Checkpoin

LỜI CẢM ƠN
TRUNG TÂM ATHENA
Em xin chân thành cảm ơn ban giám đốc trung tâm đào tạo quản trị mạng và
an ninh mạng quốc tế Athena đã tạo điều kiện cho em có thể thực tập tại
athena,giúp em có thêm nhiều kinh nghiệm quý báu.
Em xin chân thành cảm ơn thầy giáo Võ Đỗ Thắng đã tận tình giúp đỡ em có
thể hoàn thành tốt đề tài được giao.
Em cũng xin cảm ơn tất cả các anh chị trong trung tâm đã nhiệt tình giúp đỡ
em và tạo môi trường thực hòa đồng giúp em tự tin hơn.
Do nội dung nghiên cứu rộng và bao gồm kiến thức mới mẻ,thời gian và
kiến thức còn hạn chế,việc nghiên cứu chủ yếu dựa trên lý thuyết nên chắc chắn
đề tài không tránh khỏi những sai sót.Em rất mong nhận được sự đóng góp ý
kiến của thầy cô và bạn bè.
Với lòng biết ơn sâu sắc,em xin chân thành cảm ơn thầy giáo Võ Đỗ Thắng
và toàn thể các anh chị trung tâm athena đã nhiệt tình hướng dẫn giúp đỡ em
hoàn thành đợt thực tập này.
Em xin chân thành cảm ơn !

LỜI CẢM ƠN
KHOA CÔNG NGHỆ THÔNG TIN-HỌC VIỆN CÔNG NGHỆ
BƯU CHÍNH VIẾN THÔNG
Em xin chân thành cảm ơn đoàn trường học viện và quý thầy cô khoa công
nghệ thông tin đã tạo điều kiện và giúp đỡ em trong đợt thực tập rất nhiều.
Trong quá trình làm đề tài sẽ không tránh khỏi những sai xót,em rất mong
nhận được những ý kiến phản hồi từ quý thầy cô và các bạn.
Em xin chân thành cảm ơn!
HCM ngày 1 tháng 8 năm 2014
Sinh viên thực tập
Phan Văn Bắc

i
MỤC LỤC
LỜI NÓI ĐẦU: ..............................................................................................................1
CHƯƠNG 1: TỔNG QUAN VỀ BẢO MẬT ..............................................................1
1.1 Định nghĩa bảo mật mạng ......................................................................................2
1.1.1 Các yếu tố cần quan tâm khi phân tích bảo mật mạng ....................................3
1.1.2 Các yếu tố cần được bảo vệ .............................................................................3
1.2 Các kiểu tấn công mạng .........................................................................................4
1.2.1 Thăm dò(reconnaissance) ................................................................................4
1.2.2 Đánh cắp thống tin bằng Packet Sniffers.........................................................4
1.2.3 Đánh lừa (IP spoofing).....................................................................................5
1.2.4 Tấn công từ chối dịch vụ (Denial of services).................................................5
1.2.5 Tấn công trực tiếp password ............................................................................5
1.2.6 Thám thính(agent)............................................................................................6
1.2.7 Tấn công vào yếu tố con người:.......................................................................6
1.2.8 Các phương thức tấn công D.O.S thông thường..............................................6
1.2.9 Phương thức tấn công bằng Mail Relay...........................................................7
1.2.10 Phương thức tấn công hệ thống DNS ............................................................7
1.2.11 Phương thức tấn công Man-in-the-middle attack ..........................................7
1.2.12 Phương thức tấn công Trust exploitation.......................................................7
1.2.13 Phương thức tấn công Port redirection ..........................................................8
1.2.14 Phương thức tấn công lớp ứng dụng..............................................................8
1.2.15 Phương thức tấn Virus và Trojan Horse.........................................................9
1.3 Các mức độ bảo mật...............................................................................................9
1.3.1 Quyền truy nhập:..............................................................................................9
1.3.2 Đăng nhập/Mật khẩu(login/password).............................................................9
1.3.3 Mã hóa dữ liệu(Data encryption)...................................................................10

ii
1.3.4 Bảo vệ vật lý (Physical protect).....................................................................10
1.3.5 Bức tường lửa (firewall) ................................................................................10
1.4 Các biện pháp bảo vệ an toàn hệ thống................................................................10
1.4.1 Quyền hạn tối thiểu (Least Privilege) ............................................................10
1.4.2 Bảo vệ theo chiều sâu (Defense in Depth)................................................10
1.4.3 Nút thắt (choke point) ...............................................................................10
1.4.4 Điểm xung yếu nhất (Weakest point).............................................................11
1.4.5 Hỏng trong an toàn (Fail–Safe Stance)..........................................................11
1.4.8 Đơn giản hóa..................................................................................................12
1.5 Các chính sách bảo mật........................................................................................12
1.5.1 Kế hoạch bảo mật mạng.................................................................................12
1.5.2 Chính sách bảo mật nội bộ.............................................................................13
1.5.3 Phương thức thiết kế ......................................................................................14
1.6 Thiết kế chính sách bảo mật mạng.......................................................................14
1.6.2 Xác định tài nguyên cần bảo vệ .....................................................................14
1.6.4 Xác định trách nhiệm người sử dụng mạng...................................................15
1.6.5 Kế hoạch hành động khi chính sách bị vi phạm ............................................17
1.6.6 Xác định các lỗi an ninh.................................................................................17
1.7 Secure Sockets Layer (SSL).................................................................................19
1.7.1 Mở đầu ...........................................................................................................19
1.7.2 Nhiệm vụ và cấu trúc của SSL.......................................................................19
1.7.3 Phiên SSL và kết nối SSL..............................................................................20
CHƯƠNG 2: FIREWALL ..........................................................................................22
2.1 Công nghệ FIREWALL........................................................................................22
2.1.1 Smart Console : Bao gồm nhiều client nhỏ để quản lý các thành phần của
NGX. Các client của Smart Console bao gồm:.......................................................25

iii
2.1.2 Smart Center Server.......................................................................................26
2.1.3 Security Gateway...........................................................................................26
CHƯƠNG 3 : CHECKPOINT ...................................................................................27
3.1 Tổng quan về Checkpoint ....................................................................................27
3.2 Access Control của Checkpoint Firewall.............................................................28
3.3 Các thành phần của Rule......................................................................................28
3.4 Công dụng đặc biệt của Access Control ..............................................................29
3.5: GIỚI THIỆU VỀ CHECKPOIN FIREWALL GATEWAY SECURITY............29
3.6 CÀI ĐẶT..............................................................................................................32
3.7 Một số thành phần của Smart Dashboard ...........................................................36
3.7.1: Firewall .........................................................................................................36
3.7.2. Application Control & URL Filtering...........................................................37
KẾT LUẬN ..................................................................................................................40
TÀI LIỆU THAM KHẢO...........................................................................................41

iv
DANH MỤC HÌNH VẼ
Hình 1: Sơ đồ mạng thông dụng hiện nay. ......................................................................3
Hình 2: Mô hình tổng quát tấn công DOS của hacker ....................................................6
Hình 3: Install Checkpoint Gaia R77 ............................................................................32
Hình 4: Welcome Checkpoint R77...............................................................................32
Hình 5: Phân vùng ổ đĩa ................................................................................................33
Hình 6: Đặt password account.......................................................................................33
Hình 7: Điền địa chỉ interface .......................................................................................34
Hình 8 : Hoàn thành cài đặt Checkpoint R77................................................................34
Hình 9: Cấu hình Web UI Checkpoint R77..................................................................35
Hình 10: Welcome to the ...............................................................................................35
Hình 11 : Kiểm tra lại cấu hình IP.................................................................................36
Hình 12: Finish..............................................................................................................36
Hình 13: Giao diện Cấu hình Dịch vụ Firewall.............................................................37
Hình 14 Giao diện Cấu hình Dịch vụ Application & URL Filtering.............................39

BÁO CÁO TTTN ĐẠI HỌC LỜI NÓI ĐẦU
SVTH: PHAN VĂN BẮC LỚP D10CQCNAT01-N TRANG 1
LỜI NÓI ĐẦU:
An toàn thông tin mạng là nhu cầu rất quan trọng đối với cá nhân cũng như
đối với xã hội và các quốc gia trên thế giới.Mạng máy tính an toàn thông tin
được tiến hành thông qua các phương pháp vật lý và hành chính.Từ khi ra đời
cho đến nay mạng máy tính đã mang lại hiệu quả vô cùng to lớn trong tất cả các
lĩnh vực của đời sống.Bên cạnh đó người sử dụng phải đối mặt với các hiểm họa
do thông tin mạng của họ bị tấn công.An toàn thông tin trên mạng máy tính bao
gồm các phương pháp nhằm bảo vệ thông tin được lưu trữ và truyền trên
mạng.An toàn thông tin trên mạng máy tính là một lĩnh vực đang được quan tâm
đặc biệt đồng thời cũng là một công việc khó khăn và phức tạp.Thực tế đã chứng
tỏ rằng có một tình trạng rất đáng lo ngại khi bị tấn công thông tin trong quá
trình sử lý,truyền và lưu thông tin.
Tường lửa không chỉ là một dạng phần mềm (như tường lửa dựa trên
Windows) mà nó còn có thể là phần cứng chuyên dụng trong các mạng doanh
nghiệp.Checkpoin là một dạng tường lửa dùng cho doanh nghiệp.
Được sự hướng dẫn và chỉ bảo của thầy giáo Võ Đỗ Thắng em đã tìm hiểu và
nghiên cứu đề tài thực tập:”Nghiên cứu các giải pháp checkpoint trong giám
sát an ninh mạng doanh nghiệp”.Báo cáo gồm 3 phần chính
-Tổng quan về bảo mật
-Firewall
-Checkpoint và nghiên cứu các giải pháp checkpoint gateway security.
Em xin cam đoan đề tài là do em làm và không sao chép.
Danh sách các clip
-Giới thiệu bản thân và sơ lược đề tài
https://www.youtube.com/watch?v=PYbtUMiqeqU
-Khó khăn và thuận lợi khi làm đề tài
https://www.youtube.com/watch?v=l53P8rtG5b0
-Cài đặt và cấu hình checkpoin
https://www.youtube.com/watch?v=nY9MlKYacM4
https://www.youtube.com/watch?v=xJcmtO7VFOU&feature=youtu.be

BÁO CÁO TTTN ĐẠI HỌC CHƯƠNG 1. TỔNG QUAN VỀ BẢO MẬT
CHƯƠNG 1: TỔNG QUAN VỀ BẢO MẬT
1.1 Định nghĩa bảo mật mạng
Bảo mật mạng là sự đảm bảo an toàn của toàn bộ hệ thống mạng trước những hoạt
động nhằm tấn công phá hoại hệ thống mạng cả từ bên trong như bên ngoài.
Hoạt động phá hoại là những hoạt động như xâm nhập trái phép sử dụng tài
nguyên trái phép ăn cắp thông tin, các hoạt động giả mạo nhằm phá hoại tài nguyên
mạng và cơ sở dữ liệu của hệ thống.
Vấn đề bảo mật mạng luôn là một vấn đề bức thiết khi ta nghiên cứu một hệ thống
mạng. Hệ thống mạng càng phát triển thì vấn đề bảo mật mạng càng được đạt lên hàng
đầu.
Khi nguyên cứu một hệ thống mạng chúng ta cần phải kiểm soát vấn đề bảo mật
mạng ở các cấp độ sau:
• Mức mạng: Ngăn chặn kẻ xâm nhập bất hợp pháp vào hệ thống mạng.
• Mức server: Kiểm soát quyền truy cập, các cơ chế bảo mật, quá trình nhận
dạngngười dùng, phân quyền truy cập, cho phép các tác vụ • Mức cơ sở dữ liệu: Kiểm
soát ai? được quyền như thế nào? với mỗi cơ sở dữ liệu.
• Mức trường thông tin: Trong mỗi cơ sở dữ liệu kiểm soát được mỗi trường dữ
liệu chứa thông tin khác nhau sẽ cho phép các đối tượng khác nhau có quyền truy cập
khác nhau.
• Mức mật mã: Mã hoá toàn bộ file dữ liệu theo một phương pháp nào đó và chỉ
cho phép người có “ chìa khoá” mới có thể sử dụng được file dữ liệu.
Theo quan điểm hệ thống, một xí nghiệp (đơn vị kinh tế cơ sở) được thiết lập từ ba
hệ thống sau:
- Hệ thống thông tin quản lý.
- Hệ thống trợ giúp quyết định.
- Hệ thống các thông tin tác nghiệp.
Trong đó hệ thống thông tin quản lý đóng vai trò trung gian giữa hệ thống trợ giúp
quyết định và hệ thống thông tin tác nghiệp với chức năng chủ yếu là thu thập, xử l
ý và truyền tin.

