Tường lửa ip cop

BÁO CÁO THỰC TẬP CHUYÊN NGÀNH
2
Sinh viên thực hiện: Trần Văn Quyết
LỜI MỞ ĐẦU
Thuật ngữ “Internet” xuất hiện lần đầu vào khoảng năm 1974. Cho tới hiện tại sự phát
triển của Internet đã phát triển rất mạnh, tới những vùng xa xôi, hẻo lánh. Hầu hết tất cả
dân số thế giới đều đã được tiếp xúc với Internet. Cùng với sự phát triển mạnh của nó cũng
kéo theo những vấn đề về an ninh mạng, bảo mật thông tin trên Internet ngày càng được
quan tâm nhiều hơn. Để có thể bảo vệ mình trước những nguy cơ tiềm ẩn, không phải ai
cũng có thể làm được.
Có nhiều cách giúp chúng ta có thể bảo vệ chính các cá nhân, cơ quan, tập thể, các công
ty khỏi sự nguy hiểm trên Internet. Mà thường được sử dụng đó là “Tường lửa” – một lớp
bảo vệ vững chắc ngăn cách chúng ta khỏi nguy cơ trên mạng Internet, giúp chúng ta an
toàn hơn, bảo mật thông tin hơn trong thể giới mạng đầy nguy hiểm.
Việc nghiên cứu và lập trình các chương trình tường lửa là điều hướng tới của nhiều
sinh viên theo học Công nghệ thông tin. Bản báo cáo này trình bày các khái niệm về liên
quan tới tường lửa, cũng như các đặc thù của tường lửa. Ngoài ra, còn tìm hiểu sâu hơn về
mô hình tường lửa IPCop – mô hình tường lửa nhỏ nhẹ, thường được áp dụng trong các
doanh nghiệp vừa và nhỏ, các hộ gia đình hay những quán Net, ...
Được sự giúp đỡ nhiệt tình của các giảng viên khoa Công nghệ thông tin, cũng như các
giảng viên của trung tâm Truyền dữ liệu số - VDC đã giúp em trong quá trình thực hiện đề
tài, tạo cơ hội cho em được tham gia học hỏi, rèn luyện các kĩ năng cho đợt thực tập cuối
khóa.
Đặc biệt, em xin gửi lời cảm ơn tới TS.Nguyễn Ngọc Hiếu – là người đã trực tiếp hướng
dẫn, giải đáp thắc mắc cũng như góp ý cho bài báo cáo này, thầy sẵn sàng trả lời những
thắc mắc khi cần thiết để giúp em có thể hoàn thành bài báo cáo của mình.
Mặc dù đã có nhiều cố gắng nhưng do kiến thức còn hạn chế cùng với kinh nghiệm chưa
có nhiều nên không thể tránh khỏi những thiếu sót trong quá trình thực hiển và triển khai
đề tài. Vì vậy em rất mong nhận được sự thông cảm, cũng như những bổ sung, đóng góp ý
kiển của các thầy, cô giáo và các bạn để bài báo cáo này của em được hoàn thiện hơn.
Sinh viên thực hiện
Trần Văn Quyết

3
MỤC LỤC
Chương I. Tổng quan đề tài
I. Đề tài
1. Tên đề tài ………………………………………………………………… 4
2. Mục đích và ý nghĩa …………………………………………………….. 4
Chương II. Giới thiệu chung về tường lửa
I. Khái niệm và chức năng của firewall
1. Khái niệm ………………………………………………………………... 4
2. Chức năng ………………………………………………………………. 5
II. Cấu trúc, thành phần và cơ chế hoạt động
1. Cấu trúc …………………………………………………………………. 6
2. Thành phần và cơ chế hoạt động ………………………………………. 6
a. Thành phần ………………………………………………………….. 6
b. Cơ chế hoạt động ……………………………………………………. 6
III. Phân loại, kỹ thuật và hạn chế của tường lửa
1. Các loại tường lửa ………………………………………………………. 9
2. Kỹ thuật và hạn chế của tường lửa ………………………………….. 10
a. Lọc khung (Frame Fitering) ……………………………………... 10
b. Lọc gói (Packet Fitering) ………………………………………… 10
3. Những hạn chế của tường lửa …………………………………………. 11
IV. Một số mô hình tường lửa
1. Packet-Fitering Router ………………………………………………… 11
2. Sreened Host …………………………………………………………… 12
3. Demilitarzed Zone …………………………………………………….... 14
4. Proxy Server ……………………………………………………………. 15
Chương III. Giới thiệu chung về IPCop
I. Giới thiệu chung và mục đích IPCop Firewall
1. Giới thiệu về IPCop …………………………………………………….. 16
2. Mục đích ………………………………………………………………... 16
II. Những thành phần và tính năng của IPCop Firewall
1. Các thành phần ………………………………………………………… 17
a. Giao diện web ………………………………………………………. 17
b. Giao diện mạng …………………………………………………….. 17
c. Ưu điểm của IPCop Firewall ……………………………………… 17
2. Các tính năng quan trọng của IPCop Firewall ………………………. 18

4
a. Web proxy …………………………………………………………... 18
b. DHCP và Dynamic DNS …………………………………………… 19
c. Time Server và Port Forwarding …………………………………… 20
d. Traffic Shaping và VNP …………………………………………….. 22
Chương IV. Cài đặt và Demo ứng dụng
I. Cài đặt
1. Mô hình …………………………………………………………………. 23
2. Cài đặt …………………………………………………………………... 23
II. Demo ứng dụng
1. Cài đặt và cấu hình Urlfilter …………………………………………… 28
2. Cài đặt và cấu hình Blockouttraffic …………………………………… 29
3. Port forwarding ………………………………………………………… 32
4. Advance proxy ………………………………………………………….. 33

