LỜI CÁM ƠN Trước tiên, em xin gởi lời cám ơn chân thành tới thầy hướng dẫn đồ án tốt nghiệp em, Th.S Trần Đình Thuần, người tạo điều kiện, động viên giúp đỡ em hoàn thành tốt kỳ đồ án Trong suốt trình nghiên cứu thầy kiên nhẫn hướng dẫn, giúp đỡ động viên em nhiều Sự hiểu biết sâu sắc kinh nghiệm thầy tiền đề giúp em đạt thành tựu kinh nghiệm quý báu Xin cám ơn khoa Viễn Thông II Học viện cơng nghệ bưu viễn thơng tạo điều kiện thuận lợi cho em làm việc khoa để tiến hành tốt cho đồ án em Em xin gởi lời cảm ơn đến bạn bè gia đình ln bên em, cổ vũ động viên em lúc khó khăn để em vượt qua hoàn thành tốt đồ án Một lần em xin chân thành cảm ơn thầy trường Học viện cơng nghệ Bưu Chính Viễn Thơng, đặc biệt thầy Trần Đình Thuần người tận tình hướng dẫn em Cuối em xin gởi lời chúc đến quý thầy cô bạn sinh viên trường dồi sức khỏe thành công công việc Em xin chân thành cảm ơn! Sinh viên thực Nguyễn Xuân Hòa MỤC LỤC MỤC LỤC i MỤC LỤC HÌNH v MỤC LỤC BẢNG .vi LỜI MỞ ĐẦU CHƯƠNG : AN TỒN TRONG MẠNG MÁY TÍNH 1.1 Tình hình thực tế 1.2 Các lỗ hổng mạng Các mật yếu Dữ liệu khơng mã hóa Các file chia sẻ 1.3 Các mục tiêu cần bảo vệ Dữ liệu Tài nguyên Danh tiếng 1.4 Các dạng công mạng Xâm nhập Từ chối dịch vụ 1.5 Các chiến lược bảo vệ Quyền hạn tối thiểu (Least Privilege) Bảo vệ theo chiều sâu (Defence in Depth ) Nút thắt (Choke Point) Liên kết yếu ( Weakest Link ) .9 Hỏng an toàn ( Fail – Safe Stance ) 10 Tính tồn cục ( Universal Participation ) 10 CHƯƠNG : TỔNG QUAN VỀ FIREWALL 11 2.1 Khái niệm .11 2.2 Phân loại Firewall 11 Firewall phần cứng 11 Firewall phần mềm 12 2.3 Ưu điểm nhược điểm Firewall 12 Ưu điểm 12 Firewall điểm tập trung giải vấn đề an ninh 12 Firewall thiết lập sách an ninh 13 Firewall ghi lại hoạt động cách hiệu .13 Nhược điểm 13 Firewall bảo vệ có cơng từ bên 13 Firewall khơng thể bảo vệ công không qua 13 2.4 Các chức Firewall 14 Packet Filtering 14 Khái niệm 14 Các hoạt động Packet Filtering 16 Proxy 16 Khái niệm 16 Các hoạt động Proxy .17 Phân loại Proxy 17 Sử dụng Proxy với dịch vụ Internet 18 Theo dõi ghi chép (Monitoring and Logging) 19 CHƯƠNG : TƯỜNG LỬA CISCO ASA 20 3.1 Giới thiệu 20 3.2 Các chức 21 Các chế độ làm việc 21 Quản lý File .22 3.3 Network Access Translation (NAT) 24 Khái niệm 24 NAT thiết bị ASA 25 3.4 Access Control List 27 3.5 VPN .30 Giới thiệu 30 Các mơ hình VPN .32 Site to site VPN 32 Remote Access 32 CHƯƠNG : TRIỂN KHAI CÁC GIẢI PHÁP TRÊN CISCO ASA VÀ DEMO KẾT QUẢ 34 4.1 Giới thiệu xây dựng mơ hình Firewall ASA 34 4.2 Hoạch định, giải