LỜI NĨI ĐẦU Trong cơng đổi khơng ngừng khoa học kỹ thuật công nghệ, nhiều lĩnh vực phát triển vượt bậc đặc biệt lĩnh vực Công nghệ thông tin Thành công lớn kể đến đời máy tính Máy tính coi phương tiện trợ giúp đắc lực cho người nhiều công việc đặc biệt công tác quản lý Mạng máy tính hình thành từ nhu cầu muốn chia sẻ tài nguyên dùng chung nguồn liệu Máy tính cá nhân công cụ tuyệt vời giúp tạo liệu, bảng tính, hình ảnh, nhiều dạng thơng tin khác nhau, không cho phép chia sẻ liệu bạn tạo nên Nếu khơng có hệ thống mạng, liệu phải in giấy người khác hiệu chỉnh sử dụng chép lên đĩa mềm tốn nhiều thời gian công sức Khi người làm việc mơi trường độc lập mà nối máy tính với máy tính nhiều người khác, ta sử dụng máy tính khác máy in Mạng máy tính tổ chức sử dụng chủ yếu để chia sẻ, dùng chung tài nguyên cho phép giao tiếp trực tuyến bao gồm gửi nhận thông điệp hay thư điện tử, giao dịch, bn bán mạng, tìm kiếm thơng tin mạng Nhưng chia tài nguyên mạng phải đề cập đến độ bảo mật tài nguyên cần chia tránh kẻ xâm nhập bât hợp pháp truy cập vào hệ thống chúng ta, điều nảy sinh chương trình, phần cứng hay phần mềm hỗ trợ để quản lý kiểm soát tài nguyên ra, vào hệ thống, phần mềm hỗ trợ thông thường ISA 2004, ISA 2006, COMODO Firewall, iptables, TCP Wrappers… chúng có chung xu hướng bảo quản lý hệ thống mạng bên trước tin tặc truy cập bất hợp pháp Điều nảy thúc đẩy em tìm hiểu đề tài Lý chọn đề tài : Trước trien khai mộ t hệ thong mạ ng thı̀ đieu quan trọ ng nhat là khâ u thiet ke hệ thong mạ ng, là m the nà o đe hệ thong củ a chú ng ta vậ n hà nh mộ t cá c trơn tru và hiệ u quả , bên cạnh ta khơng thể khơng tự đặt câu hỏi cho hệ thống mạng vận hành trơn tru có đủ độ an tồn bảo mật hay chưa? điều không quan trọng doanh nghiệp nhỏ quan trọng doanh nghiệp lớn, tổ chức mang tầm cở quốc gia thông tin họ nhạy cảm nên để đảm bảo độ an toàn cho hệ thống mạng cần phải thiết lập sách quản trị phù hợp, điều thơi thúc em nghiên cứu tìm tịi ứng dụng phần cứng, phần mềm FIREWALL tương thích hệ điều hành phổ biến Windows, Linux Trong phần em nghiên cứu chủ yếu ứng dụng Iptables Linux, tạo sách để quản trị hệ thống mạng dựa iptables quản lý liệu vào hệ thống, đảm bảo hệ thống bảo vệ mức tối đa Em sử dụng iptables hệ điều hành Linux Centos version 5.8 Bố cục đề tài : Đề tài gồm có chương Chương I : Tổng quan mạng máy tính bảo mật mạng Tong quan ve hệ thong mạ ng và phâ n tı́ch cá c nguy đe doạ hệ thống mạng hướng giải quyết, phương pháp để phò ng thủ hệ thống mạng Chương II : Tổng quan Firewall Iptables Giới thiệu vấn đề Firewall, phân loại Firewall, kiến trúc Firewall chế làm việc chúng TÀI LIỆU THAM KHẢO Tiếng Việt [1] Phạm Hoàng Dũng, Linux tự học 24 giờ, NXB Thống Kê, 2005 [2] Nguyễn Thúc Hải, Mạng máy tính hệ thống mở, NXB Giáo dục, 1999 [3] Nguyễn Phương Lan, Hồng Đức Hải, Lập trình LINUX, NXB Giáo Dục, 2001 [4] Nguyễn Hồng Thái, Cài đặt cấu hình Iptables, TP Hồ Chí Minh [5] Trần Nhật Huy– Hoà ng Hả i Nguyê n – Ngô Trı́ Hù ng Nam,Từng bước làm quen với Iptables, TP Hồ Chí Minh, 12/2006 Chương III : Triển khai hệ thống Firewall Iptables cho mạng công ty TNHH Vươn Cao Triển khai cấu hình hệ thống Firewall Những đạt CHƯƠNG I TỔNG QUAN VỀ MẠNG MÁY TÍNH VÀ BẢO MẬT MẠNG Đề tài sâu phân tích làm rõ nét tổng quan hệ thong tường lửa cũ ng trien khai mộ t hệ thong tường lửa được ứng dụ ng mạ nh và mien phı́ hiệ n là iptables Những phần chưa đạt I.1 GIỚI THIỆU MẠNG MÁY TÍNH VÀ MƠ HÌNH MẠNG I.1.1 Giới thiệu mạng máy tính I.1.1.1 Mạng máy tính gì? Mạng máy tính tập hợp máy tính kết nối với đường truyền vật lý theo cấu trúc để đáp ứng yêu Đề tài nhiều thiếu sót Chưa sâu đánh giá giải thích nguyên tắc hoạt động cụ thể Firewall… Phần lý thuyết tổng quát chỉ sơ lược tóm tắt chưa sâu nghiên cứu kı̃ lưỡng van đề Phần thử nghiệm chạ y trê n má y ả o thı̀ đã thà nh cô ng chưa á p dụ ng trê n thực te Hướng mở rộng cầu người dùng I.1.1.2 Vai trò mạng máy tính ? - Khả sử dụng chung tài nguyên - Tăng độ tin cậy hệ thống - Nâng cao chất lượng hiệu khai thác thông tin mạng  Đáp ứng nhu cầu hệ thống ứng dụng kinh doanh đại - Khai thá c phoi hợp cá c luậ t củ a iptables đe bả o vệ mạ ng - Tı́ch hợp hệ thong Snort và o hệ thong - Trien khai cho mộ t mô hı̀nh cô ng ty cụ the Đà Nẵng, Ngày 26 tháng năm 2013 Sinh viên thực  Cung cấp thống liệu I.1.2 Mơ hình mạng máy tính I.1.2.1 Mơ hình khách- chủ (Client- Server) Các máy trạm nối với máy chủ, nhận quyền truy nhập mạng tài nguyên mạng từ máy chủ Đối với Windows NT máy tổ chức thành miền (domain) An ninh domain quản lý số máy chủ đặc biệt gọi domain controller Võ Vă n Vương - Cài đặt cấu hình Webs Cài đặt cấu hình FTPs III.3.3.5 Thiết kế sách cho irewall dành cho cơng ty Vươn Cao Thiết lập sách dựa vào mơ hình mạng giả i phá p á p dụ ng cho cơng ty Hình 1.1 Mơ hình Client – Server + Cho phép vùng Internal truy cập Internet I.1.2.2 Mô hình mạng ngang hàng truy (Peerto-DMZ Peer) + Cho phép vùng Internal cập I.2 CÁC PHƯƠNG PHÁP TẤN CÔNG MẠNG + Cho phép người dùng bên truy cập DMZ với cá c I.2.1 Main in đươ thẹ middle cong dịch vụ c ho trợattack 80,443,53,21,25… Đây côngtruy cổ điển sử dụng + Cấmkỹvùthuật ng Internal cậpnhưng đến cá c web khô ng làcho nh mạ nh đến ngày hôm nay, kiểu công thường dùng cho mạng không Chặn cuộcDNS, cơng từ quyền bên ngồi DOS đánh dây như+giả mạo ARP, chiếm điều vào khiển Sestion, cắp Cookies Hamster Ferret… III.3.4 Một số hình ảnh minh họa Hình 1.3 Mơ hình ARP- spoofing KẾT LUẬN Kiểu cơng dụng lươ kiểu giảngmạo - má y tı́này nh, thường moi má yđược có 2sử card mạ ng lan ̣ t đó vai trò là irewall và irewall ARP, hiểu cách công giả mạo phần hình - Hệ đieu hà nh Linux (Centos 5.8) dung hình thức phương thức công này.Việc sử dụng kỹ Đe tien hà nh trien khai giả i phá p trê n ta sẽ demo mô hı̀nh trê n thuật authentication để nâng cấp bảo nen tảencryption ng má y ả ovà , đó ta can chuan bị ̃ ngviệc thiet bị mật sau : liệu hackers cịn có thễ thâm nhập vào hệ thống bạn dựa - máy cài hệ điều hành Linux Centos có: vào hoạt động giao thức Hackers sử dụng thiết bị + máy đóng vai trị irewall có card mạ ng khơng có thật người dùng cuối mạng không dây Hackers sử là eth0 eth1 dụng tools để tìm gói tin arp điều + má y đó ng và i trò là irewall có card mạ n g khiển mạng bạn eth1 cũ ngcủa là eth0 + máy đóng vai trị FTPs WEBs có NIC eth0 I.2.2 Tấn cơng DoS Cá c má y Client đặ t đị a chı̉ ip thuô ̣ c lớp internal Tấn- công DoS kiểuđươ tấṇ ccông mà người mà người côngđe tien hà nh kiem tra sự thực thi củ a luậ t làm cho hệ thống nạn nhân sử dụng làm cho hệ Bả ng phâ n chia địa chı̉ IP cho cá c NIC theo mô hı̀nh thống bị chậm cách đáng kể so với người sử dụng bình thường cách làm tải tài nguyên hệ thống Nếu kẻ công khả xâm nhập vào hệ thống chúng cố gắng làm cho hệ thống bị sụp đổ khơng có khả phục vụ người dùng bình thường gọi cơng Denial of Service I.2.2.1 Các mục đích cơng DoS Cố gắng chiếm băng thông mạng làm hệ thống mạng bị ngập III.3.3 Các bước triển khai III.3.3.1 Lắp đặt thiết bị theo sơ đồ logic lụt III.3.3.2 Cấu hình máy Firewall Cố gắng ngắt kết máy ngăn chặn truy cập vào dịch III.3.3.3 Cấu hình máy Firewall vụ III.3.3.4 Cài đặt cấu hình vùng DMZ III.3 TRIỂN KHAI HỆ THỐNG FIREWALL TRÊN IPTABLES CHO MẠNG CỦA CÔNG TY TNHH VƯƠN CAO III.3.1 Sơ đồ logic áp dụng giải pháp Ngăn chặn người dùng truy cập dịch vụ cụ thể dấu hiệu công DoS thường nhận thấy tắt mạng, tổ chức khơng hoạt động, tài bị mất… I.2.2.2 Mục tiêu mà kẻ công thường sử dụng công DoS I.2.3 Tấn công DDoS I.2.3.1 Các đặc tính cơng DDoS I.2.3.2 Tấn cơng DDoS khơng thể ngăn chặn hồn tồn I.3 CÁC KỸ THUẬT TẤN CÔNG MẠNG PHỔ BIẾN I.3.1 Nghe (sniffing) Theo tên gọi, kỹ thuật không công trực diện vào máy người dùng (client) hay máy chủ (server), mà nhằm vào khơng gian truyền liệu máy Sniffing kỹ thuật quản trị viên dùng theo dõi, chuẩn đoán, phát cố nhằm giúp cải thiện hoạt động hệ thống mạng Tuy nhiên, kỹ thuật sau bị biến tướng, trở thành công cụ đắc lực phục vụ mục đích Hình 3.2 - Sơ đo logic hệ thong mạ ng ứng dụ ng irewall - 192.168.1.x/24 internet 172.16.0.x/16 10.0.0.x/8 internal Lớp mạ ng noi ngoà i Lớp mạ ng vù ng DMZ Lớp mạ ng nộ i bộ bê n - thu thập trái phép thông tin nhạy cảm, tên tài khoản, mật khẩu, credit card,… người dùng luân chuyển mạng I.3.2 Qt thăm dị ( Scanning) Phần lớn thơng tin quan trọng từ server có từ bước Xác định hệ điều hành, xác định hệ thống có chạy khơng, tìm III.3.2 Các chương trình thiết bị cần thiết cho giải pháp hiểu dịch vụ chạy hay lắng nghe, tìm hiểu lỗ hổng, Tuy là xâ y dựng sơ đo hệ thong mới chú ng ta van tậ n dụ ng triệ t đe những thiet bị củ a hệ thong cũ mà van đá p ứng tot được yê u cau, với mô hı̀nh mới thı̀ cô ng ty chı̉ can mua thê m cá c thiet bị sau : kiểm tra cổng, xác định dịch vụ sử dụng giao thức TCP UDP Những thông tin giúp cho hacker có kế hoạch cơng hợp lý, việc chọn kỹ thuật công Quét giúp định vị hệ thống hoạt động mạng hay khơng Một hacker chân sử dụng cách đề tìm kiếm thơng tin hệ thống đích I.3.3 Social Engineering I.3.4 Reverse engineering I.3.5 Tấn công tràn đệm (Buffer Overflow) I.3.6 Tấn công cách cài worm,virus trojan I.3.6.1 Virus máy tính I.3.6.2 Worm I.3.6.3 Trojan Horse I.4 PHÒNG THỦ MẠNG Hầu hết giới nghiên cứu kỹ lưỡng kỹ thuật cơng tìm kiếm nhược điểm nhằm mục đích vơ hiệu hóa phương thức cơng Cơng cụ để triển khai phịng thủ khơng khác ngồi hệ thống dựng lên với sách luật riêng tường lửa, hệ thống xác thực, mã hóa, phân quyền, năm 2013 nhiều gấp lần kỳ năm trước tình trạng chung nhân viên truy cập vào trang Email giám đốc kế toán trưởng bị xem trộm, vấn đề nhạy cảm cần có phương án cấp bách để ngăn chặn tình trạng xảy lần trước tìm thủ phạm Công việc làm ăn công ty thuận lợi ngày mở rộng, yêu cầu phải xây dựng mơ hình cơng ty phù hợp với tình hình sở hạ tầng hệ thống mạng công ty phải đảm bảo tính mở.Trong thời gian tới cơng ty tiến hành public server internet, xây dựng website hồn chỉnh nhằm quảng bá hình ảnh cơng ty để phù hợp với xu phát triển thị trường Ngoài việc xây dựng hệ thống mạng mang tính oan tồn, bảo mật phải đáp ứng tính sẵn sàng hệ thống mạng địi hỏi cần nâng cấp triển khai sách cơng ty Những thô ng tin trê n là hoi chuô ng cả nh bá o can có những thay đoi và phả i xâ y dựng lạ i mộ t hệ thong mạ ng phù hợp khac phụ c được những điem yeu củ a hệ thong mạ ng hiệ n tạ i củ a cô ng ty và phả i đá p ứng được những yê u cau an toà n đặ t cũ ng phù hợp với việ c quả n lý sau nà y vá lỗi lổ hổng bảo mật, IDS,honeynet,honeysport… Người quản trị phải cập nhật kiến thức thường xun thử đóng vai trị người cơng vào hệ thống từ xây dựng phương án phịng thủ phù hợp I.4.1 Các ngun tắc cơng tác phịng thủ mạng I.4.1.1 Nguyên tắc chỉnh thể I.4.1.2 Nguyên tắc quy phạm III.2.2 Đề xuất giải pháp Xây dựng hệ thống Firewall lớp theo mơ hình đề xuất đề xuất có khả khắc