Hình 1: Sơ đồ mạng thông dụng hiện nay.
1.1.1 Các yếu tố cần quan tâm khi phân tích bảo mật mạng
+ Vấn đề con người: Trong bảo mật mạng yếu tố con người cũng rất quan trọng. Khi
nghiên cứu đến vấn đề bảo mật mạng cần quan tâm xem ai tham gia vào hệ thống mạng,
họ có tránh nhiệm như thế nào. Ở mức độ vật lý khi một người không có thẩm quyền vào
phòng máy họ có thể thực hiện một số hành vi phá hoại ở mức độ vật lý.
+ Kiến trúc mạng: Kiến trúc mạng cũng là một vấn đề mà chúng ta cần phải
quan tâm khi nghiên cứu, phân tích một hệ thống mạng. Chúng ta cần nghiên cứu hiện
trạng mạng khi xây dựng và nâng cấp mạng đưa ra các kiểu kiến trúc mạng phù hợp với
hiện trạng và cơ sở hạ tầng ở nơi mình đang định xây dựng….
+ Phần cứng & phần mềm: Mạng được thiết kế như thế nào. Nó bao gồm những
phần cứng và phần mềm nào và tác dụng của chúng. Xây dựng một hệ thống phần cứng
và phần mềm phù hợp với hệ thống mạng cũng là vấn đề cần quan tâm khi xây dựng hệ
thống mạng. Xem xét tính tương thích của phần cứng và phần mềm với hệ thống và tính
tương thích giữu chúng.
1.1.2 Các yếu tố cần được bảo vệ
+ Bảo vệ dữ liệu (tính bảo mật, tính toàn vẹn và tính kịp thời).
+ Bảo vệ tài nguyên sử dụng trên mạng để tránh sử dụng tài nguyên này vào mục
đính tấn công của kẻ khác.
+ Bảo vệ danh tiếng.

1.2 Các kiểu tấn công mạng
Cùng với sự phát triển nhanh chóng của mạng thì nó cũng để lại nhiều lỗ hổng để
hacker có thể tấn công. Các thủ đoạn tấn công ngày càng trở nên tinh vi hơn. Các phương
pháp tấn công thường gặp:
1.2.1 Thăm dò(reconnaissance)
Đó chính là hình thức hacker gửi vài thông tin truy vấn về địa chỉ IP hoặc domain
name bằng hình thức này hacker có thể lấy được thông tin về địa chỉ IP và domain name
từ đó thực hiện các biện pháp tấn công khác…
Thăm dò mạng là tất cả các hoạt động nhằm mục đích lấy các thông tin về mạng. khi
một hacker cố gắng chọc thủng một mạng, thường thì họ phải thu thập được thông tin về
mạng càng nhiều càng tốt trước khi tấn công. Điều này có thể thực hiện bởi các công cụ
như DNS queries, ping sweep, hay port scan.
Ta không thể ngăn chặn được hoàn toàn các hoạt độ thăm dò kiểu như vậy. Ví dụ ta
có thể tắt đi ICMP echo và echo-reply, khi đó có thể chăn được ping sweep, nhưng lại
khó cho ta khi mạng có sự cố, cần phải chẩn đoan lỗi do đâu.
NIDS và HIDS giúp nhắc nhở (notify) khi có các hoạt động thăm dò xảy ra trong mạng.
1.2.2 Đánh cắp thống tin bằng Packet Sniffers
Packet sniffer là phần mềm sử dụng NIC card ở chế độ “promiseous” để bắt tất cả các
gói tin trong cùng miền xung đột. Nó có thể khai thác thông tin dưới dạng clear Text.
Đây là một chương trình ứng dụng bắt giữ được tất cả các các gói lưu chuyển trên mạng
(trên một collision domain). Sniffer thường được dùng cho troubleshooting network hoặc
để phân tích traffic. Tuy nhiên, do một số ứng dụng gởi dữ liệu qua mạng dưới dạng clear
text (telnet, FTP, SMTP, POP3,...) nên sniffer cũng là một công cụ cho hacker để bắt các
thông tin nhạy cảm như là username, password, và từ đó có thể truy xuất vào các thành
phần khác của mạng.
Khả năng thực hiện Packet Sniffers có thể xảy ra từ trong các Segment của mạng nội bộ,
các kết nối RAS hoặc phát sinh trong WAN.
Ta có thể cấm packet sniffer bằng một số cách như sau:
- Authentication
- Dùng switch thay vì Bridge hay hub: hạn chế được các gói broadcast trong mạng.
- Các công cụ Anti-sniffer: công cụ này phát hiện sự có mặt của packet siffer trên mạng.
- Mã hóa: Tất cả các thông tin lưu chuyển trên mạng đều được mã hóa. Khi
đó, nếu hacker dùng packet sniffer thì chỉ bắt được các gói dữ liệu đã được mã hóa.

Cisco dùng giao thức IPSec để mã hoá dữ liệu.
1.2.3 Đánh lừa (IP spoofing)
Kỹ thuật này được sử dụng khi hacker giả mạo địa chỉ IP tin cậy trong mạng nhằm
thực hiện việc chèn thông tin bất hợp pháp vào trong phiên làm việc hoặc thay đổi bản
tin định tuyến để thu nhận các gói tin cần thiết.
• NGX R65 đã phát triển một cơ chế để giám sát các packet bằng cách yêu cầu các
interface mà các packet phải đi qua cho biết IP tương ứng với cổng của nó.
• Anti spoofing thẩm định các xem các packet này đến từ đâu, đi đến đâu, gateway
chính xác của nó sẽ là gì ? Nó sẽ khẳng định rõ gói tin này mang IP là internal network này
thật sự xuất phát từ internal network. Nó cũng thẩm định cho ta biết khi packet này
được route thì nó sẽ đi thông qua cổng nào.
• Để cấu hình anti spoofing, thì trước hết các network phải có thể thấy được nhau.
Các network được định nghĩa đúng theo sơ đồ. Anti spoofing sẽ phát huy hiệu quả tốt
nhất khi ta cấu hình nó trên các interface của gateway. Sau khi kích hoạt tính năng
spoofing xong ta nên tiếp tục cấu hình spoofing tracking trên cổng đó luôn nhằm mục
đích giúp cho việc phát hiện xâm nhập và ghi lại file log.
• Anti spoofing rule được cấu hình trong phần properties của đối tượng firewall
trong smartdashboard. Rule này sẽ được cưỡng ép thực thi trước bất kỳ rule nào được
định nghĩa trong phần Security Policy Rule Base.
1.2.4 Tấn công từ chối dịch vụ (Denial of services)
Kiểu tấn công này nhằm tắc nghẽn mạng bằng cách hacker gửi các gói tin với tốc độ
cao và liên tục tới hệ thống bảo mật nhằm làm tê liện hệ thống chiếm hết băng thông sử
dụng.
1.2.5 Tấn công trực tiếp password
Đó là kiểu tấn công trực tiếp vào username và password của người sử dụng nhằm ăn
cắp tài khoải sử dụng vào mục đích tấn công. Hacker dùng phần mềm để tấn công (vị dụ
như Dictionary attacks).
Các hacker tấn công password bằng một số phương pháp như: brute-force attack, chương
Trình Trojan Horse, IP spoofing, và packet sniffer. Mặc dù dùng packet
sniffer và IP spoofing có thể lấy được user account và password, như hacker lại thường
sử dụng brute- force để lấy user account hơn.
Tấn công brute-force được thực hiện bằng cách dùng một chương trình chạy trên mạng,
cố gắng login vào các phần share trên server băng phương pháp “thử và sai” passwork.

Phương pháp giảm thiểu tấn công password:
- Giới han số lần login sai
- Đặt password dài
- Cấm truy cập vào các thiết bị, serever từ xa thông qua các giao thức không an toàn như
FTP, Telnet, rlogin, rtelnet… ứng dung SSL,SSH vào quản lý từ xa.
1.2.6 Thám thính(agent)
Hacker sử dụng các các phần mềm vius, trojan thường dùng để tấn công vào máy
trạm làm bước đệm để tấn công vào máy chủ và hệ thống. Kẻ tấn công có thể nhận được
các thông tin hữu ích từ máy nạn nhân thông qua các dịch vụ mạng.
1.2.7 Tấn công vào yếu tố con người:
Hacker có thể tấn công vào các lỗ hổng do lỗi nhà quản trị hệ thống hoặc liên lạc với
nhà quản trị hệ thống giả mạo là người sủ dụng thay đổi username và password.
1.2.8 Các phương thức tấn công D.O.S thông thường
a. Phương pháp tấn công:
Tin tặc sẽ điều khiển các máy đã chiếm cứ và từ các máy này điều khiển các máy tính
trên mạng dựa vào một vài dịch vụ hoặc các lỗi bảo mật để phát sinh một khối lượng dữ
liệu lớn truyền đến hệ thống máy đích làm cạn kiệt tài nguyên và tê liệt dịch vụ các hệ
thống là nạn nhân bị tấn công.
Hình 2: Mô hình tổng quát tấn công DOS của hacker

