Đề tài Tìm hiểu hệ thống Firewall

t Firewall thì phải định danh cho được chức năng nào của Firewall sẽ cần để thực hiện. Nó sẽ điều khiển truy cập đến từ mạng lưới nào, hay nó sẽ bảo vệ những dịch vụ và người sử dụng nào. Firewall điều khiển gì ? - Truy cập vào mạng. - Truy cập ngoài mạng. Hình 1.11. Application-proxy firewall - Truy cập trong những mạng lưới bên trong, những lĩnh vực hay những công trình kiến trúc. - Truy cập những nhóm đặt trưng, nhũng người sử dụng hoặc địa chỉ. - Truy cập đến những tài nguyên cụ thể hoặc những dịch vụ. Firewall cần bảo vệ cái gì? - Những mạng lưới hoặc bộ điều khiển đặc biệt. - Dịch vụ đặc biệt. - Thông tin riêng tư hoặc công cộng. - Người sử dụng. Sau khi nhận ra được Firewall cần để bảo vệ và điều khiển cái gì, quyết định điều gì có thể xảy ra liên tục với sự bảo vệ và điểu khiển này. Điều gì sẽ xảy ra khi người sử dụng truy cập đến những trang mà không có quyền truy cập. Điều này sẽ xảy ra nếu dịch vụ không được bảo vệ và thông tin không được bảo mật tốt. Có phải sự rủi ro của việc điều khiển hoặc bảo vệ đủ cho bước kế tiếp trong ước lượng thì cần phải có giải pháp Firewall. 1.6. NHỮNG HẠN CHẾ CỦA FIREWALL Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại thông tin và phân tích nội dung tốt hay xấu của nó. Firewall chỉ có thể ngăn chặn sự xâm nhập của những nguồn thông tin không mong muốn nhưng phải xác định rõ các thông số địa chỉ. Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không "đi qua" nó. Một cách cụ thể, Firewall không thể chống lại một cuộc tấn công từ một đường dial-up, hoặc sự rò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa mềm. Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data-drivent attack). Khi có một số chương trình được chuyển theo thư điện tử, vượt qua Firewall vào trong mạng được bảo vệ và bắt đầu hoạt động ở đây. Một ví dụ là các virus máy tính. Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả năng kiểm soát của Firewall. Firewall có thể ngǎn chặn những kẻ xấu từ bên ngoài nhưng còn những kẻ xấu ở bên trong thì sao. Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu được áp dụng rộng rãi. Để có được khả nǎng bảo mật tối ưu cho hệ thống, Firewall nên được sử dụng kết hợp với các biện pháp an ninh mạng như các phần mềm diệt virus, phần mềm đóng gói, mã hoá dữ liệu. Đặc biệt, chính sách bảo mật được thực hiện một cách phù hợp và có chiều sâu là vấn đề sống còn để khai thác tối ưu hiệu quả của bất cứ phần mềm bảo mật nào. Và cũng cần nhớ rằng công nghệ chỉ là một phần của giải pháp bảo mật. Một nhân tố nữa hết sức quan trọng quyết định thành công của giải pháp là sự hợp tác của nhân viên, đồng nghiệp. CHƯƠNG 2 ĐỀ XUẤT MỘT GIẢI PHÁP FIREWALL CHO MỘT DOANH NGHIỆP NHỎ 2.1. TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT CHO MẠNG MÁY TÍNH DOANH NGHIỆP An ninh mạng là các giải pháp bảo vệ mạng máy tính, bảo vệ các ứng dụng trên mạng, phòng chống các thay đổi, phá hoại, xâm nhập trái phép vào hệ thống mạng. An ninh mạng còn bao hàm là đảm bảo cho mạng hoạt động ổn định, các chức năng then chốt hoạt động chính xác và không bị các tác động có hại từ bên ngoài. 2.1.1. Nguyên tắc bảo vệ hệ thống mạng 2.1.1.1. Hoạch định hệ thống bảo vệ mạng Trong môi trường mạng, phải có sự đảm bảo rằng những dữ liệu có tính bí mật phải được cất giữ riêng, sao cho chỉ có người có thẩm quyền mới được phép truy cập chúng. Bảo mật thông tin là việc làm quan trọng, và việc bảo vệ hoạt động mạng cũng có tầm quan trong không kém. Mạng máy tính cần được bảo vệ an toàn, tránh khỏi những hiểm hoạ do vô tình hay cố ý. Tuy nhiên một nhà quản trị mạng cần phải biết bất cứ cái gì cũng có mức độ, không nên thái quá. Mạng không nhất thiết phải được bảo vệ quá cẩn mật, đến mức người dùng luôn gặp khó khăn khi truy nhập mạng để thực hiện nhiệm vụ của mình. Không nên để họ thất vọng khi cố gắng truy cập các tập tin của chính mình. Bốn hiểm hoạ chính đối với sự an ninh của mạng là: - Truy nhập mạng bất hợp pháp. - Sự can thiệp bằng phương tiện điện tử. - Kẻ trộm. - Tai họa vô tình hoặc có chủ ý. Mức độ bảo mật: Tuỳ thuộc vào dạng môi trường trong đó mạng đang hoạt động. Chính sách bảo mật: Hệ thống mạng đòi hỏi một tập hợp nguyên tắc, điều luật và chính sách nhằm loại trừ mọi rủi ro. Giúp hướng dẫn vượt qua các thay đổi và những tình huống không dự kiến trong quá trình phát triển mạng. Đào tạo: Người dùng mạng được đào tạo chu đáo sẽ có ít khả năng vô ý phá huỷ một tài nguyên. An toàn cho thiết bị: Tuỳ thuộc ở quy mô công ty, độ bí mật dữ liệu, các tài nguyên khả dụng. Trong môi trường mạng ngang hàng, có thể không có chính sách bảo vệ phần cứng có tổ chức nào. Người dùng chịu trách nhiệm đảm bảo an toàn cho máy tính và dữ liệu của riêng mình. 2.1.1.2. Mô hình bảo mật Hai mô hình bảo mật khác nhau đã phát triển, giúp bảo vệ an toàn dữ liệu và tài nguyên phần cứng: - Bảo vệ tài nguyên dùng chung bằng mật mã: Gắn mật mã cho từng tài nguyên dùng chung. - Truy cập khi được sự cho phép: Là chỉ định một số quyền nhất định trên cơ sở người dùng, kiểm tra truy nhập tài nguyên dùng chung căn cứ vào CSDL user-access trên máy server. 