Bà CÔNG TH¯¡NG

TR¯äNG Đ¾I HàC CÔNG NGHIÞP TP. Hà CHÍ MINH

KHOA CÔNG NGHÞ ĐIÞN TĀ

BÁO CÁO
KHÓA LUÀN TÞT NGHIÞP

Đ TÀI : XÂY DĄNG HÞ THÞNG T¯äNG LĀA FIREWALL

CISCO ASA TRÊN ROUTER CISCO

Giáo viên h°ãng d¿n: Đinh Quang TuyÁn

Sinh viên thąc hißn : - Nguyßn Quác TriÃu MSSV: 1403959

- TrÅn Đăng Hoan MSSV : 14042461

Lãp: DHDTMT10A
Ngành: Đißn tā - Máy Tính
Khóa: 2014-2018

TpHCM ,ngày tháng năm 2018

 Bà CÔNG TH¯¡NG
TR¯äNG Đ¾I HàC CÔNG NGHIÞP TP. Hà CHÍ MINH
KHOA CÔNG NGHÞ ĐIÞN TĀ

BÁO CÁO
KHÓA LUÀN TÞT NGHIÞP

Đ TÀI : XÂY DĄNG HÞ THÞNG T¯äNG LĀA FIREWALL

CISCO ASA TRÊN ROUTER CISCO

Giáo viên h°ãng d¿n: Đinh Quang TuyÁn

Sinh viên thąc hißn: - Nguyßn Quác TriÃu MSSV: 1403959

- TrÅn Đăng Hoan MSSV : 14042461

Lãp: DHDTMT10A
Ngành: Đißn tā - Máy Tính
Khóa: 2014-2018

TpHCM ,ngày tháng năm 2018

 LäI CÁM ¡N
KHOA CÔNG NGHÞ ĐIÞN TĀ
Đ¾I HàC CÔNG NGHIÞP TP.HCM

Lái đÅu tiên em xin gāi lái tri ân và biÁt ¢n sâu sắc đÁn ThÅy – Th¿c sĩ
Đinh Quang TuyÁn , ng°ái h°ßng d¿n khoa hác đã tÁn tình chỉ bÁo, động
viên,khích lá em trong suát quá trình nghiên cāu, thąc hián đà tài.

Em cũng xin gāi lái cÁm ¢n đÁn các thÅy cô trong khoa Công Nghá Đián Tā
Tr°áng Đ¿i hác Công Nghiáp TP.Hß Chí Minh đã nhiát tình giÁng d¿y ,trang
bß cho em nh°ng kiÁn thāc cÅn thiÁt. và t¿o mái điÃu kián giúp đỡ em trong quá
trình hác tÁp, nghiên cāu. Chính nhăng kiÁn thāc này đã hỗ trÿ em rÃt nhiÃu
trong viác hoàn thành khóa luÁn tát nghiáp

Mặc dù còn nhiÃu sai sót rÃt mong đ°ÿc są thông cÁm cÿa quý thÅy cô để giúp
em hoàn thành khóa luÁn tát nghiáp.

Một lÅn năa em xin chân thành cám ¢n

 NHÀN XÉT CĂA GIÁO VIÊN H¯âNG D¾N

..................................................................................................................................

..................................................................................................................................

..................................................................................................................................

..................................................................................................................................

..................................................................................................................................

..................................................................................................................................

..................................................................................................................................

..................................................................................................................................

..................................................................................................................................

..................................................................................................................................

..................................................................................................................................

..................................................................................................................................

..................................................................................................................................

..................................................................................................................................

..................................................................................................................................

..................................................................................................................................

..................................................................................................................................

..................................................................................................................................

..................................................................................................................................

Tp. Hß Chí Minh, ngày … Tháng … năm 2018

Giáo viên h°ßng d¿n

 NHÀN XÉT CĂA GIÁO VIÊN PHÀN BIÞN

..................................................................................................................................

..................................................................................................................................

..................................................................................................................................

..................................................................................................................................

..................................................................................................................................

..................................................................................................................................

..................................................................................................................................

..................................................................................................................................

..................................................................................................................................

..................................................................................................................................

..................................................................................................................................

..................................................................................................................................

..................................................................................................................................

..................................................................................................................................

..................................................................................................................................

..................................................................................................................................

..................................................................................................................................

..................................................................................................................................

..................................................................................................................................

Tp. Hß Chí Minh, ngày … Tháng … năm 2018

Giáo viên phÁn bián

 TÓM TÂT

A. LÝ DO CHàN ĐÂ TÀI NÀY

Ngày nay máy tính và há tháng m¿ng là rÃt quan tráng trong cuộc sáng con
ng°ái. BÃt kỳ lĩnh vąc nào cÅn są can thiáp cÿa máy tính và chúng thąc są hău
ích. Vßi są phát triển cÿa công nghá d¿n đÁn są phát triển cÿa kinh tÁ. Vßi są ra
đái và phát triển cÿa máy tính và há tháng m¿ng, vÃn đà an ninh thông tin,
phòng cháng trộm cắp và trộm cắp thông tin trong máy tính và thông tin cá
nhân trên m¿ng máy tính ngày càng gia tăng. . BÃt kỳ m¿ng hoặc máy tính độc
lÁp nào đ°ÿc kÁt nái vßi Internet hoặc bÃt kỳ m¿ng bên ngoài nào khác đÃu có
nguy c¢ bß tÃn công. Đây có thể mÃt nhiÃu hình thāc, tùy thuộc vào kỹ năng và
động c¢ cÿa kẻ tÃn công. Một sá phÅn mÃm độc h¿i hoặc phÅn mÃm độc h¿i,
chuyển h°ßng một phÅn phÅn cāng và băng thông cÿa b¿n sang sā dāng riêng,
chẳng h¿n nh° l°u tră phÅn mÃm vi ph¿m bÁn quyÃn. Các ch°¢ng trình khác có
thể xóa dă liáu quan tráng hoặc làm giÁm m¿ng cÿa b¿n. Các đái thÿ c¿nh tranh
vô đ¿o đāc có thể truy cÁp thông tin độc quyÃn hoặc dă liáu khách hàng và nhà
cung cÃp cÿa b¿n, đ¿t đ°ÿc một lÿi thÁ quan tráng.

Không một sÁn phẩm hoặc dßch vā nào s¿ cung cÃp cho b¿n bÁo mÁt hoàn
chỉnh, nh°ng t°áng lāa là một trong nhăng cách tát nhÃt để h¿n chÁ są nguy h¿i
tÿ internet.

Theo h°ßng d¿n cÿa ông QuÁng Quang Tuyên, tôi phÁi nghiên cāu và nghiên
cāu cách thāc <Cách cÃu hình há tháng m¿ng sā dāng t°áng lāa ASA trên bộ
đßnh tuyÁn cisco=. Dą án trình bày các vÃn đà chung và an ninh m¿ng, há tháng
bÁo vá m¿ng có hiáu quÁ bÁo vá ngày nay.

Bãi vì nội dung cÿa dą án là rộng và bao gßm rÃt nhiÃu kiÁn thāc mßi, nghiên
cāu chắc chắn không tránh đ°ÿc các vÃn đÃ. Tôi mong nhÁn đ°ÿc ý kiÁn cÿa
b¿n.

B. PH¯¡NG PHÁP NGHIÊN CĀU

1. Đác kỹ và nắm bắt các yêu cÅu

2. Tìm tài liáu và trình bày chúng một cách hÿp lý nhÃt.

3. Nghe kỹ h°ßng d¿n cÿa ng°ái h°ßng d¿n.

4. Triển khai mô hình há tháng m¿ng để xác minh nghiên cāu đã có trong
C. CÂU TRÚC ĐÂ TÀI

CH¯¡NG I TàNG QUAN V FIREWALL

- Trình bày lßch sā cÿa t°áng lāa, t°áng lāa là gì và nhiám vā cÿa nó là gì

- Gißi thiáu và một sá công nghá sā dāng trên t°áng lāa

- Phân lo¿i lo¿i t°áng lāa

CH¯¡NG II PHÄN CĀNG Hà THàNG M¾NG SĀ DĀNG FIREWALL

– Mô phßng há tháng s¢ đß khái và lÁp bÁn đß vÁt lý

- Gißi thiáu một sá lo¿i t°áng lāa ASA và cách chán một lo¿i phù hÿp vßi
doanh nghiáp cÿa b¿n

CH¯¡NG III ACCESS CONTROL LIST TRÊN FIREWALL

- Xây dąng một há tháng m¿ng c¢ bÁn sā dāng Firewall ASA để kiểm soát
lußng dă liáu giăa LAN – WAN – DMZ

CH¯¡NG IV ESTABLISHED KEYWORD ACCESS

LISTCONFIGURATION ON ROUTER

- Xây dąng một há tháng m¿ng c¢ bÁn sā dāng Router làm Firewall để kiểm
soát lußng dă liáu đ°ÿc cÃu hình bằng danh sách truy cÁp tÿ khóa đ°ÿc thiÁt lÁp

CH¯¡NG V REFLEXIVE ACCESS LIST CONFIGURATION ON ROUTER

- Xây dąng một há tháng m¿ng c¢ bÁn sā dāng Router làm Firewall để kiểm
soát lußng dă liáu đ°ÿc cÃu hình bằng danh sách truy cÁp phÁn x¿

CH¯¡NG VI CONTEXT BASED ACCESS CONTROL(CBAC)

- Xây dąng một há tháng m¿ng c¢ bÁn sā dāng Router nh° một Firewall để điÃu
khiển lußng dă liáu đ°ÿc cÃu hình bãi CBAC

CH¯¡NG VII CONFIGURE ZONE BASED

- Xây dąng một há tháng m¿ng c¢ bÁn sā dāng Router nh° một Firewall để điÃu
khiển lußng dă liáu đ°ÿc cÃu hình bãi t°áng lāa dąa trên Zone.
D. PHÄN KÀT LUÀN

An ninh là một trong nhăng lĩnh vąc mà ngành công nghiáp công nghá thông
tin quan tâm. Khi internet đ°ÿc sinh ra và phát triển, nhu cÅu trao đái thông tin
trã nên cÅn thiÁt. Māc tiêu cÿa m¿ng là làm cho mái ng°ái có thể chia sẻ tài
nguyên tÿ các vß trí đßa lý khác nhau. Đó là lý do t¿i sao các tài nguyên đ°ÿc
trao đái dß dàng, làm cho nó dß dàng bß thiát h¿i, gây mÃt dă liáu cũng nh°
thông tin có giá trß. Thßa thuÁn càng rộng thì càng dß tÃn công, đó là một quy
tắc. Kể tÿ đó, bÁo vá thông tin cũng đã nái lên. An ninh đã thành hián thąc.

TÃt nhiên, māc tiêu bÁo mÁt không chỉ là bÁo vá thông tin mà còn nhiÃu lo¿i
khác nh° duyát web, bÁo mÁt internet, bÁo mÁt http, bÁo mÁt trên há tháng
thanh toán đián tā và Giao dßch trąc tuyÁn….

GiÁi quyÁt vÃn đÃ: "Làm thÁ nào để cÃu hình một há tháng m¿ng bằng cách sā
dāng t°áng lāa ASA trên router cisco" chỉ là một phÅn nhß cÿa an ninh m¿ng
nh°ng đã giúp tôi hiểu các nguyên tắc c¢ bÁn cÿa ho¿t động m¿ng và làm thÁ
nào để bÁo vá nó.

E. KÀT QUÀ

Trong đà tài, tôi đã hác đ°ÿc rÃt nhiÃu và quÁn lý m¿ng và bÁo mÁt m¿ng. Tôi
biÁt cách xây dąng một há tháng m¿ng LAN c¢ bÁn, cÃu hình há tháng m¿ng
LAN. Cách các thiÁt bß sā dāng IP public để kÁt nái vßi Internet

CÃu hình t°áng lāa trên ASA, ROUTER theo nhiÃu cách khác nhau

¯u điểm: Mái ng°ái có thể tìm hiểu nhăng điÃu c¢ bÁn và t°áng lāa, cách cÃu
hình t°áng lāa. Có thể tą bÁo vá dă liáu t¿i c¢ sã kinh doanh

Nh°ÿc điểm: Các thiÁt bß cho đà tài không có sẵn, chỉ có thể đ°ÿc cÃu hình trên
mô phßng. Không có nhiÃu cách để cÃu hình t°áng lāa trên há tháng m¿ng.

Phát triển mã rộng āng dāng cÿa chÿ đÃ: Tÿ nhăng điÃu c¢ bÁn, ta có thể tìm
hiểu thêm để biÁt thêm các cách cÃu hình t°áng lāa trên firewall hoặc bộ đßnh
tuyÁn t°áng lāa.
 ABSTRACT

REASONS TO CHOOSE THIS PROJECT

Today computer and network system are very important in human life. Any field needs the
intervention of computer and they are really helpful. With the evolution of technologies lead
to the growth of economic. With the advent and development of computers and network
system, the problem of information security, prevention of theft and theft of information in
computer and personal information on the computer network are increasingly .Many hackers
infiltrate and destroy important data that damages the state–owned enterprises. Any network
or standalone computer that's connected to the Internet, or any other external network, is
potentially at risk for an attack. These can take many forms, depending on the attacker's skills
and motivation. Some malicious software, or malware, diverts a portion of your hardware and
bandwidth to its own uses, such as hosting pirated software. Other programs might delete
crucial data or bring down your network.Unscrupulous competitors could access your
proprietary information or vendor and customer data, gaining a crucial advantage.
No single product or service will provide you with complete security, but a firewall is one of
the best ways to limit the harming from internet.
Under the guidance of Mr.Dinh Quang Tuyen I have to study and research the way = How to
configure a network system using firewall ASA on router cisco <. The project presenting
the general issues of network security, network protection system effective protection today.
Because the content of the project is wide and includes a lot of new knowledge, the research
is definitely not avoid the problems. I look forward to receiving your comments.

RESEARCHING METHODS
1. Read carefully and catch the requests
2. Finding materials and presenting them in the most reasonable way.
3. Listen carefully to the guidance of the instructor.
4. Deploying on network system model for verify the research was already in
PROJECT STRUCTURE
Chapter I OVERVIEW ABOUT FIREWALL
– Present the history of firewall,what is a firewall and it’s mission
– Introduce about some technologies using on firewall
– Classify the type of firewall
Chapter II HARDWARE OF NETWORK SYSTEM USING FIREWALL
–Present about block mapping and physical mapping
– Introduce some type of firewall ASA and how to choose one conform with your enterprise
Chapter III ACCESS–CONTROL LIST ON FIREWALL ASA
– Buid a basic network system using Firewall ASA to control data flow between LAN–
WAN–DMZ
Chapter IV ESTABLISHED KEYWORD ACCESS LIST CONFIGURATION CISCO
ON ROUTER
– Build a basic network system using Router as a Firewall to control data flow configurated
by established keyword access–list

Chapter V REFLEXIVE ACCESS LIST CONFIGURATION ON ROUTER

– Build a basic network system using Router as a Firewall to control data flow configurated
by reflexive access–list

Chapter VI CONTEXT BASED ACCESS CONTROL (CBAC)

– Build a basic network system using Router as a Firewall to control data flow configurated
by CBAC
Chapter VII CONFIGURE ZONE BASED FIREWALL CISCO IOS
– Build a basic network system using Router as a Firewall to control data flow configurated
by Zone based firewall.
CONCLUSION
Security is one of the areas where the information technology industry is concerned. Once the
internet is born and developed, the need for information exchange becomes necessary. The
goal of networking is to make it possible for people to share resources from different
geographic locations. That is why resources are easily dispersed, making it obvious that they
will be compromised, causing data loss as well as valuable information. The wider the deal,
the easier it is to attack, that is a rule. Since then, information protection has also emerged.
Security came into being.
Of course, the goal of security is not just the protection of information, but also many other
categories such as web browsing, internet security, http security, security on electronic
payment systems and Online Trading….
The pproject " How to configure a network system using firewall ASA on router cisco "
is just a small part of network security but has helped me to understand the basic principles of
network operation and how to protect it.
RESULT
Over the project I have learned a lot about network management and network security. I
know how to build a basic LAN system, configure LAN network system . How LAN use
public IP to go out the Internet
Firewall configuration on ASA and Router Firewall in many different ways
Advantages: People can learn the basics of firewalls, how to configure firewalls
Can self–protect data at business premises
Defect: The devices for the project is not available , only can be configure on emulation
There’s not many ways to configuring firewall on network system
Developments extend the application of the subject:
From basic things you can learn more to know more ways to configure the firewall on the
firewall asa or router.
Not only on Cisco devices we can also switch to other devices, such as PALO ALTO,
JUNIPER, FORTINET, based on CISCO code.
Extend the direction for students who want to go in the direction of network administrators
 LäI NÓI ĐÀU

Máy tính và m¿ng máy tính có vai trò hÁt sāc quan tráng trong cuộc sáng ngày
nay. Ngày nay trong bÃt kỳ lĩnh vąc nào cũng cÅn đÁn máy tính, máy tính rÃt
hău ích vßi chúng ta. Chính nhá có máy tính và są phát triển cÿa nó đã làm cho
khoa hác kỹ thuÁt phát triển v°ÿt bÁc, kinh tÁ phát triển nhanh chóng và thÅn
kỳ. Cùng vßi są ra đái và phát triển cÿa máy tính và m¿ng máy tính là vÃn đÃ
bÁo mÁt thông tin, ngăn chặn są xâm ph¿m và đánh cắp thông tin trong máy tính
và thông tin cá nhân trên m¿ng máy tính khi mà ngày càng có nhiÃu hacker xâm
nhÁp và phá huỷ dă liáu quan tráng làm thiát h¿i đÁn kinh tÁ cÿa công ty nhà
n°ßc.