Các phương thức tấn công thường dựa trên việc phát sinh các gói dữ liệu từ hệ
thống email , broadcast echo request …
1.2.9 Phương thức tấn công bằng Mail Relay
Đây là phương pháp phổ biến hiện nay. Email server nếu cấu hình không chuẩn
hoặc
Username/ password của user sử dụng mail bị lộ. Hacker có thể lợi dụng email server để
gửi mail gây ngập mạng , phá hoại hệ thống email khác. Ngoài ra với hình thức gắn thêm
các đoạn script trong mail hacker có thể gây ra các cuộc tấn công Spam cùng lúc với khả
năng tấn công gián tiếp đến các máy chủ Database nội bộ hoặc các cuộc tấn công D.o.S
vào một mục tiêu nào đó.
Phương pháp giảm thiểu :
- Giới hạn dung lương Mail box
- Sử dụng các phương thức chống Relay Spam bằng các công cụ bảo mật cho SMTP
server, đặt password cho SMTP.
- Sử dụng gateway SMTP riêng
1.2.10 Phương thức tấn công hệ thống DNS
DNS Server là điểm yếu nhất trong toàn bộ các loại máy chủ ứng dụng và cũng là hệ
thống quan trọng nhất trong hệ thống máy chủ.
Việc tấn công và chiếm quyền điều khiển máy chủ phục vụ DNS là một sự phá hoại nguy
hiểm liên quan đến toàn bộ hoạt động của hệ thống truyền thông trên mạng.
-Hạn chế tối đa các dịch vụ khác trên hệ thống máy chủ DNS
- Cài đặt hệ thống IDS Host cho hệ thống DNS
- Luôn cập nhật phiên bản mới có sửa lỗi của hệ thống phần mềm DNS.
1.2.11 Phương thức tấn công Man-in-the-middle attack
Dạng tấn công này đòi hỏi hacker phải truy nhập được các gói mạng của mạng. Một ví dụ
về tấn công này là một người làm việc tại ISP, có thể bắt được tấc cả các gói mạng của
công ty khách hàng cũng như tất cả các gói mạng của các công ty khác thuê Leased line
đến ISP đó để ăn cắp thông tin hoặc tiếp tục session truy nhập vào mạng riên của công ty
khách hàng. Tấn công dạng này được thực hiện nhờ một packet sniffer.
Tấn công dạng này có thể hạng chế bằng cách mã hoá dữ liệu được gởi ra.
Nếu các hacker có bắt được các gói dữ liệu thì là các dữ liệu đã được mã hóa.
1.2.12 Phương thức tấn công Trust exploitation
Loại tấn công kiểu này được thực hiện bằng cách tận dụng mối quan hệ tin cậy đối với

mạng. Một ví dụ cho tấn công kiểu này là bên ngoài firewall có một quan hệ tin cậy với
hệ thống bên trong firewall. Khi bên ngoài hệ thống bị xâm hại, các hacker có thể lần
theo quan hệ đó để tấn công vào bên trong firewall.
Có thể giới hạn các tấn công kiểu này bằng cách tạo ra các mức truy xuất khác nhau vào
mạng và quy định chặt chẽ mức truy xuất nào sẽ được truy xuất vào các tài nguyên nào
của mạng.
1.2.13 Phương thức tấn công Port redirection
Tấn công này là một loại của tấn công trust exploitation, lợi dụng một host đã đã bị đột
nhập đi qua firewall. Ví dụ, một firewall có 3 inerface, một host ở outside có thể
truy nhập được một host trên DMZ, nhưng không thể vào được host ở inside. Host ở
DMZ có
thể vào được host ở inside, cũng như outside. Nếu hacker chọc thủng được
host trên DMZ, họ có thể cài phần mềm trêm host của DMZ để bẻ hướng traffic từ
host outside đến host inside.
Ta ngăn chặn tấn công loại này bằng cách sử dụng HIDS cài trên mỗi server. HIDS có thể
giúp phát hiện được các chường trình lạ hoạt động trên server đó.
1.2.14 Phương thức tấn công lớp ứng dụng
Tấn công lớp ứng dụng được thực hiện bằng nhiều cách khác nhau. Một trong
những cách thông dụng nhất là tấn công vào các điểm yếu của phân mềm như sendmail,
HTTP, hay FTP.
Nguyên nhân chủ yếu của các tấn công lớp ứng dụng này là chúng sử dụng những port cho
qua bởi firewall. Ví dụ các hacker tấn công Web server bằng cách sử dụng TCP port
80, mail server bằng TCP port 25.
Một số phương cách để hạn chế tấn công lớp ứng dụng:
- Lưu lại log file, và thường xuên phân tích log file
- Luôn cập nhật các patch cho OS và các ứng dụng
- Dùng IDS, có 2 loại IDS:
o HIDS: cài đặt trên mỗi server một agent của HIDS để phát hiện các tấn công lên server
đó.
o NISD: xem xét tất cả các packet trên mạng (collision domain). Khi nó thấy
có một packet hay một chuỗi packet giống như bị tấn công, nó có thể phát
cảnh báo, hay cắt session đó.
Các IDS phát hiện các tấn công bằng cách dùng các signature. Signature của

một tấn công là một profile về loại tấn công đó. Khi IDS phát hiện thấy traffic
giống như một signature nào đó, nó sẽ phát cảnh báo.
1.2.15 Phương thức tấn Virus và Trojan Horse
Các nguy hiểm chính cho các workstation và end user là các tấn công virus và ngựa thành
Trojan (Trojan horse). Virus là một phần mềm có hại, được đính kèm vào một chương
trình thực thi khác để thực hiện một chức năng phá hại nào đó. Trojan horse thì hoạt động
khác hơn. Một ví dụ về Trojan horse là một phần mềm ứng dụng để chạy một game đơn
giản ở máy workstation. Trong khi người dùng đang mãi mê chơi game, Trojan horse sẽ
gởi một bản copy đến tất cả các user trong address book. Khi user khác nhận và chơi trò
chơi, thì nó lại tiếp tục làm như vậy, gởi đến tất cả các địa chỉ mail có trong address book
của user đó.
Có thể dùng các phần mềm chống virus để diệt các virus và Trojan horse và luôn luôn
cập nhật chương trình chống virus mới.
1.3 Các mức độ bảo mật
Khi phân tích hệ thống bảo mật mạng người ta chia ra làm các mức độ an toàn sau:
Bức Tường Lửa (Firewall)
Bảo Vệ Vật Lý (Physical Proteet)
Mã Hóa Dữ Liệu (Data Encryption)
Đăng Nhập/Mật Khẩu (Login/Password)
Quyền Truy Cập (Access Right)
Thông Tin (Information)
1.3.1 Quyền truy nhập:
Đây là lớp bảo vệ sâu nhất nhằm kiểm soát tài nguyên mạng kiểm soát ở mức độ
file và việc xác định quyền hạn của người dùng do nhà quản trị quyết định như: chỉ đọc(
only read), chỉ ghi (only write), thực thi(execute).
1.3.2 Đăng nhập/Mật khẩu(login/password)
Đây là lớp bảo vệ mức độ truy nhập thông tin ở mức độ hệ thống. Đây là mức độ bảo
vệ được sử dụng phổ biến nhất vì nó đơn giản và ít tốn kém. Nhà quản trị cung cấp cho
mỗi người dùng một username và password và kiểm soát mọi hoạt động của mạng thông
qua hình thức đó. Mỗi lần truy nhập mạng người dùng phải đăng nhập nhập username và
password hệ thống kiểm tra thấy hợp lệ mới cho đăng nhập.

1.3.3 Mã hóa dữ liệu(Data encryption)
Đó là sử dụng các phương pháp mã hoá dữ liệu ở bên phát và thực hiện giải mã ở
bên thu bên thu chỉ có thể mã hóa chính xác khi có khoá mã hóa do bên phát cung cấp.
1.3.4 Bảo vệ vật lý (Physical protect)
Đây là hình thức ngăn chạn nguy cơ truy nhập vật lý bất hợp pháp vào hệ thống như
ngăn cấm tuyệt đối người không phận sự vào phòng đặt máy mạng, dùng ổ khoá máy
tính, hoặc cài đặt cơ chế báo động khi có truy nhập vào hệ thống ...
1.3.5 Bức tường lửa (firewall)
Đây là hình thức ngăn chặn sự xâm nhập bất hợp pháp vào mạng nội bộ thông qua
firewall. ). Chức năng của tường lửa là ngăn chặn các truy nhập trái phép (theo danh sách
truy nhập đã xác định trước) và thậm chí có thể lọc các gói tin mà ta không muốn gửi đi
hoặc nhận vào vì một lý do nào đó. Phương thức bảo vệ này được dùng nhiều trong môi
trường liên mạng Internet.
1.4 Các biện pháp bảo vệ an toàn hệ thống
Đối với mỗi hệ thống mạng, không nên cài đặt và chỉ sử dụng một chế độ an toàn
cho dù nó có thể rất mạnh, mà nên lắp đặt nhiều cơ chế an toàn khác nhau để chúng có
thể hỗ trợ lẫn nhau và có thể đẳm bảo an toàn ở mức độ cao.
1.4.1 Quyền hạn tối thiểu (Least Privilege)
Một nguyên tắc cơ bản nhất của an toàn nói chung là trao quyền tối thiểu. Có nghĩa là: Bất kỳ
một đối tượng nào trên mạng chỉ nên có những quyền hạn nhất định mà đối
tượng đó cần phải có để thực hiện các nhiệm vụ của mình và chỉ có những quyền đó mà thôi.
Như vậy, mọi người sử dụng đều không nhất thiết được trao quyền truy nhập mọi dich vụ
Internet, đọc và sửa đổi tất cả các file trong hệ thống… Người quản trị hệ thống không nhất
thiết phải biết các mật khẩu root hoặc mật khẩu của mọi người sử dụng …
Nhiều vấn đề an toàn trên mạng Internet bị xem là thất bại khi thực hiện nguyên tắc
Quyền hạn tối thiểu. Vì vậy, các chương trình đặc quyền phải được đơn giản đến mức có thể
và nếu một chương trình phức tạp, ta phải tìm cách chia nhỏ và cô lập từng phần mà nó yêu
cầu quyền hạn.
1.4.2 Bảo vệ theo chiều sâu (Defense in Depth)
Đối với mỗi hệ thống, không nên cài đặt và chỉ sử dụng một chế độ an toàn cho dù nó
có thể rất mạnh, mà nên lắp đặt nhiều cơ chế an toàn để chúng có thể hỗ trợ lẫn nhau.
1.4.3 Nút thắt (choke point)
Một nút thắt bắt buộc những kẻ đột nhập phải đi qua một lối hẹp mà chúng ta có thể kiểm

soát và điều khiển được. Trong cơ chế an toàn mạng, Firewall nằm giữa hệ thống mạng của
ta và mạng Internet, nó chính là một nút thắt. Khi đó, bất kỳ ai muốn truy nhập vào hệ thống
cũng phải đi qua nó, vì vậy, ta có thể theo dõi, quản lý được
Nhưng một nút thắt cũng sẽ trở nên vô dụng nếu có một đường khác vào hệ thống mà
không cần đi qua nó (trong môi trường mạng, còn có những đường Dial–up không được
bảo vệ khác có thể truy nhập được vào hệ thống)
1.4.4 Điểm xung yếu nhất (Weakest point)
Một nguyên tắc cơ bản khác của an toàn là: “Một dây xích chỉ chắc chắn khi mắt nối
yếu nhất được làm chắc chắn”. Khi muốn thâm nhập vào hệ thống của chúng ta, kẻ đột
nhập thường tìm điểm yếu nhất để tấn công vào đó. Do vậy, với từng hệ thống, cần phải
biết điểm yếu nhất để có phương án bảo vệ.
1.4.5 Hỏng trong an toàn (Fail–Safe Stance)
Nếu một hệ thống chẳng may bị hỏng thì nó phải được hỏng theo một cách nào đó để
ngăn chặn những kẻ lợi dụng tấn công vào hệ thống hỏng đó. Đương nhiên, việc hỏng
trong an toàn cũng hủy bỏ sự truy nhập hợp pháp của người sử dụng cho tới khi hệ thống
được khôi phục lại.
Nguyên tắc này cũng được áp dụng trong nhiều lĩnh vực. Chẳng hạn, cửa ra vào tự
động được thiết kế để có thể chuyển sang mở bằng tay khi nguồn điện cung cấp bị ngắt
để tránh giữ người bên trong.
Dựa trên nguyên tắc này, người ta đưa ra hai quy tắc để áp dụng vào hệ thống an toàn:
- Default deny Stance: Chú trọng vào những cái được phép và ngăn chặn tất cả những cái
còn lại.
- Default permit Stance: Chú trọng vào những cái bị ngăn cấm và cho phép tất cả
những cái còn lại. Những gì không bị ngăn cấm thì được phép.
Theo quan điểm về vấn đề an toàn trên thì nên dùng quy tắc thứ nhất, còn theo quan
điểm của các nhà quản lý thì lại là quy tắc thứ hai.
1.4.6 Sự tham gia toàn cầu
Để đạt được hiệu quả an toàn cao, tất cả các hệ thống trên mạng toàn cầu phải tham
gia vào giải pháp an toàn. Nếu tồn tại một hệ thống có cơ chế an toàn kém, người truy
nhập bất hợp pháp có thể truy nhập vào hệ thống này và sau đó dùng chính hệ thống này
để truy nhập vào các hệ thống khác.
1.4.7 Kết hợp nhiều biện pháp bảo vệ
Trên liên mạng, có nhiều loại hệ thống khác nhau được sử dụng, do vậy,

