Xây dựng hệ thống an ninh mạng cho chi nhánh ngân hàng công thương Hà Nội
LỜI CẢM ƠN Sau khoảng thời gian học tập rèn luyện khoa Công Nghệ Thông Tin - Đại học Thái Nguyên, đến em kết thúc khóa học Em xin bày tỏ lòng cám ơn sâu sắc tới Ban Chủ Nhiệm Khoa, thầy cô giáo tận tình giảng dạy, trang bị cho chúng em vốn kiến thức kinh nghiệm quý báu, cung cấp cho chúng em điều kiện môi trường học tập tốt Để hoàn thành tốt đồ án này, em xin gửi lời cảm ơn chân thành đến thầy giáo Nguyễn Tiến Thành - giảng viên khoa Công Nghệ Thơng Tin Đại học Thái Ngun, Phịng An Ninh Hệ Thống- Trung Tâm Công Nghệ Thông TinNgân Hàng Công Thương Việt Nam trực tiếp hướng dẫn tạo điều kiện giúp đỡ em thời gian thực đồ án Cảm ơn gia đình, bạn bè tạo điều kiện tốt để em hồn thành đồ án Thái Nguyên ngày 5, tháng năm 2009 Sinh viên Vương Thị Dung MỤC LỤC LỜI CÁM ƠN LỜI CAM ĐOAN Error! Bookmark not defined MỤC LỤC MỞ ĐẦU .4 CHƯƠNG I CÁC VẤN ĐỀ VỀ AN NINH MẠNG I Kế hoạch bảo mật II Những tảng khác III Mục tiêu bảo mật IV Xác định sách bảo mật IV.1 Chính sách kinh doanh bảo mật 10 IV.2 Con người 10 IV.3 Luật lệ 10 IV.4 Thay đổi sách quản lý 11 IV.5 Khôi phục sau thảm họa .11 V.Những yếu bảo mật mạng 12 V.1 Yếu giao thức mạng .12 V.2 Yếu hệ điều hành .13 V.3 Yếu thiết bị mạng 13 V.4 Yếu việc cấu hình thiết bị 14 VI Những kiểu đe dọa bảo mật 14 VI.1 Đe dọa đến từ bên bên 14 VI.2 Đe dọa có cấu trúc không cấu trúc 15 VI.3 Những kiểu công bảo mật mạng 16 VI.3.1 Tấn công thăm dò: 16 VI.3.2 Tấn công truy xuất 17 VI.3.3 Tấn công kiểu DoS 19 VII Giải pháp bảo mật 22 VII.1 Thiết kế giải pháp bảo mật 22 VII.2 Bánh lái bảo mật Cisco 22 VII.3 Danh sách kiểm tra bảo mật .24 CHƯƠNG II GIỚI THIỆU FIREWALL 26 I Tổng quan firewall 26 I.1 Định nghĩa firewall 26 I.2 Chức bảo vệ firewall .27 I.3 Điều khiển luồng mơ hình tham chiếu OSI 29 I.3.1 Tổng quan mơ hình tham chiếu OSI .30 I.3.2 Firewall mơ hình tham chiếu OSI 31 I.4 Những kiểu firewall 32 I.4.1 Firewall lọc gói 32 I.4.2 Firewall stateful .37 I.4.3 Application gateway firewall 48 I.4.4 Firewall dịch địa 51 I.4.5 Firewall host-based 56 I.4.6 Firewall lai ghép .59 I.5 Firewall dịch vụ khác 60 II Thiết kế bảo mật 61 II.1 Hướng dẫn thiết kế 61 II.2 Miền DMZ .64 II.3 Những thành phần bổ sung cho hệ thống firewall 66 II.4 Sắp xếp thành phần 68 II.4.1 Thiết kế hệ thống firewall 68 II.4.2 Những điểm cần ý thiết kế 69 II.4.3 Sự thực firewall 70 II.4.4.Quản lý quản trị firewall .70 CHƯƠNG III THIẾT BỊ BẢO MẬT PIX FIREWALL 71 I.Tổng quan thiết bị bảo mật PIX firewall .71 I.1 Đảm bảo thời gian thực cho hệ thống gắn vào 72 I.2 Phương thức bảo mật linh hoạt ASA 72 I.3 Cut-through proxy 74 I.4 Redundancy 75 II Mơ hình đặc điểm pix firewall .75 III Chức PIX 76 IV Truy xuất PIX 78 V PIX với kết nối .79 V.1 Cấp độ bảo mật cổng sách bảo mật mặc định .79 V.2 Giao thức truyền 80 V.3 Chế độ truy xuất 84 VI Cấu hình PIX Firewall 84 CHƯƠNG IV 89 XÂY DỰNG HỆ THỐNG AN NINH MẠNG CHO CHI NHÁNH NGÂN HÀNG VIETINBANK 89 I Môi trường mạng có: 89 II Yêu cầu .89 III Thiết kế mơ hình