Xây dựng mô hình mạng bảo mật với cisco ASA firewall cho công ty cổ phần đầu tư và phát triển hải phong – lào cai

Cùng với sự ra đời và phát triển của máy tính và mạng máy tính là vấn đề bảo mật thông tin, ngăn chặn sự xâm phạm và đánh cắp thông tin trong máy tính và thông tin cá nhân trên mạng máy

LỜI CAM ĐOAN

Sau quá trình học tập tại trường Đại Học Công Nghệ Thông Tin và Truyền Thông, em đã nghiên cứu và tìm hiểu các tài liệu để hoàn thành đồ án tốt nghiệp của mình

Em xin cam đoan đồ án tốt nghiệp này là công trình do chính bản thân em

nghiên cứu, tìm hiểu và hoàn thành dưới sự hướng dẫn của thầy giáo ThS Vũ Văn Diện Em xin cam đoan những kiến thức sử dụng trong đồ án chưa được sử dụng để

bảo vệ ở bất cứ hội đồng nào

Thái Nguyên, tháng 5 năm 2017

Sinh viên

Vũ Ngọc Hà

LỜI CẢM ƠN

Sau một thời gian nỗ lực phấn đấu, với sự giúp đỡ tận tình của các thầy cô và bạn bè em đã hoàn thành đề tài đồ án tốt nghiệp của mình Em xin gửi lời cảm ơn

sâu sắc tới ThS.Vũ Văn Diện người đã tận tình truyền đạt những kiến thức trong

quá trình làm đồ án, chỉ bảo những kinh nghiệm quý báu để em có thể hoàn thành tốt đề tài đồ án tốt nghiệp của mình

Em muốn gửi lời cảm ơn chân thành đến gia đình, cùng tập thể bạn bè lớp CNTTK11B đã cùng em đi qua những tháng ngày học tập, cùng chia sẻ những niềm vui, nỗi buồn, động viên em đi qua những khó khăn, để em vững bước vượt qua những vất vả và khó khăn trong quá trình làm đồ án

