HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

Khoa Viễn thông 1

BÁO CÁO CHUYÊN ĐỀ

Đề tài: Tìm hiểu về tường lửa.
Giảng viên hướng dẫn : TS.Nguyễn Chiến Trinh
Nhóm môn học : 04
Nhóm chuyên đề : 03
Sinh viên thực hiện : Bùi Tuấn Thành – B18DCVT398.
: Nguyễn Văn Sơn – B18DCVT350.
: Đỗ Văn Dũng – B18DCVT060.
: Đỗ Minh Hiếu – B18DCVT148.

Ngày nộp: 12/06/2022

Hà Nội, tháng 06 năm 2022.

 Tìm hiểu về tường lửa
LỜI GIỚI THIỆU
An toàn thông tin là nhu cầu rất quan trọng đối với cá nhân cũng như đối với xã
hội và các quốc gia trên thế giới. Mạng máy tính an toàn thông tin được tiến hành thông
qua các phương pháp vật lý và hành chính. Từ khi ra đời cho đến nay mạng máy tính đã
đem lại hiệu quả vô cùng to lớn trong tất cả các lĩnh vực của đời sống. Bên cạnh đó
người sử dụng phải đối mặt với các hiểm họa do thông tin trên mạng của họ bị tấn công.
An toàn thông tin trên mạng máy tính bao gồm các phương pháp nhằm bảo vệ thông tin
được lưu giữ và truyền trên mạng. An toàn thông tin trên mạng máy tính là một lĩnh vực
đang được quan tâm đặc biệt đồng thời cũng là một công việc hết sức khó khăn và phức
tạp. Thực tế đã chứng tỏ rằng có một tình trạng rất đáng lo ngại khi bị tấn công thông
tin trong quá trình xử lý, truyền và lưu giữ thông tin. Những tác động bất hợp pháp lên
thông tin với mục đích làm tổn thất, sai lạc, lấy cắp các tệp lưu giữ tin, sao chép các
thông tin mật, giả mạo người được phép sử dụng thông tin trong các mạng máy tính.
Tường lửa không chỉ là một dạng phần mềm (như tường lửa trên Windows), mà
nó còn có thể là phần cứng chuyên dụng trong các mạng doanh nghiệp. Các tường lửa
là phần cứng này giúp máy tính của các công ty có thể phân tích dữ liệu ra để đảm bảo
rằng malware không thể thâm nhập vào mạng, kiểm soát hoạt động trên máy tính mà
nhân viên của họ đang sử dụng. Nó cũng có thể lọc dữ liệu để chỉ cho phép một máy
tính chỉ có thể lướt web, vô hiệu hóa việc truy cập vào các loại dữ liệu khác.
Có thể thấy rằng vai trò của tường lửa là vô cùng quan trọng trong việc bảo vệ
mạng máy tính và các thiết bị truyền thông tin. Trong bài tiểu luận này chúng ta sẽ làm
cùng tìm hiểu về cấu trúc, nguyên lý hoạt động của tường lửa và cũng như một vài tường
lửa phổ biến để từ đó có những kiến thức để bảo vệ mạng máy tính của mình.

2
 Tìm hiểu về tường lửa

Mục lục
LỜI GIỚI THIỆU..................................................................................................................... 2
Danh mục hình vẽ. .................................................................................................................... 4
Chương 1: Tổng quan về tường lửa. ....................................................................................... 5
1.1 Tổng quan về tường lửa. ................................................................................................ 5
1.1.1 Tại sao phải sử dụng tường lửa. ................................................................................. 5
1.1.2 Khái niệm ................................................................................................................... 9
1.1.3 Chức năng của tường lửa ......................................................................................... 10
Chương 2: Nguyên lý hoạt động và một số loại tường lửa.................................................. 12
2.1 Cấu trúc tường lửa........................................................................................................ 12
2.2 Nguyên lý hoạt động ..................................................................................................... 13
2.3 Một số kiểu tường lửa. .................................................................................................. 14
2.3.1 Tường lửa bộ lọc gói (packet filtering firewalls). .................................................... 14
2.3.2 Máy chủ proxy ứng dụng (Application Proxy Server). ............................................ 16
2.2.3 Tường lửa Virtual Private Network (VPN). ............................................................. 18
2.2.4 Tường lửa cho văn phòng nhỏ hoặc nhà riêng (SOHO). ......................................... 19
Chương 3: Ứng dụng và cách thức vượt tường lửa ............................................................. 21
3.1 Ứng dụng. ...................................................................................................................... 21
3.2 Cách vượt tường lửa ..................................................................................................... 21
3.2.1 Thế nào là 1 web-based anonymous proxy? ............................................................ 21
3.2.2 Sử dụng phần mềm vượt tường lửa .......................................................................... 22
3.3 Thực Nghiệm Các Phương Pháp Vượt Firewall Thông Dụng ................................. 24
3.3.1 Sử dụng proxy server ............................................................................................... 24
3.3.3 Vượt tường lửa bằng công cụ của Google ................................................................ 25
3.3.4 Vượt tường lửa DNS của FPT .................................................................................. 25
3.3.5 Dùng phần mềm đặc biệt để vượt tường lửa. ........................................................... 25
Chương 4: Một số loại tường lửa .......................................................................................... 27
4.1 CYBEROAM ................................................................................................................. 27
4.2 FORTINET.................................................................................................................... 29
4.3 CISCO SA 500. .............................................................................................................. 31
KẾT LUẬN ............................................................................................................................. 34
TÀI LIỆU THAM KHẢO .......................................................................................................... 35

3
 Tìm hiểu về tường lửa

Danh mục hình vẽ.

Hình 1. 1 Quá trình truy cập dữ liệu từ máy tính khi có tường lửa và không có tường lửa ....... 5
Hình 1. 2 Sơ đồ mạng logic. ....................................................................................................... 6
Hình 1. 3 Tường lửa trong môi trường mạng LAN. ................................................................... 7
Hình 1. 4 Tác dụng của tường lửa trong việc ngăn chặn mối nguy hiểm trên Internet. ............. 9
Hình 1. 5 Mô hình tường lửa .................................................................................................... 10
Hình 1. 6 Minh họa tường lửa. ................................................................................................. 11

Hình 2. 1 Cấu trúc tường lửa. ................................................................................................... 12

Hình 2. 2 Tường cho lưu lượng tốt đi qua. ............................................................................... 14
Hình 2. 3 Tường lửa chọn lưu lượng xấu. ................................................................................ 14
Hình 2. 4 Tường lửa cài đặt ở mặt trước và sau VPN. ............................................................. 19
Hình 2. 5 Tường lửa NAT. ....................................................................................................... 20

Hình 3. 1 File U995. ................................................................................................................. 23

Hình 3. 2 Trình duyệt Firefox................................................................................................... 23

Hình 4. 1 Tường lửa Cyberoam ................................................................................................ 27

Hình 4. 2 Tường lửa Fortinet .................................................................................................... 30
Hình 4. 3 Tường lửa hãng Cisco .............................................................................................. 32
Hình 4. 4 Giao diện Cisco Configuration Assistant ................................................................. 32

4
 Tìm hiểu về tường lửa
Chương 1: Tổng quan về tường lửa.
1.1 Tổng quan về tường lửa.

1.1.1 Tại sao phải sử dụng tường lửa.

Hiện nay việc truy cập vào mạng Internet từ máy tính để xem thông tin, lấy dữ
liệu đã hết sức bình thường và phổ biến. Việc truy cập này giúp cho người sử dụng có
các thông tin cần thiết mà nó có những thông tin quan trọng mà cần phải bảo vệ, nếu
máy tính của hcunsg ta không được bảo vệ thì các hacker, virus có thể tấn công máy
tính của chúng ta để lấy cắp thông tin. Từ việc lấy cắp thông tin chúng có thể cài đặt các
đoạn mã để tấn công các file dữ liệu trên máy tính. Từ việc tấn công lên một máy tính
chúng có được dữ liệu thì chúng có thể tấn công lên hàng loạt máy tính có kết nối chung
với máy tính đã bị tấn công từ đó gây phá hoại cho người sử dụng. Vì vậy mỗi máy tính
chúng ta đều cần một thứ gì đó có thể giúp phòng ngừa và ngăn chặn các cuộc tấn công
như vậy, điều đó đã thôi thúc tạo ra tường lửa với mục đích bảo mật an toàn thông tin,
bảo vệ dữ liệu của người dùng. Tường lửa có những tính năng rất hữu hiệu trong việc
xác thực người dùng cũng như ngăn chặn các truy cập lạ từ phía bên ngoài.