2.1.1.3. Nâng cao mức độ bảo mật Kiểm toán: Theo dõi hoạt động trên mạng thông qua tài khoản người dùng, ghi lại nhiều dạng biến cố chọn lọc vào sổ nhật ký bảo mật của máy server. Giúp nhận biết các hoạt động bất hợp lệ hoặc không chủ định. Cung cấp các thông tin về cách dùng trong tình huống có phòng ban nào đó thu phí sử dụng một số tài nguyên nhất định, và cần quyết định phí của những tài nguyên này theo cách thức nào đó. Máy tính không đĩa: Không có ổ đĩa cứng và ổ mềm. Có thể thi hành mọi việc như máy tính thông thường, ngoại trừ việc lưu trữ dữ liệu trên đĩa cứng hay đĩa mềm cục bộ. Không cần đĩa khởi động. Có khả năng giao tiếp với server và đăng nhập nhờ vào một con chip ROM khởi động đặc biệt được cài trên card mạng. Khi bật máy tính không đĩa, chip ROM khởi động phát tín hiệu cho server biết rằng nó muốn khởi động. Server trả lời bằng cách tải phần mềm khởi động vào RAM của máy tính không đĩa và tự động hiển thị màn hình đăng nhập . Khi đó máy tính được kết nối với mạng. Mã hoá dữ liệu: Đó là mã hoá thông tin sang dạng mật mã bằng một phương pháp nào đó sao cho đảm bảo thông tin đó không thể nhận biết được nếu nơi nhận không biết cách giải mã. Một người sử dụng hay một host có thể sử dụng thông tin mà không sợ ảnh hưởng đến người sử dụng hay một host khác. Chống virus : - Ngăn không cho virus hoạt động. - Sửa chữa hư hại ở một mức độ nào đó. - Chặn đứng virus sau khi nó bộc phát. Ngăn chặn tình trạng truy cập bất hợp pháp là một trong những giải pháp hiệu nghiệm nhất để tránh virus. Do biện pháp chủ yếu là phòng ngừa, nên người quản trị mạng phải bảo đảm sao cho mọi yếu tố cần thiết đều đã sẵn sàng: - Mật mã để giảm khả năng truy cập bất hợp pháp. - Chỉ định các đặc quyền thích hợp cho mọi người dùng. - Các profile để tổ chức môi trường mạng cho người dùng có thể lập cấu hình và duy trì môi trường đăng nhập, bao gồm các kết nối mạng và những khoản mục chương trình khi người dùng đăng nhập. - Một chính sách quyết định có thể tải phần mềm nào. 2.1.2. Kiến trúc bảo mật của hệ thống mạng 2.1.2.1. Các mức an toàn thông tin trên mạng Hình 2.1. Các mức an toàn thông tin trên mạng An toàn hay bảo mật không phải là một sản phẩm, nó cũng không phải là một phần mềm. Nó là một cách nghĩ. Sự an toàn có thể được khởi động và dường như một dịch vụ. Bảo mật là cách an toàn. Tài liệu bảo mật là tư liệu mà những thành viên của tổ chức muốn bảo vệ. Trách nhiệm của việc bảo mật là người quản trị mạng. Sự an toàn mạng có vai trò quan trọng tối cao. Cơ chế bảo mật cần phải bao gồm cấu hình mạng của Server, chu vi ứng dụng của tổ chức mạng và thậm chí của những Client truy nhập mạng từ xa. Có vài cách mà ta cần phải xem xét: - Sự an toàn vật lý. - An toàn hệ thống. - An toàn mạng. - An toàn các ứng dụng. - Sự truy nhập từ xa và việc chấp nhận. Các lỗ hổng bảo mật trên một hệ thống là các điểm yếu có thể tạo ra sự ngưng trệ của dịch vụ, thêm quyền đối với người sử dụng hoặc cho phép các truy nhập không hợp pháp vào hệ thống. Các lỗ hổng cũng có thể nằm ngay ở các dịch vụ cung cấp như sendmail, web, ftp ... Ngoài ra các lỗ hổng còn tồn tại ngay chính tại hệ điều hành như trong Windows NT, Windows 95, XP, UNIX hoặc trong các ứng dụng mà người sử dụng thường xuyên sử dụng như Word processing, các hệ databases ... 2.1.2.2. Ảnh hưởng của các lỗ hổng mạng Ở phần trên đã phân tích một số trường hợp có những lỗ hổng bảo mật, những kẻ tấn công có thể lợi dụng những lỗ hổng này để tạo ra những lỗ hổng khác tạo thành một chuỗi mắt xích những lỗ hổng. Ví dụ, một kẻ phá hoại muốn xâm nhập vào hệ thống mà không có tài khoản truy nhập hợp lệ trên hệ thống đó. Trong trường hợp này, trước tiên kẻ phá hoại sẽ tìm ra các điểm yếu trên hệ thống, hoặc từ các chính sách bảo mật, hoặc sử dụng các công cụ dò xét thông tin trên hệ thống đó để đạt được quyền truy nhập vào hệ thống. Sau khi mục tiêu duy nhất đã đạt được, kẻ phá hoại có thể tiếp tục tìm hiểu các dịch vụ trên hệ thống, nắm bắt được các điểm yếu và thực hiện các hành động phá hoại tinh vi hơn. Tuy nhiên, có phải bất kỳ lỗ hổng bảo mật nào cùng nguy hiểm đến hệ thống hay không. Có rất nhiều thông báo liên quan đến lỗ hổng bảo mật trên mạng Internet, hầu hết trong số đó là các lỗ hổng loại C, là không đặc biệt nguy hiểm đối với hệ thống. Ví dụ, khi những lỗ hổng về sendmail được thông báo trên mạng, không phải ngay lập tức ảnh hưởng trên toàn bộ hệ thống. Khi những thông báo về lỗ hổng được khẳng định chắc chắn, các nhóm tin sẽ đưa ra một số phương pháp để khắc phục hệ thống. 