Thái Nguyên, tháng 5 năm 2017

Sinh viên

Vũ Ngọc Hà

MỤC LỤC

LỜI CAM ĐOAN 1

LỜI CẢM ƠN 2

MỤC LỤC 3

DANH MỤC HÌNH ẢNH 5

LỜI MỞ ĐẦU 7

CHƯƠNG 1: CƠ SỞ LÝ THUYẾT 8

1.1 Tổng quan về mạng máy tính 8

1.1.1 Mô hình 7 tầng OSI 8

1.1.2 Mô hình TCP/IP 11

1.1.3 Các kiểu topo mạng phổ biến 12

1.1.4 Các thiết bị mạng 13

1.2 Bảo mật mạng máy tính 17

1.2.1 Các loại lỗ hổng bảo mật 18

1.2.2 Các kiểu tấn công mạng 19

1.2.3 Các mức độ bảo mật 20

1.3 Tường lửa (Firewall) 21

1.3.1 Giới thiệu 21

1.3.2 Phân loại Firewall 21

1.3.3 Chức năng của Firewall 23

1.3.4 Hạn chế của Firewall 23

1.4 Tưởng lửa Firewall ASA 24

1.4.1 Giới thiệu 24

1.4.2 Chức năng chính của Firewall ASA 25

1.4.3 Một số loại Firewall ASA 25

1.4.4 Các chế độ làm việc của Firewall ASA 26

1.4.5 Mức độ bảo mật 27

1.5 Network Address Translation(NAT) 28

1.5.1 Tổng quan về NAT 28

1.5.2 Một số kỹ thuật NAT 28

1.5.3 NAT trên Cisco ASA 29

1.6 Access Control List (ACL) 30

CHƯƠNG 2: KHẢO SÁT VÀ PHÂN TÍCH HỆ THỐNG MẠNG CỦA CÔNG TY CỔ PHẦN ĐẦU TƯ VÀ PHÁT TRIỂN HẢI PHONG – LÀO CAI 32

2.1 Giới thiệu 32

2.1.1 Lịch sử phát triển 32

2.1.2 Lĩnh vực kinh doanh 33

2.2 Tổ chức bộ máy quản lý của công ty 33

2.3 Hiện trạng hệ thống mạng của công ty 35

2.3.1 Khảo sát hiện trạng 35

2.3.2 Sơ đồ hiện trạng hệ thống mạng của công ty 36

2.3.3 Sơ đồ logic mạng của công ty 37

2.3.4 Đánh giá hiện trạng 42

2.4 Phân tích và thiết kế mô hình mạng bảo mật mới cho công ty 42

2.4.1 Phân tích yêu cầu của công ty 42

2.4.2 Thiết kế hệ thống mạng cho công ty 43

2.4.3 Thiết kế mô hình mạng tổng thể cho công ty 47

CHƯƠNG 3 XÂY DỰNG VÀ CÀI ĐẶT MÔ PHỎNG HỆ THỐNG MẠNG CHO CÔNG TY 50

3.1 Giới thiệu về phần mềm mô phỏng mạng GNS3 50

3.2 Xây dựng mô hình mạng bảo mật cho Công ty Cổ phần Đầu tư và Phát triển Hải Phong – Lào Cai 51

3.3 Cấu hình cơ bản cho các thiết bị 54

3.3.1 Cấu hình cơ bản Router R1 54

3.3.2 Cấu hình cơ bản cho Firewall ASA 55

KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 61

TÀI LIỆU THAM KHẢO 62

DANH MỤC HÌNH ẢNH

Hình 1.1 Mô hình OSI 9

Hình 1.2 Mô hình TCP/IP 11

Hình 1.3 Tổng quan về firewall 21

Hình 1.4 Mô hình firewall cứng 22

Hình 1.5 Mô hình firewall mềm 22

Hình 1.6 Một số loại ASA Firewall của Cisco 26

Hình 1.7 Kỹ thuật NAT tĩnh 28

Hình 1.8 Kỹ thuật NAT động 29

Hình 1.9 Kỹ thuật NAT overloading 29

Hình 1.10 Cơ chế Access Control List 30

Hình 2.1 Sơ đồ tổ chức bộ máy công ty 33

Hình 2.2 Bảng thống kê thiết bị của công ty 35

Hình 2.3 Sơ đồ hiện trạng hệ thống mạng của công ty 36

Hình 2.4 Sơ đồ mạng tầng 1 của công ty 37

Hình 2.5 Sơ đồ mạng tầng 2 của công ty 38

Hình 2.6 Sơ đồ mạng tẩng 3 của công ty 39

Hình 2.7 Sơ đồ mạng tầng 4 của công ty 40

Hình 2.8 Sơ đồ mạng nhà kho của công ty 41

Hình 2.9 Sơ đồ logic tầng 1 mới cho công ty 43

Hình 2.10 Sơ đồ logic tầng 2 mới cho công ty 43

Hình 2.11 Sơ đồ logic tầng 3 mới cho công ty 44

Hình 2.12 Sơ đồ logic tầng 4 mới cho công ty 44

Hình 2.13 Sơ đồ logic nhà kho mới cho công ty 45

Hình 2.14 Sơ đồ vật lý tầng 1 45

Hình 2.15 Sơ đồ vật lý tầng 2 46

Hình 2.16 Sơ đồ vật lý tầng 3 46

Hình 2.17 Sơ đồ vật lý tầng 4 47

Hình 2.18 Sơ đồ vật lý nhà kho 47

Hình 2.19 Mô hình mạng tổng thể của công ty sử dựng firewall asa 48

Hình 2.20 Bảng phân bố địa chỉ IP 48

Hình 2.21 Bảng hạch toán chi phí 49

Hình 2.22 Sơ đồ hệ thống mạng được thiết kế lại của công ty 49

Hình 3.1 Giao diện của phần mềm mô phỏng mạng GNS3 50

Hình 3.2 Mô hình mô phỏng hệ thống mạng của công ty trên GNS3 51

Hình 3.3 Giao diện khi cài đặt ASA Firewall trên GNS3 52

Hình 3.4 Bảng định tuyến trên Router R1 55

Hình 3.5 Bảng định tuyến trên Firewall ASA 57

Hình 3.6 Bảng cấu hình NAT cho ASA 58

Hình 3.7 Kiểm tra kết nối từ ASA đến PC 59

Hình 3.8 Kiểm tra kết nối từ ASA đến Router R1 59

Hình 3.9 Kiểm tra kết nối từ ASA đến PC2 59

Hình 3.10 Kiểm tra kết nối từ ASA đến WebServer 59

Hình 3.11 Kiểm tra kết nối từ ISP vào P Tai chinh – ke toan 59

Hình 3.12 Kiểm tra kết nối từ ISP vào P Marketing 60

Hình 3.13 Kiểm tra kết nối từ Inside ra internet 60

Hình 3.14 Kiểm tra kết nối từ Inside ra webserver 60

Hình 3.15 Kiểm tra kết nối từ dmz ra internet 60

Hình 3.16 Kiểm tra kết nối từ dmz vào inside 60

LỜI MỞ ĐẦU

Máy tính và mạng máy tính có vai trò hết sức quan trọng trong cuộc sống ngày nay Ngày nay trong bất kỳ lĩnh vực nào cũng cần đến máy tính, máy tính rất hữu ích với chúng ta Do có máy tính và sự phát triển của nó đã làm cho khoa học

kỹ thuật phát triển vượt bậc, kinh tế phát triển nhanh chóng

Cùng với sự ra đời và phát triển của máy tính và mạng máy tính là vấn đề bảo mật thông tin, ngăn chặn sự xâm phạm và đánh cắp thông tin trong máy tính và thông tin cá nhân trên mạng máy tính khi mà ngày càng có nhiều hacker xâm nhập

và phá huỷ dữ liệu quan trọng làm thiệt hại đến kinh tế của công ty nhà nước

Vấn đề bảo mật, an toàn cho hệ thống mạng cần phải được đặt lên hàng đầu trước khi chúng ta xây dựng một hệ thống mạng cho người sử dụng Do đó sử dụng các thiết bị tường lửa trong các hệ thống mạng để đảm bảo an toàn là rất cần thiết Nhằm ngăn chặn các kết nối không mong muốn, giảm nguy cơ mất kiểm soát hệ thống hoặc bị tấn công và lây nhiễm các chương trình độc hại

Được sự hướng dẫn nhiệt tình và chu đáo của thầy Vũ Văn Diện, em đã tìm

hiểu và nghiên cứu về đồ án tốt nghiệp với đề tài: “Xây dựng mô hình mạng bảo mật với Cisco ASA Firewall cho Công ty Cổ phần Đầu tư và Phát triển Hải Phong – Lào Cai” Dù đã cố gắng trong quá trình tìm hiểu nhưng vì nội dung

rộng và bao gồm nhiều kiến thức mới mẻ, thời gian và kiến thức còn hạn chế, việc nghiên cứu đề tài không tránh khỏi những thiếu sót Em rất mong nhận được sự đóng góp ý kiến của thầy cô giáo và bạn bè để báo cáo của em được hoàn thiện hơn nữa

CHƯƠNG 1: CƠ SỞ LÝ THUYẾT

1.1 Tổng quan về mạng máy tính

Vào những năm 50, những hệ thống máy tính đầu tiên ra đời sử dụng các bóng đèn điện tử nên kích thước rất cồng kềnh và tiêu tốn nhiều năng lượng Việc nhập dữ liệu vào máy tính được thực hiện thông qua các bìa đục lỗ và kết quả được

đưa ra máy in, điều này làm mất rất nhiều thời gian và bất tiện cho người sử dụng

Đến giữa những năm 60, cùng với sự phát triển của các ứng dụng trên máy tính và nhu cầu trao đổi thông tin với nhau, một số nhà sản xuất máy tính đã nghiên cứu chế tạo thành công các thiết bị truy cập từ xa tới các máy tính của họ, và đây chính là dạng sơ khai của hệ thống máy tính

Đến đầu những năm 70, hệ thống thiết bị đầu cuối 3270 của IBM ra đời cho phép mở rộng khả năng tính toán của các trung tâm máy tính đến các vùng ở xa Đến giữa những năm 70, IBM đã giới thiệu một loạt các thiết bị đầu cuối được tiết

kế chế tạo cho lĩnh vực ngân hàng, thương mại Thông qua dây cáp mạng các thiết

bị đầu cuối có thể truy cập cùng một lúc đến một máy tính dùng chung Đến năm

1977, công ty Datapoint Corporation đã tung ra thị trường hệ điều hành mạng của mình là “Attache Resource Computer Network” (Arcnet) cho phép liên kết các máy tính và các thiết bị đầu cuối lại bằng dây cáp mạng, và đó chính là hệ điều hành mạng đầu tiên

