Đề tài: Iptables trên hệ điều hành Linux Centos version 5.8

LỜI NÓI ĐẦU Trong công cuộc đổi mới không ngừng của khoa học kỹ thuật công nghệ, nhiều lĩnh vực đã và đang phát tri ển vượt bậc đặc biệt là lĩnh vực Công nghệ thông tin. Thành công lớn nhất có thể kể đến là sự ra đời của chiếc máy tính. Máy tính được coi là một phương tiện trợ giúp đắc lực cho con người trong nhiều công việc đặc biệt là công tác qu ản lý. Mạng máy tính được hình thành từ nhu cầu muốn chia sẻ tài nguyên và dùng chung nguồn dữ liệu. Máy tính cá nhân là công cụ tuyệt vời giúp tạo dữ liệu, bảng tính, hình ảnh, và nhiều dạng thông tin khác nhau, nhưng không cho phép chia sẻ dữ liệu bạn đã tạo nên. Nếu không có hệ thống mạng, dữ liệu phải được in ra giấy thì người khác mới có thể hi ệu chỉnh và sử dụng được hoặc chỉ có thể sao chép lên đĩa mềm do đó tốn nhiều thời gian và công sức. Khi người làm việc ở môi trường độc lập mà nối máy tính của mình với máy tính của nhiều người khác, thì ta có thể sử dụng trên các máy tính khác và cả máy in. Mạng máy tính được các tổ chức sử dụng chủ yếu để chia sẻ, dùng chung tài nguyên và cho phép giao tiếp trực tuyến bao gồm gửi và nhận thông điệp hay thư điện tử, giao dịch, buôn bán trên mạng, tìm kiếm thông tin trên mạng. Nhưng khi chia sẽ tài nguyên trên mạng thì phải đề cập đến độ bảo mật của các tài nguyên cần chia sẽ tránh những kẻ xâm nhập bât hợp pháp truy cập vào hệ thống của chúng ta, điều này nảy sinh ra những chương trình, phần cứng hay phần mềm hỗ trợ để quản lý và kiểm soát các tài nguyên ra, vào hệ thống, các phần mềm hỗ trợ thông thường như ISA 2004, ISA 2006, COMODO Firewall, iptables, TCP Wrappers… chúng có cùng chung một xu hướng đó là bảo về và quản lý hệ th ống mạng bên trong của chúng ta trước những tin tặc truy cập bất hợp pháp. Điều nảy thúc đẩy em tìm hiểu đề tài này.Lý do chọn đề tài : Trước khi triển khai một hệ thống mạng thì điều quan trọng nhất là khâu thiết kế hệ thống mạng, làm thế nào để hệ thống của chúng ta vận hanh một các trơn tru và hiệu qu ả, ̀ nhưng bên cạnh đó ta không thể không tự đặt câu hỏi cho chính mình là hệ thống mạng của chúng ta đã vận hành trơn tru rồi nhưng có đủ độ an toàn và bảo mật hay chưa? điều này không quan trọng lắm đối với những doanh nghiệp nhỏ những rất quan trọng đối với các doanh nghiệp lớn, các tổ chức mang t ầm c ở qu ốc gia bởi những thông tin của họ rất nhạy cảm nên để đảm bảo độ an toàn cho hệ thống mạng chúng ta cần phải thiết lập những chính sách quản trị phù hợp, điều này đã thôi thúc em nghiên cứu và tìm tòi các ứng dụng phần cứng, phần mềm FIREWALL tương thích trên các hệ điều hành phổ biến hiện nay như Windows, Linux... Trong phần này em nghiên cứu chủ yếu các ứng dụng trên Iptables của Linux, tạo ra các chính sách để quản trị hệ thống mạng dựa trên iptables và quản lý các dữ liệu ra vào hệ thống, đảm bảo hệ thống được bảo vệ ở mức tối đa có thể. Em sử dụng iptables trên hệ điều hành Linux Centos version 5.8 Bố cục đề tài : Đề tài gồm có 3 chương Chương I : Tổng quan về mạng máy tính và b ảo m ật mạng Tông quan về hệ thông mang và phân tích các nguy c ơ ̉ ́ ̣ đe doạ hệ thống mạng và hướng giải quyết, các phương pháp để phong thủ hệ thống mạng. ̀ Chương II : Tổng quan về Firewall và Iptables Giới thiệu về các vấn đề cơ bản của Firewall, phân loại Firewall, các kiến trúc cơ bản của Firewall và cơ chế làm việc của chúng. Chương III : Triển khai hệ thống Firewall trên Iptables cho mạng của công ty TNHH Vươn Cao Triển khai và cấu hình hệ thống FirewallCHƯƠNG I TỔNG QUAN VỀ MẠNG MÁY TÍNH VÀ BẢO MẬT MẠNG I.1 GIỚI THIỆU MẠNG MÁY TÍNH VÀ MÔ HÌNH MẠNG I.1.1 Giới thiệu về mạng máy tính I.1.1.1 Mạng máy tính là gì? Mạng máy tính là tập hợp các máy tính kết nối v ới nhau b ởi đường truyền vật lý theo một cấu trúc nào đó để đáp ứng các yêu cầu của người dùng. I.1.1.2 Vai trò của mạng máy tính ? - Khả năng sử dụng chung tài nguyên - Tăng độ tin cậy của hệ thống - Nâng cao chất lượng và hiệu quả khai thác thông tin trong mạng • Đáp ứng những nhu cầu của hệ thống ứng dụng kinh doanh hiện đại • Cung cấp sự thống nhất giữa các dữ liệu I.1.2 Mô hình mạng máy tính I.1.2.1 Mô hình khach- chủ (Client- Server) ́Các máy trạm được nối với các máy chủ, nhận quyền truy nhập mạng và tài nguyên mạng từ các máy chủ. Đối với Windows NT các máy được tổ chức thành các miền (domain). An ninh trên các domain được quản lý bởi một số máy chủ đặc biệt gọi là domain controller. Hình 1.1 Mô hình Client – Server I.1.2.2 Mô hình mạng ngang hàng (Peer- to- Peer) I.2 CAC PHƯƠNG PHAP TÂN CÔNG MANG ́ ́ ́ ̣ I.2.1 Main in the middle attack Đây là môt kỹ thuât tân công cổ điên nhưng vân được sử ̣ ̣ ́ ̉ ̃ dung cho đên ngay hôm nay, kiêu tân công nay thường dung ̣ ́ ̀ ̉ ́ ̀ ̀ cho mang không dây như giả mao ARP, DNS, chiêm quyên ̣ ̣ ́ ̀ điêu khiên Sestion, đánh cắp Cookies bằng Hamster và ̀ ̉ Ferret…..Hình 1.3 Mô hình ARP- spoofing Kiêu tân công nay thường được sử dung nhât là kiêu giả ̉ ́ ̀ ̣ ́ ̉ mao ARP, hiêu được cach tân công giả mao nay thì cung phân ̣ ̉ ́ ́ ̣ ̀ ̃ ̀ nao hinh dung được hinh thức phương thức tân công nay.Việc ̀ ̀ ̀ ́ ̀ sử dụng kỹ thuật encryption và authentication để nâng câp ́ việc bảo mật dữ liệu nhưng hackers vẫn còn có thễ thâm nhập vào hệ thống của bạn dựa vào sự hoat động c ủa các ̣ giao thức. Hackers sử dụng một thiết bị không có thật gi ữa người dùng cuối và mạng không dây. Hackers sử dụng những tools để có thể tìm ra những gói tin arp và có thê ̉ điều khi ển mạng của bạn. I.2.2 Tấn công DoS Tấn công DoS là kiểu tấn công mà người mà người tấn công làm cho hệ thống nạn nhân không thể sử dụng hoặc làm cho hệ thống đó bị chậm đi một cách đáng kể so với người sử dụng bình thường bằng cách làm quá tải tài nguyên của hệ thống. Nếu kẻ tấncông không có khả năng xâm nhập vào hệ thống thì chúng cố gắng làm cho hệ thống bị sụp đổ và không có khả năng phục vụ người dùng bình thường thì đó gọi là tấn công Denial of Service. I.2.2.1 Các mục đích của tấn công DoS Cố gắng chiếm băng thông mạng và làm hệ thống mạng bị ngập lụt Cố gắng ngắt kết nổi giữa 2 máy và ngăn chặn truy cập vào dịch vụ Ngăn chặn người dùng truy cập một dịch vụ cụ thể và dấu hiệu tấn công DoS thường nhận thấy là tắt mạng, tổ chức không ho ạt động, tài chính bị mất… I.2.2.2 Mục tiêu mà kẻ tấn công thường sử dụng tấn công DoS ́ I.2.3 Tân công DDoS I.2.3.1 Các đặc tính của tấn công DDoS. I.2.3.2 Tấn công DDoS không thể ngăn chặn hoàn toàn. I.3 CAC KỸ THUÂT TÂN CÔNG MANG PHỔ BIÊN ́ ̣ ́ ̣ ́ ́ I.3.1 Nghe len (sniffing) Theo đúng như tên gọi, kỹ thuật này không tấn công trực diện vào các máy người dùng (client) hay máy chủ (server), mà nó nhằm vào không gian truyền dữ liệu giữa các máy. Sniffing là kỹ thuật được các quản trị viên dùng theo dõi, chuẩn đoán, phát hiện các sự cố nhằm giúp cải thiện hoạt động hệ thống mạng. Tuy nhiên, kỹ thuật này về sau bị biếntướng, trở thành công cụ đắc lực phục vụ mục đích thu thập trái phép các thông tin nhạy cảm, tên tài kho ản, mật khẩu, credit card,… của người dùng khi luân chuyển trên mạng . I.3.2 Quét thăm dò ( Scanning) Phần lớn thông tin quan trọng từ server có được từ bước này. Xác định hệ điều hành, xác định hệ thống có đang ch ạy không, tìm hiểu các dịch vụ đang chạy hay đang lắng nghe, tìm hiểu các lỗ hổng, kiểm tra các cổng, xác định các dịch v ụ sử dụng giao thức TCP và UDP... Những thông tin này sẽ giúp cho hacker có kế hoạch tấn công hợp lý, cũng như việc chọn kỹ thuật tấn công nào. Quét giúp định vị hệ thống còn ho ạt động trên mạng hay không. Một hacker chân chính sử d ụng cách này đề tìm kiếm thông tin của hệ thống đích. I.3.3 Social Engineering I.3.4 Reverse engineering I.3.5 Tấn công tràn bộ đệm (Buffer Overflow) I.3.6 Tấn công bằng cách cài worm,virus và trojan. I.3.6.1 Virus máy tính I.3.6.2 Worm I.3.6.3 Trojan Horse I.4 PHONG THỦ MANG ̀ ̣Hầu hết trên thế giới hiện nay đều nghiên cứu kỹ lưỡng t ừng k ỹ thuật tấn công và tìm kiếm nhược điểm nhằm mục đích vô hiệu hóa phương thức tấn công đó. Công cụ để triển khai phòng thủ không khác gì ngoài những hệ thống được dựng lên với nh ững chính sách và luật riêng như tường lửa, hệ thống xác thực, mã hóa, phân quyền, những bản vá lỗi lổ hổng bảo mật, IDS,honeynet,honeysport….. Người quản trị phải luôn cập nhật mới kiến thức và thường xuyên thử đóng vai trò người tấn công vào chính hệ thống của mình t ừ đó xây dựng các phương án phòng thủ phù hợp. I.4.1 Các nguyên tắc cơ bản của công tác phòng thủ mạng I.4.1.1 Nguyên tắc chỉnh thể I.4.1.2 Nguyên tắc quy phạm I.4.1.3 Nguyên tắc độ thích ứng I.4.1.4 Nguyên tắc đồng bộ I.4.2 Đánh giá nguy cơ hệ thống mạng I.4.3 