mạng 90 IV Cấu hình bảo mật cho hệ thống 90 KẾT LUẬN 99 Tài liệu tham khảo .100 MỞ ĐẦU Với phát triển nhanh mạng Internet, bảo mật thông tin trở lên vô cấp bách để có thơng tin giá trị tin cậy Người quản lý nhận thấy việc đầu tư cho an ninh khơng lợi lớn mà cịn cần thiết Các công ty nhận cần thiết việc tạo tuân theo sách bảo mật thông tin, vậy, người IT chuyên nghiệp luôn bị thách thức để bảo vệ mạng họ với firewall tạo mạng riêng ảo VPN để cung cấp an toàn cho giao dịch mã hóa qua hạ tầng Internet cơng cộng dễ bị công Firewall trở thành công nghệ bảo vệ mạng chống lại truy nhập trái phép Kế hoạch bảo mật yêu cầu kết hợp hài hòa người, xử lý, công nghệ để giảm rủi ro Và firewall công cụ bảo mật giá trị để thực nhiệm vụ Ngày nay, thiết kế xây dựng mạng sử dụng firewall tất yếu cho nhiều mơ hình giai đoạn cuối Nhận điều này, Cisco System phát triển tiếp tục cải thiện với PIX firewall Hệ thống đạt thị trường lớn chứng minh chức pha trộn hoàn hảo hiệu suất mềm dẻo Cũng bao công ty khác giới sử dụng Internet để giao dịch Ngân hàng, phút có hàng nghìn giao dịch trị giá tiền tỉ thực Chính vậy, nhiều hacker ln tìm lỗ hổng bảo mật ngân hàng để công, truy nhập trái phép lấy ngân hàng hàng tỉ đồng Nhiều ngân hàng Việt Nam sau nhiều lần bị công trọng tới đầu tư cho bảo mật Nhận yêu cầu cấp bách đó, thời gian làm đồ án tốt nghiệp, em tìm hiểu nghiên cứu an ninh mạng giải pháp đảm bảo an toàn cho mạng, đặc biệt quan tâm tới giải pháp an toàn Cisco thiết bị PIX firewall Đồ án “ Xây dựng hệ thống an ninh mạng cho chi nhánh ngân hàng Công Thương Hà Nội ” bao gồm nội dung sau: Chương 1: Các vấn đề an ninh mạng Chương 2: Tổng quan Firewall Chương 3: Thiết bị an ninh PIX Firewall Chương 4: Xây dựng hệ thống an ninh mạng cho chi nhánh ngân hàng Công Thương Hà Nội CHƯƠNG I CÁC VẤN ĐỀ VỀ AN NINH MẠNG Càng ngày có nhiều vụ công từ worms, virus, hiểm họa khác từ mạng, bảo mật vấn đề mạng ngày Trong khoảng 10 tới 15 năm trước, bảo mật vấn đề đơn giản dựa giải pháp đơn giản Lúc đó, có trường học phủ kết nối Internet Password sử dụng để bảo vệ account, firewall lọc gói đơn giản dùng để giới hạn luồng lưu lượng Tuy nhiên, giới ngày khác biệt nhiều so với thập kỷ trước Sự bùng nổ Internet, tăng nhanh phần mềm ứng dụng khéo léo hacker, bảo mật trở thành vấn đề phức tạp mà phải có yêu cầu giải pháp bảo mật cấp cao để đối phó với Giải pháp bảo mật phải có khả đối phó với hiểm họa bảo mật đến từ mạng Nhưng phải cho phép công ty tiếp tục đạt mục tiêu kinh doanh phải đủ mềm dẻo để thích nghi với cơng nghệ mơ hình mạng thay đổi I Kế hoạch bảo mật Hầu hết nhiệm vụ khó khăn liên quan tới bảo mật giai đoạn lập kế hoạch Là cần phát triển giải pháp cho việc kinh doanh bảo mật công ty Khi nghiên cứu mạng xác định vùng đảm bảo vùng then chốt hợp thành, cần phải tiến tới kế hoạch bảo mật từ viễn cảnh khác nhau: Mục tiêu kinh doanh yêu cầu người dùng Con người trị Kỹ thuật đưa Đầu tiên, phải phác thảo mục tiêu kinh doanh công ty kế hoạch kinh doanh Được sử dụng đồ đường để tăng thành công công ty Giải pháp bảo mật tốt nên trợ giúp, không gây trở ngại, cơng ty hướng tới mục đích kinh doanh Đồng thời phải đối mặt với tất kiểu người dùng từ lĩnh vực khác định rõ tài nguyên tài sản công ty sử dụng để đạt mục tiêu kinh doanh Điều có nghĩa phải có kinh nghiệm lâu năm với tổ chức có hiểu biết trị đối mặt với người sử dụng khác Khi hiểu tài nguyên cần sử dụng, cần tìm giải pháp bảo mật để thực mà bảo vệ công ty cho phép đạt mục đích ban đầu II Những tảng khác Một thứ khó đối mặt với việc thiết kế giải pháp bảo mật cố tìm giải pháp phù hợp mặt Mặt khác, thử tìm tất sản phẩm bảo mật từ nhà cung cấp dịch vụ với hệ thống quản lý mà có khả dễ dàng thực sách bảo mật cho tất sản phẩm bảo mật Ví dụ, giải pháp bảo mật phải bao gồm nhiều loại thiết bị phần cứng phần mềm ứng dụng Là danh sách nhỏ số loại thiết bị mà giải pháp bảo mật nên đối mặt với PC laptop chạy window 95, 98, Me, 2000, desktop UNIX Macintoshes Server chạy NT, 2000,2003, Linux, hệ điều hành khác Mainframe chạy Mutiple virtual storage virtual Machine Routers từ Cisco, Juniper, Nortel, … Swiches từ Cisco, Foundry, Extreme,… Danh sách không chứa tất cả, mà có ý có nhiều loại thiết bị phần cứng, không hàng trăm phần mềm ứng dụng Trong nhiều trường hợp, phải mua sản phẩm bảo mật từ nhiều nhà cung cấp khác để thực giải pháp bảo mật cho sách mục tiêu công ty III Mục tiêu bảo mật Bảo mật mạng để nhằm đạt mục tiêu sau: Sự tin cậy Giúp người nhận hiểu nội dung thông điệp - Người gửi mã hóa thơng điệp - Người nhận giải mã thơng điệp - Sự bí mật : ẩn “ai làm với với nội dung gì” Sự xác thực Để người gửi người nhận chứng thực Sự toàn vẹn Người nhận người gửi, muốn đảm bảo thông điệp không bị thay đổi trình truyền, hay sau trình truyền mà khơng phát Sự sẵn sàng cho truy cập Đảm bảo dịch vụ sẵn sàng cho người dùng truy xuất, hay sử dụng dịch vụ Giải pháp bảo mật ngày trở nên phức tạp, đặc biệt mạng doanh nghiệp lớn Để trợ giúp làm đơn giản hóa tiến trình, giải pháp bảo mật tốt nên có mục tiêu sau: Tạo sách bảo mật riêng rẽ, dựa kế hoạch mục đích kinh doanh cơng ty Chính sách bảo mật nên đưa lựa chọn sản phẩm giải pháp bảo mật Quản lý bảo mật nên tập trung tổ chức riêng biệt Đầu tiên, việc tạo sách bảo mật gắn liền với quy mơ cơng ty Chính sách nên dựa kế hoạch mục tiêu kinh doanh Nó nên đảm bảo đủ linh hoạt phép cơng ty đạt mục đích kinh doanh, bảo vệ tài nguyên công ty giá hiệu Thứ 2, Sản phẩm bảo mật phải phù hợp với kế hoạch bảo mật Phát triển giải pháp bảo mật chung, sau tìm sản phẩm đặc biệt mà có hướng dẫn thiết kế cho phần Ba là, việc quản lý hỗ trợ sản phẩm quan trọng, đặc biệt chúng có liên quan để tìm đối phó với hiểm họa bảo mật kiểu thời gian thực Một số công ty mua tất sản phẩm bảo mật họ từ nhà cung cấp dịch vụ, làm cho việc quản lý tích hợp sản phẩm dễ dàng hơn: Nó dễ triển khai, quản lý hỗ trợ tảng từ nhà cung cấp dịch vụ đơn lẻ so với nhiều nhà dịch vụ Nếu cần mua thiết bị phần mềm từ nhà cung cấp dịch vụ khác để phát triển liên quan tới giải pháp bảo mật, phải quản lý sản phẩm sau bổ sung