BẢO mật MẠNG máy TÍNH và FIREWALL (có code) ................. BẢO mật MẠNG máy TÍNH và FIREWALL (có code) ................. BẢO mật MẠNG máy TÍNH và FIREWALL (có code) ................. BẢO mật MẠNG máy TÍNH và FIREWALL (có code) ................. BẢO mật MẠNG máy TÍNH và FIREWALL (có code) .................
ĐỒ ÁN TỐT NGHIỆP BẢO MẬT MẠNG MÁY TÍNH VÀ FIREWALL ĐỒ ÁN TỐT NGHIỆP Trang 2/50 MỤC LỤC Bảo mật mạng máy tính Firewall ĐỒ ÁN TỐT NGHIỆP Trang 3/50 DANH MỤC CÁC HÌNH VẼ DANH MỤC CÁC TỪ VIẾT TẮT LAN LOCAL AREA NETWORK WAN WIDE AREA NETWORK GAN GLOBAL AREA NETWORK MAN METROPOLITAN AREA NETWORK OSI OPEN SYSTEMS INTERCONECTION IP INTERNET PROTOCOL DHCP DYNAMIC HOST CONFIGURATION PROTOCOL DNS DOMAIN NAME SYSTEMS VPN VIRTUAL PRIVATE NETWORK IDS INSTRUSION DETECTION SYSTEM IPS INSTRUSION PREVENTION SYSTEM HTTP HYPERTEXT TRANSFER PROTOCOL HTTPS HYPERTEXT TRANSFER PROTOCOL SECURE Bảo mật mạng máy tính Firewall ĐỒ ÁN TỐT NGHIỆP Trang 4/50 CHƯƠNG TỔNG QUAN ĐỀ TÀI 1.1 Giới thiệu đề tài Ngày nay, máy tính mạng máy tính đóng vai trò khơng thể thiếu sống, lĩnh vực, ngành nghề, cơng việc máy tính mạng máy tính đóng vai trò quan trọng Cùng với phát triển mạng máy tính, vấn đề bảo mật thơng tin, ngăn chặn xâm nhập, đánh cắp liệu máy tính, liệu thơng tin cá nhân quan trọng Vì lý đó, việc làm thể để bảo vệ người dùng, liệu nhiệm vụ quan trọng nhà quản trị mạng mà cá nhân tổ chức sử dụng mạng phải quan tâm - 1.2 Nhiệm vu đề tài Tìm hiểu mạng máy tính, chuẩn hóa mạng, nguyên lý hoạt động - mơ hình OSI, mơ hình TCP/IP Các ứng dụng mạng internet Các giao thức bảo mật, kiểu cơng, mức độ bảo mật Tìm hiểu hệ thống phát ngăn ngừa xâm nhập IDS/IPS Tìm hiểu firewall Mô phỏng, xây dựng hệ thống firewall GNS3 nhằm ngăn chặn truy - nhập bất hợp pháp cho phép truy nhập sau xác thực Kiểm tra hệ thống viết báo cáo, đánh giá ưu nhược điểm hệ thống Bảo mật mạng máy tính Firewall ĐỒ ÁN TỐT NGHIỆP Trang 5/50 1.3 Mục đích Cũng cố kiến thức mạng bản, ứng dụng, thuật ngữ, tính công cụ bảo mật Hiểu rõ cơng hình thức khác để xây dựng, đề phòng xâm phạm bất hợp pháp Nắm rõ nguyên lý hoạt động firewall, IDS/IPS, ASDM cisco CHƯƠNG TỔNG QUAN VỀ MẠNG MÁY TÍNH 1.4 Giới thiệu 1.1.1 Khái niệm Mạng máy tính kết nối máy tính lại với thơng qua đường truyền vật lý theo kiến trúc nhằm thu thập, trao đổi chia liệu cho nhiều người sử dụng Các đường truyền vật lý thường là: - Đường dây điện thoại Cáp đồng trục Sóng vơ tuyến điện từ Cáp quang Mạng máy tính gồm phần chính: - Máy tính Các thiết bị mạng Phầm mềm mạng cho phép thực truy cập trao đổi thơng tin - 1.1.2 Mục đích việc kết nối máy tính thành mạng Chia tài nguyên liệu: người dùng có quyền truy nhập, khai thác sử dụng liệu chung mạng (thường server) - Lưu trữ, bảo vệ liệu: mạng máy tính cho phép liệu tự động lưu trữ tới trung tâm mạng đồng thời cung cấp tài khoản mật cho đối tượng sử dụng , hạn chế việc mát thơng tin ngồi ý muốn Bảo mật mạng máy tính Firewall ĐỒ ÁN TỐT NGHIỆP Trang 6/50 1.5 Phân loại 1.1.3 Phân loại theo khoảng cách địa lý quy mô Mạng máy tính phân loại dựa khoảng cách địa lý giữ máy tính mơ hình mạng Người ta phân loại mạng sau: HÌNH 2- 1: PHÂN LOẠI MẠNG THEO KHOẢNG CÁCH ĐỊA LÝ[1] 1.1.1.1Mạng toàn cầu (GAN) Mạng kết nối với quy mơ tồn câu Thông thường thực qua mạng viễn thông vệ tinh 1.1.1.2Mạng diện rộng (WAN) Làm mạng kết nối phạm vi quốc gia hay quốc gia Thông thường kết nối thông qua mạng viễn thông Nhiều mạng WAN kết nối với tạo thành mạng GAN Mạng WAN gồm tập hợp máy thường gọi chung máy lưu trữ (host), hay có tên máy chủ, máy đầu cuối (end system) Các máy tính nối với mạng truyền thông con, hay mạng (subnet) Nhiệm vụ mạng truyền tải thông điệp từ máy chủ sang máy chủ khác Bảo mật mạng máy tính Firewall ĐỒ ÁN TỐT NGHIỆP Trang 7/50 1.1.1.3Mạng đô thị (MAN) Mạng thường thiết lập phạm vi thị, có bán kính tối đa khoảng 100 km Kết nối với thông qua đường truyền băng thông tốc độ cao ( 50 -100 Mbps) Ngày người ta dùng kỹ thuật cáp quang (Fiber optical) để truyền tín hiệu, vận tốc lên tới 10Gbps Mạng MAN hỗ trợ chung vận chuyển liệu đàm thoại, hay truyền hình 1.1.1.4Mạng cục (LAN) Mạng cục kết nối nhóm máy tính phạm vi định, thường văn phòng tòa nhà Mạng cục thường có đặc trưng sau: - Đặc trưng địa lý Tốc độ đường truyền Độ tin cậy Đặc trưng quản lý 1.1.4 Phân loại theo mơ hình mạng 1.1.1.5Mạng hình Tất trạm mạch kết nối với thiết bị trung tâm có nhiệm vụ nhận truyền liệu tới trạm đích - Ưu điểm: Thiết lập đơn giản, dễ dàng thêm bớt, dễ dàng kiểm soát khắc - phục cố, tận dụng tối đa tốc độ đường truyền vật lý Nhược điểm: Độ dài đường truyền bị giới hạn HÌNH 2- 2: MƠ HÌNH MẠNG HÌNH SAO[1] 1.1.1.6Mạng hình vòng Bảo mật mạng máy tính Firewall ĐỒ ÁN TỐT NGHIỆP Trang 8/50 Trên mạng hình vòng, tín hiệu truyền theo chiều Mỗi trạm kết nối với vòng thơng qua chuyển tiếp có nhiệm vụ truyền nhận liệu đến trạm vòng Như tín hiệu lưu chuyển vòng theo chuỗi liên kết điểm – điểm Để tăng độ tin cậy ta lắp thêm vòng dự phòng cho mạng Nếu vòng gặp cố sử dụng vòng dự phòng Ưu điểm nhược điểm mạng hình vòng giống mạng hình sao, nhiên đòi hỏi giao thức truy nhập phức tạp HÌNH 2- 3: MƠ HÌNH MẠNG VỊNG[1] 1.1.1.7Mạng dạng Bus Các thiết bị chia chung đường truyền ( đường bus) Đường truyền giới hạn đầu đầu nối đặc biệt gọi Terminator Mỗi trạm nối với trục qua đầu mối chữ T ( T- connector) thiết bị thu phát (transceive) - Ưu điểm: Dễ thiết