Đang tải... (xem toàn văn)
Ứng dụng ASA Firewall vào xây dựng hệ thống an ninh mạng cho bưu điện tỉnh Thái Nguyên. Có chương trình kèm theoMục tiêu của đề tài bao gồm:1.Tìm hiểu chung về an toàn an ninh mạng, các kỹ thuật tấn công trên mạng. Các chiến lược bảo vệ.2.Tìm hiểu lý thuyết về Firewall.3.Thực hiện xây dựng Firewall ASA cho Bưu Điện Tỉnh Thái Nguyên.
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG KHOA CÔNG NGHỆ THÔNG TIN ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Ngành Mạng Máy Tính Truyền Thông Đề tài: ỨNG DỤNG ASA FIREWALL ĐỂ XÂY DỰNG HỆ THỐNG AN NINH MẠNG CHO BƯU ĐIỆN TỈNH THÁI NGUYÊN Sinh viên thực : CẦM THỊ CHIẾN Lớp : MMT&TT_K8C Giáo viên hướng dẫn : ThS PHẠM VĂN ĐOAN Thái Nguyên, tháng năm 2014 LỜI CẢM ƠN Để có đồ án này, em xin bày tỏ lòng biết ơn sâu sắc đến thầy cô giáo trường Đại học Công Nghệ Thông Tin Truyền Thông nói chung, Bộ Môn Mạng Máy Tính Và Truyền Thông nói riêng, người tận tình giảng dạy, truyền đạt cho em kiến thức quý báu suốt năm học vừa qua Em xin chân thành cảm ơn thầy giáo hướng dẫn Phạm Văn Đoan, Chuyên viên Phòng Kĩ Thuật Nghiệp Vụ- Bưu Điện Tỉnh Thái Nguyên nhiệt tình hướng dẫn, bảo cung cấp cho em nhiều kiến thức tài liệu quý suốt trình làm đồ án Nhờ giúp đỡ thầy em hoàn thành đồ án Cuối cùng, xin cảm ơn gia đình, bạn bè, người bên cho động viên lớn lao thời gian thực đồ án Thái Nguyên, tháng năm 2014 Sinh Viên Cầm Thị Chiến LỜI NÓI ĐẦU Trong năm gần đây, việc tổ chức khai thác mạng Internet phát triển Mạng Internet cho phép máy tính trao đổi thông tin cách nhanh chóng, thuận tiện Mọi đối tượng sử dụng dịch vụ tiện ích Internet cách dễ dàng trao đổi thông tin, tham khảo thư viện tri thức đồ sộ nhân loại…Tại thời điểm lợi ích Internet rõ ràng phủ nhận Nhưng điều không may kèm với nguy an toàn thông tin Internet vấn đề hàng đầu cản trở phát triển Internet Bảo đảm an toàn an ninh không nhu cầu riêng nhà cung cấp dịch vụ mà nhu cầu đáng người sử dụng Các thông tin nhạy cảm quốc phòng, thương mại vô giá để lọt vào tay đối thủ cạnh tranh Trên giới có nhiều công trình nghiên cứu lĩnh vực bảo mật, bảo vệ an toàn thông tin mạng kết chúng trở thành sản phẩm thương mại như: Vista Firewall, ZoneAlarm Firewall, VPN-1/Firewall-1, SmoothWall, Astaro… Tuy nhiên loại có ưu nhược điểm riêng, phát triển theo hướng khác Tại Việt Nam, Internet trở lên phổ biến năm gần vấn đề an toàn an ninh mạng không ngoại lệ Mặc dù thực chưa có tổn thất lớn kinh tế tiềm ẩn nhiều nguy an toàn Các công vào hệ thống nhà cung cấp dịch vụ, xoá bỏ liệu… ngày tăng Ở Việt Nam chưa có sản phẩm Firewall thương mại người Việt tạo Do đó, muốn khai thác sử dụng Internet vấn đề an toàn an ninh phải đặt lên hàng đầu Có nhiều biện pháp khác để bảo vệ hệ thống chống lại công từ bên Một biện pháp áp dụng rộng rãi sử dụng tường lửa – Firewall Thực tế cho thấy biện pháp đơn giản hiệu đạt lại khả quan Trên sở đó, em chọn đề tài: “Ứng dụng ASA Firewall để xây dựng hệ thống an ninh mạng cho Bưu Điện Tỉnh Thái Nguyên” Mục tiêu đề tài bao