Đồ án tốt nghiệp đại học: BẢO MẬT MẠNG MÁY TÍNH & FIREWALL ______________________________________________________________________ Đồ án tốt nghiệp Bảo mật mạng máy tính và Firewall ________________________________________________________________ Sinh viên thực hiện: unname Lớp: Điện tử 1 –K48 1 Đồ án tốt nghiệp đại học: BẢO MẬT MẠNG MÁY TÍNH & FIREWALL ______________________________________________________________________ MỤC LỤC Hình 4.2.b: Stateful Firewall Hình4.2.c: Deep Packet Layer Firewall Hình 4.2.1b: B trí NetScreen Firewall.ố 4.2.2Ph n m m Check Point Firewallsầ ề Network-based IDSs l ph n to n b c a pha ki m tra c a chính sách à ầ à ộ ủ ể ủ b o m t. Network-based IDS l s phát tri n c a s ki m tra th i gian ả ậ à ự ể ủ ự ể ờ th c ki m tra t i các v trí t n t i trong c u trúc h t ng m ng. Ki m ự ể ạ ị ồ ạ ấ ạ ầ ạ ể tra n y g i l network sensors, phân tích ng truy n v phát hi n à ọ à đườ ề à ệ các tác ng không xát th c nh các tác ng nguy h i. Ph thu c v ođộ ự ư độ ạ ụ ộ à các chi m l c t n công t ch c c l a ch n, ki m tra các tác ng ế ượ ấ ổ ứ đượ ự ọ ể độ thích h p mang l i.ợ ạ M t trong nh ng u i m chính c a vi c tri n khai h th ng Network-ộ ữ ư để ủ ệ ể ệ ố based trên h th ng host-based l th c t m qu n lý m ng có kh ệ ố à ự ế à ả ạ ả n ng ti p t c ki m tra m ng c a nó không ph i vi c l m thê n o ă ế ụ ể ạ ủ ả ệ à à để m ng phát tri n.vi c c ng thêm các host không c n thi t yêu c u ạ ể ệ ộ ầ ế ầ thêm các network-based intrusion sensors. Các c u trúc v th nh ph n c a Network sensors.ấ à à ầ ủ Network IDS có 2 giao di n, nó l i n hình k t n i t i các segments ệ àđể ế ố ớ khác nhau c a m ng c a t ch c. M t l ki m tra các port l áp ng ủ ạ ủ ổ ứ ộ à ể àđ ứ i v i vi c b t d li u i v i vi c phân tích. Ki m tra c ng c k t đố ớ ệ ắ ữ ệ đố ớ ệ ể ổ đượ ế n i t i các o n m ng m có kh n ng m c tiêu c k t n i nh web ố ớ đ ạ ạ à ả ă ụ đượ ế ố ư servers, mail servers C ng th 2 l th ng c tham chi u t i các … ổ ứ à ườ đượ ế ớ c ng l nh v c ng i u khi n nó áp ng vi c gây ra c nh báo t i ổ ệ à ổ đề ể đ ứ ệ ả ớ flatform qu n lý.Gi ng nh host-based Cisco Secure Agent Manager, ả ố ư flatform n y c dùng c u hình network sensors truy nh p v à đượ để ấ ậ à hi n th c nh báo v các báo cáo chung c a yêu c u.ể ị ả à ủ ầ Hình 5.1.3.1T ng quan v Network-Based IDSổ ề T quan i m v c u trúc, network-based có 3 th nh ph n khác nhau: ừ để ề ấ à ầ network sensor, director v k thu t giao ti p 2 ph n trên.à ỹ ậ ế ầ Hình 5.1.3.1b. Ki n trúc Network-Based IDSế Network-based IDS sensor ch y trên Linux v có nhi u th nh ph n v ạ à ề à ầ à m i k t n i bên trong v i u khi n x lý khác nhau. M t trong nh ng ỗ ế ố àđề ể ử ộ ữ th nh ph n chính l cidWebServer . Web server c dùng các à ầ à đượ servlets khác nhau cung c p các d ch v . cidWebServer giao ti p đẻ ấ ị ụ ế cùng các tr ng thái c a server, s th c hi n server v IP log server ạ ủ ự ự ệ à servlets c dùng Remote Data Exchange Protocol (RDEP). RDEP đượ ph c v nh các giao th c giao ti p c a các sensor.