chúng Bởi vậy, nên chọn sản phẩm phần mềm quản lý bảo mật mà dễ quản lý theo dõi thiết bị bảo mật Lựa chọn giải pháp quản lý tốt cho phép làm cho giải pháp bảo mật áp dụng cho mơ hình lớn Tại phải bảo mật Hàng nghìn hiểm họa từ bên ngồi đe dọa bảo mật mạng công ty, từ bên cơng ty: Người ngồi hacker Người làm việc công ty Ứng dụng người dùng thực cho nhiệm vụ kinh doanh Hệ điều hành chạy máy tính để bàn server, thiết bị Hạ tầng mạng sử dụng để di chuyển liệu, bao gồm thiết bị routers, switches, hubs, firewalls, gateway, thiết bị khác Trong mạng lớn, nhân tố bao gồm hàng nghìn thiết bị hàng trăm ứng dụng Phức tạp để giải Tuy nhiên, sử dụng cách tiếp cận chia trị, chia chia mạng thành phần, miền, làm cho phát triển giải pháp trở nên dễ Trợ giúp tiến trình bảo mật, vấn đề bảo mật chia thành loại: - Sự yếu xác định sách: Những yếu bao gồm yếu sách kinh doanh bảo mật Ví dụ yếu khơng viết sách bảo mật Nếu khơng có sách, ép buộc thực cách nào? - Yếu cơng nghệ máy tính: Những yếu bao gồm yếu bảo mật giao thức, TCP/IP IPX, hệ điều hành, UNIX, Novell NetWare, Windows - Yếu cấu hình thiết bị: Những yếu bao gồm cài đặt, cấu hình, quản lý thiết bị mạng Ví dụ khơng gán password cho cổng console router Cisco IV Xác định sách bảo mật Yếu liên quan tới xác định sách kinh doanh bảo mật Nhiều cơng ty thiếu sách bảo mật hay kinh doanh có trường hợp thiếu hai Công ty để phát triển với mục tiêu kinh doanh, cần có kế hoạch kinh doanh tốt rõ ràng bao gồm mục tiêu kinh doanh sách Mặt khác, để thực trì giải pháp bảo mật tốt để trợ giúp công ty phác thảo mục tiêu kế hoạch kinh doanh Cần phát triển sách bảo mật tốt Chính sách bảo mật nên dựa kế hoạch kinh doanh Điều đảm bảo kế hoạch bảo mật giới hạn cách công ty thực kinh doanh ngày, kế hoạch bảo mật cho phép cơng ty đạt mục tiêu kinh doanh IV.1 Chính sách kinh doanh bảo mật Ở mức nhỏ nhất, sách bảo mật nên đặt câu hỏi như: - Bảo mật gì? - Bảo mật cách nào? - Mức độ bảo vệ sử dụng ? Thậm chí nghĩ câu hỏi đơn giản, mạng doanh nghiệp, có nhiều thiết bị hàng nghìn PC, 400 server… Tuy nhiên, trả lời nên lập sách kế hoạch kinh doanh công ty, để đảm bảo giải pháp bảo mật đề xuất không cản trở công ty đạt mục tiêu đề Ví dụ, cơng ty có 30 văn phòng xa mà kết nối văn phòng trung tâm Công ty bán widget kinh doanh Văn phịng xa gồm nhân viên bán hàng, người mà truy xuất tới phần mềm sở liệu văn phịng cơng ty để theo thứ tự kiểm tra trạng thái thứ tự cho khách hàng địa phương Nếu thực giải pháp bảo mật để bảo vệ nội dung sở liệu cơng ty, cần đảm bảo văn phịng xa truy xuất thơng tin Nếu khơng đạt mục đích kinh doanh này, giải pháp bảo mật thực tạo cản trở tới kế hoạch kinh doanh IV.2 Con người Một khó khăn gặp phải phát triển sách cơng ty người Khó khăn cơng ty có nhiều phịng ban Nhiều người có nhiều quan điểm khác tầm quan trọng bảo mật Mỗi người khác khơng thể có sách IV.3 Luật lệ Yếu khác việc xác định sách bảo mật bộc lộ lập tất sách kinh doanh bảo mật khơng ép buộc thực chúng Lệnh nameif Như tên bình thường, lệnh nameif sử dụng để đặt tên