Báo cáo đồ án tốt nghiệp

LỜI CẢM ƠN
Sau gần 3 tháng nỗ lực tìm hiều và thực hiện, đồ án “ Ứng dụng triển khai quản
trị tường lửa ASA bằng ASDM trong đảm bảo an ninh mạng.” đã được hoàn thành,
ngoài sự cố gắng hết mình của bản thân, em còn nhận được nhiều sự động viên, khích
lệ từ gia đình, thầy cô và bạn bè.
Đây là một đề tài khá hay mang tính thiết thực cao. Em đã nghiên cứu và cố
gắng thiết kế một hệ thống mạng cho đơn vị hoàn chỉnh nhất bằng hết khả năng của
mình. Tuy đã cố gắng hết sức song chắc chắn đề tài này không tránh khỏi những thiết
sót. Rất mong nhận được sự thông cảm và chỉ bảo tận tình của các Thầy cô và các bạn.
Em xin bày tỏ lòng biết ơn chân thành nhất đến Thầy Ths.Phạm Hồng Việt đã
tận tâm chỉ bảo và hướng dẫn tận tình trong suốt thời gian em thực hiện đề tài này.
Em cũng xin chân thành cảm ơn quý Thầy cô trong Khoa Công nghệ thông tin,
trường Đại học Công Nghệ Thông Tin và Truyền Thông – Thái Nguyên đã tận tình
giảng dạy, hướng dẫn, giúp đỡ và tạo điều kiện cho em thực hiện tốt đề tài này.
Mặc dù đã cố gắn hết sức để hoàn thành đồ án này,nhưng chắc chắn sẽ không
tránh khỏi những sai sót. Em rất mong nhận được sự thông cảm và đóng góp, chỉ bảo
tận tình của quý thầy cô và bạn bè!
Thái Nguyên, tháng 06 năm 2019
Sinh viên thực hiện:
Chu Việt Duy
1
2
LỜI MỞ ĐẦU
Với sự bùng nổ ngày càng mạnh mẽ của mạng Internet, các quốc gia các tổ
chức, các công ty và tất cả mọi người đang ngày càng xích lại gần nhau hơn. Khoảng
cách về địa lý ngày càng trở nên mờ dần và khái niệm một thế giới “phẳng” đang trở
nên rõ nét. Thật khó mà kể hết những lợi ích mà Internet mang lại cho con người và
cũng không thể tưởng tượng được một ngày thiếu Internet thì con người sẽ phải xoay
sở như thế nào. Đó không chỉ là một công cụ trao đổi thông tin nhanh chóng tin cậy
mà còn là kho thông tin vô tận, cập nhật, đa dạng và đầy đủ nhất. Có thể nói rằng
Internet là nguồn tài nguyên vô giá trong kỉ nguyên số hiện nay. Chính vì vậy việc
khai thác và tận dụng được tài nguyên mạng là mối quan tâm hàng đầu của các doanh
nghiệp. Công nghệ mạng Lan và mạng Wan phát triển đã thỏa mãn nhu cầu đó.
Tuy nhiên ngoài những lợi ích to lớn mạng Internet cũng ẩn chứa những nguy
cơ khôn lường về khả năng đánh cắp, phá hoại những tài sản thông tin của tổ chức dẫn
đến những hậu quả nghiêm trọng. Chính vì vậy công việc và trọng trách đặt lên vai của
những người làm công nghệ thông tin trên thế giới nói chung và ở Việt Nam nói riêng
không chỉ là nghiên cứu xây dựng và phát triển nhanh chóng mạng máy tính trong
nước để mọi người có thể khai thác tiềm năng hết sức phong phú trên Internet mà đồng
thời cũng phải nghiên cứu thực hiện tốt các biện pháp ngăn chặn, phòng chống, phát
hiện và phục hồi được các hành vi tấn công phá hoại trái phép trên mạng, nhằm đảm
bảo được tối đa sự phát triển cho các tổ chức kinh doanh…
Đồ án tốt nghiệp này sẽ giới thiệu các kiến thức chung về bảo mật mạng máy
tính, các công nghệ thường được sử dụng để bảo mật trên nền bộ giao thức TCP/IP,
3
giao thức chính trên Intenet và cụ thể đi sâu vào công nghệ Firewall một công nghệ
bảo mật phổ biến nhất hiện nay.
Phần cuối của đồ án em sẽ đưa ra phương pháp xây dựng một mô hình bảo mật
bằng Firewall cho hệ thống mạng doanh nghiệp.
Em xin chân thành cảm ơn sự chỉ bảo hướng dẫn tận tình của Thầy Phạm
Hồng Việt đã giúp em hoàn hành đồ án này.
4
TÓM TẮT VỀ ĐỀ TÀI
I. Mục tiêu
- Nắm được những kiến thức nền tảng về an ninh mạng.
- Nắm được kiến thức về công nghệ tường lửa ứng dụng trong đảm bảo an
ninh mạng.
- Có kỹ năng xây dựng và triển khai hệ thống an ninh mạng trong thực tế.
II. Phương pháp nghiên cứu

 Tìm hiểu về cơ sở lý thuyết của đề tài.
 Các công nghệ tường lửa hiện nay.
 Nghiên cứu về nguyên lý hoạt động của tường lửa, cầu hình quản trị tường
lửa bằng ASDM.
 Xây dựng các kịch bản mô phỏng.
III. Bố cục
* Nội dung của đồ án này được chia làm 3 chương như sau:
 Chương 1: Tìm hiểu về cơ sở lý thuyết của đề tài.
 Chương 2: Tổng quan về công nghệ firewall
 Chương 3: Ứng dụng và triển khai quản trị tường lửa ASA bằng ASDM.
5
MỤC LỤC
LỜI CẢM ƠN ..................................................................................................................1

LỜI MỞ ĐẦU .................................................................................................................3
TÓM TẮT VỀ ĐỀ TÀI ...................................................................................................5
MỤC LỤC .......................................................................................................................6
DANH MỤC CÁC HÌNH VẼ, BẢNG BIỂU .................................................................8
CHƯƠNG 1: CƠ SỞ LÝ THUYẾT ..............................................................................11
1.1 Tổng quan về mạng máy tính............................................................................11
1.2. Mô hình OSI ....................................................................................................12
1.3. Kiến trúc TCP/IP............................................................................................. 14
1.4. Một số giao thức cơ bản ..................................................................................19
1.4.1. Giao thức IP (Internet Protocol) ............................................................. 19
1.4.2. Giao thức UDP ( User Datagram Protocol ) .........................................23
1.4.3. Giao thức TCP ( Transmission Control Protocol ) .................................24
1.5. Qúa trình đóng mở gói dữ liệu khi truyền qua các lớpError! Bookmark not
defined.
CHƯƠNG 2 : CÔNG NGHỆ FIREWALL VÀ ỨNG DỤNG ......................................35
2.1 Lịch sử ra đời và phát triển của firewal ............................................................ 35
2.2. Định nghĩa firewall ..........................................................................................37
2.3. Phân loại firewall ............................................................................................. 37
2.3.1. Firewall phần mềm: ................................................................................37
2.3.2. Firewall phần cứng: ...............................................................................38
2.4. Chức năng của firewall ....................................................................................38
6
2.5 Nguyên tắc hoạt động của các loại firewall .....................................................41
2.5.1 Hoạt động của firewall “mềm” ............................................................... 41
2.5.2. Hoạt động của firewall “cứng” ............................................................... 44
2.5.3. Ứng dụng ACL .......................................................................................48
2.6 Firewall ASA ...................................................................................................54
2.6.1 Dòng sản phẩm ASA ...............................................................................54
2.6.2 Thuật toán bảo mật ASA ........................................................................55
2.6.3 Kiểm soát lưu lượng bằng ASA .............................................................. 64
2.6.4 Access Control ........................................................................................70
CHƯƠNG 3: TRIỂN KHAI VÀ QUẢN TRỊ TƯỜNG LỬA ASA BẰNG ASDM ....72
3.1 Sơ đồ mạng triển khai .......................................................................................72
3.2 Cài đặt ASDM...................................................................................................72
3.2.1 Chuẩn bị đề cài đặt ASDM......................................................................72
3.2.2 Cài đặt ASDM .........................................................................................73
3.3 Cấu hình bằng ASDM Launcher ......................................................................81
3.3.1 Cho phép toàn bộ mạng inside truy cập ra internet .................................81
3.3.2 Cho phép toàn bộ mạng inside truy cập Web-server .............................. 86
3.3.3 Cấu hình cho DMZ truy cập Internet ......................................................88
3.3.4 Cấu hình luật chặn insde truy cập web ....................................................90
KẾT LUẬN ...................................................................................................................94
TÀI LIỆU THAM KHẢO ............................................................................................. 95
7
DANH MỤC CÁC HÌNH VẼ, BẢNG BIỂU
Hình 1.1: Một mô hình liên kết các máy tính trong mạng ............................................12
Hình 1.2. Mô hình tham chiếu OSI ...............................................................................14
Hình 1.3. Kiến trúc TCP/IP ...........................................................................................15
Hình 1.4 Khuôn dạng IP datagram ................................................................................19
Hình 1.5 Phân lớp địa chỉ IP.........................................................................................22
Hình 1.6 Các lớp địa chỉ Internet ..................................................................................22
Hình 1.7 Khuôn dạng UDP datagram............................................................................24
Hình 1.8 Khuôn dạng TCP datagram ............................................................................26
Hình 1.9 Cơ chế cửa sổ trượt .........................................................................................28
Hình 1.10 Quá trình đóng /mở gói dữ liệu .................... Error! Bookmark not defined.
Hình 2.1 . Firewall làm màn chắn ngăn cách giữa mạng nội bộ và Internet .................37
Hình 2.2. Sơ đồ hoạt động của ISA Server ...................................................................43
Hình 2.3. Hoạt động của Standard ACL........................................................................46
Hình 2.4. Di chuyển của gói tin giữa các vùng có độ an toàn khác nhau .....................49
Hình 2.5. Chức năng phân vùng của firewall ................................................................ 51
Hình 2.6 . Quá trình phiên dich địa chỉ .........................................................................53
Hình 2.7 Sản phẩm ASA 5550 .....................................................................................55
Hình 2.8 Cơ chế stateful Firewall a.Figure 1-1 ............................................................ 56
Hình 2.9 Cơ chế stateful firewall b. Figure 1-2 ............................................................ 57
Hình 2.10 Cơ chế hoạt động của SNR..........................................................................59
Hình 2.11 Các bước làm việc của CTP .........................................................................61
Hình 2.12 Thuật toán khởi tạo chính sách – Policy Implementation ............................ 64
8
Hình 2.13 Ví dụ cấu hình NAT tĩnh ..............................................................................69
Hình 3.1 Sơ đồ mạng demo ...........................................................................................72
Hình 3.2 Copy file asdm vào ASA ................................................................................73
Hình 3.3 Cho dải IP: 172.16.30.0/24 truy cập vào HTTP .............................................74
Hình 3.4 Dowload ASDM Launcher .............................................................................75
Hình 3.5 Cài đặt Java .....................................................................................................76
Hình 3.6 Cài đặt Java hoàn tất .......................................................................................77
Hình 3.7 Cài đặt ASDM Launcher ................................................................................78
Hình 3.8 Cài đặt ASDM hoàn tất ..................................................................................79
Hình 3.8 Truy cập ASDM từ PC : 172.16.30.30/24 ......................................................80
Hình 3.9 Giao diện ASDM quản lý ASA ......................................................................81
Hình 3.10 Cấu hình static routes ...................................................................................82
Hình 3.11 Rule cho phép truy cập ra internet ................................................................ 83
Hình 3.12 Tạo object network và rules .........................................................................84
Hình 3.13 Ping ra internet ............................................................................................. 85
Hình 3.14 Truy cập web google.com ............................................................................86
Hình 3.15 Cho phép mạng inside truy cập web-server .................................................87
Hình 3.16 Mạng inside truy cập web-server .................................................................88
Hình 3.17 Nat địa chỉ ip Web-server .............................................................................89
Hình 3.18 DMZ truy cập google.com ...........................................................................90
Hình 3.19 Chặn truy cập www.zing.vn .........................................................................91
Hình 3.20 172.16.20.20 không truy cập được zing.vn ..................................................92
9
10
CHƯƠNG 1: CƠ SỞ LÝ THUYẾT
1.1 Tổng quan về mạng máy tính