Hình 1. 1 Quá trình truy cập dữ liệu từ máy tính khi có tường lửa và không có
tường lửa

Có 7 lý do cũng là điểm yếu của một thế thống mạng khi không sử dụng firewall:

#1. Không phân tách được các vùng khác nhau

Như ta đã biết, trong một doanh nghiệp vừa và lớn thì ắt hẳn sẽ có nhiều vùng mạng
khác nhau, có chức năng riêng biệt như:

 Vùng mạng nội bộ hay còn gọi vùng mạng Lan (gồm các máy tính của người
sử dụng).

5
 Tìm hiểu về tường lửa
 Vùng máy chủ nội bộ hay còn gọi là vùng server farm, với các máy chủ
chuyên cung cấp tài nguyên cho nhân viên công ty sử dụng.
 Vùng Internet (bao gồm các kết nối nhà mạng).

Việc không phân tách được các vùng mạng nêu trên và không sử dụng các chính
sách riêng cho các vùng đó sẽ dẫn đến việc khó khăn và mất an toàn trong quản lý hoạt
động của hệ thống mạng:

 Các thiết bị từ vùng mạng này kết nối trái phép tới vùng mạng khác.

 Lưu lượng mạng trong từng vùng mạng lớn do các vùng mạng kết nối lẫn nhau.

 Nguy cơ phát tán virus, malware trong hệ thống mạng..

Hình 1. 2 Sơ đồ mạng logic.

#2. Không kiểm soát được kết nối của người dùng
Trong một công ty sẽ có nhiều phòng ban, mà mỗi phòng ban lại có nhiều nhân viên
với các vị trí khác nhau. Với các vị trí phòng ban đó, phân quyền sử dụng dữ liệu của
họ cũng khác nhau. Mình lấy ví dụ như:

 Đối với nhân viên kế toán thì họ chỉ được phép sử dụng tài nguyên từ server
kế toán.

 Đối với nhân viên SBD thì được phép kết nối Internet ra bên ngoài.
6
 Tìm hiểu về tường lửa
 Đối với các trưởng phòng, họ được phép toàn quyền sử dụng tài nguyên
server của phòng ban mình.

 Đối với người quản trị hệ thống, họ được phép quản trị tất cả các thiết bị.

Do đó cần thực hiện phân quyền cho người sử dụng để họ chỉ có thể sử dụng một
số tài nguyên nhất định liên quan đến công việc của họ mà thôi.

Việc phân quyền cho người sử dụng khác với phân quyền vùng mạng. Việc không
kiểm soát được thiết bị người sử dụng còn gây nguy cơ phát tán virus, malware khi
không thể cách ly được người sử dụng thiết bị đó.

#3. Không kiểm soát được các ứng dụng mà người dùng sử dụng

Hình 1. 3 Tường lửa trong môi trường mạng LAN.

Có Firewall bạn sẽ kiểm soát được việc sử dụng các ứng dụng của người dùng

Một số công ty không cho phép nhân viên sử dụng một số ứng dụng trong giờ làm
việc để tránh bị sao nhãng, ví dụ như Youtube, Facebook, Zalo,…

Hoặc không cho phép người dùng từ bên ngoài Remote (điều khiển từ xa) vào thiết
bị bên trong mạng nội bộ của công ty, không cho phép người dùng trong mạng nội bộ
kết nối đến một số trang web nhất định.

Vâng, khi người quản trị hệ thống không thể kiểm soát được các ứng dụng mà người
sử dụng đang dùng, họ sẽ không thể ngăn chặn được nhân viên sử dụng mạng Internet
để làm việc riêng.

7
 Tìm hiểu về tường lửa
Và cũng không thể ngăn chặn được việc nhân viên cung cấp các truy cấp trái phép
cho người bên ngoài vào công ty vào các tài nguyên trong hệ thống mạng của công ty
(thông qua Remote), không ngăn chặn được nhân viên truy cập đến những trang web bị
cấm.

Việc này cũng dẫn đến khả năng người dùng kết nối đến các liên kết độc hại và tải
virus về máy. Có thể họ chỉ vô tình thôi, nhưng cái vô tình đó nhiều khi khiến cho doanh
nghiệp/ cty điêu đứng.

#4. Các mối đe dọa từ virus

Virus máy tính là một loại chương trình phần mềm độc hại mà khi thực hiện, nó sẽ
tự nhân bản bằng cách sửa đổi các chương trình máy tính khác và chèn mã riêng của nó
vào.

Khi bản sao này thành công, các khu vực bị ảnh hưởng sau đó được cho là “bị
nhiễm” với một virus máy tính. Mà một thiết bị khi bị nhiễm virus có thể gây ra:

 Tiêu tốn tài nguyên hệ thống.

 Phá hủy dữ liệu.
 Bị DDOS, Botnet..
 Phá hủy hệ thống.
 Mất cắp dữ liệu.
 Bị mã hóa dữ liệu để tống tiền
 Gây ra nhiều khó chịu khi sử dụng.

#5. Không phân biệt được nguồn tấn công

Hệ thống mạng của một công ty có thể bị tấn công từ bên ngoài và người quản trị
không thể phân biệt được đâu là những người có nhu cầu sử dụng tài nguyên của công
ty và đâu là những kẻ tấn công.

Ví dụ như người quản trị không thể phân biệt được người sử dụng với các botnet,
các địa chỉ ip cụ thể đang thực hiện tấn công vào hệ thống mạng của công ty, từ đó dẫn
đến việc không thể thực hiện được ngăn chặn cuộc tấn công.

#6. Không bảo vệ được người sử dụng trước nội dung web độc hại, nội dung
xấu
Rất nhiều trang web có chứa phần mềm độc hại, mà khi người dùng truy cập vào
trang web đó sẽ bị tự động tải phần mềm độc hại về máy của họ và bắt đầu lây nhiễm
vào hệ thống của công ty.

8
 Tìm hiểu về tường lửa
Nhiều trang web chứa nội dung độc hại, nội dung người lớn,… mà người dùng
không nên truy cập.

Hình 1. 4 Tác dụng của tường lửa trong việc ngăn chặn mối nguy hiểm trên Internet.

1.1.2 Khái niệm

Tường lửa có tên tiếng Anh là Firewall có nguồn gốc từ một kỹ thuật thiết kế
trong xây dựng để hạn chế và phòng tránh các cuộc hỏa hoạn. Còn trong công nghệ,
tường lửa được đưa vào hệ thống mạng nhằm để ngăn chặn các sự truy cập trái phép
vào các máy nhằm bảo vệ các thông tin nội bộ, các dữ liệu quan trọng cần bảo mật.
Tường lửa hoạt động như một rào chắn giữa mạng an toàn và mạng không an toàn. Nó
kiểm soát các truy cập đến nguồn lực của mạng thông qua một mô hình kiểm soát chủ
động. Nghĩa là, chỉ những traffic phù hợp với chính sách được định nghĩa trong tường
lửa mới được truy cập vào mạng, mọi traffic khác đều bị từ chối. Tường lửa có thể được
xem như một lớp lá chắn được thiết lập xung quanh các chốt để kiểm soát các luồng lưu
thông dữ liệu. Các chốt này có thể được xem như các khóa được cấu hình từ các vị trí
quan trọng để đảm bảo cho các dữ liệu có thể đi qua mà vẫn đảm bảo được độ an toàn
nhất định.

9
 Tìm hiểu về tường lửa

Hình 1. 5 Mô hình tường lửa

Trong trường hợp các máy tính có kết nối với mạng Internet riêng thì những kết nối
này có thể bị tấn công. Để các kết nối này có thể được an toàn thì tường lửa sẽ tạo ra
cách nào đó để cho phép những người sỡ hữu dữ liệu được truy cập vào còn những đối
tượng khác không hợp lệ sẽ không truy cập được, điều này giống như việc xác thực giữa
tường lửa và người sử dụng sẽ có những giao tiếp riêng biệt để có thể tránh các cuộc tấn
công từ bên ngoài.

1.1.3 Chức năng của tường lửa

Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet và
Internet. Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và
mạng Internet.

 Cho phép hoặc cấm những dịch vụ truy cập ra ngoài.

 Cho phép hoặc cấm những dịch vụ từ ngoài truy cập vào trong.
 Theo dõi luồng dữ liệu mạng giữa Internet và Intranet.
 Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập
 Kiểm soát người sử dụng và việc truy cập của người sử dụng.
 Kiểm soát nội dung thông tin lưu chuyển trên mạng.