kế, chi phí thấp - Nhược điểm: Tính ổn định kém, nốt mạng hỏng toàn ngừng hoạt động Bảo mật mạng máy tính Firewall ĐỒ ÁN TỐT NGHIỆP Trang 9/50 HÌNH 2- 4: MƠ HÌNH MẠNG BUS[1] 1.1.1.8Mạng dạng kết hợp Ngoài dạng bản, ta kết hợp hay nhiều dạng lại với nhằm tận dụng ưu điểm khắc phục nhược điểm loại mạng riêng HÌNH 2- 5: MƠ HÌNH MẠNG DẠNG KẾT HỢP [1] 1.1.5 Phân loại theo giao thức hệ điều hành mạng sử dụng Người ta phân giao thức mạng thành loại: mạng ICP/IP mạng NETBIOS Tuy nhiên cách phân loại không phổ biến áp dụng mạng cục 1.1.1.9Mạng khách/chủ ( client/ server) Bảo mật mạng máy tính Firewall ĐỒ ÁN TỐT NGHIỆP Trang 10/50 HÌNH 2- 6: MƠ HÌNH DẠNG KHÁCH/CHỦ[1] Trong mạng có máy chun phục vụ với mục đích khác Các máy phục vụ tối ưu hóa yêu cầu máy khách hàng - Máy phục vụ tập tin/ in ấn Máy phục vụ chương trình ứng dụng Máy phục vụ thư tín, truyền thơng … Một ưu điểm quan trọng mơ hình có tính bảo mật cao, dễ quản lý, sử dụng 1.1.1.10 Mạng ngang hàng ( peer to peer) Bảo mật mạng máy tính Firewall ĐỒ ÁN TỐT NGHIỆP Trang 31/50 HÌNH 6- 3: STATELESS FIREWALL[6] Cùng với ngăn chặn lớp gói tin chiều sâu, firewall ngăn chặn thơng tin từ nguồn tới đích vào địa IP nguồn đích, cổng TCP/UDP nguồn đích Nó ngăn chặn thích ứng giao thức, kiểm tra công vào ứng dụng bản, chắn bảo tồn lng liệu thiết bị TCP/IP Các sản phẩm IDS (Intrusion Detection System) NetScreen firewall hỗ trợ ngăn chặn lớp gói tin chiều sâu Cisco PIX Firewall hỗ trợ hoạt động stateless statefull: HÌNH 6- 4: DEEP PACKET LAYER FIREWALL[6] Đặc biệt, chức thực phần cứng Dữ liệu tính tốn theo tiêu chuẩn từ chối DoS loại bỏ đưa vào đệm … Bảo mật mạng máy tính Firewall ĐỒ ÁN TỐT NGHIỆP Trang 32/50 1.18 Các thành phần Firewall & chế hoạt động: Một Firewall chuẩn bao gồm hay nhiều thành phần sau đây: - Bộ lọc gói (Packet–Filter) Cổng ứng dụng (Application–level Gateway hay Proxy Server) Cổng mạch (Circuite level Gateway) 1.1.32 Bộ lọc gói (Packet Filter) 1.1.1.22 Nguyên lý hoạt động HÌNH 6- 5: SƠ ĐỒ LÀM VIỆC CỦA PACKET FILTERING[6] Firewall hoạt động chặt chẽ với giao thức TCI/IP làm việc theo thuật toán chia nhỏ liệu nhận từ ứng dụng mạng, hay nói xác dịch vụ chạy giao thức (Telnet, SMTP, DNS, SMNP ) thành gói liệu (data paket) gán cho paket địa để nhận dạng, tái lập lại đích cần gửi đến, loại Firewall liên quan nhiều đến Packet số địa chúng Bộ lọc gói cho phép hay từ chối packet mà nhận Nó kiểm tra toàn đoạn liệu để định xem đoạn liệu có thoả mãn số Bảo mật mạng máy tính Firewall ĐỒ ÁN TỐT NGHIỆP Trang 33/50 luật lệ lọc gói hay khơng Các luật lệ lọc gói dựa thông tin đầu packet (packet header ), dùng phép truyền packet mạng Đó là: - Địa IP nơi xuất phát ( IP Source