Mạng máy tính là một tập hợp các máy tính được nối với nhau bởi môi trường
truyền (đường truyền) theo một cấu trúc nào đó và thông qua đó các máy tính trao đổi
thông tin qua lại cho nhau.
Môi trường truyền là hệ thống các thiết bị truyền dẫn có dây hay không dây
dùng để chuyển các tín hiệu điện tử từ máy tính này đến máy tính khác. Các tín hiệu
điện tử đó biểu thị các giá trị dữ liệu dưới dạng các xung nhị phân (on – off). Tất cả
các tín hiệu được truyền giữa các máy tính đều thuộc một dạng sóng điện từ. Tùy theo
tần số của sóng điện từ có thể dùng các môi trường truyền vật lý khác nhau để truyền
các tín hiệu. Ở đây môi trường truyền được kết nối có thể là dây cáp đồng trục, cáp
xoắn, cáp quang, dây điện thoại, sóng vô tuyến … Các môi trường truyền dữ liệu tạo
nên cấu trúc của mạng. Hai khái niệm môi trường truyền và cấu trúc là những đặc
trưng cơ bản của mạng máy tính.
11
Hình 1.1: Một mô hình liên kết các máy tính trong mạng
Tốc độ truyền dữ liệu trên đường truyền còn được gọi là thông lượng của
đường truyền – thường được tính bằng số lượng bit được truyền đi trong một giây
(bps).
1.2. Mô hình OSI
Bộ giao thức điều khiển truyền dẫn / giao thức Internet (TCP/IP) là một trong
những giao thức mạng được sử dụng rộng rãi nhất ngày nay. Ra đời và phát triển từ
những năm 1970 bởi APRA (Advance Research Projects Agency), TCP/IP cho phép
các hệ thống không đồng nhất có thể giao tiếp được với nhau. Ngày nay TCP/IP được
áp dụng rộng rãi trong cả mạng cục bộ cũng như các mạng diện rộng và trên toàn
Internet.
Trước khi xem xét giao thức TCP/IP chúng ta tìm hiểu 1 cách khái quát nhất
mô hình tham chiếu cho việc liên kết các hệ thống mở (Reference Model for Open
System Interconnection) OSI.
Như đã nói ở trên việc tồn tại nhiều kiến trúc mạng khác nhau và không tương
thích với nhau gây ra trở ngại cho việc trao đổi thông tin giữa các mạng này. Để tạo
khả năng hội tụ cho các sản phẩm mạng, tổ chức tiêu chuẩn hóa quốc tế đã xây dựng
một mô hình tiêu chuẩn cho các mạng gọi là mô hình tham chiếu cho việc liên kết các
hệ thống mở (Reference Model for Open System Interconnection) hay gọn hơn mô
hình tham chiếu OSI (OSI Reference Model).
Mô hình OSI gồm 7 tầng thực hiện các chức năng sau:
Tầng vật lý (Physical Layer): Là tầng thấp nhất, thực hiện việc bốc xếp các
chuỗi bit theo chỉ thị của tầng kết nối dữ liệu.
12
Tầng kết nối dữ liệu (Datalink Layer): Cung cấp phương tiện để truyền
thông tin qua giao diện vật lý. Có 2 chức năng cơ bản là điều khiển các liên kết logic
và điều khiển truy nhập đường truyền.
Tầng mạng (Network Layer): Thực hiện chức năng đình tuyến để tìm đường
đi tối ưu trên mạng ngoài ra còn chức năng chuyển mạch.
Tầng vận chuyển (Transport Layer): Vận chuyển dữ liệu giữa bên gửi và bên
nhận, có cơ chế điều khiển luồng, phát hiện và sửa sai đảm bảo độ tin cậy.
Tầng phiên (Session Layer): Thiết lập duy trì đồng bộ hóa các phiên truyền
thông.
Tầng trình diễn (Presentation Layer): Chuyển đổi cú pháp dữ liệu để đáp
ứng yêu cầu truyền dữ liệu của các ứng dụng qua môi trường truyền OSI.
Tầng ứng dụng (Application Layer): Đóng vai trò là giao diện giữa môi
trường OSI và người sử dụng, thu thập các yêu cầu của người sử dụng, xử lí và trao
cho tầng dưới đồng thời nhận kết quả xử lí của tầng dưới trao cho người dùng.
13
Hình 1.2. Mô hình tham chiếu OSI
1.3. Kiến trúc TCP/IP

Thông thường các giao thức được phát triển trong các tầng mà mỗi tầng lại có
chức năng riêng trong việc xử lý thông tin. Bộ giao thức TCP/IP là tổ hợp của nhiều
giao thức ở các tầng khác nhau nhưng thông thường mô hình phân lớp trong các hệ
thống TCP/IP được xem là mô hình giản lược của mô hình OSI gồm 4 lớp như sau:
14
Hình 1.3. Kiến trúc TCP/IP
1.Tầng liên kết (Network Interface Layer) (được gọi là tầng liên kết dữ liệu
hay còn gọi là tầng giao tiếp mạng): là tầng dưới cùng của mô hình TCP/IP bao gồm
thiết bị giao tiếp mạng và chương trình cung cấp các thông tin cần thiết để nó có thể
hoạt động, truy nhập đường truyền vật lý qua thiết bị giao tiếp mạng đó.
15
2. Tầng Internet (Internet Layer): thực hiện việc chọn đường và chuyển tiếp
các dữ liệu trên mạng. Trong bộ giao thức TCP/IP tầng mạng có một số giao thức hỗ
trợ cho việc vận chuyển các gói dữ liệu như IP (Internet Protocol), ICMP (Internet
Control Message Protocol) và IGMP ( Internet Group Management Protocol).
3. Tầng giao vận (Transport Layer): bao gồm các dịch vụ phân phát dòng dữ
liệu giữa 2 đầu cuối, phục vụ tầng ứng dụng ở bên trên. Trong bộ giao thức TCP/IP
16
tầng giao vận có 2 giao thức là TCP (Transmission Control Protocol) và UDP (User
Datagram Protocol)
- TCP là giao thức cung cấp dịch vụ vận chuyển dữ liệu theo kiểu hướng liên
kết (Connection Oriented) và tin cậy với việc phân chia dữ liệu thành các segment,
thiết lập các kết nối logic, phúc đáp, thiết lập thời lượng kiểm tra lỗi …
- UDP cung cấp các dịch vụ vận chuyển dữ liệu (mỗi đơn vị dữ liệu gọi là một
datagram) không hướng liên kết và thiếu tin cậy.
Bất kỳ yêu cầu tin cậy nào trong việc chuyển phát dữ liệu đều phải được
thêm bởi tầng ứng dụng.
17
4. Tầng ứng dụng (Application Layer) là tầng trên cùng của mô hình TCP/IP
bao gồm các tiến trình và các ứng dụng cung cấp cho người sử dụng để truy cập mạng.
Có rất nhiều ứng dụng cung cấp cho người sử dụng trong tầng này mà phổ biến là:
Telnet sử dụng trong việc truy cập mạng từ xa.
FTP (File Transfer Protocol) dịch vụ truyền tệp.
SMTP (Simple Mail Transfer Protocol ) dịch vụ thư tín điện tử.
WWW (World Wide Web).
Mô hình OSI ra đời trước đó là mô hình tham chiếu cho việc học tập và nghiên
cứu không có tính ứng dụng cao trong thực tiễn. Mô hình TCP/IP là kế thừa của mô
hình OSI và có tính ứng dụng cao cho việc quy chuẩn để xây dựng các hệ thống mạng
hiện nay. Tuy nhiên hai mô hình trên không loại trừ lẫn nhau mà tồn tại song song
đồng thời vì mục đích sử dụng của chúng tương hỗ cho nhau nhằm tiêu chuẩn hóa việc
xây dựng và phát triển hệ thống mạng truyền thông trên phạm vi toàn thế giới.
18
1.4. Một số giao thức cơ bản
1.4.1. Giao thức IP (Internet Protocol)
Mục đích của giao thức liên mạng IP là cung cấp khả năng kết nối các mạng
con thành liên kết mạng để truyền dữ liệu. IP là giao thức cung cấp dịch vụ phân phát
datagram theo kiểu không liên kết và không tin cậy nghĩa là không cần có giai đoạn
thiết lập liên kết trước khi truyền dữ liệu, không đảm bảo rằng IP datagram sẽ tới đích
và không duy trì bất kì thông tin nào về datagram đã gửi đi.
Khuôn dạng đơn vị dữ liệu dùng trong IP được thể hiện như trong hình 1.3
Ý nghĩa tham số các trường trong IP header:
 Version (4bit) chỉ version hiện tại của IP được cài đặt.
 Header length(4 bit) chỉ độ dài phần mào đầu của datagram. Bao gồm cả
phần lựa chọn Option tính theo đơn vị 32 bits, tối thiểu là 5 từ (32 byte) khi không có
Option
Hình 1.4 Khuôn dạng IP datagram

 TOS (Type of service 8 bits) chỉ loại dịch vụ. Các loại dịch vụ gồm có:
o Độ trễ nhỏ nhất
19
o Thông lượng lớn nhất
o Độ tin cậy cao nhất
o Chi phí thấp nhất
 Total length (16 bits) chỉ độ dài toàn bộ khung IP datagram tính theo bytes.
Dựa vào trường này và trường header length ta tính được vị trí bắt đầu của dữ liệu
trong IP datagram.
 Identification (16 bits) là trường định danh, cùng các tham số khác như
Source address và Destination address để định danh duy nhất cho mỗi datagram được
gửi tới 1 host. Thông thường phần Identification được tăng thêm 1 khi datagram được
gửi đi.
 Flags ( 3 bits )các cờ được sử dụng khi phân đoạn các datagram
0 1 2
0 DF MF
o bit 0: reserved chưa sử dụng có giá trị 0
o bit 1: ( DF ) = 0 (May fragment)
= 1 (Don’t fragment)
o bit 2 : ( MF) =0 (Last fragment)
=1 (More Fragment)
 Fragment offset (13 bits) chỉ vị trí của đoạn Fragment trong datagram tính
theo đơn vị 64 bits.
 TTL (8 bits) thiết lập thời gian tồn tại của datagram để tránh tình trạng
datagram đi lang thang trên mạng. TTL thường có giá trị 32 hoặc 64 tùy theo hệ điều
hành và được giảm đi 1 khi dữ liệu đi qua mỗi router. Khi trường này bằng 0 datagram
sẽ bị hủy bỏ và sẽ thông báo lại cho trạm gửi.
20
 Protocol (8 bits) chỉ giao thức tầng trên kế tiếp sẽ nhận vùng dữ liệu ở trạm
đích thường là TCP hay UDP.
 Header checksum (16 bits) để kiểm soát lỗi cho vùng IP header.
 Source address (32 bits) địa chỉ IP trạm nguồn.
 Destination Address (32 bits) địa chỉ IP trạm đích.
 Options (độ dài thay đổi) khai báo các tùy chọn do người sử dụng yêu cầu,
thường là:
o Độ an toàn và bảo mật.
o Bảng ghi tuyến mà datagram đã đi qua được ghi trên đường
truyền.
o Time stamp.
o Xác định danh sách địa chỉ IP mà datagram phải trải qua nhưng
không bắt buộc phải truyền qua router định trước.
o Xác định tuyến trong đó các router mà IP datagram phải được đi
qua
Địa chỉ IP (IP address)
Là số hiệu mã hóa để định danh một trạm trên mạng Internet được gọi là địa chỉ
IP. Mỗi địa chỉ IP có độ dài 32 bits được tách thành 4 vùng (mỗi vùng gồm 1 byte)
thường được biểu diễn dưới dạng thập phân có dấu chấm (Dotted-decimal notation),
người ta chia địa chỉ IP thành 5 lớp ký hiệu A,B,C,D,E với cấu trúc như :
21
Hình 1.5 Phân lớp địa chỉ IP
Lớp Khoảng địa chỉ

A 0.0.0.0 đến 127.255.255.255
B 128.0.0.0 đến 191.255.255.255
C 192.0.0.0 đến 223.255.255.255
D 224.0.0.0 đến 239.255.255.255
E 240.0.0.0 đến 247.255.255.255
Hình 1.6 Các lớp địa chỉ Internet

Để phân biệt giữa các lớp địa chỉ người ta dùng các bits đầu tiên của byte đầu tiên để
định danh lớp địa chỉ.
Định tuyến (IP routing)
Bên cạnh việc cung cấp địa chỉ để chuyển phát các gói tin, định tuyến là một
chức năng quan trọng của giao thức IP.
22
Ta thấy rằng lớp IP nhận datagram từ lớp dưới chuyển lên và có trách nhiệm
định tuyến cho các gói tin đó. Tại lớp IP mỗi thiết bị định tuyến có một bảng định
tuyến chứa đường đi tốt nhất đến một mạng nào đó. Các thiết bị định tuyến đó là
Router hoặc Switch Layer 3. Khi một gói tin được chuyển đến Router hoặc Switch địa
chỉ IP sẽ được đọc và xác định địa chỉ mạng đích, đường đi tới các mạng này sẽ được
tìm trong bảng định tuyến và nếu tìm thấy thì gói tin sẽ được gửi đến router kế tiếp
trên đường truyền xác định. Trong trường hợp đường đi không được tìm thấy thì gói
tin sẽ bị đẩy ra default gateway. Khi 1 gói tin đi lang thang trên mạng quá lâu vượt quá
giá trị TTL mà vẫn chưa tìm được đường đến đích thì gói tin đó sẽ bị hủy bỏ và sẽ có
1 thông báo lỗi gửi về cho máy gửi nhờ giao thức ICMP. Cơ chế định tuyến có thể
được thực hiện nhờ nhiều giao thức định tuyến khác nhau như RIP, IGMP,EIGRP,
OSPF, IS-IS… tùy vào quy mô mạng và độ tin cậy yêu cầu ta có thể lựa chọn giao
thức định tuyến thích hợp.
1.4.2. Giao thức UDP ( User Datagram Protocol )

UDP là giao thức không liên kết (connectionless oriented), cung cấp dịch vụ
giao vận không tin cậy (unrealiable) được sử dụng thay thế cho TCP trong tầng giao
vận. Khác với TCP, UDP không có chức năng thiết lập và giải phóng liên kết, không
có cơ chế báo nhận (ACK), không sắp xếp tuần tự các đơn vị dữ liệu (datagram) đến
và có thể dẫn đến tình trạng mất hoặc trùng dữ liệu mà không hề có cơ chế thông báo
lỗi cho người gửi. Khuôn dạng của UDP datagram được mô tả như sau:
16 bits số hiệu cổng nguồn 16 bits số hiệu cổng đích

