Thực tập cơ sở đề tài tìm hiểu và triển khai firewall asa

BỘ THÔNG TIN VÀ TRUYỀN THÔNG HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THƠNG THỰC TẬP CƠ SỞ Đề tài: Tìm hiểu triển khai FIREWALL ASA Người hướng dẫn : Người hướng dẫn : Nhóm thực : Lớp : Khố : Hệ : TS HUỲNH TRỌNG THƯA TS HUỲNH THANH TÂM Group 13 D19CQAT01-N 2019 – 2024 ĐẠI HỌC CHÍNH QUY -TP.HCM, tháng 1/2022 ST Họ tên T lót Huỳnh Trọng Phạm Minh Ngơ Sĩ Tên Phúc Nguyễn Chí Nguyễn Văn Mã sinh viên D19CQAT01-N N19DCAT061 Quang D19CQAT01-N N19DCAT063 Hồ Ngơ Nhựt Minh Lớp D19CQAT01-N N19DCAT029 D19CQAT01-N N19DCAT050 Bảo D19CQAT01-N N19DCAT006 Kiên D19CQCN02-N N19DCCN077 Thành viên nhóm Email sinh viên n19dcat061@student.ptithcm.e du.vn n19dcat063@student.ptithcm.e du.vn n19dcat029@student.ptithcm.e du.vn n19dcat050@student.ptithcm.e du.vn n19dcat006@student.ptithcm.e du.vn n19dccn077@student.ptithcm edu.vn MỤC LỤC Lời Mở Đầu Chương : Cơ sở lý thuyết 1.1 Giới thiệu Firewall Asa 1.2 Cơ chế hoạt động 1.3 Các chức firewall ASA 1.3.1 Quản lý file 1.3.2 Mức độ bảo mật 1.3.3 Điều khiển truy cập mạng 1.3.3.1 Lọc gói 1.3.3.2 Lọc nội dung URL 1.3.3.3Chuyển đổi địa 1.3.4 Kiểm tra ứng dụng 11 1.3.5 Khả chịu lỗi dự phòng 11 1.3.5.1 Kiến trúc chịu lỗi 11 1.3.5.2 Điều kiện kích hoạt khả chịu lỗi 12 1.3.5.3 Trạng thái chịu lỗi 13 1.3.6 Quản lí chất lượng dịch vụ 13 1.3.6.1 Traffic policing 14 1.3.6.2 Traffic Prioritization 15 1.3.7 Phát xâm nhập 15 1.3.8 Kết luận 15 Chương : Thiết kế xây dựng hệ thống 16 2.1 Mơ hình hệ thống 16 2.2 Công cụ sử dụng 17 Chương : Kết thực nghiệm 24 3.1 Thiết kế hệ thống mô 24 3.1.1 Giải pháp bảo mật 24 3.1.2 Chức thực 25 Cấu hình chi tiết 26 Kết kiểm tra hệ thống 30 =>Kết luận chương 31 TÀI LIỆU THAM KHẢO 31 Thuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asa Lời Mở Đầu Với bùng nổ phát triển cơng nghệ nay, máy tính mạng máy tính có vai trị quan trọng sống ngày Ngày lĩnh vực cần đến máy tính, máy tính hữu ích với Chính nhờ có máy tính phát triển làm cho khoa học kỹ thuật phát triển vượt bậc, kinh tế phát triển nhanh chóng thần kỳ Cùng với đời phát triển máy tính mạng máy tính vấn đề bảo mật thông tin, ngăn chặn xâm phạm đánh cắp thơng tin máy tính thơng tin cá nhân mạng máy tính mà ngày có nhiều tin tặc xâm nhập phá huỷ liệu quan trọng làm thiệt hại lớn Việc bảo mật an tồn thơng tin trở thành mối lo ngại nguy tiềm tàng, tin tặc truy cập vào hệ thống quan, tổ chức từ khắp nơi giới Chính việc bảo mật thơng tin quan trọng, hệ thống thông tin thành phần thiết yếu quan, tổ chức, đem lại khả xử lý thông tin, hệ thống thông tin chứa nhiều điểm yếu Do việc bảo vệ hệ thống vấn đề mà đáng phải quan tâm Người ta đưa khái niệm Firewall để giải vấn đề Trong mơn Thực tập sở , nhóm 13 trình bày về: “Tìm hiểu triển khai FIREWALL ASA” qua cho nhìn sâu khái niệm, chức Firewall Tp, Hồ Chí Minh, ngày 09 tháng 01 năm 2022 Nhóm thực Group 13 Thuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asa Thuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asa Chương : Cơ sở lý thuyết 1.1 Giới thiệu Firewall Asa Cisco ASA viết tắt từ Cisco Adaptive Security Appliance ASA giải pháp bảo mật đầu cuối Cisco Hiện ASA sản phẩm bảo mật dẫn đầu thị trường hiệu cung cấp mơ hình phù hợp doanh nghiệp, tích hợp giải pháp bảo mật mạng Dòng sản phẩm ASA giúp tiết kiệm chi phí, dễ dàng triển khai Nó bao gồm thuộc tính sau: + Bảo mật thời gian thực, hệ điều hành độc quyền Cisco + Công nghệ Stateful firewall sử dụng thuật toán SA Cisco + Sử dụng SNR