gồm: Tìm hiểu chung an toàn an ninh mạng, kỹ thuật công mạng Các chiến lược bảo vệ Tìm hiểu lý thuyết Firewall Thực xây dựng Firewall ASA cho Bưu Điện Tỉnh Thái Nguyên MỤC LỤC DANH MỤC HÌNH ẢNH DANH MỤC CÁC TỪ VIẾT TẮT ARP( Address Resolution Protocol ): Giao thức chuyển đổi từ địa IP sang địa vật lý DMZ(DeMilitarized Zone): Vùng đặt máy chủ DNS(Domain Name Service): Dịch vụ tên miền FTP(File Transfer Protocol): Giao thức truyền file HTTP(Hyper Text Transfer Protocol): Giao thức truyền siêu văn ICMP(Internet Control Message Protocol): Giao thức điều khiển thông điệp Internet IPS(Intrusion Preventation System): Hệ thống phòng chống xâm nhập ISP(Internet Services Provider): Nhà cung cấp dịch vụ Internet LAN(Local Area Network): Mạng nội MAC(Media Access Control): Địa thiết bị MTU(Maximum Transmission Unit): Đơn vị truyền lớn RIP( Routing Information Protocol ): Một kiểu giao thức dẫn đường SSL(Secure Socket Layer): Tầng socket an toàn STMP( Simple Mail Transfer Protocol): Giao thức truyền thư đơn giản TCP(Transmission Control Protocol ): Giao thức điều khiển truyền tin ASA(Adaptive Security Appliance): Tường lửa hãng Cisco Systems CHƯƠNG TỔNG QUAN AN TOÀN AN NINH MẠNG VÀ HỆ THỐNG TƯỜNG LỬA 1.1 Tình hình thực tế Mạng Internet – mạng toàn cầu kết nối máy tính cung cấp dịch vụ WWW, E_mail, tìm kiếm thông tin… tảng cho dịch vụ điện tử ngày phát triển nhanh chóng Internet trở thành phần thiếu sống ngày Và với nguy hiểm mà mạng Internet mang lại Trước tình hình việc bảo vệ an toàn thông tin cho hay hệ thống máy tính trước nguy bị công từ bên kết nối vào Internet vấn đề cấp bách Để thực yêu cầu trên, giới xuất phần mềm khác với tính khác mà gọi Firewall Sử dụng Firewall để bảo vệ mạng nội bộ, tránh công từ bên giải pháp hữu hiệu, đảm bảo yếu tố: An toàn cho hoạt động toàn hệ thống mạng Bảo mật cao nhiều phương diện Khả kiểm soát cao Mềm dẻo dễ sử dụng Trong suốt với người sử dụng Đảm bảo kiến trúc mở Để bảo vệ hệ thống, chống lại công hacker, ta phải biết mục tiêu cần bảo vệ, kỹ thuật công khác nhau, đưa chiến lược bảo vệ mạng hợp lý 1.2 Các lỗ hổng mạng Việc sử dụng mạng Internet làm tăng nhanh khả kết nối, đồng thời chứa đựng hiểm hoạ không ngờ Những lỗ hổng để kẻ công lợi dụng, gây tổn thương cho hệ thống có nhiều Sau vài lỗ hổng phổ biến cộng đồng mạng Các mật yếu: Mọi người thường có thói quen sử dụng mật theo tên người thân hay quen thuộc với Với mật dễ bị phán đoán, kẻ công chiếm đoạt quyền quản trị mạng, phá huỷ hệ thống, cài đặt backdoor … Ngày nay, người ngồi từ xa đăng nhập vào hệ thống ta cần phải sử dụng mật khó đoán, khó dò tìm Dữ liệu không mã hoá: Các liệu truyền mạng dễ bị xâm phạm, xem trộm, sửa chữa …Với liệu không mã hoá, kẻ công chẳng tốn thời gian để hiểu chúng Những thông tin nhạy cảm cần phải phải mã hoá cẩn thận trước gửi mạng Các file chia sẻ: Việc mở file chia sẻ thông tin vấn đề bảo mật dễ gặp Điều cho phép truy nhập file ta chế bảo mật, phân quyền tốt Bộ giao thức tiếng TCP/IP sử dụng rộng rãi mạng tiềm ẩn hiểm hoạ khôn