2.1.3. Mô tả hiện trạng của doanh nghiệp Trong tình hình mạng máy tính của doanh nghiệp nhỏ thì việc khảo sát hiện trạng của doanh nghiệp là một điều rất quan trọng. Tình hình mạng máy tính của doanh nghiệp như thế nào sẻ quyết định mô hình Firewall cho doanh nghiệp đó. Trước hết phải thấy rằng mạng doanh nghiệp đặc biệt là mạng doanh nghiệp nhỏ đòi hỏi phải rất gọn, không phức tạp như những công ty lớn về tin học, viễn thông. Nhưng không phải vì điều đó mà việc bảo mật của mạng máy tính doanh nghiệp bị xem nhẹ. Có thể nói việc bảo mật cho mạng doanh nghiệp là yêu cầu hàng đầu của các doanh nghiệp đối với các nhà quản trị mạng. Việc bảo mật tốt dữ liệu của các mạng doanh nghiệp là vấn đề sống còn của doanh nghiệp. Khảo sát hiện trạng của doanh nghiệp cho một cái nhìn tổng quát về mạng máy tính của doanh nghiệp. Từ tình trạng của doanh nghiệp giúp quyết định được sẽ chọn loại Firewall cho phù hợp. Do doanh nghiệp thuộc vào doanh nghiệp nhỏ nên có quy mô cơ sở vật chất trang thiết bị máy tính cũng như hạ tầng mạng không lớn lắm. Hiện trạng của doanh nghiệp sẽ quyết định tới mô hình Firewall mà ta sẽ lựa chọn cho phù hợp. Để hỗ trợ cho Firewall của doanh nghiệp người quản trị mạng cuả doanh nghiệp phải luôn luôn cập nhật những lỗ hổng bảo mật mới của phần mềm Firewall đang sử dụng. Bên cạnh đó thường xuyên tìm hiểu những cách thức tấn công mới của những kẻ phá hoại để từ đó đề ra những phương án phòng chống hữu hiệu. Hiện trạng của doanh nghiệp đó là nhưng cơ sở vật chất thiết bị máy tính của doanh nghiệp, cách bố trí mạng như thế nào, tài khoản của người sử dụng … nếu nắm rỏ được hiện trạng của doanh nghiệp thì việc vận hành Firewall sẽ dễ dàng hơn rất nhiều và hiệu quả bảo vệ của Firewall cũng nâng lên rất nhiều. Việc phân chia quyền sử dụng trong mạng doanh nghiệp cũng là một vấn đề cần quan tâm đối với người quản trị mạng doanh nghiệp, phải có cái nhìn thật kỹ lưỡng và chính xác trong việc phân quyền nếu không thì dù cho Firewall có đồ sộ bao nhiêu, tốt bao nhiêu cũng trở nên vô ích. Vì vậy mô tả hiện trạng của doanh nghiệp là một việc rất quan trọng trong chiến lược xây dựng Firewall cho doanh nghiệp. Nếu như việc bố trí hạ tầng mạng chưa phù hợp thì người quản trị mạng phải có chính sách điều chỉnh ngay đây cũng là một yếu tố làm cho Firewall hoạt động hiệu quả hơn. 2.1.4. Phân tích yêu cầu Firewall cho doanh nghiệp Yêu cầu về Firewall cho doanh nghiệp bao gồm nhiều rất nhiều yếu tố. Do những đặc thù của doanh nghiệp mà phải xác định mô hình Firewall cho phù hợp. Đối với doanh nghiệp về mức độ đáp ứng trang thiết bị máy tính không phải như các trung tâm chuyên về tin học lớn. Các thiết bị mạng ở đây không phải lớn như các trung tâm máy tính lớn. Vì vậy phải có cái nhìn cụ thể để đề ra mô hình Firewall phù hợp cho doanh nghiệp. Đối với các doanh nghiệp lớn thì cơ sỡ dữ liệu, tài nguyên cũng rất lớn và số lượng người truy cập mỗi ngày để lấy cơ sỡ dữ liệu, cập nhật thông tin, trao đổi … các hoạt động truy nhập thông tin diễn ra hết sức tấp nập trên mạng, những kẻ phá hoại sẽ dựa vào những hoạt động đó để lấy cắp, phá hoại thông tin, làm ngưng hoàn toàn cả hệ thống. Nếu như không có một Firewall đủ mạnh thì việc đột nhập của kẻ phá hoại sẽ hết sức đơn giản. Đối với những doanh nghiệp như thế này mô hình Firewall phải mạnh, có thể kết hợp giữa Firewall phần cứng và Firewall phần mềm. Việc kết hợp cả hai loại Firewall trên sẽ cho một sự bảo vệ chắc chắn hơn. Các tính năng được tích hợp trong Firewall phần cứng được các nhà sản xuất thiết lập ngay khi sản xuất các thiết bị các khả năng bảo mật này sẽ được cập nhật trong quá trình sử dụng của thiết bị. Khi lựa chọn một Firewall phần mềm cho những doanh nghiệp lớn thì phải chọn những mô hình Firewall phần mềm mạnh của các nhà sản xuất phần mềm về Firewall uy tín. Các phần mềm này khi có một bản quyền hợp pháp trong quá trình sử dụng chương trình sẽ không ngừng được cập nhật các phương pháp bảo mật mới, cập nhật các lỗ hổng bảo mật mới trong chương trình. Tuy nhiên việc kết hợp giữa Firewall phần cứng và Firewall phần mềm là một điều vô cùng tốn kém nó chỉ phù hợp với các doanh nghiệp lớn về cơ sở vật chất kĩ thuật, có tiềm lực về tài chính. Đối với các doanh nghiệp vừa và nhỏ có hạn chế về nhiều mặt như kinh phí cũng như thiết bị cho nên trong trường hợp này, có lẽ giải pháp một thiết bị có thể xử lý mọi chức năng an toàn là hợp lý nhất. Thiết bị bảo mật 'Tất cả trong một' này phải đáp ứng yêu cầu về bảo mật - an toàn dữ liệu của tổ chức - doanh nghiệp một cách hiệu quả nhất mà không cần đến nhiều tầng thiết bị đắt tiền và phức tạp, cộng thêm một nhân viên chuyên trách. Điều này quả thật rất cần thiết trong tình trạng Internet hiện nay đầy rẫy các mối đe dọa như sâu máy tính, chương trình phá hoại và ăn cắp thông tin, lỗ hổng bảo mật của các hệ điều hành và ứng dụng. Việc bảo mật cho các mạng máy tính doanh nghiệp loại này cũng không phức tạp như các doanh nghiệp lớn vì cơ sở dữ liệu ít, gọn, không nằm phân tán như các doanh nghiệp lớn. Vì vậy có thể lựa chọn nhũng Firewall phần mềm miễn phí hoặc bật các chức năng Firewall được cung cấp sẵn trong các hệ điều hành như Windows XP Home Edition, sử dụng Internet Connection Firewall trong phiên bản Windows XP Professional. 