D°ßi są h°ßng d¿n cÿa thÅy Đinh Quang TuyÁn em đã tìm hiểu và nghiên cāu
đß án tát nghiáp <Xây dąng há tháng t°ãng lāa FireWall Cisco ASA trên
Router Cisco=. Đß án trình bày nhăng vÃn đà táng quan và bÁo mÁt m¿ng,
Firewall há tháng bÁo vá m¿ng hiáu quÁ hián nay. Do nội dung đß án rộng và
bao gßm nhiÃu kiÁn thāc mßi mẻ, thái gian và kiÁn thāc còn h¿n chÁ, viác
nghiên cāu chÿ yÁu dąa trên lý thuyÁt nên chắc chắn đà tài không tránh khãi
nhăng thiÁu sót. Em rÃt mong nhÁn đ°ÿc są đóng góp ý kiÁn cÿa thÅy cô giáo
và b¿n bè.

1
 MĀC LĀC

LàI NÓI ĐÄU ...................................................................................................... 1

MĀC LĀC............................................................................................................. 2
CH¯¡NG 1 : TàNG QUAN V FIREWALL .................................................... 5
1.Lßch sā và Firewall ......................................................................................... 5
2. Khái niám và Firewall.................................................................................... 6
3. Māc đích và Nhiám vā chính cÿa Firewall .................................................... 7
3.1 Māc Đích : ................................................................................................ 7
3.2 Nhiám Vā : ............................................................................................... 7
4. Nguyên lý ho¿t động cÿa Firewall ................................................................. 8
4.1 Stateless Packet Filtering .......................................................................... 8
4.2 Proxy Server ............................................................................................. 9
4.3 Stateful Packet Filtering ......................................................................... 10
4.4 Circuit–Level Firewall:........................................................................... 11
4.5 Network Address Translations (NAT) Firewalls : ................................ 11
4.6 Transparent firewall: ............................................................................... 11
5. ¯u và Nh°ÿc điểm cÿa Firewall .................................................................. 11
5.1 ¯u điểm : ................................................................................................ 11
5.2 Nh°ÿc điểm : .......................................................................................... 12
6. Phân lo¿i Firewall ........................................................................................ 12
6.1 Software Firewalls: ................................................................................. 12
6.2 Appliance Firewalls: ............................................................................... 13
6.3 Integrated firewalls: ................................................................................ 14
7. Thành phÅn cÿa Firewall và c¢ chÁ ho¿t động ............................................ 14
7.1 Packet Filtering ....................................................................................... 15
7.2 Application Gateway .............................................................................. 16
7.3 Circuit Level Gateway ........................................................................... 17
8. Gißi thiáu và Firewall ASA ......................................................................... 17
9. Gißi thiáu và một sá sÁn phÅm Firewall ASA ............................................. 21
2
CH¯¡NG 2: PHÀN CĄNG CĂA HÞ THÞNG FIREWALL CISCO ASA
TRÊN ROUTER CISCO .................................................................................. 25
1. S¢ đß khái cÿa há tháng Firewall Cisco ASA trên Router Cisco ............... 25
3. Cisco IOS ..................................................................................................... 26
4. Ląa chán thiÁt bß Firewall phù hÿp vßi doanh nghiáp. ............................... 27
CH¯¡NG 3 : ACCESS CONTROL LIST TRÊN FIREWALL ASA .............. 28
1. Đßnh nghĩa .................................................................................................... 28
2. Māc đích sā dāng : ...................................................................................... 28
3. Mô hình OSI và BÁng Protocol ................................................................... 28
Mô hình OSI .................................................................................................... 28
4. CÃu hình Access Control List trên FireWall ASA ..................................... 29
5. ThiÁt lÁp mô hình mô phßng ........................................................................ 30
6. Bài toán bÁo mÁt : ........................................................................................ 30
7. KÀT QUÀ : .................................................................................................. 34
CH¯¡NG 4: ESTABLISHED KEYWORD ACCESS LIST
CONFIGURATION ON ROUTER .................................................................... 46
1. Đßnh nghĩa .................................................................................................... 46
2. CÃu trúc lánh ................................................................................................ 46
3. Bài toán bÁo mÁt .......................................................................................... 47
4. KÁt quÁ: ........................................................................................................ 48
5. KÁt luÁn ........................................................................................................ 54
CH¯¡NG 5: REFLEXIVE ACCESS LIST CONFIGURATION ON ROUTER
............................................................................................................................. 55
1. Đßnh nghĩa .................................................................................................... 55
2. Cách ho¿t động và cÃu hình ......................................................................... 55
3. Bài toán bÁo mÁt : ........................................................................................ 56
SO SÁNH GIĂA ACL TRÊN ROUTER VÀ FIREWALL ASA. ................. 65
CH¯¡NG 6: CONTEXT BASED ACCESS CONTROL (CBAC) .................. 67
1. Gißi thiáu há tháng firewall đ°ÿc xây dąng bằng Context Based Access
Control (CBAC) .................................................................................................. 67
2. ThiÁt lÁp mô hình CBAC ............................................................................ 68

3
 3. Triển khai Lab configure cisco CBAC Firewall .......................................... 69
SO SÁNH GIĂA CBAC VÀ REFLEXIVE ACL........................................... 75
CH¯¡NG 7 : CONFIGURE ZONE BASED FIREWALL CISCO IOS ........... 76
1. Khái niám Configure zone based firewall cisco ios .................................... 76
2. Thąc hián Configure zone based firewall cisco ios ..................................... 76
3. CÃu hình Security policy Cisco IOS ............................................................ 85
4. Kiểm tra Lab Configure zone based firewall cisco ios ................................ 87

4
 CH¯¡NG 1 : TâNG QUAN V FIREWALL

1.Lßch sā và Firewall
Ý t°ãng đÅu tiên đ°ÿc đã hình thành sau khi hàng lo¿t các vā xâm ph¿m
nghiêm tráng đái vßi an ninh liên m¿ng xÁy ra vào cuái nhăng năm 1980. Năm
1988, một nhân viên t¿i trung tâm nghiên cāu NASA Ames t¿i California gāi
một bÁn ghi nhß qua th° đián tā tßi đßng nghiáp rằng: "Chúng ta đang bß một
con VIRUS Internet tÃn công! Nó đã đánh Berkeley, UC San Diego, Lawrence
Livermore, Stanford, và NASA Ames." Con virus đ°ÿc biÁt đÁn vßi tên Sâu
Morris này đã đ°ÿc phát tán qua th° đián tā và khi đó đã là một są khó chßu
chung ngay cÁ đái vßi nhăng ng°ái dùng vô th°ãng vô ph¿t nhÃt. Sâu Morris là
cuộc tÃn công dián rộng đÅu tiên đái vßi an ninh Internet. Cộng đßng m¿ng đã
không hà chuẩn bß cho một cuộc tÃn công nh° vÁy và đã hoàn toàn bß bÃt ngá.
Sau đó, cộng đßng Internet đã quyÁt đßnh rằng °u tiên tái cao là phÁi ngăn chặn
không cho một cuộc tÃn công bÃt kỳ nào năa có thể xÁy ra, há bắt đÅu cộng tác
đ°a ra các ý t°ãng mßi, nhăng há tháng và phÅn mÃm mßi để làm cho m¿ng
Internet có thể trã l¿i an toàn.
Năm 1988, bài báo đÅu tiên và công nghá t°áng lāa đ°ÿc công bá, khi Jeff
Mogul thuộc Digital Equipment Corp. phát triển các há tháng lác đÅu tiên đ°ÿc
biÁt đÁn vßi tên các t°áng lāa lác gói tin. Há tháng khá c¢ bÁn này đã là thÁ há
đÅu tiên cÿa cái mà sau này s¿ trã thành một tính năng kỹ thuÁt an toàn m¿ng
đ°ÿc phát triển cao. Tÿ năm 1980 đÁn năm 1990, hai nhà nghiên cāu t¿i phòng
thí nghiám AT&T Bell, Dave Presetto và Howard Trickey, đã phát triển thÁ há
t°áng lāa thā hai, đ°ÿc biÁn đÁn vßi tên các t°áng lāa tÅng m¿ch (circuit level
firewall). Các bài báo cÿa Gene Spafford ã Đ¿i hác Purdue, Bill Cheswick ã
phòng thí nghiám AT&T và Marcus Ranum đã mô tÁ thÁ há t°áng lāa thā ba,
vßi tên gái t°áng lāa tÅng āng dāng (application layer firewall), hay t°áng lāa
dąa proxy (proxy–based firewall). Nghiên cāu công nghá cÿa Marcus Ranum
đã khãi đÅu cho viác t¿o ra sÁn phẩm th°¢ng m¿i đÅu tiên. SÁn phẩm này đã
đ°ÿc Digital Equipment Corporation's (DEC) phát hành vßi tên SEAL. Đÿt bán
hàng lßn đÅu tiên cÿa DEC là vào ngày 13 tháng 9 năm 1991 cho một công ty
hóa chÃt t¿i bá biển phía Đông cÿa Mỹ.
T¿i AT&T, Bill Cheswick và Steve Bellovin tiÁp tāc nghiên cāu cÿa há và lác
gói tin và đã phát triển một mô hình ch¿y đ°ÿc cho công ty cÿa chính há, dąa
trên kiÁn trúc cÿa thÁ há t°áng lāa thā nhÃt cÿa mình. Năm 1992, Bob Braden
và Annette DeSchon t¿i Đ¿i hác Nam California đã phát triển há tháng t°áng
lāa lác gói tin thÁ há thā t°. SÁn phẩm có tên "Visas" này là há tháng đÅu tiên
có một giao dián vßi màu sắc và các biểu t°ÿng, có thể dß dàng cài đặt thành
phÅn mÃm cho các há điÃu hành chẳng h¿n Microsoft Windows và Mac/OS cÿa
Apple và truy nhÁp tÿ các há điÃu hành đó. Năm 1994, một công ty Israel có tên
Check Point Software Technologies đã xây dąng sÁn phẩm này thành một phÅn
mÃm sẵn sàng cho sā dāng, đó là FireWall–1. Một thÁ há thā hai cÿa các t°áng
lāa proxy đã đ°ÿc dąa trên công nghá Kernel Proxy. ThiÁt kÁ này liên tāc đ°ÿc

5
cÁi tiÁn nh°ng các tính năng và mã ch°¢ng trình c¢ bÁn hián đang đ°ÿc sā dāng
rộng rãi trong cÁ các há tháng máy tính gia đình và th°¢ng m¿i. Cisco, một
trong nhăng công ty an ninh m¿ng lßn nhÃt trên thÁ gißi đã phát hành sÁn phẩm
này năm 1997.
ThÁ há FireWall–1 mßi t¿o thêm hiáu ląc cho động c¢ kiểm tra sâu gói tin bằng
cách chia sẻ chāc năng này vßi một há tháng ngăn chặn xâm nhÁp.
2. Khái niám và Firewall
Trong ngành m¿ng máy tính,t°ång lāa (là rào chÃn mà mát sß cá nhân, tã
chąc, doanh nghißp, c¢ quan nhà n°ãc lÁp ra nhằm ngăn chặn các truy cÁp
thông tin không mong mußn tÿ ngoài vào hß thßng m¿ng nái bá cũng nh°
ngăn chặn các thông tin bÁo mÁt nằm trong m¿ng nái bá xu¿t ra ngoài
internet mà không đ°ÿc cho phép.

T°áng lāa là một thiÁt bß phÅn cāng và/hoặc một phÅn mÃm ho¿t động trong
một môi tr°áng máy tính nái m¿ng để ngăn chặn một sá liên l¿c bß cÃm bãi
chính sách an ninh cÿa cá nhân hay tá chāc, viác này t°¢ng tą vßi ho¿t động
cÿa các bāc t°áng ngăn lāa trong các tòa nhà. T°áng lāa còn đ°ÿc gái là ThiÁt
bß bÁo vá biên gißi (Border Protection Device – BPD), đặc biát trong các ngă
cÁnh cÿa NATO, hay bộ lác gói tin (packet filter) trong há điÃu hành BSD –
một phiên bÁn Unix cÿa Đ¿i hác California, Berkeley.

Nhißm vā c¢ bÁn căa t°ång lāa là kiểm soát giao thông dă lißu giăa hai
vùng có đá tin cÁy khác nhau. Các vùng tin cÁy (zone of trust) điển hình
bao gám: m¿ng Internet (vùng không đáng tin cÁy) và m¿ng nái bá (mát
vùng có đá tin cÁy cao). Māc đích cuái cùng là cung cÃp kÁt nái có kiểm soát
giăa các vùng vßi độ tin cÁy khác nhau thông qua viác áp dāng một chính sách
an ninh và mô hình kÁt nái dąa trên nguyên tắc quyÃn tái thiểu (principle of
least privilege).

CÃu hình đúng đắn cho các t°áng lāa đòi hßi kỹ năng cÿa ng°ái quÁn trß há
tháng. Viác này yêu cÅu hiểu biÁt đáng kể và các giao thāc m¿ng và và an ninh
máy tính. Nhăng lỗi nhß có thể biÁn t°áng lāa thành một công cā an ninh vô
dāng.

Tóm tÃt : Firewall là thiÁt bß kiểm soát, bÁo vß truy nhÁp tÿ vùng m¿ng này
sang vùng m¿ng khác

6
3. Māc đích và Nhiám vā chính cÿa Firewall

3.1 Māc Đích :

Firewall cung cÃp giÁi pháp bÁo mÁt để ngăn ngÿa các hiểm háa trąc tuyÁn nh°
Remote login, Trojan, Backdoor, Session hijacking, Dos &Ddos attack, virus...
Hiáu quÁ cÿa giÁi pháp bÁo mÁt phā thuộc vào cách b¿n cÃu hình firewall và
cách b¿n t¿o các bộ lác.
Tuy nhiên, vßi các hiểm háa lßn nh° DOS & DDOS, nó có khÁ năng v°ÿt qua
firewall và phá ho¿i server. Mặc dù b¿n đã cÃu hình firewall để tránh khßi
nhăng hiểm háa trąc tuyÁn.
Tóm l¿i, Firewall s¿ giúp b¿n h¿n chÁ tßi đa các hiểm háa tÿ t¿n công
m¿ng.