để bảo mật kết nối TCP + Sử dụng Cut through proxy để chứng thực Telnet, HTTP, FTP + Chính sách bảo mật mặc định gia tăng bảo vệ mức tối đa có khả tùy chỉnh sách xây dựng lên sách riêng bạn + VPN: IPSec, SSL L2TP + Tích hợp hệ thống ngăn ngừa phát xâm nhập IDS/IPS + NAT động, NAT tĩnh, NAT port + Ảo hóa sách sử dụng Context 1.2 Cơ chế hoạt động Cisco ASA hoạt động theo chế giám sát gói tin theo trạng thái (Stateful Packet Inspection), thực điều khiển trạng thái kết nối qua thiết bị bảo mật (ghi nhận trạng thái gói tin thuộc kết nối xác định theo loại giao thức hay ứng dụng) Cho phép kết nối chiều (outbound-đi ra) với việc cấu hình Một kết nối kết nối từ thiết bị cổng có mức bảo mật cao đến thiết bị mạng có mức bảo mật thấp Trạng thái ghi nhận dùng để giám sát kiểm tra gói trở Thay đổi ngẫu nhiên giá trị (sequence number) gói TCP để giảm rủi ro công Hoạt động theo kiến trúc phân vùng bảo mật dựa theo cổng, cổng tin cậy (trusted) hay mức bảo mật cao cổng không tin cậy (untrusted) hay mức bảo mật thấp Quy tắc cho mức Thuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asa Thuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asa bảo mật thiết bị từ vùng tin cậy truy cập thiết bị vùng không tin cậy Ngược lại thiết bị từ vùng không tin cậy truy cập tới thiết bị vùng tin cậy trừ cho phép ACL 1.3 Các chức firewall ASA 1.3.1 Quản lý file Có hai loại file cấu hình thiết bị an ninh Cisco: running-configuration startupconfiguration Loại file running-configuration file chạy thiết bị, lưu trữ nhớ RAM firewall Bạn xem cấu hình cách gõ show running-config từ chế độ Privileged Bất kỳ lệnh mà bạn nhập vào firewall lưu trực tiếp running-config có hiệu lực thi hành Kể từ cấu hình chạy lưu nhớ RAM, thiết bị bị nguồn, thay đổi cấu hình mà khơng lưu trước Để lưu lại cấu hình chạy, sử dụng copy run start write memory Hai lệnh copy running-config vào startup-config mà lưu trữ nhớ flash Loại thứ hai startup-configuration cấu hình lưu running-configuration Nó lưu trữ nhớ flash, khơng bị thiết bị khởi động lại Ngoài ra, startup-configuration tải thiết bị khởi động Để xem startup-configuration lưu trữ, gõ lệnh show startup-config 1.3.2 Mức độ bảo mật Security Level gán cho interface (hoặc vật lý hay logical sub-interfaces) số từ 0-100 định với interface liên quan đến interface khác thiết bị Mức độ bảo mật cao interface đáng tin cậy Vì interface firewall đại diện cho mạng cụ thể (hoặc khu vực an ninh) cách sử dụng mức độ bảo mật Các quy tắc cho mức độ bảo mật interface với mức độ bảo mật cao truy cập vào interface với mức độ bảo mật thấp Mặt khác, interface với mức độ bảo mật thấp truy cập vào interface với mức độ bảo mật cao hơn, mà cho phép rõ ràng quy tắc bảo mật (Access Control List ACL) Một số mức độ bảo mật điển hình: ● Security Level 0: Đây mức độ bảo mật thấp gán mặc định interface bên ngồi firewall Đó mức độ bảo mật tin cậy phải định phù hợp với mạng (interface) mà khơng muốn có truy cập vào mạng nội Mức độ bảo mật thường gán cho interface kết nối với Internet Điều có nghĩa tất thiết bị kết Thuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asa Thuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asa nối Internet khơng thể có quyền truy cập vào mạng phía sau firewall, trừ quy tắc ACL rõ ràng cho phép ● Security Level đến 99: Những mức độ bảo mật khu vực bảo mật vịng ngồi (ví dụ khu vực DMZ, khu vực quản lý, ) ● Security Level 100: Đây mức độ bảo mật cao gán mặc định interface bên tường lửa Đây mức độ bảo