8 byte
16 bits độ dài UDP 16 bits UDP checksum
23
Dữ liệu (nếu có)
Hình 1.7 Khuôn dạng UDP datagram
Số hiệu cổng nguồn (16 bits) số hiệu cổng nơi gửi datagram.
Số hiệu cổng đích (16 bits) số hiệu cổng nơi datagram được chuyển tới
Độ dài UDP (16 bits) độ dài tổng cộng kể cả phần header của gói tin UDP
datagram.
UDP Checksum (16 bits) dùng để kiểm soát lỗi, nếu phát hiện lỗi thì datagram
sẽ bị loại bỏ mà không có một thông báo nào trả lại cho trạm gửi.
UDP có cơ chế gán và quản lý các số hiệu cổng (port number) để định danh
duy nhất cho các ứng dụng chạy trên một máy của mạng. Do có ít chức năng phức tạp
nên UDP có xu thế hoạt động nhanh hơn so với TCP. Nó thường dùng cho các ứng
dụng không cần đòi hỏi độ tin cậy cao trong giao vận.
1.4.3. Giao thức TCP ( Transmission Control Protocol )
TCP và UDP là 2 giao thức ở tầng giao vận và cùng sử dụng giao thức IP trong
tầng mạng. Nhưng không giống như UDP, TCP cung cấp dịch vụ liên kết tin cậy
(realiable) và có liên kết (connetion oriented). Có nghĩa là 2 ứng dụng sử dụng TCP
phải thiết lập liên kết với nhau trước khi trao đổi dữ liệu. Sự tin cậy trong dịch vụ được
cung cấp bởi TCP thể hiện như sau :
 Dữ liệu từ tầng ứng dụng được gửi đến được TCP chia thành các segment có
kích thước phù hợp nhất để truyền đi.
24
 Khi TCP gửi đi 1 segment, nó duy trì một thời lượng để chờ phúc đáp từ máy
nhận. Nếu trong khoảng thời gian đó phúc đáp không được gửi đến thì
segment đó được truyền lại.
 Khi TCP trên trạm nhận nhận dữ liệu từ trạm gửi nó sẽ gửi tới trạm gửi một
phúc đáp, tuy nhiên phúc đáp này không được gửi lại ngay mà thường trễ một
khoảng thời gian.
 TCP duy trì giá trị tổng kiểm tra (checksum) trong phần header của dữ liệu để
nhận ra bất kì sự thay đổi nào trong quá trình truyền dẫn. Nếu 1 segment bị lỗi
thì TCP ở phía trạm nhận sẽ bị loại bỏ và không phúc đáp lại để trạm gửi
truyền lại segment bị lỗi đó.
 Giống như IP datagram, TCP segment có thể tới đích một cách không tuần tự.
Do vậy TCP ở trạm nhận sẽ sắp xếp lại dữ liệu và sau đó gửi lên tầng trên đảm
bảo tính đúng đắn của dữ liệu. Khi IP datagram bị trùng lặp TCP tại trạm nhận
sẽ loại bỏ dữ liệu trùng lặp đó.
 TCP cũng cung cấp khả năng điều khiển luồng, phần đầu của liên kết TCP có
vùng đệm (buffer) giới hạn do đó TCP tại trạm nhận chỉ cho phép trạm gửi
truyền một lượng dữ liệu nhất định (nhỏ hơn không gian bufer còn lại). Điều
này tránh xảy ra trường hợp host có tốc độ cao chiếm toàn bộ buffer của host
có tốc độ chậm hơn.
Khuôn dạng của TCP được mô tả trong hình 1.7 :
16 bits source port number 16 bits destination port number
25
32 bits sequence number
32 bits acknowledgement number
4 bits UAP RS F
6 bits
header RCS S YI 16 bits windows size
Reserved
length GKHT NN
16 bits TCP checksum 16 bits urgent pointer
Options ( Nếu có )
Data (Nếu có)
Hình 1.8 Khuôn dạng TCP datagram

Source Port (16 bits ) là số hiệu cổng của trạm nguồn.
Destination Port (16 bits ) là số hiệu cổng của trạm đích.
Sequence Number (32 bits) là số hiệu byte đầu tiên của segment trừ khi bit
SYN được thiết lập. Nếu bit SYN được thiết lập thì sequence number là số hiệu tuần
tự khởi đầu ISN (Initial Sequence Number ) và byte dữ liệu đầu tiên là ISN + 1. Thông
thường trường này là TCP thực hiện việc quản lý từng byte truyền đi trên một kết nối
TCP.
Acknowledgment Number (32 bits). Số hiệu của segment tiếp theo mà trạm
nguồn đang chờ nhận và ngầm định báo nhận tốt các segment mà trạm đích đã gửi cho
trạm nguồn.
26
Header Length (4 bits). Số lượng từ (32bit) trong TCP header, chỉ ra vị trí bắt
đầu của từng vùng dữ liệu vì trường Option có độ dài thay đổi. header length có giá trị
từ 20 đến 60 bytes.
Reserved (6 bits). Dành để dùng trong tương lai.
Control bits : các bit dùng để điều khiển
o URG : xác định vùng con trỏ khẩn có hiệu lực.
o ACK : vùng báo nhận ACK number có hiệu lực.
o PSH : chức năng PUSH.
o RST : khởi động lại liên kết.
o SYN : đồng bộ hóa các số hiệu tuần tự (Sequence number).
o FIN : không còn dữ liệu từ trạm nguồn .
Window size (16 bits) : cấp phát thẻ để kiểm soát luồng dữ liệu (cơ chế cửa sổ
trượt). đây chính là số lượng các byte dữ liệu bắt đầu từ byte được chỉ ra trong vùng
ACK number mà trạm nguồn sẵn sàng nhận
Checksum (16 bits). Mã kiểm soát lỗi cho toàn bộ segment cả phần header và
dữ liệu.
Urgent Pointer (16 bits). Con trỏ trỏ tới số hiệu tuần tự của byte cuối cùng
trong dòng dữ liệu khẩn cho phép bên nhận biết được độ dài dữ liệu khẩn. Vùng này
chỉ có hiệu lực khi bit đầu URG được thiết lập.
Option (độ dài thay đổi). Khai báo các tùy chọn của TCP trong đó thông
thường là kích thước cực đại của 1 segment MSS (Maximum Segment Size).
TCP data (độ dài thay đổi ). Chứa dữ liệu của tầng ứng dụng có độ dài ngầm
định là 563 byte. Giá trị này có thể điều chỉnh được bằng cách khai báo trong vùng
Option.
27
Cơ chế cửa sổ trượt (sliding window)
Như ta đã biết dữ liệu được trạm gửi truyền đi sau đó phải dừng lại để chờ trạm
nhận phúc đáp rằng đã nhận được khối dữ liệu đó trước khi nhận khối dữ liệu tiếp
theo. Nhưng TCP sử dụng phương thức điều khiển luồng sử dụng cửa sổ trượt tức là
cho phép trạm gửi có thể truyền nhiều gói dữ liệu trước khi dừng lại để chờ phúc đáp.
Điều này làm tăng tốc độ truyền dữ liệu đặc biệt là với khối lượng dữ liệu lớn. Với cơ
chế cửa sổ trượt trạm nhận không phải phúc đáp mỗi gói dữ liệu nhận được mà thay
vào đó phúc đáp chung cho trạm gửi rằng đã nhận được tất cả các gói dữ liệu từ gói
đầu tiên đến gói thứ sequence number -1. Cơ chế cửa sổ trượt có quy trình như sau:
Hình 1.9 Cơ chế cửa sổ trượt
Như trên hình trên ta thấy offer window là cửa sổ thông báo bởi trạm nhận có
kích thước là 6 byte ( từ byte thứ 4 tới byte thứ 9 ) điều đó có nghĩa rằng trạm nhận đã
phúc đáp nhận tốt các byte từ 1 tới 3 và thông báo cho trạm gửi kích thước cửa sổ là 6.
28
Trạm gửi sẽ tính kích thước cửa sổ sử dụng hay cửa sổ lượng dữ liệu mà nó có thể gửi đi.
Trong quá trình truyền dữ liệu, cửa sổ trượt về phía phải khi trạm nhận gửi phúc đáp.
TCP cung cấp một chế độ khẩn cho phép trạm gửi thông báo cho trạm nhận
rằng có một vài gói dữ liệu ưu tiên được truyền trong dòng dữ liệu thông thường. Trạm
nhận sẽ xác nhận bởi bit URG được thiết lập trong phần TCP Header. Con trỏ Urgent
pointer sẽ trỏ tới số hiệu tuần tự của byte cuối cùng trong dữ liệu khẩn. Tầng ứng dụng
được thông báo để xử lí dữ liệu trong chế độ khẩn cho tới khi nhận được segment có
sequence number lớn hơn sequence number được chỉ ra bởi urgent pointer. telnet và
Rlogin sử dụng chế độ khẩn giữa server và client để tránh tình trạng ngắt đường truyền
bởi cơ chế điều khiển luồng của TCP (thông báo window bằng 0) khi đó của sổ sẽ
được mở cho phép bên nhận vẫn có thể đọc dữ liệu. Nếu trạm gửi thiết lập nhiều lần
chế độ khẩn trong khi trạm nhận chưa xử lý dữ liệu của chế độ khẩn đầu tiên thì urgent
pointer sẽ viết đè lên các giá trị trước đó. Điều này có nghĩa là trạm nhận chỉ quy định
một urgent pointer và nội dung dữ liệu khẩn gửi đi bởi trạm nguồn sẽ viết đè lên nội
dung trước đó.
1.5 Tổng quan về quản trị mạng