lường Kẻ công sử dụng qui tắc giao thức để thực cách công DoS Sau số lỗ hổng đáng ý liên quan đến giao thức TCP/IP 1.3 Các mục tiêu cần bảo vệ Để bảo vệ hệ thống, chống lại công hacker Chúng ta phải biết mục tiêu cần bảo vệ, kỹ thuật công khác từ đưa chiến luợc bảo vệ hợp lý… Trong phần trình bày cụ thể vấn đề Có ba mục tiêu cần bảo vệ là: Dữ liệu: thông tin lưu trữ máy tính Tài nguyên: thân máy tính, máy in, CPU… Danh tiếng 1.3.1 Dữ liệu Mục tiêu, sách an toàn hệ thống thông tin liệu bao gồm: Bí mật Toàn vẹn Sẵn sàng Thông thường người thường tập trung vào bảo vệ tính bí mật liệu, thông tin có tính nhạy cảm cao thông tin quốc phòng, chiến lược kinh doanh… yếu tố sống Khi liệu bị chép người thẩm quyền ta nói liệu bị tính bí mật Khi liệu bị sửa đổi cách bất ngờ người thẩm quyền nói liệu bị tính toàn vẹn Tính sẵn sàng tính chất quan trọng tổ chức hoạt động cần sử dụng nhiều thông tin Khi người sử dụng hợp pháp muốn xem kiệu liệu đáp ứng lý đó, ta nói liệu tính sẵn sàng 10 Ciscoasa (config-if)# exit Cấu hình cho Router: R1# configure terminal R1(config)#interface fastEthernet 0/0 R1(config-if)#ip address 200.0.0.2 255.0.0.0 R1(config-if)#no shutdown R1(config-if)#exit R1(config)#interface fastEthernet 1/0 R1(config-if)#ip address 100.100.100.1 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#exit b Định tuyến Trong mô hình triển khai, ASA firewall có nhiệm vụ định tuyến cho tất mạng nội Internet Việc định tuyến tùy thuộc vào cầu mà ta sử dụng định tuyến tĩnh (static route default-route) định tuyến động (RIP, EIGRP, OSPF) Tuy nhiên, với thiết bị định tuyến công ty quy mô không lớn, đinh tuyến tĩnh ưu tiên sử dụng Trong mô hình ta sử dụng định tuyến mặc định (default-route) mạng nội đến ISP bên ciscoasa(config)# route outside 0.0.0.0 0.0.0.0 200.0.0.2 c Acess Control List Mặc định, ASA cho phép traffic từ nơi có security-level cao đến nơi có security-level thấp Để tiện cho việc xử lý cố mạng thuận lợi hơn, ta cho phép traffic ICMP từ vùng DMZ (security-level 50) vào vùng inside (security-level 100) access-list acl_DMZ extended permit icmp any any Tương tự có access list interface outside phép gói tin ICMP đươc qua: 51 access-list acl_outside extended permit icmp any any Trong sơ đồ trên, công ty xây dựng hệ thống Web server FTP server để hỗ trợ cho hoạt động công ty Ở đây, ta xây dựng Web server IIS FTP server vùng DMZ có địa 10.0.0.3 NAT bên cho phép tất máy tính Internet truy cập Web server công ty Để máy bên truy cập được, ta tạo access control list phép http ftp truy cập vào: access-list icmp-in extended permit tcp any any eq www access-list icmp-in extended permit tcp any any access-list icmp-in extended permit tcp any any eq ftp d NAT Như mô hình áp dụng phổ biến hệ thống mạng các công ty, tất traffic từ mạng bên bên sử dụng chế chuyển dịch địa (PAT).) Tất mạng mô hình gồm 11.0.0.0/8 10.0.0.0/8 PAT Đều giúp tăng tính bảo mật hệ thống mạng Đối với vùng Inside: ciscoasa(config)# object network inside ciscoasa(config-network-object)#subnet 