Với mong muốn hoàn thiện cho bản thân những kiến thức để đáp ứng tốt cho công việc trong tương lai, em xác định là cần phải hiểu biết cả về lý thuyết và thực hành. Trong suốt quãng thời gian nghiên cứu, học tập trên giảng đường về cơ bản lý thuyết em đã được trang bị đầy đủ. Nhưng thực tại cho thấy giữa lý thuyết và thực hành có rất nhiều điểm khác nhau, nếu chỉ nắm vững lý thuyết mà không có thực hành thì kết quả sẽ không tốt hoặc đi chệch hướng. Nhận thức được điều đó, em thấy được tầm quan trọng của quá trình thực tập. Trong giai đoạn thực tập sẽ trang bị cho em những kiến thức thực tế. Vì được quan sát trực tiếp, được thực hành công việc từ đó em sẽ có thêm kiến thức để hỗ trợ cho các vấn đề lý thuyết đã được học. Hơn nữa từ thực tế ở công ty sẽ trang bị thêm cho em những kinh nghiệm quý báu trong công việc mai sau. Qua tìm hiểu được biết Công ty Bway là công ty đã và đang khẳng định vị thế trong các lĩnh vực như: Tích hợp hệ thống, Dịch vụ phần mềm, Viễn thông – Phân phối các sản phẩm ICT. Công ty đã từng bước đi lên và trở thành một công ty có uy tín trong lĩnh vực Tích hợp hệ thống và Phân phối các sản phẩm ICT. Được sự giúp đỡ tận tình của phòng Tích hợp hệ thống của Công ty cùng với sự giúp đỡ của Phó Giám Đốc Nguyễn Đức Kiểm, em đã trình bày báo cáo tổng hợp tại Công ty Bway. Trong thời gian thực tập với những công việc và nhiệm vụ được giao em chia bản báo cáo thành 3 phần với những nội dung như sau: Chương 1. Tổng quan về đơn vị thực tập Giới thiệu về đơn vị thực tập Chương 2: Tìm hiểu về Firewall cứng Trình bày khái niệm, phần loại, chức năng, nhiệm vụ và cơ chế hoạt động của Firewall Chương 3: Triển khai dự án mạng tại Trường Cao đẳng Công nghệ Việt – Hàn Bắc Giang Trình bày về công việc được giao thực hiện khi tham gia triển khai dự án
MỤC LỤC DANH MỤC HÌNH VẼ Hình : Tường lửa lọc gói Hình 2: Tường lửa dịch vụ ủy thác Hình 3: Hoạt động Standard ACL Hình 4: Topology dự án Bắc Giang 15 16 19 25 LỜI MỞ ĐẦU Với mong muốn hoàn thiện cho thân kiến thức để đáp ứng tốt cho công việc tương lai, em xác định cần phải hiểu biết lý thuyết thực hành Trong suốt quãng thời gian nghiên cứu, học tập giảng đường lý thuyết em trang bị đầy đủ Nhưng thực cho thấy lý thuyết thực hành có nhiều điểm khác nhau, nắm vững lý thuyết mà khơng có thực hành kết khơng tốt chệch hướng Nhận thức điều đó, em thấy tầm quan trọng trình thực tập Trong giai đoạn thực tập trang bị cho em kiến thức thực tế Vì quan sát trực tiếp, thực hành cơng việc từ em có thêm kiến thức để hỗ trợ cho vấn đề lý thuyết học Hơn từ thực tế công ty trang bị thêm cho em kinh nghiệm q báu cơng việc mai sau Qua tìm hiểu biết Công ty Bway công ty khẳng định vị lĩnh vực như: Tích hợp hệ thống, Dịch vụ phần mềm, Viễn thông – Phân phối sản phẩm ICT Công ty bước lên trở thành công ty có uy tín lĩnh vực Tích hợp hệ thống Phân phối sản phẩm ICT Được giúp đỡ tận tình phòng Tích hợp hệ thống Cơng ty với giúp đỡ Phó Giám Đốc Nguyễn Đức Kiểm, em trình bày báo cáo tổng hợp Công ty Bway Trong thời gian thực tập với công việc nhiệm vụ giao em chia báo cáo thành phần với nội dung sau: Chương Tổng quan đơn vị thực tập Giới thiệu đơn vị thực tập Chương 2: Tìm hiểu Firewall cứng Trình bày khái niệm, phần loại, chức năng, nhiệm vụ chế hoạt động Firewall Chương 3: Triển khai dự án mạng Trường Cao đẳng Công nghệ Việt – Hàn Bắc Giang Trình bày cơng việc giao thực tham gia triển khai dự án CHƯƠNG TỔNG QUAN VỀ ĐƠN VỊ THỰC TẬP 1.1 Giới thiệu chung Được thành lập ngày 28/09/20012 nhóm chuyên gia giàu kinh nghiệm lĩnh vực Cơng nghệ thơng tin Tích hợp hệ thống