phải có nhiều biện pháp bảo vệ để đảm bảo chiến lược bảo vệ theo chiều sâu. Nếu tất
cả các hệ thống của chúng ta đều giống nhau và một người nào đó biết cách thâm nhập
vào một hệ thống thì cũng có thể thâm nhậo được vào các hệ thống khác.
1.4.8 Đơn giản hóa
Nếu ta không hiểu một cái gì đó, ta cũng không thể biết được liệu nó có an toàn hay
không. Chính vì vậy, ta cần phải đơn giản hóa hệ thống để có thể áp dụng các biện pháp
an toàn một cách hiệu quả hơn.
1.5 Các chính sách bảo mật
Kế hoạch an toàn thông tin phải tính đến các nguy cơ từ bên ngoài và từ trong nội
bộ, đồng thời phải kết hợp cả các biện pháp kỹ thuật và các biện pháp quản lý. Sau đây là
các bước cần tiến hành:
Xác định các yêu cầu và chính sách an toàn thông tin: Bước đầu tiên
trong kế hoạch an toàn thông tin là xác định các yêu cầu truy nhập và tập hợp những
dịch vụ cung cấp cho người sử dụng trong và ngoài cơ quan, trên cơ sở đó có
được các chính sách tương ứng.
Thiết kế an toàn vòng ngoài: Việc thiết kế dựa trên các chính sách an toàn
được xác định trước. Kết quả của bước này là kiến trúc mạng cùng với các thành phần
phần cứng và phần mềm sẽ sử dụng. Trong đó cần đặc biệt chú ý hệ thống truy cập từ xa
và cơ chế xác thực người dùng.
Biện pháp an toàn cho các máy chủ và máy trạm: Các biện pháp an toàn vòng
ngoài, dù đầy đủ đến đâu, cũng có thể không đủ để chống lại sự tấn công, đặc biệt là sự
tấn công từ bên trong. Cần phải kiểm tra các máy chủ và máy trạm để phát hiện những sơ
hở về bảo mật. Đối với Filewall và các máy chủ ở ngoài cần kiểm tra những dạng tấn
công (denial of service).
Kiểm tra thường kỳ: Cần có kế hoạch kiểm tra định kỳ toàn bộ hệ thống an toàn
thông tin, ngoài ra cần kiểm tra lại mỗi khi có sự thay đổi về cấu hình.
1.5.1 Kế hoạch bảo mật mạng
Có một chính sách bảo mật mạng đúng đắn và hiệu quả để có thể bảo vệ các thông tin,
các tài nguyên của một công ty, tổ chức nói riêng hay của một bộ, ngành, của một quốc gia
nói chung là vấn đề hết sức quan trọng. Nếu như các tài nguyên và thông tin mà công ty đó
có trên mạng là đáng được bảo vệ thì một chính sách bảo mật mạng là đáng được thực
hiện. Hầu hết các cơ quan đều có các thông tin nhạy cảm và các bí mật cạnh tranh trên
mạng máy tính của họ, vì vậy chúng ta sẽ cần một chính sách bảo mật mạnng đề bảo vệ

tài nguyên và thông tin của công ty.
Để có một chính sách bảo mật mạng hiệu quả thì chúng ta phải trả lời được câu hỏi:
loại dịch vụ nào, loại tài nguyên nào người dùng được phép truy nhập và loại nào thì bị
cấm?
1.5.2 Chính sách bảo mật nội bộ
Một tổ chức có thể có nhiều bộ phận ở nhiều nơi, mỗi bộ phận có mạng riêng. Nếu tổ
chức lớn thì mỗi mạng phải có ít nhất một người quản trị mạng. Nếu các nơi không nối với
nhau thành mạng nội bộ thì chính sách an ninh cũng có những điểm khác nhau.
Thông thường thì tài nguyên mạng ở mỗi nơi bao gồm:
• Các trạm làm việc
• Các thiết bị kết nối: Gateway, Router, Bridge, Repeater
• Các Server
• Phần mềm mạng và phần mềm ứng dụng
• Cáp mạng
• Thông tin trong các tệp và các CSDL
Chính sách an ninh tại chỗ phải cân nhắc đến việc bảo vệ các tài nguyên này. Đồng
thời cũng phải cân nhắc giữa các yêu cầu an ninh với các yêu cầu kết nối mạng bởi vì
một chính sách bảo vệ tốt cho mạng này lại bất lợi cho mạng khác.

1.5.3 Phương thức thiết kế
Tạo ra một chính sách mạng có nghĩa là lập lên các thủ tục và kế hoạch bảo vệ tài
nguyên của chúng ta khỏi mất mát và hư hại. Một hướng tiếp cận khả thi là trả lời các câu
hỏi sau :
• Chúng ta muốn bảo vệ tài nguyên nào ?
• Chúng ta cần bảo vệ tài nguyên trên khỏi những người nào ?
• Có các mối đe doạ như thế nào ?
• Tài nguyên quan trọng tới mức nào ?
• Chúng ta sẽ dùng cách nào để bảo vệ tài nguyên theo cách tiết kiệm và
hợp lý nhất .
• Kiểm tra lại chính sách theo chu kỳ nào để phù hợp với các thay đổi về mục đích
cũng như về hiện trạng của mạng ?
1.6 Thiết kế chính sách bảo mật mạng
1.6.1 Phân tích nguy cơ mất an ninh
Trước khi thiết lập chính sách ta cần phải biết rõ tài nguyên nào cần được bảo vệ, tức
là tài nguyên nào có tầm quan trọng lớn hơn để đi đến một giải pháp hợp lý về kinh tế.
Đồng thời ta cũng phải xác định rõ đâu là nguồn đe doạ tới hệ thống. Nhiều nghiên cứu
cho thấy rằng, thiệt hại do những kẻ “đột nhập bên ngoài” vẫn còn nhỏ hơn nhiều so với
sự phá hoại của những “người bên trong”. Phân tích nguy cơ bao gồm những việc :
• Ta cần bảo vệ những gì ?
• Ta cần bảo vệ những tài nguyên khỏi những gì ?
• Làm thế nào để bảo vệ ?
1.6.2 Xác định tài nguyên cần bảo vệ
Khi thực hiện phân tích ta cũng cần xác định tài nguyên nào có nguy cơ bị xâm
phạm. Quan trọng là phải liệt kê được hết những tài nguyên mạng có thể bị ảnh hưởng
khi gặp các vấn đề về an ninh.
- Phần cứng: Vi xử lý, bản mạch, bàn phím, terminal, trạm làm việc, máy tính các
nhân, máy in, ổ đĩa, đường liên lạc, server, router

- Phần mềm: Chương trình nguồn, chương trình đối tượng, tiện ích, chương trình
- khảo sát, hệ điều hành, chương trình truyền thông.
- Dữ liệu: Trong khi thực hiện, lưu trữ trực tuyến, cất giữ off–line, backup, các nhật
- ký kiểm tra, CSDL truyền trên các phương tiện liên lạc.
- Con người: Người dùng, người cần để khởi động hệ thống.
-Tài liệu: Về chương trình , về phần cứng, về hệ thống, về thủ tục quản trị cục bộ.
- Nguồn cung cấp: giấy in, các bảng biểu, băng mực, thiết bị từ.
1.6.3 Xác định các mối đe dọa bảo mật mạng
Sau khi đã xác định những tài nguyên nào cần được bảo vệ, chúng ta cũng cần xác
định xem có các mối đe doạ nào nhằm vào các tài nguyên đó.Có thể có những mối đe
dọa sau:
Truy nhập bất hợp pháp
Chỉ có những người dùng hợp pháp mới có quyền truy nhập tài nguyên mạng, khi đó
ta gọi là truy nhập hợp pháp. Có rất nhiều dạng truy nhập được gọi là bất hợp pháp chẳng
hạn như dùng tài khoản của người khác khi không được phép.Mức độ trầm trọng của
việc truy nhập bất hợp pháp tuỳ thuộc vào bản chất và mức độ thiệt hại do truy nhập đó
gây nên.
Để lộ thông tin
Để lộ thông tin do vô tình hay cố ý cũng là một mối đe dọa khác. Chúng ta nên định
ra các giá trị để phản ánh tầm quan trọng của thông tin.Ví dụ đối với các nhà sản xuất
phần mềm thì đó là: mã nguồn, chi tiết thiết kế, biểu đồ,thông tin cạnh
tranh về sản phẩm...Nếu để lộ các thông tin quan trọng, tổ chức của chúng ta có thể bị
thiệt hại về các mặt như uy tín, tính cạnh tranh, lợi ích khách hàng ...
Từ chối cung cấp dịch vụ
Mạng thường gồm những tài nguyên quý báu như máy tính, CSDL ... và cung cấp các
dịch vụ cho cả tổ chức. Đa phần người dùng trên mạng đều phụ thuộc vào các dịch vụ để
thực hiện công việc được hiệu quả.
Chúng ta rất khó biết trước các dạng từ chối của một dịch vụ. Có thể tạm thời liệt kê
ra một số lỗi mạng bị từ chối: do một gói gay lỗi, do quá tải đường truyền, router bị vô
hiệu hóa, do virus..
1.6.4 Xác định trách nhiệm người sử dụng mạng
Ai được quyền dùng tài nguyên mạng
Ta phải liệt kê tất cả người dùng cần truy nhập tới tài nguyên mạng. Không nhất thiết

liệt kê toàn bộ người dùng. Nếu phân nhóm cho người dùng thì việc liệt kê sẽ đơn giản
hơn. Đồng thời ta cũng phải liệt kê một nhóm đặc biệt gọi là các người dùng bên ngoài,
đó là những người truy nhập từ một trạm đơn lẻ hoặc từ một mạng khác.
Sử dụng tài nguyên thế nào cho đúng
Sau khi xác định những người dùng được phép truy nhập tài nguyên mạng, chúng ta
phải tiếp tục xác định xem các tài nguyên đó sẽ được dùng như thế nào. Như vậy ta phải
đề ra đường lối cho từng lớp người sử dụng như: Những nhà phát triển phần mềm, sinh
viên, những người sử dụng ngoài.
Ai có quyền cấp phát truy nhập
Chính sách an ninh mạng phải xác định rõ ai có quyền cấp phát dịch vụ cho người
dùng. Đồng thời cũng phải xác định những kiểu truy nhập mà người dùng có thể cấp phát
lại. Nếu đã biết ai là người có quyền cấp phát truy nhập thì ta có thể biết được kiểu truy
nhập đó được cấp phát, biết được người dùng có được cấp phát quá quyền hạn không. Ta
phải cân nhắc hai điều sau:
- Truy nhập dịch vụ có được cấp phát từ một điểm trung tâm không?
- Phương thức nào được dùng để tạo tài khoản mới và kết thúc truy nhập?
Nếu một tổ chức lớn mà không tập trung thì tất nhiên là có nhiều điểm trung tâm để
cấp phát truy nhập, mỗi điểm trung tâm phải chịu trách nhiệm cho tất cả các phần mà nó
cấp phát truy nhập.
Người dùng có quyền hạn và trách nhiệm gì
Cần phải xác định rõ quyền lợi và nghĩa vụ của người sử dụng nhằm đảm bảo cho
việc quản lý và hoạt động bình thường của mạng. Đảm bỏa tính minh bạch và riêng tư
cho người dùng, cũng như người dùng phải có trách nhiệm bảo tài khoản của mình.
Người quản trị hệ thống có quyền hạn và trách nhiệm gì
Người quản trị hệ thống thường xuyên phải thu thập thông tin về các tệp trong các thư
mục riêng của người dùng để tìm hiểu các vấn đề hệ thống. Ngược lại, người dùng phải
giữ gìn bí mật riêng tư về thông tin của họ. Nếu an ninh có nguy cơ thì người quản trị
phải có khả năng linh hoạt để giải quyết vấn đề.
Làm gì với các thông tin quan trọng
Theo quan điểm an ninh, các dữ liệu cực kỳ quan trọng phải được hạn chế, chỉ một số
ít máy và ít người có thể truy nhập. Trước khi cấp phát truy nhập cho một người dùng,
phải cân nhắc xem nếu anh ta có khả năng đó thì anh ta có thể thu được các truy nhập
khác không. Ngoài ra cũng phải báo cho người dùng biết là dịch vụ nào tương ứng với
việc lưu trữ thông tin quan trọng của anh ta.