3.2 Nhiám Vā :
Firewall hỗ trÿ máy tính kiểm soát lußng thông tin giăa intranet và internet,
Firewall s¿ quyÁt đßnh dßch vā nào tÿ bên trong đ°ÿc phép truy cÁp ra bên
ngoài, nhăng ng°ái nào bên ngoài đ°ÿc phép truy cÁp vào bên trong há tháng,
hay là gißi h¿n truy cÁp nhăng dßch vā bên ngoài cÿa nhăng ng°ái bên trong há
tháng, mình lÃy ví dā nh° gißi h¿n trang Facebook, tÃt cÁ nhăng ng°ái trong há
tháng s¿ không thể truy cÁp vào đ°ÿc m¿ng xã hội này. Sau đây là một sá
nhiám vā cÿa Firewall:

• Cho phép hoặc vô hiáu hóa các dßch vā truy cÁp ra bên ngoài, đÁm bÁo
thông tin chỉ có trong m¿ng nội bộ.
• Cho phép hoặc vô hiáu hóa các dßch vā bên ngoài truy cÁp vào trong.
• Phát hián và ngăn chặn các cuộc tÃn công tÿ bên ngoài.
• Hỗ trÿ kiểm soát đßa chỉ truy cÁp (b¿n có thể đặt lánh cÃm hoặc là cho
phép).
• Kiểm soát truy cÁp cÿa ng°ái dùng.
• QuÁn lý và kiểm soát lußng dă liáu trên m¿ng.
• Xác thąc quyÃn truy cÁp.
• Hỗ trÿ kiểm soát nội dung thông tin và gói tin l°u chuyển trên há tháng
m¿ng.
• Lác các gói tin dąa vào đßa chỉ ngußn, đßa chỉ đích và sá Port ( hay
còn cáng), giao thāc m¿ng.
• Ng°ái quÁn trß có thể biÁt đ°ÿc có kẻ nào đó đang cá gắng để truy cÁp
vào há tháng m¿ng.
• BÁo vá tài nguyên cÿa há tháng bãi các mái đe dáa bÁo mÁt.

7
 • Cân bằng tÁi: B¿n có thể sā dāng nhiÃu đ°áng truyÃn internet cùng một
lúc, viác chia tÁi s¿ giúp đ°áng truyÃn internet án đßnh h¢n rÃt nhiÃu.
• Tính năng lác āng dāng cho phép ngăn chặn một sá āng dāng mà b¿n
muán. Ví dā nh° Facebook Messenger, Skype, Zalo…

4. Nguyên lý ho¿t động cÿa Firewall

Firewall ho¿t động đ°ÿc dąa trên các công nghá

• Packet filtering
• Proxy server
• Statefull packet filtering
• Network Address Translations (NAT) Firewalls
• Circuit–level firewalls
• Transparent firewall
• Virtual firewalls:

4.1 Stateless Packet Filtering

Packet filtering firewall: lo¿i

Firewall rÃt kém mÃm dẻo và ít
các chāc năng. Nó ho¿t động t¿i
lßp Internet cÿa mô hình OSI
hay lßp IP trong mô hình giao
thāc TCP/IP.
Nó ko l°u đ°ÿc tr¿ng thái kÁt
nái
– Nó ko cÅn biÁt gói tin cÿa ai
cā gói tin đÁn ko thßa chính
sách thì s¿ bß chặn
– Giáng nh° ACL(access list)

8
4.2 Proxy Server

Proxy Server là một server đóng vai trò cài đặt proxy làm trung gian giăa ng°ái
dùng tr¿m ( workstation user) và Internet. Vßi Proxy Server, các máy khách(
clients) t¿o ra các kÁt nái đÁn các đßa chỉ m¿ng một cách gián tiÁp. Nhăng
ch°¢ng trình client cÿa ng°ái sā dāng s¿ qua trung gian proxy server thay thÁ
cho server thÁt są mà ng°ái sā dāng cÅn
giao tiÁp.
Proxy server xác đßnh nhăng yêu cÅu tÿ
client và quyÁt đßnh đáp āng hay không đáp
āng, nÁu yêu cÅu đ°ÿc đáp āng, proxy
server s¿ kÁt nái vßi server thÁt thay cho
client và tiÁp tāc chuyển tiÁp đÁn nhăng yêu
cÅu tÿ client đÁn server, cũng nh° đáp āng
nhăng yêu cÅu cÿa server đÁn client. Vì vÁy
proxy server giáng cÅu nái trung gian giăa
server và client.

Có thể hiểu đ¢n giÁn nh° sau : Proxy Firewall ho¿t động t¿i lßp āng dāng cÿa
mô hình OSI, nó đóng vai trò nh° ng°ái trung gian giăa hai thiÁt bß đÅu cuái.
Khi ng°ái dùng truy cÁp dßch vā ngoài internet, proxy đÁm nhÁn viác yêu cÅu

9
thay cho client và nhÁn trÁ lái tÿ server trên internet và trÁ lái l¿i cho ng°ái
dùng bên trong.

4.3 Stateful Packet Filtering

Đ°ÿc kÁt hÿp vßi các firewall khác nh°

NAT firewall, circuit–level firewall ,
proxy firewall thành một há tháng
firewall. BiÁt gói tin đang thuộc sesion
nào(sourceport, des port…), āng dāng nào
đang sā dāng. Có khÁ năng tÁp hÿp các
gói tin để xem gói tin nào thuộc āng dāng
nào
– Có thể l°u l¿i đ°ÿc tr¿ng thái(tracking)
– Ho¿t động ã layer 2,3,4

• So sánh giăa Stateless Packet Filtering và Stateful Packet Filtering

Trong 1 cuộc tÃn công fragment attack. Fragment là kỹ thuÁt chia nhß gói tin
quá lßn thành gói tin nhß h¢n (MTU) để dß dàng di chuyển trên m¿ng.
Nh°ng hacker sā dāng fragment để attack bằng cách chia gói tin không hÿp lá
thành gói nhß h¢n vßi māc đích là để Router ko thể đác đ°ÿc nội dung gói tin.
Khi các gói tin v°ÿt qua đ°ÿc Firewall chúng s¿ gép l¿i và thąc hián tÃn công.
– Các b¿n có thể thÃy vßi 2 kỹ thuÁt:
+Stateless packet filtering ko thể nào ngăn chặn đ°ÿc vì nó không biÁt nội
dung gói tin

10
+Stateful packet filtering thì khác khi, các gói tin chia nhß đÁn Firewall nó s¿
l°u tr¿ng thái các gói tin và sau đó nó kiểm tra gói tin nào thuộc session nào để
ghép l¿i thành gói tin rßi sau đó mßi filter

4.4 Circuit–Level Firewall:

– Circuit–level firewalls: Ho¿t động

t¿i lßp session cÿa mô hình OSI, nó
giám sát các gói tin <handshaking=
đi qua firewall, gói tin đ°ÿc chỉnh
sāa sao cho nó xuÃt phát tÿ circuit–
level firewall, điÃu này giúp che dÃu
thông tin cÿa m¿ng đ°ÿc bÁo vá.

4.5 Network Address Translations (NAT) Firewalls :

Thąc hián chāc năng chuyển đái đßa chỉ IP public thành đßa IP private và ng°ÿc
l¿i, nó cung cÃp c¢ chÁ che dÃu IP các host bên trong.
4.6 Transparent firewall:
Ho¿t động ã layer 2 cÿa mô hình OSI, nó hỗ trÿ khÁ năng lác các gói tin IP (bao
gßm IP, TCP, UDP và ICMP). Transparent firewall thąc chÃt chỉ là tính năng
layer 2 brigde kÁt hÿp vßi tính năng filter trên nÃn IP bằng cách sā dāng tính
năng Context Based Access Control. Vì nó ho¿t động ã layer 2 nên ta không
cÅn cÃu hình IP cũng nh° thay đái IP cÿa các thiÁt bß đ°ÿc nó bÁo vá.
4.7 Virtual firewalls:
Bao gßm nhiÃu logical firewall ho¿t động trên một thiÁt bß thÁt. Một trong
nhăng āng dāng cÿa nó hián nay là dùng trong viác quÁn lý các máy Áo trong
vmware hay hyper–v.

5. ¯u và Nh°ÿc điểm cÿa Firewall

5.1 ¯u điểm :
• Firewall là điểm tÁp trung giÁi quyÁt các vÃn đà an ninh
Quan sát vß trí cuÁ Firewall chúng ta thÃy đây là một d¿ng nút thắt.
Firewall cho ta khÁ năng to lßn để bÁo vá m¿ng nội bộ bãi công viác cÅn
làm chỉ tÁp trung t¿i nút thắt này. Viác tÁp trung giÁi quyÁt t¿i một điểm
này còn cho phép có hiáu quÁ cÁ và mặt kinh tÁ.
• Firewall có thể thiÁt lÁp chính sách an ninh
Có rÃt nhiÃu dßch vā mà mái ng°ái muán sā dāng ván đã không an toàn.
11
 Firewall đóng vai trò kiểm soát các dßch vā này. Nó s¿ thiÁt lÁp chính
sách an ninh cho phép nhăng dßch vā thoÁ mãn tÁp luÁt trên Firewall đang
ho¿t động. Tuỳ thuộc vào công nghá ląa chán để xây dąng Firewall mà
nó có khÁ năng thąc hián các chính sách an ninh vßi hiáu quÁ khác nhau.

• Firewall có thể ghi l¿i các ho¿t động một cách hiáu quÁ
Do mái lußng thông tin đÃu qua Firewall nên đây s¿ là n¢i lý t°ãng để
thu thÁp các thông tin và há tháng và m¿ng sā dāng. Firewall có thể ghi
chép l¿i nhăng gì xÁy ra giăa m¿ng đ°ÿc bÁo vá và m¿ng bên ngoài.

5.2 Nh°ÿc điểm :

• Firewall không thể bÁo vß các mßi nguy hiểm tÿ bên trong nái bá.
Tác h¿i thì khßi cÅn nói các b¿n cũng đã biÁt, nÁu một ai trong công ty có
ý đß xÃu, muán phá ho¿i thì Firewall cũng đành bó tay.
• Firewall không có đă thông minh để có thể đác và hiểu tÿng lo¿i
thông tin và tÃt nhiên là nó không thể biÁt đ°ÿc đâu là nội dung tát và
đâu là nội dung xÃu. Mà đ¢n thuÅn Firewall chỉ hỗ trÿ chúng ta ngăn chặn
są xâm nhÁp cÿa nhăng ngußn thông tin không mong muán nh°ng phÁi
xác đßnh rõ các thông sá đßa chỉ.
• Firewall không thể ngăn chặn các cuác t¿n công nÁu nh° cuác t¿n
công đó không <đi qua= nó. Ví dā cā thể đó là Firewall không thể cháng
l¿i một cuộc tÃn công tÿ một đ°áng dial–up, hoặc là są dò rỉ thông tin do
dă liáu bß sao chép bÃt hÿp pháp ra đĩa mÃm.
• Firewall cũng không thể chßng l¿i các cuác t¿n công bằng dă lißu
(data–drivent attack). Khi có một sá āng dāng hay phÅn
mÃm.. đ°ÿc chuyển qua th° đián tā (ví dā nh° Gmail, Yahoo mail…), nó
có thể v°ÿt qua Firewall vào trong m¿ng đ°ÿc bÁo vá.
• Firewall không thể làm nhißm vā rà quét virus trên các dă lißu đ°ÿc
chuyển qua nó, do tác độ làm viác, są xuÃt hián liên tāc cÿa các virus
mßi và do có rÃt nhiÃu cách để mã hóa dă liáu để có thể thoát khßi khÁ
năng kiểm soát cÿa firewall. Tuy nhiên, chúng ta không thể phÿ nhÁn một
điÃu rằng Firewall v¿n là giÁi pháp hău hiáu đ°ÿc áp dāng khá rộng rãi
hián nay.

6. Phân lo¿i Firewall

6.1 Software Firewalls:

12
Hay còn gái là Firewall mÃm, đây là lo¿i Firewall đ°ÿc tích hÿp trên há điÃu
hành, nó có các sÁn phẩm nh°: SunScreen firewall, Check Point NG, IPF,
Linux’s IPTables, Microsoft ISA server …

+ Đặc điểm cÿa Firewall mÃm:

• Tính linh ho¿t cao: Có thể thêm, bßt các quy tắc, các chāc năng.
• Firewall mÃm ho¿t động ã tÅng cao h¢n Firewall cāng (tÅng āng dāng)
• Firewal mÃm có thể kiểm tra đ°ÿc nội dung cÿa gói tin (thông qua các tÿ
khóa).
• Ví dā và Firewall mÃm: Zone Alarm, Norton Firewall…

+ ¯u điểm:

• Firewall mÃm th°áng đÁm nhÁn nhiÃu vai trò h¢n firewall cāng, nó có
thể đóng vai trò nh° một DNS server hay một DHCP server.
• Viác thay đái và nâng cÃp thiÁt bß phÅn cāng là t°¢ng đái dß dàng và
nhanh chóng.

+ Nh°ÿc điểm:

• Firewall mÃm đ°ÿc cài đặt trên một há điÃu hành do đó không thể lo¿i trÿ
khÁ năng có lỗ háng trên há điÃu hành đó đ°ÿc. Khi lỗ háng đ°ÿc phát
hián và b¿n thąc hián cÁp nhÁt bÁn vá lỗi cho há điÃu hành đó thì b¿n nên
nâng cÃp bÁn vá cho Firewall luôn, nÁu không rÃt có thể Firewall s¿ ho¿t
động không án đßnh.
• Firewall mÃm th°áng có hiáu suÃt thÃp h¢n Firewall cāng.

6.2 Appliance Firewalls:

Hay còn gái là Firewall cąng. Đây là lo¿i Firewall cāng đ°ÿc tích hÿp sẵn trên
các phÅn cāng chuyên dāng, thiÁt kà này dành riêng cho Firewall. Một sá
Firewall cāng nh° Cisco PIX, WatchGuard Fireboxes, NetScreen firewall,
SonicWall Appliaces, Nokia firewall…

+ Đặc điểm cÿa Firewall cāng:

• Không đ°ÿc linh ho¿t nh° Firewall mÃm: (Không thể thêm chāc năng,
thêm quy tắc nh° firewall mÃm)
• Firewall cāng ho¿t động ã tÅng thÃp h¢n Firewall mÃm (TÅng Network
và tÅng Transport)
• Firewall cāng không thể kiểm tra đ°ÿc nột dung cÿa gói tin.

13
+ ¯u điểm:

• Cung cÃp hiáu suÃt táng thể tát h¢n so vßi Firewall mÃm vì há điÃu hành
cÿa firewall cāng đ°ÿc thiÁt kÁ để tái °u cho firewall.
• Tính bÁo mÁt cao h¢n và táng chi phí thÃp h¢n so vßi Firewall mÃm.

+ Nh°ÿc điểm:

• Nó không đ°ÿc linh ho¿t nh° Firewall mÃm. B¿n s¿ không thể nào
mà tích hÿp thêm các chāc năng và quy tắc nh° trên firewall mÃm đ°ÿc.
Ví dā nh° chāc năng kiểm soát th° rác đái vßi firewall mÃm thì b¿n chỉ
cÅn cài đặt chāc năng này nh° một āng dāng, nh°ng đái vßi Firewall
cāng thì đòi hßi b¿n phÁi có thiÁt bß phÅn cāng hỗ trÿ cho chāc năng này.

6.3 Integrated firewalls:

Hay còn gái là Firewall tích hÿp. Ngoài chāc năng c¢ bÁn cÿa Firewall ra thì
nó còn đÁm nhÁn các chāc năng khác ví dā nh° VPN, phát hián và cháng xâm
nhÁp tÿ bên ngoài, lác th° rác, cháng l¿i virus…

+ ¯u điểm:

• Sā dāng Firewall tích hÿp là đ¢n giÁn hóa thiÁt kÁ m¿ng bằng cách giÁm
l°ÿng thiÁt bß m¿ng cũng nh° giÁm chi phí quÁn lý, giÁm gánh nặng cho
các chuyên viên quÁn trß, ngoài ra nó còn tiÁt kiám chi phí h¢n so vßi viác
dùng nhiÃu thiÁt bß cho nhiÃu māc đích khác nhau.

+ Nh°ÿc điểm:

• ¯u điểm thì là nh° vÁy, tuy nhiên viác tích hÿp nhiÃu chāc năng trên
cùng một thiÁt bß s¿ d¿n đÁn viác khó khăn h¢n trong khắc phāc są cá.

7. Thành phÅn cÿa Firewall và c¢ chÁ ho¿t động

Các thành phÁn căa FireWall

Một FireWall bao gßm một hay các thành phÅn sau :

+ Bộ lác packet (packet– filtering router).

+ Cáng āng dāng (Application–level gateway hay proxy server).

+ Cáng m¿ch (Circuite level gateway).

14
7.1 Packet Filtering
Nguyên lý ho¿t đáng.

