1. Trang chủ
  2. » Luận Văn - Báo Cáo

Nghiên cứu firewall

43 1K 3

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 43
Dung lượng 3,37 MB

Nội dung

Nghiên cứu firewall

BỘ CÔNG THƯƠNG TRƯỜNG CAO ĐẲNG KĨ THUẬT CAO THẮNG KHOA: ĐIỆN TỬ - TIN HỌC ĐỒ ÁN MÔN HỌC QUẢN TRỊ HỆ THỐNG MẠNG ĐỀ TÀI: NGHIÊN CỨU FIREWALL Giảng viên hướng dẫn: TỪ THANH TRÍ Lớp : CĐN SCMT 13A Khóa : 2013-2016 TP Hồ Chí Minh, tháng 10 năm 2014 MỞ ĐẦU Trong thực tế bảo mật thông tin đóng vai trò thiết yếu không “thứ yếu” hoạt động liên quan đến việc ứng dụng công nghệ thông tin Vai trò to lớn việc ứng dụng CNTT diễn sôi động, không túy công cụ (Hardware, Software), mà thực xem giải pháp cho nhiều vấn đề Khởi động từ năm đầu thập niên 90, với số chuyên gia CNTT, hiểu biết hạn chế đưa CNTT ứng dụng hoạt động sản xuất, giao dịch, quản lý khiêm tốn dừng lại mức công cụ, công cụ “đắt tiền” gây số cản trở, không đem lại hiệu thiết thực cho Tổ chức sử dụng Internet cho phép truy cập tới nơi giới thông qua số dịch vụ Ngồi trước máy tính bạn biết thông tin toàn cầu, mà hệ thống máy tính bạn bị xâm nhập vào lúc mà bạn trước Do việc bảo vệ hệ thống vấn đề đáng phải quan tâm Người ta đưa khái niệm FireWall để giải vấn đề Để làm rõ vấn đề đồ án “ Nghiên cứu Firewall ” cho nhìn sâu khái niệm, chức Firewall LỜI CẢM ƠN Nhóm chúng em xin bày tỏ lòng kính trọng biết ơn sâu sắc tới: Giảng viên Từ Thanh Trí giáo viên môn khoa công nghệ thông tin Đã hướng dẫn động viên chúng em trình làm đề án Vì thời gian không nhiều, kinh nghiệm hạn chế, không tránh khỏi thiếu sót Nhóm em mong nhận ý kiến đóng góp thầy cô bạn bè Nhóm em xin chân thành cảm ơn NHẬN XÉT MỤC LỤC Tên đề tài: NGHIÊN CỨU FIREWALL GVHD: TỪ THANH TRÍ CHƯƠNG 1: TỔNG QUAN VỀ FIREWALL 1.1 GIỚI THIỆU VỀ FIREWALL 1.1.1 Định nghĩa FireWall Trong ngành mạng máy tính, tường lửa (tiếng Anh: Firewall) rào chắn mà số cá nhân, tổ chức, doanh nghiệp, quan nhà nước lập nhằm ngăn chặn người dùng mạng Internet truy cập thông tin không mong muốn ngăn chặn người dùng từ bên truy nhập thông tin bảo mật nằm mạng nội Tường lửa thiết bị phần cứng phần mềm hoạt động môi trường máy tính nối mạng để ngăn chặn số liên lạc bị cấm sách an ninh cá nhân hay tổ chức, việc tương tự với hoạt động tường ngăn lửa tòa nhà Tường lửa gọi Thiết bị bảo vệ biên giới (Border Protection Device BPD), đặc biệt ngữ cảnh NATO, hay lọc gói tin (packet filter) hệ điều hành BSD - phiên Unix Đại học California, Berkeley Nhiệm vụ tường lửa kiểm soát giao thông liệu hai vùng tin cậy khác Các vùng tin cậy (zone of trust) điển hình bao gồm: mạng Internet (vùng không đáng tin cậy) mạng nội (một vùng có độ tin cậy cao) Mục đích cuối cung cấp kết nối có kiểm soát vùng với độ tin cậy khác thông qua việc áp dụng sách an ninh mô hình kết nối dựa nguyên tắc quyền tối thiểu (principle of least privilege) Cấu hình đắn cho tường lửa đòi hỏi kỹ người quản trị hệ thống Việc đòi hỏi hiểu biết đáng kể giao thức mạng an ninh máy tính Những lỗi nhỏ biến tường lửa thành công cụ an ninh vô dụng Có loại tường lửa thông dụng tường lửa bảo vệ để bảo vệ an ninh cho máy tính cá nhân hay mạng cục bộ, tránh xâm nhập, công từ bên tường lửa ngăn chặn thường nhà cung cấp dịch vụ Internet thiết lập có nhiệm vụ ngăn chặn không cho máy tính truy cập số trang web hay máy chủ định, thường dùng với mục đích kiểm duyệt Internet Nhóm SVTH: Tên đề tài: NGHIÊN CỨU FIREWALL GVHD: TỪ THANH TRÍ 1.1.2 Lịch sử phát triển Firewall Công nghệ tường lửa bắt đầu xuất vào cuối năm 1980 Internet công nghệ mẻ theo khía cạnh kết nối sử dụng toàn cầu Ý tưởng hình thành sau hàng loạt vụ xâm phạm nghiêm trọng an ninh liên mạng xảy vào cuối năm 1980 Năm 1988, nhân viên trung tâm nghiên cứu NASA Ames California gửi ghi nhớ qua thư điện tử tới đồng nghiệp rằng: "Chúng ta bị VIRUS Internet công! Nó đánh Berkeley, UC San Diego, Lawrence Livermore, Stanford, NASA Ames." Con virus biết đến với tên Sâu Morris phát