Môt số kỹ thuât phong thủ ̣ ̀ I.4.3.1 Anti DDoS I.4.3.2 Anti ARP- snoofing I.4.3.3 Anti SSL (man- in- the- middle)CHƯƠNG II TỔNG QUAN VỀ FIREWALL VÀ IPTABLES II.1 TỔNG QUAN VỀ FIREWALL II.1.1 Firewall là gi? ̀ ́ ̣ II.1.1.1 khai niêm Firewall Trong công nghệ mạng thông tin, Firewall là m ột kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống. Cũng có thể hiểu Firewall là một cơ chế (mechanism) để bảo vệ mạng tin tưởng (Trusted network) khỏi các mạng không tin tưởng (Untrusted network). Thông thường Firewall được đặt giữa mạng bên trong (Intranet) của một công ty, tổ chức, ngành hay m ột quốc gia, và Internet. Vai trò chính là bảo mật thông tin, ngăn chặn sự truy nhập không mong muốn từ bên ngoài (Internet) và c ấm truy nhập từ bên trong (Intranet) tới một số địa chỉ nhất định trên Internet. Hình 2.1 Mô hình mang sử dung tường lửa ̣ ̣II.1.1. Firewall làm được những gì? II.1.1.3 Firewall không làm được những gì? II.1.1.4 Nguyên lý hoạt động của Firewall Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua Firewall thì điều đó có nghĩa rằng Firewall hoạt động chặt chẽ với giao thức TCP/IP. Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay nói chính xác hơn là các d ịch v ụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS ...) thành các gói dữ liệu (data pakets) rồi gán cho các paket này những địa chỉ để có thể nhận dạng, tái lập lại ở đích cần g ửi đến, do đó các loại Firewall cũng liên quan rất nhiều đến các Packet và những con số địa chỉ của chúng. Bộ lọc gói cho phép hay từ chối mỗi Packet mà nó nhận được. Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoả mãn một trong số các luật lệ của lọc gói hay không. Các luật lệ lọc gói này là dựa trên các thông tin ở đầu mỗi Packet (Packet Header ), dùng để cho phép truyền các Packet đó ở trên mạng. Đó là : • Địa chỉ IP nơi xuất phát ( IP Source address) • Địa chỉ IP nơi nhận (IP Destination address) • Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel) • Cổng TCP/UDP nơi xuất phát (TCP/UDP source port) • Cổng TCP/UDP nơi nhận (TCP/UDP destination port) • Dạng thông báo ICMP (ICMP message type) • Giao diện Packet đến (Incomming interface of Packet) • Giao diện Packet đi (Outcomming interface of Packet) Nếu luật lệ lọc gói được thoả mãn thì Packet đượcchuyển qua Firewall. Nếu không Packet sẽ bị bỏ đi. Nhờ vậy mà Firewall có thể ngăn cản được các kết nối vào các máy chủ hoặc mạng nào đó được xác định, hoặc khóa việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép. II.1.1.5 Phân tích cấu trúc của gói ip II.1.1.6 Chức năng cua Firewall ̉ - Tường lửa quyêt đinh những người nao, những dich ́ ̣ ̀ ̣ vụ nao từ bên trong được phep truy câp ra bên ngoai và cả ̀ ́ ̣ ̀ những dich vụ từ bên ngoai nao được phep truy câp vao bên ̣ ̀ ̀ ́ ̣ ̀ trong. - Triên khai giam sat cac sự kiên an ninh mang : hệ thông ̉ ́ ́ ́ ̣ ̣ ́ canh bao, IDS