mật đáng tin cậy phải gán cho mạng (interface) mà muốn áp dụng bảo vệ nhiều từ thiết bị an ninh.Mức độ bảo mật thường gán cho interface kết nối mạng nội cơng ty đằng sau Việc truy cập Security Level tuân theo quy định sau: ● Truy cập từ Security Level cao tới Security Level thấp hơn: Cho phép tất lưu lượng truy cập có nguồn gốc từ Security Level cao trừ quy định cụ thể bị hạn chế Access Control List (ACL) Nếu NAT-Control kích hoạt thiết bị, sau phải có cặp chuyển đổi nat/global interface có Security Level từ cao tới thấp ● Truy cập từ Security Level thấp Security Level cao hơn: Chặn tất lưu lượng truy cập trừ cho phép ACL Nếu NAT-Control kích hoạt thiết bị này, sau phải NAT tĩnh interface có Security Level từ cao tới thấp ● Truy cập interface có Security Level: theo mặc định không phép, trừ bạn cấu hình lệnh same-security-traffic permit 1.3.3 Điều khiển truy cập mạng Cisco Adaptive Security Appliances (ASA) giúp bảo vệ nhiều mạng từ kẻ xâm nhập công Kết nối mạng kiểm sốt theo dõi cách sử dụng tính mạnh mẽ mà Cisco ASA cung cấp Có thể đảm bảo tất lưu lượng truy cập từ mạng tin cậy mạng không tin cậy (và ngược lại) qua tường lửa dựa sách đảm bảo an tồn hệ thống tường lửa ASA 1.3.3.1 Lọc gói Cisco ASA bảo vệ mạng bên (inside), khu phi quân (DMZ) mạng bên (outside) cách kiểm tra tất lưu lượng qua Có thể xác định sách quy tắc cho lưu lượng cho phép không cho phép qua interface Các thiết bị bảo mật sử dụng access control list (ACL) để giảm lưu lượng truy cập khơng mong muốn khơng biết cố gắng để vào mạng đáng tin cậy Một ACL danh sách quy Thuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asa Thuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asa tắc an ninh, sách nhóm lại với cho phép từ chối gói tin sau nhìn vào tiêu đề gói (packet header) thuộc tính khác Mỗi phát biểu cho phép từ chối ACL gọi access control entry (ACE) Các ACE phân loại gói liệu cách kiểm tra layer 2, layer layer mơ hình OSI bao gồm: ● Kiểm tra thơng tin giao thức layer 2: ethertypes ● Kiểm tra thông tin giao thức layer 3: ICMP, TCP or UDP, kiểm tra địa IP nguồn đích ● Kiểm tra thông tin giao thức layer 4: port TCP/UDP nguồn đích Khi ACL cấu hình đúng, áp dụng vào interface để lọc lưu lượng Các thiết bị an ninh lọc gói tin theo hướng vào (inbound) (outbound) từ interface Khi ACL áp dụng vào interface, thiết bị an ninh kiểm tra gói chống lại ACE sau nhận trước truyền Nếu gói cho phép vào, thiết bị an ninh tiếp tục trình cách gửi qua cấu hình khác Nếu gói tin bị từ chối ACL, thiết bị an ninh loại bỏ gói liệu tạo thông điệp syslog kiện xảy Trong hình 2.5, người quản trị thiết bị an ninh áp dụng cho outside interface inbound ACL cho phép lưu lượng HTTP tới 20.0.0.1 Tất lưu lượng khác bị loại bỏ interface thiết bị an ninh Mơ tả q trình lọc gói tường lửa Nếu ACL áp dụng interface, thiết bị an ninh xử lý gói liệu cách gửi packet thơng qua q trình khác (NAT, QoS, VPN) sau áp dụng cấu hình ACE trước truyền gói liệu Các thiết bị an ninh truyền gói liệu chúng phép Các loại Access Control List: Thuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asa Thuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asa Có năm loại ACL khác cung cấp cách linh hoạt khả mở rộng để lọc gói trái phép bao gồm: ● Standard ACL ● Extended ACL ● IPV6 ACL ● Ethertype ACL ● WebVPN ACL Standard ACL: Chuẩn Standard ACL sử dụng để xác định gói liệu dựa địa IP đích.Các ACL sử dụng để phân chia luồng lưu thông truy cập từ xa VPN phân phối lại luồng sơ đồ định