Bộ lác gói tin cho phép hay tÿ chái packet mà nó nhÁn đ°ÿc. Nó kiểm tra toàn
bộ đo¿n dă liáu để quyÁt đßnh xem đo¿n dă liáu đó có thßa mãn một trong các
sá các rules hay không. Các rules này dąa trên các thông tin ã packet header
bao gßm các thông tin sau:
– Đßa chỉ IP ngußn (IP Source Address).
– Đßa chỉ IP đích (IP Destination Address).
– Protocol (TCP, UDP, ICMP, IP tunnel)
– TCP/UDP source port
– TCP/UDP destination port
– D¿ng thông báo ICMP (ICMP message type)
– Cáng gói tin đÁn (Incomming interface of packet)
– Cáng gói tin đi (Outcomming interface of packet)
NÁu rules lác gói đ°ÿc thßa mãn thì packet đ°ÿc chuyển qua firewall, nÁu
không packet s¿ bß bß đi. Nhá vÁy mà firewall có thể ngăn cÁn đ°ÿc các kÁt nái
vào các máy chÿ hoặc m¿ng nào đó đ°ÿc xác đßnh, hoặc khóa viác truy cÁp vào
há tháng m¿ng nội bộ tÿ nhăng đßa chỉ không cho phép. Ngoài ra, viác kiểm
soát các cáng làm cho firewall có khÁ năng chỉ cho phép một sá lo¿i kÁt nái
nhÃt đßnh vào các lo¿i máy chÿ nào đó hoặc nhăng dßch vā nào đó (SSH,
SMTP, FTP…) đ°ÿc phép mßi ch¿y đ°ÿc trên há tháng m¿ng cāc bộ.
¯u điểm

– Đa sá các há tháng firewall đÃu đ°ÿc sā dāng bộ lác gói tin. Một trong nhăng
°u điểm cÿa ph°¢ng pháp dùng bộ lác gói là chi phí thÃp vì c¢ chÁ lác gói đã có
sẵn trong các router.
– Ngoài ra, bộ lác gói là trong suát đái vßi ng°ái sā dāng và các āng dāng vì
vÁy nó không yêu cÅu ng°ái sā dāng phÁi thao tác gì cÁ.

Nh°ÿc điểm

– Viác đßnh nghĩa các chÁ độ lác gói là một viác khá phāc t¿p, nó đòi hßi ng°ái
quÁn trß m¿ng cÅn có hiểu biÁt chi tiÁt và các dßch vā internet, các d¿ng packet
header. Khi yêu cÅu và lác gói tin càng lßn, các rules càng trã nên phāc t¿p do
đó rÃt khó quÁn lý và điÃu khiển.

15
– Do làm viác dąa trên header cÿa các packet nên bộ lác không kiểm soát đ°ÿc
nội dung thông tin cÿa packet. Các packet chuyển qua v¿n có thể mang theo
nhăng hành động vßi ý đß ăn cắp thông tin hay phá ho¿i cÿa kẻ xÃu.
7.2 Application Gateway
Nguyên lý ho¿t đáng
Đây là một lo¿i firewall đ°ÿc thiÁt kÁ dể tăng c°áng chāc năng kiểm soát các
lo¿i dßch vā, giao thāc truy cÁp vào há tháng m¿ng. C¢ chÁ ho¿t động cÿa nó
dąa trên cách thāc gái là proxy service. Proxy service là các bộ code đặc biát
cài đặt trên cáng ra (gateway) cho tÿng āng dāng. NÁu ng°ái quÁn trß m¿ng
không cài đặt proxy service cho một āng dāng nào đó, dßch vā t°¢ng āng s¿
không đ°ÿc cung cÃp và do đó không thể chuyển thông tin qua firewall. Ngoài
ra, proxy code có thể đ°ÿc đßnh cÃu hình để hỗ trÿ chỉ một sá đặc điểm trong
āng dāng mà ng°ái quÁn trß cho là chÃp nhÁn đ°ÿc trong khi tÿ chái nhăng đặc
điểm khác.
Một cáng āng dāng th°áng đ°ÿc coi nh° là một Bastion host bãi vì nó đ°ÿc
thiÁt kÁ đặt biát để cháng l¿i są tÃn công tÿ bên ngoài
Bastion host luôn ch¿y các version an toàn (secure version) cÿa các phÅn mÃm
há điÃu hành (Operating system). Các version an toàn này đ°ÿc thiÁt kÁ chuyên
cho māc đích cháng l¿i są tÃn công vào há điÃu hành (Operating system) cũng
nh° là đÁm bÁo są tích hÿp firewall.
– Chỉ nhăng dßch vā mà ng°ái quÁn trß m¿ng cho là cÅn thiÁt mßi đ°ÿc cài đặt
trên Bastion host, đ¢n giÁn chỉ vì nÁu một dßch vā không đ°ÿc cài đặt, nó không
thể bß tÃn công. Thông th°áng, chỉ một sá gißi h¿n các āng dāng cho các dßch
vā telnet, DNS, FTP, SMTP và xác thąc user là đ°ÿc cài đặt trên Bastion host.
– Bastion host có thể yêu cÅu nhiÃu māc độ khác nhau ví dā nh° username và
password hay smart card.
Mỗi proxy đ°ÿc cài đặt cÃu hình để cho phép truy nhÁp chỉ một sá các máy chÿ
nhÃt đßnh. ĐiÃu này có nghĩa rằng bộ lánh và đặc điểm thiÁt lÁp cho mỗi proxy
chỉ đúng vßi một sá máy chÿ trên toàn há tháng.
Mỗi proxy duy trì một quyển nhÁt ký ghi chép l¿i toàn bộ chi tiÁt cÿa dă liáu
m¿ng đi qua nó. ĐiÃu này có nghĩ là bộ lánh và đặc điểm thiÁt lÁp cho mỗi
proxy chỉ đúng vßi một sá máy chÿ trên toàn há tháng.
Mỗi proxy đÃu độc lÁp vßi các proxy khác trên Bastion host. ĐiÃu này cho phép
dß dàng cài đặt một proxy mßi hay tháo gỡ một proxy.
¯u điểm:
– Cho phép ng°ái quÁn trß hoàn toàn điÃu khiển đ°ÿc tÿng dßch vā trên m¿ng,
bãi vì āng dāng proxy h¿n chÁ bộ lánh và quyÁt đßnh nhăng máy chÿ nào có thể
truy cÁp bãi các dßch vā.

16
– Cáng āng dāng cho phép kiểm tra độ xác thąc rÃt tát và nó có nhÁy ký ghi
chép l¿i thông tin và truy cÁp há tháng.
– Rule lác cho cáng āng dāng dß dàng cÃu hình và kiểm tra h¢n so vßi bộ lác
gói.
Nh°ÿc điểm:
– CÅn phÁi có są cÃu hình trên máy user để user truy cÁp vào các dßch vā proxy.
Ví dā telnet
7.3 Circuit Level Gateway
Circuit Level Gateway – cáng vòng – là một chāc năng đặc biát có thể thąc
hián bãi một cáng āng dāng. Cáng vòng đ¢n giÁn chỉ là chuyển tiÁp các kÁt nái
TCP mà không thąc hián bÃt kì một hành động xā lý hay lác gói nào.
Cáng vòng đ¢n giÁn chuyển tiÁp kÁt nái telnet qua firewall mà không thąc hián
một są kiểm tra, lác hay điÃu khiển các thÿ tāc telnet nào. Cáng vòng làm viác
nh° một sÿi dây, sao chép các byte giăa kÁt nái bên trong (inside connection) và
các kÁt nái bên ngoài (outside connection). Tuy nhiên vì są kÁt nái này xuÃt
hián tÿ há tháng firewall nên nó che dÃu thông tin và m¿ng nội bộ.
Cáng vòng th°áng đ°ÿc sā dāng cho nhăng kÁt nái ra ngoài. ¯u điểm lßn nhÃt
là một Bastion host có thể đ°ÿc cÃu hình nh° là một hỗn hÿp cung cÃp cáng
āng dāng cho nhăng kÁt nái đÁn và cáng vòng cho các kÁt nái đi. ĐiÃu này làm
cho há tháng firewall dß dàng sā dāng cho ng°ái dùng trong m¿ng nội bộ muán
trąc tiÁp truy câp tßi các dßch vā internet, trong khi v¿n cung cÃp chāc năng bÁo
vá m¿ng nội bộ tÿ nhăng są tÃn công bên ngoài.
8. Gißi thiáu và Firewall ASA
• Mỗi dòng ASA đÃu có h¢n một cáng interface để kÁt nái vào m¿ng và có
thể kiểm soát traffic đi qua. Các cáng interface có thể là cáng vÁt lý, hay
cáng logic. H¢n năa, để kiểm soát traffic, mỗi cáng interface phÁi đ°ÿc
cÃu hình vßi ba thuộc tính sau: tên cáng interface, đßa chỉ IP và mặt n¿
m¿ng con, và cÃp độ bÁo mÁt security level. Một Firewall ASA c¢ bÁn
th°áng 2 vùng inside , outside và có thể có thêm vùn DMZ
• C¿u hình cãng vÁt lý
Tr°ßc khi cÃu hình các cáng interface, ta nên liát kê danh sách các cáng.
trong danh sách, tái thiểu phÁi có một cáng có vai trò inside và một cáng
có vai trò outside. Trên Firewall có thể dùng 1 cáng vÁt lý để chia
subinterface để tiÁt kiám cáng vÁt lý.Cáng vÁt lý down => cÁ 2 zone
down. Bß share banwidth cho mỗi zone
• C¿u hình các tham sß trên cãng vÁt lý
Mặc đßnh các cáng interface có thể tą động đßng bộ và tác độ speed và tą
động th°¢ng l°ÿng duplex mode hoặc có thể cÃu hình thÿ công tác độ 10,
17
 100, hay 1000 Mbps cũng nh° full duplex hay half duplex.
Mặc đßnh, các cáng vÁt lý đÃu ch°a đ°ÿc bÁt, nên khi cÃu hình cáng phÁi
dùng lánh no shutdown để bÁt các cáng này lên và dùng lánh shutdown
để tắt các cáng này l¿i. Ngoài ra, các cáng interface còn phÁi đ°ÿc cÃu
hình them các thông sá nh°: tên cáng, māc độ bÁo mÁt và đßa chỉ IP.
Gán cáng interface vào VLANs.
• C¿u hình cãng dą phòng redundancy
Mặc đßnh, mỗi cáng interface ho¿t động độc lÁp, mỗi cáng có một trong
hai tr¿ng thái: up hoặc down. Khi ã tr¿ng thái down, ASA không thể gāi
hay nhÁn dă liáu. Ví dā, nÁu cáng cÿa switch kÁt nái vßi ASA ã tr¿ng
thái down s¿ làm cho cáng trên ASA down theo.
• C¿u hknh VLANs
Một cáng vÁt lý có đ°ÿc cÃu hình để nái các cáng m¿ng logic vßi nhau,
do đó các đ°áng kÁt nái vßi switch phÁi là đ°áng trunk.
CÃu hình đ°áng trunk trên dòng ASA 5505 giáng nh° cÃu hình trên
switch layer 3 và chỉ cÅn t¿o subinterface trên các dòng ASA 5510 trã
lên.
Các tham sá bÁo mÁt nh° tên cáng, security level và đßa chỉ IP cũng phÁi
đ°ÿc cÃu hình trên cáng logic VLANs. CÃu hình các tham sá bÁo mÁt
Các tham sá bÁo mÁt gßm: tên cáng, đßa chỉ IP và security level.
Đặt tên cáng để mô tÁ chāc năng cÿa cáng nh° inside, outside, dmz, ta
dùng lánh :
ciscoasa(config–if)# nameif [name]
Đặt đßa chỉ IP để gán đßa chỉ IP tĩnh hay IP động vào cáng interface.
Security level là cÃp độ bÁo mÁt có giá trß tÿ 0 đÁn 100, trong đó giá trß
cao h¢n s¿ đ°ÿc tin cÁy h¢n và ng°ÿc l¿i. Traffic đ°ÿc quyÃn đi tÿ
security level cao h¢n vào security level thÃp h¢n và ng°ÿc l¿i.
Th°áng thì vùng inside có security level là 100 và outside là 0, và vùng
DMZ là 50. Tr°áng hÿp security level bằng nhau, ta dùng lánh same–
security–traffic permit inter–interface để cho phép traffic đi qua giăa 2
cáng khác nhau và dùng lánh same–security–traffic permit intra–
interface để cho phép traffic đi qua cùng 1 cáng interface th°áng dùng
trong kÁt nái VPNs

18
ChÁ đá Privileged : tÿ chÁ độ Unprivileged ta nhÁp enable để truy cÁp vào
Privileged

Password: mặc đßnh là để tráng

ChÁ đá Configuraiton : Tÿ privileged ta nhÁp config terminal để truy cÁp vào

Configuration

exit để thoát khßi vß trí hián t¿i

ciscoasa> enable
password:
ciscoasa# configure terminal
ciscoasa(config)# exit
ciscoasa# exit
ciscoasa>
C¿u hình interface

â phiên bÁn ASA 5505 chỉ có các cáng Ethernet nên không thể cÃu hình IP trąc
tiÁp trên Interface Ethernet mà phÁi áp Interface vô Vlan rßi ta s¿ cÃp IP cho
Vlan đó .

ciscoasa(config)#vlan 10 name vlan10

// t¿o vlan 10 vßi tên vlan10
ciscoasa(config)#int e0/5

19
// vào cáng ethernet 0/5
ciscoasa(config–if)#switchport access vlan 10 // áp cáng vào vlan 10
ciscoasa(config–if)# exit

//
thoát vß trí
ciscoasa(config)# int vlan 10

//
vào cáng vlan 10
ciscoasa(config–if)#ip add 192.168.1.100 // add ip vào cáng vlan
Xem c¿u hknh các cãng trên ASA :
ciscoasa# show int ip brief
Xem các cãng thuác vlan nào :
ciscoasa# show switch vlan

Gán mąc bÁo mÁt,tßc đá,duplex

Lánh :
ciscoasa(config–if)# security–level [number 0–100]
ciscoasa(config–if)# speed 1000
ciscoasa(config–if)# duplex full

Xem l°u và xóa c¿u hknh Firewall ASA

–Xem c¿u hknh :
ciscoasa# show running–config // cấu hình đang chạy
ciscoasa# show startup–config // cấu hình khởi động
–L°u c¿u hknh :
ciscoasa(config)# copy run start
ciscoasa(config)# write memory
–Xóa c¿u hình :
+ Xóa cÃu hình đang ch¿y : ciscoasa(config)# clear config all
+ Xóa cÃu hình lúc khãi động thiÁt bß : ciscoasa# write erase
–Khởi đáng l¿i thiÁt bß :
ciscoasa# reload

20
9. Gißi thiáu và một sá sÁn phÅm Firewall ASA

21
22
Đặc điểm vÁt lý căa mát sß lo¿i Firewall ASA

23
Ngoài ASA ra thì Cisco còn 1 lo¿i sÁn phẩm bÁo mÁt năa gái là PIX.

Các thiÁt bß bÁo mÁt ASA 5510, 5520 nhắm tßi thß tr°áng các doanh nghiáp vÿa
và nhß.

Các chāc năng cÿa thiÁt bß bÁo mÁt có thể đ°ÿc mã rộng nhá vào SSMs.

Ngoài các sÁn phẩm bÁo mÁt cÿa Cisco thì sÁn phẩm Palo Alto, Sophos,
Fortinet (Fortigate), Checkpoint (hãng này đa phÅn dùng cho doanh nghiáp vÿa
và nhß)

24
CH¯¡NG 2: PHÀN CĄNG CĂA HÞ THÞNG FIREWALL CISCO ASA
TRÊN ROUTER CISCO

1. S¢ đß khái cÿa há tháng Firewall Cisco ASA trên Router Cisco

Một há tháng m¿ng c¢ bÁn có firewall bao gßm 4 khái

LAN (Local Area Network) : Há tháng m¿ng cāc bộ bên trong doanh nghiáp
gßm PC,Switch,Router

DMZ (Demilitarized Zone): Là một vùng m¿ng trung lÁp giăa m¿ng nội bộ và
m¿ng internet, là n¢i chāa các thông tin cho phép ng°ái dùng tÿ internet truy
xuÃt vào và chÃp nhÁn các rÿi ro tÃn công tÿ internet. Các dßch vā th°áng đ°ÿc
triển khai trong vùng dmz là: máy chÿ web, máy chÿ mail, máy chÿ dns, máy
chÿ ftp,…

WAN: (Wide Area Network) : M¿ng WAN có kÁt nái rộng lßn, bao phÿ cÁ
một quác gia, hay toàn cÅu. Th°áng đ°ÿc sā dāng ã công ty đa Quác gia …Cā
thể là m¿ng Internet. M¿ng WAN là są kÁt hÿp giăa m¿ng LAN & MAN nái l¿i
vßi nhau thông qua vá tinh, cáp quang, cáp đián tho¿i…

FIREWALL : là một bāc rào chắn giăa m¿ng nội bộ (local network) vßi một
m¿ng khác (chẳng h¿n nh° Internet), điÃu khiển l°u l°ÿng ra vào giăa hai m¿ng
này. NÁu nh° không có t°áng lāa thì l°u l°ÿng ra vào m¿ng nội bộ s¿ không
chßu bÃt kỳ są điÃu tiÁt nào, còn một khi t°áng lāa đ°ÿc xây dąng thì l°u l°ÿng
ra vào s¿ do các thiÁt lÁp trên t°áng lāa quy đßnh.