ụ ụ ư ứ ế ủ Network IDSs c phát tri n b i vì khi s phát tri n l lên k ho ch đượ ể ở ự ể à ế ạ c n th n t i các i m thi t k , các m ng qu n lý, các t ch c b o m t ẩ ậ ạ để ế ế ạ ả ổ ự ả ậ có th ki m tra d li u.Khi s ki m tra c th c hi n d li u ch angể ể ữ ệ ự ể đượ ự ệ ữ ệ ỉ đ c truy n trong m ng.B i v y các nh qu n lý có c h i tác ngđượ ề ạ ở ậ à ả ơ ộ để độ v o t i kho n m không c n bi t chính xác ích t n công l gì b i vìà à ả à ầ ế đ ấ à ở các IDS ki m tra ho n th nh t ng o n m t.ể à à ừ đ ạ ộ M t s các b c v nhi m v c n l khi tri n khai các network sensor ộ ố ướ à ệ ụ ầ à ể trong m ng c a b n. Vi c c i t các network sensor yêu c u có k ạ ủ ạ ệ à đặ ầ ế ho ch tr c khi có tác ng k t n i các sensors t i m ng. ó l nhi m ạ ướ độ ế ố ớ ạ Đ à ệ ________________________________________________________________ Sinh viên thực hiện: unname Lớp: Điện tử 1 –K48 2 Đồ án tốt nghiệp đại học: BẢO MẬT MẠNG MÁY TÍNH & FIREWALL ______________________________________________________________________ v c a nh qu n lý b o m t m ng xác nh rõ ng truy n c n gì ụ ủ à ả ả ậ ạ để đị đườ ề ầ c hi n th t i vi c b o v t t c các t i nguyên c a t ch c.đượ ể ị ớ ệ ả ệ ấ ả à ủ ổ ứ Khi lên k ho ch cho vi c t các IDS, nh qu n lý m ng ph i tính ế ạ ệ đặ à ả ạ ả n s l ng v ph c t p c a m ng k t n i v i m ng khác v t ng đế ố ượ àđộ ứ ạ ủ ạ ế ố ớ ạ à ổ s v ki u ng truy n trong m ng. Sau khi l a ch n các thông tin óố à ể đườ ề ạ ự ọ đ v bi t c thông tin gì c b o v , v trí v ki u sensor c xác à ế đượ đượ ả ệ ị à ể đượ nh. Các sensor c t mi n inside ph i có tránh nhi m khác v i đị đượ đặ ở ề ả ệ ớ các sensor t mi n outside:đặ ở ề Hình 5.1.3.1c B trí Network-Based IDS Sensorố Hi n nay t t c các nh qu n lý m ng u quan tâm n v n b o ệ ấ ả à ả ạ đề đế ấ đề ả m t m ng v i cái nhìn ti p t c xây d ng x lý thông qua các chính ậ ạ ớ ế ụ ự ử sách b o m t m ng. X lý n y l ph ng th c 4 b c bao g m: b o ả ậ ạ ử à à ươ ứ ướ ồ ả m t h th ng (secure the system), ki m tra m ng (monitor the ậ ệ ố ể ạ network), ki m tra hi u qu c a các gi i pháp v c i thi n các tri n ể ệ ả ủ ả à ả ệ ể khai b o m t.ả ậ Host IDS có th mô t b ng cách phân ph i các agent t p trung trong ể ả ằ ố ậ m i server c a m ng hi n th các tác ng c a m ng trong th i gianỗ ủ ạ để ể ị độ ủ ạ ờ th c.Host IDS xác nh ph m vi b o m t v có th c u hình m ự đị ạ ả ậ à ể ấ đề à các áp ng t ng c ng n ch n t n công t các nguyên nhân các đ ứ ựđộ đượ ă ặ ấ ừ m i nguy hi m tr c khi nó t n công v o h th ng.ố ể ướ ấ à ệ ố C u trúc v các th nh ph n c a Host sensorấ à à ầ ủ Cisco IDS sensor có hai th nh ph n chính:à ầ Cisco Secure Agent Cisco secure Agent l ph n m m b t gói tin c ch y trên m i server à ầ ề ắ đượ ạ ỗ riêng bi t ho c trên workstation b o v ch ng l i các k t n công.