Quản trị mạng được định nghĩa là các công việc quản trị mạng lưới bao gồm cung cấp
các dịch vụ hỗ trợ, đảm bảo mạng lưới hoạt động hiệu quả, đảm bảo mạng lưới cung
cấp đúng chỉ tiêu định ra.
1.5.1 Khái quát công việc quản trị mạng bao gồm:
-Quản trị cấu hình, tài nguyên mạng: Bao gồm các công tác quản lý, kiểm soát cấu
hình, quản lý tài nguyên cấp phát cho các đối tượng sử dụng khác nhau.
29
- Quản trị người dùng, dịch vụ mạng: bao gồm các công tác quản lý người sử
dụng trên hệ thống và đảm bảo dịch vụ cung cấp có độ tin cậy cao, chất lượng đảm
bảo theo đúng các chỉ tiêu đã đề ra.
- Quản trị hiệu năng, hoạt động mạng: bao gồm các công tác quản lý, giám sát
hoạt động mạng lưới, đảm bảo các hoạt động của thiết bị hệ thống ổn định.
-Quản trị an ninh, an toàn mạng: bao gồm các công tác quản lý, giám sát mạng lưới,
các hệ thống để đảm bảo phòng tránh các truy nhập trái phép. Việc phòng chống, ngăn
chặn sự lây lan của các loại virus máy tính, các phương thức tấn công như Dos làm tê
liệt hoạt động của mạng cũng là một phần rất quan trọng trong công tác quản trị, an
ninh, an toàn mạng.
1.6 Bảo mật mạng máy tính
1.6.1 Định nghĩa bảo mật mạng máy tính
Bảo mật mạng là sự đảm bảo an toàn của toàn bộ hệ thống mạng trước những hoạt
động nhằm tấn công phá hoại hệ thống mạng cả từ bên trong như bên ngoài.
Hoạt động phá hoại là những hoạt động như xâm nhập trái phép sử dụng tài
nguyên trái phép ăn cắp thông tin, các hoạt động giả mạo nhằm phá hoại tài nguyên
mạng và cơ sở dữ liệu của hệ thống.
Vấn đề bảo mật mạng luôn là một vấn đề bức thiết khi ta nghiên cứu một hệ thống
mạng. Hệ thống mạng càng phát triển thì vấn đề bảo mật mạng càng được đạt lên
hàng đầu.
Khi nguyên cứu một hệ thống mạng chúng ta cần phải kiểm soát vấn đề bảo mật
mạng ở các cấp độ sau:
• Mức mạng: Ngăn chặn kẻ xâm nhập bất hợp pháp vào hệ thống mạng.
30
• Mức server: Kiểm soát quyền truy cập, các cơ chế bảo mật, quá trình nhận
dạng người dùng, phân quyền truy cập, cho phép các tác vụ
• Mức cơ sở dữ liệu: Kiểm soát ai? được quyền như thế nào? với mỗi cơ sở
dữ liệu
• Mức trường thông tin: Trong mỗi cơ sở dữ liệu kiểm soát được mỗi trường dữ
liệu chứa thông tin khác nhau sẽ cho phép các đối tượng khác nhau có quyền truy
cập khác nhau.
• Mức mật mã: Mã hoá toàn bộ file dữ liệu theo một phương pháp nào đó và
chỉ cho phép người có “ chìa khoá” mới có thể sử dụng được file dữ liệu.
1.6.2 Các kiểu tấn công mạng
a) Thăm dò (reconnaissance)
Đó chính là hình thức hacker gửi vài thông tin truy vấn về địa chỉ IP hoặc domain
name bằng hình thức này hacker có thể lấy được thông tin về địa chỉ IP và
domain name từ đó thực hiện các biện pháp tấn công khác…
b) Packet sniffer
Packet sniffer là phần mềm sử dụng NIC card ở chế độ “promisscuous” để bắt tất cả
các gói tin trong cùng miền xung đột. Nó có thể khai thác thông tin dưới dạng clear
Text.
c) Đánh lừa (IP spoofing)
Kỹ thuật này được sử dụng khi hacker giả mạo địa chỉ IP tin cậy trong mạng nhằm
thực hiện việc chèn thông tin bất hợp pháp vào trong phiên làm việc hoặc thay đổi
bản tin định tuyến để thu nhận các gói tin cần thiết.
31
d) Tấn công từ chối dịch vụ (Denial of services)
Kiểu tấn công này nhằm tắc nghẽn mạng bằng cách hacker gửi các gói tin với tốc độ
cao và liên tục tới hệ thống bảo mật nhằm làm tê liện hệ thống chiếm hết băng
thông sử dụng.
e) Tấn công trực tiếp password
Đó là kiểu tấn công trực tiếp vào username và password của người sử dụng nhằm ăn
cắp tài khoải sử dụng vào mục đích tấn công. Hacker dùng phần mềm để tấn công (
vị dụ như Dictionary attacks ).
f) Thám thính (agent)
Hacker sử dụng các các phần mềm vius, trojan thường dùng để tấn công vào máy
trạm làm bước đệm để tấn công vào máy chủ và hệ thống. Kẻ tấn công có thể nhận
được các thông tin hữu ích từ máy nạn nhân thông qua các dịch vụ mạng.
g) Tấn công vào yếu tố con người
Hacker có thể tấn công vào các lỗ hổng do lỗi nhà quản trị hệ thống hoặc liên lạc với
nhà quản trị hệ thống giả mạo là người sủ dụng thay đổi username và password.
1.6.3 Các mức độ bảo mật
32
Hình 1.10 Các mức độ bảo mật
• Quyền truy nhập
Đây là lớp bảo vệ sâu nhất nhằm kiểm soát tài nguyên mạng kiểm soát ở mức độ file
và việc xác định quyền hạn của người dùng do nhà quản trị quyết định như: chỉ
đọc( only read), chỉ ghi (only write), thực thi(execute).
• Đăng nhập / Mật khẩu (login/password)
Đây là lớp bảo vệ mức độ truy nhập thông tin ở mức độ hệ thống. Đây là mức độ bảo
vệ được sử dụng phổ biến nhất vì nó đơn giản và ít tốn kém. Nhà quản trị cung cấp
cho mỗi người dùng một username và password và kiểm soát mọi
hoạt động của mạng thông qua hình thức đó. Mỗi lần truy nhập mạng người dùng
phải đăng nhập Username và password, hệ thống kiểm tra hợp lệ mới cho đăng nhập
• Mã hóa dữ liệu (Data encryption)
33
Đó là sử dụng các phương pháp mã hoá dữ liệu ở bên phát và thực hiện giải mã ở
bên thu bên thu chỉ có thể mã hóa chính xác khi có khoá mã hóa do bên phát cung
cấp.
• Bảo vệ vật lý (Physical protect)
Đây là hình thức ngăn chạn nguy cơ truy nhập vật lý bất hợp pháp vào hệ thống như
ngăn cấm tuyệt đối người không phận sự vào phòng đặt máy mạng, dùng ổ khoá máy
tính, hoặc cài đặt cơ chế báo động khi có truy nhập vào hệ thống.
• Bức tường lửa (firewall)
Đây là hình thức ngăn chặn sự xâm nhập bất hợp pháp vào mạng nội bộ thông qua
firewall. Chức năng của tường lửa là ngăn chặn các truy nhập trái phép (theo danh
sách truy nhập đã xác định trước) và thậm chí có thể lọc các gói tin mà ta không muốn
gửi đi hoặc nhận vào vì một lý do nào đó. Phương thức bảo vệ này được dùng nhiều
trong môi trường liên mạng Internet.
34
CHƯƠNG 2 : TỔNG QUAN VỀ CÔNG NGHỆ FIREWALL
2.1 Lịch sử ra đời và phát triển của firewal

Công nghệ Firewall bắt đầu xuất hiện vào cuối những năm 1980 khi Internet
vẫn còn là một công nghệ khá mới mẻ theo khía cạnh kết nối và sử dụng trên toàn cầu.
Ý tưởng đầu tiên được đã hình thành sau khi hàng loạt các vụ xâm phạm nghiêm trọng
đối với an ninh liên mạng xảy ra vào cuối những năm 1980. Năm 1988, một nhân viên
tại trung tâm nghiên cứu NASA Ames tại California gửi một bản ghi nhớ qua thư điện
tử tới đồng nghiệp rằng: "Chúng ta đang bị một con VIRUS Internet tấn công! Nó đã
đánh Berkeley, UC San Diego, Lawrence Livermore, Stanford, và NASA Ames." Con
virus được biết đến với tên Sâu Morris này đã được phát tán qua thư điện tử và khi đó
đã là một sự khó chịu chung ngay cả đối với những người dùng vô thưởng vô phạt
nhất. Sâu Morris là cuộc tấn công diện rộng đầu tiên đối với an ninh Internet. Cộng
đồng mạng đã không hề chuẩn bị cho một cuộc tấn công như vậy và đã hoàn toàn bị
bất ngờ. Sau đó, cộng đồng Internet đã quyết định rằng ưu tiên tối cao là phải ngăn
chặn không cho một cuộc tấn công bất kỳ nào nữa có thể xảy ra, họ bắt đầu cộng tác
đưa ra các ý tưởng mới, những hệ thống và phần mềm mới để làm cho mạng Internet
có thể trở lại an toàn.
Năm 1988, bài báo đầu tiên về công nghệ tường lửa được công bố, khi Jeff
Mogul thuộc Digital Equipment Corp phát triển các hệ thống lọc đầu tiên được biết
đến với tên các tường lửa lọc gói tin(packet filtering firewall ). Hệ thống khá cơ bản
này đã là thế hệ đầu tiên của cái mà sau này sẽ trở thành một tính năng kỹ thuật an
toàn mạng được phát triển cao. Từ năm 1980 đến năm 1990, hai nhà nghiên cứu tại
phòng thí nghiệm AT&T Bell, Dave Presetto và Howard Trickey, đã phát triển thế
35
hệ tường lửa thứ hai, được biết đến với tên các tường lửa tầng mạch (circuit level
firewall). Các bài báo của Gene Spafford ở Đại học Purdue, Bill Cheswick ở phòng
thí nghiệm AT&T và Marcus Ranum đã mô tả thế hệ tường lửa thứ ba, với tên gọi
tường lửa tầng ứng dụng (application layer firewall), hay tường lửa dựa proxy (proxy-
based firewall). Nghiên cứu công nghệ của Marcus Ranum đã khởi đầu cho việc tạo
ra sản phẩn thương mại đầu tiên. Sản phẩm này đã được Digital Equipment
Corporation's (DEC) phát hành với tên SEAL. Đợt bán hàng lớn đầu tiên của DEC là
vào ngày 13 tháng 9 năm 1991 cho một công ty hóa chất tại bờ biển phía Đông của
Mỹ.
Tại AT&T, Bill Cheswick và Steve Bellovin tiếp tục nghiên cứu của họ về lọc
gói tin và đã phát triển một mô hình chạy được cho công ty của chính họ, dựa trên kiến
trúc của thế hệ tường lửa thứ nhất của mình. Năm 1992, Bob Braden và Annette
DeSchon tại Đại học Nam California đã phát triển hệ thống tường lửa lọc gói tin thế
hệ thứ tư. Sản phẩm có tên “Visas” này là hệ thống đầu tiên có một giao diện với màu
sắc và các biểu tượng, có thể dễ dàng cài đặt thành phần mềm cho các hệ điều hành
chẳng hạn Microsoft Windows và Mac/OS của Apple và truy nhập từ các hệ điều hành
đó. Năm 1994, một công ty Israel có tên Check Point Software Technologies đã xây
dựng sản phẩm này thành một phần mềm sẵn sàng cho sử dụng, đó là FireWall-1. Một
thế hệ thứ hai của các tường lửa proxy đã được dựa trên công nghệ Kernel Proxy.
Thiết kế này liên tục được cải tiến nhưng các tính năng và mã chương trình cơ bản
hiện đang được sử dụng rộng rãi trong cả các hệ thống máy tính gia đình và thương
mại. Cisco, một trong những công ty sản xuất thiết bị mạng lớn nhất trên thế giới đã
phát hành sản phẩm này năm 1997.
36
Thế hệ FireWall-1 mới tạo thêm hiệu lực cho động cơ kiểm tra sâu gói tin bằng
cách chia sẻ chức năng này với một hệ thống ngăn chặn xâm nhập.
2.2. Định nghĩa firewall
Firewall theo tiếng việt có nghĩa là Bức Tường lửa . Dùng để ngặn chặn và bảo
vệ những thông tin và chống việc truy cập bất hợp pháp của các hacker. Firewall là
một giải pháp dựa trên phần cứng và phần mềm dùng để kiểm tra dữ liệu đi từ bên
ngoài vào máy tính hoặc từ máy tính ra ngoài mạng Internet, rộng hơn là giữa ma ̣ng
nội bộ và Internet, và giữa các ma ̣ng con trong hệ thống mạng nội bộ của công ty.
Hình 2.1 . Firewall làm màn chắn ngăn cách giữa mạng nội bộ và Internet
Có thể nói Firewall là nguời bảo vệ có nhiệm vụ kiểm tra “giấy thông hành”
của bất kì gói dữ liệu đi vào hoặc đi ra. Nó chỉ cho phép những gói dữ liệu hợp lệ đi
qua và loại bỏ tất cả các gói dữ liệu không hợp lệ .Vì vậy mà Firewall rất cần thiết cho
việc đảm bảo an toàn trên hệ thống mạng.
2.3. Phân loại firewall

2.3.1. Firewall phần mềm:
Là các ứng dụng chạy trên các hệ điều hành như Microsoft Window hay
Mac/OS , đối với window XP đã được tích hợp sẵn. Firewall phần mềm thường không
37
đắt tiền bằng phần cứng thậm chí còn được cho sử dụng miễn phí, so với Firewall
phần cứng thì Firewall phần mềm linh động hơn nó có thể chạy tốt trên nhiều Hệ Điều
Hành khác nhau. Một trong những Firewall phần mềm phổ biến là Zonealarm, ISA,
Checkpoint…
2.3.2. Firewall phần cứng:

Là các thiết bị phần cứng chuyên dụng có chức năng và mức độ bảo vệ cao hơn
so với Firewall phần mềm và dễ bảo trì hơn do không chiếm dụng tài nguyên hệ thống
như Firewall phần mềm. Một trong những hãng chuyên cung cấp Firewall phần cứng
là Linkksys và NetGar. Các sản phẩm firewall cứng được sử dụng rộng rãi hiện nay là
dòng ASA, PIX của Cisco System và Netscreen của Juniper.
2.4. Chức năng của firewall

Firewall thực hiện 3 chức năng điều khiển truy nhập (Access control), quản lý xác
thực (Authentication) và ghi nhật ký truy nhập (activity logging).
Do chốt chặn tại điểm vào, ra của hệ thống mạng nội bộ, Firewall điểu khiển và kiểm
soát được dòng thông tin qua lại nó cụ thể như sau:
 Cho phép / Ngăn chặn một dịch vụ nào đó truy cập ra ngoài hoặc vào trong
 Cho phép / Ngăn chặn một tập, dải các IP nào đó được phép truy cập tới
hoặc truy cập đi
 Cho phép / Ngăn chặn một giao thức nào đó được quyền đi qua hay không
 Theo dõi, có thể thống kê lưu lượng thông tin trao đổi giữa bên ngoài và bên
trong
 Kiểm soát người dùng và việc truy cập của người dùng
38
Các giải pháp tường lửa
2.4.1. Firewall tầng mạng – Bộ lọc gói tin (Packets filters)
Firewall này hoạt động ở tầng mạng trong mô hình OSI hoặc IP của TCP/IP. Ở đây,
các gói tin đến và đi sẽ đi qua bộ lọc, chỉ những gói tin nào phù hợp mới được đi tiếp,
còn không chúng sẽ bị loại bỏ. Các Firewall hiện đại ngày nay có thể tiến hành lọc các
gói tin dựa trên rất nhiều trường như theo địa chỉ IP, port nguồn, port đích, dịch vụ
đích, giá trị Time to live…
Ưu Nhược
 Khó khi gặp trường hợp lừa