1.6.5 Kế hoạch hành động khi chính sách bị vi phạm
Mỗi khi chính sách bị vi phạm cũng có nghĩa là hệ thống đứng trước nguy cơ mất an
ninh. Khi phát hiện vi phạm, chúng ta phải phân loại lý do vi phạm chẳng hạn như do
người dùng cẩu thả, lỗi hoặc vô ý, không tuân thủ chính sách...
Phản ứng khi có vi phạm
Khi vi phạm xảy ra thì mọi người dùng có trách nhiệm đều phải liên đới. Ta phải định
ra các hành động tương ứng với các kiểu vi phạm. Đồng thời mọi người đều phải biết các
quy định này bất kể người trong tổ chức hoặc người ngoài đến sử dụng máy. Chúng ta
phải lường trước trường hợp vi phạm không cố ý để giải quyết linh hoạt, lập các sổ ghi
chép và định kỳ xem lại để phát hiện các khuynh hướng vi phạm cũng như để điều chỉnh
các chính sách khi cần.
Phản ứng khi người dùng cục bộ vi phạm
Người dùng cục bộ có các vi phạm sau:
- Vi phạm chính sách cục bộ.
- Vi phạm chính sách của các tổ chức khác.
Trường hợp thứ nhất chính chúng ta, dưới quan điểm của người quản trị hệ thống sẽ tiến
hành việc xử lý. Trong trường hợp thứ hai phức tạp hơn có thể xảy ra khi kết nối Internet,
chúng ta phải xử lý cùng các tổ chức có chính sách an ninh bị vi phạm.
Chiến lược phản ứng
Chúng ta có thể sử dụng một trong hai chiến lược sau:
- Bảo vệ và xử lý.
- Theo dõi và truy tố.
Trong đó, chiến lược thứ nhất nên được áp dụng khi mạng của chúng ta dễ bị xâm
phạm. Mục đích là bảo vệ mạng ngay lập tức xử lý, phục hồi về tình trạng bình thường để
người dùng tiếp tục sử dụng được, như thế ta phải can thiệp vào hành động của người vi
phạm và ngăn cản không cho truy nhập nữa. Đôi khi không thể khôi phục lại ngay thì
chúng ta phải cách ly các phân đoạn mạng và đóng hệ thống để không cho truy nhập bất
hợp pháp tiếp tục.
1.6.6 Xác định các lỗi an ninh
Ngoài việc nêu ra những gì cần bảo vệ, chúng ta phải nêu rõ những lỗi gì gây ra mất
an ninh và làm cách nào để bảo vệ khỏi các lỗi đó. Trước khi tiến hành các thủ tục an
ninh, nhất định chúng ta phải biết mức độ quan trọng của các tài nguyên cũng như mức
độ của nguy cơ.

a. Lỗi điểm truy nhập
Lỗi điểm truy nhập là điểm mà những người dùng không hợp lệ có thể đi
vào hệ
thống, càng nhiều điểm truy nhập càng có nguy có mất an ninh.
b. Lỗi cấu hình hệ thống
Khi một kẻ tấn công thâm nhập vào mạng, hắn thường tìm cách phá hoại các máy trên
hệ thống. Nếu các máy được cấu hình sai thì hệ thống càng dễ bị phá hoại. Lý do của việc
cấu
hình sai là độ phức tạp của hệ điều hành, độ phức tạp của phần mềm đi kèm và hiểu biết
của người có trách nhiệm đặt cấu hình. Ngoài ra, mật khẩu và tên truy nhập dễ đoán
cũng là một sơ hở để những kẻ tấn công có cơ hội truy nhập hệ thống.
c. Lỗi phần mềm
Phần mềm càng phức tạp thì lỗi của nó càng phức tạp. Khó có phần mềm nào
mà
không gặp lỗi. Nếu những kẻ tấn công nắm được lỗi của phần mềm, nhất là phần mềm hệ
thống thì việc phá hoại cũng khá dễ dàng. Người quản trị cần có trách nhiệm duy trì các
bản cập nhật, các bản sửa đổi cũng như thông báo các lỗi cho người sản xuất
chương trình.
d. Lỗi người dùng nội bộ
Người dùng nội bộ thường có nhiều truy nhập hệ thống hơn những người bên ngoài,
nhiều truy nhập tới phần mềm hơn phần cứng do đó đễ dàng phá hoại hệ thống. Đa số các
dịch vụ TCP/IP như Telnet, tfp, … đều có điểm yếu là truyền mật khẩu trên mạng mà
không mã hoá nên nếu là người trong mạng thì họ có khả năng rất lớn để có thể dễ dàng
nắm được mật khẩu với sự trợ giúp của các chương trình đặc biệt.
e. Lỗi an ninh vật lý
Các tài nguyên trong các trục xương sống (backbone), đường liên lạc, Server
quan trọng ... đều phải được giữ trong các khu vực an toàn về vật lý. An toàn vật lý có
nghĩa là máy được khoá ở trong một phòng kín hoặc đặt ở những nơi người ngoài không
thể truy nhập vật lý tới dữ liệu trong máy.
f. Lỗi bảo mật
Bảo mật mà chúng ta hiểu ở đây là hành động giữ bí mật một điều gì, thông tin rất dễ
lộ ra trong những trường hợp sau:
Khi thông tin lưu trên máy tính.
Khi thông tin đang chuyển tới một hệ thống khác.

Khi thông tin lưu trên các băng từ sao lưu.
1.7 Secure Sockets Layer (SSL)
1.7.1 Mở đầu
Ngày nay, người dùng Internet trao đổi rất nhiều loại thông tin trên mạng từ trao đổi
thư điện tử thông thường đến các thông tin chi tiết trong thẻ tín dụng của mình, do đó họ
muốn những dữ liệu đó phải được bảo mật khi truyền trên mạng công cộng
Để làm được điều này người ta đã ứng dụng giao thức SSL để bảo vệ các dữ liệu trong
quá trình trao đổi giữa tất cả các dịch vụ mạng sử dụng TCP/IP để hỗ trợ các
tác vụ
truyền thông mạng giữa máy chủ và máy khách.
Giao thức SSL đầu tiên do Netscape phát triển, mục đích để bảo mật dữ liệu gửi/nhận
trên Internet của các giao thức thuộc lớp ứng dụng như HTTP, LDAP hay POP3.
SSL sử dụng giao thức TCP để cung cấp các kết nối bền vững, bảo mật và được xác
thực giữa các điểm cuối với nhau (ví dụ như giữa client và server). Mặc dù có
thể sử dụng SSL để bảo vệ dữ liệu liên quan đến bất kỳ dịch vụ nào, nhưng SSL chủ
yếu được dùng trong các ứng dụng HTTP (server và client). Ngày nay hầu hết các
HTTP server đều hỗ trợ các phiên SSL, ở phía client các trình duyệt Internet
Explorer và Netscape Navigator đều hỗ trợ SSL
1.7.2 Nhiệm vụ và cấu trúc của SSL
Những mục đích chính của việc phát triển SSL là:
• Xác thực server và client với nhau: SSL hỗ trợ sử dụng các kỹ thuật mã hoá khoá
chuẩn (mã hoá sử dụng khoá công khai) để xác thực các đối tác truyền thông với
nhau. Hầu hết các ứng dụng hiện nay xác thực các client bằng cách sử dụng chứng chỉ
số, SSL cũng có thể sử dụng phương pháp này để xác thực client.
• Đảm bảo toàn vẹn dữ liệu: trong một phiên làm việc, dữ liệu không thể bị làm hỏng
dù vô tình hay cố ý.
• Bảo vệ tính riêng tư: dữ liệu trao đổi giữa client và server phải được bảo vệ, tránh bị
đánh cắp trên đường truyền và chỉ có đúng người nhận mới có thể đọc được các dữ
liệu đó. Các dữ liệu được bảo vệ bao gồm các những dữ liệu liên quan đến chính hoạt
động giao thức (các thông tin trao đổi trong quá trình thiết lập phiên làm việc SSL) và
các dữ liệu thực trao đổi trong phiên làm việc.
Thực tế SSL không phải là một giao thức đơn mà là một bộ các giao thức, có thể được

chia làm 2 lớp:
1. Giao thức đảm bảo sự an toàn và toàn vẹn dữ liệu: lớp này chỉ có một giao thức là
SSL Record Protocol
2. Các giao thức thiết kế để thiết lập kết nối SSL: lớp này gồm có 3 giao thức: SSL
SSL sử dụng các giao thức này để thực hiện các nhiệm vụ được đề cập ở trên. SSL
Record Protocol chịu trách nhiệm mã hoá và đảm bảo toàn vẹn dữ liệu. Như ta thấy trong
hình 2, giao thức này còn chịu trách nhiệm đóng gói các dữ liệu của các giao thức SSL
khác tức là cũng liên quan đến các tác vụ kiểm tra dữ liệu SSL.
Ba giao thức còn lại chịu trách nhiệm quản lý các phiên, quản lý các tham số mã hoá
và truyền các thông điệp SSL giữa client và server. Trước khi đi vào chi tiết về vai trò
của từng giao thức chúng ta hãy xem xét hai khái niệm mang tính nền tảng liên quan tới
việc sử dụng SSL.
1.7.3 Phiên SSL và kết nối SSL
Các khái niệm đề cập ở trên là các khái niệm cơ bản của công nghệ SSL. Ngoài ra còn
có rất nhiều thuộc tính khác của SSL mà chúng ta sẽ xem xét ở đây:
Connection (kết nối): là một liên kết client/server logic với những kiểu dịch
vụ thích hợp. SSL connection là một kết nối điểm nối điểm giữa 2 nút mạng.
Session (phiên): là một sự kết hợp giữa một client và một server xác định
bằng một bộ các tham số ví dụ thuật toán sẽ sử dụng, số hiệu phiên v.v... Khi một phiên
SSL giữa một client và một server được thiết lập bằng giao thức SSL Handshake
Protocol thì
tất cả các kết nối sau này được thiết lập giữa cặp server/client đó sẽ sử dụng chung bộ
tham số đó mà không phải tiến hành thoả thuận lại.
Điều đó có nghĩa là trong một phiên SSL giữa một client và một server có thể có nhiều
kết nối giữa client và server đó. Về lý thuyết cũng có thể có nhiều phiên SSL dùng chung
một kết nối, nhưng trên thực tế không sử dụng đến khả năng này. Khái niệm phiên và kết
nối SSL liên quan đến nhiều tham số sử dụng trong truyền thông hỗ trợ SSL giữa client
và server. Trong quá trình thoả thuận của giao thức handshake ngoài việc
chọn các phương pháp mã hoá dữ liệu thì một loạt các tham số của Session State cũng
được chọn, Session State bao gồm:
Session identifier: là định danh do server tạo ra và gán cho mỗi phiên làm việc
với một client nhất định,
Peer certificate: chứng chỉ X.509 của nút còn lại của phiên, phương pháp nén: xác