và IPS có thể triên khai hệ thông tường lửa. ̉ ́ ̉ ́ - Triên khai môt vai chức năng trên nên tường lửa : ̉ ̣ ̀ ̀ ́ NAT, thông kê, logs… - Để tường lửa lam viêc hiêu qua, tât cả trao đôi thông ̀ ̣ ̣ ̉ ́ ̉ tin từ trong ra ngoai và ngược lai đêu phai thực hiên thông qua ̀ ̣ ̀ ̉ ̣ tường lửa. II.1.1.7 Ưu nhược điêm khi dung Firewall ̉ ̀ II.1. Phân loại Firewall - Packet Flitering: là hệ thống Firewall cho phép chuyển thông tin giữa hệ thống trong và ngoài mạng có kiểm soát. - Application- proxy Firewall: là hệ thống Firewall thực hiện các kết nối trực tiếp từ máy khách yêu cầu. II.1.2.1 Packet flitering - Kiểu Firewall chung nhất là kiểu dựa trên m ức m ạng của mô hình OSI. Firewall mức mạng thường hoạt động theo nguyên tắc của Firewall hay còn được gọi là Router/Firewall, có nghĩa là tạo ra các luật cho phép quyền truy cập mạng d ựa trên mức mạng. Mô hình này hoạt động theo nguyên tắc l ọc gói tin (Packet Flitering). II.1.2.2 Application- proxy Firewall- Kiểu Firewall này hoạt động dựa trên phần mềm. khi một kết nối từ một người dùng nào đó đến mạng sử dụng Firewall kiểu này thì kết nối đó sẽ bị chặn lại, sau đó Firewall sẽ kiểm tra các trường có liên quan của gói tin yêu cầu kết nối. Nếu việc kiểm tra thành công, có nghĩa là các trường thông tin đáp ứng được các luật đã đặt ra trên Firewall thì Firewall tạo ra một cái cầu kết nối giữa 2 node với nhau. II.1.3 Các thế hệ Firewall thường dùng II.1.3.1 Firewall lọc gói tin Tường lửa lọc gói tin : công nghệ tường lửa thế hệ đầu tiên phân tích lưu lượng mạng ở tầng vận chuyển (transport protocol layer). II.1.3.2 Firewall mức giao vân (Circuit Level Firewall) ̣ II.1.3.3 Firewall mức ứng dụng II.1.3.4 Firewall lọc gói tin động II.1.4 Một số phần mềm Firewall thông dụng II.1.4.1 Packet filtering Kiểu lọc gói tin này có thể được thực hiện mà không cần tạo một Firewall hoàn chỉnh, có rất nhiều các công c ụ trợ giúp cho việc lọc gói tin trên Internet (kể cả phải mua hay được miễn phí ). Sau đây ta có thể liệt kê một số tiện ích như vậy: II.1.4.2 TCP_wrappers II.1.4.3 Netgate II.1.4.4 Internet packet filter II.1.4.5 Application- proxy Firewalĺ ́ ́ ̉ II.1.5 Cac kiên truc cua Firewall II.1.5.1 Dual homed host ̀ II.1.5.1.a Mô hinh Hình 2.3 Sơ đồ kiến trúc Dual – Homed Host II.1.5.1.b đánh giá về kiến trúc Dual homed host II.1.5.2 Screened host ̀ II.1.5.2.a Mô hinh Hình 2.4 Sơ đồ kiến trúc Screened Host II.1.5.2.b Đanh giá ́II.1.5.3 Screened subnet host ̀ II.1.5.3.a Mô hinh Hình 2.5 Sơ đồ kiến trúc Screened Subnet Host II.1.5.3.b Đanh giá ́ II.2 TỔNG QUAN VỀ LINUX VÀ IPTABLES II.2.1 Tổng quan về Linux II.2.1.1 Quá trinh hinh thanh linux ̀ ̀ ̀ II.2.1.2 Các phiên bản hiện nay Linux là một trong những hệ điều hành m ạnh nhất và nhanh nhất hiện nay, với số lượng người dùng không ngừng tăng cao. Linux được đánh giá là nhỉnh hơn hệ đi ều hành window về tốc độ lẫn giá thành. Linux cung c ấp cho người dùng tính năng và hiệu quả cao, tốc độ xử lý nhanh, chi phí bỏ ra dường như không có tức là nó hoàn toàn mi ễn phí. Hệ điều hành Linux thật sự đáng tin cậy, bảo mật an ninh khá tốt, giao diện tùy biến, thích hợp cho các doanh nghiệp. Có hàng chục các phiên bản Linux được cung cấp miến phí như : + Fredora+ Ubuntu + Arch Linux Distros + Open SUSE + CentOS + Debyan GNU…… II.2.2 Tổng quan về IPTables II.2.2.1 Iptables là gì ? Iptables là một chương trình chạy ở không gian người dùng, cho phép người quản trị hệ thống có thể cấu hình các bảng của tường lửa trong nhân Linux (được cài đặt trong các mô đun Netfilter khác nhau) và lưu trữ các chuỗi, luật. Iptables yêu cầu quyền cao cấp trong hệ thống để hoạt động và phải được người dùng root thực thi, nếu không một số chức năng của chương trình sẽ không hoạt động. II.2.2.2 Nguyên tắc triển khai Firewall iptables II.2.2.3 Cơ chế xử lý trong iptables Tất cả mọi gói dữ liệu đề được kiểm tra bởi Iptables bằng cách dùng tuần tự xâu dựng sẵn (queues). Có 3 lo ại bảng là: - Mangle: Chịu trách nhiệm thay đổi các bits chất lượng dịch vụ trong TCP header như TOS (type of service), TTL (time to live) và MARK - Filter: Chịu trách nhiệm lọc các gói dữ liệu. Nó gồm có 3 quy tắc nhỏ (chain) + Forwoard chain: Lọc gói khi đi đến server khác. + Input chain: Lọc gói ki đi vào trong server. + Output chain: Lọc gói khi đi ra khỏi server. - Nat: Gồm có 2 loại Nat ta thường gọi là Nat Outbound và Nat InboundHinh 2.6 Quá trình lọc gói tin qua Firewall ̀ - Jumps: Là cơ chế chuyển một packet đến một target nào đó để xử lý thêm một số thao tác khác. - Target: Là cơ chế hoạt động trong iptables, dùng đ ể nhận diện và kiểm tra packet. Các target được xây dựng sẵn trong iptables như : MASQUERADE, SNAT, DNAT, REJECT, LOG, DROP, ACCEPT. II.2.2.5 Các tham số chuyển mạch quan trọng của iptables Lệnh switching Ý Nghĩa quan trọng Nếu bạn không chỉ rõ là tables nào, - t thì filter tables sẽ được áp dụng. Có 3 loại table là filter, nat, mangle. Nhảy thêm một chuỗi targer nào đó - j khi gói dữ liệu phù hợp quy luật hiện tại. Insert thêm rule vào đầu chain. - I Nối thêm một quy luật nào đó vào - A cuối chain.Xóa hết tất cả mọi quy luật trong -F bảng đã chọn. Phù hợp với giao thức (protocols), - p thông thường là các giao thức như icmp, tcp, udp và all. Source để chỉ ip nguồn. - s Destination để chỉ ip đích. - d - i liệu đi vào Firewall - o dữ liệu đi ra khỏi Firewall Bảng 2.3 Các tham số chuyển mạch quan trọng của iptables II.2.2.6 Những module kernel cần thiết II.2.2.7 lưu cấu hình script cho iptables II.2.2.8 Khắc phục sự cố trên iptables CHƯƠNG III TRIỂN KHAI HỆ THỐNG FIREWALL TRÊN IPTABLES CHO MẠNG CỦA CÔNG TY TNHH VƯƠN CAO III.1 GIỚI THIỆU HỆ THỐNG MẠNG CÔNG TY TNHH VƯƠN CAO III.1.1 Sơ đồ logic hệ thống mạng hiện tại công ty đang áp dụngHinh 