 Đơn giản, dễ thực thi
đảo (spoofing) các thông tin
 Nhanh, dễ sử dụng
trong gói tin
 Chi phí thấp, đảm bảo được
 Không thực hiện được việc xác
hiệu năng
thực người dùng
Một số loại Firewall nổi tiếng loại này đó là ipf (Unix), ipfw (FreeBSD / Mac OS
X), pf (Open BSD), iptables(Ubuntu / Linux):
 Firewall giữ trạng thái
Loại Firewall này lưu lại trạng thái của các phiên làm việc đang hoạt động. Nó sử
dụng thông tin trạng thái để tăng tốc xử lý các gói tin. Bất kỳ các kết nối đang diễn ra
đều có rất nhiều các thuộc tính kèm theo, như địa chỉ IP nguồn, đích, cổng TCP hoặc
UDP, trạng thái của kết nối đó (thông tin khởi tạo phiên, quá trình handshake, dữ liệu
chuyển qua loại)
39
Nếu một gói tin gửi đến, nó sẽ bị kiểm tra xem có phù hợp với các luật của một kết nối
đang có hay không, nếu có, nó sẽ được pass qua mà không xử lý gì thêm, nếu không
nó sẽ được xử lý và coi như của một kết nối mới.
 Firewall không trạng thái
Ưu điểm của loại này đó là đòi hỏi ít về bộ nhớ, có tốc độ lọc nhỉnh hơn nếu chỉ cần
lọc gói tin ở mức độ thấp (không mất thời gian tìm kiếm session). Tuy nhiên, nó không
thể đưa ra các quyết định phức tạp dựa trên trạng thái của kết nối
2.4.2. Firewall tầng ứng dụng
Đây là một dạng của firewall quản lý, vào, ra, bởi một phần mềm hoặc dịch vụ. Chúng
có thể lọc các gói tin ở tầng ứng dụng trong mô hình OSI chẳng hạn như các Http GET
/ POST; ghi lại các hoạt động vào ra, login logout của user. Điều này không thể thực
hiện được với các Firewall tầng dưới. Nó cũng giúp cho một ứng dụng xác định xem
liệu có nên chấp nhận một kết nối nào kết nối tới không.
2.4.3. Proxy Server
Một Proxy Server (có thể là phần cứng hoặc phần mềm) sẽ đóng vai trò là Firewall
bằng cách phản hồi tới các gói tin input (ví dụ các connection request) như một phần
mềm thông thường, nhưng sẽ chặn lại các gói tin không hợp lệ.
Proxy làm cho việc tamper dữ liệu mạng cần bảo vệ từ bên ngoài trở nên khó khắn
hơn.
Ở một số công ty chú trọng tới bảo mật thông tin hiện nay, hình thức này khá phổ biến.
Tất cả các máy trọng mạng con muốn kết nối ra ngoài Internet đều phải đi qua proxy
này.Vì vậy, việc kiểm duyệt các luồng thông tin ra vào hệ thống cần bảo vệ được quản
lý tập trung và dễ dàng bảo trì.
40
2.4.4. Network Address Translation (NAT)
Firewall thường có chức năng NAT, các địa chỉ chính xác của các máy trong mạng
con sẽ được giấu đi. Ban đầu, NAT được phát triển để giải quyết số lượng hạn chế địa
chỉ IPv4, từ đó có thể tiết kiệm được việc phải cấp địa chỉ public cho các máy tính của
một tổ chức hay công ty nào đó. Việc giấu đi địa chỉ của các thiết bị cần bảo vệ dần trở
thành vấn đề ngày càng quang trọng trong việc phòng chống các phần mềm quét lỗ
hổng.
2.5 Nguyên tắc hoạt động của các loại firewall

2.5.1 Hoạt động của firewall “mềm”
Như đã nói trong chương 1 của phần này, Firewall “mềm” là các ứng dụng có
tính chất điều khiển lưu thông giữa các mạng hay giữa 1 hệ thống với Internet. Một
trong những firewall mềm đơn giản và được sử dụng rộng rãi hiện nay là ISA Server
2004. Các sản phẩm firewall mềm khác đều có những đặc điểm hoạt động chung nhất
tương tự như ISA và phần này tôi sẽ giới thiệu chi tiết về phần mềm này là một điển
hình của firewall mềm:
Đặc điểm của ISA Server 2006
Các đặc điểm của ISA Server 2006 là:

- Cung cấp tính năng Multi – Networking: Kĩ thuật thiết lập các chính sách truy
cập dựa trên địa chỉ mạng, thiết lập firewall để lọc thông tin dựa trên từng địa chỉ
mạng con, …
Unique per – network policies: đặc điểm của multi – networking được cung cấp
trong ISA cho phép bảo vệ hệ thống mạng cục bộ bằng cách giới hạn truy xuất của các
41
Client ra bên ngoài Internet, chỉ cho phép các Client bên ngoài truy xuất các server
trên mạng ngoại vi, không cho phép Client bên ngoài truy xuất vào mạng nội bộ.
o Stateful inspection of all traffic: cho phép giám sát tất cả các lưu lượng mạng.
o NAT and Route network relationships: Cung cấp kĩ thuật NAT và định tuyến
dữ liệu cho các mạng con.
o Network template: Cung cấp các mô hình mẫu về một số kiến trúc mạng,
kèm theo một số luật cần thiết cho các network template tương ứng.
- Cung cấp một số đặc điểm mới để thiết lập mạng riêng ảo (VPN Network) và
các truy cập từ xa, ghi nhận log, quản lý session cho từng VPN Server, thiết lập chính
sách truy cập cho từng VPN Client, cung cấp tính năng tương thích với VPN trên các
hệ thống khác.
- Cung cấp một số kĩ thuật bảo mật và thiết lập tường lửa cho hệ thống như
Authentication, Publish Server.
- Cung cấp một số kĩ thuật Cache thông minh để tăng tốc độ truy xuất mạng,
giảm tải cho đường truyền, Web Proxy để chia sẻ cung cấp Web.
- Cung cấp một số tính năng quản lý như: giám sát lưu lượng, reporting qua
Web, export và import cấu hình từ XML,…
Application Layer – Filtering (ALF): là một trong những đặc điểm mạnh của
ISA Server 2006, không giống như packet filtering firewall truyền thống, ISA
2006 có thể thao tác sâu hơn như có thể lọc gói tin trong tầng ứng dụng.
42
Hình 2.2. Sơ đồ hoạt động của ISA Server
43
2.5.2. Hoạt động của firewall “cứng”
2.5.2.1. Cơ chế lọc gói tin (packet filtering)
Cơ chế lọc gói tin của firewall cứng như dòng ASA, PIX của CISCO dựa trên
hoạt động của Access Control List (ACL) hay còn gọi là danh sách điều khiển truy
nhập. Vậy nguyên tắc hoạt động của ACL như thế nào.
ACL định nghĩa ra các luật được sử dụng để ngăn chặn các gói tin lưu thông trên
mạng. Một ACL là tập hợp của nhiều câu lệnh (statements) liên tiếp dùng để so sánh
với các thông tin điều khiển trong trường header của gói tin IP, thông qua đó mà thiết
bi firewall thực hiện một trong 2 hành vi là chặn gói tin lại hoặc cho phép đi qua.
Danh sách điều khiển truy nhập IP (IP access control lists) khiến bộ định tuyến hủy bỏ
những gói tin dựa trên những tiêu chí đặt ra của người quản trị mạng. Mục đích là để
ngăn chặn những lưu lượng không được phép lưu thông trên mạng đó có thể là ngăn
chặn kẻ phá hoại tấn công vào mạng nội bộ của công ty hay chỉ đơn giản là người sử
dụng truy nhập vào tài nguyên hệ thống mà họ không nên và không được phép vào.
ACL luôn đóng vai trò quan trọng trong chiến lược kiểm soát an ninh của công ty.
2.5.2.2. Một số đặc điểm ACL:

- Gói tin có thể bị lọc khi chúng đi vào hoặc đi vào một cổng, trước khi được
định tuyến.
- Gói tin có thể bị lọc khi chúng đi ra khỏi một cổng, sau khi được định tuyến.
- Từ chối (Deny) là một thuật ngữ dùng để nói rằng gói tin bị chặn lại hay bị lọc
(filtered), còn cho phép (Permit) thì có nghĩa là gói tin không bị lọc mà được
phép đi qua.
44
- Các logic lọc hay thứ tự của các luật lọc được cấu hình trong các danh sách điều
khiển truy nhập (ACLs).
- Kết thúc mỗi ACL nếu các lưu lượng đi qua không thỏa mãn một điều kiện nào
trong các logic của ACL thì tất cả sẽ bị từ chối tức là sẽ không được phép đi
qua cổng đó.
2.5.2.3. Phân loại ACL
Có 2 loại ACL cơ bản: danh sách điều khiển truy nhập cơ bản và danh sách điều
khiển truy nhập mở rộng (Standard ACL và Extended ACL). Standard ACL có cấu
trúc đơn giản dễ thực hiện trong khi đó Extended ACL có cấu trúc phức tạp và khó
thực hiện hơn.
2.5.2.3.1. Danh sách điều khiển truy nhập cơ bản (Standard IP Access Control Lists)
Chỉ có ngăn chặn gói tin dựa trên thông tin về địa chỉ IP đích (IP source address)
trong trường header của gói tin IP.
Hoạt động của standard ACL như sau, giả sử là ACL được đặt trên Router 1 với cổng
vào của lưu lượng là cổng S1 còn cổng ra là cổng E0.
45
Hình 2.3. Hoạt động của Standard ACL
1. Khi gói tin IP vào cổng S1, địa chỉ IP nguồn của gói tin đó sẽ được so sánh với các
luật đặt ra trong câu lệnh ACL, liệu rằng ứng với địa chỉ nguồn đó thì gói tin sẽ được
phép đi qua hay chặn lại.
2. Nếu có một gói tin nào đó thỏa mãn (phù hợp) điều kiện của một cây lệnh được định
nghĩa trong ACL, thì gói tin sẽ được cho phép đi qua hoặc bị chặn lại.
46
3. Nếu không có một sự phù hợp nào xảy ra ở bước 2 thì, lại quay trở lại bước 1 và 2
cho đến khi tìm được một điều kiện thỏa mãn.
4. Nếu kiểm tra xong với tất cả các câu lệnh mà vẫn không thỏa mãn với một điều
kiện nào thì gói tin đó sẽ bị từ chối (deny).
2.5.2.3.2. Danh sách điều khiển truy nhập mở rộng (Extended IP Access Control Lists)
Extended ACL vừa có những điểm tương tự vừa khác so với Standard ACL.
Cũng như Standard ACL, bạn có thể cho phép áp đặt Extended ACL lên cổng theo
chiều đi vào hoặc đi ra của gói tin. IOS của firewall cũng so sánh gói tin với các lệnh
theo thứ tự lần lượt của các câu lệnh đó. Nếu câu lệnh đầu tiên mà thỏa mãn thì nó sẽ
dừng việc so sánh với các lệnh còn lại ở trong list và xác định ngay hành động cần tiến
hành với gói tin đó. Tất cả các tính năng này cũng đều giống với cách xử sự của
Standard ACL.
Điểm khác nhau chủ yếu giữa 2 loại này là extended ACL có thể sử dụng nhiều
thông tin điều khiển trong trường header để so sánh hơn là standard ACL. Standard
ACL chỉ kiểm tra được địa chỉ IP nguồn thì Extended còn sử dụng được thêm cả địa
chỉ IP đích, địa chỉ cổng, loại ứng dụng, địa chỉ MAC, loại giao thức…Điều này làm
cho Extended ACL có thể kiểm tra và lọc được nhiều lưu lượng với độ chính xác và an
toàn cao hơn. Tuy nhiên nó cũng khó thực hiện hơn vì phức tạp hơn Standard ACL rất
nhiều.
2.5.2.3.3. So sánh giữa standard ACL và extended ACL

Loại ACL Các tham số có thể so sánh
47
Standard ACL và Extandard ACL Địa chỉ IP nguồn
Phần địa chỉ IP nguồn sử dụng wildcard

mark chỉ ra địa chỉ mạng nguồn.
Extandard ACL Địa chỉ IP đích
Phần địa chỉ IP đích sử dụng wildcard

mark chỉ ra địa chỉ mạng đích
Loại giao thức (TCP, UDP, ICMP,

IGRP, IGMP, và các giao thức khác)
Cổng nguồn
Cổng đích
All TCP flows except the first
IP TOS
IP precedence (quyền ưu tiên)
2.5.3. Ứng dụng ACL

Các phần mềm IOS trong các thiết bị định tuyến hay firewall cứng áp đặt các
logic lọc của ACL khi các gói tin đi vào hoặc đi ra một cổng nào đó trên thiết bị đó.
Hay nói cách khác, IOS liên kết một IOS với một cổng và dành riêng cho những lưu
lượng vào hay ra trên cổng đó. Sau khi chọn được bộ định tuyến hay firewall mà ta
48
muốn đặt ACL tiếp đó phải chọn cổng, cũng như chiều các gói tin đi ra hay đi vào
cổng để áp logic lọc vào đó.
Hình 2.4. Di chuyển của gói tin giữa các vùng có độ an toàn khác nhau
Cấu hình mặc định của các thiết bị firewall là đối với cổng có chiều đi vào thì
mức an toàn là 100 (đó là mức an toàn cao nhất), còn cổng có chiều đi ra thì mức an
toàn là 0 (mức an toàn kém nhất ). Không có gì an toàn bằng mạng nội bộ và cũng
không có gì kém an toàn hơn là mạng phía ngoài. Sau khi cấu hình cơ chế phiên dịch
địa chỉ, thì mặc định tất cả các giao tiếp theo hướng đi ra còn theo chiều từ nơi có mức
an toàn hơn ra đến nơi có mức an toàn kém hơn còn tất cả các lưu lượng từ nơi có
mức an toàn kém hơn đi đến nơi có mức an toàn cao hơn thì đều bị cấm.
Quy tắc xử sự của ACL dựa trên một cổng theo 1 chiều, tức là ứng với một cổng theo
chiều đi ra hoặc đi vào thì áp được 1 ACL.
ACL trên cổng cho phép hoặc từ chối gói tin khởi tạo theo chiều đi vào hay đi ra trên
cổng đó.
49
ACL chỉ cần mô tả gói tin khởi tạo của ứng dụng; không cần biết đến các gói tin quay
trở lại của ứng dụng đó, điều này dựa trên cơ sỏ của cơ chế bắt tay 3 bước.
Nếu không có một ACL nào được áp lên một cổng của firewall thì ở cổng đó sẽ áp
dụng chính sách mặc định là:
 Các gói tin đi ra được cho phép