Cơng ty Bway khẳng định vị thị trường thông qua hoạt động kinh doanh chủ lực như: Tích hợp hệ thống, Dịch vụ phần mềm, Viễn thông – Phân phối sản phẩm ICT Lĩnh vực hoạt động Bway bao gồm: Cung cấp giải pháp công nghệ thông tin, cung cấp thiết bị tin học, tích hợp hệ thống, dịch vụ phần mềm, chuyển giao công nghệ cung cấp dịch vụ bảo hành, bảo trì sản phẩm CNTT Với cấu gọn nhẹ, khả tài vững mạnh với chiến lược quản trị doanh nghiệp rõ ràng, Bway ngày khẳng định vị trí vị lĩnh vực Công nghệ thông tin Việt nam 1.2 Phương châm hoạt động Với phương châm “Chi phí - Thời gian - Hiệu - Chất lượng” phù hợp với nhu cầu cá nhân, quan tổ chức, doanh nghiệp Bway tin tưởng đem lại cho khách hàng hài lòng lực công nghệ, kinh nghiệm thực tế, lĩnh nghề nghiệp phong cách làm việc chuyên nghiệp sáng tạo Chi phí Chất lương Phương châm hoạt động Thời gian Hiệu Đối với Bway hài lòng khách hàng giá trị sống doanh nghiệp Chính điều quan trọng hàng đầu chiến lược kinh doanh công ty cam kết mang lại hiệu tối ưu cho khách hàng giải pháp cơng nghệ hữu ích hết chất lượng dịch vụ thể nguyên tắc phục vụ khách hàng - Đáp ứng nhanh chóng hiệu yêu cầu khách hàng Đảm bảo phục vụ, hỗ trợ liên tục dịch vụ mà công ty cung cấp Nhiệt tình, chu đáo với thái độ nhanh nhẹn, hòa nhã Đảm bảo cung cấp dịch vụ với giá hợp lý sức cạnh tranh cao Luôn quan tâm đến sách đào tạo nhân viên để đảm bảo tính chuyên môn cao Chất lượng yếu tố định hài lòng khách hàng thành cơng Cơng ty Vì Bway dành ưu tiên hàng đầu cho công tác đảm bảo chất lượng Bway cam kết cung cấp cho khách hàng sản phẩm dịch vụ phần mềm chất lượng cao, thời hạn với giá hợp lý 1.3 Giá trị cốt lõi Hướng tới khách hàng Con người trung tâm Cam kết hoàn thiện Phát triển bền vững - Hợp tác chia sẻ Hướng tới khách hàng: Phục vụ khách hàng với sản phẩm, dịch vụ an toàn hiệu với chất lượng tốt Mọi hoạt động kinh doanh công ty hướng đến nhu cầu hài lòng khách hàng Sự hài lòng khách hàng - sứ mệnh Bway, giúp công ty phát triển trường tồn Cam kết hồn thiện: Cơng ty chủ động nắm bắt trước nhu cầu khách hàng khơng ngừng hồn thiện sáng tạo sản phẩm dịch vụ tại, đưa sản phẩm dịch vụ mới, đáp ứng nhu cầu ngày cao đa dạng thị trường Chúng mong muốn cung cấp "sự hoàn hảo dịch - vụ" Bway Hợp tác chia sẻ: hành động tinh thần hợp tác với khách hàng, đối tác, - CBNV để tạo chia sẻ lợi ích dài hạn, bền vững Phát triển bền vững: Bway cam kết tạo giá trị bền vững, đặt trọng tâm vào lợi ích dài hạn cho khách hàng - Con người trung tâm: Chúng tin tưởng người yếu tố quan trọng nhất, nguồn vốn tổ chức Với “nguồn vốn” dồi mình, chiến lược đắn, công ty không ngừng vươn xa phát triển mạnh mẽ 1.4 Nội quy lao động công ty 1.4.1 Quy định thời gian làm việc ngày nghỉ công ty - Thời gian làm việc buổi sáng: Từ 8h00 - 12h Thời gian làm việc buổi chiều: Từ 13h – 17h CBCNV nghỉ chiều thứ bảy ngày chủ nhật hàng tuần Các hình thức xử lý vi phạm thời gian làm việc: làm muộn, vắng mặt làm việc khơng có lý do…như sau: Đối với cá nhân vi phạm: - Trừ điểm hoàn thành nhiệm vụ tháng theo quy định Khiển trách: Vi phạm từ 03 lần trở lên 01 tháng, 03 tháng 01 năm Xem xét chuyển loại hình HĐLĐ thường xuyên bị khiển trách Các trường hợp thường xuyên bị khiển trách không xét thưởng cuối - năm Kéo dài thời hạn nâng lương tháng bị sa thải thường xuyên bị khiển trách Đối với tập thể có cá nhân vi phạm: - Tập thể bị trừ điểm hoàn thành nhiệm vụ hàng tháng theo quy định Xem xét để đánh giá xét thưởng cuối năm tùy thuộc vào mức độ vi phạm tập thể có cá nhân vi phạm 1.4.2 Quy định ngày nghỉ Lễ, Tết, nghỉ phép, nghỉ chế độ Nghỉ lễ tết, nghỉ phép: CÁC NGÀY NGHỈ SỐ NGÀY ÁP DỤNG SỐ NGÀY NGHỈ Tết âm lịch 01 ngày cuối năm 03 ngày đầu năm 04 ngày Tết dương lịch 01 tháng 01 01 ngày Ngày giải phóng 30 tháng 04 01 ngày Ngày quốc tế LĐ 01 tháng 05 01 ngày Ngày Quốc khánh 02 tháng 09 01 ngày Ngày giỗ tổ Hùng vương Ngày 10 tháng âm lịch hàng năm 01 ngày Nghỉ phép năm 12 ngày, CBNV ký HĐLĐ xác định thời hạn vô thời hạn 12 ngày Nghỉ chế độ: - Nghỉ việc riêng có hưởng lương: • Nghỉ kết thân (03 ngày) • Nghỉ kết hơn( 01 ngày) • Bố (đẻ/vợ/chồng), Mẹ(đẻ/vợ/chồng), vợ/chồng/con – (03 ngày) - Nghỉ hưởng lương Bảo hiểm xã hội: • Nghỉ ốm đau, thai sản, tai nạn, bệnh nghề nghiệp • Nghỉ chuẩn bị trước nghỉ hưu - Nghỉ việc khơng hưởng lương: • CBCNV gặp hồn cảnh khó khăn phải nghỉ việc riêng, có lý đáng, có ý kiến đề nghị Trưởng phòng cấp có thẩm quyền phê duyệt • CBCNV có ơng nội, bà nội, ông ngoại, bà ngoại, anh, chị, em ruột bố mẹ tái hôn; anh, chị, em ruột kết hôn nghỉ 01 ngày không hưởng lương phải thông báo để lãnh đạo công ty phê duyệt CHƯƠNG 2: TÌM HIỂU VỀ FIREWALL CỨNG 2.1 Tổng quan Firewall 2.1.1 Khái niệm Thuật ngữ Firewall có nguồn gốc từ kỹ thuật thiết kế xây dựng để ngăn chặn, hạn chế hỏa hoạn Trong công nghệ thông tin, tường lửa (Firewall) thuật ngữ dùng mô tả thiết bị hay phần mềm có nhiệm vụ lọc thơng tin vào hay hệ thống mạng hay máy tính theo quy định cài đặt trước Mục tiêu việc sử dụng tường lửa tạo kết nối an toàn từ vùng mạng bên bên ngồi hệ thống, đảm bảo khơng có truy cập trái phép từ bên ngồi vào máy chủ thiết bị bên hệ thống mạng Một Firewall định nghĩa tập hợp thành phần đặt hai mạng có chung ba đặc điểm sau đây: - Tất lưu lượng từ ngược lại phải qua Firewall Chỉ lưu lượng cho phép ấn định sách bảo mật cục - phép qua Chính Firewall khơng bị ảnh hưởng thâm nhập 2.1.2 Chức Chức Firewall kiểm sốt luồng thơng tin từ Intranet Internet Thiết lập chế điều khiển dòng thơng tin mạng bên (Intranet) mạng Internet - Cho phép cấm dịch vụ truy cập Cho phép cấm dịch vụ từ truy cập vào Theo dõi luồng liệu mạng Internet Intranet Kiểm soát địa truy nhập, cấm địa truy nhập Kiểm soát người sử dụng việc truy cập người sử dụng Kiểm soát nội dung thông tin lưu chuyển mạng 2.1.3 Phân loại Firewall chia làm loại, gồm Firewall cứng Firewall mềm: Firewall cứng: loại Firewall tích hợp trực tiếp lên phần cứng Firewall cứng có khả hoạt động lớp với tốc độ cao giá cao Đặc điểm Firewall cứng: - Không linh hoạt Firewall mềm (không thể thêm chức năng, thêm quy - tắc firewall mềm) Firewall cứng hoạt động tầng thấp Firewall mềm (tầng Network tầng - Transport) Firewall cứng kiểm tra nột dung gói tin Firewall mềm Firewall mềm phần mềm cài đặt máy tính đóng vai trò làm firewall Có loại Stateful Firewall (tường lửa có trạng thái) Stateless Firewall (tường lửa khơng trạng thái) Đặc điểm : - Có tính linh hoạt cao :có thể thêm bớt luật chức chất - phần mềm Firewall mềm hoạt động tầng cao Firewall cứng (tầng ứng dụng) Có khả kiểm tra nội dung gói tin thơng qua từ khóa quy định chương trình 2.1.4 Ưu, nhược điểm Firewall Ưu điểm: - Firewall người cấu hình che dấu mạng nội bên trong, lọc liệu nội dung liệu để ngăn chặn ý đồ xấu từ bên ngồi như: muốn đánh cắp thơng tin mật, muốn gây thiệt tê liệt hệ thống đối thủ - để gây thiệt hại kinh tế Firewall ngăn chặn cơng vào server gây tổn thất lớn cho - doanh nghiệp Ngồi firewall có khả qt virus, chống spam … tích hợp cơng cụ cần thiết Nhược Điểm: - Firewall không đủ thông minh người để đọc hiểu loại thơng tin phân tích nội dung tốt hay xấu Firewall ngăn chặn xâm nhập nguồn thông tin không mong muốn phải - xác định rõ thông số địa Firewall ngăn chặn công cơng khơng “đi qua” Một cách cụ thể, firewall chống lại cơng từ line dial-up, dò rỉ thơng tin liệu bị chép bất hợp pháp lên - đĩa mềm Firewall chống lại công liệu (data-driven - attack) Firewall làm nhiệm vụ rà quét virus liệu chuyển qua Nhưng tốc độ làm việc, xuất liên tục virus có nhiều cách để mã hóa liệu…Virus khỏi khả rà qt firewall 10 2.2.2 Nhiệm vụ Firewall Bảo vệ thông tin - Bảo vệ liệu quan trọng hệ thống mạng nội Bảo vệ tài nguyên hệ thống Bảo vệ danh tiếng công ty sở hữu thơng tin cần bảo vệ Phòng thủ cơng - Ngồi việc bảo vệ thơng tin từ bên hệ thống, Firewall - chống lại cơng từ bên ngồi vào như: Hacker thường sử dụng số chương trình có khả dò tìm thơng tin hệ thống bạn tài khoản password đăng nhập Firewall có khả - phát ngăn chặn kịp thời công theo kiểu công Firewall có khả phát ngăn chặn chương trình Sniff (chương trình có khả chụp lại gói tin truyền mạng) - mà Hacker thường sử dụng để lấy thông tin truyền mạng Hacker hay sử dụng lỗi chương trình ứng dụng thân hệ điều hành sử dụng từ vụ công để chiếm - quyền truy cập (có quyền người quản trị hệ thống) Nghe trộm: Có thể biết tên, mật khẩu, thông tin chuyền qua mạng thông qua chương trình cho phép đưa vỉ giao tiếp mạng (NIC) vào chế độ - nhận toàn thông tin lưu truyền qua mạng Giả mạo địa IP: Hacker thường dung cách để giả mạo máy tính hợp pháp nhằm chiếm quyền điều khiển trình duyệt web máy tính bị cơng 12 - Vơ hiệu hố chức hệ thống (deny service) Đây kiểu công nhằm làm tê liệt tồn hệ thống khơng cho thực chức mà thiết kế Kiểu cơng ngăn chặn phương tiện tổ chức cơng phương tiện để làm việc truy nhập - thông tin mạng Lỗi người quản trị hệ thống: yếu tố người với tính cách chủ quan khơng hiểu rõ tầm quan trọng việc bảo mật hệ thống nên dễ dàng để lộ thông tin quan trọng cho hacker Ngày nay, trình độ hacker ngày giỏi hệ thống mạng chậm chạp việc xử lí lỗ hổng Điều đòi hỏi người quản trị mạng phải có kiến thức tốt bảo mật mạng để giữ vững an tồn cho thơng tin hệ thống Đối với người dung cá nhân, họ hết thủ thuật để tự xây dựng cho Firewall, nên hiểu rõ tầm quan trọng việc bảo mật thơng tin cho cá nhân, qua tự tìm hiểu để biết phòng tránh công đơn giản từ hacker Vấn đề ý thức, có ý thức đề phòng khả an tồn cao Ngồi ra, Firewall có nhiều chức kiểm tra, lọc lưu lượng vào/ra hệ thống, bảo vệ an tồn thơng tin từ bên ngăn chặn cố gắng thâm nhập từ bên vào hệ thống 2.3 Cấu trúc nguyên tắc hoạt động Firewall cứng 2.3.1 Cấu trúc Firewall cứng Khi nói đến việc lưu thơng liệu mạng với thơng qua firewall điều có nghĩa firewall hoạt động kết hợp chặt chẽ với giao thức TCP/IP Vì giao thức làm việc theo thuật toán chia nhỏ liệu nhận từ ứng dụng mạng, hay xác dịch vụ chạy giao thức (Telnet, SMTP, DSN, SMNP, NFS, ) thành gói liệu (data packets) gán cho packet địa để định tuyến, nhận dạng tái lập lại đích cần gửi đến, loại firewall liên quan nhiều đến packet số địa chúng Ngày Firewall xây dựng dựa sở lọc gói (packet filter), cổng ứng dụng (Application gateway), 13 kĩ thuật giám sát trạng thái (Stateful inspecting) Trong phần tơi trình bày kiến trúc firewall dựa theo sư phân loại 2.3.1.1 Firewall lọc gói tin (PACKET FILTERING FIREWALL) Loại firewall thực việc kiểm thông số điều khiển trường header gói tin IP phép chúng lưu thơng qua lại hay khơng Các thơng số lọc gói tin sau: - Địa IP nguồn (source IP address) Địa IP đích (destination IP address) Cổng TCP nguồn (TCP source port) Cổng TCP đích (TCP destination port) Nhờ mà firewall ngăn cản kết nối vào máy chủ mạng xác định, khóa việc truy cập vào hệ thống nội