tuyến.Chuẩn Standard ACL sử dụng để lọc gói thiết bị bảo mạng hoạt động chế độ định tuyến,ngăn truy cập từ mạng đến mạng khác Extended ACL: Chuẩn Extended chuẩn phổ biết nhất, phân loại gói liệu dựa đặc tính sau: ● Địa nguồn địa đích ● Giao thức lớp ● Địa nguồn địa cổng TCP UDP ● Điểm đến ICMP dành cho gói ICMP ● Một chuẩn ACL mở rộng sử dụng cho q trình lọc gói, phân loại gói QoS, nhận dạng gói cho chế NAT mã hóa VPN ● IPV6 ACL: Một IPV6 ACL có chức tương tự chuẩn Extended ACL Tuy nhiên nhận biết lưu lượng địa IPV6 lưu thông qua thiết bị bảo mật chế độ định tuyến Ethertype ACL: Chuẩn Ethertype sử dụng để lọc IP lọc gói tin cách kiểm tra đoạn mã trường Ethernet phần đầu lớp Một Ethertype ACL cấu hình thiết bị bảo mật chạy chế độ suốt (transparent) Lưu ý chuẩn thiết bị bảo mật không cho phép dạng IPV6 lưu thông qua, phép qua IPV6 Ethertype ACL WebVPN ACL: Một WebVPN ACL cho phép người quản trị hệ thống hạn chế lưu lượng truy cập đến từ luồng WebVPN Trong trường hợp có ACL WebVPN xác định không phù hợp gói tin đó,mặc định gói tin bị loại bỏ Mặc khác, khơng có ACL xác định,các thiết bị bảo mật cho phép lưu thông qua ACL xác định lưu lượng truy cập cách cho phép loại bỏ gói tin cố gắng qua thiết bị bảo Thuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asa Thuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asa mật Một ACE đơn giản cho phép tất địa IP truy cập từ mạng đến mạng khác, phức tạp cho phép lưu thông từ địa IP cụ thể cổng riêng biệt đến cổng khác địa đích Một ACE thiết kế cách sử dụng lệnh điều khiển truy cập để thiết lập cho thiết bị bảo mật 1.3.3.2 Lọc nội dung URL Theo truyền thống firewall chặn gói liệu cách kiểm tra thơng tin gói layer Layer Cisco ASA nâng cao chức cách kiểm tra nội dung thông tin vài giao thức layer HTTP, HTTPS, FTP Căn vào sách bảo mật tổ chức, thiết bị an ninh cho phép chặn packet chứa nội dụng không cho phép Cisco ASA hỗ trợ hai loại lớp ứng dụng lọc: Content Filtering URL Filtering ⮚ Content Filtering Việc kích hoạt Java ActiveX mơi trường làm việc khiến người dùng dễ dàng tải tập tin thực thi độc hại gây mát tập tin hư hại tập tin môi trường sử dụng Một chuyên gia an ninh mạng vơ hiệu hố Java xử lý ActiveX trình duyệt, điều khơng phải giải pháp tốt Có thể chọn cách khác sử dụng thiết bị mạng Cisco ASA để loại bỏ nội dung độc hại từ gói tin Sử dụng tính lọc nội dung cục bộ, thiết bị an ninh kiểm tra tiêu đề HTTP lọc ActiveX Java applet gói liệu cố gắng qua từ máy không tin cậy Cisco ASA phân biệt applet tin cậy applet không tin cậy Nếu trang web đáng tin cậy gửi Java ActiveX applet thiết bị bảo mật chuyển đến máy chủ yêu cầu kết nối Nếu applet gửi từ máy chủ web khơng tin cậy, thiết bị bảo mật sửa đổi nội dung loại bỏ đính kèm từ gói tin Bằng cách này, người dùng cuối định đến applet chấp nhận từ chối Họ tải applet mà lo lắng ⮚ URL Filtering ActiveX gây vấn đề tiềm nguy hại thiết bị mạng mã độc ActiveX tải máy Các mã ActiveX đưa vào trang web cách sử dụng thẻ HTML Các thiết bị an ninh tìm kiếm thẻ cho lưu lượng có nguồn gốc cổng cấu hình sẵn Nếu thiết bị an ninh phát thẻ này, thay chúng thẻ thích Khi trình duyệt nhận gói liệu HTTP với , bỏ qua nội dung thực tế cách giả sử nội dung ý kiến tác giả Lưu ý: thiết bị an ninh nhận thẻ HTML chúng phân chia nhiều gói mạng Thuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asa Thuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asa Bước 2: Trong hộp thoại Licenes Agreement, chọn I Agree Bước 3: Trong hộp