 Các gói tin đi vào bị cấm
 ACL sử dụng câu lệnh “ access-list” để cho phép hoặc chặn lưu lượng
trên mạng. Sau đây là những quy tắc để thiết kế và thực hiện các ACL
Khi lưu lượng đi từ vùng có độ an toàn cao hơn sang vùng có độ an toàn thấp hơn thì:
 ACL được dùng để ngăn chặn lưu lượng có chiều đi ra (outbound traffic)
 Địa chỉ nguồn dùng để so sánh của ACL phải là địa chỉ thực của 1 máy
trạm ở trên mạng
Khi đi từ nơi có mức an toàn thấp hơn sang nơi có mức an toàn cao hơn thì:
 ACL sẽ chặn các lưu thông có chiều đi vào (inbound traffic)

 Địa chỉ đích dùng để so sánh của câu lệnh ACL phải là địa chỉ được
phiên dịch thành địa chỉ IP global tức là địa chỉ có thể sử dụng trên mạng trên
Internet.
Có một điều lưu ý là: ACL luôn luôn được kiểm tra trước khi thực hiện quá trình
phiên dịch địa chỉ trên các thiết bị firewall.
50
Hình 2.5. Chức năng phân vùng của firewall
Hoạt động của lưu lượng HTTP đi vào vùng đệm DMZ
Trên hình vẽ người quản trị mạng cần cho phép người sử dụng trên mạng
Internet truy cập vào các máy chủ Web công cộng của công ty. Máy chủ Web đó được
đặt trên vùng DMZ được ngăn cách với các vùng còn lại trên mạng cục bộ bởi
firewall. Theo cấu hình mặc định thì tất cả các truy nhập từ Internet vào các máy chủ
trên vùng này đều bị từ chối. Để cấp quyền truy nhập cho người sử dụng trên Internet,
người quản trị phải thực hiện 1 số bước sau:
 Cấu hình phiên dịch địa chỉ tĩnh cho các máy chủ Web, theo cách này thì
địa chỉ thật của các máy chủ Web sẽ không bị nhìn thấy từ phía người sử dụng
trên Internet.
 Cấu hình một ACL theo hướng đi vào để cho nó cấp quyền truy nhập
vào các máy trạm hay các giao thức nào đó của mạng nội bộ.
 Áp ACL lên các cổng thích hợp
Cơ chế phiên dịch địa chỉ NAT (Network Address Translation)
51
Ra đời vào năm 1994, NAT đã trở thành một kĩ thuật phổ biến để tiết kiệm địa
chỉ cho các trụ sở văn phòng và cũng là cách để dấu đi topo mạng của mình khi nhìn
từ Internet. Francis and Egevang đã đưa ra một số khuyến nghị sử dụng về NAT
(Request For Comments about NAT) .
Ngày nay NAT là công cụ chủ đạo để làm dịu đi sự thiếu thốn địa chỉ IP trên
mạng Internet. Thông thường thì mạng nội bộ sử dụng các nhóm địa chỉ IP được định
nghĩa trong RFC 1918. Vì các địa chỉ này được chỉ định dùng cho mục đích nội bộ hay
là các địa chỉ dùng riêng, NAT được đặt ra để thỏa mãn nhu cầu kết nối trên Internet.
Đôi lúc NAT được dùng để dành các địa chỉ nội bộ cho doanh nghiệp ví dụ để phòng
khi thay đổi nhà cung cấp Internet.
NAT cho phép ngăn chặn các mạng phía bên ngoài không học được địa chỉ IP
trong mạng nội bộ nằm ở phía sau firewall. NAT làm được điều này bằng cách phiên
dịch những địa chỉ IP không có duy nhất trên mạng Internet (địa chỉ IP cục bộ ) thành
các địa chỉ duy nhất (địa chỉ Global) được chấp nhận trên Internet trước khi các gói tin
được chuyển ra mạng phía bên ngoài.
52
Hình 2.6 . Quá trình phiên dich địa chỉ
Khi một gói tin IP được gửi từ một thiết bị ở mạng bên trong đi ra phía ngoài
thì nó sẽ phải đi qua firewall được cấu hình để phiên dịch địa chỉ NAT. Nếu như địa
chỉ của thiết bị không có sẵn trong bảng thì nó sẽ được phiên dịch. Một bản ghi mới sẽ
được tạo ra cho thiết bị này và nó được gán một địa chỉ IP nằm trong 1 dải địa chỉ IP
được ánh xạ (gọi là Pool). Pool địa chỉ ánh xạ này là những địa chỉ global. Sau khi quá
trình phiên dịch diễn ra thì bảng chuyển đổi địa chỉ sẽ được cập nhật và các gói tin IP
được chuyển đổi địa chỉ sẽ được chuyển đi. Trong suốt khoảng thời gian chờ cho phép
thường mặc định là 3 giờ (userconfigurable timeout period) mà không có có gói tin
nào được phiên dịch cho địa chỉ IP đó thì bản ghi đó sẽ bị xóa đi khỏi bảng và địa chỉ
53
dùng để ánh xạ sẽ lại được để trống chờ cho một thiết bị nào đó từ phía trong đi ra
ngoài.
Trong hình vẽ host 10.0.0.11 khởi tạo kết nối ra bên ngoài. Firewall phiên dịch
địa chỉ nguồn thành 192.168.0.20. Các gói tin từ host 10.0.0.11 được từ phía ngoài vào
với địa chỉ nguồn là 192.168.0.20. các gói tin trả lời lại host đó từ máy chủ phía bên
ngoài tại địa chỉ 192.168.10.11 được đánh địa chỉ ánh xạ là 192.168.0.20.
2.6 Firewall ASA

- Cisco ASA viết tắt của từ: Cisco Adaptive Security Appliance
- ASA là một giải pháp bảo mật đầu cuối chính của Cisco. Hiện tại ASA là sản phẩm
bảo mật dẫn đầu trên thị trường về hiệu năng và cung cấp các mô hình phù hợp
doanh nghiệp, tích hợp giải pháp bảo mật mạng
- Dòng sản phẩm ASA giúp tiết kiệm chi phí, dễ dàng triển khai. Nó bao gồm các
thuộc tính sau
+ Bảo mật thời gian thực, hệ điều hành độc quyền của Cisco
+ Công nghệ Stateful firewall sử dụng thuật toán SA của Cisco
+ Sử dụng SNR để bảo mật kết nối TCP
+ Sử dụng Cut through proxy để chứng thực telnet, http. ftp
+ Chính sách bảo mật mặc định gia tăng bảo vệ mức tối đa và cũng có khả
năng tùy chỉnh những chính sách này và xây dựng lên chính sách của riêng
bạn
+ VPN: IPSec, SSL và L2TP
+ Tích hợp hệ thống ngăn ngừa và phát hiện xâm nhập IDS/IPS
+ NAT động, NAT tĩnh, NAT port
+ Ảo hóa các chính sách sử dụng Context
2.6.1 Dòng sản phẩm ASA
- Có tất cả 6 model khác nhau. Dòng sản phẩm này phân loại khác nhau từ tổ chức
nhớ đến mô hình doanh nghiệp vừa hay cho nhà cung cấp dịch vụ ISP. Mô hình
54
càng cao thì thông lượng, số port, chi phí càng cao. Sản phẩm bao gồm : ASA
5505, 5510, 5520, 5540, 5550, 5580-20, 5580-40
Hình 2.7 Sản phẩm ASA 5550
Ví dụ như thông số của dòng ASA 5550
2.6.2 Thuật toán bảo mật ASA

Một chức năng chính của ASA là stateful firewall.Stateful firewall thêm và duy trì
thông tin kết nối của người dùng. Thông tin này được lưu trữ trong bảng state table,
thường được gọi là conn table. ASA Firewall sử dụng conn table để gia tăng chính
sách bảo mật cho kết nối người dùng
Dưới đây là một vài thông tin mà stateful firewall giữ trong bảng conn table
+ Địa chỉ IP nguồn
+ Địa chỉ IP đích
+ Giao thức: Như TCP hay UDP
+ Thông tin giao thức IP như là TCP/UDP port, TCP Syn và TCP
flag
55
2.6.2.1 Giải thích cơ chế Stateful Firewall
Ta có mô hình như sau :
Hình 2.8 Cơ chế stateful Firewall a.Figure 1-1
- PC-A trong mạng nội bộ thực hiện truy cập webserver bên ngoài mạng Internet
- Gói tin Request http đến firewall, firewall lấy thông tin về kết nối của PC-A đó là:
địa chỉ nguồn, địa chỉ đích, giao thức IP, và bất cứ thông tin giao thức khác và đặt
nó trong bảng conn table
- Firewall sau đó chuyển tiếp gói tin http request tới webserver
56
Hình 2.9 Cơ chế stateful firewall b. Figure 1-2
- Webserver gửi trả lại trang web cho người dùng PC-A
- Firewall kiểm tra gói tin trả lại này và so sánh với entrie trong bảng conn
table
+ Nếu việc so sánh là hợp lệ trong bảng conn table thì gói tin được cho phép
+ Nếu so sánh là không hợp lệ trong bảng conn table thì gói tin bị xóa
- Một stateful firewall duy trì bảng kết nối này. Nếu firewall thấy client ngắt
kết nối thì stateful firewall sẽ xóa entry trong bảng conn table đó đi. Nếu entry không
57
hoạt động trong một khoảng thời gian thì entry đó sẽ timeout và stateful firewall sẽ
xóa entry đó khỏi bảng conn table
2.6.2.2 So sánh Stateful và Packet Filtering Firewall:
- Một stateful firewall có khả năng nhận biết về tình trạng của kết nối đi qua
nó. Mặt khác Packet firewall không thấy được tình trạng của kết nối
- Một ví dụ rõ ràng cho việc hiểu Packet filtering firewall là việc sử dụng
Extended ACL mà Router sử dụng. Với loại ACL này Router sẽ chỉ thấy được các
thông tin sau trong mỗi packet riêng biệt
+ Địa chỉ IP nguồn
+ Địa chỉ IP đích
+ IP protocol
+ Thông tin giao thức IP như TCP/UDP Port
- Ngay cái nhìn đầu tiên thì có vẻ thông tin mà Packet filtering firewall sử
dụng là giống Stateful Firewall. Tuy nhiên Router sử dụng ACL sẽ không nhận biết
được tình trạng kết nối là request hay kết nối đang tồn tại, hay ngắt kết nối, mà nó chỉ
nhìn được mỗi gói tin riêng biệt đi qua interface đó. Nghĩa là Packet filtering firewall
chỉ kiểm tra gói tin ở lớp 3 và lớp 4 thôi.
2.6.2.3 Sequence Number Randomization (SNR)
Firewall ASA có một đặc đính được gọi là Sequence Number Randomization
(SNR). Đặc tính này được khởi tạo bằng thuật toán bảo mật. SNR được sử dụng để
bảo vệ bạn chống lại việc mất thông tin và tấn công cướp phiên kết nối TCP khỏi
hacker.Như chúng ta đã biết một vấn đề với giao thức TCP là hầu hết giao thức
TCP/IP khởi tạo quá trình kết nối bắt tay 3 bước theo một phương thức có thể đoán
trước được khi sử dụng SYN và ACK. Với rất nhiều phương thức, hacker có thể sử
58
dụng các công cụ này để dự đoán về tập thiết lập của dữ liệu tiếp theo được gửi trên
mạng và khi dự đoán được số SYN đúng. Hacker có thể sử dụng thông tin này để cướp
phiên kết nối và giả mạo kết nối
- Firewall ASA có thể giải quyết vấn đề này bằng cách tạo ngẫu nhiên số SYN
và đặt nó vào trong đầu mào của gói tin TCP Segment. ASA sẽ thay thế số SYN cũ
bằng số SYN mới vào trong bảng conn table. Tất cả các lưu lượng trở về từ máy đích
thông qua Firewall trở về nguồn, ASA tìm kiếm thông tin này và thay đổi trở lại với số
ACK. Vì vậy máy nguồn trong mạng cục bộ có thể nhận được gói tin trả về từ đích.
- Sau đây là ví dụ về SNR
Hình 2.10 Cơ chế hoạt động của SNR
59
- Gói tin TCP đi qua Firewall ASA với số SYN =578. SNR của ASA thay đổi
giá trị SYN này thành một giá trị SYN ngẫu nhiên và đặt nó vào trong bảng conn table
( trong trường hợp này là 992), và chuyển tiếp gói tin đó tới đích. Máy đích không thể
nhận biết được về sự thay đổi này và gửi lại cho nguồn với ACK =993. Firewall nhận
gói tin trả về này và thay đổi giá trị 993 thành 579 vì vậy máy nguồn sẽ không từ chối
gói tin này. Hãy nhớ rằng gói tin chứa ACK tăng lên 1 và sử dụng giá trị này như
ACK number
- Chú ý rằng: SNR đối với máy nguồn và máy đich là một quá trình trong suốt.
Cisco khuyến cáo bạn không nên vô hiệu hóa tính năng này. Nếu vô hiệu hóa tính
năng SNR thì mạng của bạn sẽ đối mặt với kiểu tấn công TCP session hijacking.
2.6.2.4 Cut-through Proxy
Bảo mật SA khởi tạo rất nhiều đặc tính bảo mật của hệ điều hành CISCO. Bên
cạnh đó một thuật toán gia tăng bảo mật khác là Cut-through Proxy (CTP). CTP cho
phép firewall ASA kiểm tra những kết nối ra vào mạng và chứng thực chúng trước khi
chúng được cho phép đi vào mạng nội bộ. CTP thường được sử dụng trong trường hợp
khi người sử dụng kết nối đến một server mà không thể thực hiện được chứng thực
chính nó
Kết nối người dùng không được chứng thực bởi ASA. Nhưng ta có thể sử dụng một
Server chuyên dụng cho việc chứng thực này như là Cisco Secure Access Control
Server (CSACS)
Cisco cung cấp cả hai giao thức cho việc chứng thực đó là TACACS+ và RADIUS.
CTP có thể thực hiện chứng thực theo các loại kết nối sau
+ FTP
+ HTTP và HTTPS
+ Telnet
60
Khi cấu hình Firewall ASA được cấu hình CTP, đầu tiên nó chứng thực kết nối đó
trước khi cho phép chúng đi xuyên qua firewall. Hình dưới đây mô tả từng bước CTP
làm việc
Hình 2.11 Các bước làm việc của CTP

