ĐINH TU Ấ N KH ẢI BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC LẠC HỒNG * * * Đinh Tuấn Khải C ÔNG NGH Ệ TH ÔNG TIN XÂY DỰNG HỆ THỐNG TƯỜNG LỬA MẠNG NỘI BỘ Luận văn thạc sĩ Công nghệ thông tin KHOÁ I Đồng Nai – Năm 2012 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC LẠC HỒNG * * * Đinh Tuấn Khải XÂY DỰNG HỆ THỐNG TƯỜNG LỬA MẠNG NỘI BỘ Chuyên ngành : Công nghệ thông tin Mã số : 60.48.02.01 Luận văn thạc sĩ Công nghệ thông tin NGƯỜI HƯỚNG DẪN KHOA HỌC : Ts. Đàm Quang Hồng Hải Đồng Nai – Năm 2012 i LỜI CẢM ƠN Tôi xin bày tỏ lòng biết ơn sâu sắc đến Tiến sỹ Đàm Quang Hồng Hải Người đã tận tình hướng dẫn tôi hoàn thành luận văn này. Tôi vô cùng cảm ơn Thạc sỹ Phan Mạnh Thường và các nhà khoa học Bạn bè, đồng nghiệp đã đóng góp nhiều ý kiến quý báu Giúp tôi hoàn thiện luận văn này. Tôi xin chân thành cảm ơn Trường Đại Học Lạc Hồng, Trường Đại Học Công Nghệ Thông Tin, Khoa Công nghệ thông tin, Phòng Nghiên cứu khoa học và sau Đại học trường Đại học Lạc Hồng Đã tạo điều kiện thuận lợi cho tôi thực hiện luận văn này. Tôi xin kính tặng luận văn này cho Cha Mẹ Và người thân trong gia đình Bằng tất cả tình cảm yêu thương nhất… Đồng Nai, tháng 10 năm 2012 Đinh Tuấn Khải ii LỜI CAM ĐOAN Tôi cam đoan rằng đề tài này do chính tôi thực hiện. Các số liệu thu thập, kết quả phân tích, dẫn chứng trong đề tài là trung thực. Không có sự trùng lắp, sao chép từ bất kỳ đề tài, hay công trình nghiên cứu khoa học nào của các tác giả khác. Đồng Nai, tháng 10 năm 2012 Đinh Tuấn Khải iii TÓM TẮT Cùng với sự phát triển của mạng Internet, vấn đề bảo mật và an toàn dữ liệu cho các hệ thống mạng máy tính trên thế giới được đặt ra. Đề tài “Xây dựng hệ thống tường lửa mạng nội bộ” với mục tiêu nâng cao tính an toàn cho mạng nội bộ. Đầu tiên, Người quản trị quản lý hoạt động của hệ thống mạng nội bộ, cho phép hoặc cấm các chương trình nguy hiểm kết nối Internet. Bên cạnh đó, hệ thống cũng được bảo vệ virus lây lan trong mạng nội bộ, những hoạt động khác lạ chương trình sẽ kiểm tra, duyệt quét và báo cáo. Với mô hình hệ thống tường lửa mạng nội bộ đơn giản, dễ sử dụng và tích hợp tùy chọn quét virus cho thấy tính khả thi khi áp dụng cho các hệ thống mạng nội bộ của một tổ chức, doanh nghiệp ngày nay. vii DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT DANH MỤC CÁC KÝ HIỆU SỬ DỤNG TRONG LUẬN VĂN Ký hiệu Thuật ngữ Firewall Firewall system Hacker Hacker, cracker Header File header Macro Macro virus Trojan Trojan horse Virus Computer viruses Worm Computer worm viii DANH MỤC CÁC TỪ VIẾT TẮT SỬ DỤNG TRONG LUẬN VĂN Từ viết tắt Thay cho cụm từ ALE Application Layer Enforcement API Application Programming Interface ASCII American Standard Code for Information Interchange BFE Base Filtering Engine CNTT Công nghệ thông tin CPU Central Processing Unit CSDL Cơ sở dữ liệu DMZ DeMilitarized Zone DNS Domain Name System DOS Denial of Service FTP File Transfer Protocol HĐH Hệ điều hành HTTP Hypertext Transfer Protocol ICMP Internet Control Message Protocol IDS Intrusion Detection System IP Instruction Pointer