thoại Choose Start Menu Folder, chọn Next 18 Thuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asa Thuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asa Bước 4: Trong hộp thoại Choose Components, chọn ứng dụng cần thiết, chọn Next Bước 5: Trong hộp thoại Choose Install Location, chọn Install 19 Thuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asa Thuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asa Bước 6: Sau cài đặt xong, chọn Next Bước 7: Trong hộp thoại Solarwinds Standard Toolset, chọn No nhấn Next 20 Thuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asa Thuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asa Bước 8: Chọn Finish để hồn tất q trình cài đặt Tool ASDM Cisco Trình quản lý thiết bị bảo mật Cisco cung cấp quản lý giám sát an ninh tầm cỡ giới thông qua giao diện quản lý dựa tảng Web dễ sử dụng trực quan Trình quản lý thiết bị bảo mật Cisco cung cấp tính sau: ● Thiết lập trình thủ thuật giúp bạn cấu hình quản lý thiết bị tường lửa Cisco ● Trình xem nhật ký thời gian thực mạnh mẽ theo dõi bảng điều khiển cung cấp chế độ xem nhanh trạng thái thiết bị tình hình hoạt động thiết bị tường lửa Giả lập firewall ASA Download ios ASA 8.4.2 web 21 Thuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asa Thuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asa File cài đặt ASA bao gồm file: asa842-initrd asa842-vmlinuz Khởi động GNS3 => Edit => Preferences => QEMU => Qemu Vms => New Bước 1: Trong hộp thoại QEMU VM type, chọn type ASA 8.4(2), chọn Next Bước 2: Trong hộp thoai QEMU name, chọn Name ASA, chọn Next 22 Thuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asa Thuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asa Bước 3: Trong hộp thoai QEMU binary and memory, chọn dung lượng RAM ASA sử dụng 1024, chọn Next Bước 4: Trong hộp thoại ASA VM, Browse hai file initrd vmlinuz, chọn Finish 23 Thuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asa Thuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asa Firewall ASA Cisco phiên 8.4.2 trở lên có hỗ trợ tính Identity Firewall tính hay mà dịng Next-generation firewall sử dụng Chương : Kết thực nghiệm 3.1 Thiết kế hệ thống mô 3.1.1 Giải pháp bảo mật Để giải vấn đề trên, hệ thống cần bổ sung thiết bị phần cứng phần mềm nhằm ngăn chặn nguy công Đối với cơng từ ngồi Internet vào hệ thống mạng nội server cần: • Che giấu thông tin hệ thống mạng nội bộ: sử dụng (NAT,PAT) định tuyến cho mạng NAT giúp dấu tất IP bên LAN với bên ngoài, tránh dịm ngó hackers NAT có tính linh hoạt dễ dàng việc quản lý NAT giúp cho home user doanh nghiệp nhỏ tạo kết nối với internet cách dễ dàng hiệu giúp tiết kiệm vốn đầu tư • Ngăn chặn truy cập bất hợp pháp đến hệ thống mạng nội server: chia vlan; sử dụng thiết bị phát xâm nhập, phát phần mềm độc hại Đối với hệ thống mạng nội cần chia thành nhiều miền quảng bá để quản lý khoanh vùng có virut Tuy nhiên, để tăng tính bảo mật ổn định hệ thống giải pháp sử dụng thiết bị phần cứng lựa chọn thích hợp Ngồi trang thiết bị có cần trang bị thêm thiết bị firewall ASA Cisco, switch có khả chia VLAN nhằm chia mạng nội thành nhiều miền quảng bá 24 Thuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asa Thuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asa 3.1.2 Chức thực Hình 0-1: Mơ hình ASA GNS3 Vùng Inside có địa chỉ: 192.168.1.1/24 Vùng Outside có địa chỉ: DHCP Vùng DMZ có địa chỉ: 172.31.0.1/24 Triển khai xây dựng hệ thống phần mềm giả lập GNS3 sử dụng Cisco ASA ta