2.1.5. Chọn lựa một giải pháp Firewall nào cho phù hợp với mạng máy tính của doanh nghiệp nhỏ Một trong những công cụ hiệu quả nhất và cũng thông dụng nhất là sử dụng Firewall nhằm kiểm soát sự truy cập từ bên ngoài vào mạng nội bộ và các giao dịch ra/vào mạng. Tuy nhiên, đầu tư cho một Firewall khá tốn kém, nhất là đối với các tổ chức - doanh nghiệp vừa và nhỏ. Trong trường hợp này, có lẽ giải pháp một thiết bị có thể xử lý mọi chức năng an toàn là hợp lý nhất. Thiết bị bảo mật 'Tất cả trong một' này phải đáp ứng yêu cầu về bảo mật - an toàn dữ liệu của tổ chức - doanh nghiệp một cách hiệu quả nhất mà không cần đến nhiều tầng thiết bị đắt tiền và phức tạp. Sau đây là một số giải pháp phần mềm thông dụng hiện nay đang được nhiều doanh nghiệp ở tại Việt Nam cũng như trên thế giới sử dụng rộng rãi. Các phần mềm này đáp ứng rất tốt các điều kiện của doanh nghiệp, do tính chất của các phần mềm này các yêu cầu về cấu hình cho hệ thống mạng không phải là quá cao cho nên rất phù hợp với mạng máy tính của các doanh nghiệp vừa và nhỏ. A. ISA Server Enterprise 2000, ISA Server Enterprise 2004 Đây là một phần mềm có các chức năng chính là : - Bảo vệ mạng chống các cuộc tấn công từ Internet. - Cho phép các Client bên trong mạng nội bộ truy cập các dịch vụ ngoài Internet, có kiểm soát. B. Sonicwall PRO 2040 Firewall dành cho doanh nghiệp loại vừa này có thể đáp ứng mọi yêu cầu, dễ dàng nhận ra ngay điều này khi lấy thiết bị ra khỏi hộp, có thể đặt nó trên bàn, trên kệ tủ, hoặc lắp vào rack 1U đều được cả. SonicWALL Pro 2040 kết hợp hệ điều hành mở rộng SonicOS thế hệ mới của SonicWALL và một kiến trúc phần cứng có khả năng chịu tải tốt, miễn là cấu hình đúng, tất nhiên là không đơn giản. Khi sử dụng, người dùng phải cài đặt OS mở rộng của SonicWALL mới khai thác được nhiều tính năng cao cấp như kết nối đến nhiều ISP để dự phòng, cân bằng tải với các Pro 2040 khác, thiết lập NAT dựa theo chính sách và kết nối WAN dự phòng. Mặc dù có thể vận hành Pro 2040 mà không cần hệ điều hành SonicOS Enhanced, nhưng phải cài hệ điều hành này thì mới có thể kích hoạt cổng giao tiếp thứ tư của thiết bị. Cổng này có chức năng của một cổng WAN, LAN, hay DMZ, hoặc nối sang một thiết bị Pro 2040 khác để dự phòng. SonicWall không hề thua kém các đối thủ, nó cũng tích hợp chức năng phòng chống virus và lọc nội dung. Pro 2040 hoàn toàn làm vừa lòng, chẳng hạn, nó được trang bị một bộ xử lý chỉ làm mỗi nhiệm vụ mã hóa cho nên hiệu suất chẳng có gì khác biệt khi dùng chế độ mã hóa AES-256 hay 3DES. Hàng loạt cuộc tấn công giả lập cũng như ngăn chặn virus khi thử đều bị ngăn cản bởi Firewall này. Hình 2.2. Mô hình triển khai ISA Server giữa Internal Network và Internet C. ZoneAlarm Đây là một phần mềm miễn phí cho người sử dụng, mặc dù vậy nhưng những tính năng của nó cũng không kém gì những phần mềm lớn có bản quyền. Sau đây là một số tính năng của nó: - Overview: Cho phép nắm được các dữ liệu thống kê về hoạt động của ZoneAlarm. Bấm vào tab Preferences để thay đổi các thiết lập chi tiết. - Firewall: Các thiết lập chung, ảnh hưởng tới toàn bộ hoạt động cửa chương trình được đặt tại đây. Để đơn giản hoá, ZoneAlarm sử dụng khái niệm Zone (vùng). Internet Zone bao gồm các máy tính và các site trên mạng Internet mà chưa đặt thiết lập bảo vệ. - Program Control: Program Control cho phép xác định những chương trình nào phải hỏi ý kiến Firewall trước khi truy nhập Internet (ZoneAlarm sử dụng những thông tin này khi tạo các cửa sổ cảnh báo). Nếu gặp những vấn đề với các chương trình gián điệp và chương trình quảng cáo, ở một số thời điểm nào đó có thể đặt thiết lập cho mục này ở mức High. Ngoài ra, mức Medium là phù hợp với hầu hết những người sử dụng. Mục Automatic Lock trong Program Contrel cho phép đặt cách ly hoàn toàn với mạng Internet, chặn tất cả các thông điệp đi từ máy tính ra mạng Internet và ngược lại. Nếu sử dụng Internet băng rộng và bật máy tính suốt ngày, nên chọn Automatic Lock bất cứ lúc nào không làm việc với máy tính nữa. Có thể bật Automatic Lock bằng cách ấn vào biểu tượng ổ khoá bên trên cửa sổ ZoneAlarm. D. Comodo Firewall Pro 3.0 Đây là một trong những tường lửa tốt nhất trên Internet sẵn có dành cho Windows Vista. Tường lửa này có thể dễ dàng cạnh tranh với mọi giải pháp thương mại khác. Không giống như các giải pháp bảo mật miễn phí khác, Comodo không phải là phiên bản miễn phí của một sản phẩm thương mại. Nó đưa ra một tập hợp hoàn chỉnh các đặc tính bảo mật giống như bất kỳ tường lửa có chất lượng tốt khác. Điểm không thuận tiện duy nhất có thể thấy là tường lửa này trên thực tế có rất nhiều các tùy chọn cấu hình và tùy chọn bảo vệ gây khó khăn cho người dùng mới làm quen với nó. Một chuyên gia thì hoàn toàn thích thú với tất cả các tùy chọn điều khiển nhưng đối với một người mới bắt đầu thì họ sẽ phải dành rất nhiều thời gian để tìm hiểu mọi thứ. Nếu như bạn xác định muốn dành một lúc nào đó để học cách sử dụng Comodo Firewall Pro 3.0 thì có thể tin tưởng rằng bạn đã được bảo mật cao mà lại hoàn toàn miễn phí. 2.1.5. Thiết lập một Firewall cho doanh nghiệp Lựa chọn các giải pháp Firewall phần cứng hoặc Firewall phần mềm để xây dưng một Firewall cho doanh nghiệp. Việc thiết lập Firewall dựa vào các yếu tố sau: * Trước hết cần xác định tài nguyên cần bảo vệ. Ví dụ như: - Máy trạm. - Máy chủ. - Các thiết bị mạng: Bộ định tuyến (Router), Getway, Repeater… - Các máy chủ đầu cuối. - Các chương trình phần mềm. - Cáp mạng. - Thông tin lưu trữ trong các tệp dữ liệu. * Nghiên cứu các vấn đề sau: - Bảo vệ tài nguyên đó khỏi bị ai phá hoại. - Xác suất của nguy cơ đe doạ. - Mức độ quan