tán qua thư điện tử khó chịu chung người dùng vô thưởng vô phạt Sâu Morris công diện rộng an ninh Internet Cộng đồng mạng không chuẩn bị cho công hoàn toàn bị bất ngờ Sau đó, cộng đồng Internet định ưu tiên tối cao phải ngăn chặn không cho công xảy ra, họ bắt đầu cộng tác đưa ý tưởng mới, hệ thống phần mềm để làm cho mạng Internet trở lại an toàn Năm 1988, báo công nghệ tường lửa công bố, Jeff Mogul thuộc Digital Equipment Corp phát triển hệ thống lọc biết đến với tên tường lửa lọc gói tin Hệ thống hệ mà sau trở thành tính kỹ thuật an toàn mạng phát triển cao Từ năm 1980 đến năm 1990, hai nhà nghiên cứu phòng thí nghiệm AT&T Bell, Dave Presetto Howard Trickey, phát triển hệ tường lửa thứ hai, biến đến với tên tường lửa tầng mạch (circuit level firewall) Các báo Gene Spafford Đại học Purdue, Bill Cheswick phòng thí nghiệm AT&T Marcus Ranum mô tả hệ tường lửa thứ ba, với tên gọi tường lửa tầng ứng dụng (application layer firewall), hay tường lửa dựa proxy (proxy-based firewall) Nghiên cứu công nghệ Marcus Ranum khởi đầu cho việc tạo sản phẩm thương mại Sản phẩm Digital Equipment Corporation's (DEC) phát hành với tên SEAL Đợt bán hàng lớn DEC vào ngày 13 tháng năm 1991 cho công ty hóa chất bờ biển phía Đông Mỹ Tại AT&T, Bill Cheswick Steve Bellovin tiếp tục nghiên cứu họ lọc gói tin phát triển mô hình chạy cho công ty họ, dựa kiến trúc hệ tường lửa thứ Năm 1992, Bob Braden Annette DeSchon Đại Nhóm SVTH: Tên đề tài: NGHIÊN CỨU FIREWALL GVHD: TỪ THANH TRÍ học Nam California phát triển hệ thống tường lửa lọc gói tin hệ thứ tư Sản phẩm có tên "Visas" hệ thống có giao diện với màu sắc biểu tượng, dễ dàng cài đặt thành phần mềm cho hệ điều hành chẳng hạn Microsoft Windows Mac/OS Apple truy nhập từ hệ điều hành Năm 1994, công ty Israel có tên Check Point Software Technologies xây dựng sản phẩm thành phần mềm sẵn sàng cho sử dụng, FireWall-1 Một hệ thứ hai tường lửa proxy dựa công nghệ Kernel Proxy Thiết kế liên tục cải tiến tính mã chương trình sử dụng rộng rãi hệ thống máy tính gia đình thương mại Cisco, công ty an ninh mạng lớn giới phát hành sản phẩm năm 1997 Thế hệ FireWall-1 tạo thêm hiệu lực cho động kiểm tra sâu gói tin cách chia sẻ chức với hệ thống ngăn chặn xâm nhập 1.1.3 Tại phải sử dụng Firewall cho mạng máy tính kết nối Internet? Internet đời đem lại nhiều lợi ích lớn cho người, nhân tố hàng đầu góp phần vào phát triển nhanh chóng giới nói Internet kết nối người tới gần Chính khả kết nối rộng rãi mà nguy an toàn mạng máy tính lớn Đó nguy bị công mạng máy tính, công để lấy liệu, công nhằm mục đích phá hoại làm tê liệt hệ thống máy tính lớn, công thay đổi sở liệu …Trước nguy đó, vấn đề đảm bảo an toàn cho mạng máy tính trở nên cấp thiết quan trọng hết Các nguy bị công ngày nhiều ngày tinh vi hơn, nguy hiểm Đã có nhiều giải pháp bảo mật cho mạng máy tính đưa dùng phần mềm, chương trình để bảo vệ tài nguyên, tạo tài khoản truy xuất mạng đòi hỏi có mật … giải pháp bảo vệ phần mạng máy tính mà thôi, kẻ phá hoại mạng máy tính thâm nhập sâu vào bên mạng có nhiều cách để phá hoại hệ thống mạng Vì đặt yêu cầu phải có công cụ để chống xâm nhập mạng bất hợp pháp từ bên mạng, nguyên nhân dẫn tới đời Firewall (Tường lửa) Nhóm SVTH: Tên đề tài: NGHIÊN CỨU FIREWALL GVHD: TỪ THANH TRÍ Một Firewall lọc lưu lượng Internet nguy hiểm hacker, loại sâu, số loại virus trước chúng gây trục trặc hệ thống Ngoài ra, Firewall giúp cho máy tính tránh tham gia công vào máy tính khác mà không hay biết Việc sử dụng Firewall quan trọng máy tính kết nối Internet, trường hợp có kết nối băng thông rộng kết nối DSL/ADSL Trên Internet, tin tặc sử dụng mã hiểm độc, virus, sâu Trojan, để tìm cách phát cửa không khóa máy tính không bảo vệ Một tường lửa giúp bảo vệ máy tính khỏi bị hoạt động công bảo mật khác Vậy tin tặc làm gì? Tùy thuộc vào chất việc công Trong số đơn giản quấy rầy với trò đùa nghịch đơn giản, số khác tạo với ý định nguy hiểm Những loại