- User Pong khởi tạo kết nối đến FTP Server có địa chỉ IP: 200.200.200.2
Firewall ASA kiếm tra kết nối này và đồng thời kiểm tra xem có entry nào trong bảng
conn table không. Nếu tồn tại một entry trong ASA thì ASA cho phép kết nối này.
Nhưng trong trường hợp này User phải được chứng thực trước
Nếu ASA không tìm thấy bất cứ một entry nào phù hợp với kết nối đó trong
bảng conn table thì nó sẽ yêu cầu chứng thực User Pong với Username và password và
chuyển tiếp thông tin này tới Server chứng thực
61
Server chứng thực kiểm tra bảng người dùng mà nó đã được cấu hình sẵn và so sánh.
Nếu cho phép hay từ chối truy cập thì Server sẽ gửi gói tin Allow hay Deny tới ASA
+ Nếu ASA nhận gói tin Allow thì nó sẽ thêm thông tin kết nối của người dùng vào
bảng conn table và cho phép kết nối đó
+ Nếu ASA nhận gói tin Denny nó sẽ xóa bỏ kết nối đó hoặc yêu cầu cung cấp lại
thông tin username/password
Một khi người dùng đã được chứng thực thì tất cả các lưu lượng của người dùng sẽ
được xử lý bởi ASA ở lớp 3 và lớp 4 của mô hình OSI. Sự khác biệt với ứng dụng
proxy truyền thông là tất cả các lưu lượng được xử lý ở lớp 7 trong mô hình OSI. Với
CTP, quá trình chứng thực được xử lý ở lớp 7 nhưng lưu lượng dữ liệu lại được xử lý
ở lớp 3 và lớp 4 trong hầu hết các trường hợp
2.6.2.5 Khởi tạo chính sách – Policy Implementation
Thuật toán bảo mật có trách nhiệm cho việc khởi tạo và gia tăng chính sách bảo
mật. Thuật toán này cũng sử dụng mô hình kế thừa, cái cho phép bạn khởi tạo nhiều
mức bảo mật khác nhau.Để hoàn thành điều này, mỗi Interface trên ASA cần phải chỉ
định một giá trị từ 0 đến 100, ứng với 0 là ít bảo mật nhất và 100 là mức bảo mật cao
nhất. Thuật toán bảo mật sử dụng những mức bảo mật này để gia tăng chính sách bảo
mật mặc định.
Một ví dụ cho điều này. Interface kết nối ra internet có mức bảo mật thấp nhất,
Interface kết nối tới mạng LAN sẽ có mức bảo mật cao nhất
Sau đây là 4 quy tắc cho tất cả các lưu lượng đi qua ASA
+ Mặc định lưu lượng từ interface có mức bảo mật cao đến interface có mức
bảo mật thấp là được cho phép
+ Mặc định lưu lượng từ interface có mức bảo mật thấp hơn đến interface có
mức bảo mật cao hơn là bị cấm
62
+ Mặc định lưu lượng từ một interface đến một interface khác với cùng mức
bảo mật là bị cấm
+ Mặc định lưu lượng vào ra cùng 1 interface là bị cấm
Ví dụ sau chỉ ra lưu lượng nào được cho phép, lưu lượng nào không được phép.
Trong ví dụ này User trong mạng cục bộ khởi tạo kết nối tới webserver ngoài internet
là được phép đi qua ASA. Như vậy thuật toán bảo mật thêm kết nối này vào trong
bảng conn table. Khi webserver gửi trả về trang web từ internet sẽ được cho phép. Một
khi User ngắt kết nối, thông tin kết nối đó sẽ bị xóa khởi bảng conn table.
Nếu User trên Internet cố gắng truy cập webserver ở trong mạng cục bộ. Thuật
toán bảo mật trên ASA tự động cấm kết nối đó
Những rule này là mặc định. Chúng ta có thể tạo các ngoài lệ đối với các rule này trên
ASA. Điều này thường chia thành 2 loại:
+ Cho phép truy cập dựa trên tài khoản
+ Truy cập dựa trên điều kiện lọc
63
Hình 2.12 Thuật toán khởi tạo chính sách – Policy Implementation
Một ví dụ khác, khi User từ ngoài Internet cố gắng truy cập FTP server nằm
trong mạng cục bộ thì mặc định bị cấm. Bạn có thể sử dụng hai phương thức để mở
kết nối đó thông qua firewall
+ Khởi tạo CTP cho phép kết nối
+ Sử dụng ACL để mở kết nối tạm thời
2.6.3 Kiểm soát lưu lượng bằng ASA
2.6.3.1 Cấu hình NAT
Trong phần này sẽ tập trung chủ yếu vào chính sách dịch địa chỉ để chuyển đổi
thông lượng qua các thiết bị của bạn. Chúng tôi sẽ trình bày cách để cấu hình một địa
chỉ NAT, PAT động . Một địa chỉ NAT, PAT tĩnh như thế nào. Hạn chế số lượng kết
64
nối TCP, để ngăn chặn các cuộc tấn công trànTCP SYN , và kiểm tra cấu hình
dịch.Một địa chỉ được dịch phải đảm bảo các yêu cầu sau đây:
Yêu cầu cấu hình: Trong phiên bản 6 hoặc phiên bản trước đó. Bạn luôn phải cấu
hình rule cho Nat các gói tin. Hay nói cách khác, nếu gói tin không được cho phép bởi
Rule NAT thì nó sẽ bị cấm. Rule này áp dụng cho cả traffic vào và ra
Trong phiên bản 7, NAT là tùy chọn và không được yêu cầu. Để khởi động tính năng
NAT, sử dụng câu lệnh sau:
Asa(config)#nat-control
Lần thứ nhất ta yêu cầu địa chỉ dịch với lệnh nat-control, quy tắc này cũng
tương tự trong phiên bản 6.0. Nếu chính sách giữa inbound và outbound không liên
kết được với nhau và một địa chỉ dịch có giá trị thì packet bị lỗi. Tuy nhiên, có một
ngoại lệ đối với quy tắc này là: nếu có 2 interface tham gia vào quá trình giaop tiếp có
mức độ bảo mật như trên thì chúng ta không cần đến một địa chỉ dịch theo quy tắc để
chuyển paket giữa chúng.
2.6.3.2 Cấu hình NAT động
Việc cấu hình một địa chỉ dịch động ( cả NAT hay PAT) tham gia vào 2 quá trình sử
lý sau:
Xác định địa chỉ local sẽ được NAT
Tạo nên một địa chỉ global mà địa chỉ local có thể được NAT tới
Theo đó chúng ta có thể cấu hình 2 loại này mà không có vấn đề gì. Phần sau ta sẽ bàn
tới việc từng bước cài đặt địa chỉ NAT và PAT động cũng như diễn đạt lại nhiều ví dụ
khác nhau của các ví dụ dịch động
Xác định địa chỉ local trong việc dịch
Để xác định một địa chỉ local có thể được dịch, ta sử dụng lệnh nat như sau:
ciscoasa(config)# nat (logical_if_name) NAT_ID
local_IP_addr subnet_mask
65
[tcp] max_TCP_conns [embryonic_conn_limit]
[udp max_UDP_conns] [dns] [norandomseq]
Những quy định cụ thể của lệnh nat mà địa chỉ local sẽ dịch sang quy định rất ngiêm
khắc trong lệnh global. Tên logic của interface nơi mà các thiết bị vùng được đặt xuất
hiện trong dấu ngoặc đơn (“( )”), ví dụ như : (inside)
NAT_ID Các mối quan hệ giữa lệnh nat và global, tạo ra một chính sách.Nhưng trong
một số trường hợp ngoại lệ, số lượng bạn sử dụng cho các NAT_ID (số chính sách)
không quan trọng. Có một trường hợp đặc biệt bằng cách sử dụng một số NAT_ID:
nếu bạn nhập số 0, bạn đang nói với các thiết bị mà các địa chỉ theo sau này trong lệnh
nat không nên translated.Cisco đề cập đến tính năng này như nhận dạng NAT, đã được
giới thiệu trong phiên bản 6.2. Bạn có thể muốn sử dụng nhận dạng NAT nếu bạn có
một hỗn hợp các địa chỉ công cộng và cá nhân đang được sử dụng bên trong mạng của
bạn cho các máy tính với địa chỉ công cộng, bạn có thể vô hiệu hóa NAT bằng cách sử
dụng lệnh nat 0 và quy định cụ thể địa chỉ hoặc địa chỉ của các thiết bị.Nếu bạn quy
định số lượng địa chỉ mạng cho một địa chỉ local, cũng như ước lượng xấp xỉ số mặt
nạ mạng con, thì ta điền số mạng và một mặt nạ mạng con bạn có thể thay đổi địa chỉ
dịch(những địa chỉ inside của interface).Để làm điều đó ta dùng lệnh sau:
ciscoasa(config)# nat (inside) 1 0.0.0.0 0.0.0.0
lệnh NAT-ID tương ứng với lệnh global. Chú ý rằng ta có thể rút gọn chuỗi 0.0.0.0
0.0.0.0 chỉ thành 0 0.
Bạn có thể giới hạn tổng kết nối TCP bằng lện: (max_TCP_conns), và cũng có thể
giảm một nửa kết nối TCP: embryonic_conn_limit
Bắt đầu từ phiên bản 7.0 bạn có thể giới hạn số lượng tối đa cho một kết nối UDP. Tuy
nhiên nếu bạn không cấu hình giới hạn số kết nối cho thiết bị mà đã dùng các chính
sách để liên kết với nhau thì bảng conn table vẫn hỗ trợ cho các thiết bị được cho phép
Để hiển thị những lệnh nat của bạn gõ lệnh: show run nat command.
66
Cách tạo một dải địa chỉ global
Chính sách dịch luôn cấu hình giữa một cặp interface, ví dụ như inside và outside,
hoặc dmz và outside. Lệnh nat định nghĩa local hoặc interface gốc của một địa chỉ dịch
Để định nghĩa đích đến hay interface đầu ra chứa địa chỉ global, ta sử dụng lệnh global
như sau:
ciscoasa(config)# global (logical_if_name) NAT_ID
{first_global_IP_addr[-last_global_IP_addr]
[netmask subnet_mask] | interface}
Logical_if_name là tham số miêu tả tên logic của interface. Thông lượng sẽ được dịch
và chuyển ra trên interface này.
The NAT_ID là tham số cơ bản của lệnh. Đây là địa chỉ global có thể được sử dụng
Việc dịch PAT có thể bị xóa khỏi bảng khi không có kết nối tương ứng trong bảng giới
hạn thời gian kết nối. Trong khi việc dịch NAT thì không nể sử dụng lệnh để điều
khiển thời gian (thời gian mặc định hết hạn là 3 giờ)
Sử dụng với ACLs
Một vấn đề với lệnh NAT là mặc định việc dịch chỉ có thể điều khiển được các gói tin
gửi đi mà có địa chỉ là local, bạn không thể điều khiển được việc dịch trên các địa chỉ
nguồn và đích được đưa ra . Ở đây chúng ta đang bàn đến khu vực xác định địa chỉ
local dành cho việc dịch.
Để giải quyết vấn đề trên, Cisco cho phép bạn liên kết chính sách dịch với một access
control list (ACL) – điểu khiển truy cập. Nếu thông lượng tương ứng với một trường
hợp cho phép xác định trong ACL thì chính sách tương đương này được sử dụng
Đây là cú pháp sử dụng lệnh nat với ACL:
67
ciscoasa(config)# nat [(logical_if_name)] NAT_ID
access-list ACL_ID
[tcp] max_TCP_conns [embryonic_conn_limit]
[udp max_UDP_conns] [dns] [norandomseq]
2.6.3.3 Cấu hình NAT tĩnh
 Cú pháp cấu hình dịch NAT tĩnh
NAT tĩnh thường được sử dụng cho kết nối dữ liệu vào: Bạn có một server trên
interface mức cao mà muốn một giảm xuống thấp hơn đẻ xử lý, ví dụ như xử lý web
dmz, email, và DNS server. Trong phần này ta sẽ đề cập đến vấn đề làm thế nào để tạo
một NAT tĩnh
Đây là cú pháp để tạo một NAT tĩnh với câu lệnh sau:
ciscoasa(config)# static (local_if_name,global_if_name)
global_IP_addr local_IP_addr
[netmask subnet_mask]
[tcp [max_conns [embryonic_conn_limit]]
[udp max_conns [dns] [norandomseq]
Tất cả những lệnh làm việc với thiết bị Cisco, lệnh tĩnh là một trong những lệnh mà
cấu hình gần tương tự nhau, vì những yêu cầu chung của tham số: local interface, địa
chỉ global, và địa chỉ IP của local
68
Hình 2.13 Ví dụ cấu hình NAT tĩnh
2.6.3.4 Cấu hình PAT tĩnh
 Cú pháp cấu hình PAT tĩnh
Lệnh tĩnh được sử dụng để chuyển hướng các lưu lượng truy cập từ một địa chỉ
đích và một port đích tới một máy nội bộ khác ( và có thể là số cổng đích khác nhau ).
Dưới đây là cú pháp của lệnh:
ciscoasa(config)# static (local_if_name,global_if_name) {tcp | udp}
{global_IP_addr | interface}
global_dest_port_# local_IP_addr local_port_#
[netmask subnet_mask]
[tcp [max_TCP_conns [embryonic_conn_limit]]
[udp max_UDP_conns [dns] [norandomseq]
69
Đối với các cổng chuyển hướng, xác định các giao thức IP : UDP hay TCP. Địa chỉ
global IP hay địa chỉ IP public mà các bên ngoài sẽ gửi lưu lượng truy cập tới. Thay vì
sử dụng địa chỉ này bạn có thể chỉ định các tham số giao diện mà các thiết bị đã đăng
kí tên. Số cổng toàn cầu là một số của ứng dụng mà các thiết bị bên ngoài lấy được ví
dụ như FTP có số cổng là 21
Local_IP_address là địa chỉ thực tể được đăng kí với các thiết bị bên trong, và
local_port_# là số cổng ứng dụng đang lắng nghe trên các thiết bị nội bộ. Các tham số
khác đã được nới trước đó trong phần “ Xác định các địa chỉ dịch nội bộ ”
2.6.4 Access Control