trọng của nguồn tài nguyên. - Các biện pháp có thể thực hiện để bảo vệ tài nguyên với thời gian nhanh nhất, đỡ tốn kém nhất. - Kiểm tra chính sách an ninh mạng định kì. * Nhận dạng các mối đe doạ - Truy nhập trái phép: Nói chung việc sử dụng bất cứ tài nguyên nào mà không được sự cho phép trước đều bị coi là truy cập trái phép. - Nguy cơ để lộ thông tin: Việc để lộ thông tin cũng là một mối đe doạ. Cần phải xác định rõ các giá trị hay độ nhạy cảm của thông tin lưu trữ trên máy. Ở mức hệ thống việc để lọt mật khẩu truy nhập hệ thống có thể tạo thuận lợi cho việc truy nhập trái phép trong tương lai. - Từ chối dịch vụ: Các mạng dùng để kết nối các nguồn tài nguyên có giá trị như các máy tính và các cơ sở dữ liệu cung cấp các dịch vụ mà một cơ quan dựa vào. Nếu các dịch vụ này không sẵn sàng sẽ dẫn đến ảnh hưởng công việc kinh doanh của đơn vị. Rất khó có thể đoán trước được hình thức từ chối dịch vụ, dưới đây liệt kê một số ví dụ về từ chối dịch vụ:  Hệ thống máy bị dừng vì một gói tin của kẻ phá hoại.  Mạng bị dừng vì bị tràn lưu lượng.  Các thiết bị bảo vệ mạng bị phá hỏng. - Các điểm truy nhập: Điểm truy nhập mà ở đó những người sử dụng trái phép đi vào hệ thống. Nếu ta có càng nhiều điểm truy nhập thì càng làm tăng nguy cơ cho mạng. - Các hệ thống có cấu hình không đúng: Những kẻ đột nhập vào mạng chúng thường cố gắng phá hoại các máy chủ trên mạng. Các máy tính chủ đóng vai trò như các Server của Telnet là các mục tiêu rất phổ biến. Nếu máy tính chủ không được cấu hình một cách đúng đắn thì hệ thống sẽ rất dễ bị phá hoại. - Virus: Khi độ phức tạp của phần mềm tăng lên thì độ phức tạp của Virus trong bất kì hệ thông nào cũng tăng. Có lẽ sẽ không có phần mềm nào mà không bị nhiễm Virus. Các Virus an toàn được biết đến một cách rộng rãi cũng là các phương pháp phổ biến để truy nhập trái phép. Nếu việc cài đặt hệ thống là mở và được biết đến một cách rộng rãi thì kẻ đột nhập có thể sử dụng những điểm yếu của chương trình chạy ở chế độ ưu tiên để truy nhập hệ thống ở chế độ đặc quyền. - Các mối đe doạ từ bên ngoài: Những người trong cuộc thường truy nhập trực tiếp phần mềm máy tính mạng nhiều hơn so với phần cứng. Nếu như một người trong cuộc quyết định phá hoại thì người đó tạo ra mối đe doạ đáng kể cho an toàn của mạng. Nếu người đó tiếp cận dễ dàng với hệ thống thì hệ thống càng dễ bị phá hoại hơn. Người phá hoại có thể dễ dàng chạy bộ giải mã giao thức và nắm bắt phần mềm để phân tích lưu lượng của giao thức. Hầu hết các ứng dụng TCP/IP (Telnet, FTP) chỉ có cơ chế xác minh rất yếu trong đó mật khẩu được chuyển đi dưới dạng văn bản rõ nghĩa. - An toàn vật lý: Nếu bản thân máy tính không được an toàn về mặt vật lý thì các cơ chế an toàn phần mềm có thể dễ dàng bị bỏ qua. Trong trường hợp các máy trạm DOS, WINDOWS đều không có cơ chế bảo vệ phần mềm. Đối với hệ điều hành Unix không có người quản lý thì các ổ đĩa vật lý có thể bị đánh tráo, hoặc nếu ta để hệ thống này trong chế độ đặc quyền thì máy trạm coi như bị bỏ ngỏ. Nói cách khác kẻ đột nhập có thể tạm dừng máy tính này lại và đưa nó trở lại chế độ ưu đãi rồi sau đó lấy các chương trình Trojan- hores vào hoặc có thể thực hiện các hành động khác nhằm làm cho hệ thống trở nên rộng mở cho các vụ tấn công trong tương lai. CHƯƠNG 3 CÀI ĐẶT MỘT GIẢI PHÁP FIREWALL CHO DOANH NGHIỆP NHỎ 3.1. SƠ ĐỒ DOANH NGHIỆP Giả sử, công ty có 3 tầng và gồm có 5 phòng làm việc. - Diện tích toà nhà là:  Chiều dài của tòa nhà là 12 m.  Chiều rộng của tòa nhà là 7 m.  Chiều cao của mỗi tầng là 6 m. - Diện tích của mỗi phòng là:  Đối với phòng kinh doanh, kỹ thuật, tài chính, giám đốc: * Chiều dài là 6 m. * Chiều rộng là 5 m.  Đối với phòng phó giám đốc: * Chiều dài là 5 m. * Chiều rộng là 7m. Trong đó:  Phòng kinh doanh và kỹ thuật nằm ở tầng 3. * Phòng kinh doanh sẽ được đặt 10 máy. * Phòng kỹ thuật sẽ được đặt 10 máy.  Phòng phó giám đốc và tài chính nằm ở tầng 2. * Phòng phó giám đốc sẽ được đặt 1 máy. * Phòng tài chính sẽ được đặt 10 máy.  Phòng giám đốc nằm ở tầng 1 và được đặt 1 máy. * Sau đây là sơ đồ ban đầu của công ty 24 '-0 " 48 '-1 1 5/ 16 " 48 '-1 1 5/ 16 " 3' -7 1 3/ 16 " 48 '-1 1 5/ 16 " 3' -7 1 3/ 16 " 3' -7 1 3/ 16 " 3' -7 1 3/ 16 " 3.2. SƠ ĐỒ MẠNG DOANH NGHIỆP Sau đây là mô hình được phát thảo dựa trên mô hình Client/Server. 12 m 6m 7 m 2m 5m 6 m Tầng 1 Tầng 2 Tầng 3 Hình 3.1. Sơ đồ ban đầu của toà nhà 2m Hình 3.2. Mô hình logic Trong mô hình logic trên thì hệ thống mạng có 1 Switch phân tán có chức năng định tuyến (Switch layer 3). Switch này có tác dụng chuyển lưu lượng qua lại giữa các Switch truy cập (Switch layer 2) và một nhiệm vụ rất quan trọng là định tuyến giữa các LAN ảo. Bất kỳ một Switch truy cập nào được kết nối đến Switch phân tán bằng đường kết nối uplink 100Mbps và kết nối này đảm bảo cung cấp băng thông cho toàn bộ các máy tính kết nối đến Switch truy cập. Switch phân tán sử dụng ở đây là thiết bị có nhiều cổng truy nhập 100Mbps. Các Switch truy cập cung cấp 24 cổng 100 Mbps đảm bảo băng thông này cho từng máy trạm. Toàn bộ toàn nhà sẽ có 3 Switch truy cập. Nếu số lượng máy tính trong toàn bộ toàn nhà phát triển lên, các Switch