Mạng máy tính là một tập hợp các máy tính được nối với nhau bởi đường truyền theo một cấu trúc nào đó và thông qua đó các máy tính trao đổi thông tin qua lại cho nhau

1.1.1 Mô hình 7 tầng OSI

Mô hình OSI phân chia thành 7 lớp bao gồm các lớp ứng dụng, lớp trình diễn, lớp phiên, lớp vận chuyển, lớp mạng, lớp liên kết dữ liệu và lớp vật lý được biểu diễn như hình dưới đây:

Hình 1.1 Mô hình OSI

ISO đã đưa ra mô hình 7 mức (layers, còn gọi là lớp hay tầng) cho mạng, gọi

là kiểu hệ thống kết nối mở hoặc mô hình OSI (Open System Interconnection) Việc

ra đời mô hình OSI đã hỗ trợ việc kết nối và chia sẽ thông tin trên mạng một cách hiệu quả

- Tầng Physical: Điều khiển việc truyền tải thật sự các bit trên đường truyền

vật lý Nó định nghĩa các tín hiệu điện, trạng thái đường truyền, phương pháp mã hóa dữ liệu, các loại đầu nối được sử dụng

-Tầng Data Link: Đảm bảo truyền tải các khung dữ liệu (frame) giữa hai

máy tính có đường truyền vật lý nối trực tiếp với nhau Nó cài đặt cơ chế phát hiện

và xử lý lỗi dữ liệu nhận

-Tầng Network: Đảm bảo các gói tin dữ liệu (Packet) có thể truyền từ máy

tính này đến máy tính kia cho dù không có đường truyền vật lý trực tiếp giữa chúng

Nó nhận nhiệm vụ tìm đường đi cho dữ liệu đến các đích khác nhau trong mạng

-Tầng Transport: phân nhỏ gói tin có kích thước lớn khi gửi và tập hợp lại

khi nhận, đảm bảo tính toàn vẹn cho dữ liệu Đảm bảo truyền tải dữ liệu giữa các

quá trình Dữ liệu gởi đi được đảm bảo không có lỗi, theo đúng trình tự, không bị mất mát, trùng lắp Đối với các gói tin có kích thước lớn, tầng này sẽ phân chia chúng thành các phần nhỏ trước khi gởi đi, cũng như tập hợp lại chúng khi nhận được

-Tầng Session: cung cấp dịch vụ cho các lớp Presentation để tổ chức các

phiên làm việc và quản lý trao đổi dữ liệu Cho phép các ứng dụng thiết lập, sử dụng và xóa các kênh giao tiếp giữa chúng Nó cung cấp cơ chế cho việc nhận biết tên và các chức năng về bảo mật thông tin khi truyền qua mạng

-Tầng Presentation: Đảm bảo các máy tính có kiểu định dạng dữ liệu khác

nhau vẫn có thể trao đổi thông tin cho nhau Thông thường các mày tính sẽ thống nhất với nhau về một kiểu định dạng dữ liệu trung gian để trao đổi thông tin giữa các máy tính Một dữ liệu cần gởi đi sẽ được tầng trình bày chuyển sang định dạng trung gian trước khi nó được truyền lên mạng Ngược lại, khi nhận dữ liệu từ mạng, tầng trình bày sẽ chuyển dữ liệu sang định dạng riêng của nó

-Tầng Application: cung cấp các ứng dụng truy xuất đến các dịch vụ mạng

như Web Brower…, hay các chương trình làm server cung cấp các dịch vụ mạng như: Web Server, Mail Server…

1.1.2 Mô hình TCP/IP

Hình 1.2 Mô hình TCP/IP

-Lớp Application : quản lý các giao thức, như hỗ trợ việc trình bày, mã hóa

và quản lý cuộc gọi Lớp Application cũng hỗ trợ nhiều ứng dụng như : FTP (File Transfer Protocol), HTTP (Hypertext Transfer Protocol), SMTP (Simple Mail Transfer Protocol), DNS (Domain Name System), TFTP (Trivial File Transfer Protocol)

-Tầng Network Access: điều khiển các thiết bị phần cứng và phương tiện

truyền thông tạo nên mạng

-Tầng Internet: xác định đường dẫn cho các gói tin đi qua mạng tới đúng

đích mong muốn

-Tầng Transport: đảm nhiệm việc vận chuyển từ nguồn đến đích Tầng

Transport đảm nhiệm việc truyền dữ liệu thông qua hai nghi thức TCP (Transmission Control Protocol) và UDP (User Datagram Protocol) Đảm nhiệm việc chọn lựa đường đi tốt nhất cho các gói tin

1.1.3 Các kiểu topo mạng phổ biến

Topo mạng dùng để xác định cấu trúc của mạng Một số loại Topo mạng phổ biến hiện nay như:

a Bus

Theo cách bố trí hành lang các đường như hình vẽ thì máy chủ (host) cũng như tất cả các máy tính khác (workstation) hoặc các nút (node) đều được nối về với nhau trên một trục đường dây cáp chính để chuyển tải tín hiệu

Tất cả các nút đều sử dụng chung đường dây cáp chính này Phía hai đầu dây cáp được bịt bởi một thiết bị gọi là terminator Các tín hiệu và gói dữ liệu (packet) khi di chuyển lên hoặc xuống trong dây cáp đều mang theo điạ chỉ của nơi đến

Loại hình mạng này dùng dây cáp ít nhất, dễ lắp đặt Tuy vậy cũng có những bất lợi đó là sẽ có sự ùn tắc khi di chuyển dữ liệu với lưu lượng lớn và khi có sự hỏng hóc ở đoạn nào đó thì rất khó phát hiện, một sự ngừng trên đường dây để sửa chữa sẽ ngừng toàn bộ hệ thống

b Ring

Mạng dạng Ring, bố trí theo dạng xoay vòng, đường dây cáp được thiết kế làm thành một vòng khép kín, tín hiệu chạy quanh theo một chiều nào đó Các nút truyền tín hiệu cho nhau mỗi thời điểm chỉ được một nút mà thôi Dữ liệu truyền đi phải có kèm theo địa chỉ cụ thể của mỗi trạm tiếp nhận