định phương pháp nén dữ liệu trước khi mã hoá.
Mô tả thuật toán CipherSpec: xác định thuật toán để mã hoá dữ liệu (ví dụ: thuật
toán DES) và thuật toán băm dữ liệu (ví dụ MD5) sẽ sử dụng trong phiên.
Master secret: là một số bí mật 48 byte được server và client dùng chung,
Cờ “is resumable”: cho biết có thể sử dụng phiên này để khởi tạo các kết nối mới được
không. Ngoài ra còn có một số tham số khác:
Số ngẫu nhiên của Server và client: dữ liệu ngẫu nhiên do cả client và server sinh ra
cho mỗi kết nối.
Server write MAC secret: chìa khoá bí mật do server sử dụng để mã hoá dữ liệu
của server.
Client write MAC secret: chìa khoá bí mật do client sử dụng để mã hoá dữ liệu
của client.
Server write key: chìa khoá mà server dùng để mã hoá và client dùng để giải mã dữ liệu
Client write key: chìa khoá mà client dùng để mã hoá và server dùng để giải mã dữ liệu.
Sequence number (số thứ tự): server và client quản lý một cách riêng rẽ các số thứ tự để
đánh số các thông điệp gửi và nhận cho mỗi kết nối

CHƯƠNG 2: FIREWALL
2.1 Công nghệ FIREWALL
Thuật ngữ Firewall có nguồn gôc từ một kỹ thuật được thiết kế trong xây dựng để ngăn
chặn, hạn chế hỏa hoạn. Trong công nghệ thông tin, Firewall là một kỹ thuật được tích
hợp vào hệ thống để chống lại các truy cập trái phép, nhằm bảo vệ các nguồn thôn tin nội
bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống. Firewall được miêu tả như
một hệ thống phòng thủ, có thể kiểm soát việc truy cập giữa hai hệ thông tin cậy (Trust
network).
Có rất nhiều loại Firewall khác nhau như Firewall dựa trên phần mềm cho các hệ điều
hành Windows NT, Unix, Firewall dựa trên phần mềm tích hợp trên các Router, Firewall
dựa trên thiết bị phần cứng… Vì thế việc chọn lựa một Firewall thích hợp cho hệ thống
với yêu cầu về khả năng hoạt động mạnh, bảo đảm tính an ninh, độ tin cậy cao, khả năng
dễ mở rộng trong tương lai là một việc rất quan trọng.
Chúng tôi khuyến nghị sử dụng giải pháp Firewall có tốc độ và độ an tòan cao của ba
hãng cung cấp giải pháp Firewall mạnh nhất hiện nay sau cho hệ thống
Firewall lớp
ngoài:
Hỗ trợ NAT và PAT
Nguyên lý hoạt động của PIX Firewall theo hai dạng NAT và PAT. NAT (Network
Address Translation) dùng để chuyển đổi một địa chỉ Internet thành một địachỉ riêng (Priva
te) theo dạng địa chỉ tĩnh (static) với ánh xạ 1-1, ngoài ra cho phép đổi
n địa chỉ Internet thành m địa chỉ Private dưới dạng địa chỉ động (dynamic) với n<m.
PAT (Port Address Translation) dùng để chuyển đổi một địa chỉ Internet thành nhiều địa
chỉ Private (kết hợp với NAT – ánh xạ 1- n). nguyên lý hoạt động này rất thích hợp cho
việc sử dụng nhiều giao tiếp kết nối trên PIX Firewall.
Với khả năng cho phép chuyển đổi tự động địa chỉ như thế rất hữu ích cho nhiều người
dùng mà không cần thiết phải quan tâm đến việc cấp địa chỉ Internet. Đối với các host của
hệ thống mạng khu vực cũng không cần thiết đăng ký với NIC (Network Information Cent
er) vẫn có thể dùng TCP/IP để truy cập trực tiếp vào Internet bằng cách mở chế độ chuyển đổi
bên trong PIX Firewall. Cách này cho phép hệ thống mở rộng dịch vụ cung
cấp truy cập từ xa kết nối qua hệ thống truy cập vào Internet trong tương lai.
Hoạt động với mức độ hoạt động sẵn sàng cao nhất:

Mức độ ổn định: khả năng làm việc cực kỳ ổn định với mean time between failure (MTB)
lớn hơn 60000 giờ.
Ngoài ra CiscoSecure PIX Firewall software giới hạn mức độ người dùng cùng lúc thông
qua các cổng giao tiếp vật lý của nó, tránh được tình trạng xử lý quá tải làm tắt nghẽn hệ
thống truy cập Internet chung cho toàn hệ thống.
Trong tương lai khi có khả năng nâng cấp lên chạy dự phòng 2 thiết bị PIX – có thể sử
dụng chức năng dự phòng tiên tiến của sản phẩm PIX –
Stateful failover cho phép cung cấp
khả năng dự phòng thay thế nóng giữa 2 thiết bị PIX - UR hoặc giữa 1 thiết bị PIX-
UR và
một thiết bị PIX-FO, khi một thiết bị gặp sự cố thì thiết bị còn lại sẽ thay thế thiết
bị đó để tiếp nhận và xử lý các yêu cầu đang tồn tại cũng như các yêu cầu mới, do vậy
việc một trong hai thiết bị gặp sự cố không ảnh hưởng gì đến các dịch vụ đang chạy trên
mạng.
Hỗ trợ quản lý thông qua Web
Hỗ trợ bới tính năng Cisco PIX Device manager (PDM): Hệ thống quản trị thiết bị PIX
riêng lẻ, sử dụng Java applet để chứng thực và Secure Hypertext Transfer Protocol để bảo
mật thông tin giữa PDM và PIX firewall. PDM cung cấp các chức năng sau:
+ Hỗ trợ cấu hình PIX firewall qua WEB, mà không cần sử dụng các giao diện dòng lệnh
PIX firewall Command-line Interface (CLI)
+ Hỗ trợ các bước cấu hình sử dụng các wizard (start-up Wizard, VPN Wizard)
+ Cho phép quản lý PIX với các lưu đồ và dữ liệu thời gian thực, bao gồm các kết nối,
IDS, thông tin về băng thông. Cho phép theo dõi thông số trong vòng 5 ngày trở lại.
+ Quản trị và cấu hình PIX tách biệt , nhưng có thể sử dụng nhiều browser trên cùng một
trạm để cấu hình nhiều PIX khác nhau.
Giải pháp Firewall của Checkpoint
Checkpoint hiện là một trong những công ty hàng đầu trong công nghệ
Firewall.
Checkpoint chiếm ưu thế trong thị trường firewall với sản phẩm cùng tên.
Phần mềm Checkpoint với ưu thế cạnh tranh, là sản phẩm đáng tín cậy cho bất kỳ
cơ quan nào. Bộ sản phẩm của CheckPoint gồm nhiều Module kết hợp tạo nên một giải
pháp Firewall an ninh hiệu quả cho các hình thức mạng khác nhau
Firewall:

- Sử dụng công nghệ “Stateful Inspection” bảo vệ được từ mức network đến mức
ứng dụng trong mô hình OSI.
- Kỹ thuật phòng chống thông minh “SmartDefense” cho phép bảo vệ tấn công ở
mức ứng dụng
- SmartDefense cho phép dễ dàng cập nhật và cấu hình các phương pháp tấn công
mới
- Hỗ trợ phân quyền theo nhiều yếu tố host, dịch vụ hay người truy cập
- Hỗ trợ phân tích log
- Quản lý tập trung cho phép quản lý nhiều firewall trên một máy tính
- Quản lý thiết lập chính sách dễ dàng bằng các công cụ trực quan GUI
- Hỗ trợ việc xác thực người sử dụng bằng nhiều phương pháp S/key, SecurID, OS
password, RADIUS, TACACS hay những phương pháp chứng thực khác
- Tính năng quản lý (SmartCenter và GUI Client):
- Quản lý tập trung với người quản trị bằng một giao diện đồ họa duy nhất
- Tất cả dữ liệu log sẽ được quản lý tập trung dễ dàng phân tích và theo dõi
- bởi người quản trị hệ thống
- Khả năng quản lý nhiều firewall trên một giao diện đồ họa duy nhất
- Tính năng quản lý log:
- Log sẽ được định hướng đến server chuyên dụng xử lý log
- Log được cảnh báo khi ổ đĩa cứng trống còn thấp và sẽ reset lại log theo những
- thông số do người quản trị định nghĩa
- Đặt thời gian chuyển file log đến server xử lý log theo chu kỳ
- Thông tin log bao gồm người sử dụng dịch vụ, thời gian kết nối, đích đến, độ dài
- phiên kết nối, hành động …
- Người quản trị có thể lọc file log để định những sự kiện lưu tâm đến bảo mật của
hệ thống
- Tính linh động và liên tác:
- Người sử dụng có thể chọn lựa giải pháp của Checkpoint linh động dựa trên hệ điều hà
nh
như WinNT, Linux, Solaris hay những thiết bị phần cứng chuyên dụng của
- Celestix, Resilience, Nokia ..
- Hỗ trợ cơ cấu mở ( OPSEC ) cho phép liên kết giải pháp CheckPoint với những ứng d
ụng
an ninh khác như ISS, TrendMicro. Raibow, RSA, Websense…

- Giới thiệu phần mềm đảm bảo tính sẵn sàng cao Rainfinity RainWall dành cho hệ thống
- Checkpoint
- Raiwall là phần mềm đảm bảo tính sẵn sàng cao của hệ thống ứng dụng bảo mật
trên Gateway được phát triển dựa trên chuẩn OPSEC của CheckPoint.
- Tích hợp với phần mềm CheckPoint VPN-1/FireWall-1 và các ứng dụng bảo mật
trên Gateway như Antivirus và các phần mềm bảo mật nội dung khác
- Tích hợp tính cân bằng tải cho hệ thống bảo mật
- Tăng hiệu suất thực thi của FireWall và VPN
- Tích hợp dễ dàng với bất kỳ kiến trúc nào của hệ thống bảo mật
- Kỹ thuật thông minh để xử lý lỗi xảy ra cho firewall và VPN gateway đảm bảo hệ
thống hoạt động trong suốt
- Quản lý tập trung cho hệ thống bảo mật
2.1.1 Smart Console : Bao gồm nhiều client nhỏ để quản lý các thành phần của
NGX. Các client của Smart Console bao gồm:
+ Smart Dashboard: được dùng để định nghĩa và quản lý các chính sách bảo mật với
quyền Security Administrator. Smart Dashboard cung cấp cho người quản trị một giao
diện đồ họa đơn giản, dễ dàng định nghĩa và quản lý nhiều yếu tố của Secure Virtual
Network. Ví dụ như Firewall Policy, VPN client Security gateway, Network Address
Translation, Quality of Service.. Quản lý tất cả các object như user, host, network,
service…. mà nó được chia sẻ giữa các ứng dụng.
+ SmartView Tracker: được dùng để quản lý, theo dõi log và thực hiện
cảnh báo. Kiểm tra các quá trình kết nối vào server bằng thời gian thực.
Ngoài ra, SmartView Tracker cũng ghi lại các hành động của người quản trị để giúp
cho quá trình troubleshoot nhanh hơn. Nếu có sự tấn công mạng từ môi trường bên
ngoài hay bên trong thì người quản trị có thể dùng SmartView Tracker để hủy hoặc tạm
dừng các tiến trình này để theo dõi.
+ SmartView Monitor: Cung cấp chức năng theo dõi và thông báo về cho server.
+ Eventia Report: dùng để tạo report về traffic trong mạng theo nhiều hướng khác nhau.
Để quản lý network một cách hiệu quả hay khi cần đưa ra một quyết định
nào đó thì Security Administrator cần phải thu thập đầy đủ thông tin về hình dạng sơ
đồ các traffic trong network.
Eventia Report cung cấp cho người dùng một giải pháp