address) Địa IP nơi nhận (IP Destination address) Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel) Cổng TCP/UDP nơi xuất phát (TCP/UDP source port) Cổng TCP/UDP nơi nhận (TCP/UDP destination port) Dạng thông báo ICMP (ICMP message type) Giao diện Packet đến (Incomming interface of Packet) Giao diện Packet (Outcomming interface of Packet) Nếu luật lệ lọc gói thoả mãn packet chuyển qua Firewall Nếu không, packet bị bỏ Nhờ mà Firewall ngăn cản kết nối vào máy chủ mạng xác định, khoá việc truy cập vào hệ thống mạng nội từ địa không cho phép Hơn nữa, việc kiểm soát cổng làm cho Firewall có khả cho phép số loại kết nối định vào loại máy chủ đó, có dịch vụ (Telnet, SMTP, FTP ) phép chạy hệ thống mạng cục 1.1.1.23 Ưu điểm hạn chế hệ thống Firewall sử dụng lọc gói Ưu điểm: - Đa số hệ thống Firewall sử dụng lọc gói Một ưu điểm phương pháp dùng lọc gói chi phí thấp chế lọc gói bao gồm phần mềm router - Ngồi ra, lọc gói suốt người sử dụng ứng dụng, khơng u cầu huấn luyện đặc biệt Hạn chế: - Việc định nghĩa chế độ lọc gói việc phức tạp, đòi hỏi người quản trị mạng cần có hiểu biết chi tiết dịch vụ Internet, dạng packet header, giá trị cụ thể mà họ nhận trường Khi đòi hỏi vể Bảo mật mạng máy tính Firewall ĐỒ ÁN TỐT NGHIỆP Trang 34/50 lọc lớn, luật lệ lọc trở nên dài phức tạp, khó để quản lý điều khiển - Do làm việc dựa header packet, rõ ràng lọc gói khơng kiểm sốt nội dung thông tin packet Các packet chuyển qua mang theo hành động với ý đồ ăn cắp thông tin hay phá hoại kẻ xấu 1.1.33 Cổng ứng dụng (Application–Level Gateway) 1.1.1.24 Nguyên lý hoạt động: HÌNH 6- 6: KẾT NỐI GIỮA NGƯỜI DÙNG VỚI SERVER QUA PROXY.[6] Đây loại Firewall thiết kế để tăng cường chức kiểm soát loại dịch vụ, giao thức cho phép truy cập vào hệ thống mạng Cơ chế hoạt động dựa cách thức gọi proxy service (dịch vụ đại diện) Proxy service code đặc biệt cài đặt cổng (gateway) cho ứng dụng Nếu người quản trị mạng không cài đặt proxy code cho ứng dụng đó, dịch vụ tương ứng khơng cung cấp khơng thể chuyển thơng tin qua Firewall Ngồi ra, proxy code định cấu hình để hỗ trợ số đặc điểm ứng dụng mà người quản trị mạng cho chấp nhận từ chối đặc điểm khác Bảo mật mạng máy tính Firewall ĐỒ ÁN TỐT NGHIỆP Trang 35/50 Một cổng ứng dụng thường coi pháo đài (bastion host), thiết kế đặt biệt để chống lại cơng từ bên ngồi Những biện pháp đảm bảo an ninh bastion host là: Bastion host ln chạy version an tồn (secure version) phần mềm hệ thống (operating system) Các version an tồn thiết kế chun cho mục đích chống lại công vào hệ điều hành (operating system), đảm bảo tích hợp Firewall Chỉ dịch vụ mà người quản trị mạng cho cần thiết cài đặt bastion host, đơn giản dịch vụ khơng cài