Một Firewall sẽ kiểm tra tất cả các luồng thông tin giữa hai mạng để xem nó có đạt
chuẩn hay không. Nếu nó đạt, nó được định tuyến giữa các mạng, ngược lại nếu không
đạt firewall sẽ hủy. Một bộ lọc firewall lọc cả lưu lượng ra lẫn lưu lượng vào. Nó cũng
có thể quản lý việc truy cập từ bên ngoài vào nguồn tài nguyên mạng bên trong. Nó có
thể được sử dụng để ghi lại tất cả các cố gắng để vào mạng riêng và đưa ra cảnh báo
nhanh chóng khi kẻ thù hoặc kẻ không được phân quyền đột nhập. Firewall có thể lọc
các gói dựa vào địa chỉ nguồn, địa chỉ đích và số cổng của chúng. Điều này được gọi là

10
 Tìm hiểu về tường lửa
lọc địa chỉ. Firewall cũng có thể lọc các loại đặc biệt của lưu lượng mạng. Điều này gọi
là lọc giao thức bởi vì việc ra quyết định cho chuyển tiếp hoặc từ chối lưu lượng phụ
thuộc vào giao thức được sử dụng.

Một số Firewall có chức năng thú vị và cao cấp, đánh lừa được những kẻ xâm nhập
rằng họ đã phá vỡ được hệ thống an toàn. Về cơ bản, nó phát hiện sự tấn công và tiếp
quản nó, dẫn dắt kẻ tấn công đi theo bằng tiếp cận “nhà phản chiếu” (hall of mirrors).
Nếu kẻ tấn công tin rằng họ đã vào được một phần của hệ thống và có thể truy cập xa
hơn, các hoạt động của kẻ tấn công có thể được ghi lại và theo dõi. Nếu có thể giữ kẻ
phá hoại trong một thời gian, người quản trị có thể lần theo dấu vết của họ. Ví dụ, có
thể dùng lệnh finger để theo vết kẻ tấn công hoặc tạo tập tin “bẫy mồi” để họ phải mất
thời gian truyền lâu, sau đó theo vết việc truyền tập tin về nơi của kẻ tấn công qua kết
nối Internet.

Hình 1. 6 Minh họa tường lửa.

11
 Tìm hiểu về tường lửa
Chương 2: Nguyên lý hoạt động và một số loại tường lửa.

2.1 Cấu trúc tường lửa.

Tường lửa bao gồm một hoặc nhiều hệ thống máy chủ kết nối với các bộ định tuyến
(router) hoặc có chức năng router, các phần mềm quản lý an ninh chạy trên hệ thống
máy chủ; thông thường đó là các hệ quản trị xác thực (Authentication), cấp quyền
(Authorization) và kế toán (Accounting).

Hình 2. 1 Cấu trúc tường lửa.

Một tường lửa bao gồm một hay nhiều thành phần sau:

 Bộ lọc gói (packet filter).

 Cổng ứng dụng (Application level gateway hay Proxy server).
 Cổng mạch ( Circuite level gateway).

Bộ lọc gói chọn lọc các gói định tuyến giữa các máy bên trong và bên ngoài theo
các quy tắc phản ánh chính sách an ninh mạng của tổ chức. Lọc gói có thể xảy ra trong
một bộ định tuyến, trong một cầu nối, hoặc trên một máy chủ riêng lẻ và hoạt động ở
lớp mạng. Bộ định tuyến sàng lọc chuyển hoặc từ chối một gói IP dựa trên thông tin có
trên tiêu đề gói. Thông tin chính được sử dụng là: - Địa chỉ IP nguồn và đích - Bằng
cách lọc các gói trên nguồn IP và địa chỉ đích bộ lọc có thể chặn hiệu quả quyền truy
cập vào hoặc từ bất kỳ trang web hoặc máy chủ lưu trữ nào không đáng tin cậy. Nguồn
và cổng đích TCP hoặc UDP - Bộ lọc sử dụng tốt TCP "các cổng đã biết "để cho phép,
từ chối hoặc định tuyến lại quyền truy cập vào các dịch vụ Internet cụ thể.

Cổng ứng dụng là các chương trình ứng dụng hoặc máy chủ chuyên biệt chạy trên
tường lửa chủ nhà. Các chương trình này cung cấp một rào cản an toàn giữa người dùng

12
 Tìm hiểu về tường lửa
nội bộ và Internet. Thay vì kết nối trực tiếp với Internet bằng trình duyệt World Wide
Web, người dùng nội bộ kết nối với cổng cấp ứng dụng thay thế. Sau đó, cổng cấp ứng
dụng thiết lập kết nối với yêu cầu máy chủ web trên toàn thế giới trên Internet và hoạt
động như một thiết bị chuyển tiếp cho phiên. Cổng ứng dụng hoạt động ở lớp ứng dụng
và do đó có thể cung cấp các điều khiển truy cập tại cấp độ giao thức ứng dụng và có
thể xử lý lưu lượng truy cập lưu trữ và chuyển tiếp.

Cổng mạch là một loại cổng cấp ứng dụng khác. Cổng mạch đơn giản là chuyển
tiếp kết nối telnet qua tường lửa mà không thực hiện kiểm tra, lọc hay điều khiển các
thủ tục telnet nào. Cổng mạch làm việc như một sợi dây, sao chép các byte giữa kết nối
bên trong (inside connection) và các kết nối bên ngoài (outside connection). Tuy nhiên,
vì sự kết nối này xuất hiện từ hệ thống tường lửa, nó che giấu thông tin về mạng nội bộ.
Cổng mạch thường được sử dụng cho các kết nối ra bên ngoài, nơi mà các quản trị mạng
thực sự tin tưởng nội bộ của mình.

2.2 Nguyên lý hoạt động

Rất dễ dàng để sự an toàn của chúng ta vượt khỏi tầm tay. Chỉ cần một người
bất kỳ với một modem mạng cũng có thể xâm nhập vào mạng LAN của chúng ta.

Tường lửa là một tập hợp các chương trình có liên quan, được đặt tại một máy chủ
cổng mạng để bảo vệ tài nguyên của một mạng riêng từ người dùng từ các mạng khác.
Doanh nghiệp có mạng nội bộ cho phép nhân viên của mình truy cập vào Internet, cài
đặt tường lửa để ngăn người ngoài truy cập vào tài nguyên dữ liệu riêng tư của mình và
để kiểm soát tài nguyên bên ngoài, người dùng của chính nó có quyền truy cập.

Về cơ bản, tường lửa, hoạt động chặt chẽ với chương trình bộ định tuyến, kiểm tra
từng mạng gói để xác định xem có chuyển tiếp nó tới đích hay không. Tường lửa cũng
bao gồm hoặc hoạt động với máy chủ proxy thực hiện các yêu cầu mạng thay mặt cho
người dùng máy trạm. Tường lửa thường được cài đặt trong máy tính được chỉ định đặc
biệt tách biệt với phần còn lại của mạng để không có yêu cầu đến trực tiếp tại tài nguyên
mạng riêng.

Có một số phương pháp sàng lọc tường lửa. Một cách đơn giản là sàng lọc các yêu
cầu để thực hiện chắc chắn rằng chúng đến từ các địa chỉ tên miền và Giao thức Internet
được chấp nhận. Đối với người dùng di động, tường lửa cho phép truy cập từ xa vào
mạng riêng bằng cách sử dụng các quy trình đăng nhập an toàn và xác thực chứng chỉ.

Ví dụ, hình ảnh mô tả bên dưới cho thấy cách tường lửa cho phép lưu lượng truy
cập tốt vào mạng riêng của người dùng.

13
 Tìm hiểu về tường lửa

Hình 2. 2 Tường cho lưu lượng tốt đi qua.

Tuy nhiên, trong ví dụ dưới đây, tường lửa chặn lưu lượng độc hại xâm nhập vào
mạng riêng, do đó bảo vệ mạng của người dùng khỏi bị tấn công mạng.

Hình 2. 3 Tường lửa chọn lưu lượng xấu.

Các quy tắc này dựa trên một số khía cạnh được chỉ ra bởi dữ liệu gói, như nguồn,
đích, nội dung của chúng,… chúng chặn lưu lượng truy cập đến từ các nguồn đáng ngờ
để ngăn chặn các cuộc tấn công mạng. Bằng cách này, tường lửa thực hiện các đánh giá
nhanh chóng để phát hiện phần mềm độc hại và các hoạt động đáng ngờ khác. Có nhiều
loại tường lửa khác nhau để đọc các gói dữ liệu ở các lớp mạng khác nhau.