thân thiện cho việc theo dõi và thẩm định traffic. Người admin có thể dùng
Eventia Report để tạo ra bảng tóm tắt các traffic với nhiều định dạng khác nhau
trên NGX, VPN-1 Pro, Secure Client, Smart Defense.
+ SmartLSM: dùng để quản lý nhiều Security Gateway bằng cách dùng Smart Center
Server.
+ SmartUpdate: dùng để quản lý và duy trì license. Ngoài ra nó còn giúp cho
việc update các software của CheckPoint.
2.1.2 Smart Center Server
Smart Center Server dùng để lưu trữ và phân phối Security Policy đến nhiều Security
Gateway. Các Policy được định nghĩa bằng cách Smart Dashboard
và được lưu trữ
vào Smart Center Server. Sau đó Smart Center Server sẽ duy trì NGX database bao gồm
các network object, định nghĩa user, Security Policy, log file cho Firewall Gateway.
Khi cấu hình NGX được tích hợp tất cả vào Security Policy. Tất cả các policy được
tạo ra hay định dạng sau đó được phân phối đến Security Gateway. Việc quản lý chính
sách nhóm một cách tập trung nâng cao hiệu quả.
2.1.3 Security Gateway
• Security Gateway chính là firewall machine mà ở đó NGX được cài đặt vào dựa
trên Stateful Inspection. Smart Console và SmartCenter Server có thể triển khai trên một
hay nhiều máy tính khác nhau theo mô hình client/server.
• NGX Security Gateway có thể triển khai trên một Internet Gateway và một điểm
truy cập khác. Security Policy được định nghĩa bằng SmartDashboard và được
lưu trữ vào SmartCenter Server. Sau đó một Inspection Script được tạo ra
từ những policy. Inspection Code được biên dịch ra từ script và nạp vào
Security Gateway để bảo vệ network.

BÁO CÁO TTTN ĐẠI HỌC CHƯƠNG 3. CHẸCPOINT
CHƯƠNG 3 : CHECKPOINT
3.1 Tổng quan về Checkpoint
CheckPoint là một trong những nhà cung cấp hàng đầu về các sản phẩm
bảo mật
Internet. Cung cấp một giải pháp toàn diện cho việc quản lý các thiết bị an toàn bảo mật
với các tính năng: cấu hình các chính sách bảo mật, theo dõi các thiết bị, logging, quản lý
các sự kiện và cung cấp cho nhà quản trị các báo cáo ở các mức độ khác nhau, đặc biệt là
các dòng sản phẩm firewall dùng trong các doanh nghiệp, cá nhân và các
công nghệ mạng riêng ảo VPN. Với nền tảng NGX, ngoài ra CheckPoint cung cấp một
kiến trúc bảo mật thống nhất cho một lọat các giải pháp bảo mật: bảo mật cho truy cập
Internet, bảo mật mạng nội bộ, bảo mật Web, bảo mật người dùng… nhằm
bảo vệ các tài nguyên thông tin, quá trình truyền thông, các ứng dụng…của
doanh nghiệp. Đặc biệt các sản phẩm của CheckPoint cho phép việc tích hợp với
hàng lọat các dòng sản phẩm của hơn
350 hãng sản xuất thiết bị bảo mật nổi tiếng trên thế giới.
Tổng quan các sản phẩm bảo mật của CheckPoint.
- Eventia Analyzer: giúp đỡ người quản trị trong việc quản lý các sự kiện liên quan
đến bảo mật. Eventia Analyzer cho phép quản lý tập trung, thời gian thực các thiết bị bảo
mật Gateway của CheckPoint và sản phẩm của các đối tác của Checkpoint. Eventia tự
động thu thập dữ liệu thông tin về các sự kiện, tình hình tấn công…, tối ưu hóa cách trình
bày và cung cấp cho nhà quản trị một cái đầy đủ nhất về tình hình an ninh trên mạng.
- Eventia Report: Thu thập dữ liệu, thông tin từ các thiết bị bảo mật trên mạng sau đó
trình bày một cách có hệ thống, dưới dạng báo cáo giúp cho tổ chức có thể sử dụng làm
căn cứ để đánh giá, xác định xem hiệu quả của chính sách bảo mật, tình hình an toàn bảo
mật trên mạng …từ đó tối ưu hóa hiệu quả đầu tư. Eventia Reporter tập trung hóa việc
báo cáo về các hoạt động của người dùng, các thiết bị bảo mật và thiết bị mạng.
- SmartCenter: Để đối phó với sự tấn công của tin tặc ngày càng phức tạp, chúng ta
phải xây dụng hệ thống an ninh bảo mật theo chiều sâu bao gồm nhiều lớp: bảo mật vòng
ngoài, bảo mật bên trong, bảo mật người dùng…CheckPoint đưa ra giải phép cho phép
người quản trị có thể quản lý được môi trường phức tạp đó. Thông qua SmartCenter, nhà
quản trị có thể thực hiện được tất cả các khía cạnh quản lý liên quan đến vấn đề bảo mật.

- SmartPortal: Cho phép người dùng, người kiểm tra… có thể xem được các chính
sách bảo mật, tình trạng các thiết bị bảo mật và hoạt động quản lý của nhà quản trị.
- SmartView Monitor: Cho phép nhà quản trị có một cái nhìn tổng quan về hiệu năng
hoạt động của các thiết bị mạng và thiết bị bảo mật từ đó, cho phép đưa ra những biện
pháp kịp thời. Nó cho phép nhà quản trị xác định được tức thời những thay đổi lớn về
traffic trên mạng, đặc biệt là những thay đổi nguy hiểm.
Các sản phẩm bảo mật vòng ngoài của CheckPoint, chủ yếu là các thiết bị VPN, cho
phép kiểm soát việc truy cập vào các tài nguyên mạng nội bộ của doanh nghiệp từ bên
ngoài. Đảm bảo chỉ những người được phép mới có quyền truy cập. Nổi bật nhất trong đó
là dòng sản phẩm: Check Point VPN-1/firewall 1 Pro.
3.2 Access Control của Checkpoint Firewall
Check Point Security Gateway thường được đặt ở khu vực biên của hệ thống cần bảo
vệ nhằm theo dõi và quản lý chặt chẽ mọi luồng dữ liệu đi ra và vào mạng. Người quản
trị hệ thống có nhiệm vụ đặt ra những chính sách bảo mật để bảo vệ an toàn cho hệ thống
cũng như quản lý sự truy cập trong mạng. Chính sách bảo mật được triển khai bằng tập
hợp có thứ tự những quy tắc (rules) trong Security Rule Base, một chính sách tốt là cơ sở
tất yếu cho một hệ thống an toàn. Nguyên lý cơ bản của Rule Base là tất cả những hành
động không được cho phép sẽ bị chặn. Rule Base là tập hợp những quy tắc (rules) định ra
luồng dữ liệu nào được phép đi qua và luồng dữ liệu nào bị cấm.
3.3 Các thành phần của Rule
Source và Destination: chỉ ra nơi xuất phát và nơi đến của luồng dữ liệu, theo quy
tắc của rule thì kết nối được thiết lập sẽ chấp nhận cả 2 chiều dữ liệu đi và về.
Service: đưa ra những giao thức, dịch vụ sẽ áp dụng thông qua Rule.
Action: hành động đưa ra cho kết nối được đề cập đến thông qua Rule.
Track: những tùy chọn về việc ghi nhận lại hoạt động của Rule
Install On: đây là một chức năng nhằm tạo sự thuận lợi trong việc quản lý của
người quản trị. Thành phần này chỉ ra nơi người quản trị cần triển khai Rule vừa tạo
ra, có thể chỉ trên một Firewall riêng biệt hay tất cả Firewall của hệ thống.
Time: định ra thời gian có hiệu lực của Rule.
Ngoài những Rule được tạo bởi người quản trị, Security Gateway cũng tạo ra những Rule
mặc định. Rule mặc định thường được dành cho những kết nối từ Security Gateway cho
các dịch vụ điều khiển, cấu hình.

3.4 Công dụng đặc biệt của Access Control
Chống giả mạo địa chỉ: giả mạo địa chỉ là hiện tượng người tấn công thay đổi địa chỉ
IP của gói tin nhằm mục đích xâm nhập trái phép vào bên trong hệ thống. Cơ chế
chống giả mạo địa chỉ bảo đảm các gói tin có nguồn và đích đến đúng với mỗi cổng
trên Security Gateway. Một ví dụ về giả mạo địa chỉ đó là người tấn công từ ngoài
Internet, tức là cổng external của Gateway gửi vào một gói tin có địa chỉ là địa chỉ bên
trong mạng nội bộ thì cơ chế chống giả địa chỉ sẽ ngay lập tức chặn gói tin vì nó
không xuất phát từ cổng bên trong mà là bên ngoài.
3.5: GIỚI THIỆU VỀ CHECKPOIN FIREWALL GATEWAY SECURITY
Kiến trúc Check Point Software Blades
Môi trường an ninh ngày càng trở nên phức tạp hơn khi các doanh nghiệp với qui mô khác
nhau buộc phài phòng thủ chống lại những nguy cơ mới và đa dạng. Cùng với những mối đe
dọa mới xuất hiện, là các giải pháp an ninh mới, các nhà cung cấp mới, phần cứng đắt tiền và
gia tăng độ phức tạp. Khi ngành IT phải chịu áp lực ngày càng tăng để làm được nhiều hơn
với nguồn lực và phần cứng đang có, thì phương pháp tiếp cận này sẽ ngày càng không thể
chấp nhận được.
Kiến trúc Software Blade của Check Point đề xuất một cách thức tốt hơn, cho phép các tổ
chức “cắt may” một cách hiệu quả các giải pháp mục tiêu , phù hợp các nhu cầu an ninh
doanh nghiệp đề ra. Toàn bộ các giải pháp được quản lý tập trung thông qua bàn điều khiền
duy nhất nhằm hạn chế sự phức tạp và quá tải vận hành. Với tư cách một ứng cứu khẩn cấp
các mối đe dọa, kiến trúc Software Blade của Check Point mở rộng các dịch vụ một cách
nhanh chóng và linh hoạt khi cần thiết mà không cần bổ sung phần cứng hay tăng độ phức
tạp.
Check Point Software Blades là kiến trúc đầu tiên, cũng là duy nhất trong ngành nhằm
cung cấp an ninh mạng một cách linh hoạt và quản trị tập trung cho các công ty có qui mô bất
kỳ. Với khả năng chưa từng thấy này, Check Point Software Blades cung cấp sự bảo vệ với
giá sở hữu thấp và giá thành hợp lý mà vẫn có thế đáp ứng bất kỳ nhu cầu an ninh mạng nào,
hôm nay và trong tương lai.
Software blade là gì?
Software blade là một khối kiến trúc an ninh logic có tính độc lập, modull hóa và quản lý
tập trung. Software Blades có thể được sẵn sàng và cấu hình theo một giải pháp dựa trên
những nhu cầu kinh doanh cụ thể. Và khi có nhu cầu, các blades bổ sung có thể được kích

