Đồ án tốt nghiệp chuyên ngành Mạng Máy Tính MỤC LỤC MỤC LỤC DANH MỤC CÁC HÌNH VẼ THÔNG TIN KẾT QUẢ NGHIÊN CỨU MỞ ĐẦU .8 LỜI CẢM ƠN .9 CHƯƠNG TỔNG QUAN VỀ TƯỜNG LỬA 10 1.1 Các vấn đề an ninh mạng .10 1.2 Các phương thức công .12 1.2.1 Mã độc 12 1.2.2 Tấn công từ chối dịch vụ 14 1.2.3 Tấn công lỗ hổng bảo mật web 15 1.2.4 Sử dụng Proxy công mạng 16 1.2.5 Tấn công dựa vào yếu tố người 17 1.3 Chính sách an ninh mạng .18 1.3.1 Chính sách an tồn thơng tin 18 1.3.2 Chính sách áp dụng phổ biến 20 1.4 Bức tường lửa 21 1.4.1 Khái niệm 21 1.4.2 Chức tường lửa 21 1.4.3 Phân loại 23 1.4.4 Các sản phẩm firewall 35 1.5 Kết luận chương 37 CHƯƠNG HỆ THỐNG FIREWALL ASA 38 2.1 Giới thiệu .38 2.2 Dòng sản phẩm firewall ASA Cisco 39 2.2.1 ASA 5505 39 Trần Văn Hiếu Lớp Mạng máy tính K57 Đồ án tốt nghiệp chuyên ngành Mạng Máy Tính 2.2.2 ASA 5510, 5520 5540 .40 2.2.3 ASA 5550 41 2.2.4 ASA 5580 41 2.3 Cơ chế hoạt động 42 2.4 Các chức firewall ASA 43 2.4.1 Quản lý file 43 2.4.2 Mức độ bảo mật 43 2.4.3 Điều khiển truy cập mạng 45 2.4.4 Giao thức định tuyến 51 2.4.5 Khả chịu lỗi dự phòng 53 2.4.6 Quản lý chất lượng dịch vụ 55 2.4.7 Phát xâm nhập 57 2.4.8 Một vài chức khác 61 2.5 Kết luận chương 63 CHƯƠNG THIẾT KẾ VÀ XÂY DỰNG MÔ PHỎNG HỆ THỐNG FIREWALL ASA 64 3.1 Đặt vấn đề 64 3.1.1 Nhu cầu bảo mật .64 3.1.2 Mơ hình hệ thống 65 3.2 Công cụ sử dụng 67 3.3 Giả lập firewall ASA GNS3 67 3.3.1 Cài đặt GNS3 68 3.3.2 Giả lập firewall ASA 69 3.4 Thiết kế hệ thống mô 71 3.4.1 Giải pháp bảo mật 71 3.4.2 Chức firewall ASA 72 3.4.3 Triển khai xây dựng hệ thống .73 Trần Văn Hiếu Lớp Mạng máy tính K57 Đồ án tốt nghiệp chuyên ngành Mạng Máy Tính 3.4.4 Kết kiểm tra hệ thống 78 3.5 Kết luận chương 81 KẾT LUẬN CHUNG 82 TÀI LIỆU THAM KHẢO 83 Trần Văn Hiếu Lớp Mạng máy tính K57 Đồ án tốt nghiệp chun ngành Mạng Máy Tính DANH MỤC CÁC HÌNH VẼ Hình 1-1: Mơ hình firewall 21 Hình 1-2 : Simple Access List Sample Network 28 Hình 1-3: Simple Access List 28 Hình 1-4: NAT firewall 29 Hình 1-5: Circuit-level firewall 29 Hình 1-6: Proxy firewall 30 Hình 1-7: Stateful firewall 30 Hình 1-8: Mơ hình Dual-homed host 31 Hình 1-9: Mơ hình Screened Host 33 Hình 1-10: Mơ hình Screened subnet 34 Hình 2-1: ASA 5505 39 Hình 2-2: ASA 5510 40 Hình 2-3: ASA 5550 41 Hình 2-4: ASA 5580 42 Hình 2-5: Mơ tả q trình lọc gói tường lửa 46 Hình 2-6: Mô tả chế PAT (NAT overload) 50 Hình 2-7: Minh họa liên kết chịu lỗi 54 Hình 2-8: Gói tin qua công cụ QoS 56 Hình 3-1: Sơ đồ hệ thống mạng dung firewall ASA 65 Hình 3-2: Cài đặt GNS3 68 Hình 3-3: Cài đặt GNS3 68 Hình 3-4: Cài đặt GNS3 69 Hình 3-5: Hồn tất cài đặt GNS3 69 Hình 3-6: Giả lập firewall ASA 70 Hình 3-7: Hồn tất giả lập firewall ASA 70 Hình 