Mạng dạng vòng có thuận lợi là có thể nới rộng ra xa, tổng đường dây cần thiết ít Nhược điểm là đường dây phải khép kín, nếu bị ngắt ở một nơi nào đó thì toàn bộ hệ thống cũng bị ngừng

c Star

Kết nối tất cả các cáp tới một điểm trung tâm Nếu sử dụng star mở rộng kết nối các star lại với nhau thông qua HUB hoặc SWITCH Dạng này có thể mở rộng phạm vi và mức độ bao phủ của mạng

Repeater là loại thiết bị phần cứng đơn giản nhất trong các thiết bị liên kết

mạng, nó được hoạt động trong tầng vật lý của mô hình hệ thống mở OSI Repeater dùng để nối 2 mạng giống nhau hoặc các phần một mạng cùng có một nghi thức và một cấu hình Khi Repeater nhận được một tín hiệu từ một phía của mạng thì nó sẽ phát tiếp vào phía kia của mạng

Repeater không có xử lý tín hiệu mà nó chỉ loại bỏ các tín hiệu méo, nhiễu, khuếch đại tín hiệu đã bị suy hao (vì đã được phát với khoảng cách xa) và khôi phục lại tín hiệu ban đầu Việc sử dụng Repeater đã làm tăng thêm chiều dài của mạng

b Hub

Hub là một repeater nhiều cổng, chỉ hoạt động ở tầng vật lý

Hub là một trong những yếu tố quang trọng của LAN, đây là điểm kết nối

dây trung tâm của mạng, tất cả các trạm trên mạng LAN được kết nối thông qua Hub Một Hub thông thường có nhiều cổng nối với người sử dụng để gắn máy tính

và các thiết bị ngoại vi Mỗi cổng hỗ trợ một bộ kết nối dùng cặp dây xoắn 10BASE-T từ mỗi trạm của mạng Khi bó tín hiệu Ethernet được truyền từ một trạm tới Hub, nó được lặp lại trên khắp các cổng khác của Hub Các Hub thông minh có thể định dạng, kiểm tra, cho phép hoặc không cho phép bởi người điều hành mạng

từ trung tâm quảng lý Hub

c Bridge

Bridge là thiết bị làm việc đến tầng liên kết dữ liệu, nhận tín hiệu vật lý từ 1

cổng, nhận dạng dataframe, phân tích địa chỉ máy đích

Là cầu nối hai hoặc nhiều đoạn (segment) của một mạng Theo mô hình OSI thì bridge thuộc mức 2 Bridge sẽ lọc những gói dữ liệu để gửi đi (hay không gửi) cho đoạn nối, hoặc gửi trả lời nơi xuất phát Các bridge cũng thường được dùng để phân chia một mạng lớn thành hai mạng nhỏ nhằm làm tăng tốc độ

•Ưu điểm: Cho phép mở rộng cùng một mạng logic với nhiều kiểu cáp khác

nhau Chia mạng thành nhiều phân đoạn khác nhau nhằm giảm lưu lượng trên mạng

•Nhược điểm: Chậm hơn repeater vì phải xử lý các gói tin chưa tìm được

đường đi tối ưu trong trường hợp có nhiều đường đi

Giống như bridge, router là một thiết bị siêu thông minh đối với các mạng thực sự lớn Router biết địa chỉ của tất cả các máy tính ở từng phía và có thể chuyển

các thông điệp cho phù hợp Chúng còn phân đường định truyền để gửi từng thông điệp có hiệu quả

Theo mô hình OSI thì chức nǎng của router thuộc mức 3, cung cấp thiết bị với thông tin chứa trong các header của giao thức, giúp cho việc xử lý các gói dữ liệu thông minh

1.2 Bảo mật mạng máy tính

Bảo mật mạng là sự đảm bảo an toàn của toàn bộ hệ thống mạng trước những hoạt động nhằm tấn công phá hoại hệ thống mạng cả từ bên trong như bên ngoài

Hoạt động phá hoại là những hoạt động như xâm nhập trái phép sử dụng tài nguyên trái phép ăn cắp thông tin, các hoạt động giả mạo nhằm phá hoại tài nguyên mạng và cơ sở dữ liệu của hệ thống

Vấn đề bảo mật mạng luôn là một vấn đề bức thiết khi ta nghiên cứu một hệ thống mạng Hệ thống mạng càng phát triển thì vấn đề bảo mật mạng càng được đạt lên hàng đầu

Khi nguyên cứu một hệ thống mạng chúng ta cần phải kiểm soát vấn đề bảo mật mạng ở các mức độ:

 Mức mạng: Ngăn chặn kẻ xâm nhập bất hợp pháp vào hệ thống mạng

 Mức server: Kiểm soát quyền truy cập, các cơ chế bảo mật, quá trình nhận dạng người dùng, phân quyền truy cập, cho phép các tác vụ

 Mức cơ sở dữ liệu: Kiểm soát ai? được quyền như thế nào? với mỗi cơ sở

dữ liệu

 Mức trường thông tin: Trong mỗi cơ sở dữ liệu kiểm soát được mỗi trường

dữ liệu chứa thông tin khác nhau sẽ cho phép các đối tượng khác nhau có quyền truy cập khác nhau

 Mức mật mã: Mã hoá toàn bộ file dữ liệu theo một phương pháp nào đó và chỉ cho phép người có “ chìa khoá” mới có thể sử dụng được file dữ liệu

1.2.1 Các loại lỗ hổng bảo mật

a Lỗ hổng loại C: Cho phép thực hiện các hình thức tấn công theo DoS

(Denial of Services- Từ chối dịch vụ) Mức độ nguy hiểm thấp chỉ ảnh hưởng tới chất lượng dịch vụ, làm gián đoạn hệ thống, không làm phá hỏng dữ liệu hoặc đạt được quyền truy cập bất hợp pháp DoS là hình thức tấn công sử dụng các giao thức

ở tầng Internet trong bộ giao thức TCP/IP để làm hệ thống ngưng trệ dẫn đến tình trạng từ chối người sử dụng hợp pháp truy nhập hay sử dụng hệ thống Các dịch vụ

có lỗ hổng cho phép các cuộc tấn công DoS có thể được nâng cấp hoặc sửa chữa bằng các phiên bản mới hơn của các nhà cung cấp dịch vụ Hiện nay chưa có một biện pháp hữu hiệu nào để khắc phục tình trạng tấn công kiểu này vì bản thân thiết

kế ở tầng Internet (IP) nói riêng và bộ giao thức TCP/IP nói chung đã ẩn chứa những nguy cơ tiềm tàng của các lỗ hổng loại này

b Lỗ hổng loại B: Cho phép người sử dụng có thêm các quyền trên hệ thống

mà không cần kiểm tra tính hợp lệ dẫn đến mất mát thông tin yêu cầu cần bảo mật

Lỗ hổng này thường có trong các ứng dụng trên hệ thống Có mức độ nguy hiểm trung bình