5
CHƯƠNG I: TỔNG QUAN ĐỀ TÀI
I. Đề tài
1. Tên đề tài
Tìm hiểu về Firewall, cài đặt và cấu hình Firewall IPCop.
2. Mục đích và ý nghĩa
- Hiểu được và nắm vững cấu trúc, các thành phần và nguyên lý hoạt động và chức năng
của Tường lửa.
- Giới thiệu các mô hình tường lửa.
- Giới thiệu về IPCop Firewall và các tính năng của nó.
- Xây dựng được mô hình demo về IPCop.
- Triển khai cài đặt và cấu hình dịch vụ IPCop Firewall.
CHƯƠNG II: GIỚI THIỆU CHUNG VỀ TƯỜNG LỬA
I. Khái niệm và chức năng của firewall
1. Khái niệm
Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn
chặn, chạn chế hỏa hoạn. Trong công nghệ thông tin, Firewall là một kỹ thuật được tích
hợp vào hệ thống mạng để chống sự truy nhập trái phép nhằm bảo vệ các nguồn thông tin
nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống. Cũng có thể hiểu Firewall
là một cơ chế để bảo vệ mạng tin tưởng khỏi các mạng không tin tưởng.
Thông thường Firewall được đặt giữa mạng bên trong (Intranet) của một công ty, tổ
chức, ngành hay một quốc gia và Internet. Vài trò chính là bảo mật thông tin, ngăn chặn sự
truy nhập không mong muốn từ bên ngoài và cấm truy nhập từ bên trong tới một số địa chỉ
nhất định trên Internet.

6
Một cách vắn tắt, Firewall là hệ thông ngăn chặn vệc truy nhập trái phép từ bên ngoài
vào mạng cũng như những kết nối không hợp lệ từ bên trong ra. Firewall thực hiện lọc bỏ
những địa chỉ không hợp lệ dựa theo các quy tắc hay chỉ tiêu định trước.
Firewall có thể là hệ thống phần cứng, phần mềm hoặc kết hợp cả hai.
 Firewall cứng: Là những firewall được tích hợp sẵn trên Router hoặc trên các thiết bị
chuyên dụng.
+ Hoạt tính cao hơn so với firewall mềm.
+ Tốc độ xử lý nhanh hơn.
+ Bảo mật cao hơn.
+ Chi phí đắt hơn so với firewall mềm.
 Firewall mềm: Là những firewall được cài sẵn trên Server.
+ Hoạt tính không cao bằng firewall cứng.
+ Tốc độ xử lý chậm, phụ thuộc hệ điều hành.
+ Tiện lợi, có thể cài đặt dễ dàng trên các máy server.
+ Đa dạng, chi phí thấp hơn so với firewall cứng.
2. Chức năng
Chức năng chính của Firewall là kiểm soát luồng thông tin giữa Intranet và Internet.
Thiết lập cớ chế điều khiển dòng thông tin giữa Intranet và mạng Internet.
Cụ thể:
 Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài.
 Cho phép hoặc cấm những dịch vụ từ ngoài truy nhập vào trong.
 Theo dõi luồng dữ liệu giữa mạng Internet và LAN.
 Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập.
 Kiểm soát người sử dụng và việc truy nhập của người sử dụng. Kiểm soát nội dung
thông tin lưu chuyển trên mạng.
Một Firewall khảo sát tất cả các luồng lưu lượng giữa hai mạng để xem nó có đạt
chuẩn hay không. Nếu nó đạt, nó được định tuyến giữa các mạng, ngược lại nó bị hủy. Một
bộ lọc firewall lọc cả lưu lượng ra lẫn lưu lượng vào. Nó cũng có thể quản lý việc truy cập
từ bên ngoài vào nguồn tài nguyên mạng bên trong. Nó có thể được sử dụng để ghi lại tất
cả các cố gắng để vào mạng riêng và đưa ra cảnh báo nhanh chóng khi kẻ thù hoặc kẻ không
được phân quyền đột nhập.
Firewall có thể lọc các gói dựa vào địa chỉ nguồn, địa chỉ đích và số cổng của chúng.
Điều này còn được gọi là lọc địa chỉ. Firewall cũng có thể lọc các loại đặc biệt của lưu
lượng mạng. Điều này được gói là lọc giao thức bởi vì việc ra quyết định cho chuyển tiếp

7
hoặc từ chối lưu lượng phụ thuộc vào giao thức được sử dụng. Ví dụ: http, ftp, hoặc telnet.
Firewall cũng có thể lọc luồng lưu lượng thông qua thuộc tính và trạng thái của gói.
II. Cấu trúc, thành phần và cơ chế hoạt động của tường lửa
1. Cấu trúc
Firewall bao gồm:
 Một hoặc nhiều hệ thống máy chủ kết nối với các bộ định tuyến (router) hoặc là có chức
năng router.
 Các phần mềm quản lý an ninh chạy trên hệ thông máy chủ. Thông thường là các hệ
quản trị xác thực (Authentication), cấp quyền (Authorization) và kế toán (Accounting).
2. Thành phần và cơ chế hoạt động
a. Thành phần
Firewall chuẩn gồm một hay nhiều các thành phần sau đây:
 Bộ lọc packet (packet - filtering router).
 Cổng ứng dụng (application - level gateway hay proxy server).
 Cổng mạch (Circuite level gateway).
b. Cơ chế hoạt động
 Bộ lọc packet
Firewall hoạt động chặt chẽ với giao thức TCP/IP vì giao thức này làm việc theo thuật
toán chia nhỏ các dữ liệu nhân được từ các ứng dụng trên mạng, hay nói chính xác hơn là
các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, …) thành các gói dữ liệu (data
packet) rồi gán cho các gói này những địa chỉ có thể nhận dạng, tái lập lại ở đich cần gửi
đến, do đó các loại Firewall cũng liên quan rất nhiều đến các packet và những con số địa
chỉ của chúng.

