Tim Hieu Ve Tuong Lua FIREWALL

Môc lôc
1. An toµn th«ng tin trªn m¹ng______________________________________3
1.1 T¹i sao cÇn cã Internet Firewall___________________________________3
1.2 B¹n muèn b¶o vÖ çi g×?_________________________________________5

1.2.1 D÷ liÖu cña b¹n______________________________________________5
1.2.2 Tµi nguyªn cña b¹n___________________________________________5
1.2.3 Danh tiÕng cña b¹n___________________________________________6
1.3 B¹n muèn b¶o vÖ chèng l¹i çi g×?_________________________________7

1.3.1 Çc kiÓu tÊn c«ng____________________________________________7
1.3.2 Ph©n lo¹i kÎ tÊn c«ng________________________________________10
1.4 VËy Internet Firewall lµ g×?_____________________________________12

1.4.1 §Þnh nghÜa________________________________________________12
1.4.2 Chøc n¨ng_________________________________________________12
1.4.3 CÊu tróc__________________________________________________13
1.4.4 Çc thµnh phÇn cña Firewall vµ c¬ chÕ ho¹t ®éng_________________13
1.4.5 Nh÷ng h¹n chÕ cña firewall___________________________________20
1.4.6 Çc vÝ dô firewall___________________________________________21
2. Çc dÞch vô Internet_____________________________________28
2.1 World Wide Web - WWW_______________________________________29
2.2 Electronic Mail (Email hay th ®iÖn tö).___________________________30
2.3 Ftp (file transfer protocol hay dÞch vô chuyÓn file)_________________31
2.4 Telnet vµ rlogin________________________________________________32
2.5 Archie________________________________________________________33
2.6 Finger________________________________________________________34
3. HÖ thèng Firewall x©y dùng bëi CSE_______________________35
1
3.1 Tæng quan____________________________________________________36
3.2 Çc thµnh phÇn cña bé ch¬ng tr×nh proxy:________________________37

3.2.1 Smap: DÞch vô SMTP_______________________________________37
3.2.2 Netacl: c«ng cô ®iÒu khiÓn truy nhËp m¹ng_____________________38
3.2.3 Ftp-Gw: Proxy server cho Ftp__________________________________39
3.2.4 Telnet-Gw: Proxy server cho Telnet_____________________________40
3.2.5 Rlogin-Gw: Proxy server cho rlogin_____________________________41
3.2.6 Sql-Gw: Proxy Server cho Oracle Sql-net________________________41
3.2.7 Plug-Gw: TCP Plug-Board Connection server_____________________41
3.3 Cµi ®Æt______________________________________________________43
3.4 ThiÕt lËp cÊu h×nh:___________________________________________44

3.4.1 CÊu h×nh m¹ng ban ®Çu_____________________________________44
3.4.2 CÊu h×nh cho Bastion Host___________________________________45
3.4.3 ThiÕt lËp tËp hîp quy t¾c____________________________________47
3.4.4 X¸c thùc vµ dÞch vô x¸c thùc__________________________________56
3.4.5 Sö dông mµn h×nh ®iÒu khiÓn CSE Proxy:______________________62
3.4.6 Çc vÊn ®Ò cÇn quan t©m víi ngêi sö dông______________________66
2
1. An toµn th«ng tin trªn m¹ng
1.1 T¹i sao cÇn cã Internet Firewall
HiÖn nay, kh¸i niÖm m¹ng toµn cÇu - Internet kh«ng cßn
míi mÎ. Nã ®· trë nªn phæ biÕn tíi møc kh«ng cÇn ph¶i
chó gi¶i g× thªm trong nh÷ng t¹p chÝ kü thuËt, cßn trªn
nh÷ng t¹p chÝ kh¸c th× trµn ngËp nh÷ng bµi viÕt dµi,
ng¾n vÒ Internet. Khi nh÷ng t¹p chÝ th«ng thêng chó
träng vµo Internet th× giê ®©y, nh÷ng t¹p chÝ kü thuËt l¹i
tËp trung vµo khÝa c¹nh kh¸c: an toµn th«ng tin. §ã cïng lµ
mét qu¸ tr×nh tiÕn triÓn hîp logic: khi nh÷ng vui thÝch
ban ®Çu vÒ mét siªu xa lé th«ng tin, b¹n nhÊt ®Þnh nhËn
thÊy r»ng kh«ng chØ cho phÐp b¹n truy nhËp vµo nhiÒu
n¬i trªn thÕ giíi, Internet cßn cho phÐp nhiÒu ngêi kh«ng
mêi mµ tù ý ghÐ th¨m m¸y tÝnh cña b¹n.
Thùc vËy, Internet cã nh÷ng kü thuËt tuyÖt vêi cho phÐp

mäi ngêi truy nhËp, khai th¸c, chia sÎ th«ng tin. Nh÷ng nã
còng lµ nguy c¬ chÝnh dÉn ®Õn th«ng tin cña b¹n bÞ h
háng hoÆc ph¸ huû hoµn toµn.
Theo sè liÖu cña CERT(Computer Emegency Response

Team - “§éi cÊp cøu m¸y tÝnh”), sè lîng çc vô tÊn c«ng
trªn Internet ®îc th«ng b¸o cho tæ chøc nµy lµ Ýt h¬n 200
vµo n¨m 1989, kho¶ng 400 vµo n¨m 1991, 1400 vµo n¨m
1993, vµ 2241 vµo n¨m 1994. Nh÷ng vô tÊn c«ng nµy
nh»m vµo tÊt c¶ çc m¸y tÝnh cã mÆt trªn Internet, çc
m¸y tÝnh cña tÊt c¶ çc c«ng ty lín nh AT&T, IBM, çc tr-
êng ®¹i häc, çc c¬ quan nhµ níc, çc tæ chøc qu©n sù, nhµ
b¨ng... Mét sè vô tÊn c«ng cã quy m« khæng lå (cã tíi
100.000 m¸y tÝnh bÞ tÊn c«ng). H¬n n÷a, nh÷ng con sè
3
nµy chØ lµ phÇn næi cña t¶ng b¨ng. Mét phÇn rÊt lín çc
vô tÊn c«ng kh«ng ®îc th«ng b¸o, v× nhiÒu lý do, trong
®ã cã thÓ kÓ ®Õn nçi lo bÞ mÊt uy tÝn, hoÆc ®¬n gi¶n
nh÷ng ngêi qu¶n trÞ hÖ thèng kh«ng hÒ hay biÕt nh÷ng
cuéc tÊn c«ng nh»m vµo hÖ thèng cña hä.
Kh«ng chØ sè lîng çc cuéc tÊn c«ng t¨ng lªn nhanh chãng,
mµ çc ph¬ng ph¸p tÊn c«ng còng liªn tôc ®îc hoµn thiÖn.
§iÒu ®ã mét phÇn do çc nh©n viªn qu¶n trÞ hÖ thèng ®-
îc kÕt nèi víi Internet ngµy cµng ®Ò cao c¶nh gi¸c. Còng
theo CERT, nh÷ng cuéc tÊn c«ng thêi kú 1988-1989 chñ
yÕu ®o¸n tªn ngêi sö dông-mËt khÈu (UserID-password)
hoÆc sö dông mét sè lçi cña çc ch¬ng tr×nh vµ hÖ ®iÒu
hµnh (security hole) lµm v« hiÖu hÖ thèng b¶o vÖ, tuy
nhiªn çc cuéc tÊn c«ng vµo thêi gian gÇn ®©y bao gåm
c¶ çc thao t¸c nh gi¶ m¹o ®Þa chØ IP, theo dâi th«ng tin
truyÒn qua m¹ng, chiÕm çc phiªn lµm viÖc tõ xa (telnet
hoÆc rlogin).
4
1.2 B¹n muèn b¶o vÖ çi g×?
NhiÖm vô c¬ b¶n cña Firewall lµ b¶o vÖ. NÕu b¹n muèn

x©y dùng firewall, viÖc ®Çu tiªn b¹n cÇn xem xÐt chÝnh
lµ b¹n cÇn b¶o vÖ çi g×.
1.2.1 D÷ liÖu cña b¹n
Nh÷ng th«ng tin lu tr÷ trªn hÖ thèng m¸y tÝnh cÇn ®îc
b¶o vÖ do çc yªu cÇu sau:
 B¶o mËt: Nh÷ng th«ng tin cã gi¸ trÞ vÒ kinh tÕ, qu©n
sù, chÝnh s¸ch vv... cÇn ®îc gi÷ kÝn.
 TÝnh toµn vÑn: Th«ng tin kh«ng bÞ mÊt m¸t hoÆc

söa ®æi, ®¸nh tr¸o.
 TÝnh kÞp thêi: Yªu cÇu truy nhËp th«ng tin vµo ®óng
thêi ®iÓm cÇn thiÕt.
Trong çc yªu cÇu nµy, th«ng thêng yªu cÇu vÒ b¶o mËt
®îc coi lµ yªu cÇu sè 1 ®èi víi th«ng tin lu tr÷ trªn m¹ng.
Tuy nhiªn, ngay c¶ khi nh÷ng th«ng tin nµy kh«ng ®îc gi÷
bÝ mËt, th× nh÷ng yªu cÇu vÒ tÝnh toµn vÑn còng rÊt
quan träng. Kh«ng mét ç nh©n, mét tæ chøc nµo l·ng phÝ
tµi nguyªn vËt chÊt vµ thêi gian ®Ó lu tr÷ nh÷ng th«ng tin
mµ kh«ng biÕt vÒ tÝnh ®óng ®¾n cña nh÷ng th«ng tin
®ã.
1.2.2 Tµi nguyªn cña b¹n
Trªn thùc tÕ, trong çc cuéc tÊn c«ng trªn Internet, kÎ tÊn
c«ng, sau khi ®· lµm chñ ®îc hÖ thèng bªn trong, cã thÓ
sö dông çc m¸y nµy ®Ó phôc vô cho môc ®Ých cña
m×nh nh ch¹y çc ch¬ng tr×nh dß mËt khÈu ngêi sö dông,
5
sö dông çc liªn kÕt m¹ng s½n cã ®Ó tiÕp tôc tÊn c«ng çc
hÖ thèng kh¸c vv...
1.2.3 Danh tiÕng cña b¹n
Nh trªn ®· nªu, mét phÇn lín çc cuéc tÊn c«ng kh«ng ®îc
th«ng b¸o réng r·i, vµ mét trong nh÷ng nguyªn nh©n lµ nçi
lo bÞ mÊt uy tÝn cña c¬ quan, ®Æc biÖt lµ çc c«ng ty
lín vµ çc c¬ quan quan träng trong bé m¸y nhµ níc.
Trong trêng hîp ngêi qu¶n trÞ hÖ thèng chØ ®îc biÕt
®Õn sau khi chÝnh hÖ thèng cña m×nh ®îc dïng lµm
bµn ®¹p ®Ó tÊn c«ng çc hÖ thèng kh¸c, th× tæn thÊt vÒ
uy tÝn lµ rÊt lín vµ cã thÓ ®Ó l¹i hËu qu¶ l©u dµi.
6
1.3 B¹n muèn b¶o vÖ chèng l¹i çi g×?
Cßn nh÷ng g× b¹n cÇn ph¶i lo l¾ng. B¹n sÏ ph¶i ®¬ng

®Çu víi nh÷ng kiÓu tÊn c«ng nµo trªn Internet vµ nh÷ng
kÎ nµo sÏ thùc hiÖn chóng?
1.3.1 Çc kiÓu tÊn c«ng
Cã rÊt nhiÒu kiÓu tÊn c«ng vµo hÖ thèng, vµ cã nhiÒu

çch ®Ó ph©n lo¹i nh÷ng kiÓu tÊn c«ng nµy. ë ®©y,
chóng ta chia thµnh 3 kiÓu chÝnh nh sau:
1.3.1.1 TÊn c«ng trùc tiÕp
Nh÷ng cuéc tÊn c«ng trùc tiÕp th«ng thêng ®îc sö dông
trong giai ®o¹n ®Çu ®Ó chiÕm ®îc quyÒn truy nhËp bªn
trong. Mét ph¬ng ph¸p tÊn c«ng cæ ®iÓn lµ dß cÆp tªn
ngêi sö dông-mËt khÈu. §©y lµ ph¬ng ph¸p ®¬n gi¶n, dÔ
thùc hiÖn vµ kh«ng ®ßi hái mét ®iÒu kiÖn ®Æc biÖt
nµo ®Ó b¾t ®Çu. KÎ tÊn c«ng cã thÓ sö dông nh÷ng
th«ng tin nh tªn ngêi dïng, ngµy sinh, ®Þa chØ, sè nhµ vv..
®Ó ®o¸n mËt khÈu. Trong trêng hîp cã ®îc danh s¸ch ng-
êi sö dông vµ nh÷ng th«ng tin vÒ m«i trêng lµm viÖc, cã
mét tr¬ng tr×nh tù ®éng ho¸ vÒ viÖc dß t×m mËt khÈu
nµy. mét tr¬ng tr×nh cã thÓ dÔ dµng lÊy ®îc tõ Internet
®Ó gi¶i çc mËt khÈu ®· m· ho¸ cña çc hÖ thèng unix cã
tªn lµ crack, cã kh¶ n¨ng thö çc tæ hîp çc tõ trong mét tõ
®iÓn lín, theo nh÷ng quy t¾c do ngêi dïng tù ®Þnh
nghÜa. Trong mét sè trêng hîp, kh¶ n¨ng thµnh c«ng cña
ph¬ng ph¸p nµy cã thÓ lªn tíi 30%.
Ph¬ng ph¸p sö dông çc lçi cña ch¬ng tr×nh øng dông vµ
b¶n th©n hÖ ®iÒu hµnh ®· ®îc sö dông tõ nh÷ng vô tÊn
c«ng ®Çu tiªn vµ vÉn ®îc tiÕp tôc ®Ó chiÕm quyÒn truy
7
nhËp. Trong mét sè trêng hîp ph¬ng ph¸p nµy cho phÐp kÎ
tÊn c«ng cã ®îc quyÒn cña ngêi qu¶n trÞ hÖ thèng (root
hay administrator).
Hai vÝ dô thêng xuyªn ®îc ®a ra ®Ó minh ho¹ cho ph¬ng

ph¸p nµy lµ vÝ dô víi ch¬ng tr×nh sendmail vµ ch¬ng
tr×nh rlogin cña hÖ ®iÒu hµnh UNIX.
Sendmail lµ mét ch¬ng tr×nh phøc t¹p, víi m· nguån bao

gåm hµng ngµn dßng lÖnh cña ng«n ng÷ C. Sendmail ®îc
ch¹y víi quyÒn u tiªn cña ngêi qu¶n trÞ hÖ thèng, do ch-
¬ng tr×nh ph¶i cã quyÒn ghi vµo hép th cña nh÷ng ngêi sö
dông m¸y. Vµ Sendmail trùc tiÕp nhËn çc yªu cÇu vÒ
th tÝn trªn m¹ng bªn ngoµi. §©y chÝnh lµ nh÷ng yÕu tè
lµm cho sendmail trë thµnh mét nguån cung cÊp nh÷ng lç
hæng vÒ b¶o mËt ®Ó truy nhËp hÖ thèng.
Rlogin cho phÐp ngêi sö dông tõ mét m¸y trªn m¹ng truy
nhËp tõ xa vµo mét m¸y kh¸c sö dông tµi nguyªn cña m¸y
nµy. Trong qu¸ tr×nh nhËn tªn vµ mËt khÈu cña ngêi sö
dông, rlogin kh«ng kiÓm tra ®é dµi cña dßng nhËp, do
®ã kÎ tÊn c«ng cã thÓ ®a vµo mét x©u ®· ®îc tÝnh to¸n
tríc ®Ó ghi ®Ì lªn m· ch¬ng tr×nh cña rlogin, qua ®ã
chiÕm ®îc quyÒn truy nhËp.
1.3.1.2 Nghe trém
ViÖc nghe trém th«ng tin trªn m¹ng cã thÓ ®a l¹i nh÷ng
th«ng tin cã Ých nh tªn-mËt khÈu cña ngêi sö dông, çc
th«ng tin mËt chuyÓn qua m¹ng. ViÖc nghe trém thêng ®-
îc tiÕn hµnh ngay sau khi kÎ tÊn c«ng ®· chiÕm ®îc
quyÒn truy nhËp hÖ thèng, th«ng qua çc ch¬ng tr×nh
cho phÐp ®a vØ giao tiÕp m¹ng (Network Interface Card-
NIC) vµo chÕ ®é nhËn toµn bé çc th«ng tin lu truyÒn
8
trªn m¹ng. Nh÷ng th«ng tin nµy còng cã thÓ dÔ dµng lÊy
®îc trªn Internet.
1.3.1.3 Gi¶ m¹o ®Þa chØ
ViÖc gi¶ m¹o ®Þa chØ IP cã thÓ ®îc thùc hiÖn th«ng qua
viÖc sö dông kh¶ n¨ng dÉn ®êng trùc tiÕp (source-
routing). Víi çch tÊn c«ng nµy, kÎ tÊn c«ng göi çc gãi tin
IP tíi m¹ng bªn trong víi mét ®Þa chØ IP gi¶ m¹o (th«ng
thêng lµ ®Þa chØ cña mét m¹ng hoÆc mét m¸y ®îc coi lµ
an toµn ®èi víi m¹ng bªn trong), ®ång thêi chØ râ ®êng
dÉn mµ çc gãi tin IP ph¶i göi ®i.
1.3.1.4 V« hiÖu ho¸ çc chøc n¨ng cña hÖ thèng (denial of service)
§©y lµ kÓu tÊn c«ng nh»m tª liÖt hÖ thèng, kh«ng cho nã