Lỗ hổng loại B này có mức độ nguy hiểm hơn lỗ hổng loại C Cho phép người sử dụng nội bộ có thể chiếm được quyền cao hơn hoặc truy nhập không hợp pháp Những lỗ hổng loại này thường xuất hiện trong các dịch vụ trên hệ thống Người sử dụng local được hiểu là người đã có quyền truy nhập vào hệ thống với một số quyền hạn nhất định Một dạng khác của lỗ hổng loại B xảy ra với các chương trình viết bằng mã nguồn C Những chương trình viết bằng mã nguồn C thường sử dụng một vùng đệm, một vùng trong bộ nhớ sử dụng để lưu trữ dữ liệu trước khi xử lý

c Lỗ hổng loại A: Cho phép người ngoài hệ thống có thể truy cập bất hợp

pháp vào hệ thống Có thể làm phá huỷ toàn bộ hệ thống Loại lỗ hổng này có mức

độ rất nguy hiểm đe dọa tính toàn vẹn và bảo mật của hệ thống Các lỗ hổng này thường xuất hiện ở những hệ thống quản trị yếu kém hoặc không kiểm soát được cấu hình mạng Những lỗ hổng loại này hết sức nguy hiểm vì nó đã tồn tại sẵn có trên phần mềm sử dụng, người quản trị nếu không hiểu sâu về dịch vụ và phần mềm

sử dụng có thể bỏ qua điểm yếu này Vì vậy thường xuyên phải kiểm tra các thông báo của các nhóm tin về bảo mật trên mạng để phát hiện những lỗ hổng loại này Một loạt các chương trình phiên bản cũ thường sử dụng có những lỗ hổng loại A như: FTP, Gopher, Telnet, Sendmail, ARP, finger

1.2.2 Các kiểu tấn công mạng

Một số kiểu tấn công mạng như: tấn công trực tiếp, tấn công vào các lỗ hổng bảo mật, thăm dò, đánh lừa, tấn công từ chối dịch vụ, tấn công vào yếu tố con người

1.2.2.2 Tấn công vào các lỗ hổng bảo mật

Hiện nay, các lỗ hổng bảo mật được phát hiện càng nhiều trong các hệ điều hành, các web server hay các phần mềm khác,… Và các hãng sản xuất luôn cập nhật các lỗ hổng và đưa ra các phiên bản mới sau khi đã vá lại các lỗ hổng của các phiên bản trước

Do đó, người sử dụng phải luôn cập nhật thông tin và nâng cấp phiên bản cũ

mà mình đang sử dụng nếu không các hacker sẽ lợi dụng điều này để tấn công vào

hệ thống

1.2.2.3 Kỹ thuật đánh lừa

Đây là thủ thuật được sử dụng nhiều cho các cuộc tấn công và thâm nhập vào

hệ thống mạng và máy tính bởi tính đơn giản mà hiệu quả của nó Thường được sử dụng để lấy cấp mật khẩu, thông tin, tấn công vào và phá hủy hệ thống

Kỹ thuật này được sử dụng khi hacker giả mạo địa chỉ IP tin cậy trong mạng nhằm thực hiện việc chèn thông tin bất hợp pháp vào trong phiên làm việc hoặc thay đổi bản tin định tuyến để thu nhận các gói tin cần thiết

1.2.2.4 Thăm dò

Đó chính là hình thức hacker gửi vài thông tin truy vấn về địa chỉ IP hoặc domain name bằng hình thức này hacker có thể lấy được thông tin về địa chỉ IP và domain name từ đó thực hiện các biện pháp tấn công khác…

1.2.2.5 Tấn công từ chối dịch vụ (Denial of services)

Kiểu tấn công này nhằm tắc nghẽn mạng bằng cách hacker gửi các gói tin với tốc độ cao và liên tục tới hệ thống bảo mật nhằm làm tê liện hệ thống chiếm hết băng thông sử dụng

1.2.2.6 Tấn công vào yếu tố con người

Hacker có thể tấn công vào các lỗ hổng do lỗi nhà quản trị hệ thống hoặc liên lạc với nhà quản trị hệ thống giả mạo là người sủ dụng thay đổi username và password

1.2.3 Các mức độ bảo mật

 Quyền truy nhập

Đây là lớp bảo vệ sâu nhất nhằm kiểm soát tài nguyên mạng kiểm soát ởmức

độ file và việc xác định quyền hạn của người dùng do nhà quản trị quyếtđịnh như: chỉ đọc( only read), chỉ ghi (only write), thực thi(execute)

 Đăng nhập / Mật khẩu (login/password)

Đây là lớp bảo vệ mức độ truy nhập thông tin ở mức độ hệ thống Đây là mức độ bảo vệ được sử dụng phổ biến nhất vì nó đơn giản và ít tốn kém Nhà quản trị cung cấp cho mỗi người dùng một username và password và kiểm soát mọi hoạt động của mạng thông qua hình thức đó Mỗi lần truy nhập mạng người dùng phải đăng nhập Username và password, hệ thống kiểm tra hợp lệ mới cho đăng nhập

 Mã hóa dữ liệu (Data encryption)

Đó là sử dụng các phương pháp mã hoá dữ liệu ở bên phát và thực hiện giải

mã ở bên thu bên thu chỉ có thể mã hóa chính xác khi có khoá mã hóa do bên phát cung cấp

 Bảo vệ vật lý (Physical protect)

Đây là hình thức ngăn chạn nguy cơ truy nhập vật lý bất hợp pháp vào hệ thống như ngăn cấm tuyệt đối người không phận sự vào phòng đặt máy mạng, dùng

ổ khoá máy tính, hoặc cài đặt cơ chế báo động khi có truy nhập vào hệ thống

 Bức tường lửa (firewall)

Đây là hình thức ngăn chặn sự xâm nhập bất hợp pháp vào mạng nội bộ thông qua firewall Chức năng của tường lửa là ngăn chặn các truy nhập trái phép (theo danh sách truy nhập đã xác định trước) và thậm chí có thể lọc các gói tin mà

ta không muốn gửi đi hoặc nhận vào vì một lý do nào đó Phương thức bảo vệ này được dùng nhiều trong môi trường liên mạng Internet