8
Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được. Nó kiểm tra toàn bộ
đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thỏa mãn một trong số các luật lệ của
lọc packet hay không. Các luật lệ lọc packet này là dựa trên các thông tin ở đầu mỗi packet
(header), dùng để cho phép truyền các packet đó ở trên mạng. Bao gồm:
 Địa chỉ IP nguồn (Source).
 Địa chỉ IP nơi nhận (Destination).
 Những thủ tục truyền tin (TCP, UDP, ICMP, …).
 Cổng TCP/UDP nơi xuất phát.
 Công TCP/UDP nơi nhận.
 Dạng thông báo ICMP.
 Giao diện packet đến.
 Giao diện packet đi.
Nếu packet thỏa các luật lệ đã được thiết lập trước cảu Firewall thì packet đó được
chuyển qua, nếu không thỏa thì sẽ bị loại bỏ. Việc kiểm soát các công làm cho Firewall có
khả năng chỉ cho phép một số loại kết nối nhất định được phép mới vào được hệ thống
mạng cục bộ.
 Ưu điểm
 Đa số các hệ thông Firewall đều sử dụng bộ lọc packet. Một trong những ưu điểm của
phương pháp này là đảm bảo thông qua lưu lượng mạng.
 Bộ lọc packet là trong suốt đối với người sử dụng và các ứng dụng, vì vậy nó không yêu
cầu sự huẩn luyện đặc biệt nào cả.
 Hạn chế
Việc định nghĩa các chế độ lọc packet là một việc khá phức tạp, nó đòi hỏi người quản
trị mạng cần phải có hiểu biết chi tiết về các dịch vụ Internet, các dạng packet header và
các giá trị cụ thể mà họ có thể nhận trên mỗi trường. Khi đòi hỏi về sự lọc càng lớn, các
luật lệ lọc càng trở nên dài và phức tạp, rất khó để quản lý và điều khiển.
 Cổng ứng dụng
Đây là một loại Firewall được thiết kế để tăng cường chức năng kiểm soát các loại
dịch vụ, giao thức được cho phép truy nhập vào hệ thông mạng. Cơ chế hoạt động của nó
dựa trên các thức gọi là Proxy server (Dịch vụ ủy quyền). Proxy service là các bộ code đặc
biệt cài đặt trên gateway cho từng ứng dụng. Nếu người quản trị mạng không cài đặt proxy
code cho một ứng dụng nào đó, dịch vụ tương ứng sẽ không được cung cấp và do đó không
thể chuyển thông tin qua firewall. Ngoài ra, proxy code (Mã ủy nhiệm) có thể được định
cấu hình để hỗ trợ chỉ một số đặc điểm trong ứng dụng mà người quản trị mạng cho là chấp
nhận được trong khi từ chối những đặc điểm khác.
Một cổng ứng dụng thường được coi như là môt pháo đài chủ (bastion host), bởi vì nó
được thiết kế đặc biết để chống lại sư tấn công từ bên ngoài. Những biện pháp an ninh của
một bastiton host là:

9
 Bastion host luôn chạy các version (phiên bản) an toàn cảu các phần mền hệ thống
(Operating system). Các version an toàn này được thiết kế chuyển cho mục đích chống lại
sự tấn công vào OS, cũng như là đảm bảo sự tích hợp firewall.
 Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài đặt trên
bastition host, đơn giản chỉ vì nếu một dịch vụ được cài đặt, nó không thể dẽ bị tấn công.
 Thông thường chỉ một số giới hạn các ứng dụng cho các dịch vụ Telnet, DNS, FTP,
SMTP và xác thực user là được cài đặt trên Bastiton host.
 Bastiton host có thể yêu cầu nhiều mức độ xác thực khác nhau, ví dụ như user password
hay smart card.
 Mỗi proxy được cài đặt cấu hình để cho phép truy nhập chỉ một số các máy chủ nhất
định. Điều này có nghĩa rằng bộ lệnh và đặc điểm thiết lập cho mỗi proxy chỉ đúng với một
số máy chủ trên toàn hệ thống.
 Mỗi proxy duy trì một quyển nhật ký ghi chép lại toàn bộ chi tiết của giao thông qua
nó, mỗi sự kết nối, khoảng thời gian kết nối. Nhật kí này rất có ích trong việc tìm theo dấu
vết hay ngăn chặn kẻ phá hoại.
 Mỗi proxy đều độc lập với các proxy khác trên bastion host. Điều này cho phép dễ dàng
trong quá trình cài đặt một proxy mới, hay tháo gỡ một proxy đang có vấn đề.
 Ưu điểm
 Cho phép người quản trị mạng hoàn toàn điều khiển được từn dịch vụ trên mạng, bởi vì
ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủ nào có thể truy nhập được
các dịch vụ.
 Cho phép người quản trị mạng hoàn toàn điều khiển được những dịch vụ nào đó cho
phép, bởi vì sự vắng mặt của các proxy cho các dịch vụ tương ứng có nghĩa là các dịch vụ
ấy bị khóa.
 Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt và nó có ghi nhật ký thông tin về
truy nhập hệ thống.
 Luật lệ lọc cho cổng ứng dụng là dễ dàng cấu hình và kiểm tra hơn so với bộ lọc packet.
 Hạn chế
Yêu cầu các user thực hiện các thao tác chỉnh sửa phần mềm đã cài đặt trên máy client
cho truy nhập các dịch vụ proxy. Tuy nhiên, cũng đã có một số phần mềm client cho phép
ứng dụng trên cổng ứng dụng là trong suốt, bằng cách cho phép user chỉ ra máy đích chứ
không phải cổng ứng dụng trên lệnh Telnet.
 Cổng mạch
Cổng mạch là một chức năng đặc biệt có thể thực hiện được bởi một cổng ứng dụng.
Cổng mạch đơn giản chi chuyển tiếp các kết nối TCP mà không thực hiện bất kỳ hành động
xử lý hay lọc packet nào.