thực cơng việc sau: • Cấu hình thiết bị: ASA, Router • Thực lệnh định tuyến phép miền inside, outside kết nối truyền thơng với • Thực NAT địa cổng vùng inside truy cập vùng outside • Thực DHCP cho phép vùng inside xin ip từ ASA 25 Thuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asa Thuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asa • Cấu hình sách icmp kiểm sốt lưu lượng Cấu hình chi tiết a Cấu hình Cấu hình cho interface ASA, chia theo vùng DMZ, Inside, Outside: Ciscoasa > enable Ciscoasa# configure terminal Ciscoasa(config)# interface GigabitEthernet0/1 Ciscoasa (config-if)# nameif Inside Ciscoasa (config-if)# security-level 100 Ciscoasa (config-if)# ip address 192.168.1.1 255.255.255.0 Ciscoasa (config-if)# no shutdown Ciscoasa (config-if)#exit Ciscoasa (config)# interface GigabitEthernet0/2 Ciscoasa (config-if)# nameif DMZ Ciscoasa (config-if)# security-level 50 Ciscoasa (config-if)# ip address 172.31.0.1 255.255.255.0 Ciscoasa (config-if)# no shutdown Ciscoasa (config)# interface GigabitEthernet0/0 Ciscoasa (config-if)# nameif Outside Ciscoasa (config-if)# security-level Ciscoasa (config-if)# ip address DHCP Ciscoasa (config-if)# no shutdown Ciscoasa (config-if)# exit Cấu hình cho Router: R1# configure terminal R1(config)#interface Ethernet 0/0 R1(config-if)#ip address 172.31.0.2 255.255.255.0 R1(config-if)#no shutdown 26 Thuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asa Thuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asa R1(config-if)#exit R1(config-if)# ip route 192.168.1.0 255.255.255.0 172.31.0.1 R1#sh ip int brief b Kiểm soát lưu lượng mạng Một MPF cấu thành yếu tố: • Service policy: dùng để cấu hình policy áp lên interface ASA • Policy-map: dùng để cấu hình đặc điểm policy để match với traffic tương ứng • Class-map: cấu hình để phân loại traffic cụ thể dùng MPF Ciscoasa (config-if)# class-map inspection_default Ciscoasa (config-if)# match default-inspection-traffic Ciscoasa (config-if)# policy-map global_policy Ciscoasa (config-if)# class inspection_default Ciscoasa (config-if)# inspect icmp Ciscoasa (config-if)# exit Ciscoasa (config)# exit Ciscoasa#service-policy global_policy global c Access Control List ASA mặc định cho phép traffic từ nơi có security-level cao đến nơi có securitylevel thấp Cấu hình ACL cho phép tin ICMP echo-reply gửi vào cổng outside access-list acl_DMZ extended permit icmp any any echo-reply Tương tự có access list outside interface phép gói tin ICMP qua: access-list acl_outside extended permit icmp any any echo-reply Với access-list , ta thiết lập access-group tương ứng access-group acl_DMZ in interface outside access-group acl_outside in interface outside Trong sơ đồ (hình 3-2), cơng ty xây dựng hệ thống Web server FTP server để hỗ trợ cho hoạt động công ty Ở đây, ta xây dựng Web server IIS FTP server vùng DMZ NAT bên cho phép tất máy tính ngồi Internet truy cập 27 Thuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asa Thuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asa Web server công ty Để máy bên truy cập được, ta tạo access control list phép HTTP FTP truy cập vào: access-list icmp-in extended permit tcp any any eq www access-list icmp-in extended permit tcp any any access-list icmp-in extended permit tcp any any eq ftp d, Cấu hình DHCP Ciscoasa (config-if)# dhcpd address 192.168.1.2-192.168.1.254 inside Ciscoasa (config-if)# dhcpd option ip 192.168.1.1 interface inside Ciscoasa (config-if)# dhcpd option ip 8.8.8.8 