11.0.0.0 255.0.0.0 ciscoasa(config-network-object)# nat (inside,outside) dynamic interface Tương tự với DMZ: ciscoasa(config)# object network dmz ciscoasa(config-network-object)#subnet 10.0.0.0 255.0.0.0 52 ciscoasa(config-network-object)# nat (dmz,outside) dynamic interface 3.2.4.2 Giao diện ASA Firewall ASA Firewall có khả vừa hỗ trợ cấu hình thiết bị thông qua giao diện đồ họa Adaptive Security Device Manager (ASDM) và cả giao diện dòng lệnh CLI, Qua ASA cung cấp dịch vụ quản lí giám sát toàn diện, dễ dàng Hình 3.: Giao diện đồ họa ASA Firewall 53 3.2.5 Thực cấu hình giao diện sử dụng dịch vụ Công ty xây dựng hệ thống Web server FTP server để hỗ trợ cho hoạt động công ty Ở đây, ta xây dựng Web server IIS FTP server vùng DMZ có địa 10.0.0.3 NAT bên cho phép tất máy tính Internet truy cập Web server công ty 3.2.5.1 Sử dụng dịch vụ FTP Server Đối với FTP server sau cài đặt vào vùng DMZ, tiến hành đặt lệnh ACL cho phép vùng Inside kết nối đến FTP server, để thực việc dowload, upload file, Hình 3.: Cấu hình ACL cho Inside thực truy cập vào FTP Server Hệ thống FTP server kết nối: Hình 3.: Đăng nhập FTP Server 54 Để FTP Client truy cập vào hệ thống, FTP Server phải cấp ID Password tạo sẵn, cho phép Client truy cập vào hệ thống: Hình 3.: Tạo User cho phép Client truy cập vào server Đối với phía FTP Client sử dụng quyền User bên Server cấp đăng nhập vào hệ thống qua phần mềm hỗ trợ FileZilla, tiến hành Dowload, Upload, edit, liệu: 55 Hình 3.: Sử dụng quyền User truy cập vào FTP Server Khi Client truy cập vào FTP Server sử dụng dịch vụ hoạt động truy cập liệu hiển thị bên FTP Server, Server biết qua thống kê, từ kiểm soát người dùng Hình 3.: Thống kê truy cập Client tới Server 56 3.2.5.2 Sử dụng dịch vụ Web Server Đối với Web server sau cài đặt vào vùng DMZ, tiến hành đặt lệnh ACL cho phép vùng Inside kết nối đến Web server Hình 3.: Cấu hình ACL cho phép Inside truy cập Web Server Sau cấu hình ACL, tiến hành truy cập đến Web Server: Hình 3.: Web Server 57 Hình 3.: Mạng nội truy cập vào Web Server 3.2.6 Đánh giá hệ thống Hệ thống trước triển khai giải pháp an ninh hoạt động thiếu bảo vệ Các nguy công từ Internet hacker thường xuyên xảy ra, bên cạnh vấn đề virut lây lan nhanh chóng hệ thống mạng nội Server làm nhân viên quản trị mạng bưu điện phải tốn thời gian tiền bạc để khắc phục Bên cạnh việc an toàn liệu không làm lòng tin ban giám đốc đội ngũ nhân viên quản trị mạng mà làm lòng tin khách hàng vào dịch vụ bưu điện Bởi nói vấn đề an ninh cho hệ thống mạng bưu điện Thái Nguyên vấn đề cấp thiết cần khắc phục kịp thời Sau phân tích, đưa giải pháp triển khai cấu hình hệ thống an ninh cho bưu điện Thái Nguyên ta thấy đựơc hiệu rõ nét, cụ thể: • Về hệ thống mạng nội bộ: chia thành nhiều miền quảng bá, phòng ban chia mạng lan ảo riêng, tăng nhiều tốc độ truy cập, chia sẻ liệu máy mạng với Ngoài việc chia nhỏ giúp quản trị viên phân vùng, cách ly để khắc phục mạng có máy bị nhiễm virut Không nhờ chức ASA mà máy tính mạng nội truy cập 58 Internet