10
Cổng mạch thường được sử dụng cho những kết nối ra ngoài, nơi mà các quản trị
mạng thật sự tin tưởng những người sử dụng bên trong. Ưu điểm lớn nhất là một Bastion
host có thể được cấu hình như là một hỗn hợp cung cấp. Cổng ứng dụng cho những kết nối
đến và cổng mạch cho các kết nối đi. Điều này làm cho hệ thống bức tường lửa dễ dàng sử
dụng cho những người trong mạch nội bộ muốn trực tiếp truy nhập tới các dịch vụ Internet,
trong khi vẫn cung cấp chức năng tường lửa để bảo vệ mạng nội bộ từ những sự tấn công
bên ngoài.
III. Phân loại, kỹ thuật và hạn chế của tường lửa
1. Các loại tường lửa
Có 3 loại tường lửa cơ bản tùy theo:
 Truyền thông được thực hiện giữa một nút đơn và mạng, hay giữa một số mạng.
 Truyền thông được chặn tại tầng mạng, hay tại tầng ứng dụng.
 Tường lửa có theo dõi trạng thái của truyền thông hay không.
Phân loại theo phạm vi của các truyền thông được lọc, có các loại sau:
 Tường lửa cá nhân, một ứng dụng phân mềm với chức năng thông thường là lọc dữ liệu
ra vào một máy tính đơn.
 Tường lửa mạng, thường chạy trên một thiết bị mạng hay máy tính chuyên dụng đặt tại
ranh giới của hai hay nhiều mạng hoặc các khu vực phi quân sự (mạng con trung gian giữa
các mạng nội bộ và mạng bên ngoài). Một tường lửa thuộc loại này lọc tất cả giao thông dữ
liệu vào hoặc ra các mạng được kết nối qua nó.

11
Loại tường lửa mạng tương ứng với nghĩa truyền thông của thuật ngữ “tường lửa”
trong ngành mạng máy tính.
Khi phân loại theo các tầng giao thức nơi giao thông dữ liệu có thể bị chặn, có 3 loại
tường lửa chính:
 Tường lửa tầng mạng. Ví dụ iptables.
 Tường lửa tầng ứng dụng. Ví dụ: TCP Wrappers.
 Tường lửa ứng dụng. Ví dụ: Hạn chế các dịch vụ ftp bằng việc định cấu hình tại tệp
/etc/ftpaccess.
Các loại tường lửa tầng mạng và tường lửa tầng ứng dụng thường trùm lên nhau, mặc
dù tường lửa cá nhân không phục vụ mạng, nhưng một số hệ thống đơn đã cài đặt chung cả
hai.
Cuối cùng, nếu phân loại theo tiêu chí rằng tường lửa theo dõi trạng thái của các kết
nối mạng, hay chỉ quan tâm đến từng gói tin một các riêng rẽ, có hai loại tường lửa:
 Tường lửa có trạng thái (Stateful firewall).
 Tường lửa phi trạng thái (Stacteless firewall).
2. Kỹ thuật và hạn chế của tường lửa
a. Lọc khung (Frame Filering)
Hoạt động trong hai tầng của mô hình OSI, có thể lọc, kiểm tra được mức bit và nội
dung của khung tin. Trong tầng này các khung dữ liệu không tin cậy sẽ bị từ chối ngay
trước khi vào mạng.
b. Lọc gói (Packet Fitering)
Kiểu firewall chung nhất là dựa trên tầng mạng của mô hình OSI. Lọc gói cho phép
hay từ chối gói tin mà nó nhận được. Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem
đoạn dữ liệu đó có thỏa mãn một trong số các quy định của lọc packet hay không. Các quy
tắc lọc packet dựa vào các thông tin trong Packet header.
Nếu quy tắc lọc packet được thỏa mãn thì gói tin được chuyển qua Firewall. Nếu
không sẽ bị bỏ đi. Như vậy, firewall có thể ngăn cản các kết nối vào hệ thống hoặc khóa
việc truy nhập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép.
Một số firewall hoạt động ở tầng mạng thường cho phép tốc độ xử lý nhanh vì chỉ
kiểm tra địa chi IP nguồn mà không thực hiện lệnh trên router, không xác định địa chỉ sai
hay bị cấm. Nó sử dụng địa chi IP nguồn làm chỉ thị, nếu một gói tin mạng địa chỉ nguồn
là địa chỉ giá thì nó sẽ chiếm được quyền truy nhập hệ thống. Tuy nhiên có nhiều biện pháp
kỹ thuật có thể áp dụng cho việc lọc gói tin nhắm khắc phục nhược điểm trên, ngoài trường

12
địa chỉ IP được kiểm tra còn có các thông tin khác được kiểm tra với các quy tắc được tạo
ra trên firewall, các thông tin này có thể là thời gian truy nhập, giao thức sử dụng, cổng.
Firewall kiểu Packet Filtering có hai loại:
 Packet filtering firewall: Hoạt động tại tầng mạng của mô hình OSI hay tầng IP trong
mô hình TCP/IP. Kiểu firewall này không quản lý được các giao dịch trên mạng.
 Circuit level gateway: Hoạt động tại tầng phiên của mô hình OSI hay tầng TCP/IP. Là
loại firewall xử lý bảo mật giao dịch giữa hệ thống và người dùng cuối.
3. Những hạn chế của tường lửa
 Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại thông tin và
phân tích nội dung tốt hay xấu của nó. Firewall chỉ có thể ngăn chặn sự xâm nhập của những
nguồn thông tin không mong muốn nhưng phải xác định rõ các thông số địa chỉ.
 Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không đi qua
nó. Một cách cụ thể: Firewall không thể chống lại một cuộc tấn công từ một đường dial-up,
hoặc sự rò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa các thiết bị lưu trữ.
 Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu. Khi có một số chương
trình được chuyển theo thư điện tử, vượt qua firewall vào trong mạng được bảo vệ và bắt
đầu hoạt động ở đây.
Ví dụ với các virus máy tính, firewall không thể làm nhiệm vụ rà quét virus trên các
dữ liệu được chuyển qua nó, do tốc độ làm việc và sự xuất hiện liên tục của các virus mới
và do có rất nhiều các để mã hóa dữ liệu thoát khỏi khả năng kiểm soát của firewall.
Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu được áp dụng rộng rãi.
IV. Một số mô hình tường lửa
1. Packet-Filtering Router (Bộ trung chuyên có lọc gói tin)
Hệ thống Internet firewall phổ biến nhất chỉ bao gồm một packet-filtering router đặt
giữa mạng nội bộ và Internet. Một packet-filtering router có hai chức năng: chuyển tiếp
truyền thông giữa hai mạng và sử dụng các quy luật về lọc gói để cho phép hay từ chối
truyền thông.