phục hầu hết nhược điểm có mơ hình cơng ty Mơ hình có nhiều ưu điểm có tính khả thi cao đáp ứng vấn đề cấp thiết, oan tồn, bảo mật, chi phí thấp I.4.1.3 Nguyên tắc độ thích ứng I.4.1.4 Nguyên tắc đồng I.4.2 Đánh giá nguy hệ thống mạng I.4.3 Một số kỹ thuât phòng thủ I.4.3.1 Anti DDoS I.4.3.2 Anti ARP- snoofing I.4.3.3 Anti SSL (man- in- the- middle) Hình 3.1 - Sơ đo logic hệ thong mạ ng á p dụ ng III.1.2 Phân tích sơ đồ hệ thống - Mơ hình mạng mà cơng ty áp dụng mạng ngang hàng Vùng DMZ nằm chung lớp mạng với vùng Inside Hệ thống không bảo vệ phản ứng yếu ớt bị công… III.2 HIỆN TRẠNG MẠNG CỦA CTY VƯƠN CAO ĐANG SỬ DỤNG III.2.1 Hiện trạng bị công Trong q trình hoạt động cơng ty mà phận kỹ thuật ghi nhận có tổng cộng công DDoS vào hai máy FTP server WEB server công ty tháng đầu - d CHƯƠNG II - i TỔNG QUAN VỀ FIREWALL VÀ IPTABLES II.1 TỔNG QUAN VỀ FIREWALL II.1.1 Firewall gì? - o II.1.1.1 khái niệm Firewall Trong công nghệ mạng thông tin, Firewall kỹ thuật được tı́ch hợp vào hệ thống mạng để chống truy cập trái phép, nhằm bảo vệ nguồn thông tin nội hạn chế xâm nhập khơng mong muốn vào hệ thống Cũng hiểu Firewall chế (mechanism) để bảo vệ mạng tin tưởng (Trusted network) khỏi mạng khô ng tin tưởng (Untrusted network) Thô ng thường Firewall được đặt mạng bên (Intranet) công ty, tổ chức, ngành hay quốc gia, Internet Vai trò bảo mật thơng tin, ngăn chặn truy nhập khơng mong muốn từ bên ngồi (Internet) cấm truy nhập từ bên (Intranet) tới số địa định Internet Destination để ip đích Phù hợp điều kiện INPUT gói liệu vào Firewall Phù hợp điều kiện OUTPUT gói liệu khỏi Firewall Bảng 2.3 Các tham số chuyển mạch quan trọng iptables II.2.2.6 Những module kernel cần thiết II.2.2.7 lưu cấu hình script cho iptables II.2.2.8 Khắc phục cố iptables CHƯƠNG III TRIỂN KHAI HỆ THỐNG FIREWALL TRÊN IPTABLES CHO MẠNG CỦA CÔNG TY TNHH VƯƠN CAO III.1 GIỚI THIỆU HỆ THỐNG MẠNG CÔNG TY TNHH VƯƠN CAO III.1.1 Sơ đồ logic hệ thống mạng cơng ty áp dụng Hình 2.1 Mô hı̀nh mạ ng sử dụ ng tường lửa - Target: Là chế hoạt động iptables, dùng để nhận diện kiểm tra packet Các target xây dựng sẵn iptables : MASQUERADE, SNAT, DNAT, REJECT, LOG, DROP, ACCEPT II.2.2.5 Các tham số chuyển mạch quan trọng iptables Lệnh switching Ý Nghĩa quan trọng Nếu bạn khơng rõ tables nào, - t filter tables áp dụng Có loại table filter, nat, mangle Nhảy thêm chuỗi targer - j - I - A -F - p gói liệu phù hợp quy luật Insert thêm rule vào đầu chain Nối thêm quy luật vào cuối chain II.1.1.3 Firewall khơng làm gì? II.1.1.4 Nguyên lý hoạt động Firewall Khi nói đến việc lưu thông liệu mạng với thông qua Firewall điều có nghĩa Firewall hoạt động chặt chẽ với giao thức TCP/IP Vì giao thức làm việc theo