25
2. S¢ đá vÁt lý căa mát hß thßng sā dāng FireWall ASA

Há tháng m¿ng LAN gßm 1 Router và 3 Switch , Router có tác dāng đßnh tuyÁn
đ°áng đi cho các VLAN là các phòng ban khác nhau trong doanh nghiáp.

Switch dùng để phân chia các phòng ban trong mang LAN.

FireWall ASA : N¢i kiểm soát,kiểm tra các ho¿t động giăa các vùng m¿ng.

Router ISP là n¢i cÃp IP public xuáng cho vùng m¿ng LAN có thể ra Internet

Các Server là các máy chÿ vd nh° máy chÿ google.

3. Cisco IOS
'Cisco IOS (Internetwork Operating System) là há điÃu hành đa nhiám đ°ÿc sā
dāng rộng rãi trên các sÁn phẩm Router và Switchcÿa hãng Cisco (Switch cũ
h¢n sā dāng CatOS). IOS hỗ trÿ các chāc năng đßnh tuyÁn, chuyển m¿ch, liên
kÁt m¿ng và truyÃn thông.

Giao dián dòng lánh cÿa IOS cung cÃp các tÁp lánh cho tÿng "kiểu" (mode) và
phân cÃp ng°ái dùng. Vßi "kiểu cÃu hình toàn cāc" (global configuration
mode), tÁp lánh cung cÃp cho phép thay đái các cÃu hình há tháng, và "kiểu cÃu
hình giao dián" cung cÃp các lánh cÃu hình cÿa một giao dián cā thể. Và chỉ
nhăng ng°ái dùng đ°ÿc phân cÃp mßi có thể sā dāng. Các phân cÃp này có thể
đ°ÿc đßnh nghĩa qua giao dián dòng lánh.

26
–Global configuration mode: Cung cÃp các lánh thay đái há tháng

–Interface configuration mode: Cung cÃp các lánh thay đái cÃu hình các giao
dián cā thể

TÃt cÁ các lánh đ°ÿc cÃp quyÃn tÿ 0–15 và chỉ đ°ÿc truy cÁp bãi ng°ái dùng có
đặc quyÃn cÅn thiÁt. IOS đ°ÿc l°u trong Flash, không bß mÃt khi mÃt đián, có
khÁ năng ghi đè.

Có 3 ph°¢ng pháp truy cÁp CLI:

• Console
• Telnet hoặc SSH
• AUX port…

4. Ląa chán thiÁt bß Firewall phù hÿp vßi doanh nghiáp.

– Tuỳ theo tính chÃt và yêu cÅu mà doanh nghiáp có thể có hoặc không cÅn
Firewall. Nh°ng nhăng doanh nghiáp mang tính chÃt dßch vā, có nhiÃu chi
nhánh trong và ngoài n°ßc, doanh nghiáp có l°ÿng l°u tră thông tin khách hàng
lßn thì bắt buộc phÁi có. Vd: ngân hàng, bánh vián, r¿p chiÁu phim, các tá chāc
chính phÿ.

– Điển hình nh° VnPro là 1 công ty và dßch vā duy trì đÁn h¢n 20000 thông tin
hác viên nên cũng có Firewall.

– Firewall rÃt nhiÃu giá, tÿ vài trăm đÁn vài chāc tỷ VND là chuyán bình
th°áng. Firewall CISCO (aka ASA) đa phÅn chỉ dùng cho mÁng doanh nghiáp
lßn,một sá phiên bÁn cũ nh° 5505 ,5510.. thì có thể sā dāng cho doanh nghiáp
vÿa và nhß. Ngoài ra còn có Palo Alto, Sophos, Fortinet (Fortigate), Checkpoint
(hãng này đa phÅn dùng cho doanh nghiáp vÿa và nhß).

27
 CH¯¡NG 3 : ACCESS CONTROL LIST TRÊN FIREWALL ASA

1. Đßnh nghĩa
ACLs (Access control lists) hay còn gái là access lists, là một danh sách tuÅn tą
các câu lánh hay còn gái là ACEs (Access control entries), đ°ÿc áp dāng trên
một Interface nào đó, và trên bộ đám vào hoặc ra, điÃu khiểu Router tÿ chái
hoặc chuyển tiÁp các gói tin dąa vào thông tin trong IP header hoặc TCP/UDP
header..

2. Māc đích sā dāng :

• Gißi h¿n l°u l°ÿng m¿ng nhằm tăng hiáu năng m¿ng
• Cung cÃp điÃu khiểu lußng truyÃn thông bằng cách gißi h¿n phân phát
cÁp nhÁt tuyÁn.
• Cung cÃp māc bÁo mÁt c¢ bÁn cho truy cÁp m¿ng.
• ĐiÃu khiểu các lo¿i truyÃn thông đ°ÿc phép chuyển tiÁp hoặc tÿ chái bãi
ASA
• KhÁ năng điÃu khiển truy cÁp ng°ái dùng

3. Mô hình OSI và BÁng Protocol

Mô hình OSI

28
BÁng Protocol

4. CÃu hình Access Control List trên FireWall ASA

ciscoasa(config)# access–list [name] [permit/extended/deny] [permit/deny]

[icmp/icmp6/object–group/tcp/udp] [ Source IP Address] [Destination IP
Address] [eq/gt/lt][Port number]
Trong đó :

[name] : Tên cÿa ACL

[permit/deny/extended] : permit/deny là ląa chán cho phép hoặc cÃm cÿa
Standard ACL nÁu chán extended thì ACL đang khãi t¿o s¿ là Extended ACL
[permit/deny] :cho phép hoặc cÃm cÿa Extended ACL
[icmp/icmp6/object–group/tcp/udp] : Ląa chán giao thāc phù hÿp vßi āng
dāng tÿ BÁng Protocol ã trên.
[Source IP Address] [Destination IP] : IP ngußn và đích bao gßm IP và
Subnet Mask
[eq/gt/lt…][Port number]: Đßa chỉ port cÿa āng dāng muán cÃm , cho phép.

ciscoasa(config)# access–group name [in/out] interface [inside/outside]

Trong đó :

[name]: Tên cÿa ACL khãi t¿o phía trên

[in/out]: H°ßng đi cÿa lußng dă liáu
[interface]: Key word
[inside/outside]: tên interface cÿa VLAN trong ASA

29
5. ThiÁt lÁp mô hình mô phßng

Ta có một m¿ng LAN kÁt nái vßi cáng E0/1 cÿa ASA , m¿ng WAN kÁt nái
vßi E0/0 cÿa ASA , m¿ng DMZ nái vßi cáng E0/2

M¿ng LAN gßm 1 SW Layer 2 và 7 Client.

Các Client s¿ nhÁn đßa chỉ IP tÿ DHCP server là Router ASA 5505.

M¿ng WAN gßm 1 Router t°ÿng tr°ng cho ISP , 1 Server mô phßng làm server
google.com có IP là 8.8.8.8

6. Bài toán bÁo mÁt :

Kiểm soát đ°ÿc truy cÁp giăa vùng LAN và WAN , DMZ và WAN

TÃt cÁ các máy Client trong m¿ng LAN đÃu có thể ping ,truy cÁp m¿ng t¿i
server google.com có IP là 8.8.8.8

1 máy Client trong vùng DMZ cũng có thể ra đ°ÿc m¿ng WAN

Tÿ m¿ng WAN chỉ có thể truy cÁp vào đ°ÿc WEBSERVER đặt trong vùng
DMZ , ngoài ra không thể vào bÃt cā đâu còn l¿i .

Các b°ßc thąc hián :

B°ãc 1 :ThiÁt lÁp m¿ng có s¢ đß kÁt nái vÁt lý nh° hình ã trên

B°ãc 2 :

• Đặt IP cho Server google.com là 8.8.8.8 , Default Gateway là 8.8.8.1

30
 • Đặt IP cho Router ISP

Cáng nái vßi Server là 8.8.8.1 , Cáng nái vßi ASA là 203.1.1.2

• Đặt IP cho WEBSERVER

B°ãc 3 : CÃu hình cáng cho Router ASA 5505

• CÃu hình VLAN 1 có cßng là E0/1 là inside có IP là 172.16.1.1

Đặt IP

ciscoasa(config)#int Vlan 1

ciscoasa(config–if)#ip address 172.16.1.1 255.255.255.0

Đặt tên VLAN 1 là inside

ciscoasa(config–if)#nameif inside

ThiÁt lÁp security–level là 100

ciscoasa(config–if)#security–level 100

31
BÁt cáng up

ciscoasa(config–if)#no shut

Gán cáng E0/1 vào Vlan 1

ciscoasa(config)#int e0/1

ciscoasa(config–if)# switchport access vlan 1

• CÃu hình VLAN 2 có cßng là E0/0 là outside

Đặt IP

ciscoasa(config)#int Vlan 2

ciscoasa(config–if)#ip address 203.1.1.1 255.255.255.248

Đặt tên VLAN 2 là outside

ciscoasa(config–if)#nameif outside

ThiÁt lÁp security–level là 0

ciscoasa(config–if)#security–level 0

BÁt cáng up

ciscoasa(config–if)#no shut

Gán cáng E0/0 vào Vlan 2

ciscoasa(config)#int e0/0

ciscoasa(config–if)# switchport access vlan 2

• CÃu hình VLAN 3 là vùng DMZ có IP là 10.10.10.0

Đặt IP

ciscoasa(config)#int Vlan 3

ciscoasa(config–if)#ip address 10.10.10.0 255.255.255.0

Đặt tên VLAN 3 là DMZ

ciscoasa(config–if)#nameif DMZ

ThiÁt lÁp security–level là 50

32
ciscoasa(config–if)#security–level 50

BÁt cáng up

ciscoasa(config–if)#no shut

Gán cáng E0/2 vào Vlan 3

ciscoasa(config)#int e0/2

ciscoasa(config–if)# switchport access vlan 3

B°ãc 4 : T¿o DHCP server trên ASA để cÃp IP,DNS cho các client

• ASA s¿ cÃp IP cho Client tÿ 172.16.1.10 đÁn 172.16.1.30

ciscoasa(config)#dhcpd address 172.16.1.10–172.16.1.30 inside

• ASA cÃp DNS cho các Client

ciscoasa(config)#dhcpd dns 8.8.8.8 interface inside

B°ãc 5 : Đßnh tuyÁn tĩnh cho ASA

T¿i ASA đßnh tuyÁn tÃt cÁ các m¿ng tÿ outside và ASA qua cáng 203.1.1.2

ciscoasa(config)#route outside 0.0.0.0 0.0.0.0 203.1.1.2

* Trong thực tế ta không thể biết được IP của ISP nên muốn biết IP này trong
quá khi route ta có thể gọi điện hỏi nhà mạng

B°ãc 6 : T¿o Object Network , và NAT

ciscoasa(config)# object network LAN–SUBNET

ciscoasa(config–network–object)# subnet 172.16.1.0 255.255.255.0
ciscoasa(config–network–object)# nat (inside,outside) dynamic interface

ciscoasa(config)# object network DMZ–SUBNET

ciscoasa(config–network–object)# subnet 10.10.10.0 255.255.255.0
ciscoasa(config–network–object)# nat (DMZ,outside) dynamic interface

33
ciscoasa(config)# object network WEBSERVER
ciscoasa(config–network–object)# host 10.10.10.10
ciscoasa(config–network–object)# nat (DMZ,outside) static 203.1.1.3
// WEBSERVER sẽ dùng IP 203.1.1.3 để internet có thể truy cập vào
B°ãc 8 : ThiÁt lÁp ACL

• ThiÁt lÁp ACL sao cho tÃt cÁ các Client cÿa m¿ng cāc bộ có thể ping, truy
cÁp web t¿i Server có IP là 8.8.8.8

Mặc đßnh Firewall ASA s¿ cÃm tÃt cÁ mái ho¿t động qua ASA muán cho bÃt cā
ho¿t động nào qua ASA thì ta phÁi cho phép ho¿t động đó.

Acess–list cho phép vào m¿ng ã vùng outside dùng c¢ chÁ tcp
ciscoasa(config)# access–list in_to_internet extended permit tcp any any
Acess–list cho phép ping ra m¿ng dùng c¢ chÁ icmp
ciscoasa(config)# access–list in_to_internet extended permit icmp any any

KÁt hÿp 2 ACL vào 1 Access–group

ciscoasa(config)# access–group in_to_internet in interface outside

hoặc

ciscoasa(config)# access–group in_to_internet out interface inside

*Chú ý: trong access–group phần xác định in/out;inside/outside để ACL có thể

rất quan trọng đặc biệt trong lúc thiết lập ACL cho 1 địa chỉ IP duy nhất

7. KÀT QUÀ :
Khi ch°a thiÁt lÁp ACL

Tÿ Client ta ping tßi server 8.8.8.8

34
Tÿ Client ta truy nhÁp vào đßa chỉ web có IP là 8.8.8.8

Sau khi nhÁp lßnh

ciscoasa(config)# access–list in_to_internet extended permit tcp any any

ciscoasa(config)# access–list in_to_internet extended permit icmp any any
ciscoasa(config)# access–group in_to_internet in interface outside

Tÿ Client ta ping tßi Server có IP là 8.8.8.8

Tÿ Client ta truy nhÁp vào đßa chỉ m¿ng có IP là 8.8.8.8

ciscoasa(config)#access–list in_to_internet extended permit udp any any

35
Cho phép truy nhÁp google.com thay vì nhÁp IP 8.8.8.8

• ThiÁt lÁp ACL cho phép 1 Client hoặc cÃm 1 Client bÃt kì trong m¿ng
LAN có thể ping tßi Server có IP là 8.8.8.8

– Ví dā 1: â đây chúng ta sā dāng ACL để cho phép duy nhÃt PC 5 có IP là

172.16.1.11 thąc hián lánh ping,truy nhÁp internet t¿i Server có IP là 8.8.8.8

Ta cÃu hình nh° sau:

ciscoasa(config)# access–list client_to_internet extended permit icmp any host

172.16.1.11

36
ciscoasa(config)# access–list client_to_internet extended permit tcp any host
172.16.1.11

ciscoasa(config)#access–group client_to_internet out interface inside

KÁt quÁ :

PC 5 ping thành công tßi Server 8.8.8.8

PC6 và PC9 ko thể ping tßi đ°ÿc Server 8.8.8.8

PC5 có thể truy cÁp web t¿i Server 8.8.8.8

PC6 không thể truy cÁp web t¿i Server 8.8.8.8

– Ví dā 2: V¿n là PC5 có IP là 172.16.1.11 nh°ng lÅn này là cho phép tÃt cÁ các
Client khác có thể ping tßi Server ngo¿i trÿ PC5 .
37
Ta có cÃu hình nh° sau

access–list test extended deny icmp any host 172.16.1.11

access–list test extended deny tcp any host 172.16.1.11

access–list test extended permit icmp any any

access–list test extended permit tcp any any

access–group test out interface inside

KÁt quÁ :

TÃt cÁ các Client đÃu có thể ping tßi Server 8.8.8.8 ngo¿i trÿ PC5

TiÁn hành ping trong CMD cÿa máy PC9 có IP là 172.16.1.8 tßi Server 8.8.8.8

38
PC5 vßi IP là 172.16.1.11 không thể ping tßi Server 8.8.8.8

Truy cÁp web tÿ PC5 tßi Server

Truy cÁp web tÿ PC6 có IP là 172.16.1.2 tßi Server

39
 • Mußn c¿m 1 User nào đó trong m¿ng truy cÁp 1 trang web b¿t kỳ

Theo nh° s¢ đß vùng m¿ng WAN s¿ có 1 thêm 1 web server test.com vßi IP là
9.9.9.9 và ta muán cÃm User 172.16.1.4 truy cÁp vào web đó trong khi v¿n có
thể truy cÁp đÁn google.com
T¿i ASA:
ciscoasa(config)#access–list test2 extended deny icmp host 9.9.9.9 host
172.16.1.4
ciscoasa(config)#access–list test2 extended permit icmp any any
ciscoasa(config)#access–group test2 out interface inside

ciscoasa(config)#access–list test2 extended deny tcp host 9.9.9.9 host

172.16.1.4
ciscoasa(config)#access–list test2 extended permit tcp any any

Các User khác có thể ping tßi 9.9.9.9 ngo¿i trÿ User 172.16.1.4

Các User khác có thể truy nhÁp vào 9.9.9.9 qua web

40
User 172.16.1.4 không thể vào đ°ÿc web 9.9.9.9

• Xā lý bài toán đặt ra lúc đÅu

Kiểm soát được truy cập giữa vùng LAN và WAN , DMZ và WAN

Tất cả các máy Client trong mạng LAN đều có thể ping ,truy cập mạng tại
server google.com có IP là 8.8.8.8

1 máy Client trong vùng DMZ cũng có thể ra được mạng WAN

Từ mạng WAN chỉ có thể truy cập vào được WEBSERVER đặt trong vùng DMZ
, ngoài ra không thể vào bất cứ đâu còn lại .