interface insdie Ciscoasa (config-if)# dhcpd enable inside e Auto NAT Như mơ hình áp dụng phổ biến hệ thống mạng các công ty, tất traffic từ mạng bên bên sử dụng chế dịch địa (PAT) Tất mạng mơ hình gồm 11.0.0.0/8 10.0.0.0/8 PAT Điều giúp tăng tính bảo mật hệ thống mạng • Đối với vùng Inside: o Cấu hình Object Network: ciscoasa(config)# object network Inside.Zone ciscoasa(config-network-object)#subnet 192.168.1.0 255.255.255.0 o Cấu hình PAT (dùng địa cổng outside) ciscoasa(config)# object network inside ciscoasa(config-network-object)# nat (inside,outside) dynamic interface • Đối với vùng DMZ: o Cấu hình Object Network ciscoasa(config)# object network dmz ciscoasa(config-network-object)#subnet 172.31.0.0 255.255.255.0 o Cấu hình PAT (dùng địa cổng outside) ciscoasa(config)# object network dmz ciscoasa(config-network-object)# nat (dmz,outside) dynamic interface 28 Thuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asa Thuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asa e Cài đặt ASDM Để dễ dàng quản lý, cấu hình firewall ASA, Cisco phát triển tool ASDM dựa tảng web giúp quản trị viên theo dõi trạng thái thiết bị hoạt động firewall Ciscoasa (config)# interface Management0/0 Ciscoasa (config-if)# nameif mgmt Ciscoasa (config-if)# ip address dhcp Ciscoasa (config-if)# no shutdown ciscoasa(config)# username group13 password 123 ciscoasa(config)# http server enable ciscoasa(config)#http 0 mgmt Truy cập đến https://192.168.29.141/admin Giao diện firewall ASA 29 Thuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asa Thuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asa Hình 0-2: Giao diện firewall ASA Kết kiểm tra hệ thống Kiểm tra bảng NAT Cisco ASA Hình 0-3: Bảng NAT Cisco ASA Kiểm tra NAT từ vùng DMZ Internet 30 Thuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asa Thuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asa Hình 0-11: Kết nối từ mạng nội Internet thành công =>Kết luận chương Hệ thống trước triển khai giải pháp an ninh hoạt động thiếu bảo vệ Các nguy công từ Internet hacker thường xuyên xảy ra, bên cạnh vấn đề virut lây lan nhanh chóng hệ thống mạng nội Server làm nhân viên quản trị mạng phải tốn thời gian tiền bạc để khắc phục Sau phân tích, đưa giải pháp triển khai cấu hình hệ thống an ninh sử dụng firewall ASA ta thấy hiệu rõ nét, cụ thể: • Hệ thống hoạt động an toàn, ổn định • Cisco ASA triển khai vùng biên mạng có trách nhiệm bảo vệ tài nguyên nội doanh nghiệp liệu khỏi mối đe dọa từ bên cách ngăn chặn truy cập vào từ Internet Bảo vùng LAN, DMZ khỏi cơng từ Internet Kiểm sốt lưu lượng truy cập Internet người dùng • Các Server vùng DMZ NAT sang IP khác truy cập ngồi Internet, nguy bị cơng khó Ngồi có người dùng ngồi Internet truy cập đến hệ thống Server ln bị kiểm tra lọc kỹ danh sách kiểm tra truy cập ACL dịch vụ khác firewall ASA =>Tóm lại hệ thống mạng doanh nghiệp vừa nhỏ bảo vệ an toàn nhiều sau triển khai hệ thống an ninh với thiết bị bảo mật đặc biệt firewall ASA TÀI LIỆU THAM KHẢO Các tài liệu Tiếng Anh [1] Dave Hucaby, Cisco ASA and PIX Firewall Handbook by, Publisher: Cisco Press – 7/1/2005 [2] Harris Andrea, “Cisco-ASA-Firewall-Fundamentals-2nd-Edition” step by step configuration tutorial (CCNA,CCNP,CCSP) 31 Thuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asa Thuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asa Thuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asaThuc.tap.co.so.de.tai.tim.hieu.va.trien.khai.firewall.asa