cổng gán giá trị bảo mật từ tới 99 Cổng outside inside đặt mặc định có giá trị bảo mật 100 Mặc định, cổng có hardware ID Ethernet outside interface, Ethernet inside interface Tên cấu hình lệnh nameif dễ sử dụng dễ dàng cho cấu hình sau Cấu trúc lênh nameif Nameif hardware_id if_name security_level ví dụ nameif Ethernet inside 100 nameif Ethernet outside nameif Ethernet dmz 30 Giá trị security_level điều khiển cách hosts/devices cổng khác tương tác với cổng khác Mặc định, hosts/devices kết nối với cổng mức bảo mật cao truy xuất hosts/devices kết nối với cổng có mức bảo mật thấp Hosts/devices kết nối với host có mức bảo mật thấp khơng thể truy xuất tới hosts/devices kết nối với cổng có mức bảo mật cao trừ có trợ giúp access lists or conduits Có thể kiểm tra cấu hình sử dụng lệnh show nameif Lệnh ip address Tất cổng Cisco PIX Firewall sử dụng phải cấu hình với địa IP Địa IP cấu hình tay hay Dynamic Host Configu-ration Protocol (DHCP) Đặc điểm DHCP sử dụng mơ hình PIX Firewall small office/home office (SOHO) Lệnh ip address sử dụng để cấu hình địa IP cổng PIX Lệnh ip address kết hợp với địa logic (IP address) hardware ID Cấu trúc lệnh sau: ip address if_name ip_address [netmask] ip address inside 192.168.20.2 255.255.255.0 dùng lệnh show ip để xem Nếu khơng ghi netmask tự đặt classful Lệnh nat Lệnh nat (Network Address Translation) để bạn dịch tập hợp địa IP tới tập hợp địa IP khác Lệnh nat cặp với lệnh global, với ngoại lệ lệnh nat Cú pháp: nat (if_name) nat_id local_ip [netmask] nat inside 192.168.80.0 255.255.255.0 (if_name) tên cổng mạng nat_id số ID pải phù hợp với ao địa global local_ip địa IP mà dịch Thường địa IP nội gán cho tất mạng bên local_ip thông qua nat (inside) 0 Lệnh global Lệnh global sử dụng để định nghĩa địa hay dải địa mà mà địa định nghĩa dịch bởi lệnh nat Nó quan trọng để global_id giống hệt nat_id sử dụng lệnh nat Cặp đôi nat_id địa IP định nghĩa lệnh global lệnh nat để dịch mạng Cú pháp lệnh global global (if_name) nat_id global_ip | global_ip-global_ip [netmask] ví dụ: global inside 192.168.20.0 netmask 255.255.255.0 Khi host hay thiết bị thử kết nối, PIX Firewall kiểm tra bảng dịch phần cho IP đặc biệt Nếu chưa tồn trình dịch, slot trans-lation slot tạo Thời gian mặc định IP dịch lưu bảng dịch Bạn thay dổi đê thêm với lệnh xlate hh:mm:ss Để xem địa dịch dùng lệnh xlate Lệnh route Lệnh route nói cho Cisco PIX Firewall nơi gửi thông tin mà chuyển tiếp cổng đặc biệt định trước cho địa mạng cụ thể Thêm tuyến đường tĩnh tới PIX sử dụng lệnh route Cú pháp lệnh: route if_name ip_address netmask gateway_ip [metric] router inside 192.168.80.1 255.255.255.0 192.168.80.1 if_name tên cổng nơi liệu rời ip_address địa IP định tuyến netmask mặt nạ mạng địa IP định tuyến gateway_ip địa IP hop Thường địa IP router vành đai metric: số hop xác định thới gateway_ip Là thực hành tốt để sử dụng lệnh clear arp để xóa đệm ARP firewall PIX trước kiểm tra cấu hình tuyến đường Lệnh RIP The Routing Information Protocol (RIP) dùng để xây dựng bảng định