thùc hiÖn chøc n¨ng mµ nã thiÕt kÕ. KiÓu tÊn c«ng nµy
kh«ng thÓ ng¨n chÆn ®îc, do nh÷ng ph¬ng tiÖn ®îc tæ
chøc tÊn c«ng còng chÝnh lµ çc ph¬ng tiÖn ®Ó lµm
viÖc vµ truy nhËp th«ng tin trªn m¹ng. VÝ dô sö dông
lÖnh ping víi tèc ®é cao nhÊt cã thÓ, buéc mét hÖ thèng
tiªu hao toµn bé tèc ®é tÝnh to¸n vµ kh¶ n¨ng cña m¹ng
®Ó tr¶ lêi çc lÖnh nµy, kh«ng cßn çc tµi nguyªn ®Ó
thùc hiÖn nh÷ng c«ng viÖc cã Ých kh¸c.
1.3.1.5 Lçi cña ngêi qu¶n trÞ hÖ thèng
§©y kh«ng ph¶i lµ mét kiÓu tÊn c«ng cña nh÷ng kÎ ®ét
nhËp, tuy nhiªn lçi cña ngêi qu¶n trÞ hÖ thèng thêng t¹o ra
nh÷ng lç hæng cho phÐp kÎ tÊn c«ng sö dông ®Ó truy
nhËp vµo m¹ng néi bé.
9
1.3.1.6 TÊn c«ng vµo yÕu tè con ngêi
KÎ tÊn c«ng cã thÓ liªn l¹c víi mét ngêi qu¶n trÞ hÖ thèng,
gi¶ lµm mét ngêi sö dông ®Ó yªu cÇu thay ®æi mËt khÈu,
thay ®æi quyÒn truy nhËp cña m×nh ®èi víi hÖ thèng,
hoÆc thËm chÝ thay ®æi mét sè cÊu h×nh cña hÖ thèng
®Ó thùc hiÖn çc ph¬ng ph¸p tÊn c«ng kh¸c. Víi kiÓu tÊn
c«ng nµy kh«ng mét thiÕt bÞ nµo cã thÓ ng¨n chÆn mét
çch h÷u hiÖu, vµ chØ cã mét çch gi¸o dôc ngêi sö dông
m¹ng néi bé vÒ nh÷ng yªu cÇu b¶o mËt ®Ó ®Ò cao c¶nh
gi¸c víi nh÷ng hiÖn tîng ®¸ng nghi. Nãi chung yÕu tè con
ngêi lµ mét ®iÓm yÕu trong bÊt kú mét hÖ thèng b¶o vÖ
nµo, vµ chØ cã sù gi¸o dôc céng víi tinh thÇn hîp t¸c tõ
phÝa ngêi sö dông cã thÓ n©ng cao ®îc ®é an toµn cña
hÖ thèng b¶o vÖ.
1.3.2 Ph©n lo¹i kÎ tÊn c«ng
Cã rÊt nhiÒu kÎ tÊn c«ng trªn m¹ng toµn cÇu – Internet vµ

chóng ta còng kh«ng thÓ ph©n lo¹i chóng mét çch chÝnh
x¸c, bÊt cø mét b¶n ph©n lo¹i kiÓu nµy còng chØ nªn ®îc
xem nh lµ mét sù giíi thiÖu h¬n lµ mét çch nh×n rËp
khu«n.
1.3.2.1 Ngêi qua ®êng
Ngêi qua ®êng lµ nh÷ng kÎ buån ch¸n víi nh÷ng c«ng viÖc
thêng ngµy, hä muèn t×m nh÷ng trß gi¶i trÝ míi. Hä ®ét
nhËp vµo m¸y tÝnh cña b¹n v× hä nghÜ b¹n cã thÓ cã
nh÷ng d÷ liÖu hay, hoÆc bëi v× hä c¶m thÊy thÝch thó
khi sö dông m¸y tÝnh cña ngêi kh¸c, hoÆc chØ ®¬n gi¶n
lµ hä kh«ng t×m ®îc mét viÖc g× hay h¬n ®Ó lµm. Hä cã
thÓ lµ ngêi tß mß nhng kh«ng chñ ®Þnh lµm h¹i b¹n. Tuy
10
nhiªn, hä thêng g©y h háng hÖ thèng khi ®ét nhËp hay khi
xo¸ bá dÊu vÕt cña hä.
1.3.2.2 KÎ ph¸ ho¹i
KÎ ph¸ ho¹i chñ ®Þnh ph¸ ho¹i hÖ thèng cña b¹n, hä cã thÓ
kh«ng thÝch b¹n, hä còng cã thÓ kh«ng biÕt b¹n nhng hä
t×m thÊy niÒm vui khi ®i ph¸ ho¹i.
Th«ng thêng, trªn Internet kÎ ph¸ ho¹i kh¸ hiÕm. Mäi ngêi
kh«ng thÝch hä. NhiÒu ngêi cßn thÝch t×m vµ chÆn
®øng nh÷ng kÎ ph¸ ho¹i. Tuy Ýt nhng kÎ ph¸ ho¹i thêng
g©y háng trÇm träng cho hÖ thèng cña b¹n nh xo¸ toµn bé
d÷ liÖu, ph¸ háng çc thiÕt bÞ trªn m¸y tÝnh cña b¹n...
1.3.2.3 KÎ ghi ®iÓm
RÊt nhiÒu kÎ qua ®êng bÞ cuèn hót vµo viÖc ®ét nhËp,
ph¸ ho¹i. Hä muèn ®îc kh¼ng ®Þnh m×nh th«ng qua sè l-
îng vµ çc kiÓu hÖ thèng mµ hä ®· ®ét nhËp qua. §ét
nhËp ®îc vµo nh÷ng n¬i næi tiÕng, nh÷ng n¬i phßng bÞ
chÆt chÏ, nh÷ng n¬i thiÕt kÕ tinh x¶o cã gi¸ trÞ nhiÒu
®iÓm ®èi víi hä. Tuy nhiªn hä còng sÏ tÊn c«ng tÊt c¶
nh÷ng n¬i hä cã thÓ, víi môc ®Ých sè lîng còng nh môc
®Ých chÊt lîng. Nh÷ng ngêi nµy kh«ng quan t©m ®Õn
nh÷ng th«ng tin b¹n cã hay nh÷ng ®Æc tÝnh kh¸c vÒ tµi
nguyªn cña b¹n. Tuy nhiªn ®Ó ®¹t ®îc môc ®Ých lµ ®ét
nhËp, v« t×nh hay h÷u ý hä sÏ lµm h háng hÖ thèng cña
b¹n.
1.3.2.4 Gi¸n ®iÖp
HiÖn nay cã rÊt nhiÒu th«ng tin quan träng ®îc lu tr÷ trªn
m¸y tÝnh nh çc th«ng tin vÒ qu©n sù, kinh tÕ... Gi¸n
®iÖp m¸y tÝnh lµ mét vÊn ®Ò phøc t¹p vµ khã ph¸t hiÖn.
11
Thùc tÕ, phÇn lín çc tæ chøc kh«ng thÓ phßng thñ kiÓu
tÊn c«ng nµy mét çch hiÖu qu¶ vµ b¹n cã thÓ ch¾c r»ng
®êng liªn kÕt víi Internet kh«ng ph¶i lµ con ®êng dÔ nhÊt
®Ó gi¸n ®iÖp thu lîm th«ng tin.
12
1.4 VËy Internet Firewall lµ g×?
1.4.1 §Þnh nghÜa
ThuËt ng÷ Firewall cã nguån gèc tõ mét kü thuËt thiÕt kÕ

trong x©y dùng ®Ó ng¨n chÆn, h¹n chÕ ho¶ ho¹n. Trong
c«ng nghÖ m¹ng th«ng tin, Firewall lµ mét kü thuËt ®îc
tÝch hîp vµo hÖ thèng m¹ng ®Ó chèng sù truy cËp tr¸i
phÐp nh»m b¶o vÖ çc nguån th«ng tin néi bé còng nh h¹n
chÕ sù x©m nhËp vµo hÖ thèng cña mét sè th«ng tin kh¸c
kh«ng mong muèn. Còng cã thÓ hiÓu r»ng Firewall lµ mét
c¬ chÕ ®Ó b¶o vÖ m¹ng tin tëng (trusted network) khái
çc m¹ng kh«ng tin tëng (untrusted network).
Internet Firewall lµ mét thiÕt bÞ (phÇn cøng+phÇn mÒm)

gi÷a m¹ng cña mét tæ chøc, mét c«ng ty, hay mét quèc gia
(Intranet) vµ Internet. Nã thùc hiÖn vai trß b¶o mËt çc
th«ng tin Intranet tõ thÕ giíi Internet bªn ngoµi.
1.4.2 Chøc n¨ng
Internet Firewall (tõ nay vÒ sau gäi t¾t lµ firewall) lµ mét

thµnh phÇn ®Æt gi÷a Intranet vµ Internet ®Ó kiÓm so¸t
tÊt c¶ çc viÖc lu th«ng vµ truy cËp gi÷a chóng víi nhau
bao gåm:
 Firewall quyÕt ®Þnh nh÷ng dÞch vô nµo tõ bªn trong

®îc phÐp truy cËp tõ bªn ngoµi, nh÷ng ngêi nµo tõ bªn
ngoµi ®îc phÐp truy cËp ®Õn çc dÞch vô bªn trong,
vµ c¶ nh÷ng dÞch vô nµo bªn ngoµi ®îc phÐp truy cËp
bëi nh÷ng ngêi bªn trong.
13
 §Ó firewall lµm viÖc hiÖu qu¶, tÊt c¶ trao ®æi th«ng
tin tõ trong ra ngoµi vµ ngîc l¹i ®Òu ph¶i thùc hiÖn
th«ng qua Firewall.
 ChØ cã nh÷ng trao ®æi nµo ®îc phÐp bëi chÕ ®é an

ninh cña hÖ thèng m¹ng néi bé míi ®îc quyÒn lu th«ng
qua Firewall.
S¬ ®å chøc n¨ng hÖ thèng cña firewall ®îc m« t¶ nh trong

h×nh 2.1
Intranet firewall Internet
H×nh 2.1 S¬ ®å chøc n¨ng hÖ thèng cña firewall
1.4.3 CÊu tróc
Firewall bao gåm:
 Mét hoÆc nhiÒu hÖ thèng m¸y chñ kÕt nèi víi çc bé
®Þnh tuyÕn (router) hoÆc cã chøc n¨ng router.
 Çc phÇn mÒm qu¶n lý an ninh ch¹y trªn hÖ thèng m¸y

chñ. Th«ng thêng lµ çc hÖ qu¶n trÞ x¸c thùc
(Authentication), cÊp quyÒn (Authorization) vµ kÕ
to¸n (Accounting).
Chóng ta sÏ ®Ò cËp kü h¬n çc ho¹t ®éng cña nh÷ng hÖ

nµy ë phÇn sau.
14
1.4.4 Çc thµnh phÇn cña Firewall vµ c¬ chÕ ho¹t ®éng
Mét Firewall chuÈn bao gåm mét hay nhiÒu çc thµnh
phÇn sau ®©y:
 Bé läc packet ( packet-filtering router )
 Cæng øng dông (application-level gateway hay proxy

server )
 Cæng m¹ch (circuite level gateway)
1.4.4.1 Bé läc gãi tin (Packet filtering router)
1.4.4.1.1 Nguyªn lý:
Khi nãi ®Õn viÖc lu th«ng d÷ liÖu gi÷a çc m¹ng víi nhau
th«ng qua Firewall th× ®iÒu ®ã cã nghÜa r»ng Firewall
ho¹t ®éng chÆt chÏ víi giao thøc liªn m¹ng TCP/IP. V×
giao thøc nµy lµm viÖc theo thuËt to¸n chia nhá çc d÷
liÖu nhËn ®îc tõ çc øng dông trªn m¹ng, hay nãi chÝnh
x¸c h¬n lµ çc dÞch vô ch¹y trªn çc giao thøc (Telnet,
SMTP, DNS, SMNP, NFS...) thµnh çc gãi d÷ liÖu (data
packets) råi g¸n cho çc packet nµy nh÷ng ®Þa chØ ®Ó cã
thÓ nhËn d¹ng, t¸i lËp l¹i ë ®Ých cÇn göi ®Õn, do ®ã çc
lo¹i Firewall còng liªn quan rÊt nhiÒu ®Õn çc packet vµ
nh÷ng con sè ®Þa chØ cña chóng.
Bé läc packet cho phÐp hay tõ chèi mçi packet mµ nã nhËn

®îc. Nã kiÓm tra toµn bé ®o¹n d÷ liÖu ®Ó quyÕt ®Þnh
xem ®o¹n d÷ liÖu ®ã cã tho¶ m·n mét trong sè çc luËt lÖ
cña läc packet hay kh«ng. Çc luËt lÖ läc packet nµy lµ
dùa trªn çc th«ng tin ë ®Çu mçi packet (packet header),
dïng ®Ó cho phÐp truyÒn çc packet ®ã ë trªn m¹ng. §ã
lµ:
15
 §Þa chØ IP n¬i xuÊt ph¸t ( IP Source address)
 §Þa chØ IP n¬i nhËn (IP Destination address)
 Nh÷ng thñ tôc truyÒn tin (TCP, UDP, ICMP, IP

tunnel)
 Cæng TCP/UDP n¬i xuÊt ph¸t (TCP/UDP source port)
 Cæng TCP/UDP n¬i nhËn (TCP/UDP destination port)
 D¹ng th«ng b¸o ICMP ( ICMP message type)
 giao diÖn packet ®Õn ( incomming interface of packet)
 giao diÖn packet ®i ( outcomming interface of packet)
NÕu luËt lÖ läc packet ®îc tho¶ m·n th× packet ®îc
chuyÓn qua firewall. NÕu kh«ng packet sÏ bÞ bá ®i. Nhê
vËy mµ Firewall cã thÓ ng¨n c¶n ®îc çc kÕt nèi vµo çc
m¸y chñ hoÆc m¹ng nµo ®ã ®îc x¸c ®Þnh, hoÆc kho¸
viÖc truy cËp vµo hÖ thèng m¹ng néi bé tõ nh÷ng ®Þa
chØ kh«ng cho phÐp. H¬n n÷a, viÖc kiÓm so¸t çc cæng
lµm cho Firewall cã kh¶ n¨ng chØ cho phÐp mét sè lo¹i
kÕt nèi nhÊt ®Þnh vµo çc lo¹i m¸y chñ nµo ®ã, hoÆc
chØ cã nh÷ng dÞch vô nµo ®ã (Telnet, SMTP, FTP...) ®îc
phÐp míi ch¹y ®îc trªn hÖ thèng m¹ng côc bé.
1.4.4.1.2 ¦u ®iÓm
 §a sè çc hÖ thèng firewall ®Òu sö dông bé läc packet.

Mét trong nh÷ng u ®iÓm cña ph¬ng ph¸p dïng bé läc
packet lµ chi phÝ thÊp v× c¬ chÕ läc packet ®· ®îc
bao gåm trong mçi phÇn mÒm router.
16
 Ngoµi ra, bé läc packet lµ trong suèt ®èi víi ngêi sö
dông vµ çc øng dông, v× vËy nã kh«ng yªu cÇu sù
huÊn luyÖn ®Æc biÖt nµo c¶.
1.4.4.1.3 H¹n chÕ:
ViÖc ®Þnh nghÜa çc chÕ ®é läc packet lµ mét viÖc kh¸
phøc t¹p, nã ®ßi hái ngêi qu¶n trÞ m¹ng cÇn cã hiÓu biÕt
chi tiÕt vÓ çc dÞch vô Internet, çc d¹ng packet header,
vµ çc gi¸ trÞ cô thÓ mµ hä cã thÓ nhËn trªn mçi trêng.
Khi ®ßi hái vÓ sù läc cµng lín, çc luËt lÖ vÓ läc cµng trë
nªn dµi vµ phøc t¹p, rÊt khã ®Ó qu¶n lý vµ ®iÒu khiÓn.
Do lµm viÖc dùa trªn header cña çc packet, râ rµng lµ bé

läc packet kh«ng kiÓm so¸t ®îc néi dung th«ng tin cña
packet. Çc packet chuyÓn qua vÉn cã thÓ mang theo
nh÷ng hµnh ®éng víi ý ®å ¨n c¾p th«ng tin hay ph¸ ho¹i
cña kÎ xÊu.
1.4.4.2 Cæng øng dông (application-level gateway)
1.4.4.2.1 Nguyªn lý
§©y lµ mét lo¹i Firewall ®îc thiÕt kÕ ®Ó t¨ng cêng chøc

n¨ng kiÓm so¸t çc lo¹i dÞch vô, giao thøc ®îc cho phÐp
truy cËp vµo hÖ thèng m¹ng. C¬ chÕ ho¹t ®éng cña nã dùa
trªn çch thøc gäi lµ Proxy service (dÞch vô ®¹i diÖn).
Proxy service lµ çc bé ch¬ng tr×nh ®Æc biÖt cµi ®Æt
trªn gateway cho tõng øng dông. NÕu ngêi qu¶n trÞ m¹ng
kh«ng cµi ®Æt ch¬ng tr×nh proxy cho mét øng dông nµo
®ã, dÞch vô t¬ng øng sÏ kh«ng ®îc cung cÊp vµ do ®ã
kh«ng thÓ chuyÓn th«ng tin qua firewall. Ngoµi ra, proxy
code cã thÓ ®îc ®Þnh cÊu h×nh ®Ó hç trî chØ mét sè
17
®Æc ®iÓm trong øng dông mµ ngßi qu¶n trÞ m¹ng cho lµ
chÊp nhËn ®îc trong khi tõ chèi nh÷ng ®Æc ®iÓm kh¸c.
Mét cæng øng dông thêng ®îc coi nh lµ mét ph¸o ®µi
(bastion host), bëi v× nã ®îc thiÕt kÕ ®Æt biÖt ®Ó chèng
l¹i sù tÊn c«ng tõ bªn ngoµi. Nh÷ng biÖn ph¸p ®¶m b¶o an
ninh cña mét bastion host lµ:
 Bastion host lu«n ch¹y çc version an toµn (secure

version) cña çc phÇn mÒm hÖ thèng (Operating
system). Çc version an toµn nµy ®îc thiÕt kÕ chuyªn
cho môc ®Ých chèng l¹i sù tÊn c«ng vµo Operating
System, còng nh lµ ®¶m b¶o sù tÝch hîp firewall.
 ChØ nh÷ng dÞch vô mµ ngêi qu¶n trÞ m¹ng cho lµ cÇn

thiÕt míi ®îc cµi ®Æt trªn bastion host, ®¬n gi¶n chØ
v× nÕu mét dÞch vô kh«ng ®îc cµi ®Æt, nã kh«ng thÓ
bÞ tÊn c«ng. Th«ng thêng, chØ mét sè giíi h¹n çc øng
dông cho çc dÞch vô Telnet, DNS, FTP, SMTP vµ x¸c
thùc user lµ ®îc cµi ®Æt trªn bastion host.
 Bastion host cã thÓ yªu cÇu nhiÒu møc ®é x¸c thùc

kh¸c nhau, vÝ dô nh user password hay smart card.
 Mçi proxy ®îc ®Æt cÊu h×nh ®Ó cho phÐp truy

nhËp chØ mét så çc m¸y chñ nhÊt ®Þnh. §iÒu nµy cã
nghÜa r»ng bé lÖnh vµ ®Æc ®iÓm thiÕt lËp cho mçi
proxy chØ ®óng víi mét sè m¸y chñ trªn toµn hÖ thèng.
 Mçi proxy duy tr× mét quyÓn nhËt ký ghi chÐp l¹i
toµn bé chi tiÕt cña giao th«ng qua nã, mçi sù kÕt nèi,
kho¶ng thêi gian kÕt nèi. NhËt ký nµy rÊt cã Ých
trong viÖc t×m theo dÊu vÕt hay ng¨n chÆn kÎ ph¸
ho¹i.
18
 Mçi proxy ®Òu ®éc lËp víi çc proxies kh¸c trªn
bastion host. §iÒu nµy cho phÐp dÔ dµng qu¸ tr×nh
cµi ®Æt mét proxy míi, hay th¸o gì m«t proxy ®ang cã
vÊn ®Ó.
VÝ dô: Telnet Proxy
VÝ dô mét ngêi (gäi lµ outside client) muèn sö dông dÞch

vô TELNET ®Ó kÕt nèi vµo hÖ thèng m¹ng qua m«t
bastion host cã Telnet proxy. Qu¸ tr×nh x¶y ra nh sau:
1. Outside client telnets ®Õn bastion host. Bastion host

kiÓm tra password, nÕu hîp lÖ th× outside client ®îc
phÐp vµo giao diÖn cña Telnet proxy. Telnet proxy
cho phÐp mét tËp nhá nh÷ng lÖnh cña Telnet, vµ
quyÕt ®Þnh nh÷ng m¸y chñ néi bé nµo outside client
®îc phÐp truy nhËp.
2. Outside client chØ ra m¸y chñ ®Ých vµ Telnet proxy

t¹o mét kÕt nèi cña riªng nã tíi m¸y chñ bªn trong, vµ
chuyÓn çc lÖnh tíi m¸y chñ díi sù uû quyÒn cña
outside client. Outside client th× tin r»ng Telnet proxy
lµ m¸y chñ thËt ë bªn trong, trong khi m¸y chñ ë bªn
trong th× tin r»ng Telnet proxy lµ client thËt.
1.4.4.2.2 ¦u ®iÓm:
 Cho phÐp ngêi qu¶n trÞ m¹ng hoµn toµn ®iÒu khiÓn
®îc tõng dÞch vô trªn m¹ng, bëi v× øng dông proxy h¹n
chÕ bé lÖnh vµ quyÕt ®Þnh nh÷ng m¸y chñ nµo cã
thÓ truy nhËp ®îc bëi çc dÞch vô.
 Cho phÐp ngêi qu¶n trÞ m¹ng hoµn toµn ®iÒu khiÓn
®îc nh÷ng dÞch vô nµo cho phÐp, bëi v× sù v¾ng
19
mÆt cña çc proxy cho çc dÞch vô t¬ng øng cã nghÜa
lµ çc dÞch vô Êy bÞ kho¸.
 Cæng øng dông cho phÐp kiÓm tra ®é x¸c thùc rÊt tèt,
vµ nã cã nhËt ký ghi chÐp l¹i th«ng tin vÒ truy nhËp
hÖ thèng.
 LuËt lÖ filltering (läc) cho cæng øng dông lµ dÔ dµng

cÊu h×nh vµ kiÓm tra h¬n so víi bé läc packet.
1.4.4.2.3 H¹n chÕ:
Yªu cÇu çc users biÕn ®æi (mod×y) thao t¸c, hoÆc
mod×y phÇn mÒm ®· cµi ®Æt trªn m¸y client cho truy
nhËp vµo çc dÞch vô proxy. VÝ dô, Telnet truy nhËp qua
cæng øng dông ®ßi hái hai bíc ®ª nèi víi m¸y chñ chø
kh«ng ph¶i lµ mét bíc th«i. Tuy nhiªn, còng ®· cã mét sè
phÇn mÒm client cho phÐp øng dông trªn cæng øng dông
lµ trong suèt, b»ng çch cho phÐp user chØ ra m¸y ®Ých
chø kh«ng ph¶i cæng øng dông trªn lÖnh Telnet.
1.4.4.3 Cæng vßng (circuit-Level Gateway)
Cæng vßng lµ mét chøc n¨ng ®Æc biÖt cã thÓ thùc hiÖn
®¬c bëi mét cæng øng dông. Cæng vßng ®¬n gi¶n chØ
chuyÓn tiÕp (relay) çc kÕt nèi TCP mµ kh«ng thùc hiÖn
bÊt kú mét hµnh ®éng xö lý hay läc packet nµo.
H×nh 2.2 minh ho¹ mét hµnh ®éng sö dông nèi telnet qua
cæng vßng. Cæng vßng ®¬n gi¶n chuyÓn tiÕp kÕt nèi
telnet qua firewall mµ kh«ng thùc hiÖn mét sù kiÓm tra,
läc hay ®iÒu khiÓn çc thñ tôc Telnet nµo.Cæng vßng lµm
viÖc nh mét sîi d©y,sao chÐp çc byte gi÷a kÕt nèi bªn
trong (inside connection) vµ çc kÕt nèi bªn ngoµi (outside
20
connection). Tuy nhiªn, v× sù kÕt nèi nµy xuÊt hiÖn tõ
hÖ thèng firewall, nã che dÊu th«ng tin vÒ m¹ng néi bé.
Cæng vßng thêng ®îc sö dông cho nh÷ng kÕt nèi ra ngoµi,
n¬i mµ çc qu¶n trÞ m¹ng thËt sù tin tëng nh÷ng ngêi dïng
bªn trong. ¦u ®iÓm lín nhÊt lµ mét bastion host cã thÓ ®îc
cÊu h×nh nh lµ mét hçn hîp cung cÊp Cæng øng dông cho
nh÷ng kÕt nèi ®Õn, vµ cæng vßng cho çc kÕt nèi ®i.
§iÒu nµy lµm cho hÖ thèng bøc têng löa dÔ dµng sö dông
cho nh÷ng ngêi trong m¹ng néi bé muèn trùc tiÕp truy
nhËp tíi çc dÞch vô Internet, trong khi vÉn cung cÊp chøc
n¨ng bøc têng löa ®Ó b¶o vÖ m¹ng néi bé tõ nh÷ng sù tÊn
c«ng bªn ngoµi.
out in
out in
out in
outside host Inside host
Circuit-level Gateway
H×nh 2.2 Cæng vßng
1.4.5 Nh÷ng h¹n chÕ cña firewall
 Firewall kh«ng ®ñ th«ng minh nh con ngêi ®Ó cã thÓ

®äc hiÓu tõng lo¹i th«ng tin vµ ph©n tÝch néi dung tèt
hay xÊu cña nã. Firewall chØ cã thÓ ng¨n chÆn sù
x©m nhËp cña nh÷ng nguån th«ng tin kh«ng mong
muèn nhng ph¶i x¸c ®Þnh râ çc th«ng sè ®Þa chØ.
 Firewall kh«ng thÓ ng¨n chÆn mét cuéc tÊn c«ng nÕu
cuéc tÊn c«ng nµy kh«ng "®i qua" nã. Mét çch cô thÓ,
firewall kh«ng thÓ chèng l¹i mét cuéc tÊn c«ng tõ mét
21
®êng dial-up, hoÆc sù dß rØ th«ng tin do d÷ liÖu bÞ
sao chÐp bÊt hîp ph¸p lªn ®Üa mÒm.
 Firewall còng kh«ng thÓ chèng l¹i çc cuéc tÊn

c«ng b»ng d÷ liÖu (data-driven attack). Khi cã mét sè
ch¬ng tr×nh ®îc chuyÓn theo th ®iÖn tö, vît qua
firewall vµo trong m¹ng ®îc b¶o vÖ vµ b¾t ®Çu ho¹t
®éng ë ®©y.
 Mét vÝ dô lµ çc virus m¸y tÝnh. Firewall kh«ng thÓ

lµm nhiÖm vô rµ quÐt virus trªn çc d÷ liÖu ®îc
chuyÓn qua nã, do tèc ®é lµm viÖc, sù xuÊt hiÖn liªn
tôc cña çc virus míi vµ do cã rÊt nhiÒu çch ®Ó m·
hãa d÷ liÖu, tho¸t khái kh¶ n¨ng kiÓm so¸t cña firewall.
1.4.6 Çc vÝ dô firewall
1.4.6.1 Packet-Filtering Router (Bé trung chuyÓn cã läc gãi)
HÖ thèng Internet firewall phæ biÕn nhÊt chØ bao gåm

mét packet-filtering router ®Æt gi÷a m¹ng néi bé vµ
Internet (H×nh 2.3). Mét packet-filtering router cã hai chøc
n¨ng: chuyÓn tiÕp truyÒn th«ng gi÷a hai m¹ng vµ sö dông
çc quy luËt vÒ läc gãi ®Ó cho phÐp hay tõ chèi truyÒn
th«ng. C¨n b¶n, çc quy luËt läc ®ù¬c ®Þnh nghÜa sao
cho çc host trªn m¹ng néi bé ®îc quyÒn truy nhËp trùc
tiÕp tíi Internet, trong khi çc host trªn Internet chØ cã mét
sè giíi h¹n çc truy nhËp vµo çc m¸y tÝnh trªn m¹ng néi
bé. T tëng cña m« cÊu tróc firewall nµy lµ tÊt c¶ nh÷ng g×
kh«ng ®îc chØ ra râ rµng lµ cho phÐp th× cã nghÜa lµ bÞ
tõ chèi.
22
Bª n ngoµi Packet filtering Bª n trong
router
M¹ ng néi bé
The Internet
H×nh 2.3 Packet-filtering router
¦u ®iÓm:
 gi¸ thµnh thÊp (v× cÊu h×nh ®¬n gi¶n)
 trong suèt ®èi víi ngêi sö dông
H¹n chÕ:
 Cã tÊt c¶ h¹n chÕ cña mét packet-filtering router, nh lµ

dÔ bÞ tÊn c«ng vµo çc bé läc mµ cÊu h×nh ®îc ®Æt
kh«ng hoµn h¶o, hoÆc lµ bÞ tÊn c«ng ngÇm díi nh÷ng
dÞch vô ®· ®îc phÐp.
 Bëi v× çc packet ®îc trao ®æi trùc tiÕp gi÷a hai m¹ng
th«ng qua router , nguy c¬ bÞ tÊn c«ng quyÕt ®Þnh
bëi sè lîng çc host vµ dÞch vô ®îc phÐp. §iÒu ®ã
dÉn ®Õn mçi mét host ®îc phÐp truy nhËp trùc tiÕp
vµo Internet cÇn ph¶i ®îc cung cÊp mét hÖ thèng x¸c
thùc phøc t¹p, vµ thêng xuyªn kiÓm tra bëi ngêi qu¶n
trÞ m¹ng xem cã dÊu hiÖu cña sù tÊn c«ng nµo kh«ng.
 NÕu mét packet-filtering router do mét sù cè nµo ®ã

ngõng ho¹t ®éng, tÊt c¶ hÖ thèng trªn m¹ng néi bé cã
thÓ bÞ tÊn c«ng.
23
1.4.6.2 Screened Host Firewall
HÖ thèng nµy bao gåm mét packet-filtering router vµ mét

bastion host (h×nh 2.4). HÖ thèng nµy cung cÊp ®é b¶o
mËt cao h¬n hÖ thèng trªn, v× nã thùc hiÖn c¶ b¶o mËt ë
tÇng network( packet-filtering ) vµ ë tÇng øng dông
(application level). §ång thêi, kÎ tÊn c«ng ph¶i ph¸ vì c¶ hai
tÇng b¶o mËt ®Ó tÊn c«ng vµo m¹ng néi bé.
Bª n trong
Bª n ngoµi Packet filtering Bastion host

router
m¸ y néi bé
The Internet
Information server
H×nh 2.4 Screened host firewall (Single- Homed Bastion Host)
Trong hÖ thèng nµy, bastion host ®îc cÊu h×nh ë trong

m¹ng néi bé. Qui luËt filtering trªn packet-filtering router
®îc ®Þnh nghÜa sao cho tÊt c¶ çc hÖ thèng ë bªn ngoµi
chØ cã thÓ truy nhËp bastion host; ViÖc truyÒn th«ng tíi
tÊt c¶ çc hÖ thèng bªn trong ®Òu bÞ kho¸. Bëi v× çc hÖ
thèng néi bé vµ bastion host ë trªn cïng mét m¹ng, chÝnh
s¸ch b¶o mËt cña mét tæ chøc sÏ quyÕt ®Þnh xem çc hÖ
24
thèng néi bé ®îc phÐp truy nhËp trùc tiÕp vµo bastion
Internet hay lµ chóng ph¶i sö dông dÞch vô proxy trªn
bastion host. ViÖc b¾t buéc nh÷ng user néi bé ®îc thùc
hiÖn b»ng çch ®Æt cÊu h×nh bé läc cña router sao cho
chØ chÊp nhËn nh÷ng truyÒn th«ng néi bé xuÊt ph¸t tõ
bastion host.
¦u ®iÓm:
M¸y chñ cung cÊp çc th«ng tin c«ng céng qua dÞch vô
Web vµ FTP cã thÓ ®Æt trªn packet-filtering router vµ
bastion. Trong trêng hîp yªu cÇu ®é an toµn cao nhÊt,
bastion host cã thÓ ch¹y çc dÞch vô proxy yªu cÇu tÊt c¶
çc user c¶ trong vµ ngoµi truy nhËp qua bastion host tríc
khi nèi víi m¸y chñ. Trêng hîp kh«ng yªu cÇu ®é an toµn
cao th× çc m¸y néi bé cã thÓ nèi th¼ng víi m¸y chñ.
NÕu cÇn ®é b¶o mËt cao h¬n n÷a th× cã thÓ dïng hÖ
thèng firewall dual-home (hai chiÒu) bastion host (h×nh
2.5). Mét hÖ thèng bastion host nh vËy cã 2 giao diÖn
m¹ng (network interface), nhng khi ®ã kh¶ n¨ng truyÒn
th«ng trùc tiÕp gi÷a hai giao diÖn ®ã qua dÞch vô proxy
lµ bÞ cÊm.
25
Bª n trong

router
m¸ y néi bé
The Internet
Information server
H×nh 2.5 Screened host firewall (Dual- Homed Bastion Host)
Bëi v× bastion host lµ hÖ thèng bªn trong duy nhÊt cã thÓ

truy nhËp ®îc tõ Internet, sù tÊn c«ng còng chØ giíi h¹n
®Õn bastion host mµ th«i. Tuy nhiªn, nÕu nh ngêi dïng
truy nhËp ®îc vµo bastion host th× hä cã thÓ dÔ dµng truy
nhËp toµn bé m¹ng néi bé. V× vËy cÇn ph¶i cÊm kh«ng
cho ngêi dïng truy nhËp vµo bastion host.
1.4.6.3 Demilitarized Zone (DMZ - khu vùc phi qu©n sù) hay Screened-subnet
Firewall
HÖ thèng nµy bao gåm hai packet-filtering router vµ mét

bastion host (h×nh 2.6). HÖ thèng firewall nµy cã ®é an
toµn cao nhÊt v× nã cung cÊp c¶ møc b¶o mËt : network
vµ application trong khi ®Þnh nghÜa mét m¹ng “phi qu©n
sù”. M¹ng DMZ ®ãng vai trß nh mét m¹ng nhá, c« lËp
®Æt gi÷a Internet vµ m¹ng néi bé. C¬ b¶n, mét DMZ ®îc
cÊu h×nh sao cho çc hÖ thèng trªn Internet vµ m¹ng néi bé
chØ cã thÓ truy nhËp ®îc mét sè giíi h¹n çc hÖ thèng trªn
26
m¹ng DMZ, vµ sù truyÒn trùc tiÕp qua m¹ng DMZ lµ
kh«ng thÓ ®îc.
Víi nh÷ng th«ng tin ®Õn, router ngoµi chèng l¹i nh÷ng sù
tÊn c«ng chuÈn (nh gi¶ m¹o ®Þa chØ IP), vµ ®iÒu khiÓn
truy nhËp tíi DMZ. Nã cho phÐp hÖ thèng bªn ngoµi truy
nhËp chØ bastion host, vµ cã thÓ c¶ information server.
Router trong cung cÊp sù b¶o vÖ thø hai b»ng çch ®iÒu
khiÓn DMZ truy nhËp m¹ng néi bé chØ víi nh÷ng truyÒn
th«ng b¾t ®Çu tõ bastion host.
Víi nh÷ng th«ng tin ®i, router trong ®iÒu khiÓn m¹ng néi
bé truy nhËp tíi DMZ. Nã chØ cho phÐp çc hÖ thèng bªn
trong truy nhËp bastion host vµ cã thÓ c¶ information
server. Quy luËt filtering trªn router ngoµi yªu cÇu sö dung
dich vô proxy b»ng çch chØ cho phÐp th«ng tin ra b¾t
nguån tõ bastion host.
¦u ®iÓm:
 KÎ tÊn c«ng cÇn ph¸ vì ba tÇng b¶o vÖ: router ngoµi,

bastion host vµ router trong.
 Bëi v× router ngoµi chØ qu¶ng ço DMZ network tíi

Internet, hÖ thèng m¹ng néi bé lµ kh«ng thÓ nh×n thÊy
(invisible). ChØ cã mét sè hÖ thèng ®· ®îc chän ra trªn
DMZ lµ ®îc biÕt ®Õn bëi Internet qua routing table
vµ DNS information exchange (Domain Name Server).
 Bëi v× router trong chØ qu¶ng ço DMZ network tíi

m¹ng néi bé, çc hÖ thèng trong m¹ng néi bé kh«ng thÓ
truy nhËp trùc tiÕp vµo Internet. §iÒu nay ®¶m b¶o
r»ng nh÷ng user bªn trong b¾t buéc ph¶i truy nhËp
Internet qua dÞch vô proxy.
27
Bª n trong
DMZ

router
The Internet
Outside router Inside router
Information server
H×nh 2.6 Screened-Subnet Firewall
28
2. Çc dÞch vô Internet
Nh ®· tr×nh bµy ë trªn, nh×n chung b¹n ph¶i x¸c ®Þnh b¹n
b¶o vÖ çi g× khi thiÕt lËp liªn kÕt ra m¹ng ngoµi hay
Internet: d÷ liÖu, tµi nguyªn, danh tiÕng. Khi x©y dùng
mét Firewall, b¹n ph¶i quan t©m ®Õn nh÷ng vÊn ®Ò cô
thÓ h¬n: b¹n ph¶i b¶o vÖ nh÷ng dÞch vô nµo b¹n dïng
hoÆc cung cÊp cho m¹ng ngoµi (hay Internet).
Internet cung cÊp mét hÖ thèng çc dÞch vô cho phÐp ngêi
dïng nèi vµo Internet truy nhËp vµ sö dông çc th«ng tin ë
trªn m¹ng Internet. HÖ thèng çc dÞch vô nµy ®· vµ ®ang
®îc bæ sung theo sù ph¸t triÓn kh«ng ngõng cña Internet.
Çc dÞch vô nµy bao gåm World Wide Web (gäi t¾t lµ
WWW hoÆc Web), Email (th ®iÖn tö), Ftp (file transfer
protocols - dÞch vô chuyÓn file), telnet (øng dông cho
phÐp truy nhËp m¸y tÝnh ë xa), Archie (hÖ thèng x¸c
®Þnh th«ng tin ë çc file vµ directory), finger (hÖ thèng
x¸c ®Þnh çc user trªn Internet), rlogin(remote login - vµo
m¹ng tõ xa) vµ mét sè çc dÞch vô kh¸c n÷a.
29
2.1 World Wide Web - WWW
WWW lµ dÞch vô Internet ra ®êi gÇn ®©y nhÊt, nhng

ph¸t triÓn nhanh nhÊt hiÖn nay. Web cung cÊp mét giao
diÖn v« cïng th©n thiÖn víi ngêi dïng, dÔ sö dông, v« cïng
thuËn lîi vµ ®¬n gi¶n ®Ó t×m kiÕm th«ng tin. Web liªn
kÕt th«ng tin dùa trªn c«ng nghÖ hyper-link (siªu liªn kÕt),
cho phÐp çc trang Web liªn kÕt víi nhau trùc tiÕp qua çc
®Þa chØ cña chóng. Th«ng qua Web, ngêi dïng cã thÓ :
 Ph¸t hµnh çc tin tøc cña m×nh vµ ®äc tin tøc tõ kh¾p
n¬i trªn thÕ giíi
 Qu¶ng ço vÓ m×nh, vÓ c«ng ty hay tæ chøc cña m×nh

còng nh xem çc lo¹i qu¶ng ço trªn thÕ giíi, tõ kiÕm
viÖc lµm, tuyÓn mé nh©n viªn, c«ng nghÖ vµ s¶n
phÈm míi, t×m b¹n, v©n v©n.
 Trao ®æi th«ng tin víi bÌ b¹n, çc tæ chøc x· héi, çc
trung t©m nghiªn cøu, trêng häc, v©n v©n
 Thùc hiÖn çc dÞch vô chuyÒn tiÒn hay mua b¸n hµng
ho¸
 Truy nhËp çc c¬ së d÷ liÖu cña çc tæ chøc, c«ng ty

(nÕu nh ®îc phÐp)
Vµ rÊt nhiÒu çc ho¹t ®éng kh¸c n÷a.
30
2.2 Electronic Mail (Email hay th ®iÖn tö).
Email lµ dÞch vô Internet ®îc sö dông réng r·i nhÊt hiÖn

nay. H©u hÕt çc th«ng b¸o ë d¹ng text (v¨n b¶n) ®¬n
gi¶n, nhng ngêi sö dông cã thÓ göi kÌm theo çc file chøa
çc h×nh ¶nh nh s¬ ®å, ¶nh . HÖ thèng email trªn Internet
lµ hÖ thèng th ®iÖn tö lín nhÊt trªn thÕ giíi, vµ thêng ®îc
sö dông cïng víi çc hÖ thèng chuyÓn th kh¸c.
Kh¶ n¨ng chuyÓn th ®iÖn tö trªn Web cã bÞ h¹n chÕ h¬n

so víi çc hÖ thèng chuyÓn th ®iÖn tö trªn Internet, bëi v×
Web lµ mét ph¬ng tiÖn trao ®æi c«ng céng, trong khi th lµ
mét çi g× ®ã riªng t. V× vËy, kh«ng ph¶i tÊt c¶ çc Web
brower ®Òu cung cÊp chøc n¨ng email. (Hai browser lín
nhÊt hiÖn nay lµ Netscape vµ Internet Explorer ®Òu cung
cÊp chøc n¨ng email).
31
2.3 Ftp (file transfer protocol hay dÞch vô chuyÓn file)
Ftp lµ mét dÞch vô cho phÐp sao chÐp file tõ mét hÖ

thèng m¸y tÝnh nµy ®Õn hÖ thèng m¸y tÝnh kh¸c ftp bao
gåm thñ tôc vµ ch¬ng tr×nh øng dông, vµ lµ mét trong
nh÷ng dÞch vô ra ®êi sím nhÊt trªn Internet.
Fpt cã thÓ ®îc dïng ë møc hÖ thèng (gâ lÖnh vµo

command-line), trong Web browser hay mét sè tiÖn Ých
kh¸c. Fpt v« cïng h÷u Ých cho nh÷ng ngêi dïng Internet,
bëi v× khi sôc s¹o trªn Internet, b¹n sÏ t×m thÊy v« sè
nh÷ng th viÖn phÇn mÒm cã Ých vÒ rÊt nhiÒu lÜnh vùc
vµ b¹n cã thÓ chÐp chóng vÒ ®Ó sö dông.
32
2.4 Telnet vµ rlogin
Telnet lµ mét øng dông cho phÐp b¹n truy nhËp vµo mét
m¸y tÝnh ë xa vµ ch¹y çc øng dông ë trªn m¸y tÝnh ®ã.
Telnet lµ rÊt h÷u Ých khi b¹n muèn ch¹y mét øng dông
kh«ng cã hoÆc kh«ng ch¹y ®îc trªn m¸y tÝnh cña b¹n, vÝ
dô nh b¹n muèn ch¹y mét øng dung Unix trong khi m¸y cña
b¹n lµ PC. Hay b¹n m¸y tÝnh cña b¹n kh«ng ®ñ m¹nh ®Ó
ch¹y mét øng dông nµo ®ã, hoÆc kh«ng cã çc file d÷ liÖu
cÇn thiÕt.
Telnet cho b¹n kh¶ n¨ng lµm viÖc trªn m¸y tÝnh ë xa b¹n
hµng ngµn c©y sè mµ b¹n vÉn cã c¶m gi¸c nh ®ang ngåi
tríc m¸y tÝnh ®ã.
Chøc n¨ng cña rlogin(remote login - vµo m¹ng tõ xa) còng

t¬ng tù nh Telnet.
33
2.5 Archie
Archie lµ mét lo¹i th viÖn thêng xuyªn tù ®éng t×m kiÕm

çc m¸y tÝnh trªn Internet, t¹o ra mét kho d÷ liÖu vÒ danh
s¸ch çc file cã thÓ n¹p xuèng (downloadable) tõ Internet.
Do ®ã, d÷ liªu trong çc file nµy lu«n lu«n lµ míi nhÊt.
Archie do ®ã rÊt tiÖn dông cho ngêi dïng ®Ó t×m kiÕm

vµ download çc file. Ngêi dïng chØ cÇn göi tªn file,
hoÆc çc tõ kho¸ tíi Archie; Archie sÏ cho l¹i ®Þa chØ cña
çc file cã tªn ®ã hoÆc cã chøa nh÷ng tõ ®ã.
34
2.6 Finger
Finger lµ mét ch¬ng tr×nh øng dông cho phÐp t×m ®Þa
chØ cña çc user kh¸c trªn Internet. Tèi thiÓu, finger cã thÓ
cho b¹n biÕt ai ®ang sö dông mét hÖ thèng m¸y tÝnh nµo
®ã, tªn login cña ngêi ®ã lµ g×.
Finger hay ®îc sö dông ®Ó t×m ®Þa chØ email cña bÌ b¹n
trªn Internet. Finger cßn cã thÓ cung cÊp cho b¹n nhiÒu
th«ng tin kh¸c, nh lµ mét ngêi nµo ®ã ®· login vµo m¹ng
bao l©u. V× thÕ finger cã thÓ coi lµ mét ngêi trî gióp
®¾c lùc nhng còng lµ mèi hiÓm ho¹ cho sù an toµn cña
m¹ng.
35
3. HÖ thèng Firewall x©y dùng bëi CSE
Bé ch¬ng tr×nh Firewall 1.0 cña CSE ®îc ®a ra vµo th¸ng
6/1998. Bé ch¬ng tr×nh nµy gåm hai thµnh phÇn:
 Bé läc gãi tin – IP Filtering
 Bé ch¬ng tr×nh cæng øng dông – proxy servers
Hai thµnh phÇn nµy cã thÓ ho¹t ®éng mét çch riªng rÏ.
Chóng còng cã thÓ kÕt hîp l¹i víi nhau ®Ó trë thµnh mét
hÖ thèng firewall hoµn chØnh.
Trong tËp tµi liÖu nµy, chóng t«i chØ ®Ò cËp ®Õn bé
ch¬ng tr×nh cæng øng dông ®· ®îc cµi ®Æt t¹i VPCP.
3.1 Tæng quan
Bé ch¬ng tr×nh proxy cña CSE (phiªn b¶n 1.0) ®îc ph¸t
triÓn dùa trªn bé c«ng cô x©y dùng Internet Firewall TIS
(Trusted Information System) phiªn b¶n 1.3. TIS bao gåm
mét bé çc ch¬ng tr×nh vµ sù ®Æt l¹i cÊu h×nh hÖ thèng
®Ó nh»m môc ®Ých x©y dùng mét Firewall. Bé ch¬ng
tr×nh ®îc thiÕt kÕ ®Ó ch¹y trªn hÖ UNIX sö dông TCP/IP
víi giao diÖn socket Berkeley.
ViÖc cµi ®Æt bé ch¬ng tr×nh proxy ®ßi hái kinh nghiÖm
qu¶n lý hÖ thèng UNIX, vµ TCP/IP networking. Tèi thiÓu,
ngêi qu¶n trÞ m¹ng firewall ph¶i quen thuéc víi:
 viÖc qu¶n trÞ vµ duy tr× hÖ thèng UNIX ho¹t ®éng
 viÖc x©y dùng çc package cho hÖ thèng
Sù kh¸c nhau khi ®Æt cÊu h×nh cho hÖ thèng quyÕt

®Þnh møc ®é an toµn m¹ng kh¸c nhau. Ngêi cµi ®Æt
firewall ph¶i hiÓu râ yªu cÇu vÒ ®é an toµn cña m¹ng cÇn
b¶o vÖ, n¾m ch¾c nh÷ng rñi ro nµo lµ chÊp nhËn ®îc vµ
kh«ng chÊp nhËn ®îc, thu lîm vµ ph©n tÝch chóng tõ
nh÷ng ®ßi hái cña ngêi dïng.
Bé ch¬ng tr×nh proxy ®îc thiÕt kÕ cho mét sè cÊu h×nh

firewall, trong ®ã çc d¹ng c¬ b¶n nhÊt lµ dual-home
gateway (h×nh 2.4), screened host gateway(h×nh 2.5), vµ
screened subnet gateway(h×nh 2.6). Nh chóng ta ®· biÕt,
trong nh÷ng cÊu tróc firewall nµy, yÕu tè c¨n b¶n nhÊt lµ
bastion host, ®ãng vai trß nh mét ngêi chuyÓn tiÕp th«ng
tin (forwarder), ghi nhËt ký truyÒn th«ng, vµ cung cÊp çc
dÞch vô. Duy tr× ®é an toµn trªn bastion host lµ cùc kú
37
quan träng, bëi v× ®ã lµ n¬i tËp trung hÇu hÕt çc cè
g¾ng cµi ®Æt mét hÖ thèng firewall.
3.2 Çc thµnh phÇn cña bé ch¬ng tr×nh proxy:
Bé ch¬ng tr×nh proxy gåm nh÷ng ch¬ng tr×nh bËc øng

dông (application-level programs), hoÆc lµ ®Ó thay thÕ
hoÆc lµ ®îc céng thªm vµo phÇn mÒm hÖ thèng ®· cã.
Bé ch¬ng tr×nh proxy cã nh÷ng thµnh phÇn chÝnh bao
gåm:
 Smap: dÞch vô SMTP(Simple Mail Tranfer Protocol)
 Netacl: dÞch vô Telnet, finger, vµ danh môc çc ®iªu

khiÓn truy nhËp m¹ng
 Ftp-Gw: Proxy server cho Ftp
 Telnet-Gw: Proxy server cho Telnet
 Rlogin-Gw: Proxy server cho rlogin
 Plug-Gw: TCP Plug-Board Connection server (server

kÕt nèi tøc thêi dïng thñ tôc TCP)
3.2.1 Smap: DÞch vô SMTP
SMTP ®îc x©y dùng b»ng çch sö dông cÆp c«ng cô

phÇn mÒm smap vµ smapd. Cã thÓ nãi r»ng SMTP chèng
l¹i sù ®e do¹ tíi hÖ thèng, bëi v× çc ch¬ng tr×nh mail ch¹y
ë møc ®é hÖ thèng ®Ó ph©n ph¸t mail tíi çc hép th cña
user.
38
Smap vµ smapd thùc hiÖn ®iÒu ®ã b»ng çch c« lËp ch-
¬ng tr×nh mail, b¾t nã ch¹y trªn mét th môc dµnh riªng
(restricted directory) qua chroot (thay ®æi th môc gèc), nh
mét user kh«ng cã quyÒn u tiªn. Môc ®Ých cña smap lµ
c« lËp ch¬ng tr×nh mail vèn ®· g©y ra rÊt nhiÒu lçi trªn
hÖ thèng. PhÇn lín çc c«ng viÖc xö lý mail thêng ®îc
thùc hiÖn bëi ch¬ng tr×nh sendmail. Sendmail kh«ng yªu
cÇu mét sù thay ®æi hay ®Æt l¹i cÊu h×nh g× c¶. Khi mét
hÖ thèng ë xa nèi tíi mét cæng SMTP, hÖ ®iÒu hµnh khëi
®éng smap. Smap lËp tøc chroot tíi th môc dµnh riªng vµ
®Æt user-id ë møc b×nh thêng (kh«ng cã quyÒn u tiªn).
Bëi v× smap kh«ng yªu cÇu hç trî bëi mét file hÖ thèng
nµo c¶, th môc dµnh riªng chØ chøa çc file do smap t¹o ra.
Do vËy, b¹n kh«ng cÇn ph¶i lo sî lµ smap sÏ thay ®æi file
hÖ thèng khi nã chroot. Môc ®Ých duy nhÊt cña smap lµ
®èi tho¹i SMTP víi çc hÖ thèng kh¸c, thu lîm th«ng b¸o
mail, ghi vµo ®Üa, ghi nhËt ký, vµ tho¸t.
Smapd cã tr¸ch nhiÖm thêng xuyªn quÐt th môc kho cña

smap vµ ®a ra çc th«ng b¸o ®· ®îc xÕp theo thø tù
(queued messages) tíi sendmail ®Ó cuèi cïng ph©n ph¸t.
Chó ý r»ng nÕu sendmail ®îc ®Æt cÊu h×nh ë møc b×nh
thêng, vµ smap ch¹y víi uucp user-id (?), mail cã thÓ ®îc
ph©n ph¸t b×nh thêng mµ kh«ng cÇn smapd ch¹y víi møc
u tiªn cao. Khi smapd ph©n ph¸t mét th«ng b¸o, nã xo¸ file
chøa th«ng b¸o ®ã trong kho.
Theo ý nghÜa nµy, sendmail bÞ c« lËp, vµ do ®ã mét user

l¹ trªn m¹ng kh«ng thÓ kÕt nèi víi sendmail mµ kh«ng qua
smap. Tuy nhiªn, smap vµ smapd kh«ng thÓ gi¶i quyÕt
vÊn ®Ò gi¶ m¹o th hoÆc çc lo¹i tÊn c«ng kh¸c qua mail.
Smap cã kÝch thíc rÊt nhá so víi sendmail (700 dßng so víi
39
20,000 dßng) nªn viÖc ph©n tÝch file nguån ®Ó t×m ra lçi
®¬n gi¶n h¬n nhiÒu.
3.2.2 Netacl: c«ng cô ®iÒu khiÓn truy nhËp m¹ng
Chóng ta ®· biÕt r»ng inetd kh«ng cung cÊp mét sù ®iÒu

khiÓn truy nhËp m¹ng nµo c¶: nã cho phÐp bÊt kú mét hÖ
thèng nµo trªn m¹ng còng cã thÓ nèi tíi çc dÞch vô liÖt kª
trong file inetd.conf.
Netacl lµ mét c«ng cô ®Ó ®iÒu khiÓn truy nhËp m¹ng,

dùa trªn ®Þa chØ network cña m¸y client, vµ dÞch vô ®îc
yªu cÇu. V× vËy mét client (x¸c ®Þnh bëi ®Þa chØ IP
hoÆc hostname) cã thÓ khëi ®éng telnetd (mét version
kh¸c cña telnet) khi nã nèi víi cæng dÞch vô telnet trªn
firewall.
Thêng thêng trong çc cÊu h×nh firewall, netacl ®îc sö

dông ®Ó cÊm tÊt c¶ çc m¸y trõ mét vµi host ®îc quyÒn
login tíi firewall qua hoÆc lµ telnet hoÆc lµ rlogin, vµ
®Ó kho¸ çc truy nhËp tõ nh÷ng kÎ tÊn c«ng.
§é an toµn cña netacl dùa trªn ®Þa chØ IP vµ/hoÆc

hostname. Víi çc hÖ thèng cÇn ®é an toµn cao, nªn dông
®Þa chØ IP ®Ó tr¸nh sù gi¶ m¹o DNS. Netacl kh«ng chèng
l¹i ®îc sù gi¶ ®Þa chØ IP qua chuyÓn nguån (source
routing) hoÆc nh÷ng ph¬ng tiÖn kh¸c. NÕu cã çc lo¹i tÊn
c«ng nh vËy, cÇn ph¶i sö dông mét router cã kh¶ n¨ng soi
nh÷ng packet ®· ®îc chuyÓn nguån (screening source
routed packages).
Chó ý lµ netacl kh«ng cung cÊp ®iÒu khiÓn truy nhËp

UDP, bëi v× c«ng nghÖ hiÖn nay kh«ng ®¶m b¶o sù x¸c
40
thùc cña UDP. An toµn cho çc dÞch vô UDP ë ®©y ®ång
nghÜa víi sù kh«ng cho phÐp tÊt c¶ çc dÞch vô UDP.
Netacl chØ bao gåm 240 dßng m· C (c¶ gi¶i thÝch) cho nªn
rÊt dÔ dµng kiÓm tra vµ hiÖu chØnh. Tuy nhiªn vÉn cÇn
ph¶i cÈn thËn khi cÊu h×nh nã.
3.2.3 Ftp-Gw: Proxy server cho Ftp
Ftp-Gw lµ mét proxy server cung cÊp ®iÒu khiÓn truy

nhËp m¹ng dùa trªn ®Þa chØ IP vµ/hoÆc hostname, vµ
cung cÊp ®iÒu khiÓn truy nhËp thø cÊp cho phÐp tuú
chän kho¸ hoÆc ghi nhËt ký bÊt kú lÖnh ftp nµo. §Ých
cho dÞch vô nµy còng cã thÓ tuú chän ®îc phÐp hay kho¸.
TÊt c¶ çc sù kÕt nèi vµ byte d÷ liÖu chuyÓn qua ®Òu bÞ
ghi nhËt kÝ l¹i.
Ftp-Gw tù b¶n th©n nã kh«ng ®e do¹ an toµn cña hÖ thèng

firewall, bëi v× nã ch¹y chroot tíi mét th môc rçng, kh«ng
thùc hiÖn mét thñ tôc vµo ra file nµo c¶ ngoµi viÖc ®äc
file cÊu h×nh cña nã. KÝch thíc cña Ftp-gw lµ kho¶ng
1,300 dßng. Ftp gateway chØ cung cÊp dÞch vô ftp, mµ
kh«ng quan t©m ®Õn ai cã quyÒn hay kh«ng cã quyÒn
kÕt xuÊt (export) file. Do vËy, viÖc x¸c ®Þnh quyÒn ph¶i
®îc thiÕt lËp trªn gateway vµ ph¶i thùc hiÖn trø¬c khi
thùc hiÖn kÕt xuÊt (export) hay nhËp (import) file. Ftp
gateway nªn ®îc cµi ®Æt dùa theo chÝnh s¸ch an toµn cña
m¹ng. Bé ch¬ng tr×nh nguån cho phÐp ngêi qu¶n trÞ m¹ng
cung cÊp c¶ dÞch vô ftp vµ ftp proxy trªn cïng mét hÖ
thèng.
41
3.2.4 Telnet-Gw: Proxy server cho Telnet
Telnet-Gw lµ mét proxy server cung cÊp ®iÒu khiÓn truy

nhËp m¹ng dùa trªn ®Þa chØ IP vµ/hoÆc hostname, vµ
cung cÊp sù ®iÒu khiÓn truy nhËp thø cÊp cho phÐp tuú
chän kho¸ bÊt kú ®Ých nµo. TÊt c¶ çc sù kÕt nèi vµ byte
d÷ liÖu chuyÓn qua ®Òu bÞ ghi nhËt ký l¹i. Mçi mét lÇn
user nèi tíi telnet-gw, sÏ cã mét menu ®¬n gi¶n cña çc
chän lùa ®Ó nèi tíi mét host ë xa.
Telnet-gw kh«ng ph¬ng h¹i tíi an toµn hÖ thèng, v× nã

ch¹y chroot ®Õn m«t th môc dµnh riªng (restricted
directory). File nguån bao gåm chØ 1,000 dßng lÖnh. ViÖc
xö lý menu lµ hoµn toµn diÔn ra ë trong bé nhí, vµ kh«ng
cã m«t subsell hay ch¬ng tr×nh nµo tham dù. Còng kh«ng
cã viÖc vµo ra file ngoµi viÖc ®äc cÊu h×nh file. V× vËy,
telnet-gw kh«ng thÓ cung cÊp truy nhËp tíi b¶n th©n hÖ
thèng firewall.
3.2.5 Rlogin-Gw: Proxy server cho rlogin
Çc terminal truy nhËp qua thñ tôc BSD rlogin cã thÓ ®îc
cung cÊp qua rlogin proxy. rlogin cho phÐp kiÓm tra vµ
®iªu khiÓn truy nhËp m¹ng t¬ng tù nh telnet gateway.
Rlogin client cã thÓ chØ ra mét hÖ thèng ë xa ngay khi
b¾t ®Çu nèi vµo proxy, cho phÐp h¹n chÕ yªu cÇu t¬ng
t¸c cña user víi m¸y (trong trêng hîp kh«ng yªu cÇu x¸c
thùc).
3.2.6 Sql-Gw: Proxy Server cho Oracle Sql-net
Th«ng thêng, viÖc khai th¸c th«ng tin tõ CSDL Oracle ®îc
tiÕn hµnh th«ng qua dÞch vô WWW. Tuy nhiªn ®Ó hç trî
ngêi sö dông dïng ch¬ng tr×nh plus33 nèi vµo m¸y chñ
42
Oracle, bé firewall cña CSE ®îc ®a kÌm vµo ch¬ng tr×nh
Sql-net proxy. ViÖc kiÓm so¸t truy nhËp ®îc thùc hiÖu
qua tªn m¸y hay ®Þa chØ IP cña m¸y nguån vµ m¸y ®Ých.
3.2.7 Plug-Gw: TCP Plug-Board Connection server
Firewall cung cÊp çc dÞch vô th«ng thêng nh Usernet

news. Ngêi qu¶n trÞ m¹ng cã thÓ chän hoÆc lµ ch¹y dÞch
vô nµy trªn b¶n th©n firewall, hoÆc lµ cµi ®Æt mét proxy
server. Do ch¹y news trùc tiÕp trªn firewall dÔ g©y lçi hÖ
thèng trªn phÇn mÒm nµy, çch an toµn h¬n lµ sö dông
proxy. Plug-gw ®îc thiÕt kÕ cho Usernet News.
Plug-gw cã thÓ ®îc ®Æt cÊu h×nh ®Ó cho phÐp hay tõ

chèi mét sù kÕt nèi dùa trªn ®Þa chØ IP hoÆc lµ
hostname. TÊt c¶ sù kÕt nèi vµ çc byte d÷ liÖu chuyÓn
qua ®Òu ®îc ghi nhËt ký l¹i.
43
3.3 Cµi ®Æt
Bé cµi ®Æt gåm 2 ®Üa mÒm 1.44 Mb, R1 vµ R2. Mçi bé

cµi ®Æt ®Òu cã mét sè Serial number kh¸c nhau vµ chØ
ho¹t ®éng ®îc trªn m¸y cã hostname ®· x¸c ®Þnh tríc.
ViÖc cµi ®Æt ®îc tiÕn hµnh b×nh thêng b»ng çch dïng
lÖnh custom.
Khi cµi ®Æt, mét ngêi sö dông cã tªn lµ proxy ®îc ®¨ng ký
víi hÖ thèng ®Ó thùc hiÖn çc chøc n¨ng qu¶n lý proxy.
Ngêi cµi ®Æt ph¶i ®Æt mËt khÈu cho user nµy.
Mét th môc /usr/proxy ®îc tù ®éng thiÕt lËp, trong ®ã cã

çc th môc con:
 bin ®Ó chøa çc ch¬ng tr×nh thùc hiÖn
 etc ®Ó chøa çc tÖp cÊu h×nh Firewall vµ mét sè vÝ

dô çc file cÊu h×nh cña hÖ thèng khi ch¹y víi Firewall
nh inetd.conf, services, syslog.conf
 log ®Ó chøa çc tÖp nhËt ký
 report ®Ó chøa çc tÖp b¸o ço sau nµy.
ViÖc ®Æt cÊu h×nh vµ qu¶n trÞ CSE Firewall ®Òu th«ng
qua çc chøc n¨ng trªn menu khi login vµo m¸y Firewall
b»ng tªn ngêi sö dông lµ proxy. Sau khi cµi ®Æt nªn ®æi
tªn nh÷ng tÖp hÖ thèng vµ lu l¹i tríc khi ®Æt cÊu h×nh:
 /etc/inetd.conf
 /etc/services
 /etc/syslog.conf.
44
3.4 ThiÕt lËp cÊu h×nh:
3.4.1 CÊu h×nh m¹ng ban ®Çu
Víi Firewall host-base Chóng ta cã thÓ ch¾c ch¾n vµo

viÖc m¹ng ®îc cµi ®Æt theo mét chÝnh s¸ch an toµn ®îc
lùa chän nh»m ng¨n c¶n mäi luång th«ng tin kh«ng mong
muèn gi÷a m¹ng ®îc b¶o vÖ vµ m¹ng bªn ngoµi. §iÒu nµy
cã thÓ ®îc thùc hiÖn bëi screening router hay dual-home
gateway. Th«ng thêng, çc thiÕt bÞ m¹ng ®Òu sö dông c¬
chÕ an toµn cµi ®Æt trªn router n¬i mµ mäi liªn kÕt ®Òu
ph¶i ®i qua.
Mét ®iÒu cÇn quan t©m lµ trong khi ®ang cµi ®Æt,
nh÷ng m¸y chñ c«ng khai (Firewall bastion host) cã thÓ bÞ
tÊn c«ng tríc khi c¬ chÕ an toµn cña nã ®îc cÊu h×nh
hoµn chØnh ®Ó cã thÓ ch¹y ®îc. Do ®ã, nªn cÊu h×nh
tÖp inetd.conf ®Ó cÊm tÊt c¶ çc dÞch vô m¹ng tõ ngoµi
vµo vµ sö dông thiÕt bÞ ®Çu cuèi ®Ó cµi ®Æt.
T¹i thêi ®iÓm ®ã, chóng ta cã thÓ quy ®Þnh nh÷ng truy
nhËp gi÷a m¹ng ®îc b¶o vÖ vµ m¹ng bªn ngoµi nµo sÏ bÞ
kho¸. Tuú theo môc ®Ých, chóng ta cã thÓ ng¨n çc truy
nhËp tuú theo híng cña chóng. Ch¬ng tr×nh còng cÇn ®îc
thö nghiÖm kü cµng tríc khi sö dông. NÕu cÇn thiÕt cã
thÓ dïng ch¬ng tr×nh /usr/proxy/bin/netscan ®Ó thö kÕt
nèi tíi tÊt c¶ m¸y tÝnh trong m¹ng con ®Ó kiÓm tra. Nã sÏ
cè g¾ng thö lät qua Firewall theo mäi híng ®Ó ch¾c ch¾n
r»ng çc truy nhËp bÊt hîp ph¸p lµ kh«ng thÓ x¶y ra. Ng¨n
cÊm truy nhËp vµo ra lµ çi chèt trong c¬ chÕ an toµn
cña Firewall kh«ng nªn sö dông nÕu nã cha ®îc cµi ®Æt
vµ thö nghiÖm kü lìng.
45
3.4.2 CÊu h×nh cho Bastion Host
Mét nguyªn nh©n c¬ b¶n cña viÖc x©y dùng Firewall lµ

®Ó ng¨n chÆn çc dÞch vô kh«ng cÇn thiÕt vµ çc dÞch
vô kh«ng n¾m râ. Ng¨n chÆn çc dÞch vô kh«ng cÇn
thiÕt ®ßi hái ngêi cµi ®Æt ph¶i cã hiÓu biÕt vÒ cÊu
h×nh hÖ thèng. Çc bíc thùc hiÖn nh sau:
 Söa ®æi tÖp /etc/inetd.conf, /etc/services,

/etc/syslog.conf, /etc/sockd.conf.
 Söa ®æi cÊu h×nh hÖ diÒu hµnh, lo¹i bá nh÷ng dÞch

vô cã thÓ g©y lçi nh NFS, sau ®ã rebuild kernel.
ViÖc nµy ®îc thùc hiÖn cho tíi khi hÖ thèng cung cÊp
dÞch vô tèi thiÓu mµ ngêi qu¶n trÞ tin tëng. ViÖc cÊu
h×nh nµy cã thÓ lµm ®ång thêi víi viÖc kiÓm tra dÞch vô
nµo ch¹y chÝnh x¸c b»ng çch dïng çc lÖnh ps vµ
netstat. PhÇn lín çc server ®îc cÊu h×nh cïng víi mét sè
d¹ng b¶o mËt kh¸c, çc cÊu h×nh nµy sÏ m« t¶ ë phÇn sau.
Mét c«ng cô chung ®Ó th¨m dß çc dÞch vô TCP/IP lµ
/usr/proxy/bin/portscan cã thÓ dïng ®Ó xem dÞch vô nµo
®ang ®îc cung cÊp. NÕu kh«ng cã yªu cÇu ®Æc biÖt cã
thÓ dïng çc file cÊu h×nh nãi trªn ®· ®îc t¹o s½n vµ ®Æt
t¹i /usr/proxy/etc khi cµi ®Æt, ngîc l¹i cã thÓ tham kh¶o
®Ó söa ®æi theo yªu cÇu.
Toµn bé çc thµnh phÇn cña bé Firewall ®ßi hái ®îc cÊu
h×nh chung (mÆc ®Þnh lµ /usr/proxy/etc/netperms). PhÇn
lín çc thµnh phÇn cña bé Firewall ®îc gäi bëi dÞch vô cña
hÖ thèng lµ inetd, khai b¸o trong /etc/inetd.conf t¬ng tù
nh sau:
46
ftp stream tcp nowait root /usr/proxy/bin/netacl ftpd
ftp-gw stream tcp nowait root /usr/proxy/bin/ftp-gw ftp-gw
telnet-a stream tcp nowait root /usr/proxy/bin/netacl telnetd
telnet stream tcp nowait root /usr/proxy/bin/tn-gw tn-gw
login stream tcp nowait root /usr/proxy/bin/rlogin- rlogin-gw

gw
finger stream tcp nowait nobody /usr/proxy/bin/netacl fingerd
http stream tcp nowait root /usr/proxy/bin/netacl httpd
smtp stream tcp nowait root /usr/proxy/bin/smap smap
Ch¬ng tr×nh netacl lµ mét vá bäc TCP (TCP Wrapper)

cung cÊp kh¶ n¨ng ®iÒu khiÓn truy cËp cho nh÷ng dÞch
vô TCP vµ còng sö dông mét tÖp cÊu h×nh víi Firewall.
Bíc ®Çu tiªn ®Ó cÊu h×nh netacl lµ cho phÐp m¹ng néi bé
truy nhËp cã giíi h¹n vµo Firewall, nÕu nh nã cÇn thiÕt
cho nhu cÇu qu¶n trÞ. Tuú thuéc vµo TELNET gateway
tn-gw cã ®îc cµi ®Æt hay kh«ng, qu¶n trÞ cã thÓ truy cËp
vµo Firewall qua cæng kh¸c víi cæng chuÈn cña telnet (23).
Bëi v× telnet thêng kh«ng cho phÐp ch¬ng tr×nh truy cËp
tíi mét cæng kh«ng ph¶i lµ cæng chuÈn cña nã. DÞch vô
proxy sÏ ch¹y trªn cæng 23 vµ telnet thùc sù sÏ ch¹y trªn
cæng kh¸c vÝ dô dÞch vô cã tªn lµ telnet-a ë trªn (Xem file
inetd.conf ë trªn). Cã thÓ kiÓm tra tÝnh ®óng ®¾n cña
netacl b»ng çch cÊu h×nh cho phÐp hoÆc cÊm mét sè
host råi thö truy cËp çc dÞch vô tõ chóng.
Mçi khi netacl ®îc cÊu h×nh, TELNET vµ FTP gateway

cÇn ph¶i ®îc cÊu h×nh theo. CÊu h×nh TELNET gateway
chØ ®¬n gi¶n lµ coi nã nh mét dÞch vô vµ trong
netacl.conf viÕt mét sè miªu t¶ hÖ thèng nµo cã thÓ sö
dông nã. Trî gióp cã thÓ ®îc cung cÊp cho ngêi sö dông
khi cÇn thiÕt. ViÖc cÊu h×nh FTP proxy còng nh vËy.
47
Tuy nhiªn, FTP cã thÓ sö dông cæng kh¸c kh«ng gièng
TELNET. RÊt nhiÒu çc FTP client hç trî cho viÖc sö
dông cæng kh«ng chuÈn.
DÞch vô rlogin lµ mét tuú chän cã thÓ dïng vµ ph¶i ®îc

cµi ®Æt trªn cæng øng dông cña bastion host (cæng 512)
giao thøc rlogin ®ßi hái mét cæng ®Æc biÖt, mét qu¸
tr×nh ®ßi hái sù cho phÐp cña hÖ thèng UNIX. Ngêi qu¶n
trÞ muèn sö dông c¬ chÕ an toµn ph¶i cµi ®Æt th môc cho
proxy ®Ó nã giíi h¹n nã trong th môc ®ã.
Smap vµ smapd lµ çc tiÕn tr×nh läc th cã thÓ ®îc cµi

®Æt sö dông th môc riªng cña proxy ®Ó xö lý hoÆc sö
dông mét th môc nµo ®ã trong hÖ thèng. Smap vµ smapd
kh«ng thay thÕ sendmail do ®ã vÉn cÇn cÊu h×nh
sendmail cho Firewall. ViÖc nµy kh«ng m« t¶ trong tµi
liÖu nµy.
3.4.3 ThiÕt lËp tËp hîp quy t¾c
Khi cÊu h×nh cho proxy server vµ ch¬ng tr×nh ®iÒu

khiÓn truy cËp m¹ng ®iÒu cÇn thiÕt lµ thiÕt lËp chÝnh
x¸c tËp quy t¾c ®Ó thÓ hiÖn ®óng víi m« h×nh an toµn
mong muèn. Mét çch tèt ®Ó b¾t ®Çu cÊu h×nh Firewall
lµ ®Ó mäi ngêi trong m¹ng sö dông tù do çc dÞch vô
®ång thêi cÊm tÊt c¶ mäi ngêi bªn ngoµi. ViÖc ®Æt cÊu
h×nh cho firewall kh«ng qu¸ r¾c rèi, v× nã ®îc thiÕt kÕ
®Ó hç trî cho mäi hoµn c¶nh. TÖp tin
/usr/proxy/etc/netperms lµ CSDL cÊu h×nh vµ quyÒn truy
nhËp (configuration/permissions) cho çc thµnh phÇn cña
Firewall: netacl, smap, smapd, ftp-gw, tn-gw, http-gw, vµ
plug-gw. Khi mét trong çc øng dông nµy khëi ®éng, nã
48
®äc cÊu h×nh vµ quyÒn truy nhËp cña nã tõ netperms vµ
lu tr÷ vµo mét CSDL trong bé nhí.
File configuration/permissions ®îc thiÕt lËp thµnh nh÷ng

quy t¾c, mçi quy t¾c chøa trªn mét dßng. PhÇn ®Çu tiªn
cña mçi quy t¾c lµ tªn cña øng dông, tiÕp theo lµ dÊu hai
chÊm (“:”). NhiÒu øng dông cã thÓ dïng chung mét quy
t¾c víi tªn ng¨n çch bëi dÊu ph¶y. Dßng chó thÝch cã thÓ
chÌn vµo file cÊu h×nh b»ng çch thªm vµo ®Çu dßng ký
tù ‘#’.
3.4.3.1 ThiÕt lËp tËp hîp çc quy t¾c cho dÞch vô HTTP, FTP
ViÖc thiÕt lËp cÊu h×nh cho çc dÞch vô HTTP,

FTP lµ t¬ng tù nh nhau. Chóng t«i chØ ®a ra chi
tiÕt vÒ thiÕt lËp cÊu h×nh vµ quy t¾c cho dÞch
vô FTP.
#Example ftp gateway rules:
#---------------------------------
ftp-gw: denial-msg /usr/proxy/etc/ftp-deny.txt
ftp—gw: welcome-msg /usr/proxy/etc/ftp-welcome.txt
ftp-gw: help-msg /usr/proxy/etc/ftp-help.txt
ftp-gw: permit-hosts 10.10.170.* -log {retr stor}
ftp-gw: timeout 3600
Trong vÝ dô trªn, m¹ng 10.10.170 ®îc cho phÐp dïng

proxy trong khi mäi host kh¸c kh«ng cã trong danh s¸ch,
mäi truy cËp kh¸c ®Òu bÞ cÊm. NÕu mét m¹ng kh¸c muèn
truy cËp proxy, nã nhËn ®îc mét th«ng b¸o tõ chèi trong
/usr/proxy/etc/ftp-deny.txt vµ sau ®ã liªn kÕt bÞ ng¾t.
49
NÕu m¹ng ®îc b¶o vÖ ph¸t triÓn thªm chØ cÇn thªm vµo
çc dßng cho phÐp.
or
Mçi bé phËn cña Firewall cã mét tËp çc tuú chän vµ cê ®-

îc m« t¶ trong manual page riªng cña phÇn ®ã. Trong vÝ
dô trªn, Tuú chän -log {retr stor} cho phÐp FTP proxy ghi
l¹i nhËt ký víi tuú chän retr vµ stor.
3.4.3.2 Anonymous FTP
Anonymous FTP server ®· ®îc sö dông trong hÖ ®iÒu

hµnh UNIX tõ l©u. Çc lç hæng trong viÖc b¶o ®¶m an
toµn (Security hole) thêng xuyªn sinh ra do çc chøc n¨ng
míi ®îc thªm vµo, sù xuÊt hiÖn cña bug vµ do cÊu h×nh
sai. Mét çch tiÕp cËn víi viÖc ®¶m b¶o an toµn cho
anonymous FTP lµ sö dông netacl ®Ó ch¾c ch¾n FTP
server bÞ h¹n chÕ trong th môc cña nã tríc khi ®îc gäi. Víi
cÊu hinh nh vËy, khã kh¨n cho anonymous FTP lµm tæn
h¹i ®Õn hÖ thèng bªn ngoµi khu vùc cña FTP.
Díi ®©y lµ mét vÝ dô sö dông netacl ®Ó quyÕt ®Þnh giíi

h¹n hay kh«ng giíi h¹n vïng sö dông cña FTP ®èi víi mçi
liªn kÕt. Gi¶ sö lµ m¹ng ®îc b¶o vÖ lµ 192.5.12
netacl-ftpd: hosts 192.5.12.* -exec /etc/ftpd
netacl-ftpd: hosts unknown -exec /bin/cat /usr/proxy/etc/noftp.txt
netacl-ftpd: hosts * -chroot /ftpdir -exec /etc/ftpd
50
Trong vÝ dô nµy, ngêi dïng nèi víi dÞch vô FTP tõ m¹ng
®îc b¶o vÖ cã kh¶ n¨ng FTP b×nh thêng. Ngêi dïng kÕt
nèi tõ hÖ thèng kh¸c domain nhËn ®îc mét th«ng b¸o r»ng
hä kh«ng cã quyÒn sö dông FTP. Mäi hÖ thèng kh¸c kÕt
nèi vµo FTP ®Òu sö dông víi vïng file FTP. §iÒu nµy cã
mét sè thuËn lîi cho viÖc b¶o ®¶m an toµn. Thø nhÊt, khi
kiÓm tra x¸c thùc, ftpd kiÓm tra mËt khÈu cña ngêi sö
dông trong vïng FTP, cho phÐp ngêi qu¶n trÞ ®a ra
“account” cho FTP. §iÒu nµy cÇn thiÕt cho nh÷ng ngêi
kh«ng cã account trong bastion host cung cÊp sù kiÓm tra
vµ x¸c thùc nã cßn cho phÐp qu¶n trÞ sö dông nh÷ng
®iÓm m¹nh cña ftpd cho dï nã chøa mét sè lç hæng vÒ an
toµn.
3.4.3.3 Telnet vµ rlogin
Nãi chung truy cËp tíi bastion host nªn bÞ cÊm, chØ ngêi
qu¶n trÞ cã quyÒn login. Th«ng thêng ®Ó khi ch¹y proxy,
ch¬ng tr×nh telnet vµ rlogin kh«ng thÓ ch¹y trªn çc cæng
chuÈn cña chóng. Cã 3 çch gi¶i quyÕt vÊn ®Ò nµy:
 Ch¹y telnet vµ rloggin proxy trªn cæng chuÈn víi telnet

vµ rlogin trªn cæng kh¸c vµ b¶o vÖ truy cËp tíi chóng
b»ng netacl
 Cho phÐp login chØ víi thiÕt bÞ ®Çu cuèi.
 Dïng netacl ®Ó chuyÓn ®æi tuú thuéc vµo ®iÓm xuÊt

ph¸t cña kÕt nèi, dùa trªn proxy ®Ó thùc hiÖn kÕt nèi
thùc sù.
Çch gi¶i quyÕt cuèi cïng rÊt tiÖn lîi nhng cho phÐp mäi
ngêi cã quyÒn dïng proxy ®Ó login vµo bastion host. NÕu
bastion host sö dông x¸c thùc møc cao ®Ó qu¶n lý truy cËp
cña ngêi dïng, sù rñi ro do viÖc tÊn c«ng vµo hÖ bastion
51
host sÏ ®îc gi¶m thiÓu. ®Ó cÊu h×nh hÖ thèng tríc hÕt,
tÊt c¶ çc thiÕt bÞ ®îc nèi vµo hÖ thèng qua netacl vµ
dïng nã gäi çc ch¬ng tr×nh server hay proxy server tuú
thuéc vµo n¬i xuÊt ph¸t cña kÕt nèi.
Ngêi qu¶n trÞ muèn vµo bastion host tríc hÕt ph¶i kÕt nèi
vµo netacl sau ®ã ra lÖnh kÕt nèi vµo bastion host. ViÖc
nµy ®¬n gi¶n v× mét sè b¶n telnet vµ rlogin kh«ng lµm
viÖc nÕu kh«ng ®îc kÕt nèi vµo ®óng cæng.
netacl-telnetd: permit-hosts 127.0.0.1 -exec /etc/telnetd
netacl-telnetd: permit-hosts myaddress -exec /etc/telnetd
netacl-telnetd: permit-hosts * -exec /usr/proxy/bin/tn-gw
netacl-rlogin: permit-hosts 127.0.0.1 -exec /etc/rlogin
netacl-rlogin: permit-hosts myaddress -exec /etc/rlogin
netacl-rlogin: permit-hosts * -exec /usr/proxy/bin/rlogin-gw
3.4.3.4 Sql-net proxy
Gi¶ thiÕt lµ cã hai CSDL STU n»m trªn m¸y 190.2.2.3 vµ