truy cập có thể cắm xếp trồng để cung cấp số lượng cổng truy cập nhiều hơn hoặc các phòng ban có thể cắm Switch mở rộng để cung cấp thêm số cổng truy nhập. ` PC SWITCH ROUTER SERVER 9 U Thùng RACK Bó cáp Dây cáp UTP WPWall plate Hình 3.3. Các hình chú thích về thiết kế FireWall Hình 3.4. Mô hình vật lý ở Tầng 1 40'-0" 48 '-0 " PHÒNG GIÁM Ð? C 8' -0 " WP PHÒNG K? THU? T ` ` ` ` ` ` ` `` ` WP WP W P WP W P SERVER 9 U 2 U Router 1 U Switch layer 3 1 U Switch 1 Hình 3.5. Mô hình vật lý ở Tầng 2 Hình 3.6. Mô hình vật lý ở Tầng 3 PHÒNG KINH DOANH ` SWITCH ` ` ` ` ` ` `` ` WP WP W P WP W P PHÒNG TÀI CHÍNH ` SWITCH 2 `` ` ` ` ` ` ` ` WP W P WP W P WP Mạng sử dụng trên có 50 PC. Trong đó: 1 máy dùng làm ISA Server (có 2 card mạng) nên cài hệ điều hành Window 2003 Server. Còn lại các máy tính khác đều cài Window XP P2. Sử dụng một đường ADSL và hệ thống ISA Server 2004 Firewall với địa chỉ modem ADSL là 1.1.1.2. Hệ thống có hai lớp mạng chính là Internal bao gồm các máy tính của nhân viên có dãy địa chỉ IP riêng là 192.168.10.1 – 192.168.10.255/24 Máy chủ dùng để cài đặt ISA Server chạy Windows Server 2003 SP1 có 2 NIC (network interface) với địa chỉ IP như sau: - Outside Interface: IP 1.1.1.1, Subnet Mask 255.255.255 và Default Gateway 1.1.1.2 (ADSL modem). - Inside Interface: IP 192.168.10.2, Subnet Mask 255.255.255.0 và DNS 192.168.10.3 (DNS Server và Domain Controler của hệ thống) 3.3. CÀI ĐẶT VÀ CẤU HÌNH FIREWALL Sau âáy sẽ tiến hành cài đặt một Firewall cho doanh nghiệp bằng phần mềm ISA Server 2004 Firewall 3.3.1. Tìm hiểu về phần mềm ISA Server 2004 Firewall Trong số những sản phẩm tường lửa (firewall) trên thị trường hiện nay thì ISA Server 2004 của Microsoft được nhiều người yêu thích do khả năng bảo vệ hệ thống mạnh mẽ cùng với cơ chế quản lý linh hoạt. ISA Server 2004 Firewall có hai phiên bản Standard và Enterprise phục vụ cho những môi trường khác nhau. ISA Server 2004 Standard đáp ứng nhu cầu bảo vệ và chia sẻ băng thông cho các công ty có quy mô trung bình. Với phiên bản này có thể xây dựng Firewall để kiểm soát các luồng dữ liệu vào và ra hệ thống mạng nội bộ của công ty, kiểm soát quá trình truy cập của người dùng theo giao thức, thời gian và nội dung nhằm ngăn chặn việc kết nối vào những trang web có nội dung không thích hợp. Bên cạnh đó còn có thể triển khai hệ thống VPN Site to Site hay Remote Access hỗ trợ cho việc truy cập từ xa, hoặc trao đổi dữ liệu giữa các văn phòng chi nhánh. Đối với các công ty có những hệ thống máy chủ quan trọng như Mail Server, Web Server cần được bảo vệ chặt chẽ trong một môi trường riêng biệt thì ISA 2004 cho phép triển khai các vùng DMZ (thuật ngữ chỉ vùng phi quân sự) ngăn ngừa sự tương tác trực tiếp giữa người bên trong và bên ngoài hệ thống. Ngoài các tính năng bảo mật thông tin trên, ISA 2004 còn có hệ thống đệm (cache) giúp kết nối Internet nhanh hơn do thông tin trang web có thể được lưu sẵn trên RAM hay đĩa cứng, giúp tiết kiệm đáng kể băng thông hệ thống. Chính vì lý do đó mà sản phẩm Firewall này có tên gọi là Internet Security & Aceleration (bảo mật và tăng tốc Internet). ISA Server 2004 Enterprise được sử dụng trong các mô hình mạng lớn, đáp ứng nhiều yêu cầu truy xuất của người dùng bên trong và ngoài hệ thống. Ngoài những tính năng đã có trên ISA Server 2004 Standard, bản Enterprise còn cho phép thiết lập hệ thống mảng các ISA Server cùng sử dụng một chính sách, điều này giúp dễ dàng quản lý và cung cấp tính năng Load Balancing (cân bằng tải) 3.3.2. Cài đặt ISA Server * Yêu cầu cài đặt: ISA 2004 phải được cài đặt trên nền phần cứng và phần mềm như sau:  Phần cứng tối thiểu: - CPU: 500MHz. - RAM: 256MB. - Hard Disk: phân vùng NTFS, >=150MB dung lượng còn trống. - Máy có 2 card mạng.  Phần mềm: - Windows 2000 server, SP4. - Windows 2003 server. Sau khi đã thiết lập đầy đủ các thông tin cần thiết, tiến hành cài đặt ISA Server 2004 Standard trên máy tính dùng làm Firewall. Bước 1: Chạy file setup và click vào Install ISA Server 2004 Bước 2: Trong hộp thoại Microsoft ISA Server 2004 - Installation Wizard, ta click Next. Bước 3: Sau đó ta chọn I accept the terms in the license agreement và sau đó click Next. Bước 4: Ta điền đầy đủ thông tin và số serial vào rồi click Next. Bước 5: Ta chọn cài đặt chế độ Custom rồi click Next. Bước 6: Mặc định chỉ có hai dịch vụ Firewall Services và ISA Server Management, ta chọn thêm Firewall Client Installation Share. Rồi click Next. Bước 7: Ta sẽ click vào Add Bước 8: Ta sẽ cung cấp dãy địa chỉ IP chứa các máy tính trong mạng nội bộ (From, To). Lưu ý, dãy địa chỉ này phải chứa IP của giao tiếp mạng Inside. Rồi click Add. Sau đó OK. Bước 9: Trong hộp thoại Internal Network ta click Next. Bước 10: Ta chọn Allow computers running earlier version of Firewall Client software to connect. Rồi chọn Next. Bước 11: Trong hộp thoại Services ta click Next. Bước 12: Trong hộp thoại Ready to Install the Program ta click Install. Sau đó quá trình cài đặt sẽ bắt đầu. Xong thì ta bấm Finish để hoàn tất. A. Tạo Access Rule cho phép người dùng trong mạng nội bộ được phép sử dụng tất cả các giao thức trên Internet. Mở