từ địa nguồn khơng cho phép Hơn việc kiểm sốt cổng làm cho firewall có khả cho phép số loại kết nối định vào máy chủ đó, có dịch vụ (Telnet, SMTP, FTP, ) phép chạy hệ thống mạng nội Hình : Tường lửa lọc gói 2.3.1.2 Firewall dịch vụ uỷ thác (PROXY SERVER) Firewall dịch vụ ủy thác thiết bị bình phong bảo mật dùng để phân tích gói liệu chuyển vào Khi gói liệu từ bên đến proxy server, chúng kiểm tra đánh giá để xác định xem sách bảo mật có cho phép 14 chúng vào mạng hay khơng Proxy server không định giá trị địa IP mà xem xét liệu gói để tìm lỗi sửa sai Hình 2: Tường lửa dịch vụ ủy thác Có loại proxy server là: cổng mức mạng cổng mức ứng dụng Gateway mức mạng (Network Level Gateway) - Loại proxy server cung cấp kết nối (có điều khiển) hệ thống nội - ngoại Có mạch ảo người dùng nội proxy server Các yêu cầu Internet qua mạch đến proxy server, proxy server chuyển - giao yêu cầu đến Internet sau thay đổi địa IP Người dùng ngoại thấy địa IP proxy server Các phản hồi proxy server nhận gởi đến người dùng thông qua mạch - ảo Mặc dù luồng lưu thông phép qua, hệ thống ngoại không - thấy hệ thống nội Loại kết nối thường dùng để kết nối người dùng nội “được ủy thác” với Internet Gateway mức ứng dụng (Application level Gateway) - Proxy server mức ứng dụng cung cấp tất chức proxy - server phân tích gói liệu Khi gói từ bên ngồi đến cổng này, chúng kiểm tra đánh giá để xác - định sách an tồn có cho phép gói vào mạng nội hay không Proxy server không đánh giá địa IP, nhìn vào liệu gói để ngăn kẻ đột nhập cất dấu thơng tin 15 - Các sách an tồn mạnh mềm dẻo nhiều tất thơng tin gói người điều hành sử dụng để ghi luật xác định cách xử lý - gói Có thể giám sát dễ dàng việc xảy proxy server Có thể bỏ tên máy tính để che dấu hệ thống bên trong, đánh giá nội dung gói liệu mục đích hợp lý an toàn 2.3.1.3 Kĩ thuật kiểm tra trạng thái (Stateful packet filtering) Một vấn đề với proxy server phải đánh giá lượng lớn thơng tin lượng lớn gói liệu Ngồi ra, phải cài đặt proxy cho ứng dụng Điều ảnh hưởng đến hiệu suất làm tăng chi phí Với kỹ thuật kiểm tra trạng thái, mẫu bit gói liệu so sánh với gói “tin cậy” biết Ví dụ, bạn truy cập dịch vụ bên ngoài, proxy server nhớ thứ yêu cầu ban đầu, số hiệu cổng, địa nguồn đích Cách “nhớ” gọi lưu trạng thái Khi hệ thống bên phản hồi yêu cầu bạn, firewall server so sánh gói nhận với trạng thái lưu để xác định chúng phép vào hay không Vào thời điểm mà kết nối TCP UDP thiết lập theo hướng vào hay khỏi mạng thơng tin đưa vào bảng gọi bảng “stateful session flow table” Bảng gọi bảng trạng thái, bao gồm thơng tin địa nguồn, địa đích, địa cổng, thơng tin số hiệu gói tin TCP cờ dấu thêm vào kết nối TCP hay UDP, kết nối liên kết với phiên Thơng tin tạo đối tượng kết nối gói tin vào so sánh với phiên “bảng phiên có trạng thái” Dữ liệu phép qua firewall tồn kết nối tương ứng xác nhận luân chuyển 2.3.2 Nguyên tắc hoạt động Firewall Firewall hoạt động dựa chế lọc gói tin (packet filtering) 16 Cơ chế lọc gói tin firewall cứng dòng ASA, PIX CISCO dựa hoạt động Access Control List (ACL) hay gọi danh sách điều khiển truy nhập Vậy nguyên tắc hoạt động ACL ACL định nghĩa luật sử dụng để ngăn chặn gói tin lưu thơng mạng Một ACL tập hợp nhiều câu lệnh (statements) liên tiếp dùng để so sánh với thông tin điều khiển trường header gói tin IP, thơng qua mà thiết bị firewall thực hành vi chặn gói tin lại cho phép qua Danh sách điều khiển truy nhập IP (IP access control lists) khiến định tuyến hủy bỏ gói tin dựa tiêu chí đặt người quản trị mạng Mục đích để ngăn chặn lưu lượng khơng phép lưu thơng mạng ngăn chặn