux server
+ Giá thành và sự phổ biến: Linux là một hệ điều hành mã nguồn
mở và miễn phí, điều này giúp giảm chỉ phí cho việc triển khai và
duy trì hệ thống Hơn nữa, Linux đã trở thành một lựa chọn phổ biến
Trang 7trong lĩnh vực máy chủ và mạng, điều này đồng nghĩa với việc có nhiều nguồn nhân lực và kiến thức sẵn có để hỗ trợ trong việc xây dựng firewall trên Linux server
- Tóm lại, xây dựng firewall trên Linux server là một đề tài hấp dẫn vì
nó cung cấp sự bảo mật, linh hoạt, hiệu suất cao, hỗ trợ từ cộng đồng và có giá thành hợp lý
b Phạm vi và giới hạn của đề tài
- Dé tài "Xây dựng firewall trên Linux server" tập trung vào triển khai và cấu hình một hệ thống firewall trên một máy chủ Linux Đây là một đề tài rộng và có thể nghiên cứu chỉ tiết trong nhiều khía cạnh Dưới đây là một số phạm vi và giới hạn phổ
biến của đề tài này:
+ Phạm vi:
* Tìm hiểu về các công nghệ firewall: Nắm vững các khái niệm cơ bản về firewall, quy tắc lọc gói tin, các công nghệ firewall phổ biến như iptables, nftables, firewalld, và iptables chains
* Thiết lập và cấu hình một hệ thống firewall: Tìm hiểu cách cài đặt và cấu hình firewall trên Linux server, bao gồm việc định nghĩa
các quy tắc lọc gói tin, xác định các nguyên tắc bảo mật và xây
dựng chính sách truy cập
* Kiểm tra và giám sát firewall: Tìm hiểu về cách kiểm tra hiệu
suất và tính hiệu quả của firewall, giám sát và theo dõi lưu lượng
mạng, và cách đảm bảo rằng các quy tắc và chính sách của firewall
được áp dụng đúng
+ Giới hạn:
* Phạm vi hệ điều hành: Tập trung vào việc xây dựng firewall trên
hệ điều hành Linux Một số bản phân phối Linux phổ biến như
Trang 8Ubuntu, CentOS hoặc Debian có thể được sử dụng làm nền tảng cho nghiên cứu
* Phạm vi công nghệ firewall: Tùy thuộc vào sự lựa chọn của bạn,
đề tài có thể tập trung vào một công nghệ cụ thể như iptables, nftables hoặc firewalld Nếu chọn iptables, có thể nghiên cứu về các chains, tables, và các quy tắc phổ biến
* Môi trường thử nghiệm: Giới hạn của đề tài có thể xác định bởi
môi trường thử nghiệm Ví dụ, nếu sử dụng một máy chủ thử nghiệm đơn lẻ, thì phạm vi nghiên cứu sẽ giới hạn hơn so với việc triển khai một hệ thống firewall trên mạng lưới phức tạp
c Mục tiêu đạt được
- _ Khi xây dựng một firewall trên Linux, mục tiêu chính là đảm bảo bảo mật mạng và hệ thống thông qua việc kiểm soát và giám sát lưu lượng mạng Dưới đây là những mục tiêu cụ thể
mà một firewall trên Linux thường đạt được:
e _ Bảo vệ mạng: Mục tiêu hàng đầu của firewall là bảo vệ mạng khỏi các mối đe dọa bên ngoài Nó ngăn chặn các tấn công từ mạng bên ngoài, bao gồm các cuộc tấn công từ internet như tấn công DDoS, tấn công đánh cắp dữ liệu, và các cuộc tấn công khác
se Kiểm soát truy cập: Firewall cho phép quản trị viên mạng thiết lập các quy tắc kiểm soát truy cập vào và ra khỏi mạng Nhờ
đó, người dùng chỉ có thể truy cập vào các dịch vụ, ứng dụng
và tài nguyên cần thiết và được phép sử dụng
se Chống DoS và DDoS: Firewall có thể giúp ngăn chặn các cuộc tấn công từ chối dịch vụ (DoS) và tấn công từ chối dịch vụ phân tán (DDoS) bằng cách hạn chế lưu lượng truy cập đến mạng và máy chủ
e Phat hién và ngăn chặn các hành vi đáng ngờ: Firewall có thể được cấu hình để phát hiện và ngăn chặn các hành vi đáng ngờ như quét cổng, quét mạng, và các hoạt động không bình thường trên mạng
Trang 9» Quản lý chuyển tiếp gói tin (Packet forwarding): Firewall co thé chuyển tiếp các gói tin giữa các mạng con hoặc các giao diện mạng khác nhau trong mạng nội bộ
e¢ Quan ly NAT (Network Address Translation): Firewall có thể cung cấp NAT để ẩn địa chỉ IP thực của các máy chủ trong mạng nội bộ, giúp bảo mật và cải thiện sự riêng tư
e Ghi lai va phân tích log: Firewall có khả năng ghi lại các sự kiện quan trọng về lưu lượng mạng, giúp giám sát và phân tích các hoạt động trên hệ thống, hỗ trợ quá trình điều tra và phân tích sau sự cố
Cơ sở lý thuyết
a Định nghĩa Firewall
- Firewall la mét phan mềm hay thiết bị phần cứng hoặc sự kết hợp giữa chúng được thiết kế với mục đích : chống lại những rủi ro, nguy hiểm từ phía ngoài vào mạng nội bộ Nó thường được đặt giữa mạng nội bộ mà ta cần bảo vệ với mạng Internet