3-8: Mơ hình ASA GNS3 73 Trần Văn Hiếu Lớp Mạng máy tính K57 Đồ án tốt nghiệp chun ngành Mạng Máy Tính Hình 3-9: Giao diện firewall ASA 78 Hình 3-10: Bảng NAT Cisco ASA 78 Hình 3-11: FTPserver Internet thành công 79 Hình 3-12: Webserver Internet thành công 79 Hình 3-13: Kết nối từ mạng nội Internet thành cơng .80 Hình 3-14: Kiểm tra kết nối vùng outside inside 80 Trần Văn Hiếu Lớp Mạng máy tính K57 Đồ án tốt nghiệp chuyên ngành Mạng Máy Tính THƠNG TIN KẾT QUẢ NGHIÊN CỨU Thông tin chung Tên đề tài: Nghiên cứu triển khai hệ thống firewall ASA Sinh viên thực hiện: Trần Văn Hiếu Lớp: Mạng máy tính K57 Hệ đào tạo: Chính quy Điện thoại: 0979156622 Email: mr.tranhieu2905@gmail.com Thời gian thực hiện: 2017 Mục tiêu Để bảo vệ hệ thống chống lại nguy từ mạng Internet bên ngoài, giải pháp bảo mật ln trọng có đóng góp to lớn bảo mật mạng Trong số giải pháp đó, hệ thống sử dụng firewall phương pháp bảo mật có khả chống lại kiểu công mới, xử lý vấn đề lỗ hổng từ bên hỗ trợ tốt cho phương pháp bảo mật truyền thống Đồ án hướng tới việc nghiên cứu triển khai hệ thống firewall ASA Đồ án tổng hợp lý thuyết bảo mật nói chung hệ thống firewall ASA nói riêng Đồ án đưa phương pháp thiết kế xây dựng phương án bảo mật hệ thống firewall phương thức cài đặt cấu hình cho hệ thống mơ sử dụng firewall ASA Nội dung Đồ án gồm chương: Chương 1: Tổng quan tường lửa Chương 2: Hệ thống firewall ASA Chương 3: Thiết kế xây dựng mô hệ thống firewall ASA Kết đạt  Báo cáo đồ án tốt nghiệp gồm: Đồ án tốt nghiệp video quay lại bước triển khai cấu hình  Lý thuyết vấn đề an ninh mạng, phương thức công, tường lửa; giới thiệu firewall ASA, chế hoạt động chức firewall ASA Trần Văn Hiếu Lớp Mạng máy tính K57 Đồ án tốt nghiệp chuyên ngành Mạng Máy Tính  Thiết kế xây dựng phương án bảo mật hệ thống firewall ASA  Minh họa phương thức giả lập firewall ASA bước triển khai cấu hình ASA Trần Văn Hiếu Lớp Mạng máy tính K57 Đồ án tốt nghiệp chuyên ngành Mạng Máy Tính MỞ ĐẦU Tổng quan tình hình nghiên cứu thuộc lĩnh vực đề tài An ninh thơng tin nói chung an ninh mạng nói riêng vấn đề quan tâm không Việt Nam mà tồn giới Cùng với phát triển nhanh chóng mạng Internet, việc đảm bảo an ninh cho hệ thống thông tin trở nên cấp thiết hết Trong lĩnh vực an ninh mạng, firewall kỹ thuật tích hợp vào hệ thống mạng để chống truy cập trái phép, nhằm bảo vệ nguồn thông tin nội hạn chế xâm nhập không mong muốn vào hệ thống Firewall coi hệ thống phòng thù mà kiểm sốt tất luồng lưu thong nhập xuất Xây dựng hệ thống an ninh mạng sử dụng firewall giải pháp nhằm nâng cao tính bảo mật hệ thống Hiện firewall ASA nghiên cứu, phát triển sử dụng rộng rãi Tính cấp thiết, ý nghĩa khoa học thực