LỜI NÓI ĐÀU Với sự bùng nố ngày càng mạnh mẽ của mạng Internet, các quốc gia các tố chức, các công ty và tất cả mọi người đang ngày càng xích lại gần nhau hơn. Khoảng cách về địa lý ngày càng trở nên mờ dần và khái niệm một thế giới “phang” đang trở nên rõ nét. Thật khó mà kể hết những lợi ích mà Internet mang lại cho con người và cũng không thể tưởng tượng được một ngày thiếu Internet thì con người sẽ phải xoay sở như thế nào. Đó không chỉ là một công cụ trao đổi thông tin nhanh chóng tin cậy mà còn là kho thông tin vô tận, cập nhật, đa dạng và đầy đủ nhất. Có thể nói rằng Internet là nguồn tài nguyên vô giá trong kỉ nguyên số hiện nay. Chính vì vậy việc khai thác và tận dụng được tài nguyên mạng là mối quan tâm hàng đầu của các doanh nghiệp. Công nghệ mạng Lan và mạng Wan phát triển đã thỏa mãn nhu cầu đó. Tuy nhiên ngoài những lợi ích to lớn mạng Internet cũng ẩn chứa những nguy cơ khôn lường về khả năng đánh cắp, phá hoại những tài sản thông tin của tổ chức dẫn đến những hậu quả nghiêm trọng. Chính vì vậy công việc và trọng trách đặt lên vai của những người làm công nghệ thông tin trên thế giới nói chung và ở Việt Nam nói riêng không chỉ là nghiên cứu xây dựng và phát triển nhanh chóng mạng máy tính trong nước đế mọi người có thế khai thác tiềm năng hết sức phong phú trên Internet mà đồng thời cũng phải nghiên cứu thực hiện tốt các biện pháp ngăn chặn, phòng chống, phát hiện và phục hồi được các hành vi tấn công phá hoại trái phép trên mạng, nhằm đảm bảo được tối đa sự phát triển cho các tổ chức kinh doanh Với mục đích đó trong thời gian thực tập nhóm đã tự' tìm hiếu các khái niệm cơ bản về bảo mật cùng với những kiến thức về mạng máy tính đã học được tại học viện mạng của Cisco, mong muốn xây dựng được một hệ thống bảo mật sử dụng công nghệ fírewall có nhiều tính ứng dụng trong thực tiễn. Đe tài này sẽ giới thiệu các kiến thức chung về bảo mật mạng máy tính, các công nghệ thường được sử dụng để bảo mật trên nền bộ giao thức TCP/IP, giao thức chính trên Intenet và cụ thể đi sâu vào công nghệ Firewall một công nghệ bảo mật phổ biến nhất hiện nay. 1 Chũng tôi xin chân thành cảm ơn sự chỉ bảo hướng dẫn tận tình của Thầy Cao Văn Lợi đã giúp chúng tôi thực hiện đồ án này. Vì thời gian hạn hẹp, vấn đề cần tìm hiểu quá rộng, lượng thông tin và tài liệu cần đọc rất lớn, kiến thức hạn chế nên chắc chắn rằng bản đồ án này sẽ không tránh khỏi những thiếu sót, rất mong nhận được sự chỉ bảo góp ý thắng thắn từ phía thầy cô và các bạn. Trân trọng cảm ơn . LỜI MỞ ĐẦU Với mục đích thu thập các kiến thức cơ bản về bảo mật mạng Internet trên nền bộ giao thức TCP/IP và đi sâu nghiên cứu thiết kế hệ công nghệ bảo mật fírewall, bản đồ án này được chúng tôi chia thành 6 phần với những nội dung như sau: Chương I: Tổng quan về Firewall Trình bày khái niệm fírewall và phần loại Firewall Chương II : Chức năng ,nhiệm vụ của Firewall phần cứng Tìm hiếu các chức năng và nhiệm vụ của Firewall cứng Chương III : cấu trúc & nguyên tắc hoạt động cửa Firewall cứng Tìm hiểu cấu trúc và cơ chế hoạt động cửa Firewall cứng và một sô hạn chế của Firewall cứng Chương IV : Mô hình và ửng dụng cảu Firewall Trình bày 1 số mô hình và ứng dụng cửa Firewall cứng Chuưong V : Tưòng lửa CISCO PIX FIREWALL Tìm hiểu về CISCO PIX FIREWALL và giới thiệu một số Fire cứng, Cách cài đặt và câu lệnh CHƯƠNG I: TÓNG QUAN VÈ FIREWALL 1. Firewall là gì? Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hỏa hoạn. Trong công nghệ thông tin, Firewall là một kỹ thuật được tích hợp 2 vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhâp không mong muốn vào hệ thống. Một Firewall có thể được định nghĩa là một tập hợp các thành phần được đặt giữa hai mạng và có chung ba đặc điểm sau đây: + Tất cả các lưu lượng từ trong ra ngoài và ngược lại đều phải đi qua Firewall. + Chỉ các lưu lượng được cho phép như được ấn định bởi chính sách bảo mật cục bộ mới được phép đi qua. + Chính Firewall không bị ảnh hưởng bởi sự thâm nhập 2. Nguyên lý hoạt động của Firewall Firewall hoạt động chặt chẽ với giao thức TCP/IP, vì giao thức này làm việc theo thuật tón chia nhỏ các dữ liệu nhận được tù’ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS ) thành các gói dữ liệu (data packets) rồi gán cho các packet này những địa chỉ có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại Firewall cũng liên quan rất nhiều đến các packet và nhũng con số địa chỉ của chúng. Bộ lọc packet cho phép hay tù’ chối mỗi packet mà nó nhận được. Nó kiểm tra toàn bộ đoạn dữ liệu đế quyết định xem đoạn dữ liệu đó có thỏa mãn một trong số các luật lệ của lọc packet hay không. Các luật lệ lọc packet này là dựa trên các thông tin ở đầu mỗi packet (header), dùng để cho phép truyền các packet đó ở trên mạng. Bao gồm: • Địa chỉ IP nơi xuất phát (Source) • Địa chỉ IP nơi nhận ( Destination) • Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel ) • Cổng TCP/UDP nơi xuất phát • Cổng TCP/UDP nơi nhận • Dạng thông báo ICMP • Giao diện packet đến • Giao diện packet đi 3 3. Chửc năng của Firewall Chức năng chính của Firewall là kiếm soát luồng thông tin từ giữa Intranet và Internet. Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và mạng Internet. • Cho phép hoặc cấm nhũng dịch vụ truy cập ra ngoài. • Cho phép hoặc cấm những dịch vụ từ ngoài truy cập vào trong. • Theo dõi luồng dữ liệu mạng giữa Internet và Intranet • Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập • Kiếm soát người sử dụng và việc truy cập của người sử dụng. • Kiểm soát nội dung thông tin lưu chuyển trên mạng. 4. Phân loại Firewall Firewall chia làm 2 loại: *Firewall cứng Firewall cứng là loại Firewall được tích hợp trực tiếp lên phần cứng - Không được linh hoạt như fírewall mềm vì hầu như các fírewall cứng đều hướng theo xu hướng tích hợp tất cả trong một( ví dụ : không thế thêm quy tắc hay chức năng ngoài những chức năng đã được tích hợp sẵn ) đối với những fírewall cứng trước kia.Hiện tại xuất hiện xu hướng mới của fìrewall cúng mà đi đầu là dòng sản phấm PIX ASA 5500 của Cisco. Tuy là fírewall cứng nhưng có khả năng tích hợp những module khác ngoài module có sẵn. cấu trúc chính của loại fírewall này bao gồm : - Adaptive tích hợp cơ bản hầu hết các tính năng chính của 1 fírewall như DHCP, HTTPS, VPNs, hỗ trợ DMZ, PAT, NAT và các interface trên nó. Một Adaptive có thể hoạt động độc lập mà không cần bất kỳ module nào khác. Adaptive hỗ trợ nhiều cách cấu hình : cấu hình thông qua giao diện web hoặc cấu hình qua cổng consol. 4 - Các module riêng lẻ : mỗi module thực hiện một chức năng chuyên biệt và kết nối trực tiếp với Adaptive thông qua cable. Neu thiết bị đầu cuối nào muốn sử dụng thêm chức năng của module nào thì sẽ được kết nối trực tiếp với module đó.Có nhiều loại module thực hiện nhiều chức năng khác nhau : cung cấp các giao tiếp đến các thiết bị có giao tiếp đặc biệt, cung cấp hệ thống cảnh báo cao cấp IPS, - Có khả năng hoạt động ở mọi lớp với tốc độ cao nhưng giá cả rất cao. *Firewall mềm Firewall mềm là những phần mềm được cài đặt trên máy tính đóng vai trò làm firewall. Có 2 loại là Stateíul Firewall (Tường lửa có trạng thái) và Stateless Firewall (Tường lửa không trạng thái). Đặc điểm : - Có tính linh hoạt cao :có thế thêm bớt các luật hoặc các chức năng vì bản chất nó chỉ là 1 phần mềm. - Hoạt động ở tầng ứng dụng. - Có khả năng kiểm tra nội dung của các gói tin thông qua các tù’ khóa được quy định trong chương trình. 5. ƯU-Nhược điểm Firewall * Ưu Điểm: Firewall do con người cấu hình có thể che dấu mạng nội bộ bên trong, lọc dữ liệu và nội dung của dữ liệu để ngăn chặn được các ý đồ xấu từ bên ngoài như : muốn đánh cắp thông tin mật, muốn gây thiệt tê liệt hệ thống đối thủ của mình để gây thiệt hại về kinh tế. - Firewall có thể ngăn chặn các cuộc tấn công vào các server gây tổn thất lớn cho các doanh nghiệp . - Ngoài ra fírewall còn có khả năng quét virus, chống spam khi được tích hợp những công cụ cần thiết. *Nhược Điểm: 5 Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại thông tin và phân tích nội dung tốt hay xấu của nó. Firewall chỉ có thể ngăn chặn sự xâm nhập của những nguồn thông tin không mong muốn nhưng phải xác định rõ các thông số địa chỉ. - Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không “đi qua” nó. Một cách cụ thế, fìrewall không thế chống lại một cuộc tấn công từ một line dial-up, hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa mềm. - Firewall cũng không thế chống lại các cuộc tấn công bằng dữ liệu (data-driven attack). - Khi có một số chương trình được chuyển theo thư điện tử, vượt qua fírewall vào trong trust network và bắt đầu hoạt động ở đây. Một ví dụ là các virus máy tính. Firewall có thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua nó. Nhưng do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có rất nhiều cách để mã hóa dữ liệu Virus vẫn thoát khỏi khả năng rà quét của fírewall. Chương II: CHỨC NÃNG , NHIỆM vụ CỦA FIWALL CỨNG 1. Chức năng của Firewall. Chức năng chính của Firewall là kiếm soát luồng thông tin giữa Intranet và Internet. Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và mạng Internet. -Cho phép hoặc cấm các dịch vụ truy cập ra ngoài. -Cho phép hoặc cấm các dịch vụ từ ngoài truy cập vào trong. -Theo dõi luồng dữ liệu mạng giữa Internet và Intranet. -Kiếm soát địa chỉ truy nhập, cấm hoặc cho phép địa chỉ truy nhập. -Kiểm soát người dùng và việc truy cập của người dùng. -Kiểm soát nội dung thông tin lưu chuyển trên mạng. -Ngăn ngừa khả năng tấn công từ các mạng ngoài. 6 Khi Firewall hoạt động, nó sẽ khảo sát tất cả các luồng lun lượng giữa hai mạng để xem luồng lưu lượng này có đạt chuẩn hay không. Neu đạt, nó được định tuyến giữa các mạng, ngược lại, lưu lượng sẽ bị hủy. Bộ lọc của Firewall có khả năng lọc cả lưu lượng ra lẫn lưu lượng vào. Nó cũng có thể quản lý việc truy cập từ bên ngoài vào nguồn tài nguyên bên trong mạng. Firewall có thể được sử dụng để ghi lại tất cả các cố gắng truy nhập vào mạng riêng và đưa ra cảnh báo kịp thời đối với những thâm nhập trái phép. Firewall có thể lọc các gói tin dựa vào địa chỉ nguồn, địa chỉ đích và số cổng của chúng, đây được gọi là lọc địa chỉ. Firewall cũng có thể lọc các loại lưu lượng đặc biệt của mạng và điều này được gọi là lọc giao thức bởi vì việc ra quyết định cho chuyển tiếp hoặc từ chối lưu lượng phụ thuộc vào giao thức được sử dụng, ví dụ HTTP, FTP hoặc Telnet. Firewall cũng có thế lọc luồng lưu lượng thông qua thuộc tính và trạng thái của gói. Một số Firewall có chức năng cao cấp như: đánh lừa được Hacker, làm cho Hacker nhầm tưởng rằng đã phá vỡ được hệ thống an toàn nhưng về cơ bản, nó phát hiện sự tấn công và tiếp quản nó, dẫn dắt kẻ tấn công đi theo một hướng nhất định nhằm đế Hacker tin rằng họ đã vào được một phần của hệ thống và có thế truy cập xa hơn, các họat động của kẻ tấn công có thể được ghi lại và theo dõi. Neu có thể giữ kẻ phá hoại trong một thời gian, người quản trị có thể lần theo dấu vết của họ. Ví dụ, có thể dùng lệnh íĩnger để theo vết kẻ tấn công hoặc tạo tập tin “bẫy mồi” để họ phải mất thời gian truyền lâu, sau đó theo vết việc truyền tập tin về nơi của kẻ tấn công qua kết nối Internet 2. Nhiệm vụ của Firewall. 2.1. Bảo vệ thông tin. - Bảo vệ các dữ liệu quan trọng trong hệ thống mạng nội bộ. - Bảo vệ tài nguyênhệ thống. - Bảo vệ danh tiếngcủa công ty sở hữu các thông tin cần bảo vệ. 2.2. Phòng thủ các cuộc tấn công -Ngoài việc bảo vệ các thông tin tù’ bên trong hệ thống, Firewall còn có thể chống lại các cuộc tấn công từ bên ngoài vào như: -Hacker thường sử dụng một số chương trình có khả năng dò tìm các thông tin về hệ thống của bạn như tài khoản và password đăng nhập. Firewall có khả năng phát hiện và ngăn chặn kịp thời các tấn công theo kiếu tấn công này. 7 -Firewall cũng có khả năng phát hiện và ngăn chặn các chương trình Sniff (Chương trình có khả năng chụp lại các gói tin khi nó được truyền đi trên mạng) mà Hacker thường sử dụng để lấy các thông tin đang được truyền đi trên mạng. -Hacker hay sử dụng lỗi của các chương trình úng dụng và bản thân hệ điều hành đã được sử dụng từ những vụ tấn công đầu tiên và vẫn được để chiếm quyền truy cập (có được quyền của người quản trị hệ thống). + Nghe trộm: Có thế biết được tên, mật khấu, các thông tin chuyền qua mạng thông qua các chương trình cho phép đưa vỉ giao tiếp mạng (NIC) vào chế độ nhận toàn bộ các thông tin lưu truyền qua mạng. + Giả mạo địa chỉ IP. + Vô hiệu hoá các chức năng của hệ thống (deny Service). Đây là kiểu tấn công nhằm làm tê liệt toàn bộ hệ thống không cho nó thực hiện các chức năng mà nó được thiết kế. Kiếu tấn công này không thế ngăn chặn được do những phương tiện tổ chức tấn công cũng chính là các phương tiện để làm việc và truy nhập thông tin trên mạng. 8 + yếu tố con người với những tính cách chủ quan và không hiểu rõ tầm quan trọng của việc bảo mật hệ thống nên dễ dàng để lộ các thông tin quan trọng cho hacker. Ngoài ra, Firewall còn có nhiều chức năng kiểm tra, lọc các lưu lượng vào/ra hệ thống, bảo vệ an toàn các thông tin từ bên trong và ngăn chặn các cố gắng thâm nhập từ bên ngoài vào hệ thống. CHƯƠNG III CẤU TRÚC & NGUYÊN TẮC HOẠT ĐỘNG CÙA FIREWALL CỨNG I. Cấu trúc của Firewall cửng Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua fírewall thì điều đó có nghĩa rằng fírewall hoạt động kết hợp chặt chẽ với giao thức TCP/IP. Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DSN, SMNP, NFS, ) thành các gói dữ liệu (data packets) rồi gán cho các packet này những địa chỉ để có thể được định tuyến, nhận dạng và tái lập lại ở đích cần gửi đến, do đó các loại fírewall cũng liên quan rất nhiều đến các packet và những con số địa chỉ của chúng. Ngày nay Firewall được xây dựng dựa trên cơ sở bộ lọc gói (packet íĩlter), trên cống ứng dụng (Application gateway), kĩ thuật giám sát trạng thái (Stateủil inspecting) và một số firewall khác Bastion Host Firewall (pháo Đài Phòng Ngự). Trong chương này tôi sẽ trình bày 3 kiến trúc fìrewall cơ bản dựa theo sư phân loại đó. 1. Firewall bộ lọc gói tin (PACKET FILTERING FIREWALL) Loại fírewall này thực hiện việc kiếm các thông số điều khiến trong trường header của các gói tin IP đế cho phép chúng có thế lưu thông qua lại hay không. Các thông số có thể lọc được của một gói tin như sau: - Địa chỉ IP nguồn (source IP address) - Địa chỉ IP đích (destination IP address) - Cổng TCP nguồn (TCP source port) - Cổng TCP đích (TCP destination port) + Lỗi người quản trị hệ thống. 9 Nhờ vậy mà fírewall có thể ngăn cản được các kết nối vào những máy chủ hoặc mạng nào đó đã được xác định, hoặc khóa việc truy cập vào hệ thống nội bộ tù’ những địa chỉ nguồn không cho phép. Hơn nữa việc kiểm soát các cổng làm cho fírewall có khả năng chỉ cho phép một số loại kết nối nhất định vào máy chủ nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP, ) được phép mới chạy được trên hệ thống mạng nội bộ. Hình 2.5 Tưởng lửa lọc gói tin. 2. Firewall các dịch vụ uỷ thác (PROXY SERVER) Firewall dịch vụ ủy thác là một thiết bị bình phong bảo mật dùng để phân tích các gói dữ liệu được chuyển vào. Khi các gói dữ liệu tù’ bên ngoài đến proxy server, chúng được kiểm tra và đánh giá để xác định xem chính sách bảo mật có cho phép chúng vào mạng hay không. Proxy server không chỉ định giá trị các địa chỉ IP mà còn xem xét dữ liệu trong các gói đế tìm lỗi và sửa sai + Lỗi người quản trị hệ thống. 10 [...]... toàn cao nhất vì nó cung cấp cả mức bảo mật: Network và 34 Application trong khi định nghĩa một mạng “phi quân sự” Mạng DMZ đóng vai trò như một mạng nhỏ, cô lập đặt giữa Internet và mạng nội bộ Cơ bản, một DMZ được cấu hình sao cho các hệ thống trên Internet và mạng nội bộ chỉ có thể truy nhập được một số giới hạn các hệ thống trên mạng DMZ, và sự truyền trực tiếp qua mạng DMZ là không thể được Với những... sự an toàn của hệ thống mạng được 1.2.Dual-homed host: Dual-homed host là hình thức xuất hiện đầu tiên trong cuộc đấu để bảo vệ mạng nội bộ Dual-homed host là một máy tính có hai giao tiếp mạng: một nối với mạng cục bộ và một nối với mạng ngoài (Internet) 33 Hệ điều hành của Dual-homed host được sửa đối đế chức năng chuyến các gói tin (packet forwarding) giữa hai giao tiếp mạng này không hoạt động... sử dụng trên mạng trên Internet Có một điều lưu ỷ là: ACL luôn luôn được kiếm tra trước khi thực hiện quá trình phiên dịch địa chỉ trên các thiết bị firewall DMZ Chức năng phân vừng củafìrewaìì Hoạt động của lưu lượng HTTP đi vào vùng đệm DMZ Trên hình vẽ người quản trị mạng cần cho phép người sử dụng trên mạng Internet truy cập vào các máy chủ Web công cộng của công ty Máy chủ Web đó được đặt trên vùng... IP trên mạng Internet Thông thường thì mạng nội bộ sử dụng các nhóm địa chỉ IP được định nghĩa trong RFC 1918 Vì các địa