13
Căn bản, các quy luật lọc được định nghĩa sao cho các host trên mạng nội bộ được
quyền truy nhập trực tiếp tới Internet, trong khi các host trên Internet chỉ có một số giới hạn
các truy nhập vào các máy tính trên mạng nội bộ. Tư tưởng của mô hình cấu trúc firewall
này là tất cả những gì không được chỉ ra rõ ràng thì có nghĩa là bị từ chối.
 Ưu điểm
 Giá thành thấp, cấu hình đơn giản.
 Trong suốt đối với user.
 Hạn chế
 Dễ bị tấn công vào các bộ lọc mà cấu hình được đặt không hoàn hảo hoặc bị tấn công
ngầm dưới những dịch vụ đã được phép.
 Do các packet được trao đổi trực tiếp giữa hai mạng thông qua router, nguy cơ bị tấn
công quyết định với số lượng các host và dịch vụ được phép. Điều đó dẫn đến mỗi một host
được phép truy nhập vào Internet cần phải được cung cấp một hệ thống xác thực phức tạp
và thường xuyên kiểm tra bởi người quản trị mạng xem có dấu hiệu sự tấn công nào không.
 Nếu một packet-filtering router do một sự cố nào đó ngừng hoạt động, tất cả hệ thống
trên mạng nội bộ có thể bị tấn công.
2. Screened Host
Hệ thống bao gồm một packet-filtering router và một bastion host (pháo đài chủ). Hệ
thống này cung cấp độ bảo mật cao hơn hệ thông trên, vì nó thực hiện cả bảo mật ở tầng
Network và tầng ứng dụng. Đồng thời kẻ tấn công phải phá vỡ cả hai tầng bảo mật để tấn
công vào mạng nội bộ.
Trong hệ thống này, bastion host được cấu hình ở trong mạng nội bộ. Quy luật filtering
router được định nghĩa sao cho tất cả các hệ thống ở bên ngoài chỉ có thể truy nhập bastion

14
host. Việc truyền thông tới tất cả các hệ thống bên trong đều bị khóa, bởi vì các hệ thống
nội bộ và bastion host ở trên cùng một mạng, chính sách bảo mật của một tổ chức sẽ quyết
định xem các hệ thống nội bộ được phép truy nhập trực tiếp vào bastion Internet hay là
chúng phải được sử dụng dịch vụ proxy trên bastion host. Việc bắt buộc những user nội bộ
thực hiện bằng cách đặt cấu hình lọc của router sao cho chỉ chấp nhận những truyền thông
nội bộ xuất phát từ bastion host.
 Ưu điểm
Máy chủ cung cấp các thông tin công cộng qua dịch vụ Web và FTP có thể đặt trên
Packet-filtering router và bastion. Trong trường hợp yêu cầu độ an toàn cao nhất, bastion
host có thể chạy các dịch vụ proxy yêu cầu tất cả các user cả trong và ngoài truy nhập qua
bastion host trước khi kết nối với máy chủ. Trường hợp không yêu cầu độ an toàn cao thì
các máy nội bộ có thể nối thẳng tới máy tính.
Nếu cần độ bảo mật cao hơn nữa thì có dùng hệ thống firewall dual-home (hai chiều)
bastion host. Một hệ thống bastion host như vậy có 2 giao diện mạng (Network Interface),
nhưng khi đó khả năng truyền thông trực tiếp giữa hai giao diện đó qua dịch vụ proxy là bị
cấm.
 Hạn chế
Bởi vì bastion host là hệ thống bên trong duy nhất có thể truy nhập được từ Internet,
sự tấn công cũng chỉ giới hạn đến bastion host mà thôi. Tuy nhiên, nếu như người dùng
truy nhập được vào bastion host thì họ có thể dễ dàng truy nhập toàn bộ mạng nội bộ. Vì
vậy cần phải cấm không cho người dùng truy nhập vào Bastion host.

15
3. Demilitarzed Zone (Khu vực phi quân sự hóa - DMZ)
Hệ thống bao gồm hai packet-filtering router và một bastion host. Hệ thống có độ an
toàn cao nhất vì nó cung cấp cả mức bảo mật Network và Application, trong khi định nghĩa
một mạng “phi quân sự”. Mạng DMZ đóng vai trò như một mạng nội bộ. Cơ bản, một DMZ
được cấu hình sao cho các hệ thống trên Internet và mạng nội bộ chỉ có thể truy nhập được
một số giới hạn các hệ thống trên mạng DMZ và sự truyền trực tiếp qua mạng DMZ là
không thể được.
Với những thông tin đến, router ngoài chống lại những sự tấn công chuẩn (như giả
mạo địa chỉ IP) và điều khiển truy nhập tới DMZ. Hệ thống chỉ cho phép bên ngoài truy
nhập vào bastion host. Router trong cung cấp sự bảo vệ thứ hai bằng cách điều khiển DMZ
truy nhập mạng nội bộ chỉ với những truyền thông bắt đầu từ bastion host.
Với những thông tin đi, router trong điều khiển mạng nội bộ truy nhập tới DMZ. Nó
chỉ cho phép các hệ thống bên trong truy nhập bastion host và có thể cả Information server.
Quy luật filtering trên router ngoài yêu cầu sử dụng dịch vụ proxy bằng cách chỉ cho phép
thông tin ra bắt nguồn từ bastion host.