tiễn đề tài Với bùng nổ ngày mạnh mẽ mạng máy tính Internet, quốc gia, tổ chức, công ty tất người kết nối vào Internet để khai thác truyền bá thơng tin Chính thơng tin có tầm quan trọng lớn nên việc bảo vệ, làm nguồn tài nguyên thông tin mạng đã, vấn đề cần thiết chuyên gia an ninh mạng mà với tất người tham gia vào mạng máy tính Internet Vì việc sử dụng tường lửa cho mạng máy tính vấn đề cần thiết Đề tài nghiên cứu tổng quan tường lửa, cách thức cơng hệ thống, sách an ninh mạng; giới thiệu firewall ASA, chức cách cấu hình firewall ASA cho hệ thống Ứng dụng firewall ASA nhằm kiểm sốt luồng thơng tin qua nó, cho phép người dùng hợp lệ qua chặn người dùng không hợp lệ, bảo vệ mạng nội bộ, chống virus Ứng dụng hỗ trợ tốt cho phương pháp bảo mật truyền thống khác Đề tài triển khai firewall ASA phù hợp với thực tiễn, nên ứng dụng rộng rãi phù hợp với doanh nghiệp vừa nhỏ Trần Văn Hiếu Lớp Mạng máy tính K57 Đồ án tốt nghiệp chuyên ngành Mạng Máy Tính LỜI CẢM ƠN Em xin bày tỏ cảm ơn sâu sắc tới tất người: gia đình, thầy cơ, bạn bè Trong trình học tập đặc biệt thời gian thực đồ án tốt nghiệp, em nhận động viên giúp đỡ to lớn để hoàn thành đồ án Em xin chân thành cảm ơn ThS Đào Anh Thư, người định hướng cho em việc lựa chọn đề tài, đưa nhận xét quý giá trực tiếp hướng dẫn, hỗ trợ em q trình nghiên cứu hồn thành luận văn tốt nghiệp Em xin cảm ơn thầy cô mơn Mạng Máy Tính, Khoa Cơng nghệ thơng tin, Trường Đại học Mỏ- Địa chất tận tình giảng dạy em suốt thời gian học tập trường Cuối cùng, em xin gửi lời cảm ơn đặc biệt tới gia đình mình, nơi động viên em lớn, cổ vũ nhiệt tình động lực để em nỗ lực học tập, nghiên cứu hoàn thiện thân Hà Nội, ngày tháng năm 2017 Trần Văn Hiếu Trần Văn Hiếu Lớp Mạng máy tính K57 Đồ án tốt nghiệp chuyên ngành Mạng Máy Tính CHƯƠNG TỔNG QUAN VỀ TƯỜNG LỬA 1.1 Các vấn đề an ninh mạng Các công mạng có chủ đích gây thiệt hại vơ to lớn Chính vậy, an ninh mạng vấn đề nóng bỏng cấp thiết Năm 2016, mức thiệt hại virus máy tính gây người dùng Việt Nam lên tới 10.400 tỷ, vượt qua mức 8.700 tỷ đồng năm 2015 Đây kết từ chương trình đánh giá an ninh mạng Tập đồn cơng nghệ Bkav thực vào tháng 12/2016 Mã độc mã hóa liệu Ransomware, virus lây qua USB, vấn nạn tin nhắn rác nguy từ cơng có chủ đích APT chủ điểm nóng năm 2016  Bùng nổ mã độc mã hóa liệu Ransomware Đúng dự báo tổng kết cuối năm 2015 chuyên gia Bkav, năm 2016 ghi nhận bùng nổ mã độc mã hóa liệu tống tiền ransomware Thống kê từ hệ thống giám sát virus Bkav cho thấy, có tới 16% lượng email lưu chuyển năm 2016 email phát tán ransomware, nhiều gấp 20 lần năm 2015 Như trung bình 10 email nhận năm 2016 người sử dụng gặp 1,6 email chứa ransomware, số đáng báo động Ransomware chuyên mã hóa file liệu máy, khiến người sử dụng mở file không trả tiền chuộc cho hacker Số tiền chuộc khổng lồ hacker kiếm nguyên nhân dẫn tới bùng nổ loại mã độc nguy hiểm Để phòng tránh, tốt người dùng nên trang bị cho phần mềm diệt virus để bảo vệ tự động, mở file tải từ email môi trường cách ly an toàn Safe Run  Virus USB chưa hết thời Việc cắt bỏ tính Auto Run hệ điều hành Microsoft không làm cho virus USB trở nên hết thời Theo chương trình đánh giá an ninh mạng 2016 Bkav, tỷ lệ USB bị nhiễm virus năm 2016 mức cao 83%, không giảm so với 2015 Lý giải điều này, chuyên gia Bkav phân tích, nỗ lực Microsoft hạn chế dòng virus lây trực tiếp qua Auto Run W32.AutoRunUSB Tuy nhiên, tăng trưởng mạnh dịng W32.UsbFakeDrive, dịng virus khơng cần AutoRun lây nhiễm với cú "click" khiến cho USB tiếp tục nguồn Trần Văn Hiếu 10 Lớp Mạng máy tính K57 Đồ án tốt nghiệp chuyên ngành Mạng Máy Tính Hình 3-6: Giả lập firewall ASA Bước 1: Trong hộp thoại QEMU VM type, chọn type ASA 8.4(2), chọn Next Bước 2: Trong hộp thoai QEMU name, chọn Name ASA, chọn Next Hình 3-7: Hồn tất giả lập firewall ASA Bước 3: Trong hộp thoai QEMU binary and memory, chọn dung lượng RAM ASA sử dụng 1024, chọn Next Bước 4: Trong hộp thoại ASA VM, Browse hai file initrd vmlinuz, chọn Finish Firewall ASA Cisco phiên 8.4.2 trở lên có hỗ trợ tính Identity Firewall tính hay mà dòng Next-generation firewall sử dụng, đặc biệt hãng Palo Alto dẫn đầu mảng Palo Alto hãng đưa khái niệm tường lửa hệ Không hoạt động Layer loại tường lửa hệ trước Palo Alto Firewall hoạt động Trần Văn Hiếu 70 Lớp Mạng máy tính K57 Đồ án tốt nghiệp chuyên ngành Mạng Máy Tính tầng ứng dụng, cung cấp giải pháp toàn diện cho người quản trị đảm bảo an ninh quản lý hệ thống Palo Alto thiết bị tường lửa dựa việc xác thực người dùng (User-ID), xác thực dựa ứng dụng (App-ID) xác thực thông qua nội dung (Content-ID) Với ứng dụng công cụ công ngày đa dạng, với thiết bị tường lửa thông thường dựa IP, Port,… khơng thể xác định ngăn chặn Hơn với chế xác thực dựa theo User-ID, App-ID, Content-ID,…giúp cho người quản trị dễ dàng nhận dạng ứng dụng, nội dung bên luồng liệu với mức độ nguy hiểm từ ngăn chặn kịp thời, có khả xác định rõ mối nguy đe dọa xuất phát từ người sử dụng Chính mà gọi Next-generation Firewall 3.4 Thiết kế hệ thống mô 3.4.1 Giải pháp bảo mật Để giải vấn đề trên, hệ thống cần bổ sung thiết bị phần cứng phần mềm nhằm ngăn chặn nguy công Đối với cơng từ ngồi Internet vào hệ thống mạng nội server cần:  Che giấu thông tin hệ thống mạng nội bộ: sử dụng (NAT,PAT) định tuyến cho mạng NAT giúp dấu tất IP bên LAN với bên ngồi, tránh dịm ngó hackers NAT có tính linh hoạt dễ dàng