2.3 Một số kiểu tường lửa.

2.3.1 Tường lửa bộ lọc gói (packet filtering firewalls).

Tường lửa bộ lọc gói, loại tường lửa đầu tiên, là các bộ định tuyến kiểm tra nội dung
của địa chỉ nguồn hoặc địa chỉ đích và cổng của các gói TCP, UDP và ICMP đến hoặc
đi được gửi giữa các mạng và chấp nhận hoặc từ chối gói dựa trên các chính sách đặt ra
trong chính sách bảo mật của tổ chức. Một bộ lọc gói, hoạt động ở lớp mạng, được lập
trình để so sánh từng gói với danh sách các quy tắc được đặt ra từ chính sách bảo mật

14
 Tìm hiểu về tường lửa
của tổ chức, trước khi quyết định xem nó có nên được chuyển tiếp hay không. Dữ liệu
chỉ được phép chuyển tiếp nếu thỏa mãn các điều kiện của tương lửa.

Hai kiểu lọc gói được sử dụng trong quá trình kiểm tra gói: lọc tĩnh (static) hoặc lọc
phi trạng thái (stateless filtering) trong đó gói được lọc tách biệt với ngữ cảnh và lọc
trạng thái (stateful filtering) trong đó gói được lọc dựa trên ngữ cảnh của gói. Xu hướng
hiện nay đối với hầu hết các tường lửa là sử dụng tính năng lọc trạng thái.

Lọc tĩnh hoặc lọc phi trạng thái là một máy chủ cơ sở truyền thông song công cho
phép giao tiếp hai chiều dựa trên các quy tắc lọc nghiêm ngặt. Mỗi sơ đồ dữ liệu đi vào
máy chủ từ mạng “xấu” bên ngoài mạng công ty hoặc từ trong mạng đều được kiểm tra
dựa trên các quy tắc lọc đặt trước. Các quy tắc chỉ áp dụng cho thông tin có trong gói và
bất kỳ thông tin nào khác như trạng thái kết nối giữa máy khách và máy chủ đều bị bỏ
qua.

Bộ lọc trạng thái cũng là một máy chủ pháo đài truyền thông song công. Tuy nhiên,
không giống như tường lửa lọc gói thẳng, nó lọc mọi gói dữ liệu đi vào máy chủ từ bên
trong và bên ngoài mạng dựa trên ngữ cảnh đòi hỏi một bộ tiêu chí và hạn chế phức tạp
hơn. Đối với mỗi gói, tường lửa kiểm tra ngày và trạng thái kết nối giữa máy khách và
máy chủ. Bởi vì kiểu lọc này chú ý đến tải trọng dữ liệu của mỗi gói, do đó, nó hữu ích
hơn và tất nhiên là phức tạp hơn. Việc kiểm tra phần dữ liệu của gói rất hữu ích trong
việc phát hiện dữ liệu có vấn đề như tệp đính kèm và dữ liệu từ các máy trạm không
được kết nối trực tiếp với máy chủ. Yêu cầu từ hoặc đến máy trạm của bên thứ ba và
máy chủ tới máy chủ được kiểm tra nghiêm ngặt dựa trên cơ sở quy tắc và được tường
lửa ghi lại.

Cho dù tĩnh hay trạng thái, các quy tắc mà máy chủ lọc tuân theo được xác định dựa
trên chính sách bảo mật mạng của tổ chức và chúng dựa trên thông tin sau trong gói tin:

• Địa chỉ nguồn: Tất cả các gói gửi đi phải có địa chỉ nguồn bên trong mạng. Các
gói đến không bao giờ được có địa chỉ nguồn là nội bộ.
• Địa chỉ đích: Tương tự, tất cả các gói tin gửi đi không được có địa chỉ đích địa
chỉ nội bộ của mạng. Mọi gói tin gửi đến đều phải có đích địa chỉ nội bộ của mạng.
• Số cổng đích và nguồn TCP hoặc UDP.
• Dạng thông báo ICMP.
• Kiểu dữ liệu trọng tải.
• Khởi tạo kết nối và lập sơ đồ bằng cách sử dụng bit TCP ACK.

Bộ lọc gói dựa trên địa chỉ IP, số cổng, ACK và số thứ tự, trên các tiêu đề TCP,
UDP và ICMP và trên ứng dụng, có thể xảy ra ở bất kỳ một trong các lớp ngăn xếp
TCP/IP:

15
 Tìm hiểu về tường lửa
• Lớp liên kết cung cấp địa chỉ vật lý của các thiết bị trên cùng một mạng. Tường
lửa hoạt động trên lớp liên kết thường thả các gói dựa trên địa chỉ MAC của các máy
trạm đang giao tiếp.
• Lớp mạng chứa các tiêu đề giao thức Internet (IP) hỗ trợ giải quyết trên các
mạng. Các tiêu đề IP được kiểm tra.
• Lớp truyền tải chứa các tiêu đề TCP, UDP và ICMP và cung cấp các luồng dữ
liệu giữa các máy trạm. Hầu hết các tường lửa hoạt động ở lớp mạng và lớp truyền tải
và kiểm tra các tiêu đề này.
• Lớp ứng dụng chứa các giao thức dành riêng cho ứng dụng như HTTP, FTP,...
Việc kiểm tra các giao thức dành riêng cho ứng dụng có thể được tính toán tốn kém vì
cần phải kiểm tra nhiều dữ liệu hơn.

2.3.2 Máy chủ proxy ứng dụng (Application Proxy Server).

Thay vì đặt bộ lọc dựa trên địa chỉ IP, số cổng và số thứ tự, có thể chặn một số dịch
vụ từ những người dùng trong mạng được bảo vệ đang cố gắng truy cập các dịch vụ cụ
thể, có thể lọc lưu lượng dựa trên các dịch vụ phổ biến trong tổ chức. Xác định bộ lọc
để chỉ các gói từ các dịch vụ được sử dụng phổ biến mới được phép vào mạng tổ chức
và từ chối bất kỳ gói nào không phải từ các ứng dụng cụ thể. Các máy chủ tường lửa
như vậy được gọi là máy chủ proxy.

Máy chủ proxy là một máy chủ nằm giữa ứng dụng khách và máy chủ cung cấp các
dịch vụ mà ứng dụng khách có thể muốn. Nó hoạt động như một máy chủ đối với máy
khách và như một máy khách đối với máy chủ, do đó là một proxy, cung cấp mức lọc
cao hơn máy chủ lọc gói bằng cách kiểm tra các luồng dữ liệu gói ứng dụng riêng lẻ.
Khi mỗi luồng dữ liệu đến được kiểm tra, một proxy ứng dụng thích hợp được tạo bởi
máy chủ cho ứng dụng cụ thể đó. Người được ủy quyền kiểm tra luồng dữ liệu và đưa
ra quyết định chuyển tiếp, loại bỏ hoặc chuyển đến để kiểm tra thêm. Mỗi một trong
những máy chủ đặc biệt này được gọi là một máy chủ proxy.

Tường lửa proxy hoạt động bằng cách trước tiên chặn một yêu cầu từ máy trạm lưu
trữ trên mạng nội bộ và sau đó chuyển nó đến đích. Nhưng trước khi chuyển nó, proxy
sẽ thay thế địa chỉ nguồn IP trong gói bằng địa chỉ IP của chính nó và sau đó chuyển nó.
Khi nhận được gói từ mạng bên ngoài, proxy sẽ kiểm tra gói, thay thế địa chỉ đích IP
của chính nó trong gói bằng địa chỉ IP của máy trạm nội bộ và chuyển nó đến máy trạm
nội bộ. Tường lửa proxy hiện đại cung cấp ba hoạt động cơ bản:

 Ẩn địa chỉ IP của máy trạm: Khi máy trạm bên trong mạng đáng tin cậy gửi một
yêu cầu ứng dụng đến tường lửa và tường lửa cho phép yêu cầu thông qua
Internet bên ngoài, một kẻ dò tìm ngay bên ngoài tường lửa có thể tìm thấy gói

16
 Tìm hiểu về tường lửa
và nó sẽ làm lộ địa chỉ IP nguồn. . Máy trạm sau đó có thể là một nạn nhân tiềm
năng của cuộc tấn công. Trong ẩn địa chỉ IP, tường lửa thêm vào gói máy chủ
tiêu đề IP của chính nó. Vì vậy, trình thám thính sẽ chỉ thấy địa chỉ IP của tường
lửa.
 Hủy tiêu đề: Một biện pháp bảo vệ tự động mà một số tường lửa ứng dụng sử
dụng để phá hủy các tiêu đề TCP, UDP và IP của gói gửi đi và thay thế chúng
bằng các tiêu đề riêng để kẻ dò tìm bên ngoài tường lửa sẽ chỉ thấy địa chỉ IP
của tường lửa. Trên thực tế, hành động này dừng tất cả các kiểu tấn công tiêu đề
TCP, UDP và IP.
 Thực thi giao thức: Vì tường lửa lọc gói thông thường cho phép các gói thông
qua dựa trên số cổng phổ biến, tin tặc đã khai thác điều này bằng cách giả mạo
cổng trong đó tin tặc xâm nhập vào một máy trạm mạng được bảo vệ bằng cách
sử dụng các số cổng được phép phổ biến và dễ dàng. Với tường lửa proxy ứng
dụng, điều này không dễ thực hiện vì mỗi proxy hoạt động như một máy chủ đối
với mỗi máy trạm và vì nó chỉ xử lý một ứng dụng nên nó có thể ngăn chặn mọi
hoạt động giả mạo cổng.