1.3 Tường lửa (Firewall)

1.3.1 Giới thiệu

Internet cho phép chúng ta truy cập tới mọi nơi trên thế giới thông qua một

số dịch vụ Ngồi trước máy tính của mình bạn có thể biết được thông tin trên toàn cầu, nhưng cũng chính vì thế mà hệ thống máy tính của bạn có thể bị xâm nhập vào bất kỳ lúc nào mà bạn không hề được biết trước Do vậy việc bảo vệ hệ thống là một vấn đề chúng ta phải quan tâm Người ta đã đưa ra khái niệm FireWall để giải quyết vấn đề này

Hình 1.3 Tổng quan về firewall

Firewall hay còn gọi là tường lửa, là một thuật ngữ trong chuyên ngành mạng máy tính Nó là một công cụ phần cứng hoặc phần mềm hoặc là cả 2 được tích hợp vào hệ thống để chống lại sự truy cập trái phép, ngăn chặn virus… để đảm bảo nguồn thông tin nội bộ được an toàn, tránh bị kẻ gian đánh cắp thông tin

1.3.2 Phân loại Firewall

Firewall thì được chia ra làm 2 loại đó là: firewall cứng và firewall mềm

+ Firewall cứng

Firewall cứng là những Firewall được tích hợp trên Router

Hình 1.4 Mô hình firewall cứng

Đặc điểm của Firewall cứng:

• Không được linh hoạt như Firewall mềm: không thể thêm chức năng, thêm quy tắc như Firewall mềm

• Firewall cứng hoạt động ở tầng thấp hơn Firewall mềm (tầng Network và tầng Transport)

• Firewall cứng không thể kiểm tra nội dung của một gói tin

• Một số Firewall cứng thông dụng: NAT, Cisco ASA 5500,…

+Firewall mềm:

Một vài hệ điều hành có tường lửa kèm theo, nếu hệ điều hành của bạn không có thì cũng dễ dàng kiếm được từ một số cửa hàng máy tính hay hãng phần mềm hoặc các nhà cung cấp dịch vụ Internet.Một số Firewall mềm như ISA server, Zone Alarm, Norton firewall, các phần mềm antivirut hay các hệ điều hành đều có tính năng firewall…

Firewall mềm là những Firewall được cài đặt trên máy tính

Hình 1.5 Mô hình firewall mềm

Đặc điểm của Firewall mềm:

• Tính linh hoạt cao: có thể thêm, bớt các quy tắc, các chức năng

• Firewall mềm hoạt động ở tầng cao hơn Firewall cứng (Tầng Applycation)

• Firewall mềm có thể kiểm tra được nội dung của gói tin (thông qua các từ khóa)

• Một số Firewall mềm thông dụng: Zone Alarm, Microsoft ISA Server

2006, Norton Firewall,…

1.3.3 Chức năng của Firewall

FireWall quyết định những dịch vụ nào từ bên trong được phép truy cập từ bên ngoài, những người nào từ bên ngoài được phép truy cập đến các dịch vụ bên trong, và cả những dịch vụ nào bên ngoài được phép truy cập bởi những người bên trong

Firewall hỗ trợ máy tính kiểm soát luồng thông tin giữa intranet và internet, Firewall sẽ quyết định dịch vụ nào từ bên trong được phép truy cập ra bên ngoài, những người nào bên ngoài được phép truy cập vào bên trong hệ thống, hay là giới hạn truy cập những dịch vụ bên ngoài của những người bên trong hệ thống, mình lấy ví dụ như giới hạn trang Facebook, tất cả những người trong hệ thống sẽ không thể truy cập vào được mạng xã hội này

Một số chức năng của Firewall:

 Cho phép hoặc vô hiệu hóa các dịch vụ truy cập ra bên ngoài, đảm bảo thông tin chỉ có trong mạng nội bộ

 Cho phép hoặc vô hiệu hóa các dịch vụ bên ngoài truy cập vào trong

 Phát hiện và ngăn chặn các cuộc tấn công từ bên ngoài

 Hỗ trợ kiểm soát địa chỉ truy cập (bạn có thể đặt lệnh cấm hoặc là cho phép)

 Kiểm soát truy cập của người dùng

 Quản lý và kiểm soát luồng dữ liệu trên mạng

 Xác thực quyền truy cập

 Hỗ trợ kiểm soát nội dung thông tin và gói tin lưu chuyển trên hệ thống mạng

 Lọc các gói tin dựa vào địa chỉ nguồn, địa chỉ đích và số Port ( hay còn cổng), giao thức mạng

 Người quản trị có thể biết được kẻ nào đang cố gắng để truy cập vào hệ thống mạng

 Firewall hoạt động như một Proxy trung gian

 Bảo vệ tài nguyên của hệ thống bởi các mối đe dọa bảo mật

+ Firewall không thể đọc và hiểu từng loại thông tin và tất nhiên là nó không thể biết được đâu là nội dung tốt và đâu là nội dung xấu Mà đơn thuần Firewall chỉ

hỗ trợ chúng ta ngăn chặn sự xâm nhập của những nguồn thông tin không mong muốn nhưng phải xác định rõ các thông số địa chỉ

+ Firewall không thể ngăn chặn các cuộc tấn công nếu như cuộc tấn công đó không “đi qua” nó Ví dụ cụ thể đó là Firewall không thể chống lại một cuộc tấn công từ một đường dial-up, hoặc là sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp ra đĩa mềm

+ Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu drivent attack) Khi có một số ứng dụng hay phần mềm được chuyển qua thư điện

(data-tử (ví dụ như Gmail, Yahoo mail…), nó có thể vượt qua Firewall vào trong mạng được bảo vệ

+ Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có rất nhiều cách để mã hóa dữ liệu để có thể thoát khỏi khả năng kiểm soát của firewall Tuy nhiên, chúng ta không thể phủ nhận một điều rằng Firewall vẫn là giải pháp hữu hiệu được áp dụng khá rộng rãi hiện nay

1.4 Tưởng lửa Firewall ASA

1.4.1 Giới thiệu

Cisco ASA viết tắt của từ: Cisco Adaptive Security Appliance ASA là một giải pháp bảo mật đầu cuối chính của Cisco Hiện tại ASA là sản phẩm bảo mật dẫn đầu trên thị trường về hiệu năng và cung cấp các mô hình phù hợp doanh nghiệp, tích hợp giải pháp bảo mật mạng