nghiêm trọng tìm cách xóa thông tin từ máy tính, phá hủy nó, chí ăn căp thông tin cá nhân, mật số thẻ tín dụng Một số tin tặc thích đột nhập vào máy tính dễ bị công Các virus, sâu Trojan đáng sợ May mắn giảm nguy lây nhiễm cách sử dụng Firewall 1.1.4 Sự đời Firewall Thuật ngữ Firewall có nguồn gốc từ kỹ thuật thiết kế xây dựng để ngăn chặn, hạn chế hỏa hoạn Trong công nghệ mạng thông tin, Firewall kỹ thuật tích hợp vào hệ thống mạng để chống truy cập trái phép, nhằm bảo vệ nguồn thông tin nội hạn chế xâm nhập không mong muốn vào hệ thống Cũng hiểu Firewall chế (Mechanism) để bảo vệ mạng tin tưởng (Trusted network) khỏi mạng không tin tưởng (Untrusted network) Thông thường Firewall đặt mạng bên (Intranet) công ty, tổ chức, ngành hay quốc gia, Internet Vai trò bảo mật thông tin, ngăn chặn truy nhập không mong muốn từ bên (Internet) cấm truy nhập từ bên (Intranet) tới số địa định Internet Nhóm SVTH: Tên đề tài: NGHIÊN CỨU FIREWALL GVHD: TỪ THANH TRÍ Internet FireWall tập hợp thiết bị (bao gồm phần cứng phần mềm)giữa mạng tổ chức, công ty, hay quốc gia (Intranet) Internet: (INTRANET FIREWALL - INTERNET) Trong số trường hợp, Firewall thiết lập mạng nội cô lập miền an toàn Ví dụ mạng cục sử dụng Firewall để ngăn cách phòng máy hệ thống mạng tầng Một Firewall Internet giúp ngăn chặn người Internet không xâm nhập vào máy tính Một Firewall làm việc cách kiểm tra thông tin đến Internet Nó nhận dạng bỏ qua thông tin đến từ nơi nguy hiểm nghi ngờ Nếu bạn cài đặt Firewall bạn cách thích hợp, tin tặc tìm kiếm máy tính dễ bị công phát máy tính Firewall giải pháp dựa phần cứng phần mềm dùng để kiểm tra liệu Một lời khuyên nên sử dụng firewall cho máy tính hay mạng có kết nối tới Internet Đối với kết nối Internet băng thông rộng Firewall quan trọng, loại kết nối thường xuyên bật (always on) nên tin tặc có nhiều thời gian muốn tìm cách đột nhập vào máy tính Kết nối băng thông rộng thuận lợi cho tin tặc sử dụng để làm phương tiện tiếp tục công máy tính khác 1.1.5 Mục đích Firewall Với Firewall, người sử dụng yên tâm thực thi quyền giám sát liệu truyền thông máy tính họ với máy tính hay hệ thống khác Có thể xem Firewall người bảo vệ có nhiệm vụ kiểm tra "giấy thông hành" gói liệu vào máy tính hay khỏi máy tính người sử dụng, cho phép gói liệu hợp lệ qua loại bỏ tất gói liệu không hợp lệ Các giải pháp Firewall thực cần thiết, xuất phát từ cách thức liệu di chuyển Internet Giả sử gửi cho người thân thư để thư chuyển qua mạng Internet, trước hết phải phân chia thành gói nhỏ Các gói liệu tìm đường tối ưu để tới địa người nhận thư sau lắp ráp lại (theo thứ tự đánh số trước đó) khôi phục nguyên dạng ban đầu 10 Nhóm SVTH: Tên đề tài: NGHIÊN CỨU FIREWALL • • GVHD: TỪ THANH TRÍ Người sử dụng Sau nhận Firewall cần để bảo vệ điều khiển gì, định điều xảy liên tục với bảo vệ điểu khiển Điều xảy người sử dụng truy cập đến trang mà quyền truy cập Điều xảy dịch vụ không bảo vệ thông tin không bảo mật tốt Có phải rủi ro việc điều khiển bảo vệ đủ cho bước ước lượng cần phải có giải pháp Firewall 1.6 NHỮNG HẠN CHẾ CỦA FIREWALL Firewall không đủ thông minh người để đọc hiểu loại thông tin phân tích nội dung tốt hay xấu Firewall ngăn chặn xâm nhập nguồn thông tin không mong muốn phải xác định rõ thông số địa Firewall ngăn chặn công công không "đi qua" Một cách cụ thể, Firewall chống lại công từ đường dial-up, rò rỉ thông tin liệu bị chép bất hợp pháp lên đĩa mềm Firewall chống lại công liệu (data-drivent attack) Khi có số chương trình chuyển theo thư điện tử, vượt qua Firewall vào mạng bảo vệ bắt đầu hoạt động Một ví dụ virus máy tính Firewall làm nhiệm vụ rà quét virus liệu chuyển qua nó, tốc độ làm việc, xuất liên tục virus có nhiều cách để mã hóa liệu, thoát khỏi khả kiểm soát Firewall Firewall ngǎn chặn kẻ xấu từ bên kẻ xấu bên Tuy nhiên, Firewall giải pháp hữu hiệu áp dụng rộng rãi Để có khả nǎng bảo mật tối ưu cho hệ thống, Firewall nên sử dụng