TRƯỜNG ĐẠI HỌC VINH KHOA CÔNG NGHỆ THÔNG TIN -------------------------- BÁO CÁO ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Tên đề tài: BẢO MẬT MẠNG MÁY TÍNH VÀ FIREWALL Sinh viên thực hiện: Nguyễn Văn An – Mã sinh viên: Lớp: Giáo viên hướng dẫn:ThS. (hoặc TS.) Hồ Văn Tèn Nghệ An, tháng 12 năm 2012 1 LỜI CẢM ƠN Sau 2 tháng nỗ lực thực hiện đồ án tốt nghiệp đã phần nào hoàn chỉnh. Ngoài sự cố gắng hết mình của bản thân còn nhận được sự hỗ trợ rất lớn từ bạn bè, thầy cô và gia đình. Trước hết, em cảm ơn đến các thầy cô đã truyền đạt những kiến thức quý báo cho chúng em trong suốt quá trình học tập. Đặc biệt, em xin gởi lời cảm ơn chân thành và sâu sắc đến thầy THS Nguyễn Quang Ninh, thầy đã tận tình hướng dẫn giúp đỡ và đóng góp cho chúng em nhiều ý kiến quý báu trong suốt quá trình làm đồ án. Cám ơn gia đình, bạn bè cũng như các bạn chung khóa đã luôn bên cạnh và cho những lời khuyên chân thành. Cám ơn thầy cô ở khoa CNTT Đại học Vinh đã tạo điều kiện tốt nhất để em cũng như các bạn khác thực hiện đồ án một cách thuận lợi và suôn sẻ. Cuối cùng, em xin cảm ơn tất cả mọi người, cám ơn tất cả những gì mà mọi người đã dành cho em. Nghệ An , tháng 12 năm 2012 Nguyễn Bá Tài 2 LỜI NÓI ĐẦU Ngày nay, việc duy trì hệ thống mạng nội bộ hoạt động ổn định , nhanh chóng, an toàn và tin cậy đang là vấn đề được các tổ chức và doanh nghiệp đặc biệt quan tâm. Trong đó, yếu tố an toàn mạng luôn được đặt lên hàng đầu. Nắm bắt được nhu cầu của các tổ chức và doanh nghiệp, một số tập đoàn công nghệ thông tin và truyền thông hàng đầu trên thế giới đã đưa ra nhiều giải pháp bảo mật cũng như các Firewall (cả phần cứng lẫn phần mềm) để bảo vệ môi trường mạng được trong sạch Cùng với sự ra đời và phát triển của máy tính và mạng máy tính là vấn đề bảo mật thông tin, ngăn chặn sự xâm phạm và đánh cắp thông tin trong máy tính và thông tin cá nhân trên mạng máy tính khi mà ngày càng có nhiều hacker xâm nhập và phá huỷ dữ liệu quan trọng làm thiệt hại đến kinh tế của công ty nhà nước. Được sự hướng dẫn nhiệt tình và chu đáo của thầy giáo THS Nguyễn Quang Ninh em đã tìm hiểu và nghiên cứu đồ án tốt nghiệp: “Bảo mật mạng máy tính và Firewall”. Đồ án trình bày những vấn đề tổng quan về bảo mật mạng, firewall. . Với lòng biết ơn sâu sắc, em xin chân thành cảm ơn thầy THS Nguyễn Quang Ninh cùng các thầy cô giáo trong khoa CNTT _Đại hoc Vinh đã nhiệt tình hướng dẫn giúp đỡ em hoàn thành đợt thực tập này. Cuối cùng xin em cảm ơn bạn bè, người thân đã luôn bên tôi, kịp thời động viên và giúp đỡ tôi trong thời gian vừa qua. Em xin chân thành cảm ơn ! Nghệ An, tháng 12 năm 2012 Sinh viên 3 MỤC LỤC MỤC LỤC 4 Chương 1: TỔNG QUAN VỀ MẠNG MÁY TÍNH 6 Giới thiệu mạng máy tính và các mô hình mạng 6 Các mô hình mạng .6 Mô hình khách chủ (client/server) 7 - Đặc điểm: 8 Mô hình mạng ngang hàng(Peer-to-Peer) .8 Giao thức mạng (Protocol) 9 NetBEUI (NetBIOS Extended User Interface) .10 Giao thức có khả năng tìm đường .10 TCP/IP .11 - TCP (Transmission Control Protocol ) 11 - IP (Internet Protocol) .12 - Đặc trưng công nghệ: .12 - Các chức năng chính: 12 - So sánh mô hình OSI