Tường lửa Cisco ASA là công nghệ mới nhất trong các giải pháp tường lửa được đưa ra bởi Cisco, hiện nay đang thay thế các tường lửa PIX rất tốt ASA viết tắt của Adaptive Security Appliances, làm cả hai nhiệm vụ là một tường lửa và ứng dụng anti-malware

Cisco ASA hoạt động theo cơ chế giám sát gói theo trạng thái (Stateful Packet Inspection), thực hiện điều khiển trạng thái kết nối khi qua thiết bị bảo mật (ghi nhận trạng thái của từng gói thuộc kết nối xác định theo loại giao thức hay ứng dụng) Cho phép kết nối một chiều (outbound-đi ra) với rất ít việc cấu hình Một kết

nối đi ra là một kết nối từ thiết bị trên cổng có mức bảo mật cao đến thiết bị trên mạng có mức bảo mật thấp hơn

Đặc tính nổi bật của ASA là:

- Đầy đủ các đặc điểm của Firewall, IPS, anti-X và công nghệ VPN

- Có khả năng mở rộng thích nghi nhận dạng và kiến trúc Mitigation Services

- Giảm thiểu chi phí vận hành và phát triển

1.4.2 Chức năng chính của Firewall ASA

Tường lửa (Firewall): Bảo mật mạng từ các cuộc xâm nhập không xác thực, trong khi vẫn cho phép hoạt động mạng diễn ra bình thường, không bị trì trệ

- Mã hóa SSL/Ipsec VPN: Mở rộng hệ thống mạng bằng cách cho phép truy cập mạng từ xa nhưng vẫn đảm bảo an toàn với các công nghệ mã hóa

- Ngăn chặn xâm nhập: Bảo vệ tài nguyên quan trọng trong mạng từ các cuộc tấn công, có đầy đủ chức năng của hệ thống ngăn chận xâm nhập (IPS), Cisco ASA chống lại các mối đe dọa như các lỗ hổng bảo mật từ các ứng dụng, hệ điều hành,

- Bảo mật nội dung: Tăng tính hiệu quả sử dụng và loại bỏ mối đe dọa từ những nội dung không mong muốn trong mạng Cung cấp dịch vụ phát hiện xâm nhập Có khả năng phân tích dữ liệu tại lớp ứng dụng

1.4.3 Một số loại Firewall ASA

Dòng sản phẩm ASA Firewall phân loại khác nhau từ tổ chức nhớ đến mô hình doanh nghiệp vừa hay cho nhà cung cấp dịch vụ ISP Mô hình càng cao thì thông lượng, số port, chi phí càng cao Một số loại như : ASA 5505, 5510, 5520,

5540, 5550

Hình 1.6 Một số loại ASA Firewall của Cisco

1.4.4 Các chế độ làm việc của Firewall ASA

Firewall ASA có 4 chế độ làm việc chính:

- Chế độ giám sát (Moniter Mode): Đây là chế độ đặc biệt cho phép bạn cập nhật các hình ảnh qua mạng hoặc khôi phục lại mật khẩu Trong khi ở chế độ giám sát, bạn có thể nhập lệnh để xác định vị trí một máy chủ TFTP và vị trí của hình ảnh phần mềm hoặc file hình ảnh nhị phân khôi phục mật khẩu tải vể Bạn truy cập vào chế độ này bằng cách nhấn “break” hoặc “ESC” chìa khóa ngay sau khi bật nguồn thiết bị

- Chế độ không đặc quyền (Unprivileged Mode): Hiển thị dấu nhắc “>” Chế

độ này cung cấp tầm nhìn hạn chế của các thiết bị an ninh Bạn không thể cấu hình bất cứ điều gì từ chế độ này Để bắt đầu với cấu hình, lệnh đầu tiên phải nhập là enable Gõ enable và nhấn enter

- Chế độ đặc quyền (privileged Mode): Cho phép bạn thay đổi các thiết lập hiện hành Bất cứ lệnh nào trong chế độ không đặc quyền cũng làm việc trong chế

độ này Từ chế độ này, có thể xem cấu hình hiện tại bằng cách sử dụng lệnh show running-config

- Chế độ cấu hình ( Configuration Mode): Cho phép thay đổi tất cả thiết lập cấu hình hệ thống

1.4.5 Mức độ bảo mật

Security Level được gán cho interface (hoặc vật lý hay logical sub- interfaces) và nó cơ bản một số từ 0 - 100 chỉ định như thế nào tin cậy interface liên quan đến một interface khác trên thiết bị Mức độ bảo mật cao hơn thì interface càng đáng tin cậy hơn

Một số mức độ bảo mật điển hình:

 Security Level 0: Đây là mức độ bảo mật thấp nhất và nó được gán mặc định interface bên ngoài của firewall Đó là mức độ bảo mật ít tin cậy nhất và phảiđược chỉ định phù hợp với mạng (interface) mà chúng ta không muốn nó có bất

kỳ truy cập vào mạng nội bộ của chúng ta Mức độ bảo mật này thường được gán cho interface kết nối với Internet Điều này có nghĩa rằng tất cả các thiết bị kết nối Internet không thể có quyền truy cập vào bất kỳ mạng phía sau firewall, trừ khi rõ ràng cho phép một quy tắc ACL

 Security Level 1 đến 99: Những mức độ bảo mật có thể được khu vực bảo mật vòng ngoài (ví dụ như khu vực DMZ, khu vực quản lý, )

 Security Level 100: Đây là mức độ bảo mật cao nhất và nó được gán mặc định interface bên trong của tường lửa Đây là mức độ bảo mật đáng tin cậy nhất và phải được gán cho mạng (interface) mà chúng ta muốn áp dụng bảo vệ nhiều nhất từ các thiết bị an ninh.Mức độ bảo mật này thường được gán cho interface kết nối mạng nội bộ công ty đằng sau nó

Việc truy cập giữa Security Level tuân theo các quy định sau:

 Truy cập từ Security Level cao hơn tới Security Level thấp hơn: Cho phép tất cả lưu lượng truy cập có nguồn gốc từ Security Level cao hơn trừ khi quy định

cụ thể bị hạn chế bởi một Access Control List (ACL) Nếu NAT-Control được kích hoạt trên thiết bị, sau đó có một cặp chuyển đổi nat/global giữa các interface có Security Level từ cao tới thấp