đặt, khơng thể bị cơng Thơng thường, số giới hạn ứng dụng cho dịch vụ Telnet, DNS, FTP, SMTP xác thực user cài đặt bastion host Bastion host yêu cầu nhiều mức độ xác thực khác nhau, ví dụ user password hay smart card Mỗi proxy đặt cấu hình phép truy nhập số máy chủ định Điều có nghĩa lệnh đặc điểm thiết lập cho proxy với số máy chủ toàn hệ thống Mỗi proxy trì nhật ký ghi chép lại tồn chi tiết giao thơng qua nó, kết nối, khoảng thời gian kết nối Nhật ký có ích việc tìm theo dấu vết hay ngăn chặn kẻ phá hoại Mỗi proxy độc lập với proxy khác bastion host Điều cho phép đơn giản trình cài đặt proxy mới, hay tháo gỡ proxy có vấn đề Ví dụ: Telnet Proxy Ví dụ người dùng bên (gọi outside client) muốn sử dụng dịch vụ telnet để kết nối vào hệ thống mạng qua mơt bastion host có telnet proxy Q trình xảy sau: - Outside client telnets đến bastion host Bastion host kiểm tra mật (password), hợp lệ outside client phép vào giao diện telnet proxy Bảo mật mạng máy tính Firewall ĐỒ ÁN TỐT NGHIỆP Trang 36/50 Telnet proxy cho phép tập nhỏ lệnh telnet, định máy chủ nội outside client phép truy nhập - Outside client máy chủ đích telnet proxy tạo kết nối riêng tới máy chủ bên chuyển lệnh tới máy chủ uỷ quyền outside client Outside client tin telnet proxy máy chủ thật bên trong, máy chủ bên tin telnet proxy client thật 1.1.1.25 Ưu điểm hạn chế Ưu điểm: Cho phép người quản trị mạng hoàn toàn điều khiển dịch vụ mạng, ứng dụng proxy hạn chế lệnh định máy chủ truy nhập dịch vụ Cho phép người quản trị mạng hoàn toàn điều khiển dịch vụ cho phép, vắng mặt proxy cho dịch vụ tương ứng có nghĩa dịch vụ bị khoá Cổng ứng dụng cho phép kiểm tra độ xác thực tốt, có nhật ký ghi chép lại thơng tin truy nhập hệ thống Luật lệ filltering (lọc) cho cổng ứng dụng dễ dàng cấu hình kiểm tra so với lọc gói Hạn chế: Yêu cầu users biến đổi (modify) thao tác, modify phần mềm cài đặt máy client cho truy nhập vào dịch vụ proxy 1.1.34 Cổng vòng (Circuit–Level Gateway) Bảo mật mạng máy tính Firewall ĐỒ ÁN TỐT NGHIỆP Trang 37/50 HÌNH 6- 7: KẾT NỐI QUA CỔNG VỊNG (CIRCUIT- LEVEL GATEWAY).[6] Cổng vòng chức đặc biệt thực đươc cổng ứng dụng Cổng vòng đơn giản chuyển tiếp (relay) kết nối TCP mà không thực hành động xử lý hay lọc gói Hình minh hoạ hành động sử dụng nối telnet qua cổng vòng Cổng vòng đơn giản chuyển tiếp kết nối telnet qua Firewall mà không thực kiểm tra, lọc hay điều khiển thủ tục telnet Cổng vòng làm việc sợi dây, chép byte kết nối bên (inside connection) kết nối bên (outside connection) Tuy nhiên, kết nối xuất từ hệ thống Firewall, che dấu thơng tin mạng nội Cổng vòng thường sử dụng cho kết nối ngoài, nơi mà nhà quản trị mạng thật tin tưởng người dùng bên Ưu