kết hợp với biện pháp an ninh mạng phần mềm diệt virus, phần mềm đóng gói, mã hoá liệu Đặc biệt, sách bảo mật thực cách phù hợp có chiều sâu vấn đề sống để khai thác tối ưu hiệu phần mềm bảo mật Và cần nhớ công nghệ phần giải pháp bảo mật Một nhân tố quan trọng định thành công giải pháp hợp tác nhân viên, đồng nghiệp 29 Nhóm SVTH: Tên đề tài: NGHIÊN CỨU FIREWALL GVHD: TỪ THANH TRÍ CHƯƠNG 2: ĐỀ XUẤT MỘT GIẢI PHÁP FIREWALL CHO MỘT DOANH NGHIỆP NHỎ 2.1 TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT CHO MẠNG MÁY TÍNH DOANH NGHIỆP An ninh mạng giải pháp bảo vệ mạng máy tính, bảo vệ ứng dụng mạng, phòng chống thay đổi, phá hoại, xâm nhập trái phép vào hệ thống mạng An ninh mạng bao hàm đảm bảo cho mạng hoạt động ổn định, chức then chốt hoạt động xác không bị tác động có hại từ bên 2.1.1 Nguyên tắc bảo vệ hệ thống mạng A Hoạch định hệ thống bảo vệ mạng Trong môi trường mạng, phải có đảm bảo liệu có tính bí mật phải cất giữ riêng, cho có người có thẩm quyền phép truy cập chúng Bảo mật thông tin việc làm quan trọng, việc bảo vệ hoạt động mạng có tầm quan không Mạng máy tính cần bảo vệ an toàn, tránh khỏi hiểm hoạ vô tình hay cố ý Tuy nhiên nhà quản trị mạng cần phải biết có mức độ, không nên thái Mạng không thiết phải bảo vệ cẩn mật, đến mức người dùng gặp khó khăn truy nhập mạng để thực nhiệm vụ Không nên để họ thất vọng cố gắng truy cập tập tin Bốn hiểm hoạ an ninh mạng là: • Truy nhập mạng bất hợp pháp • Sự can thiệp phương tiện điện tử • Kẻ trộm • Tai họa vô tình có chủ ý Mức độ bảo mật: Tuỳ thuộc vào dạng môi trường mạng hoạt động Chính sách bảo mật: Hệ thống mạng đòi hỏi tập hợp nguyên tắc, điều luật sách nhằm loại trừ rủi ro Giúp hướng dẫn vượt qua thay đổi tình không dự kiến trình phát triển mạng Đào tạo: Người dùng mạng đào tạo chu đáo có khả vô ý phá huỷ tài nguyên An toàn cho thiết bị: Tuỳ thuộc quy mô công ty, độ bí mật liệu, tài nguyên khả dụng Trong môi trường mạng ngang hàng, sách bảo vệ phần 30 Nhóm SVTH: Tên đề tài: NGHIÊN CỨU FIREWALL GVHD: TỪ THANH TRÍ cứng có tổ chức Người dùng chịu trách nhiệm đảm bảo an toàn cho máy tính liệu riêng B Mô hình bảo mật Hai mô hình bảo mật khác phát triển, giúp bảo vệ an toàn liệu tài nguyên phần cứng: Bảo vệ tài nguyên dùng chung mật mã: Gắn mật mã cho tài nguyên dùng chung Truy cập cho phép: Là định số quyền định sở người dùng, kiểm tra truy nhập tài nguyên dùng chung vào CSDL user-access máy server C Nâng cao mức độ bảo mật Kiểm toán: Theo dõi hoạt động mạng thông qua tài khoản người dùng, ghi lại nhiều dạng biến cố chọn lọc vào sổ nhật ký bảo mật máy server Giúp nhận biết hoạt động bất hợp lệ không chủ định Cung cấp thông tin cách dùng tình có phòng ban thu phí sử dụng số tài nguyên định, cần định phí tài nguyên theo cách thức Máy tính không đĩa: Không có ổ đĩa cứng ổ mềm Có thể thi hành việc máy tính thông thường, ngoại trừ việc lưu trữ liệu đĩa cứng hay đĩa mềm cục Không cần đĩa khởi động Có khả giao tiếp với server đăng nhập nhờ vào chip ROM khởi động đặc biệt cài card mạng Khi bật máy tính không đĩa, chip ROM khởi động phát tín hiệu cho server biết muốn khởi động Server trả lời cách tải phần mềm khởi động vào RAM máy tính không đĩa tự động hiển thị hình đăng nhập Khi máy tính kết nối với mạng Mã hoá liệu: Đó mã hoá thông tin sang dạng mật mã phương pháp cho đảm bảo thông tin nhận biết nơi nhận cách giải mã Một người sử dụng hay host sử dụng thông tin mà không sợ ảnh hưởng đến người sử dụng hay host khác Chống virus : • • Ngăn không cho virus hoạt động Sửa chữa hư hại mức độ 31 Nhóm SVTH: Tên đề tài: NGHIÊN CỨU FIREWALL • GVHD: TỪ THANH TRÍ Chặn đứng virus sau bộc phát Ngăn chặn tình trạng truy cập bất hợp pháp giải pháp hiệu nghiệm để tránh virus Do biện pháp chủ yếu phòng ngừa, nên người quản trị mạng phải bảo đảm cho yếu tố cần thiết sẵn sàng: • Mật mã để giảm khả truy cập bất hợp pháp • Chỉ định đặc quyền thích hợp cho người dùng • Các profile để tổ chức