VPCP n»m trªn m¸y 190.2.0.4.
§Ó cÊu h×nh cho sql-net proxy, ph¶i tiÕn hµnh çc bíc nh
sau:
3.4.3.4.1 CÊu h×nh trªn firewall
 §Æt cÊu h×nh cho tÖp netperms nh sau:
#Oracle proxy for STU Database
ora_stu1: timeout 3600
ora_stu1: port 1521 * -plug-to 190.2.2.3 -port 1521
ora_stu2: timeout 3600
52
ora_stu2: port 1526 * -plug-to 190.2.2.3 -port 1526
#Oracle proxy for VBPQ Database
ora_vpcp1: timeout 3600
ora_vpcp1: port 1421 * -plug-to 190.2.0.4 -port 1521
ora_vpcp2: timeout 3600
ora_vpcp2: port 1426 * -plug-to 190.2.0.4 -port 1526
 §Æt l¹i tÖp /etc/services nh sau:
#Oracle Proxy for STU Database
ora_stu1 1521/tcp oracle proxy
ora_stu2 1526/tcp oracle proxy
#Oracle Proxy for VBPQ Database
ora_vpcp1 1421/tcp oracle proxy
ora_vpcp2 1426/tcp oracle proxy
 §Æt l¹i tÖp /etc/inetd.conf nh sau:
ora_stu1 stream tcp nowait root /usr/proxy/bin/plug-gw ora_stu1
ora_stu2 stream tcp nowait root /usr/proxy/bin/plug-gw ora_stu2
53
ora_vpcp1 stream tcp nowait root /usr/proxy/bin/plug-gw ora_vpcp1
ora_vpcp2 stream tcp nowait root /usr/proxy/bin/plug-gw ora_vpcp2
 §Æt l¹i tÖp /etc/syslog.conf nh sau:
#Logfile for Sql-gw
“sql-gw” /usr/proxy/log/plug-gw
3.4.3.4.2 CÊu h×nh trªn m¸y tr¹m
 §Æt l¹i tÖp oracle_home\network\admin\tnsnames.ora

nh sau:
#Logfile for Sql-gw
stu.world =
(DESCRIPTION =
(ADDRESS_LIST =
(ADDRESS =
(COMMUNITY = tcp.world)
(PROTOCOL = TCP)
(Host = firewall)
(Port = 1521)
(ADDRESS =
(PROTOCOL = TCP)
(Host = firewall)
(Port = 1526)
54
(CONNECT_DATA = (SID = STU)
vpcp.world =
(DESCRIPTION =
(ADDRESS_LIST =
(ADDRESS =
(PROTOCOL = TCP)
(Host = firewall)
(Port = 1421)
(ADDRESS =
(PROTOCOL = TCP)
(Host = firewall)
(Port = 1426)
(CONNECT_DATA = (SID = ORA1)
B¹n cã thÓ dÔ dµng më réng cho nhiÒu CSDL kh¸c n»m

trªn nhiÒu m¸y kh¸c nhau.
55
3.4.3.5 Çc dÞch vô kh¸c
T¬ng tù nh trªn lµ çc vÝ dô cÊu h×nh cho çc dÞch vô

kh¸c khai b¸o trong file netperms:
# finger gateway rules:
# ---------------------
netacl-fingerd: permit-hosts 190.2.* ws1 -exec /etc/fingerd
netacl-fingerd: deny-hosts * -exec /bin/cat /usr/proxy/etc/finger.txt
# http gateway rules:
# ---------------------
netacl-httpd: permit-hosts * -exec /usr/proxy/bin/http-gw
http-gw: timeout 3600
#http-gw: denial-msg /usr/proxy/etc/http-deny.txt
#http-gw: welcome-msg /usr/proxy/etc/http-welcome.txt
#http-gw: help-msg /usr/proxy/etc/http-help.txt
http-gw: permit-hosts 190.2.* 10.* 192.2.0.* -log { all }
http-gw: deny-hosts 220.10.170.32 ws1
http-gw: default-httpd hpnt
# smap (E-mail) rules:
# ----------------------
smap, smapd: userid root
smap, smapd: directory /usr/spool/mail
smapd: executable /usr/proxy/bin/smapd
smapd: sendmail /usr/lib/sendmail
smap: timeout 3600
Ngoµi ra, trong CSE Firewall cßn cã dÞch vô socks ®Ó

kiÓm so¸t çc phÇn mÒm øng dông ®Æc biÖt nh Lotus
56
Notes. CÇn ph¶i thªm vµo çc file cÊu h×nh hÖ thèng nh
sau:
File /etc/services:
socks 1080/tcp
File /etc/inetd.conf:
socks stream tcp nowait root /etc/sockd sockd
CÊu h×nh vµ quy t¾c cho dÞch vô nµy n»m ë file

/etc/sockd.conf, chØ cã hai tõ kho¸ cÇn ph¶i quan t©m lµ
permit vµ deny ®Ó cho phÐp hay kh«ng çc host ®i qua,
dÞch vô nµy kh«ng kÕt hîp víi dÞch vô x¸c thùc. §Þa chØ
IP vµ Netmask ®Æt trong file nµy gièng nh víi lÖnh dÉn
®êng route cña UNIX.
permit 190.2.0.0 255.255.0.0
permit 10.10.170.50 255.255.255.255
permit 10.10.170.40 255.255.255.255
permit 10.10.170.31 255.255.255.255
deny 0.0.0.0 0.0.0.0 : mail -s 'SOCKD: rejected -- from %u@%A to host %Z

(service %S)' root
3.4.4 X¸c thùc vµ dÞch vô x¸c thùc
Bé Firewall chøa ch¬ng tr×nh server x¸c thùc ®îc thiÕt kÕ

®Ó hç trî c¬ chÕ ph©n quyÒn. Authsrv chøa mét c¬ së d÷
liÖu vÒ ngêi dïng trong m¹ng, mçi b¶n ghi t¬ng øng víi
mét ngêi dïng, chøa c¬ chÕ x¸c thùc cho mçi anh ta, trong
®ã bao gåm tªn nhãm, tªn ®Çy ®ñ cña ngêi dïng, lÇn truy
cËp míi nhÊt. MËt khÈu kh«ng m· ho¸ (Plain text
password) ®îc sö dông cho ngêi dïng trong m¹ng ®Ó viÖc
57
qu¶n trÞ ®îc ®¬n gi¶n. MËt khÈu kh«ng m· ho¸ kh«ng nªn
dïng víi nh÷ng ngßi sö dông tõ m¹ng bªn ngoµi. Authsrv ®-
îc ch¹y trªn mét host an toµn th«ng thêng lµ bastion host.
§Ó ®¬n gi¶n cho viÖc qu¶n trÞ authsrv ngêi qu¶n trÞ cã
thÓ sö dông mét shell authmsg ®Ó qu¶n trÞ c¬ së d÷ liÖu
cã cung cÊp c¬ chÕ m· ho¸ d÷ liÖu.
Ngêi dïng trong 1 c¬ së d÷ liÖu cña authsrv cã thÓ ®îc

chia thµnh çc nhãm kh¸c nhau ®îc qu¶n trÞ bëi qu¶n trÞ
nhãm lµ ngêi cã toµn quyÒn trong nhãm c¶ viÖc thªm, bít
ngêi dïng. §iÒu nµy thuËn lîi khi nhiÒu tæ chøc cïng dïng
chung mét Firewall.
§Ó cÊu h×nh authsrv, ®Çu tiªn cÇn x¸c ®Þnh 1 cæng

TCP trèng vµ thªm vµo mét dßng vµo trong inetd.conf ®Ó
gäi authsrv mçi khi cã yªu cÇu kÕt nèi. Authsrv kh«ng ph¶i
mét tiÕn tr×nh deamon ch¹y liªn tôc, nã lµ ch¬ng tr×nh ®îc
gäi mçi khi cã yªu cÇu vµ chøa mét b¶n sao CSDL ®Ó
tr¸nh rñi ro. Thªm authsrv vµo inet.conf ®ßi hái t¹o thªm
®iÓm vµo trong /etc/services. V× authsrv kh«ng chÊp
nhËn tham sè, mµ ph¶i thªm vµo inetd.conf vµ services çc
dßng nh sau:
Trong /etc/services:
authsrv 7777/tcp
Trong /etc/inetd.conf:
authsrv stream tcp nowait root /usr/proxy/bin/authsrv authsrv
Cæng dÞch vô dïng cho authsvr sÏ ®îc dïng ®Ó ®Æt cÊu

h×nh cho çc øng dông client cã sö dông dÞch vô x¸c thùc.
DÞch vô x¸c thùc kh«ng cÇn ¸p dông cho tÊt c¶ çc dÞch
vô hay tÊt c¶ çc client.
58
#Example ftp gateway rules:
ftp-gw: authserver local host 7777
ftp-gw: denial-msg /usr/proxy/etc/ftp-deny.txt
ftp-gw: welcome-msg /usr/proxy/etc/ftp-welcome.txt
ftp-gw: help-msg /usr/proxy/etc/ftp-help.txt
ftp-gw: permit-host 192.33.112.100
ftp-gw: permit-host 192.33.112.* -log {retr stor} -auth {stor}
ftp-gw: permist-host * -authall
ftp-gw: timeout 36000
Trong vÝ dô trªn, x¸c thùc dïng víi FTP proxy. Dßng ®Çu
tiªn ®Þnh nghÜa ®Þa chØ m¹ng cæng dÞch vô cña ch¬ng
tr×nh x¸c thùc. Dßng permist-host cho thÊy mét trong sè sù
mÒm dÎo cña hÖ thèng x¸c thùc, mét host ®îc lùa chän ®Ó
kh«ng ph¶i chÞu c¬ chÕ x¸c thùc, ngêi dïng tõ host nµy cã
thÓ truy cËp tù do tíi mäi dÞch vô cña proxy. Permist-host
thø 2 ®ßi hái x¸c thùc mäi hÖ thèng trong m¹ng 192.33.112
muèn truyÒn ra ngoµi víi -auth {store} nh÷ng thao t¸c cña
FTP sÏ bÞ kho¸ tíi khi ngêi dïng hoµn thµnh viÖc x¸c thùc
víi server. Khi ®ã, lÖnh ®îc më kho¸ vµ ngêi dïng cã thÓ
vµo hÖ thèng. VÝ dô cuèi ®Þnh nghÜa mäi ngêi cã thÓ
nèi víi server nhng tríc hÕt hä ph¶i ®îc x¸c thùc.
Authsrv server ph¶i ®îc cÊu h×nh ®Ó biÕt m¸y nµo ®îc
cho phÐp kÕt nèi. §iÒu nµy cÊm tÊt c¶ nh÷ng cè g¾ng
truy nhËp bÊt hîp ph¸p vµo server tõ nh÷ng server kh«ng
ch¹y nh÷ng phÇn mÒm x¸c thùc. Trong Firewall authsrv sÏ
ch¹y trªn bastion host cïng víi proxy trªn ®ã. NÕu kh«ng cã
hÖ thèng nµo ®ßi hái truy cËp, mçi client vµ server coi
“local host” nh mét ®Þa chØ truyÒn th«ng. CÊu h×nh
59
authsrv ®Þnh nghÜa nã sÏ vËn hµnh CSDL vµ client hç
trî.
#Example authhsrv rules:
authsrv: database /usr/proxy/bin/authsrv.db
authsrv: permit-host localhost
authsrv: permit-host 192.5.214..32
Trong vÝ dô trªn, ®êng dÉn tíi CSDL ®Þnh nghÜa vµ 2

host ®îc nhËn ra. Chó ý CSDL ë trªn trong hÖ thèng ®îc
b¶o vÖ hoÆc ®îc b¶o vÖ nghiªm ngÆt bëi c¬ chÕ truy
cËp file. B¶o vÖ CSDL rÊt quan träng do ®ã nªn ®Ó
CSDL trªn bastion host. Lèi vµo thø 2 lµ mét vÝ dô vÒ
client sö dông m· ho¸ DES trong khi truyÒn th«ng víi
authsrv. Kho¸ m· chøa trong tÖp cÊu h×nh ®ßi hái file cÊu
h×nh ph¶i ®îc b¶o vÖ. Nãi chung, viÖc m· ho¸ lµ kh«ng
cÇn thiÕt. KÕt qu¶ cña viÖc m· ho¸ lµ cho phÐp qu¶n trÞ
cã thÓ qu¶n lý c¬ së d÷ liÖu x¸c thùc tõ tr¹m lµm viÖc.
Luång d÷ liÖu duy nhÊt cÇn ph¶i b¶o vÖ lµ khi ngêi qu¶n
trÞ m¹ng ®Æt l¹i mËt khÈu qua m¹ng côc bé, hay khi qu¶n
lý c¬ së d÷ liÖu x¸c thùc qua m¹ng diÖn réng.
Duy tr× CSDL x¸c thùc dùa vµo 2 c«ng cô authload vµ

authdump ®Ó load vµ dump CSDL x¸c thùc. Ngêi qu¶n trÞ
nªn ch¹y authdump trong crontab t¹o b¶n sao d¹ng ASCII
cña CSDL ®Ó tr¸nh trêng hîp xÊu khi CSDL bÞ háng hay
bÞ xo¸.
Authsrv qu¶n lý nhãm rÊt mÒm dÎo, qu¶n trÞ cã thÓ nhãm
ngêi dïng thµnh nhãm dïng “group wiz”, ngêi cã quyÒn
qu¶n trÞ nhãm cã thÓ xo¸, thªm, t¹o söa b¶n ghi trong
nhãm, cho phÐp hay cÊm ngêi dïng, thay ®æi password
60
cña mËt khÈu cña user trong nhãm cña m×nh. Qu¶n trÞ
nhãm kh«ng thay ®æi ®îc ngêi dïng cña nhãm kh¸c, t¹o ra
nhãm míi hay thay ®æi quan hÖ gi÷a çc nhãm. Qu¶n trÞ
nhãm chØ cã quyÒn h¹n trong nhãm cña m×nh. ViÖc nµy
cã Ých ®èi víi tæ chøc cã nhiÒu nhãm lµm viÖc cïng sö
dông Firewall.
T¹o mét ngêi sö dông b»ng lÖnh “adduser”
adduser mrj ‘Marcus J. Ranum’
Khi mét user record míi ®îc t¹o nã cha ®îc ho¹t ®éng vµ
ngêi sö dông cha thÓ login. Tríc khi ngêi sö dông login,
qu¶n trÞ m¹ng cã thÓ thay ®æi mËt khÈu vµ sè hiÖu nhãm
cña ngêi sö dông ®ã
group users mjr
password “whumpus” mjr
proto SecurID mjr
enable mjr
Khi mét user record t¹o ra bëi ngêi qu¶n trÞ nhãm, nã thõa
hëng sè hiÑu nhãm còng nh giao thøc x¸c thùc. User record
cã thÓ xem bëi lÖnh “display” hay “list”.
VÝ dô mét phiªn lµm viÖc víi Authmsg:
%-> authmgs
Connected to server
authmgr-> login
Username: wizard
Challenge “200850” : 182312
Logged in
authmgs-> disp wizard
Report for user wizard (Auth DBA)
61
Last authenticated: Fri Oct 8 17:11:07 1993
Authentication protocol: Snk
Flags: WIZARD
authmgr-> list
Report for user in database
user group longname flags proto last
--- ----- -------- ----- ----- ---
wizard users Auth DBA y W SnkFri Oct 8 17:02:56 1993
avolio users Fred Avolio y passwd Fri Sep 24 10:52:14 1993
rnj users Robert N. Jesse y passwd Wed Sep 29 18:35:45