16
 Ưu điểm
Kể tấn công cần phải phá vỡ 3 tầng bảo vệ: Router ngoài, Bastion host và Router trong.
Bởi vì router ngoài chỉ quảng cáo DMZ network tới Internet, hệ thống mạng nội bộ là
không thể nhìn thấy, chỉ có một số hệ thống đã được chọn ra trên DMZ là được biết đến
bởi Internet qua routing table và DMZ Information Exchange (DNS).
Bởi vì router trong chỉ quảng cáo DMZ network tới mạng nội bộ, các hệ thống trong
mạng nội bộ không thể truy nhập trực tiếp vào Internet. Điều này đảm bảo rằng những user
trong bắt buộc phải truy nhập Internet qua dịch vụ proxy.
 Hạn chế
4. Proxy Server
Chúng ta sẽ xây dựng Firewall theo kiến trúc application-level gateway (cổng vào
mức ứng dụng), theo đó một chương trình proxy (ủy quyền) được đặt ở gateway cách một
mạng bên trong tới Internet.
Bộ chương trình proxy được phát triển dựa trên bộ công cụ xây dựng Internet Firewall
TIS (Trusted Information System – Hệ thống thông tin tin cậy), bao gồm một bộ các chương
trình và đặt lại cấu hình hệ thống để nhằm mục đích xây dựng một Firewall. Bộ chương
trình được thiết kế để chạy trên Unix sử dụng TCP/IP với giao diện socket Berkeley.

17
Bộ chương trình proxy được thiết kế cho một số cấu hình firewall, theo các dạng cơ
bản: dual-home gateway, screened host gateway và screened subnet gateway.
Thành phần bastion host trong firewall đóng vai trò như một người chuyển tiếp thông
tin, ghi nhật ký truyền thông và cung cấp các dịch vụ, đòi hỏi độ an toàn cao.
Proxy server giống như một vệ sĩ bảo vệ khỏi những rắc rồi trên Internet. Một proxy
server thường nằm bên trong tường lửa, giữa trình duyệt web và server thật, làm chức năng
tạm giữ những yêu cầu Internet của các máy khách để chúng không giao tiếp trực tiếp với
Internet. Người dùng sẽ không thể truy cập được những trang web cho không cho phép (bị
công ty cấm).
Mọi yêu cầu của khách máy khách phải qua Proxy server, nếu địa chỉ IP có trên proxy,
nghĩa là Website này được lưu trữ cục bộ, thì trang này sẽ được truy cập mà không cần phải
kết nối Internet, nếu không có trên proxy server và trang này không bị cấm yêu cầu sẽ được
chuyển đến server thật và ra Internet. Proxy server lưu trữ cục bộ các trang Web thường
truy cập nhất trong bộ đệm dẫn đến giảm chi phí mà tốc độ hiển thị trang Web nhanh.
Proxy server bảo vệ mạng nội bộ khỏi bị xác định bởi bên ngoài bằng cách mang lại
cho mạng hai định danh: một cho nội bộ, một cho bên ngoài. Điều này tạo ra một bí danh
đối với thế giới bên ngoài gây khó khăn đối với người dùng hay những người muốn xâm
nhập mày nào đó.
Proxy server làm cho việc sử dụng băng thông hiệu quả.
CHƯƠNG III. GIỚI THIỆU CHUNG VỀ IPCOP FIREWALL
I. Giới thiệu và mục đích của IPCop Firewall
1. Giới thiệu về IPCop Firewall
 IPCop là một phần mềm được cắt ra từ Linux và có khả năng hoạt động như một
firewall. Nó có những tính năng cao cấp của firewall, bao gồm VPN sử dụng IPSec.
 Phần mềm mã nguồn mở (Open Soure Software), bản quyền của GNU Grneral Public
License (GPL) và được miễn phí khi sử dụng.
2. Mục đích của IPCop
 IPCop firewall là một firewall ứng dụng cho doanh nghiệp vừa và nhỏ (Small Office/
Home Office - SOHO).
 IPCop có thể được phát triển như một add-on để một hệ điều hành theo cách mà
Shorewall là một ứng dụng được cài đặt trên hệ thống linux hoặc máy chủ ISA trên hệ
thống windows.
 Nếu máy chủ của bạn với mục đích chỉ là một tường lửa cho mạng của bạn, bạn cần có
một sự hiểu biết đầy đủ và cơ bản về hệ hiều hành Linux để có được những phần mêm cài
đặt và nếu muốn hoạt động tốt thì bạn phải cấu hình cả hai hệ điều hành và IPCop. Tuy