môi trường mạng cho người dùng lập cấu hình trì môi trường đăng nhập, bao gồm kết nối mạng khoản mục chương trình người dùng đăng nhập • Một sách định tải phần mềm 2.1.2 Kiến trúc bảo mật hệ thống mạng A Các mức an toàn thông tin mạng Hình 2.1 Các mức an toàn thông tin mạng An toàn hay bảo mật sản phẩm, phần mềm Nó cách nghĩ Sự an toàn khởi động dường dịch vụ 32 Nhóm SVTH: Tên đề tài: NGHIÊN CỨU FIREWALL GVHD: TỪ THANH TRÍ Bảo mật cách an toàn Tài liệu bảo mật tư liệu mà thành viên tổ chức muốn bảo vệ Trách nhiệm việc bảo mật người quản trị mạng Sự an toàn mạng có vai trò quan trọng tối cao Cơ chế bảo mật cần phải bao gồm cấu hình mạng Server, chu vi ứng dụng tổ chức mạng chí Client truy nhập mạng từ xa Có vài cách mà ta cần phải xem xét: • • • • • Sự an toàn vật lý An toàn hệ thống An toàn mạng An toàn ứng dụng Sự truy nhập từ xa việc chấp nhận Các lỗ hổng bảo mật hệ thống điểm yếu tạo ngưng trệ dịch vụ, thêm quyền người sử dụng cho phép truy nhập không hợp pháp vào hệ thống Các lỗ hổng nằm dịch vụ cung cấp sendmail, web, ftp Ngoài lỗ hổng tồn tại hệ điều hành Windows NT, Windows 95, XP, UNIX ứng dụng mà người sử dụng thường xuyên sử dụng Word processing, hệ databases B Ảnh hưởng lỗ hổng mạng Ở phần phân tích số trường hợp có lỗ hổng bảo mật, kẻ công lợi dụng lỗ hổng để tạo lỗ hổng khác tạo thành chuỗi mắt xích lỗ hổng Ví dụ, kẻ phá hoại muốn xâm nhập vào hệ thống mà tài khoản truy nhập hợp lệ hệ thống Trong trường hợp này, trước tiên kẻ phá hoại tìm điểm yếu hệ thống, từ sách bảo mật, sử dụng công cụ dò xét thông tin hệ thống để đạt quyền truy nhập vào hệ thống Sau mục tiêu đạt được, kẻ phá hoại tiếp tục tìm hiểu dịch vụ hệ thống, nắm bắt điểm yếu thực hành động phá hoại tinh vi Tuy nhiên, có phải lỗ hổng bảo mật nguy hiểm đến hệ thống hay không Có nhiều thông báo liên quan đến lỗ hổng bảo mật mạng Internet, hầu hết số lỗ hổng loại C, không đặc biệt nguy hiểm hệ thống Ví dụ, lỗ hổng sendmail thông báo mạng, ảnh hưởng toàn hệ thống Khi thông báo lỗ hổng khẳng định chắn, nhóm tin đưa số phương pháp để khắc phục hệ thống 33 Nhóm SVTH: Tên đề tài: NGHIÊN CỨU FIREWALL GVHD: TỪ THANH TRÍ 2.1.3 Mô tả trạng doanh nghiệp Trong tình hình mạng máy tính doanh nghiệp nhỏ việc khảo sát trạng doanh nghiệp điều quan trọng Tình hình mạng máy tính doanh nghiệp sẻ định mô hình Firewall cho doanh nghiệp Trước hết phải thấy mạng doanh nghiệp đặc biệt mạng doanh nghiệp nhỏ đòi hỏi phải gọn, không phức tạp công ty lớn tin học, viễn thông Nhưng điều mà việc bảo mật mạng máy tính doanh nghiệp bị xem nhẹ Có thể nói việc bảo mật cho mạng doanh nghiệp yêu cầu hàng đầu doanh nghiệp nhà quản trị mạng Việc bảo mật tốt liệu mạng doanh nghiệp vấn đề sống doanh nghiệp Khảo sát trạng doanh nghiệp cho nhìn tổng quát mạng máy tính doanh nghiệp Từ tình trạng doanh nghiệp giúp định chọn loại Firewall cho phù hợp Do doanh nghiệp thuộc vào doanh nghiệp nhỏ nên có quy mô sở vật chất trang thiết bị máy tính hạ tầng mạng không lớn Hiện trạng doanh nghiệp định tới mô hình Firewall mà ta lựa chọn cho phù hợp Để hỗ trợ cho Firewall doanh nghiệp người quản trị mạng cuả doanh nghiệp phải luôn cập nhật lỗ hổng bảo mật phần mềm Firewall sử dụng Bên cạnh thường xuyên tìm hiểu cách thức công kẻ phá hoại để từ đề phương án phòng chống hữu hiệu Hiện trạng doanh nghiệp sở vật chất thiết bị máy tính doanh nghiệp, cách bố trí mạng nào, tài khoản người sử dụng … nắm rỏ trạng doanh nghiệp việc vận hành Firewall dễ dàng nhiều hiệu bảo vệ Firewall nâng lên nhiều Việc phân chia quyền sử dụng mạng doanh nghiệp vấn đề cần quan tâm người quản trị mạng doanh nghiệp, phải có nhìn thật kỹ lưỡng xác việc phân quyền không Firewall có đồ sộ bao nhiêu, tốt trở nên vô ích Vì mô tả trạng doanh nghiệp việc quan trọng chiến lược xây dựng Firewall cho doanh nghiệp Nếu việc bố trí hạ tầng mạng chưa phù hợp người quản trị mạng phải có sách điều chỉnh yếu tố làm cho Firewall hoạt động hiệu 