hay Server Bưu điện phải cho phép ASA việc bảo mật an toàn nâng cao • Với hệ thống Web Server Mail Server tương tự Các Server NAT sang IP khác truy cập Internet, nguy bị công khó Ngoài có người dùng Internet truy cập đến hệ thống Server bị kiểm tra lọc kỹ danh sách kiểm tra truy cập ACLs dịch vụ khác ASA firewall Tóm lại hệ thống mạng bưu điện Thái Nguyênđã bảo vệ an toàn nhiều sau triển khai hệ thống an ninh với thiết bị bảo mật, đặc biệt ASA firewall Điều không đem lại lòng tin nhân viên bưu điện với vấn đề an toàn liệu mà đem lại lòng tin khách hàng với dịch vụ Bưu điện nói chung Và góp phần quan trọng vào thành công phát triển bền vững bưu điện tình Thái Nguyên 59 KẾT LUẬN Với bùng nổ ngày mạnh mẽ mạng máy tính Internet, quốc gia, tổ chức, công ty tất người dường xích lại gần Từ máy tính cá nhân PC, mạng cục LAN, mạng diện rộng WAN,… kết nối vào Internet để khai thác truyền bá thông tin Ở Việt Nam ta nay, với gia nhập Internet, việc ứng dụng tin học vào quản lý công tác nghiên cứu, học tập ngày phổ biến, đặc biệt việc tra cứu, tìm kiếm trao đổi thông tin Chính thông tin có tầm quan trọng lớn nên việc bảo vệ, làm nguồn tài nguyên thông tin mạng đã, vấn đề cần thiết chuyên gia an ninh mạng mà với tất người tham gia vào mạng máy tính Internet Nghiên cứu an ninh mạng phương thức đảm bảo an toàn cho hệ thống mạng đề tài có tính chất thực tế Đồng thời mảng kiến thức rộng tương đối mẻ sinh viên Đề tài “Ứng dụng ASA Firewall để xây dựng hệ thống an ninh mạng cho bưu điện tỉnh Thái Nguyên” đề tài xây dựng hệ thống an ninh mạng dựa sở lý thuyết nghiên cứu thực tế Nhận thấy ưu điểm mà thiết bị an ninh ASA firewall mang lại cho hệ thống mạng lớn Nhưng thời gian có hạn kiến thức thâm nhập thực tế non yếu nên khuôn khổ đề tài này, em trình bày phần kiến thức an ninh mạng thiết bị ASA firewall Đề tài không tránh khỏi thiếu sót, em mong nhận góp ý bảo nhiệt tình từ phía thầy cô bạn để nâng cao khả chuyên môn hoàn thiện kiến thức 60 TÀI LIỆU THAM KHẢO Tài liệu tiếng Anh [1] Dave Hucaby, Cisco ASA and PIX Firewall Handbook by, Publisher: Cisco Press – 7/1/2005 [2] Harris Andrea, “Cisco-ASA-5505-Configuration” Cisco Asa 5505 Bonus tutorial (CCNA,CCNP,CCSP) [3] Harris Andrea, “Cisco-ASA-Firewall-Fundamentals-2nd-Edition” step by step configuration tutorial (CCNA,CCNP,CCSP) [4] Richard Deal, “Cisco Asa Configuration”, Network professional’s library Tài liệu Internet [1] http://www.Cisco.com [2]http://www.networkstraining.com [3] http://www.VnPro.vn 61 PHỤ LỤC Cấu hình ASA: ASA Version 8.4(2) ! hostname ASA enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted names ! interface GigabitEthernet0 nameif dmz security-level 50 ip address 10.0.0.1 255.0.0.0 ! interface GigabitEthernet1 nameif outside security-level ip address 200.0.0.1 255.0.0.0 ! interface GigabitEthernet3 nameif inside security-level 100 ip address 11.0.0.1 255.0.0.0 ! 