 Truy cập từ Security Level thấp hơn Security Level cao hơn: Chặn tất cả 26 lưu lượng truy cập trừ khi được cho phép bởi một ACL Nếu NAT-Control được kích hoạt trên thiết bị này, sau đó có phải là một NAT tĩnh giữa các interface có Security Level từ cao tới thấp

 Truy cập giữa các interface có cùng một Security Level: Theo mặc định là không được phép, trừ khi bạn cấu hình lệnh same-security-traffic permit

1.5 Network Address Translation(NAT)

1.5.1 Tổng quan về NAT

Sự suy giảm của không gian địa chỉ công cộng IPv4 đã buộc các cộng đồng Internet tìm cách thay thế của địa chỉ máy chủ nối mạng NAT do đó được tạo ra để giải quyết các vấn đề xảy ra với việc mở rộng của Internet

Lợi ích của việc sử dụng NAT trong các mạng IP như sau:

+ NAT giúp giảm thiểu về sự cạn kiệt địa chỉ IP public

+ NAT tăng cường an ninh bằng cách ẩn Networks Topology và Addressing + NAT giống như một router, nó chuyển tiếp các gói tin giữa những lớp mạng khác nhau trên một mạng lớn

+ NAT cũng có thể coi như một Firewall cơ bản

1.5.2 Một số kỹ thuật NAT

1.5.2.1 Kỹ thuật NAT tĩnh (Static NAT)

- Với NAT tĩnh, địa chỉ IP thường được ánh xạ tĩnh với nhau thông qua các lệnh cấu hình

- Cơ chế NAT tĩnh cho phép một máy chủ bên trong hiện diện ra ngoài Internet, bởi vì máy chủ sẽ luôn dùng cùng một địa chỉ IP thực

Hình 1.7 Kỹ thuật NAT tĩnh

1.5.2.2 Kỹ thuật NAT động (Dyanmic NAT)

Với NAT, khi số IP nguồn không bằng số IP đích Số host chia sẻ nói chung

bị giới hạn bởi số IP đích có sẵn Khi đó kỹ thuật NAT động (Dynamic NAT) được

sử dụng để giải quyết vấn đề trên với việc ánh xạ một địa chỉ có thể tương ứng với nhiều địa chỉ

Hình 1.8 Kỹ thuật NAT động 1.5.2.3 Kỹ thuật NAT overloading

- Dùng để ánh xạ nhiều địa chỉ IP riêng sang một địa chỉ công cộng vì mỗi địa chỉ riêng được phân biệt bằng số port

- Có tới 65 356 địa chỉ nội bộ có thể chuyển đổi sang 1 địa chỉ công cộng

- Một số thiết bị cung cấp NAT, như broadband routers, thực tế cung cấp PAT Nhìn chung người ta sử dụng NAT để bao gồmnhững thiết bị PAT

Hình 1.9 Kỹ thuật NAT overloading

1.5.3 NAT trên Cisco ASA

Cisco ASA Firewall hỗ trợ hai loại NAT chính :

- Dynamic NAT

+ Chuyển đổi Source Address trên Interface bảo mật cao hơn vào một phạm

vi của địa chỉ IP trên một Interface kém an toàn hơn, cho kết nối ra ngoài

+ Lệnh “nat” xác định máy chủ nội bộ sẽ được dịch, và lệnh global xác định các dải địa chỉ trên outgoing interface

+ Cấu hình Dynamic NAT translation :

ciscoasa(config)#nat (internal_interface_name) “nat-id” “internalnetwork IPsubnet”

ciscoasa(config)#global(external_interface_name)“nat-id” “external IP poolrange”

- Static NAT

+ Chuyển đổi theo cơ chế một-mộ giữa một IP trên một Interface an toàn hơn

và một IP trên một Interface kém an toàn

+ Static NAT cho phép các host trên một Interface kém an toàn (ví dụ như Internet) để truy cập máy chủ trên một Interface bảo mật cao hơn

+ Cấu hình Static NAT translation:

ciscoasa(config)#static (real_interface_name,mapped_interface_name)

“mapped_IP” “real_IP” netmask”subnet_mask”

1.6 Access Control List (ACL)

Một trong những yếu tố quan trọng cần thiết để quản lý giao tiếp lưu lượng mạng là cơ chế điều khiển truy cập, còn được gọi là Access Control List

Hình 1.10 Cơ chế Access Control List

Access Control List(danh sách điều khiển truy cập) là một danh sách cho phép hoặc từ chối lưu lượng truy cập từ một nguồn đến một đích đến

Sau khi một ACL được cấu hình, nó được áp dụng cho một giao diện với một lệnh access-group Nếu không có ACL được áp dụng cho một Interface, lưu lượng truy cập ra bên ngoài (from inside to outside ) được phép theo mặc định, và lưu lượng truy cập trong nội bộ (from outside to inside) bị từ chối theo mặc định ACL

có thể được áp dụng (bằng cách sử dụng lệnh access-group) để theo 2 hướng "in" và"out" của traffic đối với các Interface Chiều "in" của ACL kiểm soát lưu lượng truy cập vào một interface, và theo hướng "out"của ACL kiểm soát traffic ra khỏi một interface

Lệnh cấu hình default ACL :

ciscoasa(config)# access-list “access_list_name”[lineline_number]

[extended] {deny|permit} protocol“source_address”“mask”[operatorsource_port]

“dest_address” “mask” [operator dest_port]

Lệnh cho phép truy cập của một nhóm sử dụng áp dụng cho ACL:

- Lineline_number: mỗi mục ACL có số dòng riêng của mình

- Extended: sử dụng khi xác định cả hai nguồn và địa chỉ đích trong ACL

- Deny|permit : xác định truy cập cụ thể được phép hoặc bị từ chối

- Protocol: chỉ định giao thức giao thông (IP, TCP, UDP,…)

- Source_address mask: chỉ định địa chỉ IP nguồn và subnet mask Nếu là một địa chỉ IP duy nhất, có thể sử dụng từ khoá "host" mà không cần subnet mask,

có thể sử dụng từ khóa "any" để chỉ định bất kỳ địa chỉ

- [operator source_port] : chỉ định số cổng nguồn

- Dest_address mask : đây là địa chỉ IP đích và subnet mask Có thể sử dụng những từ khóa “host” hoặc “any”

- [operator dest_port]: Chỉ định số cổng đích mà các nguồn lưu lượng yêu cầu truy cập