3.1 - Sơ đồ logic hệ thông mang đang ap dung ̀ ́ ̣ ́ ̣ III.1.2 Phân tích sơ đồ hệ thống - Mô hình mạng mà công ty đang áp dụng là mạng ngang hàng. - Vùng DMZ nằm chung lớp mạng với vùng Inside. - Hệ thống hầu như không được bảo vệ và phản ứng yếu ớt khi bị tấn công… III.2 HIỆN TRẠNG MẠNG CỦA CTY VƯƠN CAO ĐANG SỬ DỤNG III.2.1 Hiên trang bị tân công ̣ ̣ ́ Trong quá trình hoạt động của công ty mà bộ phận kỹ thuật ghi nhận được thì có tổng cộng 4 cuộc tấn công DDoS vào hai máy FTP server và WEB server của công ty trong 6 tháng đầu năm 2013 nhiều hơn gấp 2 lần cùng kỳ năm trước và tình trạng chung là nhân viên không thể truy c ập vào 2 trang nàyEmail của giám đốc và kế toán trưởng bị xem trộm, một vấn đề rất nhạy cảm và cần có những phương án c ấp bách để ngăn chặn tình trạng này xảy ra một lần nữa trước khi tìm ra thủ phạm. Công việc làm ăn của công ty thuận lợi và ngày càng mở rộng, yêu cầu bây giờ là phải xây dựng một mô hình công ty phù hợp với tình hình mới trong đó c ơ sở hạ tầng hệ th ống mạng của công ty phải đảm bảo được tính m ở.Trong thời gian tới đây công ty tiến hành public các server ra ngoài internet, xây dựng website hoàn chỉnh nhằm quảng bá hình ảnh của công ty để phù hợp với xu thế phát triển c ủa th ị trường. Ngoài việc xây dựng một hệ thống mạng mang tính oan toàn, bảo mật thì phải đáp ứng được tính sẵn sàng khi h ệ thống mạng đòi hỏi cần nâng cấp cũng như triển khai các chính sách của công ty ngay trên đó. Những thông tin trên là hôi chuông canh bao cân có những ̀ ̉ ́ ̀ thay đôi và phai xây dựng lai môt hệ thông mang phù hợp hơn ̉ ̉ ̣ ̣ ́ ̣ khăc phuc được những điêm yêu cua hệ thông mang hiên tai ́ ̣ ̉ ́ ̉ ́ ̣ ̣ ̣ cua công ty và phai đap ứng được những yêu câu an toan đăt ̉ ̉ ́ ̀ ̀ ̣ ra cung như phù hợp với viêc quan lý sau nay. ̃ ̣ ̉ ̀ III.2.2 Đề xuât giai phap ́ ̉ ́ Xây dựng hệ thống Firewall 2 lớp theo mô hình đề xuất đề xuất có khả năng khắc phục được hầu hết các nhược điểm hiện có của mô hình hiện tại của công ty. Mô hình có nhiều ưu điểm và có tính khả thi cao vì đáp ứng được các vấn đề cấp thiết, oan toàn, bảo mật, chi phí thấp.III.3 TRIỂN KHAI HỆ THỐNG FIREWALL TRÊN IPTABLES CHO MẠNG CỦA CÔNG TY TNHH VƯƠN CAO III.3.1 Sơ đồ logic khi ap dung giai phap ́ ̣ ̉ ́ Hinh 3.2 - Sơ đồ logic hệ thông mang ứng dung firewall ̀ ́ ̣ ̣ - 192.168.1.x/24 Lớp mang nôi ra ngoai ̣ ́ ̀ internet - 172.16.0.x/16 Lớp mang vung DMZ ̣ ̀ - 10.0.0.x/8 Lớp mang nôi bộ bên trong - ̣ ̣ internal III.3.2 Cac chương trinh và thiêt bị cân thiêt cho giai phap ́ ̀ ́ ̀ ́ ̉ ́ Tuy là xây dựng sơ đồ hệ thông mới nhưng chung ta ́ ́ vân tân dung triêt để những thiêt bị cua hệ thông cũ mà vân đap ̃ ̣ ̣ ̣ ́ ̉ ́ ̃ ́ ứng tôt được yêu câu, với mô hinh mới thì công ty chỉ cân ́ ̀ ̀ ̀ mua thêm cac thiêt bị sau : ́ ́ - 2 may tinh, môi may có 2 card mang lân lượt đong ́ ́ ̃ ́ ̣ ̀ ́ vai trò là firewall 1 và firewall 2.