62 ftp mode passive object network n object network inside subnet 11.0.0.0 255.0.0.0 object network dmz subnet 10.0.0.0 255.0.0.0 access-list icmp-in extended permit icmp any any access-list icmp-in extended deny tcp any any eq www access-list icmp-in extended permit tcp any any access-list icmp-in extended permit tcp any any eq ftp access-list acl_outside extended permit icmp any any access-list acl_DMZ extended permit icmp any any access-list acl_DMZ extended permit ip any any pager lines 24 mtu dmz 1500 mtu outside 1500 mtu inside 1500 no failover icmp unreachable rate-limit burst-size asdm image disk0:/asdm.bin no asdm history enable arp timeout 14400 ! object network inside 63 nat (inside,outside) dynamic interface object network dmz nat (dmz,outside) dynamic interface access-group acl_DMZ in interface dmz access-group acl_outside in interface outside access-group icmp-in in interface inside route outside 0.0.0.0 0.0.0.0 200.0.0.2 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 timeout floating-conn 0:00:00 dynamic-access-policy-record DfltAccessPolicy user-identity default-domain LOCAL http server enable http 10.0.0.0 255.0.0.0 dmz no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart telnet timeout ssh timeout 64 console timeout threat-detection basic-threat threat-detection statistics access-list no threat-detection statistics tcp-intercept webvpn username admin password fbFbxQS63ePiLd41 encrypted privilege 15 ! prompt hostname context no call-home reporting anonymous call-home profile CiscoTAC-1 no active destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService destination address email callhome@cisco.com destination transport-method http subscribe-to-alert-group diagnostic subscribe-to-alert-group environment subscribe-to-alert-group inventory periodic monthly subscribe-to-alert-group configuration periodic monthly subscribe-to-alert-group telemetry periodic daily crashinfo save disable Cryptochecksum:dcb0fbebaab2a60b133293e2486d01cd 65 [...]... vốn đã không an toàn Firewall đóng vai trò kiểm soát các dịch vụ này Nó sẽ thiết lập chính sách an ninh cho phép những dịch vụ thoả mãn tập luật trên Firewall đang hoạt động 12 Tuỳ thuộc vào công nghệ lựa chọn để xây dựng Firewall mà nó có khả năng thực hiện các chính sách an ninh với hiệu quả khác nhau c Firewall có thể ghi lại các hoạt động một cách hiệu quả Do mọi luồng thông tin đều qua Firewall nên... mạng nội bộ ra Internet đều phải qua Firewall Nhờ vậy Firewall có thể kiểm soát được các luồng thông tin, từ đó đưa ra các quyết định cho phép hay không cho phép Cho phép hay không cho phép ở đây là dựa trên chính sách an ninh do người quản trị Firewall đặt ra • Ưu điểm Firewall có thể làm rất nhiều điều cho an ninh của mạng Thực tế những ưu điểm khi sử dụng Firewall không chỉ ở trong lĩnh vực an ninh. .. Kiểm tra hệ thống Firewall • Luôn luôn cập nhật cho Firewall Trong đó có nhiều công việc bảo dưỡng Firewall có thể thực hiện tự động hoá được 1.4.3.1 Quản lý Firewall Quản lý Firewall giúp cho Firewall của ta được an toàn và sáng sủa Có ba công việc mà ta cần phải làm là: • Sao