ệ ặ để ả ệ ố ạ ẻ ấ Cisco IDS sensor cung c p các phân tích th i gian th c v tác ng trấ ờ ự à độ ở l i các t n công xâm nh p. Host sensor x lý v phân tích m i v m i ạ ấ ậ ử à ỗ à ọ yêu c u t i h i u h nh v các giao di n ch ng trình ng d ng v ầ ớ ệđ ề à à ệ ươ ứ ụ à phòng ch ng các host n u c n thi t. Các agent ó có th i u khi n t tố ế ầ ế đ ểđề ể ấ c các tr ng thái trong các files, các b m c a m ng, vi c ng ký ả ạ ộđệ ủ ạ ệ đă v truy nh p COM. C u trúc c a Cisco secure Agent l c u trúc các à ậ ấ ủ à ấ ph ng ti n lu t l ánh ch n c a b o m t agent INCORE (Security ươ ệ ậ ệđ ặ ủ ả ậ Agent’s Intercept Correlate rules engine architecture). Các Host sensor Agent c c i t h i u h nh. Các ph n m m n y đượ à đặ ệđề à ầ ề à c ch y cùng h i u h nh s b o v c m b o chính h đượ ạ ệđ ề à đề ự ả ệđượ đả ả ệ i u h nh ó. Các agents b o v các hosts ch ng l i các t n công cđề à đ ả ệ ố ạ ấ đượ b t u thông qua m ng v c ng b o v ch ng l i các t n công các tácắ đầ ạ à ũ ả ệ ố ạ ấ ng nguy hi m c a ng i dùng ng i m log v o h i u h nh, web độ ể ủ ườ ườ à à ệđề à v các lu t FTP. C s d li u ch a ng các tham s chính sách b o à ậ ơ ở ữ ệ ứ đự ố ả m t, các xác nh ng i dùng ngo i l v danh sách các ng d ng ậ đị ườ ạ ệ à ứ ụ c b o v .đượ ả ệ Hình 5.1.3.2a: C u trúc c a Host Sensor Agentấ ủ Chúng ta u th a nh n r ng s t n công l m h i n các d ch v đề ừ ậ ằ ự ấ à ạ đế ị ụ thông tin Internet (IIS) trong web server.Các agent core d oán lu ng ựđ ồ d li u n theo các lu t FTP chúng c l u tr trong Rules engine, ữ ệ đế ậ đượ ư ữ các ng d ng cho chính sách v các thông s ngo i l . N u các h nh ứ ụ à ố ạ ệ ế à ng nguy hi u c phát hi n, các tác ng thích h p c xác nh độ ể đượ ệ độ ợ đượ đị rõ. Nh qu n lý Cisco Secure Agent:à ả ________________________________________________________________ Sinh viên thực hiện: unname Lớp: Điện tử 1 –K48 3 Đồ án tốt nghiệp đại học: BẢO MẬT MẠNG MÁY TÍNH & FIREWALL ______________________________________________________________________ Cisco secure Agent manager ch u tránh nhi m trong vi c qu n lý Ciscoị ệ ệ ả secure Agent v vi c giao ti p t các agent. Cisco secure Agent à ệ ế ừ manager cung c p các ch c n ng qu n lý i v i t t c các agent trongấ ứ ă ả đố ớ ấ ả ki u ki m soát. Nó c ng c c u th nh t các thông báo c a ể ể ũ đượ ấ à ừ ủ t chuwcs b o m t trong tr ng h p t n công v các báo cáo chung. ổ ả ậ ườ ợ ấ à Các phiên qu n lý n y c dùng các k thu t mã hóa d li u l thi t ả à đượ ỹ ậ ữ ệ à ế th c, kín áo v an to n. Cisco secure Agent manager có 3 th nh ph nự đ à à à ầ chính: Giao di n h a ng i dung (GUI), server, các c nh báo ng iệ đồ ọ ườ ả ườ i u khi n. C hai GUI v server u c link t i c s d li u n i đề ể ả à đề đượ ớ ơ ở ữ ệ ơ m các thông tin c u hình c l u tr .à ấ đượ ư ữ Các agents c k t n i tr c ti p v i server.Khi agent g i c nh báo t i đượ ế ố ự ế ớ ử ả ớ server, server cung c p các ch d n ng i i u khi n m t cách c n th nấ ỉ ẫ ườ đề ể ộ ẩ ậ t t c các yêu c u chú thích c u hình nh e-mail v trang chú thích.ấ ả ầ ấ ư à S tri n khai HIDS trong m ng:ự ể ạ S phát tri n c a các Host-based IDS thông qua các th ch c m ng ự ể ủ ổ ứ ạ yêu c u các thi t k thông qua r t t t.