giao diện quản lý ISA Management Server bằng cách chọn Start  All Programs  Microsoft ISA Server  ISA Server Management. Bước 1: Tại giao diện chính, ta click vào Firewall Policy và chọn trên thanh Tab Tasks mục Create New Access Rule. Bước 2: Đặt tên cho access rule cần tạo là MẠNG NỘI BỘ TRUY CẬP INTERNET hoặc tên phù hợp với hệ thống và click Next. Bước 3: Trong hộp thoại Rule Action chọn Allow, vì đây là access rule cho phép client sử dụng các giao thức và ứng dụng thông qua Firewall. Bước 4: Trong hộp thoại Protocols, ta chọn All outbond trafic rồi click Next. . Bước 5: Trong hộp thoại Access Rule Sources, ta click Add. Bước 6: Trong hộp thoại Add Network Entities ta click đúp vào Internal. Sau đó đóng hộp thoại này lại. Rồi chọn Next. Bước 7: Trong hộp thoại Access Rule Destinations, ta click Add. Bước 8: Trong hộp thoại Add Network Entities ta click đúp vào External. Sau đó đóng hộp thoại này lại. Rồi chọn Next. Bước 9: Ở đây ta thiết lập cho tất cả các users. Bước10: Ta click Finish để hoàn tất. Nhấn Apply để hiệu lực firewall policy mới tạo, lúc này đã có 2 acess rule là Default Rule (có chức năng Deny All, lưu ý Default Rule không thể xoá được) và MẠNG NỘI BỘ TRUY CẬP INTERNET cho phép người dùng trong mạng nội bộ được phép sử dụng tất cả các giao thức trên Internet. B. Cấu hình ISA Client Tại máy tính client ta sẽ tiến hành cài đặt Firewall Client bằng cách mở Start  Run và chạy lệnh \\192.168.10.2\mspclnt\setup. Bước 1: Ta sẽ click vào Run để bắt đầu tiến hành cài đặt. Bước 2: Tiếp theo ta click Next. Bước 3: Tiếp theo ta click Next tiếp. Bước 4: Click Install để cài đặt. Sau đó, click Finish. Bước 5: Mở giao diện quản lý Microsoft Firewall Client Management bằng cách chọn Start  All Programs  Microsoft Firewall Client Management Bước 6: Trong hộp thoại dưới ta sẽ chọn mục Manually select ISA Server và nhập địa chỉ 192.168.10.2 của máy cài ISA Server hoặc tên máy server vào và click Test Server. Nếu kết nối thành công thì sẽ ra hộp thoại dưới. Sau đó đóng nó lại. Và OK. Nếu nhập sai thì kết nối không thành công thì sẽ ra hộp thoại dưới Chú thích: Với Firewall Client có thể tận dụng được những khả năng mạnh nhất của ISA Server như chứng thực người dùng dựa trên Domain User và Group, cho phép ghi nhật ký những lần truy cập ... Tuy nhiên điểm bất lợi chính của trường hợp này là các máy tính muốn cài Firewall Client phải sử dụng hệ điều hành Windows. C. Thiết Lập Private Policy Mặc dù hệ thống đã kết nối được Internet, nhưng công ty có những yêu cầu riêng về chính sách hệ thống như không cho phép nhân viên sử dụng mail ( yahoo, gmail …) chỉ được sử dụng mail nội bộ. Để thực hiện điều này, cần phải hiệu chỉnh lại Firewall policy.  Tạo access rule không cho phép sử dụng mail Bước 1: Tại giao diện chính, ta click vào Firewall Policy và chọn trên thanh Tab Tasks mục Create New Access Rule. Bước 2: Đặt tên cho access rule cần tạo là Cấm sử dụng mail và click Next Bước 3: Trong hộp thoại Rule Action chọn Deny, vì đây là access rule cấm các máy client sử dụng mail thông qua Firewall. Bước 4: Trong hộp thoại Protocols, ta chọn Selected protocols rồi click Add. Bước 5: Trong hộp thoại Add protocols, ta sẽ chọn mục mail và click đúp các giao thức về mail: POP3, IMAP4, … Sau đó thì đóng hộp thoại này lại. Rồi chọn Next. Bước 7: Trong hộp thoại Access Rule Sources, ta click Add. Bước 8: Trong hộp thoại Add Network Entities ta click đúp vào Internal. Sau đó đóng hộp thoại này lại. Rồi chọn Next. Bước 9: Trong hộp thoại Access Rule Destinations, ta click Add. Bước 10: Trong hộp thoại Add Network Entities ta click đúp vào External. Sau đó đóng hộp thoại này lại. Rồi chọn Next. Bước 11: Ở đây ta thiết lập cho tất cả các users. Bước 12: Ta click Finish để hoàn tất. Bước 13: Nhấn Apply để hiệu lực firewall policy mới tạo.  Sao lưu và phục hồi thông tin cấu hình ISA Server 2004 Firewall Để bảo đảm hệ thống luôn hoạt động ổn định cần phải tiến hành sao lưu (backup) các policy một cách đầy đủ để có thể phục hồi (restore) khi có sự cố xảy ra. Có thể sao lưu toàn bộ ISA Server hay chỉ một số các Firewall policy nào đó. * Thao tác sau đây sẽ tiến hành backup toàn bộ ISA Server: Bước 1: Tại giao diện chính, click phải trên server name (KIMDUC_DTU) và nhấn vào Back Up… Bước 2: Đặt tên của tập tin sao lưu là cấu hình ngày 201109 chọn nơi lưu trữ và nhấn nút Backup. Bước 3: Một hộp thoại yêu cầu đặt password cho tập tin backup hiện ra, hãy nhập password rồi nhấn OK. * Thao tác sau đây sẽ tiến hành Restore toàn bộ ISA Server: Để Restore lại cấu hình ISA Bước 1: Tại giao diện chính, click phải trên server name và nhấn vào Restore… Bước 2: Xác định tập tin sao lưu, chọn Restore và nhập vào password được thiết lập cho tập tin này. Sau khi tiến trình phục hồi hoàn tất có thể kiểm tra lại các policy trước đây của hệ thống đã được phục hồi đầy đủ hay chưa. 3.4. THỬ NGHIỆM ISA Server 2004 là một Firewall mạnh đáp ứng được các yêu cầu sử dụng các Service từ xa, phục vụ cho cả các ISA Clients bên trong truy cập các Service bên ngoài (Internet), lẫn các Client bên ngoài (Internet Clients) cần truy cập các Service bên