điểm lớn bastion host cấu hỗn hợp cung cấp cổng ứng dụng cho kết nối đến, cổng vòng cho kết nối Điều làm cho hệ thống Firewall dễ dàng sử dụng cho người mạng nội muốn trực tiếp truy nhập tới dịch vụ Internet, cung cấp chức Firewall để bảo vệ mạng nội từ cơng bên ngồi 1.19 Các loại Firewall thực tế: Trong thực tế cơng ty cần tăng tính bảo mật băng cách sử dụng Firewall phần cứng thường dùng dòng cisco như: - Cisco PIX: loại PIX 5501, 5515, 5530… Cisco ASA: ASA 5510, ASA 5520, ASA 5550… Cisco Firewall Services Module (FWSM) Cisco catalyst router 6000, 6500 ,7000 series switchs Bảo mật mạng máy tính Firewall ĐỒ ÁN TỐT NGHIỆP Trang 38/50 CHƯƠNG MƠ PHỎNG 1.20 Hướng mơ Giả lập mơ hình cơng ty nhỏ với chi nhánh Công ty kết nối VPN site to site nhằm trao đổi liệu qua lại Đặt firewall vị trí mơi trường internet hệ thống mạng Sử dụng Cisco ASDM để giám sát hoạt động liệu vào công ty Nhằm ngăn chặn xâm nhập bất hợp pháp Cũng giám sát hoạt động vào Bảo mật mạng máy tính Firewall ĐỒ ÁN TỐT NGHIỆP Trang 39/50 1.21 Tiến hành mơ HÌNH 7- 1: MƠ HÌNH TRÊN GNS3 Giải thích cấu hình: - Lan_site_A: Tương đương với máy chủ đặt chi nhánh A Có card mạng ảo Lan Địa IP: 192.168.10.10/24 Gateway: 192.168.10.1 - Lan_site_B: Tương đương với máy chủ đặt chi nhánh B Địa IP: 192.168.20.10/24 Gateway:192.168.20.1 - FirewallSiteA: firewall đặt Site A, tương ứng chi nhánh A Địa IP inside: 192.168.10.1 gắn với cổng E0 Địa IP outside: 200.10.10.20 gắn với cổng E1 Bảo mật mạng máy tính Firewall ĐỒ ÁN TỐT NGHIỆP Trang 40/50 HÌNH 7- 2: VMWARE FIREWALLSITE A - FirewallSiteB: firewall đặt Site B, tương ứng chi nhánh B Địa IP inside: 192.168.20.1 gắn với cổng E0 Địa IP outside: 200.10.10.21 gắn với cổng E1 HÌNH 7- 3: VMWARE FIREWALLSITE B CHƯƠNG 1.22 Kết Bảo mật mạng máy tính Firewall KẾT QUẢ VÀ ĐÁNH GIÁ ĐỒ ÁN TỐT NGHIỆP Trang 41/50 HÌNH 8- 1: QUAN SÁT HOẠT ĐỘNG CỦA FIREWALL TRÊN ADSM 1.23 Đánh giá Ưu điểm mơ hình: - site nối với thơng qua VPN site to site nên tránh cơng từ ngồi mơi trường mạng cơng ty - Quản trị viên giám sát hoạt động hệ thống mạng thông qua giao diện người dùng Đồng thời ngăn chặn giao thức qua lại giữ site Nhược điểm: - Không thể chặn dãy IP ngồi mạng Local cơng ty Vì cấu hình máy có hạn, nên mơ hình lan mạng LAN đơn giản, chưa thể ngăn chặn nhập nhập từ nội Chỉ ngăn chặn từ môi trường internet Tài liệu tham khảo: Tiếng Việt [1] Tống Văn Ơn, Hoàng Đức Hải, “Giáo trình cấu trúc mạng máy tính”, tr 14-54 Bảo mật mạng máy tính Firewall ĐỒ ÁN TỐT NGHIỆP Trang 42/50 [2] Trung Tâm Tin Học VNPRO, “Hướng Dẫn Học CCNA Routing & Switching”, Ch 3, Tr – 34 [3] Trung Tâm Tin Học VNPRO, “CCNA SEC LABPRO”, “Firewall”, Tr 79 – 54 [4] “Các viết mạng máy tính