Một số ứng dụng Web phổ biến được lọc dựa trên số cổng của chúng như sau:

• HTTP (cổng 80).

• FTP (cổng 20 và 21).
• SSL (cổng 443).
• Gopher (cổng 70).
• Telnet (cổng 23).
• Mail (cổng 25).

Tường lửa proxy chia thành hai loại: proxy ứng dụng và SOCKS.

2.2.2.1 Proxy ứng dụng.

Các proxy cấp ứng dụng tự động hóa các quy trình lọc và chuyển tiếp cho máy
khách. Ứng dụng khách bắt đầu quá trình bằng cách liên hệ với tường lửa. Proxy daemon
trên tường lửa nhận yêu cầu, xử lý và nếu nó được chấp nhận, kết nối nó với máy chủ
trong mạng ngoài. Nếu có bất kỳ phản hồi nào, nó sẽ đợi và trả lại dữ liệu cho ứng dụng
khách.

Máy chủ proxy đang xử lý tất cả các thông tin liên lạc, họ có thể ghi lại mọi thứ họ
(bạn) làm. Đối với proxy HTTP (web), điều này bao gồm rất URL mà bạn thấy. Đối với
proxy FTP, điều này bao gồm mọi tệp bạn tải xuống. Họ thậm chí có thể lọc ra các từ
"không phù hợp" từ các trang web bạn truy cập hoặc quét vi-rút. Máy chủ proxy ứng
dụng có thể xác thực người dùng. Trước khi kết nối với bên ngoài được thực hiện, máy
17
 Tìm hiểu về tường lửa
chủ có thể yêu cầu người dùng đăng nhập trước. Khi đăng nhập, họ có thể xác thực ứng
dụng cũng như người dùng thông qua cơ chế xác thực chi tiết bao gồm mật khẩu dùng
một lần.

Có hai mô hình trong thiết kế tường lửa ứng dụng: một mô hình bảo mật tích cực,
thực thi các hành vi tích cực; và một mô hình bảo mật tiêu cực, ngăn chặn các cuộc tấn
công đã được phát hiện.

 Mô hình bảo mật tích cực

Mô hình bảo mật tích cực thực thi hành vi tích cực bằng cách học logic ứng dụng
và sau đó xây dựng chính sách bảo mật cho các yêu cầu hợp lệ đã biết khi người dùng
tương tác với ứng dụng.

 Mô hình bảo mật phủ định

Không giống như mô hình tích cực tạo ra chính sách dựa trên hành vi của người
dùng, mô hình tiêu cực mô hình bảo mật dựa trên cơ sở dữ liệu được xác định trước về
các chữ ký “không thể chấp nhận được”.

2.2.2.2 SOCKS Proxy.

SOCKS proxy là một máy chủ mức mạch. Nó cho phép các gói mạng bắt nguồn từ
các nguồn không bị cấm đi qua mà không cần xem nội dung của chính gói đó. Nó thực
hiện điều này bằng cách hoạt động giống như một nhà điều hành tổng đài, người kết nối
xuyên dây thông qua hệ thống để kết nối bên ngoài mà không quan tâm đến nội dung
của kết nối chỉ chú ý đến tính hợp pháp của kết nối.

SOCKS nhanh hơn proxy cấp ứng dụng vì chúng không mở gói ra. Mặc dù chúng
không thể cung cấp để xác thực người dùng, chúng có thể ghi lại và theo dõi các hoạt
động của mỗi người dùng như nơi họ được kết nối.

2.2.3 Tường lửa Virtual Private Network (VPN).

VPN có thể được tạo bằng cách sử dụng một máy tính từ xa kết nối với mạng tin
cậy hoặc kết nối hai trang mạng công ty. Trong cả hai trường hợp và ở cả hai đầu của
đường hầm, máy chủ VPN cũng có thể hoạt động như một máy chủ tường lửa. Tuy
nhiên, hầu hết các máy chủ tường lửa đều cung cấp tính năng bảo vệ VPN chạy song
song với các chế độ xác thực và kiểm tra khác trên máy chủ. Mỗi gói tin đến tường lửa
sau đó sẽ được chuyển qua một mô-đun kiểm tra và xác thực hoặc một mô-đun VPN.

Tường lửa VPN thường được cài đặt ở cuối máy chủ của VPN, ở mặt trước hoặc
mặt sau của máy chủ VPN. Khi tường lửa được cài đặt ở mặt sau của một máy chủ VPN,
nó được cấu hình với các bộ lọc để chỉ cho phép các gói tin VPN cụ thể truyền đi. Tương
18
 Tìm hiểu về tường lửa
tự, khi tường lửa được cài đặt ở mặt trước của một VPN, tường lửa được cấu hình để
chỉ cho phép dữ liệu đường hầm trên giao diện Internet của nó được truyền tới máy chủ.

Hình 2. 4 Tường lửa cài đặt ở mặt trước và sau VPN.

2.2.4 Tường lửa cho văn phòng nhỏ hoặc nhà riêng (SOHO).

Tường lửa SOHO là một tường lửa tương đối nhỏ kết nối một số máy tính thông
qua một trung tâm, một bộ chuyển mạch, một cầu nối, và thậm chí một bộ định tuyến ở
một bên và kết nối với một modem băng thông rộng như DSL hoặc cáp khác. Cấu hình
có thể ở văn phòng nhỏ hoặc nhà riêng.

Trong một mạng đang hoạt động, mọi máy trạm được gán một địa chỉ IP. Trong
một mạng cố định mà các địa chỉ này là tĩnh, tin tặc sẽ dễ dàng nắm giữ một máy trạm
và sử dụng nó để thực hiện các cuộc tấn công vào các máy trạm khác trong và ngoài
mạng. Để ngăn điều này xảy ra, một bộ lọc NAT có thể được sử dụng. Nó ẩn tất cả thông
tin TCP/IP bên trong máy trạm. Tường lửa NAT thực sự hoạt động như một máy chủ
proxy bằng cách ẩn danh tính của tất cả các máy trạm nội bộ và thực hiện các yêu cầu
thay mặt cho tất cả các máy trạm nội bộ trên mạng. Điều này có nghĩa là với một máy
trạm bên ngoài, tất cả các máy trạm nội bộ đều có một địa chỉ IP công cộng của NAT.

Khi NAT nhận được yêu cầu từ máy trạm nội bộ, nó sẽ thay thế địa chỉ IP của máy
trạm bằng địa chỉ IP của chính nó. Tất cả các gói liên kết bên trong đều có địa chỉ IP của
NAT làm địa chỉ đích của chúng.

19
 Tìm hiểu về tường lửa

Hình 2. 5 Tường lửa NAT.

20
 Tìm hiểu về tường lửa
Chương 3: Ứng dụng và cách thức vượt tường lửa
3.1 Ứng dụng.
Tường lửa mang đến nhiều tác dụng có lợi cho hệ thống máy tính. Cụ thể:

- Tường lửa ngăn chặn các truy cập trái phép vào mạng riêng. Nó hoạt động như
người gác cửa, kiểm tra tất cả dữ liệu đi vào hoặc đi ra từ mạng riêng. Khi phát
hiện có bất kỳ sự truy cập trái phép nào thì nó sẽ ngăn chặn, không cho traffic đó
tiếp cận đến mạng riêng.
- Tường lửa giúp chặn được các cuộc tấn công mạng. - Firewall hoạt động như
chốt chặn kiểm tra an ninh. Bằng cách lọc thông tin kết nối qua internet vào mạng
hay máy tính cá nhân.
- Dễ dàng kiểm soát các kết nối vào website hoặc hạn chế một số kết nối từ người
dùng mà doanh nghiệp không mong muốn.
- Bạn có thể tùy chỉnh tường lửa theo nhu cầu sử dụng. Bằng cách thiết lập các
chính sách bảo mật phù hợp.
 Tường lửa trong điện toán đám mây
Đối với người dùng hiện nay thì điều quan trọng nhất là một hệ thống CNTT hay một
website phải luôn hoạt động thì các công việc liên quan mới có thể đi vào hoạt động.
Tường lửa trên nền điện toán đám mây được cấu hình cho phép giữ những thông lượng
mạng tốt và lược bỏ những thông lượng không tốt, bảo đảm cho hệ thống uptime
99,99%.

 Ưu điểm của tường lửa điện toán đám mây - Cloud Firewall
- Tính sẵn sàng cao: Cloud Firewall được kiến trúc với cách tiếp cận điều khiển
bằng hệ thống để đảm bảo mức độ sẵn sàng cao nhất.
- Trang bị VPN ( mạng riêng ảo): dịch vụ Cloud Firewall cung cấp năng lực
VPN để loại bỏ nhu cầu cho nhiều thiết bị
- Hiệu suất cao: Cloud Firewall có khả năng xử lý lượng tải thông lượng mạng
vào giờ cao điểm để đảm bảo hiệu suất lớn nhất ngay cả của những môi trường
phức tạp nhất.

3.2 Cách vượt tường lửa

3.2.1 Thế nào là 1 web-based anonymous proxy?

Web-based Anonymous Proxy là 1 dạng khác của Web Proxy Server, nhưng
được xây dựng dưới dạng 1 trang web. Sau đây là các đặc điểm khác biệt của nó so
với Web Proxy :
- Dễ dàng, thân thiện với người dùng do được Proxy tích hợp sẵn bên trong
trang Web, người dùng chỉ cần cung cấp địa chỉ trang web cần đến (URL)
cho WBP và bắt đầu duyệt web. Ngoài ra ngư ờ i dùng không cần phải tinh
chỉnh các thông số khác địa chỉ IP của WBP, số hiệu cổng,.. cho trình duyệt
của mình, chỉ cần biết tên hoặc IP củ WBP và link đến WBP này.
21
 Tìm hiểu về tường lửa
- Khi được các client yêu cầu, WBP sẽ lấy các thông tin (Resource) từ web server
đích, sau đó xây dựng lại thành 1 trang web hoàn chỉnh rồi đẩy toàn bộ nội
dung trang web hoàn chỉnh này về cho trình duyệt củ Client. Thường thì trình
duyệt phí Client sẽ nhận được trang web mình yêu cầu có đính kèm theo phần
tiêu đề của WBP.
- Có khả năng chọn lọc các web page components khi được yêu cầu. VD: quyết
định xem có cho phép sử dụng cookies,hình ảnh,javascript,cửa sổ pop- up,...
trong trang web hay không.
- Do bản chất là “lướt web ẩn danh” thông qua 1 trang web trung gian nên các
gói tin request của Client gần như giống hoàn toàn với các gói tinHTTP
request thông thường .Vì vậy các phần mềm lọc gói tin sẽ khó lòng phát hiện
ra đâu là gói tin “có vấn đề”.
- Đị chỉ 1 số các WBP tham khảo khác trên internet :
http://www.anonymization.net
http://www.anonymizer.com
http://www.stayinvisible.com
http://www.proxify.com
http://www.silentsuft.com

3.2.2 Sử dụng phần mềm vượt tường lửa

Xin giới thiệu phần mềm ULTRASURF, dễ dùng, đơn giản.

- Down load UltraSurf 9.97.
- Khi chạy file U995.exe, giao diện chương trình sẽ hiện lên, góc phải
dưới màn hình sẽ xuất hiện hình ổ khoá, và trình duyệt Internet
Explorer sẽ tự động hiện lên. Xong, giờ chỉ cần gõ đị chỉ trang web cần
xem.

22
 Tìm hiểu về tường lửa

Hình 3. 1 File U995.

- Khi không muốn vượt tường lửa nữa , bạn nhấn chuột phải vào hình ổ khoá
chọn exit:
- Với trình duyệt Firefox, bạn cần cài thêm addon để chạy U995.exe,. Tải về
và giải nén, sau đó bạn kéo file wjbutton_en.xpi vừa giải nén được vào cửa
sổ trình duyệt Firefox. Nhấn nút Install. Sau đó khởi động lại Firefox và bật
U995.exe lên.
- Dưới cùng trình duyệt Firefox sẽ xuất hiện dòng chữ màu đỏ WJ Disabled.
Nhấn chuột trái vào dòng chữ đó . Xong, bạn có thể vào các trang bị tường
lửa bình thường. Nếu không muốn vượt tường lửa nữa , bạn nhấn chuột vào
dòng chữ đó 1 lần nữa .

Hình 3. 2 Trình duyệt Firefox.

Sử dụng trình duyệt web Oper 10 v i công nghệ Turbo:
Trích dẫn: "Oper 10 được tích hợp thêm tính năng Oper Turbo giúp bạn
tăng tốc lướt web khi sử dụng đường truyền chậm. Oper Turbo sử dụng server củ
Opera để tối ưu hoá đường truyền và nén dữ liệu để tăng cường tốc độ. Với công
23
 Tìm hiểu về tường lửa
nghệ nén tiên tiến, Oper Turbo sẽ nén dữ liệu lại từ 2 đến 3 lần trước khi tải về,
đồng nghĩa với việc lưu lượng sử dụng của bạn sẽ giảm xuống và việc tải web sẽ
nhanh hơn rất nhiều." -> vì dữ liệu tải về đã được nén trước và thông qua trung gian
là server củ Oper nên sẽ không bị tường lửa chặn .

- Tải Opera 10.10.1767b Portable tại: http://www.mediafire.com/?ygmyyoh03om

(11.88 MB)

- Sau khi tải về, giải nén và chạy file Opera.exe để mở trình duyệt lên và duyệt
web bình thường (không cần cài đặt, tính năng Turbo đã mở sẵn).

3.3 Thực Nghiệm Các Phương Pháp Vượt Firewall Thông Dụng

3.3.1 Sử dụng proxy server

Có rất nhiều proxy server miễn phí trên mạng. Các bạn có thể tìm danh sách
này bằng Google với từ khoá"free proxy". Các proxy server được viết dưới dạng:
Customer-148-223-48-114.uninet.net.mx:80 hoặc 163.24.133.117:80 Trong đó
phần trước dấu ":" là địa chỉ, và phần sau đó là cổng. Nên chọn các proxy có
cổng "tiêu chuẩn" (ví dụ cổng 80) vì các cổng "không tiêu chuẩn" (ví dụ 3128 hay
8080) có thể bị chặn bởi tường lửa ở Việt Nam.

Trong các trình duyệt đều có chức năng thiết lập proxy.
- Internet Explorer: Vào Tools, Internet Options, Connections, LAN settings, rồi
trong phần “Proxyserver”, điền vào đị chỉ IP và số cổng.

- FireFox: Vào Tools, Options, Adv nced, Network, bấm vào nút Settings, chọn
“Manual proxy configuration”, rồi trong hàng HTTP Proxy, điền vào địa chỉ IP
và số cổng.

Dùng Anonymizer web / web proxy để vượt tường lửa

Anonymizer là những dịch vụ giúp người dùng lướt mạng một cách kín đáo
và giúp đi xuyên qua tường lửa . Dịch vụ nonymizer căn bản chỉ là những trang
web proxy. Người ta vào các trang web đó , rồi đánh vào địa chỉ của trang web đã
bị ngăn chặn. Các trang web nonymizer sẽ làm công việc trung gian chuyển tải nội
dung trang web bị chặn xuống đến máy vi tính của người lướt web.

Ta không cần phải download phần mềm nào cả, không cài đặt gì cả, không sửa
24
 Tìm hiểu về tường lửa
đổi gì trong browser của mình cả, chỉ duy nhất đến trang web cung cấp dịch vụ
nonymizer.

Những trang nonymizer phổ thông như:

- www.anonymouse.org
- www.go2-web.appspot.com/
- www.shadowsurf.com
- www.blackproxy.eu/
- https://proxify.com/
- www.proxyforall.com
- www.proxeasy.com.

3.3.3 Vượt tường lửa bằng công cụ của Google

Google hiện nay đang cung cấp dịch vụ Web Acceler tor, mà thực chất là một
dạng proxy. Chỉ cần tải phần mềm trên trang Google về, và cài đặt trên máy là
bạn có thể dùng bất cứ trình duyệt nào cũng có thể truy cập các trang qua nói
trê n.