ầ ế ế ấ ố V n c b n l xác nh nh ng gì trong chính sách b o m t c a cácấ đề ơ ả à đị ữ ả ậ ủ công ty, nh thi t k c áp ng nh n ra v quy t nh h th ng n o à ế ếđượ đ ứ ậ à ế đị ệ ố à c b o v . To n v n i t ng trong phase thi t k xác nh các ki uđượ ả ệ à ẹ đố ượ ế ế đị ể h th ng khác nhau: l servers UNIX hay Windows platforms, chúng ệ ố à ta c n b o v ch server hay chúng ta lo l ng v máy tính laptop t t ầ ả ệ ỉ ắ ề ố nh desktopư … Hình 5.1.3.2b Tri n khai Host IDSể Vi c xem xét s quan tr ng trong phase thi t k l s giao ti p qu n lýệ ự ọ ế ế à ự ế ả IDS. Các agents giao ti p v i các Agent Manager trên port TCP c ế ớ đặ bi t. i u n y tr nên quan tr ng khi các agents c trú trong m ng ệ Đề à ở ọ ư ạ khác trong m ng Agent Manager. i u c bi t ó úng v i các ạ Đề đặ ệ đ đ ớ agents ch y trong mi n DMZ hay trong nhánh hay remote home ạ ề office. Các k ho ch chung i v i h t ng công ty l s phát tri n các web ế ạ đố ớ ạ ầ à ự ể server, các mail server, DNS (domain name system), FTP v các agentsà khác trong m ng DMZ. ng truy n t i v t các agents ch y trong ạ Đườ ề ớ à ừ ạ các server ó t i các Agents Manager c cho phép thông qua đ ớ đượ firewall. i v i mote offices hay home offices, VPN v IPSec c ng c tính Đố ớ à ũ đượ toán n khi thi t k kênh giao ti p qu n lý gi a các agent v Agent đế ế ế ế ả ữ à Manager. H th ng phát hi n xâm nh p HIPS l m t lo i k thu t t ng i m i ệ ố ệ ậ à ộ ạ ỹ ậ ươ đố ớ trong th tr ng b o m t. Ngay t ng y u, nó ã có nhi u l i ích ị ườ ả ậ ừ à đầ đ ề ợ c ch p thu n v s s d ng v c d oán l s phát tri n nhanh đượ ấ ậ à ự ử ụ àđượ ựđ à ẽ ể chóng trong t ng lai. M c dù có c l i th ó, song lo i thi t b n yươ ặ đượ ợ ếđ ạ ế ị à không c xác nh rõ r ng h n các k thu t c thi t l p nh đượ đị à ơ ỹ ậ đượ ế ậ ư firewall v antivirus. Các t i li u k thu t còn m h , các thu t ng à à ệ ỹ ậ ơ ồ ậ ữ m h v s phát tri n s n ph m nhanh chóng l m o l n th tr ng ơ ồ à ự ể ả ẩ à đả ộ ị ườ t i i m m th t l khó xác nh các s n ph m th c s l h th ng ớ để à ậ à để đị ả ẩ ự ự à ệ ố phát hi n xâm nh p HIPS (Host Intrusion Prevention Systems).ệ ậ 5.2.3.2.a Các kh n ng c a h th ng ng n ch n xâm nh p t máy ả ă ủ ệ ố ă ặ ậ ừ ch (HIPS):ủ ________________________________________________________________ Sinh viên thực hiện: unname Lớp: Điện tử 1 –K48 4 Đồ án tốt nghiệp đại học: BẢO MẬT MẠNG MÁY TÍNH & FIREWALL ______________________________________________________________________ LỜI NÓI ĐẦU Máy tính và mạng máy tính có vai trò hết sức quan trọng trong cuộc sống ngày nay. Ngày nay trong bất kỳ lĩnh vực nào cũng cần đến máy tính, máy tính rất hữu ích với chúng ta. Chính nhờ có máy tính và sự phát triển của nó đã làm cho khoa học kỹ thuật phát triển vượt bậc, kinh tế phát triển nhanh chóng và thần kỳ. Cùng với sự ra đời và phát triển của máy tính và mạng máy tính là vấn đề bảo mật thông tin, ngăn chặn sự xâm phạm và đánh cắp thông tin trong máy tính và thông tin cá nhân trên mạng máy tính khi mà ngày càng có nhiều hacker xâm nhập và phá huỷ dữ liệu quan trọng làm thiệt hại đến kinh tế của công ty