34 Nhóm SVTH: Tên đề tài: NGHIÊN CỨU FIREWALL GVHD: TỪ THANH TRÍ 2.1.4 Phân tích yêu cầu Firewall cho doanh nghiệp Yêu cầu Firewall cho doanh nghiệp bao gồm nhiều nhiều yếu tố Do đặc thù doanh nghiệp mà phải xác định mô hình Firewall cho phù hợp Đối với doanh nghiệp mức độ đáp ứng trang thiết bị máy tính trung tâm chuyên tin học lớn Các thiết bị mạng lớn trung tâm máy tính lớn Vì phải có nhìn cụ thể để đề mô hình Firewall phù hợp cho doanh nghiệp Đối với doanh nghiệp lớn sỡ liệu, tài nguyên lớn số lượng người truy cập ngày để lấy sỡ liệu, cập nhật thông tin, trao đổi … hoạt động truy nhập thông tin diễn tấp nập mạng, kẻ phá hoại dựa vào hoạt động để lấy cắp, phá hoại thông tin, làm ngưng hoàn toàn hệ thống Nếu Firewall đủ mạnh việc đột nhập kẻ phá hoại đơn giản Đối với doanh nghiệp mô hình Firewall phải mạnh, kết hợp Firewall phần cứng Firewall phần mềm Việc kết hợp hai loại Firewall cho bảo vệ chắn Các tính tích hợp Firewall phần cứng nhà sản xuất thiết lập sản xuất thiết bị khả bảo mật cập nhật trình sử dụng thiết bị Khi lựa chọn Firewall phần mềm cho doanh nghiệp lớn phải chọn mô hình Firewall phần mềm mạnh nhà sản xuất phần mềm Firewall uy tín Các phần mềm có quyền hợp pháp trình sử dụng chương trình không ngừng cập nhật phương pháp bảo mật mới, cập nhật lỗ hổng bảo mật chương trình Tuy nhiên việc kết hợp Firewall phần cứng Firewall phần mềm điều vô tốn phù hợp với doanh nghiệp lớn sở vật chất kĩ thuật, có tiềm lực tài Đối với doanh nghiệp vừa nhỏ có hạn chế nhiều mặt kinh phí thiết bị trường hợp này, có lẽ giải pháp thiết bị xử lý chức an toàn hợp lý Thiết bị bảo mật 'Tất một' phải đáp ứng yêu cầu bảo mật - an toàn liệu tổ chức - doanh nghiệp cách hiệu mà không cần đến nhiều tầng thiết bị đắt tiền phức tạp, cộng thêm nhân viên chuyên 35 Nhóm SVTH: Tên đề tài: NGHIÊN CỨU FIREWALL GVHD: TỪ THANH TRÍ trách Điều thật cần thiết tình trạng Internet đầy rẫy mối đe dọa sâu máy tính, chương trình phá hoại ăn cắp thông tin, lỗ hổng bảo mật hệ điều hành ứng dụng Việc bảo mật cho mạng máy tính doanh nghiệp loại không phức tạp doanh nghiệp lớn sở liệu ít, gọn, không nằm phân tán doanh nghiệp lớn Vì lựa chọn nhũng Firewall phần mềm miễn phí bật chức Firewall cung cấp sẵn hệ điều hành Windows XP Home Edition, sử dụng Internet Connection Firewall phiên Windows XP Professional 2.1.5 Chọn lựa giải pháp Firewall cho phù hợp với mạng máy tính doanh nghiệp nhỏ Một công cụ hiệu thông dụng sử dụng Firewall nhằm kiểm soát truy cập từ bên vào mạng nội giao dịch ra/vào mạng Tuy nhiên, đầu tư cho Firewall tốn kém, tổ chức - doanh nghiệp vừa nhỏ Trong trường hợp này, có lẽ giải pháp thiết bị xử lý chức an toàn hợp lý Thiết bị bảo mật 'Tất một' phải đáp ứng yêu cầu bảo mật - an toàn liệu tổ chức - doanh nghiệp cách hiệu mà không cần đến nhiều tầng thiết bị đắt tiền phức tạp Sau số giải pháp phần mềm thông dụng nhiều doanh nghiệp Việt Nam giới sử dụng rộng rãi Các phần mềm đáp ứng tốt điều kiện doanh nghiệp, tính chất phần mềm yêu cầu cấu hình cho hệ thống mạng cao phù hợp với mạng máy tính doanh nghiệp vừa nhỏ A ISA Server Enterprise 2000, ISA Server Enterprise 2004 • Đây phần mềm có chức : Bảo vệ mạng chống công từ Internet 36 Nhóm SVTH: Tên đề tài: NGHIÊN CỨU FIREWALL • GVHD: TỪ THANH TRÍ Cho phép Client bên mạng nội truy cập dịch vụ Internet, có kiểm soát Hình 2.2 Mô hình triển khai ISA Server Internal Network Internet B Sonicwall PRO 2040 Firewall dành cho doanh nghiệp loại vừa đáp ứng yêu cầu, dễ dàng nhận điều lấy thiết bị khỏi hộp, đặt bàn, kệ tủ, lắp vào rack 1U SonicWALL Pro 2040 kết hợp hệ điều hành mở rộng SonicOS hệ SonicWALL kiến trúc phần cứng có khả chịu tải tốt, miễn cấu hình đúng, tất nhiên không đơn giản Khi sử dụng, người dùng phải cài đặt OS mở rộng SonicWALL khai thác nhiều tính cao cấp kết nối đến nhiều ISP để dự phòng, cân tải với Pro 2040 khác, thiết lập NAT dựa theo sách kết nối WAN dự phòng Mặc dù vận hành Pro 