1993
mjr users Marcus J. Ranum y none ri Oct 8 17:02:10 1993
authmgr-> adduser dalva “Dave dalva”
ok - user added initially disable
authmgr-> enable dalva
enabled
authmgr-> group dalva users
set group
authmgr-> proto dalva Skey
changed
authmgr-> disp dalva
Report for user dalva, group users (Dave Dalva)
Authentication protocol: Skey
Flags: none
authmgr-> password dalva
Password: #######
Repeat Password: #######
ID dalva s/key is 999 sol32
authmgr-> quit
62
Trong vÝ dô trªn qu¶n trÞ nèi vµo authsrv qua m¹ng sö
dông giao diÖn authmsg sau khi x¸c thùc user record hiÓn
thÞ thêi gian x¸c thùc. Sau khi login, list CSDL user, t¹o
ngêi dïng, ®Æt password, enable vµ ®a vµo nhãm.
Khëi t¹o CSDL Authsrv:
# authsrv
-administrator mode-
authsrv# list
user group longname flags proto last
--- ----- -------- ----- ----- ---
authsrv# adduser admin ‘Auth DBA’
ok - user added initially disable
authsrv# enable admin
enabled
authsrv# superwiz admin
set wizard
authsrv# proto admin Snk
changed
authsrv# pass ‘160 270 203 065 022 034 232 162’ admin
Secret key changed
authsrv# list
user group longname flags roto last
--- ----- -------- ----- ---- ---
admin Auth DBA y W Snk never
authsrv# quit
63
Trong vÝ dô, mét CSDL míi ®îc t¹o cïng víi mét record
cho ngêi qu¶n trÞ. Ngêi qu¶n trÞ ®îc g¸n quyÒn, g¸n
protocol x¸c thùc.
3.4.5 Sö dông mµn h×nh ®iÒu khiÓn CSE Proxy:
Sau khi cµi ®Æt xong, khi login vµo user proxy mµn
h×nh ®iÒu khiÓn sÏ hiÖn nªn menu çc chøc n¨ng ®Ó ngêi
qu¶n trÞ cã thÓ lùa chän.
PROXY SERVICE MENU
1 Configuration
2 View TELNET log
3 View FTP log
4 View HTTP log
5 View E-MAIL log
6 View AUTHENTICATE log
7 View FINGER log
8 View RLOGIN log
9 View SOCKD log
a Report
b Authentication
c Change system time
d Change password
e Shutdown
q Exit
Select option> _
64
Con sè hay ch÷ çi ®Çu tiªn thÓ hiÖn phÝm bÊm ®Ó thùc
hiÖn chøc n¨ng. Sau khi mçi chøc n¨ng thùc hiÖn xong
xuÊt hiÖn th«ng b¸o Press ENTER to continue råi chê
cho tíi khi phÝm Enter ®îc bÊm ®Ó trë l¹i mµn h×nh
®iÒu khiÓn chÝnh.
3.4.5.1 1 Configuration
Chøc n¨ng nµy cho phÐp so¹n th¶o trùc tiÕp tíi file cÊu
h×nh cña proxy. Trong file nµy chøa çc quy t¾c cña çc
dÞch vô nh netacl, ftp-gw, tn-gw... Có ph¸p cña çc quy
t¾c nµy ®· ®îc m« t¶ ë phÇn trªn. Sau khi sö ®æi çc quy
t¾c chän chøc n¨ng Save th× çc quy t¾c míi sÏ lËp tøc ®îc
¸p dông.
Chó ý: Bé so¹n th¶o v¨n b¶n ®Ó so¹n th¶o file cÇu h×nh cã
çc phÝm chøc n¨ng t¬ng tù nh chøc n¨ng so¹n th¶o cña
Turbo Pascal 3.0. (Çc chøc n¨ng cÇn thiÕt ®Òu cã thÓ
thÊy trªn Status Bar ë dßng cuèi cïng cña mµn h×nh). §èi
víi mét sè trêng hîp bé so¹n th¶o nµy kh«ng ho¹t ®éng th×
ch¬ng tr×nh so¹n th¶o vi cña UNIX sÏ ®îc dïng ®Ó thay
thÕ.
3.4.5.2 2 View TELNET log
Chøc n¨ng xem néi dung nhËt ký cña tn-gw. NhËt ký ghi
l¹i toµn bé çc truy nhËp qua proxy ®èi víi dÞch vô tn-gw.
§èi víi çc dÞch vô kh¸c nh ftp-gw, http-gw ®Òu dîc ghi l¹i
nhËt ký vµ cã thÓ theo dâi bëi çc chøc n¨ng t¬ng tù (Xem
çc môc díi ®©y).
3.4.5.3 3 View FTP log
Chøc n¨ng xem néi dung nhËt ký cña ftp-gw.
65
3.4.5.4 4 View HTTP log
Chøc n¨ng xem néi dung nhËt ký cña http-gw.
3.4.5.5 5 View E-MAIL log
Chøc n¨ng xem néi dung nhËt ký cña dÞch vô email.
3.4.5.6 6 View AUTHENTICATE log
Chøc n¨ng xem néi dung nhËt ký cña dÞch vô x¸c thùc.
3.4.5.7 7 View FINGER log
Chøc n¨ng xem néi dung nhËt ký cña finger.
3.4.5.8 8 View RLOGIN log
Chøc n¨ng xem néi dung nhËt ký cña rlogin-gw.
3.4.5.9 9 View SOCKD log
Chøc n¨ng xem néi dung nhËt ký cña sockd.
3.4.5.10 a Report
Chøc n¨ng lµm b¸o ço thèng kª ®èi víi tÊt c¶ çc dÞch vô
trong mét kho¶ng thêi gian nhÊt ®Þnh.
§Çu tiªn mµn h×nh sÏ hiÖn lªn mét lÞch ®Ó chän kho¶ng
thêi gian muèn lµm b¸o ço. Sau khi tÝnh to¸n xong b¸o
ço. Ngêi sö dông sÏ ph¶i chän mét trong çc ®Çu ra cña
b¸o ço gåm : xem (®a ra mµn h×nh), save (ra ®Üa mÒm)
hay print (in ra m¸y in g¾n trùc tiÕp víi m¸y server). NÕu
muèn in tõ çc m¸y in kh¸c ta cã thÓ ®a ra ®Üa mÒm råi
in çc tÖp ®ã tõ çc tr¹m lµm viÖc.
Fri May 8 10:39:13 1998
66
Apr May Jun
S M Tu W Th F S S M Tu W Th F S S M Tu W Th F S
1 2 3 4 1 2 1 2 3 4 5 6
5 6 7 8 9 10 11 3 4 5 6 7 8 9 7 8 9 10 11 12 13
12 13 14 15 16 17 18 10 11 12 13 14 15 16 14 15 16 17 18 19 20
19 20 21 22 23 24 25 17 18 19 20 21 22 23 21 22 23 24 25 26 27
26 27 28 29 30 24 25 26 27 28 29 30 28 29 30
31
From date (dd/mm[/yy]) (08/05/98):01/05/98
To date (dd/mm[/yy]): (08/05/98):05/05/09
Calculating...
View, save to MS-DOS floppy disk or print report (v/s/p/q)? v
3.4.5.11 b Authentication
Chøc n¨ng nµy gäi authsrv ®Ó qu¶n trÞ ngêi sö dông vµ

chøc n¨ng x¸c thùc cho ngêi ®ã. authrv ®· ®îc m« t¶ kh¸ râ
rµng ë trªn.
authsrv# list
Report for users in database
user group longname status proto last
---- ----- -------- ------ ----- ----
dalva cse n passw never
ruth cse y passw never
authsrv#
67
3.4.5.12 c Change system time
Chøc n¨ng ®æi thêi gian hÖ thèng. Chøc n¨ng nµy cã t¸c
dông ®iÒu chØnh chÝnh x¸c giê cña hÖ thèng. Bëi v× giê
hÖ thèng cã ¶nh hëng quan träng tíi ®é chÝnh x¸c cña nhËt
ký. Gióp cho ngêi qu¶n trÞ cã thÓ theo dâi ®óng çc truy
nhËp tíi proxy.
Dßng nhËp thêi gian sÏ nh díi ®©y. Ngµy th¸ng n¨m cã

thÓ kh«ng cµn nhËp nhng cÇn chó ý tíi d¹ng cña sè ®a
vµo. Díi ®©y lµ vÝ dô ®æi giê thµnh 11 giê 28.
Current System Time is Fri May 08 10:32:00 HN 1998
Enter new time ([yymmdd]hhmm): 1128
3.4.5.13 d Change password
Chøc n¨ng ®æi mËt khÈu cña user proxy.
3.4.5.14 e Shutdown
Chøc n¨ng shut down toµn bé hÖ thèng. Chøc n¨ng nµy ®-

îc dïng ®Ó t¾t m¸y mét çch an toµn ®èi víi ngêi sö dông.
3.4.5.15 q Exit
Chøc n¨ng nµy logout khái mµn h×nh ®iÒu khiÓn proxy.
3.4.6 Çc vÊn ®Ò cÇn quan t©m víi ngêi sö dông
Víi ngêi sö dông, khi dïng CSE Proxy cÇn ph¶i

quan t©m ®Õn çc vÊn ®Ò sau:
68
3.4.6.1 Víi çc Web Browser
CÇn ph¶i ®Æt chÕ ®é proxy ®Ó chóng cã thÓ truy nhËp

®Õn çc trang Web th«ng qua proxy.
Trong Microsoft Internet Explore (version 4.0) ta ph¶i

chän View -> Internet option -> Connection -> Proxy
Server vµ ®Æt chÕ ®é Access the Internet using a proxy,
®Æt ®Þa chØ IP vµ port cña proxy vµo.
Trong Netscape Nevigator (version 4.0) ta ph¶i chän Edit

->Preferences -> Advanced -> Proxies vµ ®Æt ®Þa chØ
proxy vµ cæng dÞch vô (port) (80) qua phÇn Manual proxy
configuration.
3.4.6.2 Víi ngêi sö dông telnet,
NÕu kh«ng ®îc ®Æt chøc n¨ng x¸c thùc th× qu¸ tr×nh nh
sau:
$ telnet vectra
Trying 192.1.1.155...
connect hostname [serv/ port]
connect to vectra.
Escape character is’^]’.
Vectra.sce.gov.vn telnet proxy (version V1.0) ready:
tn-gw -> help
Valid commands are: (unique abbreviations may be used)
connect hostname [serv/ port]
telnet hostname [serv/ port]
x-gw [hostname/ display]
help/ ?
quit/ exit
69
password
tn-gw -> c 192.1.1.1
Trying 192.1.1.1 port 23...
TM
SCO Openserver Release 5 (sco5.cse.gov.vn) (ttysO)
Login: ngoc
password: #######
...
NÕu cã dïng chøc n¨ng x¸c thùc, th× sau khi m¸y proxy tr¶
lêi:
Vectra.sce.gov.vn telnet proxy (version V1.0) ready:
Nh¾c ta ph¶i ®a vµo tªn vµ mËt khÈu ®Ó thùc hiÖn x¸c

thùc:
Username: ngoc
password: #######
Login accepted
tn-gw ->
3.4.6.3 §èi víi ngêi dïng dÞch vô FTP
NÕu cã dïng chøc n¨ng x¸c thùc th× quy tr×nh nh sau:
$ftp vectra
Connected to vectra.
220 -Proxy first requres authentication
220 Vectra.sce.gov.vn FTP proxy (version V1.0) ready:
Name (vectra: root): ngoc
70
331 Enter authentication password for ngoc
Password: #######
230 User authenticated to proxy
ftp>user ngoc@192.1.1.1
331 -(----GATEWAY CONNECTED TO 192.1.1.1----)
331-(220 sco5.cse,gov.vn FTP server (Version 2.1 WU(1)) ready.)
331 Password required for ngoc.
Password:
230 User ngoc logged in.
ftp>
...
ftp>bye
221 Goodbye.
Cßn nÕu kh«ng sö dông chøc n¨ng x¸c thùc th× ®¬n gi¶n
h¬n:
$ftp vectra
Connected to vectra.
220 Vectra.sce.gov.vn FTP proxy (version V1.0) ready:
Name (vectra: root): ngoc@192.1.1.1
331 -(----GATEWAY CONNECTED TO 192.1.1.1----)
331-(220 sco5.cse,gov.vn FTP server (Version 2.1 WU(1)) ready.)
331 Password required for ngoc.
Password:
230 User ngoc logged in.
ftp>
...
ftp>bye
221 Goodbye
71
$
NÕu sö dông ch¬ng tr×nh WS_FTP trªn Window cña

Ipswitch, Inc th× cÇn ph¶i ®Æt chÕ ®é Use Firewall ë
trong phÇn Advanced khi ta cÊu h×nh mét phiªn nèi kÕt.
Trong phÇn Firewall Informatic ta sÏ ®a ®Þa chØ IP cña
proxy vµo phÇn Hostname, tªn ngêi dïng vµ mËt khÈu
(UserID vµ Password) cho phÇn x¸c thùc trªn proxy vµ
cæng dÞch vô (21). §ång thêi ph¶i chän kiÓu USER after
logon ë phÇn Firewall type.
72

Tim Hieu Ve Tuong Lua FIREWALL

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Tim Hieu Ve Tuong Lua FIREWALL

Uploaded by

Copyright:

Available Formats

Môc lôc

1. An toµn th«ng tin trªn m¹ng______________________________________3

1.1 T¹i sao cÇn cã Internet Firewall___________________________________3

1.2 B¹n muèn b¶o vÖ c¸i g×?_________________________________________5

1.3 B¹n muèn b¶o vÖ chèng l¹i c¸i g×?_________________________________7

1.4 VËy Internet Firewall lµ g×?_____________________________________12

2. C¸c dÞch vô Internet_____________________________________28

2.1 World Wide Web - WWW_______________________________________29

2.2 Electronic Mail (Email hay th ®iÖn tö).___________________________30

2.3 Ftp (file transfer protocol hay dÞch vô chuyÓn file)_________________31

2.4 Telnet vµ rlogin________________________________________________32

3. HÖ thèng Firewall x©y dùng bëi CSE_______________________35

3.2 C¸c thµnh phÇn cña bé ch¬ng tr×nh proxy:________________________37

3.3 Cµi ®Æt______________________________________________________43

3.4 ThiÕt lËp cÊu h×nh:___________________________________________44

Thùc vËy, Internet cã nh÷ng kü thuËt tuyÖt vêi cho phÐp

Theo sè liÖu cña CERT(Computer Emegency Response

NhiÖm vô c¬ b¶n cña Firewall lµ b¶o vÖ. NÕu b¹n muèn

1.2.1 D÷ liÖu cña b¹n

 TÝnh toµn vÑn: Th«ng tin kh«ng bÞ mÊt m¸t hoÆc

1.2.2 Tµi nguyªn cña b¹n

1.2.3 Danh tiÕng cña b¹n

Cßn nh÷ng g× b¹n cÇn ph¶i lo l¾ng. B¹n sÏ ph¶i ®¬ng

1.3.1 C¸c kiÓu tÊn c«ng

Cã rÊt nhiÒu kiÓu tÊn c«ng vµo hÖ thèng, vµ cã nhiÒu

1.3.1.1 TÊn c«ng trùc tiÕp

Hai vÝ dô thêng xuyªn ®îc ®a ra ®Ó minh ho¹ cho ph¬ng

Sendmail lµ mét ch¬ng tr×nh phøc t¹p, víi m· nguån bao

1.3.1.2 Nghe trém

1.3.1.3 Gi¶ m¹o ®Þa chØ

§©y lµ kÓu tÊn c«ng nh»m tª liÖt hÖ thèng, kh«ng cho nã

1.3.1.5 Lçi cña ngêi qu¶n trÞ hÖ thèng

1.3.2 Ph©n lo¹i kÎ tÊn c«ng

Cã rÊt nhiÒu kÎ tÊn c«ng trªn m¹ng toµn cÇu – Internet vµ

1.3.2.1 Ngêi qua ®êng

1.3.2.2 KÎ ph¸ ho¹i

1.3.2.3 KÎ ghi ®iÓm

1.3.2.4 Gi¸n ®iÖp

1.4.1 §Þnh nghÜa

ThuËt ng÷ Firewall cã nguån gèc tõ mét kü thuËt thiÕt kÕ

Internet Firewall lµ mét thiÕt bÞ (phÇn cøng+phÇn mÒm)

1.4.2 Chøc n¨ng

Internet Firewall (tõ nay vÒ sau gäi t¾t lµ firewall) lµ mét

 Firewall quyÕt ®Þnh nh÷ng dÞch vô nµo tõ bªn trong

 ChØ cã nh÷ng trao ®æi nµo ®îc phÐp bëi chÕ ®é an

S¬ ®å chøc n¨ng hÖ thèng cña firewall ®îc m« t¶ nh trong

Intranet firewall Internet

H×nh 2.1 S¬ ®å chøc n¨ng hÖ thèng cña firewall

1.4.3 CÊu tróc

Firewall bao gåm:

 C¸c phÇn mÒm qu¶n lý an ninh ch¹y trªn hÖ thèng m¸y

Chóng ta sÏ ®Ò cËp kü h¬n c¸c ho¹t ®éng cña nh÷ng hÖ

 Bé läc packet ( packet-filtering router )

 Cæng øng dông (application-level gateway hay proxy

 Cæng m¹ch (circuite level gateway)

1.4.4.1 Bé läc gãi tin (Packet filtering router)

1.4.4.1.1 Nguyªn lý:

Bé läc packet cho phÐp hay tõ chèi mçi packet mµ nã nhËn

 §Þa chØ IP n¬i nhËn (IP Destination address)

 Nh÷ng thñ tôc truyÒn tin (TCP, UDP, ICMP, IP

 Cæng TCP/UDP n¬i xuÊt ph¸t (TCP/UDP source port)

 Cæng TCP/UDP n¬i nhËn (TCP/UDP destination port)

 D¹ng th«ng b¸o ICMP ( ICMP message type)

 giao diÖn packet ®Õn ( incomming interface of packet)