chỉ này được chỉ định dùng cho mục đích nội bộ hay là các địa chỉ dùng riêng, NAT được đặt ra đế thỏa mãn nhu cầu kết nối trên Internet Đôi lúc NAT được dùng để dành các địa chỉ nội bộ cho doanh nghiệp ví dụ để phòng khi thay đổi nhà cung cấp Internet NAT cho phép ngăn chặn các mạng. .. đối và ngăn chặn những thao tác có thế làm ảnh hưởng đến sự an toàn của mạng cần bảo vệ Thông thường đó là các máy có nhiều cổng giao tiếp mạng, một trong số đó nối với Internet, các cống còn lại nối với các mạng nội bộ (dual-homed host) Những chương trình proxy nhận yêu cầu của người sử dụng, dựa vào yêu cầu bảo vệ của mạng nội bộ đế quyết định có thực hiện các yêu cầu này hay không Trong trường họp... phép ngăn chặn các mạng phía bên ngoài không học được địa chỉ IP trong mạng nội bộ nằm ở phía sau fírewall NAT làm được điều này bằng cách phiên dịch những địa chỉ IP không có duy nhất trên mạng Internet (địa chỉ IP cục bộ ) thành các địa chỉ duy nhất (địa chỉ Global) được chấp nhận trên Internet trước khi các gói tin được chuyến ra mạng phía bên ngoài Netvvork Address Translation NAT 19216810.11 Quá... tầng bảo vệ: router ngoài, bastion host và router trong 35 Bởi vì router ngoài chỉ quảng cáo DMZ network tới Internet, hệ thống mạng nội bộ là không thể nhìn thấy (invisible) Chỉ có một số hệ thống đã được chọn ra trên DMZ là được biết đến bởi Internet qua routing table và DNS iníòrmation exchange (Domain Name Server) Bởi vì router trong chỉ quảng cáo DMZ network tới mạng nội bộ, các hệ thống trong mạng. .. lại trên mạng cục bộ bởi fírewall Theo cấu hình mặc định thì tất cả các truy nhập từ Internet vào các máy chủ trên vùng này đều bị từ chối Đe cấp quyền truy nhập cho người sử dụng trên Internet, người quản trị phải thực hiện 1 số bước sau: • Cấu hình phiên dịch địa chỉ tĩnh cho các máy chủ Web, theo cách này thì địa chỉ thật của các máy chủ Web sẽ không bị nhìn thấy từ phía người sử dụng trên Internet. .. điều khiển vào ra Bộ định tuyến (rounter) có nhiều chức năng trong cấu hình này Nó không chỉ định hướng các gói đến hệ nội bộ, mà còn cho phép các hệ thống nội mở kết nối với Internet hoặc không cho phép kết nối Kiến trúc screening subnet còn bố sung thêm tầng an toàn nội bộ với Internet Lý do để làm việc này là tránh cho mạng nội nếu như bastion host bị đánh sập 16 đế tách mạng bộ khỏibị tấn công... lại hoặc cho phép đi qua Danh sách điều khiển truy nhập IP (IP access control lists) khiến bộ định tuyến hủy bỏ những gói tin dựa trên những tiêu chí đặt ra của người quản trị mạng Mục đích là đế ngăn chặn những lun lượng không được phép lun thông trên mạng đó có thể là ngăn chặn kẻ phá hoại tấn công vào mạng nội bộ của công ty hay chỉ đơn giản là người sử dụng truy nhập vào tài nguyên hệ thống mà họ . tài này sẽ giới thiệu các kiến thức chung về bảo mật mạng máy tính, các công nghệ thường được sử dụng để bảo mật trên nền bộ giao thức TCP/IP, giao thức chính trên Intenet và cụ thể đi sâu. . LỜI MỞ ĐẦU Với mục đích thu thập các kiến thức cơ bản về bảo mật mạng Internet trên nền bộ giao thức TCP/IP và đi sâu nghiên cứu thiết kế hệ công nghệ bảo mật fírewall, bản đồ án này được chúng. hiếu các khái niệm cơ bản về bảo mật cùng với những kiến thức về mạng máy tính đã học được tại học viện mạng của Cisco, mong muốn xây dựng được một hệ thống bảo mật sử dụng công nghệ fírewall