trong Network Tổ chức. Firewall luôn là một trong các loại thiết bị Network cấu hình phức tạp nhất và duy trì hoạt động để bảo vệ Network cũng gặp không ít thử thách cho các Security Admin. Cần có những kiến thức cơ bản về TCP/IP và các Network Services để hiểu rõ một Firewall làm việc như thế nào. Tuy nhiên cũng không nhất thiết phải trở thành một chuyên gia về hạ tầng Network (Network Infrastructure ) mới có thể sử dụng được ISA Server 2004 như một Network Firewall. ISA Server 2004 được thiết kế để bảo vệ Network, chống các xâm nhập từ bên ngoài lẫn kiểm soát các truy cập từ bên trong Nội bộ Network của một tổ chức. ISA Server 2004 Firewall làm điều này thông qua cơ chế điều khiển những gì có thể được phép qua Firewall và những gì sẽ bị ngăn chặn. ISA Server 2004 Firewall chứa nhiều tính năng mà các Security Admin có thể dùng để đảm bảo an toàn cho việc truy cập Internet, và cũng bảo đảm an ninh cho các tài nguyên trong Nội bộ Network. Cuốn sách cung cấp cho các Security Admin hiểu được những khái niệm tổng quát và dùng những tính năng phổ biến, đặc thù nhất trên ISA Server 2004, thông qua những bước hướng dẫn cụ thể (Steps by Steps). Đây là một hệ thống ngăn chặn các cuộc tấn công từ Internet và một Firewall với cấu hình lỗi sẽ tạo điều kiện cho các cuộc xâm nhập Network. Với những lý do này, điều quan trọng nhất các Security Admin quan tâm đó là Làm thế nào để cấu hình Firewall đảm bảo an toàn cho việc truy cập Internet . Với cấu hình mặc định của mình ISA Server 2004 ngăn chặn tất cả lưu thông vào, ra qua Firewall. Rõ ràng đây là một cấu hình chủ động, an toàn nhất mà Admin có thể yên tâm ngay từ đầu khi vận hành ISA Server. Và sau đó để đáp ứng các yêu cầu hợp pháp truy cập các Service khác nhau của Internet (ví dụ như web, mail, chat, download, game online v.vv..), Security Admin sẽ cấu hình để ISA Server 2004 có thể đáp ứng các yêu cầu được phép trên. 3.5. ĐÁNH GIÁ KẾT QUẢ 3.5.1. Kết quả đạt được của các giải pháp Firewall - Đã thực hiện tốt các chức năng bảo vệ bảo mật của mạng máy tính cho doanh nghiệp. - Việc vận hành lắp ráp của Firewall phần cứng tương đối đơn giản. - Hoạt động của Firewall phầnd mềm tương đối ổn định,có dao diện đẹp. - Các chức năng cập nhật phiên bản mới hoạt động khá tốt. - Các chức năng như cảnh báo, thông báo của phần mềm rất dễ nhận thấy cho người quản trị mạng. - Hỗ trợ rất tốt cho người dùng. 3.5.2. Một số nhược điểm - Các Firewall phần mềm có khi gặp phải trục trặc đó là tính tương thích. - Ứng dụng chỉ mới thử nghiệm và cài đặt trên Flatform Window, chưa triển khai trên các Flatform khác như : Linux, Solaric v.v… KẾT LUẬN I. ĐÁNH GIÁ I.1. Kết quả nghiên cứu được Sau quá trình tìm hiểu và nghiên cứu, đề tài đã đạt được một số kết quả như sau: - Đã hiểu rõ được thế nào là Firewall trong lĩnh vực tin học, bản chất của Firewall là như thế nào. - Chức năng của Firewall trong việc bảo mật cho mạng máy tính. - Những thành phần chính hình thành nên một Firewall. - Tìm hiểu được an toàn và bảo mật mạng - Các yêu cầu về Firewall của doanh nghiệp nói chung cũng như đối với doanh nghiệp nhỏ nói riêng. - Những giải pháp Firewall đưa ra cho doanh nghiệp và hướng doanh nghiệp vào một giải pháp Firewall cụ thể. - Thiết lập một Firewall cho doanh nghiệp. I.2. Vấn đề chưa làm được - Chưa tìm hiểu hết được các kĩ thuật lập trình Firewall. - Chưa tiếp cận được thực tế một giải pháp Firewall nào để đề ra cách triển khai hệ thống chính xác. - Việc triển khai và tìm hiểu chưa có nhiều điều kiện thực tế, nhiều vấn đề chỉ mới qua các tài liệu. II. HƯỚNG PHÁT TRIỂN CỦA ĐỀ TÀI Trên cơ sở những việc đã làm được và chưa làm được ở trên khi thực hiện đề tài, Tôi xin đưa ra hướng phát triển nhằm từng bước hoàn thiện đề tài. - Tìm hiểu thêm các kỹ thuật lập trình Firewall, cũng như đề xuất phương án và giải pháp tốt. - Xây dựng một chương trình Firewall có tính thực tiển cao. III. LỜI KẾT Trong quá trình tìm hiểu và làm đồ án Tôi đã nhận được rất nhiều ý kiến đóng góp về nội dung cũng như cách trình bày. Tôi xin chân thành cảm ơn giảng viên hướng dẫn: Lê Văn Long và các thầy cô trong khoa CNTT đã tận tụy hướng dẫn và chỉ bảo. Mặc dù đồ án đã thể hiện được phần nào sự hiểu biết về vấn đề nhưng vẫn có những mặc làm được và chưa làm được như đã nêu trên. Tôi rất mong sự đóng góp ý kiến và bổ sung của các thầy cô để Tôi có thêm kinh nghiệm hoàn thành tốt hơn trong những đồ án tiếp theo. TÀI LIỆU THAM KHẢO Tiếng Việt [1]. Lê Văn Long,”Quản trị mạng”, bài giảng Khoa CNTT- Đại học Duy Tân, Lưu hành nội bộ. [2]. Nguyễn Bá Quang, “Thiết kế cài đặt mạng “, Đại học Cần Thơ - Khoa CNTT. [3]. Nguyễn Minh Nhật, “ An ninh mạng ”, bài giảng Khoa CNTT - Đại học Duy Tân, Lưu hành nội bộ. [4]. Nguyễn Gia Như “ Thiết kế mạng “, bài giảng Khoa CNTT - Đại học Duy Tân, Lưu hành nội bộ. Tài liệu trên Internet [5]. [6]. NHẬN XÉT CỦA GVHD ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... NHẬN XÉT CỦA GVPB ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ...............................................................................................................................................