pháp kết đạt được: .35 Hoạch định 35 Giải pháp 36 Triển khai Router ISP 36 Interface Cisco ASA .37 Static Route Cisco ASA 37 Access Control List Cisco ASA 37 NAT Cisco ASA 38 Remote Access VPN 39 Kết đạt 41 KẾT LUẬN .42 PHỤ LỤC i DANH MỤC CÁC TỪ VIẾT TẮT .xxi TÀI LIỆU THAM KHẢO xxiii MỤC LỤC HÌNH Hình 1.1: Tấn cơng kiểu DoS DdoS Hình 1.2: Tấn công kiểu DRDoS Hình 1.3: Bảo vệ theo chiều sâu Hình 2.1: Vị trí Firewall mạng doanh nghiệp 11 Hình 2.2: Packet Filtering 14 Hình 2.3: Proxy server 17 Hình 3.1: Cisco ASA 5505 20 Hình 3.2: Security Level mạng lưới doanh nghiệp 23 Hình 3.3: Chuyển đổi địa mạng .24 Hình 3.4: Mơ tả chế PAT (NAT overload) 25 Hình 3.5: Sơ đồ ACL điều khiển truy cập mạng 27 Hình 3.6: Mơ tả đường hầm VPN mạng LAN doanh nghiệp 30 Hình 3.7: Sơ đồ mạng mô tả kết nối Site to site VPN 32 Hình 3.8: Sơ đồ mạng mơ tả kết nối Remote Access VPN .33 Hình 4.1: Mơ hình triển khai Firewall ASA 34 Hình 4.2: Mơ hình logic Firewall ASA 34 MỤC LỤC BẢNG Bảng 4.1: Các vùng mạng hệ thống mạng 35 Bảng 4.2: Chính sách cho vùng mạng .36 LỜI MỞ ĐẦU LỜI MỞ ĐẦU Mặc dù Internet mỏ thông tin giao tiếp xã hội quý giá, lúc thân thiện Thay vào đó, có nhiều kẻ xấu rình rập mạng với mưu đồ xâm nhập vào máy tính kết nối với Internet Sau hàng loại vụ công mạng với quy mô lớn diễn gần đây, vấn đề bảo mật máy tính trở nên quan trọng hết Bên cạnh phần mềm diệt virus, cổng giao tiếp hệ thống, bạn cần ý đến yếu tố tường lửa Firewall Để làm rõ vấn đề đồ án “FIREWALL CISCO ASA” cho nhìn sâu khái niệm, chức Firewall Nội dung đồ án chia làm chương sau: Chương 1: An tồn mạng máy tính Chương 2: Tổng quan Firewall Chương 3: Tường lửa Cisco ASA Chương 4: Triển khai giải pháp Cisco ASA demo kết Dưới hướng dẫn , bảo nhiệt tình thầy Th.S Trần Đình Thuần với cố gắng nổ lực cá nhân, em hoàn thành đồ án thời hạn cho phép Do nội dung đồ án rộng bao gồm nhiều kiến thức mẻ, thời gian kiến thức hạn chế, việc nghiên cứu chủ yếu dựa lý thuyết nên chắn đề tài không tránh khỏi thiếu xót Em mong nhận được đóng góp ý kiến thầy giáo bạn bè SVTH: NGUYỄN XUÂN HÒA LỚP: L15CQVT01-N Trang CHƯƠNG 1: AN TỒN TRONG MẠNG MÁY TÍNH CHƯƠNG : AN TỒN TRONG MẠNG MÁY TÍNH Trong chương trình bày khái niệm chung an tồn an ninh mạng, tình hình thực tế Các mơ hình mạng giao thức sử dụng để truyền thông mạng Các dạng công, số kỹ thuật công sử dụng phổ biến nay, từ đưa chiến lược bảo vệ hệ thống khỏi nguy 1.1 Tình hình thực tế Mạng Internet – mạng tồn cầu kết nối máy tính cung cấp dịch vụ WWW, E-mail, tìm kiếm thơng tin … tảng cho dịch vụ điện tử ngày phát triển nhanh chóng Internet trở thành phần thiếu sống ngày Và với nguy hiểm mà mạng Internet mang lại Những kẻ công ngày tinh vi hoạt động chúng Thông tin lỗ hổng bảo mật, kiểu công trình bày cơng khai mạng Khơng kể kẻ cơng khơng chun nghiệp, người có trình độ cao mà cần người có chút hiểu biết lập trình, mạng đọc thơng tin trở thành hacker Chính lí mà số vụ cơng mạng không ngừng tăng nhiều phương thức cơng đời, khơng thể kiểm sốt Theo điều tra Ernst & Young, 4/5 tổ chức lớn ( số lượng nhân viên lớn 2500 ) triển khai ứng dụng tảng, quan trọng mạng cục LAN Khi mạng cục kết nối với mạng Internet, thông tin thiết yếu nằm khả bị đột nhập, lấy cắp, phá hoại cản trở lưu thông Phần lớn tổ chức có áp dụng biện pháp an tồn chưa triệt để có nhiều lỗ hổng để kẻ cơng lợi dụng Những năm gần đây, tình hình bảo mật mạng máy tính trở lên nóng bỏng hết hàng loạt vụ công, lỗ hổng bảo mật phát bị lợi dụng công Theo Arthur Wong – giám đốc điều hành SecurityFocus – trung bình tuần, phát 30 lỗ hổng bảo mật Theo điều tra SecurityFocus số 10.000 khách hàng hãng có cài đặt phần mềm phát SVTH: NGUYỄN XUÂN HÒA LỚP: L15CQVT01-N Trang CHƯƠNG 1: AN TOÀN TRONG MẠNG MÁY TÍNH xâm nhập trái phép trung bình khách hàng phải chịu 129 thăm dò, xâm nhập Những phần mềm web server IIS Microsoft mục tiêu phổ biến công Trước tình hình việc bảo vệ an tồn thơng tin cho hay hệ thống máy tính trước nguy bị cơng từ bên ngồi kết nối vào Internet vấn đề cấp bách Để thực yêu cầu trên, giới xuất phần mềm khác với tính khác mà gọi Firewall Sử dụng Firewall để bảo vệ mạng nội bộ, tránh cơng từ bên ngồi giải pháp hữu hiệu, đảm bảo yếu tố : An toàn cho hoạt động toàn hệ thống mạng Bảo mật cao nhiều phương diện Khả kiểm soát cao Mềm dẻo dễ sử dụng Trong suốt với người sử dụng Đảm bảo kiến trúc mở Để bảo vệ hệ thống, chống lại công hacker, ta phải biết mục tiêu cần bảo vệ, kỹ thuật công khác nhau, đưa chiến lược bảo vệ mạng hợp lý 1.2 Các lỗ hổng mạng Việc sử dụng mạng Internet làm tăng nhanh khả kết nối, đồng thời chứa đựng hiểm hoạ khơng ngờ Những lỗ hổng để kẻ cơng lợi dụng, gây tổn thương cho hệ thống có nhiều Sau vài lỗ hổng phổ biến cộng đồng mạng Các mật yếu Mọi người thường có thói quen sử dụng mật theo tên người thân hay quen thuộc với Với mật dễ bị phán đốn, kẻ cơng chiếm đoạt quyền quản trị mạng, phá huỷ hệ thống, cài đặt backdoor … Ngày nay, người ngồi từ xa đăng nhập vào hệ thống ta cần phải sử dụng mật khó đốn, khó dị tìm SVTH: NGUYỄN XN HỊA LỚP: L15CQVT01-N Trang