và TCP/IP 13 - Hình ảnh bộ giao thức TCP/IP 14 RIP 16 IGRP 16 Các dịch vụ hạ tầng trên Internet 16 Hoạt động của DHCP 16 DNS service .17 - Dịch vụ DNS hoạt động theo mô hình Client-Server 17 - Nguyên tắc làm việc 18 2.6 Tìm hiểu về Firewall 31 Phân loại và đặc điểm Firewall 31 Firewall cứng .31 Đặc điểm của Firewall cứng: 32 2.6.2.1 Firewall mềm 32 .32 -Đặc điểm của Firewall mềm: 32 2.6.3Vì sao cần Firewall 32 2.6.4Chức năng 33 2.6.5Nhiệm vụ Firewall .33 2.6.6Những hạn chế của firewall 33 2.6.7Các thành phần của Firewall và nguyên lý hoạt động 34 2.6.7.1Bộ lọc gói (Packet Filtering) 34 b.Ưu điểm và hạn chế 35 - Hạn chế 35 2.6.7.2 Cổng ứng dụng ApplicationLevelGateway 35 Ưu điểm và hạn chế 36 -Hạn chế : .36 Kiến trúc cơ bản của Firewall .37 + Ưu điểm của Dual–homed Host: 38 + Nhược điểm của Dual–homed Host: .39 + Đánh giá về kiến trúc Dual–homed Host: .39 ScreenedHost .39 + Ưu điểm 40 + Nhược điểm .41 4 Screened Subnet 41 + Ưu điểm 42 + Đánh giá về kiến trúc Screened Subnet Host: .42 2.2.9 Demilitarized Zone(DMZ) .43 -Ưu điểm: .43 3.1 Tổng quan về ISA Server 2006 45 ISA Server 2006(Internet Security and Acceleration Server )là phần mềm của hãng Microsoft được tích hợp tính năng tường lửa và bộ nhớ cache nhằm đảm bảo hoạt động cho hệ thống mạng và cải thiện hiệu xuất của hệ thống. ISA Server là một nền tảng mở rộng cung cấp an ninh, phần cứng dự phòng (hardware redundancy) và cân bằng tải (load balancing), sử dụng tài nguyên mạng một cách hiệu quả nhờ cơ chế bộ nhớ đệm tinh vi và các công cụ quản trị. Với các tính năng đó ISA được sử dụng như một Firewall. 45 3.1.1 Các phiên bản của ISA Server 2006 45 .45 3.1.2 Tính năng Firewall .45 - Tính năng Proxy .46 - Thiết lập mạng VPN 46 - Tính năng Web Cache 46 - Tính năng Public Server .46 3.2 Nhu cầu người sử dụng đặt ra cho hệ thống mô hình và giải pháp .47 Một doanh nghiệp cần triển khai hệ thống bao gồm: 48 + Tính năng Public Server .48 3.3.2 Giải pháp : 48 Tiến trình cài đặt: .51 5 Chương 1: TỔNG QUAN VỀ MẠNG MÁY TÍNH Giới thiệu mạng máy tính và các mô hình mạng Giới thiệu mạng máy tính Mạng máy tính bao gồm nhiều thành phần, chúng được nối với nhau theo một cách thức nào đó và cùng sử dụng chung một ngôn ngữ . - Các thiết bị đầu cuối (End System) kết nối với nhau tạo thành mạng có thể là các máy tính (Computer) hoặc các thiết bị khác. Nói chung hiện nay ngày càng nhiều các loại thiết bị có khả năng kết nối vào mạng máy tính như điện thoại di động, Tivi, … . - Môi trường truyền (media) mà truyền thông được thực hiện qua đó. Môi trường truyền có thể là các loại dây dẫn (cáp), sóng (đối với các mạng không dây),… - Giao thức (protocol) là quy tắc quy định cách thức trao đổi dữ liệu giữa các thực thể. Tóm lại, mạng máy tính là một tập hợp các máy tính và các thiết bị khác (các nút), chúng sử dụng một giao thức mạng chung để chia sẻ tài nguyên với nhau nhờ các phương tiện truyền thông mạng. Các mô hình mạng Một máy tính có trên mạng có thể thuộc một trong 3 loại như sau: 6 - Máy khách (client): không cung cấp tài nguyên mà chỉ sử dụng tài nguyên trên mạng. - Máy chủ (server): Cung cấp