2040 mà không cần hệ điều hành SonicOS Enhanced, phải cài hệ điều hành kích hoạt cổng giao tiếp thứ tư thiết bị Cổng có chức cổng WAN, LAN, hay DMZ, nối sang thiết bị Pro 2040 khác để dự phòng SonicWall không thua đối thủ, tích hợp chức phòng chống virus lọc nội dung Pro 2040 hoàn toàn làm vừa lòng, chẳng hạn, trang bị xử lý làm nhiệm vụ mã hóa hiệu suất chẳng có khác biệt dùng chế độ mã hóa AES-256 hay 3DES Hàng loạt công giả lập ngăn chặn virus thử bị ngăn cản Firewall 37 Nhóm SVTH: Tên đề tài: NGHIÊN CỨU FIREWALL GVHD: TỪ THANH TRÍ C ZoneAlarm Đây phần mềm miễn phí cho người sử dụng, tính phần mềm lớn có quyền Sau số tính nó: • Overview: Cho phép nắm liệu thống kê hoạt động ZoneAlarm Bấm • vào tab Preferences để thay đổi thiết lập chi tiết Firewall: Các thiết lập chung, ảnh hưởng tới toàn hoạt động cửa chương trình đặt Để đơn giản hoá, ZoneAlarm sử dụng khái niệm Zone (vùng) Internet Zone bao • gồm máy tính site mạng Internet mà chưa đặt thiết lập bảo vệ Program Control: Program Control cho phép xác định chương trình phải hỏi ý kiến Firewall trước truy nhập Internet (ZoneAlarm sử dụng thông tin tạo cửa sổ cảnh báo) Nếu gặp vấn đề với chương trình gián điệp chương trình quảng cáo, số thời điểm đặt thiết lập cho mục mức High Ngoài ra, mức Medium phù hợp với hầu hết người sử dụng Mục Automatic Lock Program Contrel cho phép đặt cách ly hoàn toàn với mạng Internet, chặn tất thông điệp từ máy tính mạng Internet ngược lại Nếu sử dụng Internet băng rộng bật máy tính suốt ngày, nên chọn Automatic Lock lúc không làm việc với máy tính Có thể bật Automatic Lock cách ấn vào biểu tượng ổ khoá bên cửa sổ ZoneAlarm D Comodo Firewall Pro 3.0 Đây tường lửa tốt Internet sẵn có dành cho Windows Vista Tường lửa dễ dàng cạnh tranh với giải pháp thương mại khác Không giống giải pháp bảo mật miễn phí khác, Comodo phiên miễn phí sản phẩm thương mại Nó đưa tập hợp hoàn chỉnh đặc tính bảo mật giống tường lửa có chất lượng tốt khác Điểm không thuận tiện thấy tường lửa thực tế có nhiều tùy chọn cấu hình tùy chọn bảo vệ gây khó khăn cho người dùng làm quen với Một chuyên gia hoàn toàn thích thú với tất tùy chọn điều khiển người bắt đầu họ phải dành nhiều thời gian để tìm hiểu thứ Nếu bạn xác định muốn dành lúc để học cách sử dụng Comodo Firewall Pro 3.0 tin tưởng bạn bảo mật cao mà lại hoàn toàn miễn phí 38 Nhóm SVTH: Tên đề tài: NGHIÊN CỨU FIREWALL GVHD: TỪ THANH TRÍ 2.1.6 Thiết lập Firewall cho doanh nghiệp Lựa chọn giải pháp Firewall phần cứng Firewall phần mềm để xây dựng Firewall cho doanh nghiệp Việc thiết lập Firewall dựa vào yếu tố sau:  Trước hết cần xác định tài nguyên cần bảo vệ Ví dụ như: • Máy trạm • Máy chủ • Các thiết bị mạng: Bộ định tuyến (Router), Getway, Repeater… • Các máy chủ đầu cuối • Các chương trình phần mềm • Cáp mạng • Thông tin lưu trữ tệp liệu  Nghiên cứu vấn đề sau: • Bảo vệ tài nguyên khỏi bị phá hoại • Xác suất nguy đe doạ • Mức độ quan trọng nguồn tài nguyên • Các biện pháp thực để bảo vệ tài nguyên với thời gian nhanh nhất, đỡ tốn • Kiểm tra sách an ninh mạng định kì  Nhận dạng mối đe doạ • Truy nhập trái phép: Nói chung việc sử dụng tài nguyên mà không cho phép trước bị coi truy cập trái phép • Nguy để lộ thông tin: Việc để lộ thông tin mối đe doạ Cần phải xác định rõ giá trị hay độ nhạy cảm thông tin lưu trữ máy Ở mức hệ thống việc để lọt mật truy nhập hệ thống tạo thuận lợi cho việc truy nhập trái phép tương lai • Từ chối dịch vụ: Các mạng dùng để kết nối nguồn tài nguyên có giá trị máy tính sở liệu cung cấp dịch vụ mà quan dựa vào Nếu dịch vụ không sẵn sàng dẫn đến ảnh hưởng công việc kinh doanh đơn vị Rất khó đoán trước hình thức từ chối dịch vụ, liệt kê số ví dụ từ chối dịch vụ: o Hệ thống máy bị dừng gói tin kẻ phá hoại o Mạng bị dừng bị tràn lưu lượng o Các thiết bị bảo vệ mạng bị phá hỏng • Các điểm truy nhập: Điểm truy nhập mà người sử dụng trái phép vào hệ thống Nếu ta có nhiều điểm truy nhập làm