Google còn cung cấp phương tiện chuyển ngữ trang Web (Translation
service), khá tiện cho việc vượt tường lửa.

3.3.4 Vượt tường lửa DNS của FPT

FPT chỉ chặn Internet bằng DNS firewall, do đó nếu không dùng DNS củ
FPT thì bạn có thể truy cập các trang bị chặn dễ dàng.

Để thay đổi DNS của FPT connection, mở Local Area Connection Properties,
chọn giao thức TCP/IP, mở Properties, chọn mục "Use the following DNS server
addresses", gõ vào đó địa chỉ DNS Serrver mới, chẳng hạn 4.2.2.2 và 4.2.2.1.

3.3.5 Dùng phần mềm đặc biệt để vượt tường lửa.

Có một số phần mềm có thể dùng trong việc vượt tường lửa để xem các trang
web bị ngăn chặn.

- Gtunnel: http://gardennetworks.com/download/GTunnel.zip cài đặt và sử dụng

với IE.

- Tor: http://www.torproject.org/ sau khi download về, cần phải định hình
browser. Để gọn hơn, dùng torpark là một gói phần mềm miễn phí.
25
 Tìm hiểu về tường lửa
Tìm phầm mềm torpark trên net, dùng keyword “torpark”. Torpark đã dừng
lại ở ấn bản 1.5.0.7. Thay thế nó là xB Browser.

- xB Browser: http://xerobank.com/xB_Browser.php - Phần mềm này là hậu

thân của torpark, Nếu sử dụng với tính cách cá nhân thì có thể dùng xB
Browser miễn phí. Download nó xuống, cài đặt và dùng xB Browser như khi
dùng IE hay FireFox để vượt tường lửa xem các trang web bị chặn.

- Ultr Suft: : http://www.ultrareach.com/ vì các trang web của Pháp Luân Công
bị chặn bởi Trung Quốc họ mới thành lập công ty Ultraresearch Internet Corp
để thực hiện phần mềm UltraSuft miễn phí cho người dân Trung Quốc vượt
tường lửa.

- GProxy: http://gpass1.com/gproxy/gproxy.xpi đây là một đoạn add-ons dành

riêng cho Firefox.

26
 Tìm hiểu về tường lửa
Chương 4: Một số loại tường lửa

4.1 CYBEROAM

Tường lửa phần cứng của Cyberoam cung cấp khả năng kiểm tra gói tin sâu và rõ
ràng để bảo mật mạng, ứng dụng và bảo mật dựa trên danh tính người dùng. Do đó,
Cyberoam UTM Firewall bảo vệ các tổ chức khỏi các cuộc tấn công DoS, DDoS và IP
Spoofing.

Thiết bị tường lửa dựa trên Nhận dạng Con người Lớp 8 đang chờ cấp bằng sáng
chế của Cyberoam cho phép các chính sách dựa trên hồ sơ công việc và một giao diện
duy nhất để tạo chính sách trên tất cả các tính năng của UTM, giúp dễ quản lý và bảo
mật cao với tính linh hoạt.

Hình 4. 1 Tường lửa Cyberoam

Tính sự miêu tả yếu tố Lợi ích

năng

Bảo mật  Tường lửa phần cứng với tạo  Bảo vệ các môi trường IP
dựa trên nhận chính sách dựa trên danh tính động như Wi-Fi và các trường
dạng con hợp người dùng chia sẻ các điểm
 Tiêu chí kiểm soát truy cập
người Lớp 8 cuối
(ACC) - Định danh người dùng,
Vùng nguồn & đích, MAC và địa chỉ  Việc ra quyết định dựa
IP, Dịch vụ trên danh tính người dùng ngăn
ngừa các lỗi liên quan đến các
chính sách dựa trên địa chỉ IP

27
 Tìm hiểu về tường lửa

 Đơn giản hóa các yêu cầu

kiểm tra với nhận dạng người
dùng tức thì

Công  Tạo chính sách cho nhiều tính  Kết hợp Bảo mật, Kết nối,
nghệ FUSION năng bảo mật thông qua một giao Năng suất
diện duy nhất trong tường lửa
 Cung cấp bảo mật ngoại vi
 Tường lửa được tích hợp tốt tích hợp
với VPN, IPS, Chống vi-rút & chống
phần mềm gián điệp, Chống thư rác,
Lọc web, Quản lý băng thông, Quản
lý nhiều liên kết

Hỗ trợ  Xác thực ứng dụng khách  Hỗ trợ triển khai SaaS và
khách hàng mỏng với ID phiên môi trường đám mây
mỏng
 Hỗ trợ máy chủ Citrix –
XenApp, Microsoft Windows Server
(Microsoft TSE)

 Các chính sách dựa trên danh

tính trong môi trường khách hàng
mỏng

Bảo mật  Tường lửa UTM với Tính khả  Thời gian hoạt động
cấp doanh dụng cao với chuyển đổi dự phòng nhanh hơn, giảm độ trễ, cấu hình
nghiệp trạng thái đơn giản hóa, hỗ trợ phát triển
mạng nhanh chóng
 Nhiều vùng an ninh
 Hỗ trợ tạo các nhóm dựa
 Thiết bị tường lửa cung cấp
trên hồ sơ công việc trên các vị trí
Định tuyến động
phân tán
 Hỗ trợ VLAN
 Cho phép lưu trữ an toàn
 Khả năng máy chủ ảo các máy chủ bên trong mạng
 Đa đúc
LAN và DMZ, sử dụng hiệu quả
nhóm địa chỉ công cộng hạn chế
để lưu trữ các dịch vụ

28
 Tìm hiểu về tường lửa

 Công nghệ đa lõi cho phép xử  Hỗ trợ các ứng dụng hoạt
lý song song tốc độ cao động trên các bản cập nhật thời
gian thực như cập nhật chứng
 Tường lửa được ICSA chứng
khoán cho các tổ chức tài chính
nhận
 Thông lượng cao
 Dấu kiểm Cấp độ 5 được
chứng nhận

Quản lý  Bảo mật tập trung với CCC  Đơn giản hóa quản lý bảo
tập trung mật

Ghi nhật  Báo cáo dựa trên nhận dạng Đáp ứng các yêu cầu tuân thủ
ký & Báo cáo lớp 8 đối với CIPA, HIPAA, PCI DSS

 Nhật ký tường lửa

 Ghi nhật ký và báo cáo tập

trung với Cyberoam iView và CCC

4.2 FORTINET

Tường lửa thế hệ tiếp theo Next-Generation Firewall (NGFW) lọc lưu lượng mạng
để bảo vệ tổ chức khỏi các mối đe dọa bên trong và bên ngoài. Cùng với việc duy trì các
tính năng của tường lửa trạng thái như lọc gói, hỗ trợ IPsec và SSL VPN, giám sát mạng
và tính năng ánh xạ IP, NGFW có khả năng kiểm tra nội dung sâu hơn.

Những khả năng này cung cấp khả năng xác định các cuộc tấn công, phần mềm
độc hại và các mối đe dọa khác, đồng thời cho phép NGFW chặn các mối đe dọa này.
NGFW cung cấp cho các tổ chức khả năng kiểm tra SSL, kiểm soát ứng dụng, ngăn
chặn xâm nhập và khả năng hiển thị nâng cao trên toàn bộ bề mặt tấn công.

Khi mối đe dọa mở rộng nhanh chóng do áp dụng đồng vị trí và đa đám mây, đồng
thời các doanh nghiệp phát triển để đáp ứng nhu cầu ngày càng cao của khách hàng,
tường lửa truyền thống ngày càng tụt hậu, không thể cung cấp khả năng bảo vệ trên quy
mô lớn và dẫn đến trải nghiệm người dùng kém và tư thế bảo mật yếu.

NGFW không chỉ chặn phần mềm độc hại mà còn bao gồm các đường dẫn cho các
bản cập nhật trong tương lai, giúp chúng linh hoạt phát triển với bối cảnh mối đe dọa và

29
 Tìm hiểu về tường lửa
giữ cho mạng an toàn khi các mối đe dọa mới phát sinh. Tường lửa thế hệ tiếp theo là
một thành phần quan trọng để thực hiện bảo mật mạng.

Hình 4. 2 Tường lửa Fortinet

Firewal FortiGate là gì?
FortiGate là sản phẩm chủ đạo của hãng Fortinet (USA) là thiết bị tường lửa
(Firewall) chuyên dụng được tạp chí Fortune khuyên dùng; sản phẩm dành cho doanh
nghiệp trong việc bảo mật an ninh mạng LAN.