Ta có cÃu hình ASA nh° sau s¿ thßa mãn các điÃu kián cÿa bài toán đặt ra

41
ASA Version 8.4(2)
!
hostname ciscoasa
names
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
switchport access vlan 3
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
interface Vlan1
nameif inside
security–level 100
ip address 172.16.1.1 255.255.255.0
!
interface Vlan2
nameif outside
security–level 0
ip address 203.1.1.1 255.255.255.248
!
interface Vlan3
no forward interface Vlan1
nameif DMZ
security–level 50
ip address 10.10.10.1 255.255.255.0
!
object network DMZ–SUBNET
subnet 10.10.10.0 255.255.255.0
object network LAN–SUBNET
subnet 172.16.1.0 255.255.255.0
object network WEBSERVER

42
 host 10.10.10.10
route outside 0.0.0.0 0.0.0.0 203.1.1.2 1
!
access–list test extended deny icmp any host 172.16.1.11
access–list test extended deny tcp any host 172.16.1.11
access–list test extended deny udp any host 172.16.1.11
access–list test extended permit icmp any any
access–list test extended permit tcp any any
access–list test extended permit udp any any
access–list test2 extended permit tcp any any
access–list test3 extended permit tcp any 10.10.10.0 255.255.255.0
!
access–group test out interface inside
access–group test2 out interface dmz
access–group test3 out interface outside
object network DMZ–SUBNET
nat (DMZ,outside) dynamic interface
object network LAN–SUBNET
nat (inside,outside) dynamic interface
object network WEBSERVER
nat (DMZ,outside) static 203.1.1.3
!
telnet timeout 5
ssh timeout 5
!
dhcpd address 172.16.1.2–172.16.1.30 inside
dhcpd dns 8.8.8.8 interface inside
dhcpd enable inside
!
dhcpd auto_config outside
!

Các máy trong m¿ng LAN có thể ping và truy cÁp Internet

43
Máy trong vùng DMZ cũng có thể ra ngoài m¿ng Google.com

44
Máy có IP là 172.16.1.11 không thể ping , duyát web tßi m¿ng WAN

User ngoài mạng WAN có thể truy cập vào WEBSERVER qua địa chỉ 203.1.1.3

45
 CH¯¡NG 4: ESTABLISHED KEYWORD ACCESS LIST
CONFIGURATION ON ROUTER

1. Đßnh nghĩa
Established là tÿ khóa để thiÁt lÁp tính năng nâng cao s¿ cho phép l°u l°ÿng
truy cÁp chỉ khi nó thÃy có 1 phiên TCP đã đ°ÿc thiÁt lÁp , là giÁi pháp cho phép
chúng ta theo dõi phiên truyÃn thông đ°ÿc khãi động bên trong m¿ng dąa trên
cá ACK trong TCP header. Vßi giÁi pháp này, chỉ cho phép các phiên truyÃn
thông đ°ÿc khãi động bên trong m¿ng ra ngoài m¿ng đ°ÿc phúc đáp l¿i. Nhăng
phiên truyÃn thông đ°ÿc khãi động tÿ bên ngoài không đ°ÿc đi vào m¿ng.
Established keyword chỉ đ°ÿc thêm vào cuái Extended ACL đang lác l°u
l°ÿng TCP .
2. CÃu trúc lánh
Router(config)# access–list {100–199} {permit | deny} protocol source–addr
[source–wildcard] [operator operand] destination–addr [destination–wildcard]
[operator operand] [established]
Router(config)# interface [interface]
Router(config–if)# ip access–group [number] in/out

Tham sß GiÁi thích

Access–list–number Đßnh danh sá cÿa một ACL, sā dāng sá thÁp phân tÿ 100–199 và
2000–2699

Deny Tÿ chái l°u l°ÿng truyÃn thông nÁu thßa điÃu kián

Permit Cho phép l°u l°ÿng qua nÁn thßa điÃu kián

Protocol Tên hoặc sá cÿa giao thāc Internet. Tÿ khóa th°áng dùng gßm: IP,
TCP, UDP. Để thßa bÃt kỳ giao thāc Internet nào ta dùng tÿ khóa
IP.

Source Là m¿ng, host ngußn gói tin.

source–wildcard 32 bits wildcard mask đ°ÿc áp dāng vßi ngußn.

46
Destination M¿ng hoặc host đích gói tin.

Destination–wildcard 32 bits wildcard mask đ°ÿc áp dāng vßi đích.

Operator So sánh cáng ngußn hoặc cáng đích. Toán tā so sánh có thể
gßm: lt(less than), gt (greater than), eq (equal), neq (not equal),
và range(vùng lo¿i trÿ)

Port Sá thÁp phân hoặc tên cÿa cáng TCP hoặc UDP

Established Chỉ cho phép lußng truyÃn thông đã thiÁt lÁp kÁt nái tr°ßc đó.

3. Bài toán bÁo mÁt

GiÁ sā trong s¢ đß m¿ng bên d°ßi , ta muán các user trong m¿ng INSIDE có thể
truy cÁp m¿ng t¿i google.com và WEBSERVER trong DMZ mà không muán
các máy khác có thể truy cÁp ng°ÿc l¿i vào m¿ng INSIDE. Các máy m¿ng
OUTSIDE có thể truy cÁp WEBSERVER trong DMZ và USER trong DMZ
cũng có thể ra ngoài OUTSIDE.

Vßi giÁi pháp này, chỉ cho phép các phiên truyÃn thông đ°ÿc khãi động bên
trong m¿ng ra ngoài m¿ng đ°ÿc phúc đáp l¿i. Nhăng phiên truyÃn thông đ°ÿc
khãi động tÿ bên ngoài không đ°ÿc đi vào m¿ng.
B°ßc 1:
Tr°ßc tiên ta s¿ thiÁt lÁp s¢ đß vÁt lý nh° hình trên.
B°ßc 2:
CÃu hình DHCP pool t¿i Router1 để cÃp IP động cho các User thuộc m¿ng
INSIDE.
Router(config)# ip dhcp pool ABC

47
Router(dhcp–config)# network 192.168.1.0 255.255.255.0
Router(dhcp–config)# default–router 192.168.1.1
Router(dhcp–config)# dns–server 8.8.8.8

Đßnh tuyÁn tĩnh cho Router 1

Router(config)# ip route 0.0.0.0 0.0.0.0 gi0/0
T¿i ISP cÃp IP public và R1
ISP(config)#ip route 200.0.2.0 255.255.255.248 100.100.100.1
Nat overload cho các USER ra ngoài Internet
Router(config)#access–list 1 permit any
Router(config)#ip nat inside source list 1 interface GigabitEthernet0/0 overload
Nat static cho WEBSERVER và SERVER1 có IP lÅn l°ÿt là 200.0.2.2 và
200.0.2.4
Router(config)#ip nat inside source static 10.10.10.10 200.0.2.2
Router(config)#ip nat inside source static 192.168.1.50 200.0.2.4
Router(config)#interface Gi0/1
Router(config–if)#ip nat inside
Router(config–if)#exit
Router(config)#interface Gi0/2
Router(config–if)#ip nat inside
Router(config–if)#exit
Router(config)#interface Gi0/0
Router(config–if)#ip nat outside
Router(config–if)#exit
B°ßc 4:
CÃu hình Access list established keyword trên Router1
Router(config)# access–list 101 permit tcp any any established
Router(config)#interface Gi0/1
Router(config–if)# ip access–group 101 out
4. KÁt quÁ:

Tÿ các user thuộc m¿ng LAN chúng ta tiÁn hành sā dāng Web browser để truy
cÁp đÁn đßa chỉ 8.8.8.8 và 10.10.10.10
48
Truy cÁp 8.8.8.8

Truy cÁp 10.10.10.10

Tÿ User có ip là 10.10.10.20 trong m¿ng DMZ tiÁn hành truy cÁp vào m¿ng
8.8.8.8

Cũng user đó truy cÁp vào SERVER1 có ip là 192.168.1.50

49
ho¿t động đã bß chặn bãi established keyword acl

Tÿ vùng outside chúng ta truy cÁp vào SERVER1 có ip là 192.168.1.50 thông

qua IP public là 200.0.2.4

ho¿t động trên cũng đã bß chặn

Sau đó chúng ta truy cÁp vào WEBSERVER có ip là 10.10.10.10 thông qua ip

public là 200.0.2.2

=> Hoàn thành bài toán bÁo mÁt đặt ra

• CÃu hình Router trong bài thā nghiám trên
Building configuration...

Current configuration : 1235 bytes

!

50
version 15.1
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password–encryption
!
hostname Router
!
!
!
!
!
ip dhcp pool ABC
network 192.168.1.0 255.255.255.0
default–router 192.168.1.1
dns–server 8.8.8.8
!
ip cef
no ipv6 cef
!
!
!
!
license udi pid CISCO2911/K9 sn FTX1524RNFJ
!
!
!
!
!
!
!
!
!

51
!
!
spanning–tree mode pvst
!
!
!
interface GigabitEthernet0/0
ip address 100.100.100.1 255.0.0.0
ip nat outside
duplex auto
speed auto
!
interface GigabitEthernet0/1
ip address 192.168.1.1 255.255.255.0
ip access–group 101 out
ip nat inside
duplex auto
speed auto
!
interface GigabitEthernet0/2
ip address 10.10.10.1 255.255.255.0
ip nat inside
duplex auto
speed auto
!
interface Vlan1
no ip address
shutdown
!
ip nat inside source list 1 interface GigabitEthernet0/0 overload
ip nat inside source static 10.10.10.10 200.0.2.2
ip nat inside source static 192.168.1.50 200.0.2.4

52
ip classless
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/0
!
ip flow–export version 9
!
!
access–list 1 permit any
access–list 101 permit tcp any any established
access–list 109 permit tcp any any
!
!
!
line con 0
!
line aux 0
!
line vty 0 4
no login
privilege level 15
!
!
!
end

53
5. KÁt luÁn
• Established keyword ACL chỉ áp dāng
trên c¢ chÁ TCP
• Established keyword ACL chỉ cho phép
các āng dāng thuộc c¢ chÁ TCP khãi t¿o
t¿i vùng INSIDE đi qua và hßi đáp l¿i
• Established keyword ACL không cho
phép các āng dāng cũng thuộc c¢ chÁ
TCP nh°ng khãi t¿o vùng OUTSIDE vào
bên trong.
• Các āng dāng không thuộc c¢ chÁ TCP
thì s¿ tßi đ°ÿc vùng OUTSIDE

Nh°ÿc điểm : cÿa Established keyword ACL : Vßi TCP Established, m¿ng
cho phép các gói tin phúc đáp thuộc phiên TCP đã đ°ÿc khãi động trong
m¿ng đi vào m¿ng (cá ACK đ°ÿc thiÁt lÁp). ĐiÃu này t¿o ra lỗ hßng cho
phép các kể tÃn công lÿi dāng giÁ m¿o gói tin mà cá ACK đ°ÿc thiÁt lÁp để
xâm phÁm m¿ng.
TCP Established không áp dāng đ°ÿc vßi lo¿i truyÃn thông UDP và ICMP

54
 CH¯¡NG 5: REFLEXIVE ACCESS LIST CONFIGURATION ON
ROUTER

1. Đßnh nghĩa
Đặc điểm: ACLs này chỉ đc t¿o bãi Extend Name ACLs không đc t¿o bãi
Numbering hay Standard Name ACL
Reflexive ACL có thể coi là 1 extended named ACLs <mã rộng=, hỗ trÿ lác
phiên (session). Reflexive ACL chỉ chāa các bÁn ghi t¿m thái, các bÁn ghi này
đ°ÿc gái ra khi một phiên kÁt nái đ°ÿc thiÁt lÁp và s¿ tą động xóa đi khi phiên
kÁt nái kÁt thúc.
Reflexive ACL ho¿t động giáng nh° một d¿ng t°áng lāa (firewall) đ¢n giÁn.
Reflexive ACL kiểm soát l°u l°ÿng theo nguyên tắc chỉ cho phép l°u l°ÿng tÿ
bên ngoài m¿ng đi vào bên trong m¿ng nÁu nh° l°u l°ÿng đó là l°u l°ÿng trÁ vÃ
cho một lußng l°u l°ÿng xuÃt phát tÿ bên trong m¿ng đi ra ngoài tr°ßc đó.
2. Cách ho¿t động và cÃu hình
• Cách ho¿t đáng
Reflexive ACL cho phép b¿n tą động mã bộ đßnh tuyÁn để cho phép các gói trÁ
lái trã l¿i. Để đáp āng vßi các kÁt nái TCP gāi đi hoặc phiên UDP đ°ÿc khãi
t¿o trong m¿ng cÿa b¿n. C¢ chÁ này làm giÁm các kÁt nái giÁ m¿o và tÿ chái
dßch vā ,vì lußng dă liáu gāi đÁn chÿ yÁu là để đáp āng l°u l°ÿng gāi đi.

Ý t°ãng cÿa Reflexive ACL là lÃy lußng gói dă liáu, trích xuÃt thông tin phiên,
IP ngußn–đích ,Interface,Port, và t¿o các lái vào động trong access–list áp dāng
theo h°ßng ng°ÿc l¿i . VÃ c¢ bÁn, chúng tôi cÅn một danh sách truy cÁp đ°ÿc
đặt tên để thąc hián phÁn ánh l°u l°ÿng truy cÁp.

Reflexive ACLs có thể lác session tát h¢n thay vì chỉ ACK và RST bit nh° câu
lánh permit…established

Reflexive ACL ho¿t động tát h¢n vßi các giao thāc đ¢n giÁn nh° http,telnet .
Tuy nhiên các giao thāc phāc t¿p nh° FTP mã các kênh dă liáu bá sung thì ko
thể bß chặn chính xác bãi reflexive access lists.

• H¿n chÁ :

Các khía c¿nh quan tráng khác là các reflexive acl có khÁ năng mã rộng kém.
do các router cÅn mã các lỗ háng t¿m thái và nßi rộng chúng ra khi v¿n tiÁp tāc
theo dõi các phiên mßi .

Không thể kiểm soát các giao thāc có port động. vd:FTP

55
Ngoài ra l°u l°ÿng đ°ÿc đßnh tuyÁn thì không bß phÁn hßi. trÿ khi ta dùng chính
sách Local Policy để chuyển h°ßng nó trên cáng loopback để nó có thể xâm
nhÁp.