thuật toán chia nhỏ liệu nhận từ ứng dụng mạng, hay nói xác dịch vụ chạy giao thức (Telnet, SMTP, DNS, SMNP, NFS ) thành gói liệu (data pakets) gán cho paket địa để nhận dạng, tái lập lại đích cần gửi đến, loại Firewall liên quan nhiều đến Packet số địa chúng Bộ lọc gói cho phép hay từ chối Packet mà nhận Nó kiểm tra tồn đoạn liệu để định xem đoạn liệu có thoả mãn số luật lệ lọc gói hay khơng Các luật lệ lọc gói dựa thông tin đầu Packet (Packet Header ), dùng phép truyền Packet mạng Đó : • Địa IP nơi xuất phát ( IP Source address) • Địa IP nơi nhận (IP Destination address) • Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel) Phù hợp với giao thức (protocols), thơng • Cổng TCP/UDP nơi xuất phát (TCP/UDP source port) thường giao thức icmp, tcp, • Cổng TCP/UDP nơi nhận (TCP/UDP destination port) • Dạng thơng báo ICMP (ICMP message type) • Giao diện Packet đến (Incomming interface of Packet) • Giao diện Packet (Outcomming interface of Packet) Xóa hết tất quy luật bảng chọn udp all - s II.1.1.1 Firewall làm gì? Source để ip nguồn II.2.2.2 Nguyên tắc triển khai Firewall iptables II.2.2.3 Cơ chế xử lý iptables Nếu luật lọcliệu góiđề thoả mãn chuyển Tất góilệdữ kiểm trathì bởiPacket Iptables cách qua Firewall Nếu không Packet bị bỏ Nhờ mà Firewall dùng xâu dựng sẵn (queues) Có loại bảng là: ngăn cản kết nối vào máy chủ mạng xác định,Chịu hoặctrách khóanhiệm việc truy cậpđổi vàocác hệ bits thống mạng nội - Mangle: thay chất lượng dịch vụ TCP header TOS (type of service), TTL (time to từ địa không cho phép live) MARK II.1.1.5 Phân tích cấu trúc gói ip - Filter: Chịu trách nhiệm lọc gói liệu Nó gồm có II.1.1.6 Chức Firewall quy tắc nhỏ (chain) - Tường lửa quyet định những người nà o, những dịch vụ Forwoard Lọc gói server nà o từ bê n +trong đượ c chain: phé p truy cậ pkhi bêđến n ngoà i và khác cả những dịch vụ từ bê n ngoà i nà o đươ ̣ c phé p truy câ ̣ p và o bê n + Input chain: Lọc gói ki vào server - Trien khai giá m sá t cá c sự kiệ n an ninh mạ ng : hệ thong + Output chain: Lọc gói khihêđi khỏi server cả nh bá o, IDS và IPS có the trien khai ̣ thong tươ ̀ ng lửa - Trien khai mộ t và i chức nă ng trê n nen tường lửa : NAT, - Nat: Gồm có loại Nat ta thường gọi Nat Outbound thong kê , logs… Nat Inbound - Đe tường lửa là m việ c hiệ u quả , tat cả trao đoi thô ng tin từ ngoà i và ngược lạ i đeu phả i thực hiệ n thô ng qua tường lửa II.1.1.7 Ưu nhược điểm dùng Firewall II.1.1 Phân loại Firewall - Packet Flitering: hệ thống Firewall cho phép chuyển thông tin hệ thống ngồi mạng có kiểm sốt - Application- proxy Firewall: hệ thống Firewall thực kết nối trực tiếp từ máy khách yêu cầu II.1.2.1 Packet flitering Hình 2.6 Q trình lọc gói