FortiGate thuộc họ Fortinet, là thiết bị bảo mật đa lớp dạng tường lửa (Firewall);
cung cấp một giải pháp toàn diện trong việc bảo mật an ninh thông tin doanh nghiệp
cũng như là bảo vệ hệ thống mạng nội bộ (gọi là mạng LAN hay Local Area Network).
Fortinet giúp ngăn chặn sự tấn công của mã độc do hacker gây ra

Nhận biết FortiGate là một tường lửa có tính bảo mật cao
Fortinet là nhà cung cấp thiết bị an ninh mạng lớn thứ tư trên thế giới theo doanh
thu hàng năm sau Cisco, Palo Alto Networks, và phần mềm kiểm tra
điểm. Fortigate cũng dẫn đầu thị trường về tổng số đơn vị bán ra.

Sản phẩm cốt lõi của Fortinet là một tường lửa thế hệ tiếp theo được gọi
là Fortigate, được kết nối với các thiết bị bảo mật thông qua Fortinet Security Fabric.
Nó cung cấp sự bảo vệ từ đầu đến cuối cho các dịch vụ và thiết bị trên Internet, trên nền
tảng đám mây và Internet of Things (IoT). Công ty phục vụ hơn 330.000 khách hàng

Hệ điều hành FortiOS giúp bảo vệ tổ chức doanh nghiệp chống lại nâng cao các mối
đe dọa, cấu hình và triển khai bảo mật mạng nhanh hơn và xem sâu vào những gì đang
xảy ra bên trong mạng. Nó cho phép tổ chức để thiết lập chính sách cụ thể cho các loại
thiết bị, người dùng và các ứng dụng có khả năng bảo mật hàng đầu trong ngành.

FortiOS cung cấp:

30
 Tìm hiểu về tường lửa
 Bảo mật toàn diện: Kiểm soát hàng nghìn ứng dụng và ngăn chặn nhiều mối đe
dọa hơn với IPS được đề xuất trong NSS Labs, Sandboxing, phần mềm chống
Malware được chứng nhận VB100 và hơn thế nữa.
 Kiểm soát và hiển thị cao cấp: Giữ quyền kiểm soát với việc khả năng hiển thị
qua lưu lượng truy cập mạng, kiểm soát chính sách chi tiết và trực quan, khả năng
mở rộng bảo mật và quản lý mạng.
 Khả năng mạng mạnh mẽ: Tối ưu hóa mạng của doanh nghiệp với chuyển đổi và
định tuyến mở rộng, tính sẵn sàng cao, WAN tối ưu hóa, bộ điều khiển WiFi
nhúng và một loạt tùy chọn ảo.

4.3 CISCO SA 500.

Thiết bị Cisco SA500 cung cấp giải pháp bảo mật toàn diện và kết nối VPN. Sản
phẩm kết hợp những khả năng của tường lửa, bảo mật wed và mail ngăn chặn xâm nhập
ngoài ý muốn vào mạng. Cisco SA500 cho phép dữ liệu kinh doanh hợp lệ đi qua nhưng
vẫn ngăn chặn những truy cập không được phép. Hỗ trợ tạo ra vùng truy cập công cộng
(DMZ) an toàn như máy chủ file, web… cách ly mạng nội bộ công ty và tránh được
những nguy hiểm từ bên ngoài.

Sản phẩm chủ động ngăn ngừa sự xâm nhập và ngăn chặn những kết nối nguy hại
với Intrusion Prevention System (IPS). Cisco SA500 có thể nhận biết những hiểm họa
đối mạng công ty và thực hiện hành động ngăn cản xâm nhập và ngăn ngừa những hiểm
họa trong tương lai. Ngoài ra, Cisco SA500 có thể khóa những thông điệp tin nhắn, kết
nối mạng ngang hàng và thực hiện kiểm tra giao thức nhằm tăng khả năng bảo mật, nâng
cao năng suất hoạt động của nhân viên và giữ cho mạng của doanh nghiệp luôn luôn sẵn
sàng.

31
 Tìm hiểu về tường lửa

Hình 4. 3 Tường lửa hãng Cisco

Cisco SA500 cung cấp khả năng bảo vệ mail và web tốc độ cao: Nhờ dịch vụ
ProtectLink Gateway thông qua nền tảng điện toán đám mây, Email trước khi vào công
ty sẽ được kiểm tra bởi đối tác công nghệ Trend Micro của Cisco cung cấp. Sản phẩm
có khả năng quét Email với hơn 3 triệu mẫu virus, hơn 400.000 spyware, 10 công nghệ
dò tìm spam. Đồng thời tích hợp Antivirus, antispyware, antispam, antiphishing, URL
filtering, giúp Cisco SA500 cung cấp một giải pháp bảo vệ toàn diện hệ thống mạng.

Hình 4. 4 Giao diện Cisco Configuration Assistant

Tăng bảo mật truy cập từ xa: Nhờ dịch vụ VeriSign Indentity Protection (VIP),
Cisco SA500 cung cấp khả năng chứng thực hai cấp và quản lý mật mã truy cập một lần
tăng tính bảo mật truy cập từ xa mà không cần mua thêm bất kỳ thiết bị chứng thực
khác.

Dễ dàng triển khai và quản lý: Cisco SA500 có thể được quản lý thông qua tiện ích
Security Appliance Configuration Utility, một giao diện web quản lý và theo dõi mạnh
32
 Tìm hiểu về tường lửa
mẽ, dễ dàng sử dụng, cung cấp giải pháp cấu hình và theo dõi toàn diện tất cả các dịch
vụ trong một ứng dụng đơn. Security Appliance Configuration Utility còn có thể được
thực thi thông qua Cisco Configuration Assistant, ngoài ra còn hỗ trợ giao thức theo dõi
Simple Network Management Protocol (SNMP).

Giải pháp Cisco SA500 giúp doanh nghiệp triển khai an toàn những ứng dụng mới
thông qua việc cung cấp những dịch vụ bảo mật tiên tiến cho những những ứng dụng
phổ biến: Mail, VoIP, video, multimedia, web… Sản phẩm cũng tăng cường bảo mật
xác thực cho người truy cập từ xa: Ngăn chặn những truy cập không được phép vào
mạng công ty bằng cách sử dụng mật mã sử dụng một lần. Sản phẩm còn cho phép nhân
viên và đối tác kết nối đến mạng công ty thông qua SSL VPN. Như vậy, doanh nghiệp
sẽ tăng năng suất lao động của nhân viên, nâng cao khả năng kinh doanh và giảm chi
phí dành cho IT.

33
 Tìm hiểu về tường lửa
KẾT LUẬN
Qua bài tiểu luận, ta có thể nắm được một các tổng quan và sơ lược về cấu trúc của
tường lửa, cũng như nắm được nguyên lý hoạt đông và cách thức bảo vệ các thiết bị như
mạng máy tính. Có thể nói tường lửa là thiết bị có thể thỏa mãn được những yêu cầu
bảo mật và an toàn thông tin của người sử dụng, những yêu cầu hết sức khó khăn và
phức tạp của mạng máy tính yêu cầu thì tưởng lửa đều đáp ứng được và giải quyết rất
hiệu quả. Các cuộc tấn công như lấy cắp thông tin, giả mạo hay phá hoại các thông tin
được gửi đi trên mạng máy tính đều có thể được tường lửa xử lý và chặn chúng. Tuy
nhiên, không thể có loại tường lửa nào là hoàn toàn vô hiệu hóa được các cuộc tấn công
nên cần có nhiều loại và nhiều cách thức bảo vệ mạng khác nhau cuả tường lửa để làm
sao đó khi sử dụng độ bảo mật và an toàn là cao nhất.

34
 Tìm hiểu về tường lửa
TÀI LIỆU THAM KHẢO
[1] Thomas Ptacek, Arbor Networks (2013), 10 tips for improving security inside the
firewall
[2] Tech Insights for Professionals, Hacks Sure to Defeat Your Firewall (And How to
Prevent Them)
[3] S. Krit and E. Haimoud, "Overview of firewalls: Types and policies: Managing
windows embedded firewall programmatically," 2017 International Conference on
Engineering & MIS (ICEMIS), 2017, pp. 1-7, doi: 10.1109/ICEMIS.2017.8273003.
[4] W. Weber, "Firewall basics," 4th International Conference on Telecommunications
in Modern Satellite, Cable and Broadcasting Services. TELSIKS'99 (Cat.
No.99EX365), 1999, pp. 300-305 vol.1, doi: 10.1109/TELSKS.1999.804748.

35