18
nhiên, bản thân IPCop là một điều hành riêng bạn không cần thiết phải biết Linux để sử
dụng hệ thống trên.
II. Những thành phần và tính năng của IPCop Firewall
1. Các thành phần
a. Giao diện web
Nhiều tưởng lửa phức tạp đối với người dùng. Nó đòi hỏi phải có kĩ năng và kinh
nghiệm để làm quen. Giao diện máy chủ ISO là một ví dụ điển hình. Giao diện để cấu hình
IPCop là giao diện Web, đây là giao diện khá dễ sử dụng và trực quan cho người quản trị.
b. Giao diện mạng
IPCop cung cấp bốn giao diện mạng bao gồm: Green, Blue, Orange, Red. Mỗi giao
diện mạng được sử dụng để kết nối đến một mạng riêng biệt.
 Green Network Interface
- Giao diện mạng này kết nối với mạng cục bộ (mạng bên trong) của bạn. IPCop sẽ tự
động cho phép tất cả các kết nối từ giao diện mạng này đến tất cả các mạng khác.
 Red Network Interface
- Giao diện mạng Red đại diện cho mạng ngoài Internet. Mục đích của mạng Red này
nhằm bảo vệ các nguy cơ đối với mạng Green, Blue và Orange.
- Các phân đoạn Red có thể là một mạng Ethernet giao diện tĩnh hoặc sử dụng DHCP, nó
có thể là một USB ADSL modem, một card ISDN hoặc có thể là một dial-up, anolog
modem kết nối với điện thoại chuyển mạch công cộng.
 Orange Network Interface
- Giao diện mạng Orange được thiết kế như một mạng DMZ (demilitized zone). DMZ
mạng ý nghĩa như một phân đoạn mạng giữa mạng nội bộ và một mạng bên ngoài. Trong
khu vực DMZ thường đặt các máy chủ dịch vụ như Web, Mail, …
 Blue Network Interface
- Mạng Blue được thêm vào IPCop phiên bản 1.4. Mạng này được kết nối với các thiết bị
không dây và bảo vệ các thiết bị này.
c. Ưu điểm của IPCop Firewall
 Dễ quản lý và giám sát
Các nhà phát triển IPCop đã xây dựng một hệ thống giúp cho việc nâng cấp hệ thống
đơn giản hơn. Điều này được thực hiện hoàn toàn trên giao diện Web. Tuy nhiên, nếu người
dùng không muốn đăng nhập vào Linux Console thì việc thay đổi này có thể thực hiện đơn
giản bằng các sử dụng phím và màn hình được gắn liền với máy tính hoặc sử dụng SSH từ
một máy tính trên mạng nội bộ (Giao diện Green). Mặc định SSH bị tắt, vì vậy muốn sử
dụng phải bật nó lên.
Với những trạng thái được cung cấp trên giao diện Web, chúng ta có thể biết hệ thống
đang làm việc như thế nào. Chúng ta có thể nhìn thấy những dịch vụ đang chạy trên tường
lửa, bộ nhớ và tình trạng sử dụng ổ đĩa cũng như lưu lượng đang ra vào.

19
Hoàn toàn miễn phí, yêu cầu thiết bị cấu hình thấp, có thể chạy trên thẻ nhớ SD.
Cài đặt dễ dàng và nhanh chóng hỗ trợ giao diện đã ngôn ngữ.
Quản trị từ xa thông qua Web hoặc SSH.
2. Các tính năng quan trọng của IPCop Firewall
a. Web proxy
IPCop được dùng như một proxy cũng như tường lửa. Bạn có thể dễ dàng quản lý bộ
nhớ cache và cấu hình proxy trên giao diện Green. Tất cả những gì bạn làm là kích vào các
ô trong giao diện để cấu hình proxy trên IPCop.

20
Các dịch vụ proxy cho phép người dùng truy cập các dịch vụ internet, với dịch vụ này
người dùng luôn nghĩ mình đang tương tác trực tiếp với internet. Tuy nhiên, khi Client
muốn truy xuất đến các dịch vụ internet thì phải qua proxy. Proxy có nhiệm vụ xác định
các yêu cầu của người dùng rồi quyết định có đáp ứng hay không. Nếu có đáp ứng thì proxy
sẽ kết nối với Server thật thay cho Client và tiếp tục chuyển tiếp các yêu cầu đến chi client
cũng như đáp ứng những yêu cầu của Server đến client. Vì vậy, proxy giống như trung gian
giữa Server và Client.
b. DHCP và Dynamic DNS
 DHCP:
IPCop được cung cấp thêm tính năng cấp phát IP động tương tự trên Windows Server
của Microsoft.
 Dynamic DNS
Dynamic DNS là phương thức ánh xạ tên miền tới địa chỉ IP có tần suất thay đổi cao
(do không phải mọi máy đều sử dụng IP tĩnh). Dịch vụ DNS động (Dynamic DNS) cung
cấp một chương trình đặc biệt chạy trên máy tính của người sử dụng dịch vụ Dynamic DNS
gọi là Dynamic DNS Client.

21
Chương trình này giám sát sự thay đổi địa chỉ IP tại host và liên hệ với hệ thống DNS
mỗi khi địa chỉ IP của host (vốn được cung cấp bởi ISP bằng phương pháp động) thay đổi
và sau đó update thông tin vào CSDL DNS về sự thay đổi địa chỉ đó. Bằng các này, cho dù
máy chủ có thường xuyên bị thay đổi địa chỉ thì tên miền vẫn được hệ thống máy chủ DNS
trỏ về đúng địa chỉ cấp IP mới đó.
c. Time server và Port Forwarding
 Time server
IPCop cung cấp dịch vụ Network Time Protocol dùng để đồng bộ các host trên
Internet.

22
 Port Forwarding
Đây là chức năng khá phổ biến trong tường lửa từ doanh nghiệp vừa và nhỏ đến những
doanh nghiệp lớn. Có hai thuận lợi trong IPCop. Thứ nhất là chúng ta không có hạn chế số
lượng chuyển tiếp. Thứ hai, nó rất dễ cài đặt. Đối với những thiết bị của doanh nghiệp vừa
và nhỏ không chỉ chúng ta bị hạn chế về số lượng cổng mà còn tìm thấy những cấu hình
phức tạp xung quanh nó.
Trong mô hình trên, IPCop kết nối với Client trên 2 cổng 25 (Mail) và 80 (Web) nhưng
kết nối đến cổng 25 và 80 đã được chuyển tiếp đến các dịch vụ tương ứng.