tin qua Firewall - Kiểu Firewall chung kiểu dựa mức mạng mơ hình Firewall mạng thường hoạtđến động theo nguyên tắc - OSI Jumps: Là mức chế chuyển packet target Firewall đượctác gọikhác Router/Firewall, có nghĩa tạo để xử lý thêmhay mộtcịn số thao II.2.1.1 Q trình hình thành linux II.2.1.2 Các phiên Linux hệ điều hành mạnh nhanh nay, với số lượng người dùng không ngừng tăng cao Linux đánh giá nhỉnh hệ điều hành window tốc độ lẫn giá thành Linux cung cấp cho người dùng tính hiệu cao, tốc độ xử lý nhanh, chi phí bỏ dường khơng có tức hồn tồn miễn phí Hệ điều hành Linux thật đáng tin cậy, bảo mật an ninh tốt, giao diện tùy biến, thích hợp cho doanh nghiệp luật cho phép quyền truy cập mạng dựa mức mạng Mơ hình hoạt động theo nguyên tắc lọc gói tin (Packet Flitering) II.1.2.2 Application- proxy Firewall - Kiểu Firewall hoạt động dựa phần mềm kết nối từ người dùng đến mạng sử dụng Firewall kiểu kết nối bị chặn lại, sau Firewall kiểm tra trường có liên quan gói tin yêu cầu kết nối Nếu việc kiểm tra thành cơng, có nghĩa trường thơng tin đáp ứng luật đặt Firewall Firewall tạo cầu kết nối node với II.1.3 Các hệ Firewall thường dùng II.1.3.1 Firewall lọc gói tin Có hàng chục phiên Linux cung cấp miến phí : + Fredora + Ubuntu + Arch Linux Distros + Open SUSE + CentOS + Debyan GNU…… II.2.2 Tổng quan IPTables Tường lửa lọc gói tin : cơng nghệ tường lửa hệ phân tích lưu lượng mạng tầng vận chuyển (transport protocol layer) II.1.3.2 Firewall mức giao vận (Circuit Level Firewall) II.1.3.3 Firewall mức ứng dụng II.1.3.4 Firewall lọc gói tin động II.1.4 Một số phần mềm Firewall thơng dụng II.2.2.1 Iptables ? II.1.4.1 Packet filtering Iptables chương trình chạy khơng gian người dùng, cho phép người quản trị hệ thống cấu hình bảng tường lửa nhân Linux (được cài đặt mô đun Netfilter khác nhau) lưu trữ chuỗi, luật Kiểu lọc gói tin thực mà khơng cần tạo Firewall hồn chỉnh, có nhiều cơng cụ trợ giúp cho việc lọc gói tin Internet (kể phải mua hay miễn phí ) Sau ta liệt kê số tiện ích vậy: Iptables yêu cầu quyền cao cấp hệ thống để hoạt động phải người dùng root thực thi, không số chức chương trình khơng hoạt động II.1.4.2 TCP_wrappers II.1.4.3 Netgate II.1.4.4 Internet packet filter II.1.4.5 Application- proxy Firewall II.1.5 Các kiến trúc Firewall II.1.5.1 Dual homed host II.1.5.1.a Mô hı̀n h Hình 2.4 Sơ đồ kiến trúc Screened Host II.1.5.2.b Đá nh giá II.1.5.3 Screened subnet host II.1.5.3.a Mô hı̀n h Hình 2.3 Sơ đồ kiến trúc Dual – Homed Host II.1.5.1.b đánh giá kiến trúc Dual homed host II.1.5.2 Screened host II.1.5.2.a Mơ hình Hình 2.5 Sơ đồ kiến trúc Screened Subnet Host II.1.5.3.b Đá nh giá II.2 TỔNG QUAN VỀ LINUX VÀ IPTABLES II.2.1 Tổng quan Linux