• C¿u hknh
• B°ßc 1: Router(config)# ip access–list extended INBOUND
• B°ßc 2: Router(config–ext–nacl)#permit [protocol] any any reflect
[name] [time out]
• B°ßc 3: Router(config)# ip access–list extended OUTBOUND
• B°ßc 4: Router(config–ext–nacl)#evaluate [name]
• B°ßc 5: Router(config)# int [interface]
Router(config–if)# ip access–group INBOUND [in/out]
Router(config–if)# ip access–group OUTBOUND [in/out]

INBOUND/OUTBOUND : tên ACL đ°ÿc t¿o

Protocol :giao thāc sā dāng nh° tcp/icmp/udp
Reflect [name]: tên cÿa entry đ°ÿc t¿o khi có gói tin đi qua.
[time out] : thái gian tßn t¿i cÿa ACL
Evaluate[name] : gói tin OUTBOUND s¿ đ°ÿc xét bãi reflect [name]
ip access–group INBOUND [in/out] : Gán ACL vào interface

3. Bài toán bÁo mÁt :

– Có 2 PC nái vßi nhau thông qua một router, admin muán PC 1 có thể telnet
tßi PC 2 nh°ng không muán PC 2 có thể telnet tßi PC 1, nÁu đặt ACL trên
interface cÿa router, admin có thể cho phép PC 1 liên l¿c vßi PC 2 và ngăn
chiÃu ng°ÿc l¿i. Nh°ng vÃn đà là PC 2 cũng không thể gāi bÁn tin trÁ lái l¿i PC
1. ĐiÃu admin cÅn là router ho¿t động nh° một firewall, tÿ chái request tÿ PC 2
nh°ng cho phép reply và PC 1.

GiÁi pháp :

– NÁu admin chỉ quan tâm PC 1 có thể ping PC 2 để kiểm tra, vßi
extended ACL có thể cÃu hình <echo= hoặc <echo–reply= cho phép bÁn tin
ICMP đi qua.

– NÁu admin muán PC 1 có thể trao đái vßi PC 2 trên một sá cáng cho
phép sā dāng TCP nh°ng v¿n thßa mãn bài toán bÁo mÁt, vßi extended ACL có
thể cÃu hình <established=

Router(config)#access–list [num] permit tcp [source add] [destination add]

[optional port] [ports] established

56
–> Khi đó các gói tin ACK và RST cũng s¿ đ°ÿc lác, điÃu này đÁm bÁo PC 2
không phÁi PC khãi t¿o phiên (vì ACK không nằm trong segment đÅu tiên)

–> Tuy nhiên vÃn đà là nÁu hacker (bằng ph°¢ng pháp nào đó) đặt đ°ÿc giá trß
ACK trên header gói tin thì hoàn toàn có thể xâm nhÁp vào há tháng m¿ng.
Ch°a kể thiÁt lÁp <established= chỉ ho¿t động vßi giao thāc TCP….

– Các vÃn đà trên đÃu có thể giÁi quyÁt vßi Reflexive ACL

Ý t°ãng cÿa Reflexive ACL:

Vßi mỗi kÁt nái TCP đ°ÿc thiÁt lÁp, Reflexive ACL s¿ tą động t¿o ra một entry
t¿m thái trong ACL, entry này s¿ chỉ cho phép dă liáu trao đái trong chính kÁt
nái đó và s¿ bß xóa ngay sau khi kÁt nái đóng. ĐiÃu này ngăn chặn viác bÃt kỳ
segment nào có ACK cũng đ°ÿc đi qua mà bắt buộc phiên phÁi đ°ÿc khãi t¿o tÿ
ng°ái dùng.

Entry <established= không ho¿t động trên UDP vì UDP là giÁo thāc không kÁt
nái (connectionless protocol), <established= không thể lác phiên UDP. CÅn 1 c¢
chÁ ACL có thể lác phiên UDP, mißn là bắt đÅu tÿ ng°ái dùng. Tuy vÁy UDP
không có gói tin FIN để thông báo kÁt thúc m¿ng, trong một vài tr°áng hÿp kÁt
nái TCP cũng có thể đóng mà ch°a trao đái FIN – Reflexive ACL đ°a ra một
khoÁng timeout–interval mà phiên chỉ đóng sau khoÁng thái gian này nÁu không
có traffic trao đái qua router

–> Câu hình time–interval:

Router(config)#ip reflexive–list timeout 300 (Ch¿y tÿ 0 tßi 2147483)

–>timeout interval = 300s

Để ngăn chặn viác chßng chÃt bộ nhß và làm chÁm quá trình xā lý, Reflexive
ACL không phÁi một bÁn tin ACL rái r¿c mà đ°ÿc <cài= vào extended ACL, và
chỉ kích ho¿t khi có phiên đ°ÿc thiÁt lÁp. Đây là một c¢ chÁ tą động vô cùng
hiáu quÁ cÿa Reflexive ACL vì nó bÁo vá ng°ái dùng tÿ chính quá trình truy
cÁp cÿa ng°ái dùng – mỗi entry trong reflexive ACL chỉ dùng cho một kÁt nái.

4. ThiÁt lÁp mô hình reflexive access–list

57
Các b°ãc c¿u hình :

• Nhiám vā là cho phép các host bên trong có thể truy cÁp các ngußn

tài nguyên bên ngoài thông qua cac giao thāc UDP,TCP,ICMP…
• T¿o Extend name ACL tên là OUTBOUND cho phép các kÁt nái TCP và
ICMP cÿa m¿ng INSIDE h°ßng ra ngoài đÁn các port 80. Các kÁt nái này s¿
đ°ÿc đánh dÃu và đặt tên làn l°ÿt cho tÿng kÁt nái là TCPTRAFFIC và
ICMPTRAFFIC. Các kÁt nái này s¿ đ°ÿc phÁn hßi theo h°ßng trÁ và trong
ACL INBOUND sắp t¿o.
• T
¿o Extended name ACL là INBOUND s¿ tą động thąc thi theo h°ßng h°ßng
vào. Đßnh danh ( Evaluate ) access–list INBOUND còn l¿i thì tÿ chái tÃt cÁ
các Traffic khác.
• Áp dāng access–list OUTBOUND và INBOUND trên interface G0/0/1
cÿa Router .
• Chú ý : Các traffic bắt ngußn tÿ router thì s¿ không bß kiểm soát bãi
reflexive access–list.

B°ãc 1 :ĐÁm bÁo các m¿ng hái tā

T¿i Router 1 và ISP ta dùng default route để thuÁn tián cho viác đßnh tuyÁn các
host vßi server .

Router(config)#ip route 0.0.0.0 0.0.0.0 f0/1

58
ISP(conffig)#ip route 0.0.0.0 0.0.0.0 f0/0

Internet(conffig)#ip route 0.0.0.0 0.0.0.0 f0/0

59
T¿o NAT t¿i Router

Router(config)#access–list 1 permit any

Router(config)#ip nat inside source list 1 interface f0/1 overload

Router(config)#ip nat inside source static 172.16.1.100 100.100.100.5

Router(config)#int f0/0

Router(config–if)# ip nat inside

Router(config)#int f0/1

Router(config–if)# ip nat outside

T¿o DHCP pool cÃp IP xuáng cho các User thuộc m¿ng LAN ,

Router(config)#ip dhcp pool ABC

60
Router(dhcp–config)# network 172.16.1.0 255.255.255.0

Router(dhcp–config)#default–router 172.16.1.1

Router(dhcp–config)# dns–server 8.8.8.8

Mã port 80 và 443 trên các router:

61
B°ãc 2 :Kiểm tra traffic tÿ PC đÁn ISP và ng°ÿc l¿i

– Tÿ PC đÁn ISP

– Tÿ ISP và PC

PC trong m¿ng INSIDE đã telnet tßi Router ISP , Và tÿ ISP có thể ping tßi bÃt
kì máy nào trong m¿ng INSIDE => M¿ng bên ngoài có thể gāi hàng tá gói tin,
truy nhÁp vào bên trong khi ch°a khãi t¿o Reflexive ACL.

B°ãc 3 :Khởi t¿o Reflexive ACL trên Router 1

62
– T¿o Access list OUTBOOUND và thêm Reflexive bằng tÿ khóa "reflect". Sau
đó áp access list này lên interface f0/1. Lúc này các traffic tÿ trong đi ra ngoài
internet s¿ đ°ÿc Reflexive l°u l¿i thành bÁng tr¿ng thái để theo dõi session.

Code:

Router(config)#ip access–list extended OUTBOUND

Router (config–ext–nacl)#permit ip any any reflect EVALUATE

Router (config–ext–nacl)#int f0/1

Router (config–if)#ip access–group OUTBOUND out

– T¿o Access list INBOUND vßi tÿ khóa "evaluate" và áp ACL vào interface
f0/1 theo chiÃu in. â đây R2 s¿ kiểm tra các traffic xem có thuộc session nào mà
nó đã l°u ã trên hay không. NÁu traffic ko có trong bÁng tr¿ng thái lÁp tāc s¿ bß
Drop.

Code:

Router (config)#ip access–list extended INBOUND

Router (config–ext–nacl)#evaluate EVALUATE

Router (config–ext–nacl)#interface f0/1

Router (config–if)#ip access–group INBOUND in

63
B°ãc 4 :Kiểm tra kÁt quÁ .

Tÿ PC khãi t¿o kÁt nái ra Internet. Ta thÃy Traffic đi bình th°áng.

– Tÿ Internet khãi t¿o kÁt nái tßi các máy PC thuộc m¿ng nội bộ thì không
đ°ÿc.

64
VÁy ta thÃy kÁt nái tÿ trong m¿ng nội bộ ra Internet đ°ÿc cho phép còn kÁt nái
ng°ÿc l¿i tÿ m¿ng Internet vào m¿ng nội bộ bß ngăn chặn.

• Các L°u ý và Reflexive ACL

Khi một entry đ°ÿc t¿o ra trong reflexive < EVALUATE =

– Entry t¿m thái t¿o ra trong reflexive ACL luôn là entry <permit=
– Entry t¿m thái luôn sā dāng cùng giao thāc trên lßp 3 vßi gói tin mã phiên
– Entry t¿m thái đặt đßa chỉ IP ngußn và đích ng°ÿc vßi gói tin mã phiên
– Entry t¿m thái sā dāng port đích – ngußn ng°ÿc vßi port trong gói tin mã
phiên, nh° vÁy chúng phÁi đßng nhÃt
SO SÁNH GIĂA ACL TRÊN ROUTER VÀ FIREWALL ASA.
Gißng nhau:

– Một nhóm các ACL đ°ÿc gán nhãn vßi 1 chỉ sá nhÁn biÁt nhóm đó .
– CÁ Standard và Extended ACL đÃu đ°ÿc trang bß trong Firewall ASA .
– Cú pháp cÿa các rule là nh° nhau.

– Mỗi rule đ°ÿc xā lý theo thā tą tÿ trên xuáng bắt đÅu tÿ rule đÅu tiên .
– Có một rule cuái mỗi danh sách ACL mặc đßnh luôn cÃm các traffic.
– Khi thêm một Rule vào thì rule đó mặc đßnh đ°ÿc thêm vào cuái cÿa danh
sách Rule.

– Khi chỉnh sāa ACL, b¿n có thể xóa các rule và thêm các rule vào sanh sách
Rule.

65
– B¿n có thể chú thích vào nhiÃu ACL. Mỗi ACL có thể đ°ÿc cho phép hoặc vô
hiáu dąa trên ngày tháng (Timed ACL).

Khác nhau:

– Mỗi interface trên ASA đÃu có māc bÁo mÁt(security level).

– Tÿ māc bÁo mÁt cao –> bÁo mÁt thÃp => Không cÅn ACL (ngo¿i trÿ gói
ICMP echo–reply).
– Tÿ māc bÁo mÃt thÃp –> bÁo mÁt cao => CÅn đ°ÿc cho phép bãi ACL.
– Mỗi ASA đÃu mặc đßnh có câu lánh Nat–control, vì thÁ tÿ Interface này muán
qua Interface kia ngoài dùng ACL, b¿n phÁi dùng thêm NAT. Còn Lab Áo thì có
thể tính năng này đ°ÿc tắt cho b¿n dß cÃu hình.

– ACL bình th°áng trên router bß h¿n chÁ : Không cháng đ°ÿc kiểu tÃn công ip
spoofing. Một gói tin nào đó có thể v°ÿt qua hÁt cÿa tiêu chí cÿa ACL vì đi qua
router. Không lác đ°ÿc các gói tin bß phân mÁnh (fragmented packet).
Một vài dßch vā sā dāng port động cũng không thể bß lác.

66
 CH¯¡NG 6: CONTEXT BASED ACCESS CONTROL (CBAC)
1. Gißi thiáu há tháng firewall đ°ÿc xây dąng bằng Context Based Access
Control (CBAC)
CBAC – Conext Based Access Control cung cÃp cho IOS cÿa router một c¢ chÁ
stateful firewall. CBAC đßnh nghĩa một inspection rule, trong đó mái giao thāc
đ°ÿc chỉ ra trong inspection rule s¿ đ°ÿc phép đi qua router firewall. Đi qua có
nghĩa là đi đ°ÿc tÿ trong ra ngoài và giă liáu trÁ và đi đ°ÿc tÿ ngoài vào trong
cho một flow cā thể nào đó. Để làm đ°ÿc điÃu này, CBAC theo dõi mái lußng
dă liáu cÿa giao thāc đ°ÿc chỉ ra trong inspection rule và t¿o ra Ánh phÁn x¿ cÿa
flow này trong một By – pass access – list đặc biát đ°ÿc cài vào đ°áng trung
chuyển dă liáu theo chiÃu ng°ÿc l¿i để cho phép trÁ vÃ. Do đó, dù có một ACL
tr°áng minh đ°ÿc gán trên cáng router chặn dă liáu tÿ ngoài vào trong, dă liáu
trÁ và cÿa flow đ°ÿc inspect v¿n có thể đi vào đ°ÿc bên trong.

• Các giao thąc CBAC hß trÿ

B¿n có thể cÃu hình CBAC để xem xét tÃt cÁ các session TCP và UDP.

B¿n cũng có thể cÃu hình CBAC xem xét chi tiÁt các giao thāc ã tÅng āng dāng
nh° sau:
Các session TCP, không cÅn quan tâm giao thāc ã tÅng āng dāng là gì
Các session UDP, không cÅn quan tâm giao thāc ã tÅng āng dāng là gì
FTP,SMTP,SQL*NET,TFTP
Các câu lánh trong UNIX R (rlogin, rexec, rsh)
RPC (Sun RPC, không phÁi là DCE RPC hoặc Microsoft RPC)
HTTP (Chặn Java)
Microsoft NetShow
RealAudio
StreamWorks
VDOLive
CU–SeeMe
H.323
RTSP

• H¿n chÁ : các giao thāc quÁng bá tìm đ°áng không thể bß xét bãi CBAC,
nên nhăng giao thāc mà CBAC không thể lác đ°ÿc thì có thể dùng
Extended ACL để kiểm tra

CBAC gám hai thành phÁn nh° sau:

67
– Inspection rule: Chỉ đßnh các giao thāc đ°ÿc cho phép đi qua firewall khi có
khãi t¿o tÿ bên trong đi ra bên ngoài. Inspection rule này phÁi đ°ÿc áp lên một
cáng nào đó trên lộ trình cÿa các flow theo chiÃu khãi t¿o (tÿ trong ra ngoài).
Câu lánh cÃu hình khai báo inspection rule:

– Khai báo rule:

R(config)# ip inspect name Tên_rule Protocol …

– Áp rule lên cáng:

R(config–if)# ip inspect name Tên_rule {in|out}

– Một ACL chặn tÃt cÁ các lo¿i traffic theo chiÃu ng°ÿc l¿i (tÿ outside vÃ
inside). ACL này s¿ đ°ÿc bypasss bãi các gói trÁ và cÿa các giao thāc đ°ÿc chỉ
ra trong inspection rule.

– Giáng nh° vßi outbound access – list, CBAC không có tác dāng vßi dă liáu
xuÃt phát tÿ chính router và vì thÁ không t¿o ra Ánh phÁn x¿ cho các lußng dă
liáu này d¿n đÁn dă liáu lo¿i này trÁ và không đ°ÿc. Để khắc phāc, ta phÁi t¿o
thêm các entry trÁ và t°¢ng āng trên access – list inbound ã phía cáng vào.