tuyến PIX Firewall RIP cấu hình xác định cập nhật PIX bảng định tuyến lắng nghe thụ động lưu lượng RIP có hay khơng có hay khơng cổng broadcasts tuyến đường mặc định cho lưu lượng mạng cổng Nó quan trọng để cấu hình route Cung cấp cập nhật RIP với địa mạng cổng PIX , cú pháp RIP rip if_name default | passive [version [1 | 2]] [authentication [text | md5 key (key_id)]] CHƯƠNG IV XÂY DỰNG HỆ THỐNG AN NINH MẠNG CHO CHI NHÁNH NGÂN HÀNG VIETINBANK I Mơi trường mạng có: - Có kết nối từ chi nhánh đến trung tâm tích hợp liệu thông qua đường Leased Line 64kbps 128kbps - Có kết nối Internet thơng qua modem ADSL - Có 2-3 server chạy Windows 2000 Server Các Server chạy ứng dụng có trao đổi liệu với trung tâm tích hợp liệu Có 2-6 switch lớp 2, có Router dùng kết nối lên trung tâm chi nhánh, quĩ tiết kiệm Để tăng cường bảo mật cho hệ thống mạng chi nhánh sử dụng PIX Firewall 525 Cisco Các phần mềm diệt Virus có quyền Norton Antivirus,Mcfee II Yêu cầu Với thiết bị mạng mà chi nhánh có, u cầu thiết kế mơ hình mạng đảm bảo yêu cầu sau: Lưu lượng từ quĩ, phòng giao dịch trao đổi với trung tâm tích hợp liệu với trụ sở chi nhánh phải kiểm soát Hạn chế tối đa truy nhập khơng phép từ bên ngồi mạng Kết nối Internet phải kiểm sốt, có khả đảm bảo an tồn cho mạng riêng tốt Có khả hạn chế việc phát tán Virus, Worm số đoạn mã độc hại mạng tham gia kết nối Internet Đảm bảo cho băng thông mạng tốt Kỹ thuật đánh địa mạng riêng chi nhánh không bị phơi bày cho quĩ, phịng giao dịch, trung tâm tích hợp liệu III Thiết kế mơ hình mạng Thiết mơ hình mạng (topology mạng) đóng vai trị quan trọng việc đảm bảo an tồn thơng tin hiệu hoạt động hệ thống máy tính Việc thiết kế tốt mơ hình mạng giúp mạng máy tính hoạt động cách hiệu Kẻ cơng khó thâm nhập vào hệ thống Tuỳ vào mức độ yêu cầu bảo mật hệ thống nhu cầu truy xuất Internet, mạng mà mơ hình mạng thay đổi phù hợp Với môi trường mạng yêu cầu có, mơ hình hệ thống mạng bảo mật thiết kế hình (1.3) Hình 1.3 Cấu trúc hệ thống mạng bảo mật cho chi nhánh ngân hàng Vietinbank IV Cấu hình bảo mật cho hệ thống Việc cấu hình bảo mật cho hệ thống mạng vấn đề phức tạp địi hỏi nhà thiết kế phải có hiểu biết sâu sắc mạng bảo mật mạng Công việc cấu hình bảo mật cho hệ thống bao gồm nhiều phần nhằm chống lại nguy sau: - Các công từ chối dịch vụ (DoS)từ bên ngồi vào mạng, - Các cơng xâm nhập không phép vào mạng thông qua việc khai thác điểm yếu hệ điều hành, lỗi chương trình ứng dụng - Sự lây lan Virus, Worm hay Trojan mạng Để chống lại nguy bị công từ chối dịch vụ từ bên ngồi xâm nhập khơng phép vào mạng, cần triển khai Firewall hợp lý cấu hình sách truy nhập đắn Để hạn chế lây lan Worm Virus từ bên vào mạng, cần triển khai hệ thống phần mềm chống Virus, cập nhật thường xuyên mẩu Virus mới, vá hệ điều hành Ngoài ra, mạng việc chứng thực, cấp phép phân quyền cho đối tượng cụ thể cần thực nhằm tránh truy nhập trái phép vào tài nguyên chia sẻ Bảng phân bố địa sau: ID Name IP Address Subnet PGD-VLAN_2 192.168.10.1192.168.10.2 255.255.255.0 TP-VlAN_3 192.168.11.2192.168.11.3 