nhà nước. Được sự hướng dẫn nhiệt tình và chu đáo của cô giáo Đỗ Đình Hưng em đã tìm hiểu và nghiên cứu đồ án tốt nghiệp: “Bảo mật mạng máy tính và Firewall”. Đồ án ________________________________________________________________ Sinh viên thực hiện: unname Lớp: Điện tử 1 –K48 5 Đồ án tốt nghiệp đại học: BẢO MẬT MẠNG MÁY TÍNH & FIREWALL ______________________________________________________________________ trình bày những vấn đề tổng quan về bảo mật mạng, firewall, giới thiệu về IDS, IPS - hai hệ thống bảo vệ mạng hiệu quả hiện nay. Do nội dung đồ án rộng và bao gồm nhiều kiến thức mới mẻ, thời gian và kiến thức còn hạn chế, việc nghiên cứu chủ yếu dựa trên lý thuyết nên chắc chắn đề tài không tránh khởi những thiếu sót. Em rất mong nhận được sự đóng góp ý kiến của thầy cô giáo và bạn bè. Với lòng biết ơn sâu sắc, em xin chân thành cảm ơn thầy Đỗ Đình Hưng cùng các thầy cô giáo trong khoa Điện Tử - Viễn Thông trường Đại Học Bách Khoa Hà Nội và các anh trong phòng kỹ thuật trong công ty Cổ phần công nghệ Sao Bắc Đẩu đã nhiệt tình hướng dẫn giúp đỡ em hoàn thành đợt thực tập này. Cuối cùng xin cảm ơn bạn bè, người thân đã luôn bên tôi, kịp thời động viên và giúp đỡ tôi trong thời gian vừa qua. Em xin chân thành cảm ơn ! Hà Nội, tháng 5 năm 2008 Sinh viên Trần Quang Dũng Tóm tắt đồ án Tên đồ án: Bảo mật mạng máy tính & Firewalls Với mục đích tìm hiểu về mạng máy tính và các vấn đề về bảo mật mạng, các cách đảm bảo an ninh mạng như Firewall, IDS, IPS. Đồ án gồm hai phần chính: Phần I: Tổng quan về mạng máy tính. Phần II: Các chính sách bảo mật mạng. Đồ án chia thành 6 chương: Chương 1: Giới thiệu về máy tính và mạng máy tính. Giới thiệu cấu trúc máy tính và tổng quan về mạng máy tính, các đặc trưng, phân loại và một số mạng máy tính thông dụng hiện nay. Chương 2: Chuẩn hóa mạng máy tính. ________________________________________________________________ Sinh viên thực hiện: unname Lớp: Điện tử 1 –K48 6 Đồ án tốt nghiệp đại học: BẢO MẬT MẠNG MÁY TÍNH & FIREWALL ______________________________________________________________________ Giới thiệu tại sao cần chuẩn hóa mạng, mô hình tham chiếu 7 lớp OSI, các giao thức mạng TCP/IP cũng như giới thiệu tổng quan về mạng Internet. Chương 3: Tổng quan về bảo mật mạng. Giới thiệu tổng quan về bảo mật mạng, các hình thức tấn công, các mức độ bảo mật, các biện pháp bảo vệ và kế hoạch thiết kế chính sách bảo mật mạng. Chương 4: Tổng quan về Firewall. Giới thiệu tổng quan về Firewall chức năng, phân loại firewall, các kiểu kiến trúc và các thành phần của firewall. Chương 5: Tổng quan về hệ thống IDS và hệ thống IPS. Giới thiệu tổng quan về hai hệ thống pháp hiện xâm nhập và ngăn chặn xâm nhập, định nghĩa, chức năng,vai trò thành phần và phân loại của chúng. Chương 6: Mô phỏng hệ thống Firewall. Xây dựng hệ thống Firewall được dùng rộng rãi trong thực tế. Các phần mềm sử dụng và các cách thức tiến hành mô phỏng. Summary of final year project Final year project’name: Computer