hoạt để mở rộng an ninh cho cấu hình sẵn có bên trong cùng một cơ sở phần cứng.
Những lợi ích chính của Kiến trúc Check Point Software Blade
+Tính linh hoạt - Cung cấp một mức độ an ninh phù hợp với mức độ đầu tư
+Khả năng điều khiển – Cho phép triển khai nhanh các dịch vụ an ninh. Tăng cường hiệu
suất làm việc thông qua quản trị blade tập trung.
+An Ninh Toàn diện – Cung cấp mức độ an ninh phù hợp, trên tất cả các điểm thực thi, và
toàn bộ các lớp mạng.
+Tổng giá thành sở hữu (TCO) thấp – Bảo vệ sự đầu tư thông qua củng cố và sử dụng hạ
tầng phần cứng đang có.
+Năng suất đảm bảo – Cho phép dự phòng tài nguyên nhằm bảo đảm các mức độ dịch vụ.
Security Gateway Software Blades
+Firewall -Trường lửa được thử thách nhất bảo vệ cho hơn 200 ứng dụng, giao thức và
dịch vụ với tính năng công nghệ kiểm soát thích ứng và thông minh nhất.
+IPsec VPN – kết nối an toàn cho văn phòng và người dùng cuối thông qua VPN Site-to-
Site được quản lý truy cập từ xa mềm dẻo.
+IPS – Giải pháp phòng chống xâm nhập IPS tích hợp hiệu năng cao nhất với tầm bao phủ
các nguy cơ tốt nhất
+Web Security – Bảo vệ tiên tiến cho toàn bộ môi trường Web đặc trưng bởi sự bảo vệ
mạnh nhất chống lại các tấn công tràn bộ đệm.
+URL Filtering – Bộ lọc Web thuộc hạng tốt nhất bao phủ hơn 20 triệu URLs, bảo vệ
người dùng và doanh nghiệp bằng cách cấm truy cập tới các trang Web nguy hiểm.
+Antivirus & Anti-Malware – Bảo vệ diệt virus hàng đầu bao gồm phân tích virus
heuristic, ngăn chặn virus, sâu và các malware khác tại cổng.
+Anti-Spam & Email Security – Bảo vệ đa hướng cho hạ tầng thư tín, ngăn chặn spam,
bảo vệ các servers và hạn chế tấn công qua email.
+Advanced Networking – Bổ sung định tuyến động, hỗ trợ multicast và Quality of Service
(QOS) cho các cổng an ninh.
+Acceleration & Clustering – Công nghệ được cấp bằng SecureXL và ClusterXL cung cấp
sự kiểm soát packet nhanh như chớp, tính sẵn sàng cao và cân bằng tải.
+Voice over IP - Có hơn 60 phòng thủ ứng dụng VoIP và các phương pháp QoS tiên tiến
bảo vệ hạ tầng VoIP khỏi các cuộc tấn công như dạng tấn công từ chối dịch vụ trong khi cung
cấp thoại chất lượng cao.

Security Management Blades
+Network Policy Management – Quản lý chính sách an ninh mạng toàn diện cho các cổng
Check Point và blades thông qua SmartDashboard, là bàn điều khiển đơn hợp nhất.
+Endpoint Policy Management – Triển khai, quản trị, giám sát tập trung và ép buộc chính
sách an ninh cho toàn bộ các thiết bị đầu cuối trên toàn tổ chức qui mô bất kỳ.
+Logging & Status – Thông tin toàn diện ở dạng nhật ký (logs) và bức tranh toàn cảnh của
những thay đổi trên các cổng, các kênh (tunnels), những người dùng từ xa và các hoạt động
bảo mật.
+Monitoring – Cái nhìn tổng thể của mạng và năng xuất an ninh, cho phép ứng xử nhanh
chóng các thay đổi trong mẫu lưu thông và các sự kiện an ninh.
+Management Portal – Mở rộng tầm nhìn dựa trên trình duyệt của các chính sách an toàn
an ninh tới các nhóm bên ngoài như lực lượng hỗ trợ chẳng hạn trong khi vẫn bảo đảm kiểm
soát chính sách tập trung.
+User Directory – Cho phép các cổng Check Point có tác dụng đòn bẩy với các kho thông
tin người dùng trên cơ sở LDAP, hạn chế các rủi ro liên quan việc bảo trì và đồng bộ bằng tay
các kho dữ liệu dư thừa.
+IPS Event Analysis – Hệ thống quản lý sự kiện hoàn chỉnh cung cấp khả năng nhìn thấy
các tình thế, dễ dàng cho việc áp dụng các công cụ chứng cứ, báo cáo.
+Provisioning – Cung ứng quản trị tập trung và dự phòng của các thiết bị an ninh Check
Point thông qua bàn điều khiển quản trị đơn nhất.
+Reporting – Chuyển phần lớn dữ liệu mạng và an ninh sang dạng đồ họa, các báo cáo dễ
hiểu.
+Event Correlation – So sánh và quản lý tương quan các sự kiện một cách tập trung và
theo thời gian thực đối với các thiết bị Check Point và của các hãng thứ 3

3.6 CÀI ĐẶT
Cài đặt Server Checkpoint Gaia R77 với VMWare
`
Hình 3: Install Checkpoint Gaia R77
Hình 4: Welcome Checkpoint R77

Hình 5: Phân vùng ổ đĩa
Hình 6: Đặt password account

Hình 7: Điền địa chỉ interface
Hình 8 : Hoàn thành cài đặt Checkpoint R77
Cấu hình Server Checkpoint Gaia R77 bằng giao diện Web UI

Hình 9: Cấu hình Web UI Checkpoint R77
Hình 10: Welcome to the

Hình 11 : Kiểm tra lại cấu hình IP
Hình 12: Finish
3.7 Một số thành phần của Smart Dashboard
3.7.1: Firewall
Tổng quan về tính năng Firewall
Tường lửa kiểm soát lưu lượng giữa các mạng nội bộ và bên ngoài và là cốt lõi của một mạng
lưới mạnh mẽ chính sách bảo mật. Check Point Software Blades là một tập hợp các tính năng
bảo mật mà làm cho chắc chắn rằng an ninh Gateway hoặc an ninh quản lý máy chủ cung cấp

cho các chức năng chính xác và hiệu suất. Check Point Firewall là một phần của kiến trúc Blade
Phần mềm cung cấp "thế hệ tiếp theo" tính năng tường lửa, bao gồm:
• VPN và thiết bị di động kết nối
• Danh tính và máy tính nhận thức
• Truy cập internet và lọc
• Kiểm soát ứng dụng
• Phòng chống xâm nhập và đe dọa
• Phòng chống mất dữ liệu
Hình 13: Giao diện Cấu hình Dịch vụ Firewall
3.7.2. Application Control & URL Filtering
Nhu cầu kiểm soát ứng dụng
Việc áp dụng các phương tiện truyền thông xã hội và các ứng dụng Web 2.0 thay đổi cách mọi người sử
dụng Internet. Hơn hơn bao giờ hết, các doanh nghiệp phải vật lộn để theo kịp với những thách thức an
ninh.
Việc sử dụng các ứng dụng Internet tạo ra một tập mới của những thách thức. Ví dụ:
• Các mối đe dọa phần mềm độc hại - sử dụng ứng dụng có thể mở mạng để các mối đe dọa từ phần
mềm độc hại. Ứng dụng phổ biến như Twitter, Facebook, YouTube và có thể gây ra người dùng tải virus vô
ý. Chia sẻ tập tin có thể dễ dàng gây ra phần mềm độc hại được tải về vào mạng của bạn.
• Hogging băng thông - ứng dụng sử dụng rất nhiều băng thông, ví dụ, phương tiện truyền thông, có thể
hạn chế băng thông có sẵn cho các ứng dụng kinh doanh quan trọng.

• Mất suất - Nhân viên có thể dành nhiều thời gian trên mạng xã hội và các ứng dụng khác mà có thể
giảm nghiêm trọng năng suất kinh doanh.
Sử dụng lao động không biết những gì nhân viên đang làm trên internet và làm thế nào sử dụng đó ảnh
hưởng đến họ.
Nhu cầu URL Filtering
Như với các ứng dụng điều khiển, truy cập vào internet và không làm việc liên quan đến
trang web của trình duyệt có thể mở mạng với một loạt các mối đe dọa an ninh và có tác động
tiêu cực đến năng suất lao động.
Bạn có thể sử dụng URL Filtering để:
• Kiểm soát nhân viên truy cập internet đến các trang web không thích hợp và bất hợp pháp
• Vấn đề kiểm soát băng thông
• Giảm trách nhiệm pháp lý
• Cải thiện an ninh tổ chức.
Khi URL lọc được thiết lập, dữ liệu nhân viên được giữ kín khi cố gắng xác định một loại
trang web. Chỉ phần host của URL được gửi đến Check Point Dịch vụ trực tuyến Web. Dữ
liệu này cũng được mã hóa.
Các tính năng chính
+Hạt kiểm soát ứng dụng - Xác định, cho phép, hoặc chặn hàng ngàn ứng dụng và các
trang web internet. Điều này cung cấp bảo vệ chống lại mối đe dọa ngày càng tăng các vectơ
và phần mềm độc hại được giới thiệu bởi internet các ứng dụng và các trang web.
+ Thư viện ứng dụng lớn nhất với AppWiki - điều khiển ứng dụng toàn diện có sử dụng
các ngành công nghiệp thư viện ứng dụng lớn nhất. Nó sẽ quét và phát hiện hơn 4.500 ứng
dụng và hơn 100.000 Web 2.0 vật dụng và chuyên mục.
+ Tích hợp vào Security Gateway - Kích hoạt ứng dụng kiểm soát và lọc URL về an ninh
Cổng bao gồm cả thiết bị UTM-1, Power-1, gia dụng IP, và gia dụng IAS.
+ Quản lý trung tâm - Cho phép bạn quản lý tập trung các chính sách an ninh kiểm soát
ứng dụng và URL Lọc từ một giao diện điều khiển thân thiện cho việc quản lý dễ dàng.
+ SmartEvent Phân tích - Sử dụng SmartEvent tiên tiến khả năng phân tích để hiểu ứng
dụng của bạn và lưu lượng truy cập trang web với bộ lọc, biểu đồ, báo cáo, thống kê, và nhiều
hơn nữa, của tất cả các sự kiện đi qua kích hoạt Security Gateway

Hình 14 Giao diện Cấu hình Dịch vụ Application & URL Filtering

BÁO CÁO TTTN ĐẠI HỌC KẾT LUẬN
KẾT LUẬN
An ninh mạng là một vấn đề cần cần được nhìn nhận mốt cách chính xác
nhằm nâng cao khả năng bảo mật.
Checkpoin firewall gateway security là một giải pháp rất tốt trong việc chống
lại các tấn công từ bên ngoài.qua đề tài có thể thấy được cái nhìn tổng quát hơn
về checkpoint firewall gateway security và các quả cụ thể của đề tài mang lại.
+ Tìm hiểu chung về các vấn đề của an ninh thông tin và an ninh mạng Doanh
nghiệp
+ Đi sâu nghiên cứu về lý thuyết về Firewall và các công cụ liên quan nhằm
mục đích xây dựng một sản phẩm tường lửa.
+ Phân tích kiến trúc và làm chủ được hệ thống tường lửa nói chung, hệ thống
Checkpoint Security Gateway nói riêng.

BÁO CÁO TTTN ĐẠI HỌC TÀI LIỆU THAM KHẢO
TÀI LIỆU THAM KHẢO
[1] Giáo trình Mạng máy tính-TS Phạm Quế Thuế-Học viện Công nghệ Bưu chính
Viễn thông
[2] Installation and Upgrate Guide for Gaia Platforms R77
[3] Application Control and URL Filtering R77
[4] Threat Prevention R77
[5] Checkpoint IPS R77
[6] Data Loss Prevention R77
[7] Firwall R77
[8] www.checkpoint.com

Checkpoin

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Viewers also liked

Viewers also liked (19)

Similar to Checkpoin

Similar to Checkpoin (20)

Checkpoin