tài nguyên và dịch vụ cho máy trên mạng. -Peer: Sử dụng tài nguyên trên mạng đồng thời cung cấp tài nguyên trên mạng. Mô hình khách chủ (client/server) Các máy khách được nối với máy chủ nhận quyền truy cập mạng và tài nguyên mạng từ các máy chủ. Máy chủ quản lý tất cả tài nguyên và các quyền truy cập vào mạng. Hình : Mô hình trạm chủ (Client/Sever) 7 - Đặc điểm: - Độ an toàn và tính bảo mật thông tin: Có độ an toàn và bảo mật thông tin cao. Người quản trị mạng quyền truy nhập thông tin cho các máy. - Khả năng cài đặt: Khó cài đặt. - Đòi hỏi về phần cứng và phần mềm: Đòi hỏi có máy chủ, hệ điều hành mạng và các phần cứng bổ sung. - Quản trị mạng: Phải có quản trị mạng. - Xử lý và lưu trữ tập trung: Có -Chi phí cài đặt: cao Mô hình mạng ngang hàng(Peer-to-Peer) Mạng ngang hàng là mạng được tạo ra bởi hai hay nhiều máy tính được kết nối với nhau và chia sẻ tài nguyên mà không phải thông qua một máy chủ dành riêng. Hình : Mô hình mạng ngang hàng (Peer to Peer) -Đặc Điểm: - Độ an toàn và tính bảo mật thông tin: Độ an toàn và bảo mật kém, phụ thuộc vào mức truy nhập được chia sẻ. - Khả năng cài đặt: Dễ cài đặt. - Đòi hỏi về phần cứng và phần mềm: Không cần máy chủ, hệ điều hành mạng. - Quản trị mạng: Không cần có quản trị mạng. - Xử lý và lưu trữ tập trung: Không. - Chi phí cài đặt: Thấp. 8 Giao thức mạng (Protocol) Là các quy định về việc truyền thông trong mạng máy tính như cách đánh địa chỉ, cách đóng gói các thông tin, cách mã hóa và quản lý các gói tin. Hình : Mô phỏng cách thức truyền dữ liệu giữa hai hệ thống Một tập hợp tiêu chuẩn để trao đổi thông tin giữa hai hệ thống máy tính hoặc hai thiết bị máy tính với nhau được gọi là giao thức. Các giao thức này còn được gọi là các nghi thức hoặc định ước của máy tính. 1.2.1 Giao Thức không có khả năng tìm đường: NetBIOS NetBIOS là một giao diện ứng dụng cho phép các ứng dụng truy cập các dịch vụ trên mạng thông qua phương tiện truyền tải mạng như NetBEUI, TCP/IP, và 9 SPX/IPX. Cung cấp giao diện lập trình cho các ứng dụng nằm ở lớp Phiên làm việc (mô hình mạng OSI ). NetBIOS còn có thể được đóng gói theo các tiêu chuẩn truyền của các bộ giao thức TCP/IP và SPX/IPX (giao thức hỗ trợ định tuyến). Hình : Mô hình Ipv4 NetBEUI (NetBIOS Extended User Interface) Là giao thức nằm ở lớp Transport layer (mô hình OSI). NetBEUI có cùng nguồn gốc với NetBIOS, chúng cùng thuộc một bộ giao thức mạng chuẩn sau này được tách ra. Giao thức có khả năng tìm đường IPX/SPX IPX (Internetwork Packet eXchange) là giao thức chính được sử dụng trong hệ điều hành mạng Netware của hãng Novell. Giao thức này thuộc lớp mạng (network layer) trong mô hình mạng 7 lớp OSI. Nó tương tự như giao thức IP (Internet Protocol) trong TCP/IP. IPX chứa địa chỉ mạng (netword Address) và cho phép các gói thông tin được chuyển qua các mạng hoặc phân mạng (subnet) khác nhau. IPX không bảo đảm việc chuyển giao một thông điệp hoặc gói thông tin hoàn chỉnh, cũng như IP, các gói tin được "đóng gói" theo giao thức IPX có thể bị "đánh rơi" (dropped). Do vậy, các ứng dụng có nhu cầu truyền tin "bảo đảm" thì phải sử dụng giao thức SPX 10