Firewall” – Tham khảo qua Internet Tiếng Anh [5] William Stallings, 123 [6] Cisco, “Network and Internetwork Security”, Pg 87- “CCSP SND 642-551 Network Security Fundamentals(2005)”, “Firewall site to site”, Pg 145- 155 [7] Barbasa Fraser, “Security Fundamentals”,Pg 4-31, Ebook [8] Cisco,“Cisco ASA and PIX Firewall Handbook(2005)” [9] Cisco,“CCSP SND 642-551 Network Security Fundamentals(2005)” PHỤ LỤC CISCOASA1: hostname ASA1 Bảo mật mạng máy tính Firewall ĐỒ ÁN TỐT NGHIỆP Trang 43/50 conf t int e ip add 200.10.10.10 255.255.255.252 nameif outside no sh int mana 0/0 ip add 192.168.10.1 255.255.255.0 nameif inside no sh route outside 0 200.10.10.11 CISCOASAB: Int mana 0/0 Nameif inside Security-level 100 Ip add 192.168.20.0 255.255.255.0 No sh Int eth Nameif outside Se-level Ip add 200.10.10.21/30 No sh Route outside 0 200.10.10.10 object network LocalNetwork subnet 192.168.10.0 255.255.255.0 exit object network RemoteNetwork Bảo mật mạng máy tính Firewall ĐỒ ÁN TỐT NGHIỆP Trang 44/50 subnet 192.168.20.0 255.255.255.0 access-list Site1-to-Site2 extended permit ip object LocalNetwork object RemoteNetwork access-list NAT extended permit ip object LocalNetwork object RemoteNetwork nat (inside) access-list NAT crypto ikev1 policy Authentication pre-shared encryption aes-256 hash sha group lifetime 86400 (Hom truoc lam den dayden day) bi loi dong “nat (inside) access-list NAT” (config) crypto ipsec ikev1 transform-set ASA1Tranform-set esp-aes-256 espsha-hmac isakmp identity address crypto ikev1 enable outside tunnel-group 200.10.10.11 type ipsec-l2l tunnel-group 200.10.10.11 ipsec-attributes ikev1 pre-shared-key cisco123 Exit Crypto map ASA1VPN match addess Site1-to-Site2 Crypto map ASA1VPN set peer 200.10.10.11 Crypto map ASA1VPN set ikev1 transform-set ASA1Transform-set Crypto map ASA1VPN set security-assciation lifetime seconds 28800 Bảo mật mạng máy tính Firewall ĐỒ ÁN TỐT NGHIỆP Trang 45/50 Crypto map ASA1VPN set pfs group2 Crypto map ASA1VPN interface outside Wr Debug crypto ikev1 Debug crypto ipsec Bảo mật mạng máy tính Firewall ... tên máy chủ, máy đầu cuối (end system) Các máy tính nối với mạng truyền thông con, hay mạng (subnet) Nhiệm vụ mạng truyền tải thông điệp từ máy chủ sang máy chủ khác Bảo mật mạng máy tính Firewall. .. sau kiểm tra tính xác thực thực thể yêu cầu truy nhập Trên thực tế, Firewall thể khác nhau: phần mềm phần cứng chuyên dùng, sử dụng máy tính mạng máy tính Theo Bảo mật mạng máy tính Firewall ĐỒ... ngành nghề, cơng việc máy tính mạng máy tính đóng vai trò quan trọng Cùng với phát triển mạng máy tính, vấn đề bảo mật thông tin, ngăn chặn xâm nhập, đánh cắp liệu máy tính, liệu thơng tin cá