IPsec Protocol security ISVs Independent Software Vendors JS Java Script files LE-EXE LinEar EXEcutable files LIFO Last In - First Out NDF Network Diagnostics Framework NDIS Network Driver Interface Specification NE-EXE NEw EXEcutable files PE-EXE PortablE EXEcutable files POT PowerpOint Template files PPP Point-to-Point Protocol PPT PowerPoinT files REG REGistry files SHA Screened host architecture SLIP Serial Line Internet Protocol SMTP Simple Mail Transfer Protocol TCP/IP Internet protocol suite TDI Transport Driver Interface UDP User Datagram Protocol VBA Visual Basic Application WFP Windows Filtering Platform ix DANH MỤC BẢNG BIỂU Stt Bảng Mô tả Trang 1 BẢNG 2.1 Phân loại virus máy tính theo kiểu dữ liệu . 17 2 BẢNG 2.2 Lịch trình cập nhật của Kaspersky Lab (1995-2004) . 18 3 BẢNG 3.1 Các định dạng vật chủ chứa mã thi hành có thể nhiễm virus máy tính . 39 4 BẢNG 3.2 Các loại tập tin chương trình 40 5 BẢNG 4.1 So sánh tính năng với một số sản phẩm hiện có 56 x DANH MỤC HÌNH ẢNH Stt Hình Mô tả Trang 1 HÌNH 2.1 Mô hình tường lửa bảo vệ hệ thống mạng nội bộ 10 2 HÌNH 2.2 Kiến trúc Dual – Homed host architecture . 11 3 HÌNH 2.3 Kiến trúc Screened host architecture (SHA) 13 4 HÌNH 2.4 Kiến trúc Screened subnet architecture 14 5 HÌNH 3.1 Kiến trúc và khả năng mở rộng của WFP 25 6 HÌNH 3.2 Mô hình OSI rút gọn 33 7 HÌNH 3.3 Client gửi yêu cầu đến Server 34 8 HÌNH 3.4 Server chấp nhận yêu cầu và tạo một socket để phục vụ Client 35 9 HÌNH 3.5 Phân loại các tập tin chương trình 40 10 HÌNH 4.1 Mô hình ứng dụng Firewall 41 11 HÌNH 4.2 Sơ đồ hoạt động của hệ thống Firewall 42 12 HÌNH 4.3 Mô hình chức năng chương trình Firewall Client 43 13 HÌNH 4.4 Giao diện khi khởi động firewall client 43 14 HÌNH 4.5 Màn hình quản lý việc tạo luật IP 44 15 HÌNH 4.6 Màn hình sau khi thêm một luật . 45 16 HÌNH 4.7 Màn hình để chỉnh sửa luật. . 45 17 HÌNH 4.8 Màn hình sau khi sửa một tập luật . 46 18 HÌNH 4.9 Màn hình sau khi xóa luật 46 19 HÌNH 4.10 Màn hình quản lý luật chương trình . 47 20 HÌNH 4.11 Thêm một chương trình vào luật cấm thực thi. 47 21 HÌNH 4.12 Màn hình quản lý việc phân giải địa chỉ trang web dưới dạng IP . 48 22 HÌNH 4.13 Chuyển chế độ người dùng . 48 23 HÌNH 4.14 Màn hình thông báo khi Client chạy một chương trình. 49 24 HÌNH 4.15 Khung đăng nhập vào tài khoản quản trị. . 49 25 HÌNH 4.16 Bảng thông báo khi chạy chương trình ở chế độ quản trị 49 26 HÌNH 4.17 Màn hình sau khi thêm luật chương trình. . 50 27 HÌNH 4.18 Màn hình Quét virus . 50 28 HÌNH 4.19 Quét virus theo thư mục . 51 29 HÌNH 4.20 Thông báo chương trình nhiễm virus . 51 xi DANH MỤC HÌNH ẢNH Stt Hình Mô tả Trang 30 HÌNH 4.21 Mô hình chức năng chương trình Firewall Server . 52 31 HÌNH 4.22 Giao diện chương trình Firewall Server . 52 32 HÌNH 4.23 Quản lý các Firewall Client 53 33 HÌNH 4.24 Quản lý luật IP của Client từ Server . 54 34 HÌNH 4.25 Quản lý luật chương trình của Client từ Server . 54 35 HÌNH 4.26 Màn hình quản lý việc phân giải IP của trang web 54 36 HÌNH 4.27 Màn hình thông báo có chương trình chạy ở Client . 55