2. ThiÁt lÁp mô hình CBAC

68
Bài toán bÁo mÁt :

Yêu cÅu 1: TÃt cÁ các User trong m¿ng LAN có thể ra ngoài m¿ng WAN bằng
các giao thāc khác nhau :[ tcp,icmp,udp ] trong khi các user bên ngoài thì không
thể truy cÁp vào m¿ng LAN bằng mái hình thāc

Yêu cÅu 2: CÃm User có IP là 172.16.1.4 ra ngoài WAN

3. Triển khai Lab configure cisco CBAC Firewall

B°ãc 1 : ĐÁm bÁo m¿ng hội tā , bên trong và bên ngoài có thể liên l¿c vßi nhau
bằng tÃt cÁ các giao thāc āng dāng

Router(config)#ip route 0.0.0.0 0.0.0.0 Gi0/0/1

ISP(conffig)#ip route 0.0.0.0 0.0.0.0 Gi0/0/0

T¿o NAT t¿i Router

Router(config)#access–list 1 permit any

Router(config)#ip nat inside source list 1 interface GigabitEthernet0/0/1

overload

Router(config)#ip nat inside source static 172.16.1.100 100.100.100.5

Router(config)#int Gi0/0/0

Router(config–if)# ip nat inside

Router(config)#int Gi0/0/1

Router(config–if)# ip nat outside

T¿o DHCP pool cÃp IP xuáng cho các User thuộc m¿ng LAN ,

Router(config)#ip dhcp pool ABC

Router(dhcp–config)# network 172.16.1.0 255.255.255.0

Router(dhcp–config)#default–router 172.16.1.1

Router(dhcp–config)# dns–server 8.8.8.8

B°ãc 2 :Kiểm tra traffic

69
Tạo telnet trên ISP

ISP(config)#line vty 0 4

ISP(config–line)#privilege level 15 // Tạo telnet không cần mật khẩu

ISP(config–line)#no login
// mở telnet server

Mô phßng Telnet đÁn ISP ã vùng m¿ng WAN

Ping đÁn 8.8.8.8 thuộc m¿ng WAN

Sā dāng www để váo m¿ng google.com có IP 8.8.8.8

70
Tÿ bên ngoài sā dāng www để vào m¿ng đ°ÿc đặt trong vùng m¿ng LAN

B°ãc 3:

Yêu cÅu 1:

CÃu hình extended ACL cÃm tÃt cÁ traffic tÿ WAN vào LAN , cho phép tÃt cÁ
traffic tÿ LAN ra WAN

Router(config)#ip access–list extended DENYALL

Router(config–ext–nacl)#de
Router(config–ext–nacl)#deny ip any any
Router(config–ext–nacl)#exit
Router(config)#int Gi0/0/1
Router(config–if)# ip access–group DENYALL in
71
Ping tÿ LAN ra WAN

Sā dāng web ra m¿ng WAN

=> TÃt cÁ bß chặn

CÃu hình CBAC để tÃt cÁ các User thuộc m¿ng LAN có thể ra ngoài WAN bằng
mái giao thāc

Router(config)#ip inspect name FIREWALL icmp

Router(config)#ip inspect name FIREWALL udp
Router(config)#ip inspect name FIREWALL tcp
Router(config)# interface Gi0/0/1
Router(config–if)# ip inspect FIREWALL out

Tÿ PC trong LAN thąc hián Ping

Sā dāng Web để ra m¿ng WAN

72
Trong khi các User bên ngoài muán vào LAN thì đÃu bß cÃm

Yêu cÅu 2 : CÃm User có IP 172.16.1.4 ra WAN

Viác ngày phÁi kÁt hÿp vßi extended ACL

Router(config)#access–list 102 deny ip host 172.16.1.4 any

Router(config)#access–list 102 permit ip any any
Router(config)#int gi0/0/0
Router(config–if)#ip access–group 102 in

Kiểm tra bằng lánh ping

Kiểm tra bằng web

Kiểm tra CBAC:

73
show ip access–lists //
Hiển thß nội dung cÿa tÃt cÁ các access–list hián t¿i

show ip inspect name inspection–name //

Xem một luÁt xem xét

show ip inspect config //

Xem toàn bột cÃu hình xem xét CBAC

show ip inspect session [detail] //

Xem nhăng session đang đ°ÿc theo dõi và xem xét bãi CBAC

show ip inspect interfaces //

Xem nhăng cÃu hình liên quan đÁn các luÁt xem xét và access–list trên cáng
giao tiÁp

show ip inspect all //

Xem tÃt cÁ nhăng cÃu hình CBAC và tÃt cÁ các session hián t¿i đang bß theo dõi
và xem xét bãi CBAC

74
 SO SÁNH GIĂA CBAC VÀ REFLEXIVE ACL
CBAC và Reflexive ACL đÃu là ph°¢ng thāc biÁn Router thành một firewall
vÁy chúng ta nên chán giÁi pháp nào.

Reflexive ACL là kiểu firewall rÃt đ¢n giÁn, nó chỉ nhìn vào gói dă liáu đi ra và
gói phÁn hßi đi vào.R–ACL không biÁt bÃt cā gì và giao thāc cā thể và không
thể nhìn xa h¢n source và destination address và port trong gói tin đi ra.

CBAC thì s¿ biÁn router thành một stateful firewall gÅn giáng vßi PIX cÿa
Cisco. Vßi CBAC gói tin đ°ÿc cho phép đi vào dąa trên gói tin đi ra t°¢ng tą
vßi Reflexive ACL nh°ng gói tin đi vào phÁi là một phÅn cÿa phiên làm viác
đang tßn t¿i.

Ví dā : CBAC s¿ kiểm tra sá ACK/SEQ trong gói tin TCP đi vào để xem đó có
phÁi là một phÅn cÿa phiên TCP đã biÁt không, nÁu không gói tin s¿ bß xóa bß.

Ngoài ra CBAC là giao thāc cā thể và s¿ mã một đ°áng hÅm đà cho phép l°u
l°ÿng truy cÁp nhÃt đßnh quay trã l¿i ( nh° là dă liáu FTP).Reflexive ACL
không thể làm điÃu này.

B¿n không thể sā dāng cÁ 2 giao thāc cùng một lúc.NÁu có một giao thāc mà
CBAC không hỗ trÿ thì CBAC v¿n mã một đ°áng hÅm cho phép gói tin quay
trã l¿i chỉ cÅn 2 c¢ chÁ TCP và UDP đ°ÿc bÁt. Nh°ng v¿n cÅn đÁm bÁo rằng gói
tin là một phÅn cÿa phiên đang tßn t¿i.

=> NÁu có thể ch¿y giao thāc CBAC thì hãy bß Reflexive ACL.

75
CH¯¡NG 7 : CONFIGURE ZONE BASED FIREWALL CISCO IOS

1. Khái niám Configure zone based firewall cisco ios

Cisco IOS stateful firewall đ°ÿc biÁt tßi là CBAC sā dāng một mô hình cÃu
hình trên cáng , trong đó một chính sách kiểm tra tr¿ng thái đ°ÿc áp dāng cho
một cáng .TÃt cÁ l°u l°ÿng đi qua cáng thì đÃu nhÁn đ°ÿc chính sách kiểm đßnh
t°¢ng tą nhau .Mô hình này gißi h¿n độ chi tiÁt cÿa chính sách cÿa t°áng lāa
và gây ra są nhÅm l¿n giăa các āng dāng thích hÿp cÿa chính sách t°áng lāa,
đặc biát là trong các tình huáng khi chính sách cÿa t°áng lāa đ°ÿc áp dāng trên
nhiÃu cáng .Zone–Based Policy Firewall hoặc ZFW s¿ thay đái cách cÃu hình
t°ãng lāa tÿ mô hình dąa trên cáng kiểu cũ thành một kiểu mßi linh ho¿t h¢n,
dß hiểu là chuyển sang mô hình kiểu vùng . Các cáng đ°ÿc chỉ đßnh thành các
vùng , và các chính sách kiểm tra đ°ÿc áp dāng cho l°u l°ÿng di chuyển giăa
các vùng. Giăa hai khu vąc chính sách cung cÃp są linh ho¿t đáng kể và độ chi
tiÁt và các chính sách kiểm tra khác nhau có thể đ°ÿc áp dāng cho nhiÃu nhóm
đ°ÿc kÁt nái trên cùng 1 cáng cÿa router.

2. Thąc hián Configure zone based firewall cisco ios

– Yêu cÅu:

+ ĐÁm bÁo m¿ng hội tā

+ CÃm tÃt cÁ các traffic tÿ Internet đi vào trong LAN

+ Cho phép các traffic tÿ LAN ra internet

1. CÃu hình IP và đßnh tuyÁn

– CÃu hình IP và đßnh tuyÁn tĩnh trên R1

76
B°ãc 1 :ĐÁm bÁo các m¿ng hái tā

o Đặt đßa chỉ các cáng

T¿i Router:

Router(config)#int f0/0

Router(config–if)#ip address 172.16.1.1 255.255.255.0

Router(config–if)#no shutdown

Router(config–if)#int f0/1

Router(config–if)# ip address 100.100.100.2 255.255.255.0

Router(config–if)#no shutdown

T¿i ISP:

ISP(config)#int f0/0

ISP(config–if)#ip address 100.100.100.1 255.255.255.0

ISP(config–if)#no shutdown

77
ISP(config–if)#int f0/1

ISP(config–if)#ip address 8.8.8.1 255.255.255.0

ISP(config–if)#no shutdown

T¿i Internet:

Internet(config)#int f0/0

Internet(config–if)#ip address 8.8.8.8 255.255.255.0

Internet(config–if)#no shutdown

78
o T¿i Router, ISP, Internet ta dùng default route để thuÁn tián cho viác đßnh
tuyÁn các host vßi server .

Router(config)#ip route 0.0.0.0 0.0.0.0 f0/0

ISP(config)# ip route 0.0.0.0 0.0.0.0 f0/1

Internet(config)#ip route 0.0.0.0 0.0.0.0 f0/0

o T¿o NAT t¿i Router

Router(config)#access–list 1 permit any

Router(config)#ip nat inside source list 1 interface f0/1 overload

Router(config)#ip nat inside source static 172.16.1.100 100.100.100.5

Router(config)#int f0/0

Router(config–if)# ip nat inside

Router(config)#int f0/1

Router(config–if)# ip nat outside

79
o T¿o DHCP pool cÃp IP xuáng cho các User thuộc m¿ng LAN

Router(config)#ip dhcp pool ABC

Router(dhcp–config)# network 172.16.1.0 255.255.255.0

Router(dhcp–config)#default–router 172.16.1.1

Router(dhcp–config)# dns–server 8.8.8.8

– Kiểm tra traffic tÿ m¿ng nội bộ ra Internet ta thÃy kÁt nái đ°ÿc.

– Traffic tÿ Internet đÁn m¿ng nội bộ kÁt nái đ°ÿc.

80
2. CÃu hình Zone Base Firewall

– CÃu hình Zone để phân đßnh vùng LAN và WAN

Code:

Router(config)#zone security LAN

Router (config–sec–zone)#exit

Router (config)#zone security WAN

81
– Nhóm các Interface nào thuộc zone LAN l¿i và nhóm các interface thuộc zone
"WAN" l¿i để control traffic.(Zone base firewall cũng nh° CBAC nh°ng có thể
quÁn lý tÁp trung các interface thành 1 zone)

Code:

Router (config)#interface f0/0

Router (config–if)#zone–member security LAN

Router (config–if)#interface f0/1

Router (config–if)#zone–member security WAN

82
– CÃu hình mô tÁ các traffic tÿ LAN–TO–WAN và WAN–TO–LAN

Code:

Router (config)#zone–pair security LAN–TO–WAN source LAN destination

WAN

Router (config–sec–zone–pair)#description LAN–TO–WAN TRAFFIC

Router (config–sec–zone–pair)#exit

Router (config)#zone–pair security WAN–TO–LAN source WAN destination

LAN

Router (config–sec–zone–pair)#description WAN–TO–LAN TRAFFIC

83
– Xem zone–pair.

– Sau khi cÃu hình phân đßnh các zone xong thì mặc đßnh tÃt cÁ các traffic s¿ bß
block:

+ Liên l¿c tÿ m¿ng nội bộ (LAN) ra Internet (WAN) bß cÃm.

84
+ Liên l¿c ng°ÿc l¿i tÿ Internet (WAN) và m¿ng nội bộ (LAN) cũng bß cÃm.

3. CÃu hình Security policy Cisco IOS

– CÃu hình Security Policy ląa chán traffic theo hành động : pass, deny hay
inspect
– CÃu hình Class–map lo¿i inspect( CBAC) trên giao thāc icmp

85
Code:

Router(config–cmap)#class–map type inspect ICMP

Router (config–cmap)#match protocol icmp

Router (config)#policy–map type inspect LAN–TO–WAN

Router (config–pmap)#class type inspect ICMP

Router (config–pmap–c)#inspect

– Cho phép traffic tÿ LAN ra internet

Code:

Router (config)#zone–pair security LAN–TO–WAN

Router (config–sec–zone–pair)#service–policy type inspect LAN–TO–WAN

86
4. Kiểm tra Lab Configure zone based firewall cisco ios

– xem policy map.

– Kiểm tra traffic tÿ LAN ra Internet thành công.

87
– Traffic ng°ÿc l¿i thì bß block.

88
 KÀT LUÀN

BÁo mÁt là một trong nhăng lĩnh vąc mà hián nay gißi công nghá thông tin khá
quan tâm. Một khi internet ra đái và phát triển, nhu cÅu trao đái thông tin trã
nên cÅn thiÁt. Māc tiêu cÿa viác nái m¿ng là làm cho mái ng°ái có thể sā dāng
chung tài nguyên tÿ nhăng vß trí đßa lý khác nhau. Cũng chính vì vÁy mà các tài
nguyên cũng rÃt dß dàng bß phân tán, d¿n một điÃu hiển nhiên là chúng s¿ bß
xâm ph¿m, gây mÃt mát dă liáu cũng nh° các thông tin có giá trß. Càng giao
thiáp rộng thì càng dß bß tÃn công, đó là một quy luÁt. Tÿ đó, vÃn đà bÁo vá
thông tin cũng đßng thái xuÃt hián. BÁo mÁt ra đái.

TÃt nhiên, māc tiêu cÿa bÁo mÁt không chỉ nằm gói gán trong lĩnh vąc bÁo vá
thông tin mà còn nhiÃu ph¿m trù khác nh° kiểm duyát web, bÁo mÁt internet,
bÁo mÁt http, bÁo mÁt trên các há tháng thanh toán đián tā và giao dßch trąc
tuyÁn….

Đà tài <XÂY DĄNG Há THàNG T¯àNG LĀA FIREWALL CISCO ASA

TRÊN ROUTER CISCO= cÿa em cũng chỉ là một māc nhß trong các cách bÁo
mÁt m¿ng nh°ng đã giúp em hiểu đ°ÿc c¢ bÁn nguyên lý ho¿t động cÿa một há
tháng m¿ng và cách bÁo vá nó.

KÁt quÁ đ¿t đ°ÿc :

Qua đà tài em đã đúc kÁt đ°ÿc nhiÃu kiÁn thāc và quÁn trß m¿ng và bÁo mÁt
m¿ng.Em đã biÁt đ°ÿc cách xây dąng một há tháng m¿ng LAN, cÃu hình há
tháng m¿ng LAN.Cách thāc mà m¿ng LAN sā dāng IP public để ra Internet
CÃu hình trên Firewall trên Firewall ASA và Router bằng nhiÃu cách khác nhau

¯u điểm căa đà tài: Ng°ái đác có thể nhanh chóng tìm hiểu c¢ bÁn vÃ
firewall,các cách cÃu hình firewall
Có thể tą bÁo vá dă liáu t¿i c¢ quan doanh nghiáp
Nh°ÿc điểm : Các thiÁt bß để thąc hián đà tài đÃu khá mắc khó có sẵn nên chỉ
có thể làm trên mô phßng
Các cách để cÃu hình firewall v¿n còn khiêm tán
H°ãng phát triển mở ráng ąng dāng căa đà tài :
Tÿ nhăng thā c¢ bÁn có thể hác thêm để tìm hiểu thêm nhiÃu cách khác nhau
cÃu hình firewall trên asa hoặc router.
Không chỉ trên các thiÁt bß cÿa Cisco chúng ta còn có thể chuyển qua sā dāng
các thiÁt bß cÿa các hãng khác nh° PALO ALTO, JUNIPER,FORTINET dąa
trên nÃn tÁng code cÿa CISCO đã biÁt
Mã rộng h°ßng đi cho sinh viên muán đi theo h°ßng quÁn trß m¿ng

89