network security and firewall For learning purpose about computer network and issue of network security, protections of netowrk security such as Firewall, IDS(instrusion detection system) and IPS(Instrusion prevention system). Project include 2 main part: Part I: Computer network overview. Part II: Network security Prolicies. This project is individed 6 chapters: Chapter 1: Introduction to computer and computer network. Introduction computer architechture and computer network overview, characters, indivision and some common computer network now. ________________________________________________________________ Sinh viên thực hiện: unname Lớp: Điện tử 1 –K48 7 Đồ án tốt nghiệp đại học: BẢO MẬT MẠNG MÁY TÍNH & FIREWALL ______________________________________________________________________ Chapter 2: Standard computer network. Introduction to why standard network is needed, 7layer OSI reference model, TCP/IP protocols, like introduction tion Internet network overview. Chapter 3: Network security overview. Network security overview, method of attracks, security levels, method of security and plan design network security prolicies. Chapter 4: Firewall overview. Introduction to characters of Firewall overview, division of Firewall, architectures mode and mebers of Firewall. Chapter 5: IDS and IPS overview. Introduction to IDS and IPS overview, definition, feature, role, element and indivision of them. Chapter 6: Simulation Firewall System. Build Firewall system that is use wide in fact. Sofwares are use and methods proccess simulation. CÁC HÌNH VẼ SỬ DỤNG TRONG ĐỒ ÁN Hình 1.1.1a: Cấu trúc tổng quát của máy tính 14 Hình 1.1.1b: Bộ xử lý trung tâm của máy tính (CPU) 15 Hình 1.1. 1c: Đơn vị điều khiển của CPU 16 Hình 1. 1.2: Các chức năng cơ bản của máy tính 17 Hình 1.2. 1: Mạng máy tính với bộ tiền xử lý 18 Hình 1.2.4.3.1: Mạng hình sao (Star) 25 Hình 1.2.4.3.2: Mạng hình vòng (Ring) 26 Hình 1.2.4.3.3: Mạng trục tuyến tính (Bus) 26 Hình 1.2.4.3.4: Mạng vô tuyến – Satellite (Vệ tinh) hoặc Radio 27 ________________________________________________________________ Sinh viên thực hiện: unname Lớp: Điện tử 1 –K48 8 Đồ án tốt nghiệp đại học: BẢO MẬT MẠNG MÁY TÍNH & FIREWALL ______________________________________________________________________ Hình 1.2.4.3.5: Mạng kết nối hỗn hợp 28 Hình 1.2.5.2: Mạng diện rộng với kết nối LAN to LAN 30 Hình 2.2.2: Mô hình tham chiếu OSI 7 lớp 33 Hình 2. 2.4: Quá trình truyền dữ liệu trong mô hình OSI 36 Hình 2.3.1.1a: Mô hình OSI và mô hình kiến trúc của TCP/IP 38 Hình 2.3.1.1.b: Cấu trúc dữ liệu tại các lớp của TCP/IP 39 Hình 2.3.1.2.1a: Cách đánh địa chỉ TCP/IP 40 Hình 2.3.1.2.1b: Bổ sung vùng subnetid 41 Hình 2.3.1.2a: Cấu trúc gói dữ liệu TCP/IP 42 Hình 2.3.1.2.2c: Cổng truy nhập dịch vụ TCP 43 Hình 2.3.1.3: Dùng các gateway để gửi các gói dữ liệu 44 Hình 3.1 Sơ đồ mạng thông dụng hiện nay 48 Hình 3.3 Các mức độ bảo mật mạng 50 Hình 4.2.a: Stateless Firewall 63 Hình 4.2.b: Stateful Firewall 64 Hình 4.2.c: Deep Packet Layer Firewall 64 Hình 4.2.1a: Giao diện PIX 65 Hình 4.2.1b: Bố trí NetScreen Firewall 66 Hình 4.3.1: Sơ đồ kiến trúc Dual–homed Host 67 Hình 4.3.2: Sơ đồ kiến trúc Screened Host 69 Hình 4.3.3: Sơ đồ kiến trúc Screened Subnet Host 70 Hình 4.4.1: Sơ đồ làm việc của Packet Filtering 72 Hình 4.4.2: Kết nối giữa người dùng (Client) với Server qua Proxy 74 Hình 4.4.3: Kết nối qua cổng vòng (Circuit–Level Gateway 77 Hình 5.1.3.1:ổng quan về Network-Based IDS 80 ________________________________________________________________ Sinh viên thực hiện: unname Lớp: Điện tử 1 –K48 9 Đồ án tốt nghiệp đại học: BẢO MẬT MẠNG MÁY TÍNH & FIREWALL ______________________________________________________________________ Hình 5.1.3.1b: Kiến trúc Network-Based IDS 80 Hình 5.1.3.1c: Bố trí Network-Based IDS Sensor 81 Hình 5.1.3.2a: Cấu trúc của Host Sensor Agent 83 Hình 5.1.3.2b: Triển khai Host IDS 84 Hình 5.2.3.1: Triển khai Intrusion Prevention Sensor 88 Hình 5.2.3.2 : Xử lý điều khiển truy nhập 93 Các từ viết tắt ARP Address resolution protocol ASYN Asychronous CPU Central Processing Unit DNS Domain Name System EDVAC Electronic Discrete Variable Computer ENIAC Electronic Numerical Integrator And Computer FTP File Transfer Protocol GAN Global Area Network HIDS Host-based Instrusion Detection System HIPS Host-based Instrusion Prevension System HTML Hyper Text Markup Language HTTP Hyper Text Transport Protocol ________________________________________________________________ Sinh viên thực hiện: unname Lớp: Điện tử 1 –K48 10 [...]... hiện: unname Lớp: Điện tử 1 –K48 11 Đồ án tốt nghiệp đại học: BẢO MẬT MẠNG MÁY TÍNH & FIREWALL PHẦN I: TỔNG QUAN VỀ MẠNG MÁY TÍNH CHƯƠNG 1: GIỚI THIỆU VỀ MÁY TÍNH VÀ MẠNG MÁY TÍNH 1.1 Lịch sử máy tính 1.1.1 Cấu trúc tổng quát của máy tính Máy tính là một hệ thống phức tạp với hàng triệu thành phần điện tử cơ sở Ở mức đơn giản nhất, máy tính có thể được xem như một thực... học: BẢO MẬT MẠNG MÁY TÍNH & FIREWALL Hình 1.2 1: Mạng máy tính với bộ tiền xử lý Việc tăng nhanh các máy tính mini, các máy tính cá nhân làm tăng nhu cầu truyền số liệu giữa các máy tính, các Terminal và giữa các Terminal với các máy tính là một trong những động lực thúc đẩy sự ra đời và phát triển ngày càng mạnh mẽ các mạng máy tính Quá trình hình thành mạng máy tính. .. hợp cho các mạng có quy mô nhỏ (như nhóm làm việc) và không yêu cầu phải có tính bảo mật cao 1.2.5 Một số mạng máy tính thông dụng nhất 1.2.5.1 Mạng cục bộ (LAN): Sinh viên thực hiện: unname Lớp: Điện tử 1 –K48 27 Đồ án tốt nghiệp đại học: BẢO MẬT MẠNG MÁY TÍNH & FIREWALL Một mạng cục bộ là sự kết nối một nhóm máy tính và các thiết... một máy tính nào đó trong mạng  Khai thác có hiệu quả các cơ sở dữ liệu tập trung và phân tán, nâng cao khả năng tích hợp và trao đổi các loại dữ liệu giữa các máy tính trên mạng Sinh viên thực hiện: unname Lớp: Điện tử 1 –K48 18 Đồ án tốt nghiệp đại học: BẢO MẬT MẠNG MÁY TÍNH & FIREWALL 