kẻ phá hoại công vào mạng nội công ty hay đơn giản người sử dụng truy nhập vào tài nguyên hệ thống mà họ không nên không phép vào ACL ln đóng vai trò quan trọng chiến lược kiểm sốt an ninh cơng ty Một số đặc điểm ACL: - Gói tin bị lọc chúng vào vào cổng, trước - định tuyến Gói tin bị lọc chúng khỏi cổng, sau định tuyến Từ chối (deny) thuật ngữ dùng để nói gói tin bị chặn lại hay bị lọc (filtered), cho phép (permit) có nghĩa gói tin khơng bị lọc mà - phép qua Các logic lọc hay thứ tự luật lọc cấu hình danh sách điều - khiển truy nhập (ACLs) Kết thúc ACL lưu lượng qua không thỏa mãn điều kiện logic ACL tất bị từ chối tức không phép qua cổng Phân loại ACL: có loại ACL bản: danh sách điều khiển truy nhập danh sách điều khiển truy nhập mở rộng (Standard ACL Extended ACL) Standard ACL có cấu trúc đơn giản dễ thực Extended ACL có cấu trúc phức tạp khó thực Danh sách điều khiển truy nhập (Standard IP Access Control Lists) 17 - Chỉ có ngăn chặn gói tin dựa thơng tin địa IP đích (IP source - address) trường header gói tin IP Hoạt động standard ACL sau, giả sử ACL đặt Router với cổng vào lưu lượng cổng S1 cổng cổng E0 Hình 3: Hoạt động Standard ACL Khi gói tin IP vào cổng S1, địa IP nguồn gói tin so sánh với luật đặt câu lệnh ACL, liệu ứng với địa nguồn gói tin phép qua hay chặn lại Nếu có gói tin thỏa mãn (phù hợp) điều kiện lệnh định nghĩa ACL, gói tin cho phép qua bị chặn lại Nếu khơng có phù hợp xảy bước thì, lại quay trở lại bước tìm điều kiện thỏa mãn Nếu kiểm tra xong với tất câu lệnh mà không thỏa mãn với điều kiện gói tin bị từ chối (deny) Danh sách điều khiển truy nhập mở rộng (Extended IP Access Control Lists) Extended ACL vừa có điểm tương tự vừa khác so với Standard ACL 18 Cũng Standard ACL, bạn cho phép áp đặt Extended ACL lên cổng theo chiều vào gói tin IOS firewall so sánh gói tin với lệnh theo thứ tự câu lệnh Nếu câu lệnh mà thỏa mãn dừng việc so sánh với lệnh lại list xác định hành động cần tiến hành với gói tin Tất tính giống với cách xử Standard ACL Điểm khác chủ yếu loại extended ACL sử dụng nhiều thơng tin điều khiển trường header để so sánh standard ACL Standard ACL kiểm tra địa IP nguồn Extended sử dụng thêm địa IP đích, địa cổng, loại ứng dụng, địa MAC, loại giao thức…Điều làm cho Extended ACL kiểm tra lọc nhiều lưu lượng với độ xác an tồn cao Tuy nhiên khó thực phức tạp Standard ACL nhiều So sánh standard ACL extended ACL Loại ACL Các tham số so sánh Địa IP nguồn Phần địa IP nguồn sử dụng wildcard mark địa mạng nguồn Phần địa IP đích sử dụng wildcard mark địa mạng đích Loại giao thức (TCP, UDP, ICMP, IGRP, IGMP, giao thức khác) Cổng nguồn Cổng đích All TCP flows except the first IP TOS IP precedence (quyền ưu tiên) Standard ACL Extandard ACL Extandard ACL 2.3.3 Hạn chế cửa Firewall cứng Firewall khơng thể làm ? Firewall mang lại bảo vệ chống lại mối đe dọa từ mạng bên ngồi Firewall khơng phải biện pháp an ninh toàn diện, số mối đe dọa nằm ngồi tầm kiểm sốt Firewall Do ta cần tìm biện pháp để chống lại mối đe 19 dọa cách kết hợp với an ninh mức vật lý, an ninh máy chủ giáo dục người dùng vào sách an ninh chung Hạn chế so với Firewall mềm: - Không linh hoạt Firewall mềm: firewall cứng hướng theo xu hướng tích hợp tất (ví dụ: khơng thể thêm quy tắc hay chức ngồi chức tích hợp sẵn ) - firewall cứng trước Firewall cứng hoạt động tầng thấp Firewall mềm (Tầng Network tầng - Transport firewall mềm tầng Ứng dụng) Firewall cứng kiểm tra nột dung gói tin firewall mềm Giá thành thiết bị, lắp đặt firewall cứng cao nhiều so với firewall mềm Firewall cứng tích hợp trực tiếp lên phần cứng ( : Router Cisco, Check point, Planet, Juniper….) bị hỏng, lỗi phần cứng làm treo firewall Hạn chế khác: Firewall chống lại mối nguy hại xâm nhập vào bên trong: - Một Firewall kiểm sốt thơng tin bí mật mà user gửi khỏi mạng nội qua kết nối mạng Tuy nhiên user copy liệu vào đĩa, - băng hay giấy mang mà Firewall khơng thể ngăn cản Nếu kẻ công bên Firewall Firewall khơng thể làm Các user bên ăn cắp liệu, phá hủy phần cứng, phần mềm hay thay đổi chương trình mà khơng cần tiếp cận - Firewall Các mối đe dọa nội đòi hỏi biện pháp an ninh nội an ninh máy chủ hay việc giáo dục người dùng Firewall chống lại kết nối mà khơng qua nó: - Một Firewall kiểm sốt hiệu lưu lượng qua nhiên, Firewall khơng thể làm lưu lượng khơng qua Ví dụ, điều xảy site cho phép truy nhập quay số (qua đường điện thoại) vào hệ thống đằng sau Firewall Firewall hồn tồn khơng có cách ngăn cản xâm nhập qua modem 20 - Đôi chuyên gia kỹ thuật quản trị hệ thống mở cửa hậu (BackDoor) vào mạng ( kết nối qua modem dạng quay số ) tạm thời hay cố định Firewall làm trường hợp Đó vấn đề quản lý nhân vấn đề kỹ thuật Firewall khó chống lại mối đe dọa kiểu mới: - Firewall thiết kế để bảo vệ lại mối đe dọa biết Một Firewall thiết kế tốt chống lại mối đe dọa Ví dụ, cách từ chối tất trừ vài dịch vụ tin cậy, Firewall ngăn chặn người thiết lập dịch vụ - khơng an tồn Tuy nhiên, khơng có Firewall tự động bảo vệ để chống lại mối nguy hại nảy sinh Các kẻ cơng tìm cách thức cơng mới, sử dụng dịch vụ tin cậy trước hay sử dụng cách cơng chưa có trước Do khơng thể thiết lập Firewall lần hy bảo vệ ta mãi Firewall khó bảo vệ ta chống lại loại virus: - Firewall giữ cho mạng khỏi tầm ảnh hưởng virus Mặc dù nhiều loại Firewall quét tất lưu lượng đến để định xem có phép vào mạng nội hay không Nhưng việc quét chủ yếu địa đích, địa nguồn số cổng phải nội dung liệu Thậm chí với phần mềm lọc gói proxy phức tạp, việc bảo vệ chống lại virus Firewall không thực tế Đơn giản có nhiều loại virus có nhiều cách để virus giấu liệu Việc phát virus - gói liệu ngẫu nhiên qua Firewall khó Nó đòi hỏi: o Nhận dạng packet phần liệu o Xác định chương trình virus o Xác định xem có thay đổi có virus Thậm chí điều thứ thử thách Hầu hết máy mà Firewall bảo vệ, máy có loại định dạng khác Hơn hầu hết chương trình đóng gói cho việc vận chuyển cững nén lại Các Packet chuyển qua email Usenet news mã hóa dạng ký tự ASCII theo nhiều cách khác 21 - Với tất lý User mang virus qua Firewall mà không cần để ý - đến Firewall Phương pháp thực tế để giải vấn đề virus sử dụng phần mềm bảo vệ chống lại virus dựa máy chủ, việc giáo dục người dùng liên qua tới mối nguy hiểm virus đề phòng chúng CHƯƠNG 3: TRIỂN KHAI DỰ ÁN MẠNG TẠI TRƯỜNG CAO ĐẲNG CÔNG NGHỆ VIỆT – HÀN BẮC GIANG Trong q trình tham gia thực tập Cơng ty, em công ty tạo điều kiện cho tham gia triển khai thực tế dự án mạng Trường Cao đẳng Công nghệ Việt – Hàn Bắc Giang Tên dự án: Triển khai mạng Trường Cao đẳng Công nghệ Việt – Hàn Bắc Giang Đơn vị quản lí dự án: Khoa Công nghệ thông tin, Trường Cao đẳng Công nghệ Việt Hàn Bắc Giang Đơn vị thực dự án: Phòng Tích hợp hệ thống, Cơng ty Bway 22 Thời gian thực hiện: từ ngày 14 đến 19/07/2015 Địa điểm thực hiện: Phòng MDF, Trường Cao Đẳng Cơng nghệ Việt – Hàn, Bắc Giang Địa chỉ: Xã Dĩnh Trì, thành phố Bắc Giang, tỉnh Bắc Giang Hình 4: Topology dự án Bắc Giang Quy trình triển khai dự án: 1) 2) 3) 4) 5) Khảo sát thực địa Xây dựng topo mạng dựa yêu cầu từ phía đơn vị quản lí, lập dự tốn Lập kế hoạch triển khai, báo giá chi tiết gửi đơn vị quản lí dự án Sau duyệt kế hoạch triển khai, tiến hành triển