tăng nguy cho mạng 39 Nhóm SVTH: Tên đề tài: NGHIÊN CỨU FIREWALL • GVHD: TỪ THANH TRÍ Các hệ thống có cấu hình không đúng: Những kẻ đột nhập vào mạng chúng thường cố gắng phá hoại máy chủ mạng Các máy tính chủ đóng vai trò Server Telnet mục tiêu phổ biến Nếu máy tính chủ không cấu hình cách đắn hệ thống dễ bị phá hoại • Virus: Khi độ phức tạp phần mềm tăng lên độ phức tạp Virus hệ thông tăng Có lẽ phần mềm mà không bị nhiễm Virus Các Virus an toàn biết đến cách rộng rãi phương pháp phổ biến để truy nhập trái phép Nếu việc cài đặt hệ thống mở biết đến cách rộng rãi kẻ đột nhập sử dụng điểm yếu chương trình chạy chế độ ưu tiên để truy nhập hệ thống chế độ đặc quyền • Các mối đe doạ từ bên ngoài: Những người thường truy nhập trực tiếp phần mềm máy tính mạng nhiều so với phần cứng Nếu người định phá hoại người tạo mối đe doạ đáng kể cho an toàn mạng Nếu người tiếp cận dễ dàng với hệ thống hệ thống dễ bị phá hoại Người phá hoại dễ dàng chạy giải mã giao thức nắm bắt phần mềm để phân tích lưu lượng giao thức Hầu hết ứng dụng TCP/IP (Telnet, FTP) có chế xác minh yếu mật chuyển dạng văn rõ nghĩa • An toàn vật lý: Nếu thân máy tính không an toàn mặt vật lý chế an toàn phần mềm dễ dàng bị bỏ qua Trong trường hợp máy trạm DOS, WINDOWS chế bảo vệ phần mềm Đối với hệ điều hành Unix người quản lý ổ đĩa vật lý bị đánh tráo, ta để hệ thống chế độ đặc quyền máy trạm coi bị bỏ ngỏ Nói cách khác kẻ đột nhập tạm dừng máy tính lại đưa trở lại chế độ ưu đãi sau lấy chương trình Trojanhores vào thực hành động khác nhằm làm cho hệ thống trở nên rộng mở cho vụ công tương lai 40 Nhóm SVTH: Tên đề tài: NGHIÊN CỨU FIREWALL GVHD: TỪ THANH TRÍ KẾT LUẬN Sau trình tìm hiểu nghiên cứu, đề tài đạt số kết sau:  Đã hiểu rõ Firewall lĩnh vực tin học, chất Firewall     Chức Firewall việc bảo mật cho mạng máy tính Những thành phần hình thành nên Firewall Tìm hiểu an toàn bảo mật mạng Các yêu cầu Firewall doanh nghiệp nói chung doanh nghiệp nhỏ nói riêng  Những giải pháp Firewall đưa cho doanh nghiệp hướng doanh nghiệp vào giải pháp Firewall cụ thể KÍ HIỆU CÁC CỤM TỪ VIẾT TẮT SỐ HIỆU CỤM TỪ VIẾT TẮT 41 Nhóm SVTH: Tên đề tài: NGHIÊN CỨU FIREWALL GVHD: TỪ THANH TRÍ Network Interface Controller NIC Internet Protocol Local Area Network LAN Demilitarized Zone DMZ File Transfer Protocol FTP Simple Mail Transfer Protocol SMTP Open Systems Interconnection OSI Hypertext Transfer Protocol Transmission Control Protocol 10 Asymmetric Digital Subscriber Line 11 Personal Computer 12 Domain Name System DNS 13 Random Access Memory RAM 14 Internet Security and Acceleration ISA 15 Virtual Private Network VPN 16 Network Address Translation NAT 17 Wide Area Network WAN 18 Operating System OS 19 Post Office Protocol POP 20 Internet Message Access Protocol IP HTTP TCP ADSL PC IMAP 42 Nhóm SVTH: Tên đề tài: NGHIÊN CỨU FIREWALL GVHD: TỪ THANH TRÍ DANH MỤC TÀI LIỆU THAM KHẢO Đề án có tham khảo sử dụng tài liệu số website: http://123doc.vn/doc_search_title/1588-tim-hieu-ve-tuong-lua-firewall.htm http://vi.wikipedia.org/wiki/T%C6%B0%E1%BB%9Dng_l%E1%BB%ADa http://www.zbook.vn/ebook/tim-hieu-ve-firewall-18662/ http://www.tsv.com.vn/1334-Tin-tuc-chung/CatId/1053/NewsId/1228/Cac-buoc-co-ban- bao-mat-cho-he-thong-mang.aspx http://www.vn-zoom.com/f77/firewall-la-gi-nhi-7107.html http://argron.wordpress.com/2012/09/11/tong-quan-firewall-phan-1-firewall-la-gi/ http://argron.wordpress.com/2012/09/23/tong-quan-firewall-phan-2-phan-loai-firewall/ http://argron.wordpress.com/2012/09/23/tong-quan-firewall-phan-3-cac-thanh-phan-co- ban-cua-firewall/ http://argron.wordpress.com/2012/09/25/tong-quan-firewall-phan-4-mot-so-kien-trucfirewall-thong-dung/ 10 http://www.isystem.com.vn/News/Bao-mat-he-thong/Kinh-nghiem-bao-mat/2128/Firewall- Cac-khai-niem,-tinh-chat,-nguyen-ly-va-su-dung-firewall.aspx 43 Nhóm SVTH:

Ngày đăng: 18/07/2016, 14:08

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w