và thực hiện ngăn cấm một số lưu thông mạng
Trang 10các luồng thông tin, từ đó đưa ra các quyết định cho phép hay
không cho phép Cho phép hay không cho phép ở đây là dựa trên chính sách an ninh do người quản trị Firewall đặt ra
b Cac loai Firewall
- _ Những loại Firewall phổ biến hiện nay:
e Iptables
Iptables là hệ thống firewall tiêu chuẩn được tích hợp trong hầu hết
hệ điều hành Linux Iptables theo dõi luồng dữ liệu vào ra các interface, lọc gói dựa vào các thông tin của header tại các tầng của Data link, Network, Transport của mô hình OS
Iptables không có giao diện cấu hình, bản thân nó là các dòng lệnh theo một ruler riêng được qui ước, nếu bạn là một quản trị hệ thống
Linux thì việc cấu hình thông thạo Iptables là điều bắt buộc
Nguyên tắc hoạt động của Ipbales là thiết lập các ruler cho phép, chặn các gói tin phù hợp với các ruler Iptables hoạt động rất ổn định nên bạn chỉ cần cấu hình rùi quên nó đi và để cho nó tự hoạt động
Trang 11e Monowall
Monowall được tối ưu hóa và thiết kế để chạy trên các thông số kỹ
thuật máy tính thấp nhất - tất cả những gì nó cần là dung lượng lưu trữ 16 MB Tuy nhiên, bạn phải trả giá cho hiệu suất này - nó là một bức tường lửa trần trụi, có nghĩa là nó cũng không có nhiều tính năng
3 m0n0wall webGUI - Microsoft Internet Explorer
| File Edt View Favorites Tools Help |
| @Bak v = - @ 12) A) search (ajravortes GFmeda —$| SÀ> <ý Si v =]
| Address ja http:/Jf _ .st/index.php zi @so |
3:56PM up 7 days, 0 users, load averages: 0,00, 0,00, 0.00
Quá trình phát triển tích cực của Monowall đã bị ngừng kể từ tháng
2015 năm XNUMX, nhưng nó vẫn có sẵn để tải xuống
Trang 12e Zantyal
Zentyal không phải là một tường lửa cụ thể - ban đầu nó được thiết
kế như một máy chủ email, nhưng cuối cùng còn làm được nhiều việc hơn thế Zentyal có thể được sử dụng như một máy chủ kinh doanh chính thức, có nghĩa là nó cũng đóng gói một bức tường lửa cực kỳ linh hoạt của riêng mình
Zentyal dựa trên Ubuntu Server LTS, vì vậy về cơ bản bạn đang cài đặt một hệ điều hành khi cài đặt Zentyal Điều này cũng có nghĩa là bạn thực tế có thể làm mọi thứ bạn có thể trên Ubuntu Zentyal về
cơ bản có thể là một máy chủ chính thức với mọi thứ bạn cần để
Trang 13e ClearOS
ClearOS được xây dựng dựa trên CentOS, và giống như Zentyal, nó cũng có thể phục vụ nhiều hơn một bức tường lửa
Điều làm cho ClearOS trở nên đặc biệt là giao diện của nó - rõ ràng
là rất nhiều người đã chú ý đến việc làm cho nó đơn giản nhất có
thể Tuy nhiên, sự đơn giản của nó không có nghĩa là nó thiếu sự phức tạp - nó phức tạp và đòi hỏi bạn phải biết mình đang làm gì
Se ụ
Đối với người dùng mới làm quen, ClearOS có thể rất đơn giản để
thiết lập Đối với người dùng nâng cao, ClearOS có thể cung cấp bất
kỳ tính năng nào mà họ có thể yêu cầu Mọi thứ đều đơn giản với ClearOS - ngay cả việc cài đặt
se Squid
Squid là một chương trình Internet proxy-caching có vai trò tiếp nhận các yêu cầu từ các clients va chuyển cho Internet server thích hợp Đồng thời, nó cũng lưu lại trên đĩa những dữ liệu được trả về từ Internet server gọi là caching
Trang 14Tường lửa phần mềm: Iptables là một tường lửa phần mềm, điều này
nghĩa là nó chạy dưới dạng phần mềm trên hệ điều hành Linux, không cần thiết phần cứng riêng biệt
Luật lọc và chuyển hướng: Iptables cho phép người dùng xác định các luật lọc và chuyển hướng gói tin dựa trên nhiều tiêu chí như địa chỉ IP nguồn/đích, cổng, giao thức, trạng thái kết nối, v.v
Stateful Packet Inspection (SPI): Iptables hỗ trợ SPI, cho phép nó kiểm tra trạng thái của các kết nối mạng Điều này giúp xác định các gói tin liên quan đến các kết nối đã thiết lập trước đó và cho phép các gói tin này đi qua theo các quy tắc cho phép, giúp ngăn ngừa
các tấn công từ mạng bên ngoài
Chuyển đổi địa chỉ IP (NAT): Iptables có thể được cấu hình để thực
hiện chuyển đổi địa chỉ IP (Network Address Translation), giúp ẩn địa chỉ IP thực của máy chủ đằng sau nó và hỗ trợ chia sẻ kết nối internet
Nguyên lý hoạt động của Iptables:
Nguyên lý hoạt động của Iptables dựa vào các bảng và chuỗi
(chains) để quyết định xử lý gói tin Có ba bảng chính: