FE Master 2026

DAY 90🇯🇵 セキュリティ実装

Hạ tầng bảo mật: Firewall, DMZ & VPN

90%

Quảng cáo • Advertisement

📢 Sponsor Ad

Google AdSense

🎯 Xây dựng pháo đài

1. Firewall (Tường lửa)

Lọc gói tin ra/vào dựa trên IP và Port.

Packet Filtering: Chỉ nhìn header gói tin (Nhanh nhưng dễ bị lừa).
WAF (Web App Firewall): Nhìn được cả nội dung HTTP (Chặn được SQLi, XSS).

2. DMZ (Demilitarized Zone - Vùng phi quân sự)

Vùng đệm giữa Internet (Nguy hiểm) và Mạng nội bộ (An toàn).

graph TD Internet -- FW1 (Allow 80/443) --> DMZ[Web Server] DMZ -- FW2 (Allow 3306 Only from WebIP) --> Internal[DB Server] Internet --x FW2 --> Internal

3. VPN (Virtual Private Network)

Đường hầm bí mật để nhân viên làm việc từ xa truy cập vào mạng công ty an toàn qua Internet.

4. IDS vs IPS (Hệ thống giám sát và ngăn chặn)

IDS (Intrusion Detection System): Chỉ CẢNH BÁO khi thấy traffic lạ.
IPS (Intrusion Prevention System): CẢNH BÁO + CHẶN luôn traffic đó.

5. SIEM (Security Information and Event Management)

Phòng giám sát Camera trung tâm, thu thập và phân tích log từ Firewall, Server, DB.

6. Zero Trust Architecture (ZTA)

Triết lý: "Never Trust, Always Verify". Xác thực tại mọi bước.

7. Tấn công kênh kề (Side-channel Attacks)

Timing Attack: Đo thời gian CPU xử lý để đoán khóa.
Power Analysis: Đo lượng điện tiêu thụ để suy ngược ra khóa.

8. Social Engineering Deep Dive

Phishing: Email giả mạo.
Vishing: Gọi điện lừa đảo.
Tailgating: Đi theo sau nhân viên vào cửa phòng server.

9. Pháp y kỹ thuật số (Digital Forensics)

Chain of Custody: Hồ sơ theo dõi bằng chứng.
Write Blocker: Thiết bị ngăn ghi dữ liệu vào ổ cứng vật chứng.
Disk Imaging: Copy nguyên si từng bit để phân tích.

10. Quy trình ứng phó sự cố NIST (800-61)

Preparation: Chuẩn bị công cụ, team SOC.
Detection & Analysis: Phát hiện và xác định mức độ.
Containment, Eradication & Recovery: Ngăn chặn, loại bỏ và khôi phục.
Post-Incident Activity: Lessons Learned (Rút kinh nghiệm).

11. Các loại mã độc (Malware Deep Dive)

Trojan Horse: Đội lốt phần mềm hữu ích.
Ransomware: Mã hóa dữ liệu đòi tiền chuộc.
Spyware: Âm thầm theo dõi.
Botnet: Mạng máy tính bị điều khiển từ xa.

12. Các mô hình bảo mật kinh điển (Security Models)

Bell-LaPadula: Tập trung vào Bí mật (No Read Up, No Write Down).
Biba: Tập trung vào Toàn vẹn (No Read Down, No Write Up).
Clark-Wilson: Tách biệt quyền hạn để ngăn chặn gian lận.

🍯 Honeypot (Bình mật):

Hệ hệ thống giả vờ có lỗ hổng để dụ hacker vào quan sát kỹ thuật của họ.

13. Phân tích đối thủ cạnh tranh (Benchmarking)

Internal: So sánh nội bộ.
Competitive: So sánh trực tiếp đối thủ.
Functional: So sánh cty khác ngành có cùng quy trình.

14. Mô hình kinh doanh (Business Model Canvas)

Gồm 9 thành phần: Customer Segments, Value Propositions, Channels, Relationships, Revenue, Resources, Activities, Partnerships, Cost Structure.

📝 Luyện tập Part B (Exam Drills):

Câu hỏi: Tấn công Side-channel tập trung vào điều gì?
Đáp án
Tác vụ vật lý của phần cứng (thời gian, điện năng) khi thực thi thuật toán.
Câu hỏi: Trong mô hình Biba, tại sao lại quy định "No Write Up"?
Đáp án
Ngăn đối tượng tin cậy thấp làm bẩn dữ liệu của đối tượng tin cậy cao.
Câu hỏi: Chain of Custody quan trọng thế nào trong Forensics?
Đáp án
Nếu không có hồ sơ theo dõi liên tục, bằng chứng sẽ không được tòa án chấp nhận.
Câu hỏi: Giao thức nào dùng để gán địa chỉ IP động cho thiết bị trong mạng?
Đáp án
DHCP (Dynamic Host Configuration Protocol).

15. Các giao thức định tuyến (Routing Protocols)

RIP: Dựa trên số bước nhảy (Hop count). Tối đa 15 hops.
OSPF: Dựa trên trạng thái liên kết (Link State). Hiệu quả cho mạng lớn.
BGP: Giao thức định tuyến giữa các AS (Autonomous Systems) trên Internet.

16. Mã sửa lỗi (Error Correction Codes)

Parity Bit: Kiểm tra chẵn lẻ. Chỉ phát hiện được lỗi 1 bit, không sửa được.
Checksum: Tổng kiểm tra dữ liệu. Thường dùng trong TCP/IP.
Hamming Code: Có thể PHÁT HIỆN và SỬA lỗi 1 bit.
CRC (Cyclic Redundancy Check): Dùng phép chia đa thức để phát hiện lỗi khối dữ liệu lớn.

17. Mô hình phát triển phần mềm (SDLC)

Waterfall (Thác nước): Tuần tự từng bước. Phù hợp dự án yêu cầu rõ ràng, ít thay đổi.
Spiral (Xoắn ốc): Tập trung vào PHÂN TÍCH RỦI RO tại mỗi vòng lặp. Phù hợp dự án lớn, phức tạp.
V-Model: Nhấn mạnh mối quan hệ giữa các giai đoạn phát triển và kiểm thử tương ứng.
Prototyping: Làm bản dùng thử cho khách hàng xem trước để chốt yêu cầu.

Mô hình	Đặc điểm nổi bật	Nhược điểm
Waterfall	Dễ quản lý, rõ ràng.	Khó thay đổi giữa chừng.
Spiral	Quản lý rủi ro tốt.	Tốn chi phí và chuyên gia.
V-Model	Kiểm thử sớm.	Cứng nhắc như Waterfall.
Agile	Linh hoạt, phản hồi nhanh.	Khó dự toán ngân sách/thời gian.

📝 Luyện tập Part B (Exam Drills):

Câu hỏi: Mô hình nào nhấn mạnh nhất vào việc Phân tích rủi ro (Risk Analysis)?
Đáp án
Mô hình Xoắn ốc (Spiral Model).
Câu hỏi: Trong V-Model, giai đoạn Unit Test tương ứng với giai đoạn phát triển nào?
Đáp án
Module Design (Thiết kế chi tiết).

📝 Tip ôn tập:

Hãy tập trung vào việc hiểu LUỒNG dữ liệu (Data Flow) thay vì học thuộc lòng. Chúc các bạn may mắn!

DAY 90🇯🇵 セキュリティ実装

Hạ tầng bảo mật: Firewall, DMZ & VPN

90%

Quảng cáo • Advertisement

📢 Sponsor Ad

Google AdSense

lesson.content.title

lesson.content.subtitle

🎯 Xây dựng pháo đài

1. Firewall (Tường lửa)

Lọc gói tin ra/vào dựa trên IP và Port.

Packet Filtering: Chỉ nhìn header gói tin (Nhanh nhưng dễ bị lừa).
WAF (Web App Firewall): Nhìn được cả nội dung HTTP (Chặn được SQLi, XSS).

2. DMZ (Demilitarized Zone - Vùng phi quân sự)

Vùng đệm giữa Internet (Nguy hiểm) và Mạng nội bộ (An toàn).

graph TD Internet -- FW1 (Allow 80/443) --> DMZ[Web Server] DMZ -- FW2 (Allow 3306 Only from WebIP) --> Internal[DB Server] Internet --x FW2 --> Internal

3. VPN (Virtual Private Network)

Đường hầm bí mật để nhân viên làm việc từ xa truy cập vào mạng công ty an toàn qua Internet.

4. IDS vs IPS (Hệ thống giám sát và ngăn chặn)

IDS (Intrusion Detection System): Chỉ CẢNH BÁO khi thấy traffic lạ.
IPS (Intrusion Prevention System): CẢNH BÁO + CHẶN luôn traffic đó.

5. SIEM (Security Information and Event Management)

Phòng giám sát Camera trung tâm, thu thập và phân tích log từ Firewall, Server, DB.

6. Zero Trust Architecture (ZTA)

Triết lý: "Never Trust, Always Verify". Xác thực tại mọi bước.

7. Tấn công kênh kề (Side-channel Attacks)

Timing Attack: Đo thời gian CPU xử lý để đoán khóa.
Power Analysis: Đo lượng điện tiêu thụ để suy ngược ra khóa.

8. Social Engineering Deep Dive

Phishing: Email giả mạo.
Vishing: Gọi điện lừa đảo.
Tailgating: Đi theo sau nhân viên vào cửa phòng server.

9. Pháp y kỹ thuật số (Digital Forensics)

Chain of Custody: Hồ sơ theo dõi bằng chứng.
Write Blocker: Thiết bị ngăn ghi dữ liệu vào ổ cứng vật chứng.
Disk Imaging: Copy nguyên si từng bit để phân tích.