lưu Firewall • Quản lý các tài khoản • Quản lý dung lượng đĩa 1.4.3.2 Kiểm tra hệ thống Một trong các công việc quan trọng... lý tưởng để thu thập các thông tin về hệ thống và mạng sử dụng Firewall có thể ghi chép lại những gì xảy ra giữa mạng được bảo vệ và mạng bên ngoài • Nhược điểm Firewall có thể bảo vệ mạng có hiệu quả nhưng nó không phải là tất cả Firewall cũng tồn tại các nhược điểm của nó a Firewall không thể bảo vệ khi có sự tấn công từ bên trong Nếu kẻ tấn công ở phía trong Firewall, thì nó sẽ không thể giúp gì... hoặc FTP server trong hệ thống, tuy nhiên cách này không thực tế do kích cỡ và sự thay đổi liên tục của Internet Hệ thống Firewall sử dụng kiểu lọc URL hiệu quả hơn nhiều.Với kiểu lọc này, khi người dùng thiết lập kết nối HTTP, HTTPS, hay FTP GET request; hệ thống Firewall sẽ đồng thời gửi yêu cầu đến server web/FTP và filtering server.Nếu filtering server cho phép kết nối, hệ thống Firewall cho phép thiết... ẩn vào dữ liệu 1.4.1 Các chức năng cơ bản của Firewall 1.4.1.1 Packet Filtering a Khái niệm Packet Filtering là một chức năng cơ bản của một firewall, nó là một kỹ thuật an ninh mạng hoạt động ở tầng mạng, bằng cách điều khiển dữ liệu vào hoặc ra một mạng máy tính Packet Filtering sẽ định tuyến một cách có chọn lọc các gói tin tuỳ thuộc theo chính sách an ninh do người quản trị đặt ra Lọc gói thông thường... Tổng quan về FireWall Firewall là một phần mềm hay thiết bị phần cứng hoặc sự kết hợp giữa chúng được thiết kế với mục đích: chống lại những rủi ro, nguy hiểm từ phía ngoài vào mạng nội bộ Nó thường được đặt giữa mạng nội bộ mà ta cần bảo vệ với mạng Internet và thực hiện ngăn cấm một số lưu thông mạng 11 Hình 1.: Vị trí Firewall trên mạng Theo cách bố trí này thì tất cả các luồng thông tin đi vào mạng. .. nào tin cậy interface liên quan đến một interface khác trên thiết bị Mức độ bảo mật cao hơn thì interface càng đáng tin cậy hơn (và do đó các mạng kết nối phía sau nó) được coi là, liên quan đến interface khác Vì mỗi interface firewall đại diện cho một mạng cụ thể (hoặc khu vực an ninh) , bằng cách sử dụng mức độ bảo mật, chúng ta có thể chỉ định mức độ tin tưởng khu vực an ninh của chúng ta Các quy tắc... cập mạng Cisco Adaptive Security Appliances (ASA) có thể giúp bảo vệ một hoặc nhiều mạng từ những kẻ xâm nhập và tấn công Kết nối giữa các mạng này có thể được kiểm soát và theo dõi bằng cách sử dụng các tính năng mạnh mẽ mà Cisco ASA cung cấp Có thể đảm bảo rằng tất cả lưu lượng truy cập từ các mạng tin 33 cậy cho đến mạng không tin cậy(và ngược lại) đi qua các tường lửa dựa trên chính sách đảm bảo an. .. lĩnh vực an ninh a Firewall là điểm tập trung giải quyết các vấn đề an ninh Quan sát vị trí của Firewall trên hình chúng ta thấy đây là một dạng nút thắt Firewall cho ta khả năng to lớn để bảo vệ mạng nội bộ bởi công việc cần làm chỉ tập trung tại nút thắt này Việc tập trung giải quyết tại một điểm này còn cho phép có hiệu quả cả về mặt kinh tế b Firewall có thể thiết lập chính sách an ninh Có rất nhiều