23
d. Traffic Shaping và Vitual Private Network – VPN
 Trafic Shaping
Thiết lập mức ưu tiên về tốc đô theo port, hỗ trợ cả 2 giao thức là TCP và UDP. Giúp
quản lý hiệu quả băng thông Internet theo nhu cầu sử dụng của từng nhóm ứng dụng.
 VPN (Vitual Private Network – Mạng riêng ảo)
Tính năng này cho phép bạn tham gia nhiều mạng hơn trên internet với một liên kết riêng.

24
CHƯƠNG IV: CÀI ĐẶT VÀ DEMO ỨNG DỤNG
I. Cài đặt IPCop Firewall
1. Mô hình
Mô hình IPCop Firewall được mô tả như hình.
2. Cài đặt
Cấu hình IP cho giao diện Green – Mạng LAN.

25
Menu cài đặt các thành phần chính của IPCop:
Ở lựa chọn Network configuration type tùy vào mục đích chúng ta lựa chọn các giao diện
phù hợp, ở đây tôi chọn GREEN + ORANGE + RED. GREEN tương ứng với mạng LAN,
RED là mạng WAN, ORANGE là phân vùng “Phi quân sự” thường được kết nối với hệ
thống máy chủ Web, Mail, ….

26
Ở lựa chọn Driver and card asignments, nhấp OK để HDH tự động nhận card mạng.
Lựa chọn Address settings, chọn RED đề cài đặt card mạng RED, lựa chọn DHCP để máy
nhận IP động được cấp từ ISP.

27
Cài đặt mạng GREEN, IP này được dùng cho các máy chủ Web, Mail trong một vùng riêng,
nhằm đảo bảo an toàn.
Lựa chọn DNS and Gateway settings, chúng ta để tự động.
Lựa chọn DHCP server configuration, chúng ta sẽ cài đặt dải IP cấp động cho những máy
ở mạng LAN – Giao diện mạng GREEN.

28
Tiếp theo cấu hình trên giao diện Web ở máy Client.
Từ trình duyệt web gõ địa chỉ: https://172.16.1.1:445 (IP địa chỉ của GREEN) và nhập user
+ pass đã cài đặt trước đó.
Sau khi đăng nhập thành công, chúng ta có thể xem thông tin các dịch vụ, tình trạng bộ
nhớ, RAM, CPU, … và có thể cấu hình các dịch vụ bằng giao diện Web.

29
II. Cài đặt và cấu hình gói URLFiter & BlockOuttraffic
1. Cài đặt URLFiter
Đầu tiên chúng ta cần download bộ cài URLFiter.
Tiếp theo sử dụng phần mềm WinSCP để copy bộ cài URLFiter sang Firewall server để cài
đặt.
Tiếp theo ta tiến hành giải nén với lệnh:
tar zxvf ipcop-urlfiter-1.9.3.tar.gz
cd ipcop-urlfiter-1.9.3 – Vào thư mục chứa ipcop-urlfiter-1.9.3
./install để tiến hành cài đặt.
Sau khi cài đặt xong, chúng ta qua máy Client và tiến hành F5 lại trình duyệt, sẽ xuất hiện
tùy chọn URL Filter trong mục Services.
Ở mục blacklist là danh sánh các trang web bị chặn.

30
Chúng ta vào Services => Proxy và Enable tính năng URLFilter.
Trang web không bị chặn.
Trang web bị chặn.
2. Cài đặt BlockOuttraffic
Chúng ta tiến hành download gói cài đặt blockouttraffic về, tiến hành giải nén và cài đặt
với lệnh ./setup.

31
Chọn dịch vụ mặc định SMTP(25).
Add thêm dịch vụ smtps(465).
Add dịch vụ pop3(110).
Add dịch vụ pop3s(995).

32
Add rules mới.
Cài đặt mạng Green ra ngoài bằng các dịch vụ.
Tiến hành bật Rules và lưu lại cấu hình rules.
Enable blocktraffic.
Khi chưa enable rules.

33
Kết quả sau khi bật rules.
3. Port Forwarding
Vào giao diện IPCop từ Client và vào Port forwading.
Thêm rules mới như hình.
Thêm rules nữa với port 110.

34
4. Advance Proxy
- Advance Proxy là dạng proxy chuẩn của IPCop, nó cung cấp đầy đủ các tính năng của
một proxy.
- Để cài Advance proxy chúng ta tải gói advanceproxy.tar.gz. Sau đó tiến hành giải nén
và cài đặt bằng các lệnh tương tự như Url Filtering.
Sau khi cài đặt thành công, ta sẽ vào từ Services -> Advance Proxy.
Cấu hình Advance Proxy.
Unrestricted IP addresses: Không hạn chế đối với IP 172.16.1.3.
Banned IP addresses: Chặn IP 172.16.1.20 truy nhập Internet.

35
Cấu hình giới hạn tốc độ download/upload file cho toàn hệ thống mạng.
Với IP 172.16.1.3 không bị cấm.
Với IP 172.16.1.20 bị cấm.

36
KẾT LUẬN
- Đề tài thực hiện xong và đúng yêu cầu, thời hạn.
- Đã tìm hiểu được tổng quan về mô hình các tường lửa.
- Tìm hiểu và xây dựng được mô hình tường lửa IPCop.
- Tuy nhiên, vẫn còn nhiều hạn chế thiểu sót cần bổ sung.
TÀI LIỆU THAM KHẢO
- Các trang web: + http://vi.wikipedia.org/wiki/
+ http://tailieu.vn/
+ https://www.youtube.com/
+ http://ipcop.org

Tường lửa ip cop

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Viewers also liked

Viewers also liked (17)

Similar to Tường lửa ip cop

Similar to Tường lửa ip cop (20)

Recently uploaded

Recently uploaded (10)

Tường lửa ip cop