10. Quy trình ứng phó sự cố NIST (800-61)

Preparation: Chuẩn bị công cụ, team SOC.
Detection & Analysis: Phát hiện và xác định mức độ.
Containment, Eradication & Recovery: Ngăn chặn, loại bỏ và khôi phục.
Post-Incident Activity: Lessons Learned (Rút kinh nghiệm).

11. Các loại mã độc (Malware Deep Dive)

Trojan Horse: Đội lốt phần mềm hữu ích.
Ransomware: Mã hóa dữ liệu đòi tiền chuộc.
Spyware: Âm thầm theo dõi.
Botnet: Mạng máy tính bị điều khiển từ xa.

12. Các mô hình bảo mật kinh điển (Security Models)

Bell-LaPadula: Tập trung vào Bí mật (No Read Up, No Write Down).
Biba: Tập trung vào Toàn vẹn (No Read Down, No Write Up).
Clark-Wilson: Tách biệt quyền hạn để ngăn chặn gian lận.

🍯 Honeypot (Bình mật):

Hệ hệ thống giả vờ có lỗ hổng để dụ hacker vào quan sát kỹ thuật của họ.

13. Phân tích đối thủ cạnh tranh (Benchmarking)

Internal: So sánh nội bộ.
Competitive: So sánh trực tiếp đối thủ.
Functional: So sánh cty khác ngành có cùng quy trình.

14. Mô hình kinh doanh (Business Model Canvas)

Gồm 9 thành phần: Customer Segments, Value Propositions, Channels, Relationships, Revenue, Resources, Activities, Partnerships, Cost Structure.

📝 Luyện tập Part B (Exam Drills):

Câu hỏi: Tấn công Side-channel tập trung vào điều gì?
Đáp án
Tác vụ vật lý của phần cứng (thời gian, điện năng) khi thực thi thuật toán.
Câu hỏi: Trong mô hình Biba, tại sao lại quy định "No Write Up"?
Đáp án
Ngăn đối tượng tin cậy thấp làm bẩn dữ liệu của đối tượng tin cậy cao.
Câu hỏi: Chain of Custody quan trọng thế nào trong Forensics?
Đáp án
Nếu không có hồ sơ theo dõi liên tục, bằng chứng sẽ không được tòa án chấp nhận.
Câu hỏi: Giao thức nào dùng để gán địa chỉ IP động cho thiết bị trong mạng?
Đáp án
DHCP (Dynamic Host Configuration Protocol).

15. Các giao thức định tuyến (Routing Protocols)

RIP: Dựa trên số bước nhảy (Hop count). Tối đa 15 hops.
OSPF: Dựa trên trạng thái liên kết (Link State). Hiệu quả cho mạng lớn.
BGP: Giao thức định tuyến giữa các AS (Autonomous Systems) trên Internet.

16. Mã sửa lỗi (Error Correction Codes)

Parity Bit: Kiểm tra chẵn lẻ. Chỉ phát hiện được lỗi 1 bit, không sửa được.
Checksum: Tổng kiểm tra dữ liệu. Thường dùng trong TCP/IP.
Hamming Code: Có thể PHÁT HIỆN và SỬA lỗi 1 bit.
CRC (Cyclic Redundancy Check): Dùng phép chia đa thức để phát hiện lỗi khối dữ liệu lớn.

17. Mô hình phát triển phần mềm (SDLC)

Waterfall (Thác nước): Tuần tự từng bước. Phù hợp dự án yêu cầu rõ ràng, ít thay đổi.
Spiral (Xoắn ốc): Tập trung vào PHÂN TÍCH RỦI RO tại mỗi vòng lặp. Phù hợp dự án lớn, phức tạp.
V-Model: Nhấn mạnh mối quan hệ giữa các giai đoạn phát triển và kiểm thử tương ứng.
Prototyping: Làm bản dùng thử cho khách hàng xem trước để chốt yêu cầu.

Mô hình	Đặc điểm nổi bật	Nhược điểm
Waterfall	Dễ quản lý, rõ ràng.	Khó thay đổi giữa chừng.
Spiral	Quản lý rủi ro tốt.	Tốn chi phí và chuyên gia.
V-Model	Kiểm thử sớm.	Cứng nhắc như Waterfall.
Agile	Linh hoạt, phản hồi nhanh.	Khó dự toán ngân sách/thời gian.

📝 Luyện tập Part B (Exam Drills):

Câu hỏi: Mô hình nào nhấn mạnh nhất vào việc Phân tích rủi ro (Risk Analysis)?
Đáp án
Mô hình Xoắn ốc (Spiral Model).
Câu hỏi: Trong V-Model, giai đoạn Unit Test tương ứng với giai đoạn phát triển nào?
Đáp án
Module Design (Thiết kế chi tiết).

📝 Tip ôn tập:

Hãy tập trung vào việc hiểu LUỒNG dữ liệu (Data Flow) thay vì học thuộc lòng. Chúc các bạn may mắn!