2.6.4.1 Áp dụng một ACL
Standard ACL
Giống như IOS Router, Firewall ASA hỗ trợ Standard ACL để lọc packet dựa trên địa
chỉ IP. Tuy nhiên với Standard ACL, Firewall không thể sử dụng để lọc traffic vào ra
Interface
Cú pháp
Extended ACL
Có thể lọc traffic vào ra trên một interface.
Lọc địa chỉ nguồn và địch, giao thức, ứng dụng
70
ACL theo thời gian
ACL theo thời gian có thể được thực thi hoặc vô hiệu phụ thuộc vào thời gian mà ta
cấu hình
Ví dụ bạn cần cho phép truy cập vào Server từ 8h00 am đến 6h00 pm
Tạo time ranges
Kiểm tra cấu hình ACL
Để liệt kê các câu lệnh trong ACL, bạn có hai lựa chọn. Đầu tiên Show run access-list
và show run access-group để hiển thị cấu hình trong running-config
ciscoasa(config)# show access-list [ACL_ID]
Nếu không muốn xem ACL đơn, bạn có thể xem toàn bộ các ACL
- ciscoasa(config)# show access-list .
71
CHƯƠNG 3: TRIỂN KHAI VÀ QUẢN TRỊ TƯỜNG LỬA ASA BẰNG ASDM
3.1 Sơ đồ mạng triển khai
Hình 3.1 Sơ đồ mạng demo

3.2 Cài đặt ASDM
3.2.1 Chuẩn bị đề cài đặt ASDM
_ Tạo kết nối từ ASA đến pc.
_ Copy file ASDM từ fttp server vào flash ASA ( ở đây em dùng bản asdm-781-
150.bin).
72
Hình 3.2 Copy file asdm vào ASA
3.2.2 Cài đặt ASDM
+ Bước 1: Dùng lệnh ASDM để chỉ ra mình dùng image ASDM nào:
ASA (config) # asdm image disk0:/asdm-781-150.bin
+ Bước 2: Bật máy chủ HTTP và xác định lớp mạng nào được sử dụng ASDM:
+ Bước 3 : Tạo user, password:
73
Hình 3.3 Cho dải IP: 172.16.30.0/24 truy cập vào HTTP
+ Bước 4: Cài đặt ASDM Launcher:
_ Mở trình duyệt web và đi đến địa chỉ IP đã đặt cho firewall ASA (bằng giao thức
HTTPS):
74
Hình 3.4 Dowload ASDM Launcher
_ Nhấn Install ASDM launcher để cài đặt.
_ Nhập tên người dùng và mật khẩu đã được cấu hình trước đó.
+ Bước 5: Để ASDM Launcher hoạt động cần cài đặt Java :
75
Hình 3.5 Cài đặt Java
76
Hình 3.6 Cài đặt Java hoàn tất
77
+ Bước 6: Cài đặt ASDM Launcher
Hình 3.7 Cài đặt ASDM Launcher
78
Hình 3.8 Cài đặt ASDM hoàn tất
79
+ Bước 7: Truy cập vào ASDM
Hình 3.8 Truy cập ASDM từ PC : 172.16.30.30/24
80
Hình 3.9 Giao diện ASDM quản lý ASA
3.3 Cấu hình bằng ASDM Launcher
3.3.1 Cho phép toàn bộ mạng inside truy cập ra internet
+Bước 1: Cấu hình static router
81
Hình 3.10 Cấu hình static routes
82
+ Bước 2: Tạo access rule cho phép truy cập ra internet
Hình 3.11 Rule cho phép truy cập ra internet

+ Bước 3: Tạo các object network và nat rules
83
Hình 3.12 Tạo object network và rules
_ Kết quả máy PC thuộc inside đã ping được google.com và truy cập được web
84
Hình 3.13 Ping ra internet
85
Hình 3.14 Truy cập web google.com
3.3.2 Cho phép toàn bộ mạng inside truy cập Web-server
_ Tạo access rules
86
Hình 3.15 Cho phép mạng inside truy cập web-server
87
Hình 3.16 Mạng inside truy cập web-server
_ Kết quả: mạng inside truy cập web-server thành công.
3.3.3 Cấu hình cho DMZ truy cập Internet

+ Bước 1 : Tạo object network web-net
+ Bước 2: Nat địa chỉ ip private của web-net ra địa chỉ ip public
88
Hình 3.17 Nat địa chỉ ip Web-server
89
Hình 3.18 DMZ truy cập google.com
_ Kết quả : DMZ truy cập được google thành công.
3.3.4 Cấu hình luật chặn insde truy cập web

+ Bước 1: Tạo access rule
+ Bước 2: Deny ip 172.16.20.20 truy cập đến www.zing.vn.
90
Hình 3.19 Chặn truy cập www.zing.vn
91
Hình 3.20 172.16.20.20 không truy cập được zing.vn
_ Kết quả : ip 172.16.20.20 không truy cập được đến zing.vn thành công.
92
93
KẾT LUẬN
* Kết quả đạt được:
Sau một thời gian tìm hiểu nghiên cứu, kết hợp với các kiến thức cơ bản được
học tại trường và dưới sự hướng dẫn của ThS.Phạm Hồng Việt em đã hoàn thành xong
đề tài “Ứng dụng triển khai quản trị tường lửa ASA bằng ASDM trong đảm bảo
an ninh mạng.” và đã đạt được một số tiêu chí như sau:
- Nắm được hoạt động cũng như tính năng của tường lửa cissco ASA
- Giả lập được Firewall asa trên nền EVE-NG
- Sử dụng Firewall ASA để bảo mật cho hệ thống mạng doanh nghiệp
- Cấu hình hoạt động cho các thiết bị mạng trong hệ thống mạng của doanh nghiệp
* Hướng phát triển của đề tài:
- Tìm hiểu sâu hơn về Firewall ASA để có thể cấu hình tạo thêm các luật hơn
nữa đáp ứng nhu cầu bảo mật cho các hệ thống mạng lớn.
- Kết hợp thêm phương pháp bảo mật khác để nâng cao hiệu quả bảo mật.
94
TÀI LIỆU THAM KHẢO
[1]. TS.Phạm Thế Quế(2005) ,Giáo trình Mạng máy tính, NXB: Thông tin và Truyền
thông
[2].http://vnpro.org/forum/showthread.php/36871-thuc-hien-cau-hinh-co-ban- asa.html
[3].Một số trang web tham khảo: http://tailieu.vn , http://vi.wikipedia.org ,
http://google.comhttp://quantrimang.com
[4] Giáo trình an toàn và bảo mật thông tin- Đại học Bách khoa Hà Nội
[5]http://123doc.org/doc_search_title/1006731-tai-lieu-do-an-tot-nghiep-khao-sat-
thiet-ke-va-xay-dung-mang-lan-trong-co-quan-xi-nghiep-docx.htm
[6] Network and Internetwork Security – Tg: Wiliam Stallings.
[7] Cisco – Cisco ASA and Pix Firewall Handbook (2005)
95
96
NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN
..................................................................................................................................
..................................................................................................................................
..................................................................................................................................
..................................................................................................................................
..................................................................................................................................
..................................................................................................................................
..................................................................................................................................
..................................................................................................................................
..................................................................................................................................
..................................................................................................................................
..................................................................................................................................
..................................................................................................................................
..................................................................................................................................
..................................................................................................................................
..................................................................................................................................
..................................................................................................................................
Thái Nguyên, ngày …. tháng …. năm …….

GIÁO VIÊN HƯỚNG DẪN
97

Báo cáo đồ án tốt nghiệp

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Báo cáo đồ án tốt nghiệp

Uploaded by

Copyright:

Available Formats

LỜI CẢM ƠN

II. Phương pháp nghiên cứu

LỜI CẢM ƠN ..................................................................................................................1

1.1 Tổng quan về mạng máy tính

1.3. Kiến trúc TCP/IP

Hình 1.4 Khuôn dạng IP datagram

Lớp Khoảng địa chỉ

Hình 1.6 Các lớp địa chỉ Internet

1.4.2. Giao thức UDP ( User Datagram Protocol )

16 bits số hiệu cổng nguồn 16 bits số hiệu cổng đích

Khuôn dạng của TCP được mô tả trong hình 1.7 :

16 bits source port number 16 bits destination port number

32 bits acknowledgement number

16 bits TCP checksum 16 bits urgent pointer

Data (Nếu có)

Hình 1.8 Khuôn dạng TCP datagram

Hình 1.9 Cơ chế cửa sổ trượt

1.5 Tổng quan về quản trị mạng

2.1 Lịch sử ra đời và phát triển của firewal

2.3. Phân loại firewall

2.3.2. Firewall phần cứng:

2.4. Chức năng của firewall

2.4.1. Firewall tầng mạng – Bộ lọc gói tin (Packets filters)

 Khó khi gặp trường hợp lừa

 Firewall giữ trạng thái

 Firewall không trạng thái

2.4.2. Firewall tầng ứng dụng

2.4.3. Proxy Server

2.5 Nguyên tắc hoạt động của các loại firewall

Đặc điểm của ISA Server 2006

Các đặc điểm của ISA Server 2006 là:

2.5.2.2. Một số đặc điểm ACL:

2.5.2.3.3. So sánh giữa standard ACL và extended ACL

Phần địa chỉ IP nguồn sử dụng wildcard

Extandard ACL Địa chỉ IP đích

Phần địa chỉ IP đích sử dụng wildcard

Loại giao thức (TCP, UDP, ICMP,

All TCP flows except the first

IP precedence (quyền ưu tiên)

2.5.3. Ứng dụng ACL

 Các gói tin đi ra được cho phép

 ACL sẽ chặn các lưu thông có chiều đi vào (inbound traffic)

2.6 Firewall ASA

Hình 2.7 Sản phẩm ASA 5550

Ví dụ như thông số của dòng ASA 5550

2.6.2 Thuật toán bảo mật ASA

Hình 2.8 Cơ chế stateful Firewall a.Figure 1-1

Hình 2.10 Cơ chế hoạt động của SNR

Hình 2.11 Các bước làm việc của CTP

Xác định địa chỉ local sẽ được NAT

Xác định địa chỉ local trong việc dịch

ciscoasa(config)# nat (logical_if_name) NAT_ID

[udp max_UDP_conns] [dns] [norandomseq]

ciscoasa(config)# nat (inside) 1 0.0.0.0 0.0.0.0

ciscoasa(config)# global (logical_if_name) NAT_ID

[netmask subnet_mask] | interface}

Sử dụng với ACLs

Đây là cú pháp sử dụng lệnh nat với ACL:

[tcp] max_TCP_conns [embryonic_conn_limit]

[udp max_UDP_conns] [dns] [norandomseq]

2.6.3.3 Cấu hình NAT tĩnh

 Cú pháp cấu hình dịch NAT tĩnh

ciscoasa(config)# static (local_if_name,global_if_name)