255.255.255.0 Antivirus_Server 192.168.12.2 255.255.255.0 Database_Server 192.168.13.2 255.255.255.0 Vietinbank_center 192.168.14.2 255.255.255.0 Internet 255.255.255.0 192.168.15.2 Bảng 2.1 Phân bố địa Kết cấu hình PIX Cấu hình cổng PIX Cấu hình NAT: Cấu hình sách bảo mật: Cấu hình định tuyến: Bảng ARP PIX Kết ping đến vùng từ PIX Trình bày cấu hình PIX với lệnh Show running-config Kết ping từ miền inside outside , vietinbank_center, databa_Server, Antivirus_Server sử dung vpcs để mô PC Kết ping từ outside vào inside …… KẾT LUẬN Ngày vấn đề bảo mật trở thành chủ đề nóng Internet Với tốc độ phát tiển cực nhanh mạng tồn cầu đem lại lợi ích mặt kinh tế xã hội phủ nhận Chính lợi nên nơi lý tưởng để tội phạm, hacker sử dụng khai thác với nhiều mục đích khác Cùng với phát triển khoa học cơng nghệ, trình độ phát triển hacker ngày giỏi hệ thống cịn chậm chạp việc xử lý lỗ hổng Điều địi hỏi người quản trị mạng phải có kiến thức tốt bảo mật để giử vững an tồn thơng tin cho hệ thống Trong khn khổ đồ án, giúp đỡ thầy giáo Nguyến Tiến Thành em tìm hiểu số vấn đề mạng máy tính an ninh mạng máy tính Do thời gian có hạn kiến thức thâm nhập thực tế cịn q chưa có điều kiện thực hành thiết bị thật nên đề tài cịn nhiều thiếu sót, em mong nhận góp ý bảo nhiệt tình từ phía thầy cô bạn để nâng cao khả chuyên mơn hồn thiện kiến thức Em xin chân thành cảm ơn thầy giáo Nguyễn Tiến Thành, Phòng An Ninh Hệ Thống- Trung Tâm Công Nghệ Thông Tin- Ngân Hàng Cơng Thương Việt Nam tận tình hướng dẫn, giúp đỡ em hoàn thành đề tài Tài liệu tham khảo [1] Cisco Security Appliance Command line Configuration Guide for the Cisco [2] Cisco networking Acadmy exploration [3] CCNA [4] Cisco - CCSP Cisco Secure PIX Firewall Advanced Exam Certification Guide [5] Cisco Press -2004- Cisco Router Firewall Security [6] Cisco Press - Network Security Fundamentals 2004 [7] Cisco.Press.Network.Security.Principles.and.Practices [8] Cơng cụ hack máy tính cack phần mềm [9] Kỹ thuật thâm nhập mạng máy tính cách phòng ngừa hiệu NXB niên [10] Sercurity ISO 17799 standard [11] Upgrade-pix-asa7x-asdm [12] Why infor sec is hard.pdf [13] Information_security.pdf Các Website: http:// www.google.com http://www.cisco.com http://www.cisco.netacad.net http://www.hvaonline.net http://www.quantrimang.com http://www.gns3.net http://www.nhatnghe.com http://www.blogthuthuat.com http://www.benhvienmaytinh.com http://www.vnpro.org http://www.gns3-labs.com http://www.vn-zoom.com ... cứu an ninh mạng giải pháp đảm bảo an toàn cho mạng, đặc biệt quan tâm tới giải pháp an toàn Cisco thiết bị PIX firewall Đồ án “ Xây dựng hệ thống an ninh mạng cho chi nhánh ngân hàng Công Thương. .. Thương Hà Nội ” bao gồm nội dung sau: Chương 1: Các vấn đề an ninh mạng Chương 2: Tổng quan Firewall Chương 3: Thiết bị an ninh PIX Firewall Chương 4: Xây dựng hệ thống an ninh mạng cho chi nhánh ngân. .. 89 XÂY DỰNG HỆ THỐNG AN NINH MẠNG CHO CHI NHÁNH NGÂN HÀNG VIETINBANK 89 I Mơi trường mạng có: 89 II Yêu cầu .89 III Thiết kế mơ hình mạng