khai thực địa Triển khai thực địa: viết báo cáo công việc tiến độ hàng ngày gửi trưởng nhóm 6) Lập báo cáo dự án; ghi lại tất file cấu hình đĩa, chụp ảnh hình kết test gửi kèm báo cáo 7) Nghiệm thu dự án 23 Trong trình tham gia dự án, em phân công thực công việc sau: Lập kế hoạch triển khai: - Xây dựng topology máy ảo giống topology thật để test thử yêu cầu - phía đơn vị chủ quản In cấu hình thiết bị, ghi rõ bước cấu hình, câu lệnh thực - cho yêu cầu đơn vị quản lí để gửi kèm kế hoạch triển khai Liệt kê lỗi xảy triển khai gồm lỗi người lỗi thiết bị gặp phải Xuống triển khai thực địa: thực bước theo quy trình triển - khai Công ty: Test kiểm tra thiết bị: test nguồn, cổng kết nối Test kiểm tra dây console, dây mạng Kiểm tra nguồn điện phòng MDF, thực đấu nối thiết bị quan trọng - với UPS Thực cấu hình thiết bị cấu hình thực máy ảo Thực theo yêu cầu đơn vị chủ quản, xong yêu cầu thực ping, - test kiểm tra chụp lại hình test Sau cấu hình xong thực đấu nối toàn hệ thống Trước đấu nối cần test lại dây mạng sử dụng để đấu nối Sau đấu nối thực test - kiểm tra lại toàn hệ thống, test lại tất yêu cầu khách hàng Kiểm tra lại lỗi theo bảng liệt kê lỗi chuẩn bị trước khắc phục lỗi Nếu lỗi khơng có bảng liệt kê cần kiểm tra kĩ bước cấu hình, đấu nối - để khắc phục lỗi Sau ngày triển khai, cần viết báo cáo hàng ngày nhật kí triển khai thân Viết báo cáo tổng hợp dự án nộp nhóm trưởng dựa vào báo cáo hàng ngày Trong trình triển khai dự án em đảm nhiệm phần Network topology thực cấu hình yêu cầu cho thiết bị sau (do yêu cầu từ phía cơng ty khách hàng nên em khơng thể cung cấp cụ thể lệnh cấu hình cho thiết bị): Tên thiết bị Đơn Số 24 Yêu cầu triển khai, cài Firewall Model: ASA 5512-K9 Hãng sản xuất: Cisco vị tính Chiếc lượn đặt, cấu hình g - Lắp đặt, cấu hình VPN, Bảo mật cho vùng, Định tuyến vùng mạng - NAT cổng cho Camera, Web, Mail Server - Cấu hình cổng cần thiết - Cấm truy cập từ vùng mạng sang vùng mạng Cài đặt, cấu hình, hướng dẫn sử dụng Wifi Model: LINKSYS E1200 => LINKSYS EA2700 Hãng sản xuất: LINKSYS - Cisco Thiết bị cân tải Model: TL-R480T+ Hãng sản xuất: TPLINK Chiếc Chiếc Switch Cisco Model: WS-C296024LT-L-RF Hãng sản xuất: Cisco Switch HP Model: HP2920 Hãng sản xuất: HP Hệ thống thiết bị lưu trữ NAS, Thecus Model: N7510 Hãng sản xuất: Thecus Chiếc Chiếc Cấu hình VLAN, Trunk Gán Port vào VLAN Bộ Patch panel 24 port, AMP Hãng sản xuất: AMP Cáp kết nối console Chiếc Cấu hình kết nối với máy chủ FILE Server Cấu hình RAID Cấu hình để tạo liệu chia sẻ phân quyền theo User thuộc nhóm khác Sẽ có quyền theo nhóm Cấu hình cho thiết bị NAS cho Sinh Viên truy cập Cấu hình cho thiết bị NAS cho Giáo viên truy cập Hướng dẫn đấu nối ý sử dụng Cái Hướng dẫn cấu hình PPPoE Server, Cấu hình NAT, WAN, LAN Cấu hình User, Group Cấu hình Load Balance, Routing, Anti ARP Spoofing Cấu hình VLAN, Trunk Gán Port vào VLAN 25 DB9, Cisco Model: DB9 Hãng sản xuất: Cisco Cáp mạng Cat 6, AMP Model: Cat Hãng sản xuất: AMP Thùn g 26 ... bày báo cáo tổng hợp Công ty Bway Trong thời gian thực tập với công việc nhiệm vụ giao em chia báo cáo thành phần với nội dung sau: Chương Tổng quan đơn vị thực tập Giới thiệu đơn vị thực tập. .. triển khai thực địa Triển khai thực địa: viết báo cáo công việc tiến độ hàng ngày gửi trưởng nhóm 6) Lập báo cáo dự án; ghi lại tất file cấu hình đĩa, chụp ảnh hình kết test gửi kèm báo cáo 7) Nghiệm... loại Firewall chia làm loại, gồm Firewall cứng Firewall mềm: Firewall cứng: loại Firewall tích hợp trực tiếp lên phần cứng Firewall cứng có khả hoạt động lớp với tốc độ cao giá cao Đặc điểm Firewall