1.2.3 Đặc trưng kỹ thuật của mạng máy tính. .. truy cập và bảo mật thông tin Intranet được phát triển từ các mạng LAN, WAN dùng công nghệ Internet Sinh viên thực hiện: unname Lớp: Điện tử 1 –K48 29 Đồ án tốt nghiệp đại học: BẢO MẬT MẠNG MÁY TÍNH & FIREWALL CHƯƠNG 2: CHUẨN HÓA MẠNG MÁY TÍNH, MÔ HÌNH OSI, TCP/IP 2.1 Vấn đề chuẩn hóa mạng máy tính và các tổ chức chuẩn hóa mạng: Sự... Lớp: Điện tử 1 –K48 12 Đồ án tốt nghiệp đại học: BẢO MẬT MẠNG MÁY TÍNH & FIREWALL Hình 1.1.1a: Cấu trúc tổng quát của máy tính Thành phần chính, quan trọng nhất của máy tính là Đơn vị xử lý trung tâm (CPU – Central Processing Unit): Điều khiển hoạt động của máy tính và thực hiện các chức năng xử lý dữ liệu  Hình 1.1.1b: Bộ xử lý trung tâm của máy tính (CPU) CPU thường... Điện tử 1 –K48 26 Đồ án tốt nghiệp đại học: BẢO MẬT MẠNG MÁY TÍNH & FIREWALL Hình1.2.4.3.5: Mạng kết nối hỗn hợp 1.2.4.4 Phân loại theo giao thức và theo hệ điều hành mạng sử dụng Khi phân loại theo giao thức mà mạng sử dụng người ta phân loại thành: Mạng TCP/IP, mạng NETBIOS … Tuy nhiên cách phân loại trên không phổ biến và chỉ áp dụng cho các mạng cục bộ Nếu phân... những phần cứng đó  Duy trì và bảo vệ dữ liệu: Một mạng máy tính có thể cho phép các dữ liệu được tự động lưu trữ dự phòng tới một trung tâm nào đó trong mạng Công việc này là hết sức khó khăn và tốn nhiều thời gian nếu phải làm trên từng máy độc lập Hơn nữa, mạng máy tính còn cung cấp một môi trường bảo mật an toàn cho mạng qua việc cung cấp cơ chế bảo mật (security) bằng mật khẩu (password) đối với... suất của máy tính, người ta ghép nối các Terminal vào một máy tính được gọi là máy tính trung tâm (main frame) Máy tính trung tâm làm tất cả mọi việc từ quản lý các thủ tục truyền dữ liệu, quản lý quá trình đồng bộ của các trạm cuối, cho đến việc xử lý các ngắt từ các trạm cuối Những năm 70: Các máy tính đã được nối với nhau trực tiếp thành một mạng máy tính nhằm phân tán tải của hệ thống và tăng độ... đại học: BẢO MẬT MẠNG MÁY TÍNH & FIREWALL - Giao thức mạng sử dụng - Hệ điều hành mạng sử dụng 1.2.4.1 Phân loại mạng theo khoảng cách địa lý: Mạng máy tính có thể phân bổ trên một vùng lãnh thổ nhất định và cũng có thể phân bổ trong phạm vi một quốc gia hay rộng hơn nữa là toàn thế giới Dựa vào phạm vi phân bổ của mạng, người ta có thể phân ra các loại mạng như . Đồ án tốt nghiệp đại học: BẢO MẬT MẠNG MÁY TÍNH & FIREWALL ______________________________________________________________________ Đồ án tốt nghiệp Bảo mật mạng máy tính và Firewall ________________________________________________________________ . mạng. Đồ án chia thành 6 chương: Chương 1: Giới thiệu về máy tính và mạng máy tính. Giới thiệu cấu trúc máy tính và tổng quan về mạng máy tính, các đặc trưng, phân loại và một số mạng máy tính. về mạng máy tính và các vấn đề về bảo mật mạng, các cách đảm bảo an ninh mạng như Firewall, IDS, IPS. Đồ án gồm hai phần chính: Phần I: Tổng quan về mạng máy tính. Phần II: Các chính sách bảo mật