việc quản lý NAT giúp cho home user doanh nghiệp nhỏ tạo kết nối với internet cách dễ dàng hiệu giúp tiết kiệm vốn đầu tư  Ngăn chặn truy cập bất hợp pháp đến hệ thống mạng nội server: chia vlan; sử dụng thiết bị phát xâm nhập, phát phần mềm độc hại Đối với hệ thống mạng nội cần chia thành nhiều miền quảng bá để quản lý khoanh vùng có virut Tuy nhiên, để tăng tính bảo mật ổn định hệ thống giải pháp sử dụng thiết bị phần cứng lựa chọn thích hợp Ngồi trang thiết bị có cần trang Trần Văn Hiếu 71 Lớp Mạng máy tính K57 Đồ án tốt nghiệp chuyên ngành Mạng Máy Tính bị thêm thiết bị firewall ASA Cisco, switch có khả chia VLAN nhằm chia mạng nội thành nhiều miền quảng bá 3.4.2 Chức firewall ASA Sử dụng Firewall cứng (Cisco firewall ASA) để bảo vệ hệ thống server mạng nội Firewall chia hệ thống mạng làm vùng có mức độ ưu tiên bảo mật khác nhau:  Outside: vùng Internet, có mức độ ưu tiên bảo mật thấp  Inside: mạng nội bộ, vùng có mức độ ưu tiên bảo vệ cao nhất, máy vùng inside có khả truy cập vùng outside Cisco ASA bảo vệ mạng bên (inside), khu phi quân (DMZ) mạng bên (outside) cách kiểm tra tất lưu lượng qua Có thể xác định sách quy tắc cho lưu lượng cho phép không cho phép qua interface  Phát xâm nhập trái phép, giảm nguy bị cơng, giảm chi phí thiệt hại, tránh gián đoạn hệ thống  Cơ chế theo dõi trạng thái kết nối, thực việc chuẩn hóa giao thức TCP Cisco ASA triển khai vùng biên mạng có trách nhiệm bảo vệ tài nguyên nội doanh nghiệp liệu khỏi mối đe dọa từ bên cách ngăn chặn truy cập vào từ Internet Bảo vùng LAN, DMZ khỏi cơng từ Internet Kiểm sốt lưu lượng truy cập Internet người dùng Để triển khai, thiết bị bảo mật cấu hình để thi hành sách truy cập, theo dõi trạng thái kết nối kiểm tra tải trọng gói theo cácu cầu sau: • Từ chối yêu cầu kết nối từ Internet tới nguồn nội mạng • Cho phép truy cập Internet cho người dùng nội cho giao thức cho phép theo sách doanh nghiệp (ví dụ HTTP HTTPS) • Cho phép SSL truy cập Internet để cập nhật quản trị • Cho phép người dùng truy cập vào dịch vụ DMZ trang web công ty, E-mail (HTTP, SMTP, IMAP DNS) Trần Văn Hiếu 72 Lớp Mạng máy tính K57 Đồ án tốt nghiệp chuyên ngành Mạng Máy Tính • Hạn chế truy cập Internet vào DMZ, cho giao thức máy chủ cần thiết như: HTTP đến máy chủ web, DNS tới máy chủ DNS • Hạn chế kết nối khởi tạo từ DMZ với giao thức: DNS từ máy chủ DNS, SMTP từ máy chủ thư, HTTP/SSL Cisco • Cho phép kiểm tra trạng thái cho giao thức sử dụng để đảm bảo lưu lượng truy cập trở lại tường lửa • Thực dịch địa mạng (NAT) dịch địa cổng (PAT) để bảo vệ không gian địa nội từ Internet 3.4.3 Triển khai xây dựng hệ thống 3.4.3.1 Chức thực Hình 3-8: Mơ hình ASA GNS3 Vùng Inside có địa chỉ: 11.0.0.0/8 Vùng Outside có địa chỉ: 200.0.0.0/8 Vùng DMZ có địa chỉ: 10.0.0.0/8 Trần Văn Hiếu 73 Lớp Mạng máy tính K57 Đồ án tốt nghiệp chuyên ngành Mạng Máy Tính Gán địa Internet nguồn interface loopback có địa : 100.100.100.11/24 Triển khai xây dựng hệ thống phần mềm giả lập GNS3 sử dụng Cisco ASA ta thực công việc sau:  Cấu hình thiết bị: ASA, Router  Thực lệnh định tuyến phép miền inside, outside kết nối truyền thơng với  Thực NAT, PAT địa cổng vùng inside truy cập vùng outside 3.4.3.2 Cấu hình chi tiết a Cấu hình Cấu hình cho interface ASA, chia theo vùng DMZ, Inside, Outside: Ciscoasa > enable Ciscoasa# configure terminal Ciscoasa(config)# interface GigabitEthernet0 Ciscoasa (config-if)# nameif dmz Ciscoasa (config-if)# security-level 50 Ciscoasa (config-if)# ip address 10.0.0.1 255.0.0.0 Ciscoasa (config-if)# no shutdown Ciscoasa (config-if)#exit Ciscoasa (config)# interface GigabitEthernet1 Ciscoasa (config-if)# nameif outside Ciscoasa (config-if)# security-level Ciscoasa (config-if)# ip address 200.0.0.1 255.0.0.0 Ciscoasa (config-if)# no shutdown Ciscoasa (config)# interface GigabitEthernet2 Ciscoasa (config-if)# nameif inside Ciscoasa (config-if)# security-level 100 Trần Văn Hiếu 74 Lớp Mạng máy tính K57 Đồ án tốt nghiệp chuyên ngành Mạng Máy Tính Ciscoasa (config-if)# ip address 11.0.0.1 255.0.0.0 Ciscoasa (config-if)# no shutdown Ciscoasa (config-if)# exit Cấu hình cho Router: R1# configure terminal R1(config)#interface fastEthernet 0/0 R1(config-if)#ip address 200.0.0.2 255.0.0.0 R1(config-if)#no shutdown R1(config-if)#exit R1(config)#interface fastEthernet 0/1 R1(config-if)#ip address 100.100.100.1 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#exit b Chuyển tiếp lưu lượng Trong mơ hình triển khai, firewall ASA có nhiệm vụ chuyển tiếp cho tất mạng nội ngồi Internet Việc định tuyến tùy thuộc vào nhu cầu mà ta sử dụng định tuyến tĩnh (static route default-route) định tuyến động (RIP, EIGRP, OSPF) Tuy nhiên, với thiết bị định tuyến công ty quy mô không lớn, đinh tuyến tĩnh ưu tiên sử dụng Trong mơ hình ta sử dụng định tuyến mặc định (default-route) mạng nội đến Enterprise router ciscoasa(config)# route outside 0.0.0.0 0.0.0.0 200.0.0.2 c Access Control List ASA mặc định cho phép traffic từ nơi có security-level cao đến nơi có security-level thấp Cấu hình ACL cho phép tin ICMP echo-reply gửi vào cổng outside access-list acl_DMZ extended permit icmp any any echo-reply Tương tự có access list outside interface phép gói tin ICMP qua: Trần Văn Hiếu 75 Lớp Mạng máy tính K57 Đồ án tốt nghiệp chuyên ngành Mạng Máy Tính access-list acl_outside extended permit icmp any any echo-reply Với access-list , ta thiết lập access-group tương ứng access-group acl_DMZ in interface outside access-group acl_outside in interface outside Trong sơ đồ (hình 3-2), cơng ty xây dựng hệ thống Web server FTP server để hỗ trợ cho hoạt động công ty Ở đây, ta xây dựng Web server IIS FTP server vùng DMZ NAT bên cho phép tất máy tính ngồi Internet truy cập Web server cơng ty Để máy bên ngồi truy cập được, ta tạo access control list phép HTTP FTP truy cập vào: access-list icmp-in extended permit tcp any any eq www access-list icmp-in extended permit tcp any any access-list icmp-in extended permit tcp any any eq ftp d Auto NAT Như mơ hình áp dụng phổ biến hệ thống mạng các công ty, tất traffic từ mạng bên bên sử dụng chế dịch địa (PAT) Tất mạng mơ hình gồm 11.0.0.0/8 10.0.0.0/8 PAT Điều giúp tăng tính bảo mật hệ thống mạng  Đối với vùng Inside: o Cấu hình Object Network: ciscoasa(config)# object network inside ciscoasa(config-network-object)#subnet 11.0.0.0 255.0.0.0 o Cấu hình PAT (dùng địa cổng outside) ciscoasa(config)# object network inside ciscoasa(config-network-object)# nat (inside,outside) dynamic interface  Đối với vùng DMZ: o Cấu hình Object Network ciscoasa(config)# object network dmz ciscoasa(config-network-object)#subnet 10.0.0.0 255.0.0.0 Trần Văn Hiếu 76 Lớp Mạng máy tính K57 Đồ án tốt nghiệp chuyên ngành Mạng Máy Tính o Cấu hình PAT (dùng địa cổng outside) ciscoasa(config)# object network dmz ciscoasa(config-network-object)# nat (dmz,outside) dynamic interface e Cài đặt ASDM Để dễ dàng quản lý, cấu hình firewall ASA, Cisco phát triển tool ASDM dựa tảng web giúp quản trị viên theo dõi trạng thái thiết bị hoạt động firewall Đầu tiên ta cần copy file cài đặt ASDM vào firewall ASA qua TFTP ciscoasa# copy tftp: flash: Address or name of remote host []? 100.100.100.11 Source filename []? asdm-647.bin Destination filename [asdm-647.bin]? Accessing tftp://100.100.100.11/asdm-647.bin !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Writing current ASDM file disk0:/asdm-647.bin !!!!!!!!!!!!!!!!!!!!!!!!!! !!!! !!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Cấu hình load file ASDM flash ciscoasa(config)# asdm image flash:asdm-647.bin ciscoasa(config)# http server enable ciscoasa(config)#http 10.0.0.0 255.0.0.0 dmz Trần Văn Hiếu 77 Lớp Mạng máy tính K57 Đồ án tốt nghiệp chuyên ngành Mạng Máy Tính Truy cập đến https://10.0.0.1 Giao diện firewall ASA Hình 3-9: Giao diện firewall ASA 3.4.4 Kết kiểm tra hệ thống Kiểm tra bảng NAT Cisco ASA Hình 3-10: Bảng NAT Cisco ASA Trần Văn Hiếu 78 Lớp Mạng máy tính K57 Đồ án tốt nghiệp chuyên ngành Mạng Máy Tính Kiểm tra NAT từ vùng DMZ ngồi Internet Hình 3-11: FTPserver Internet thành cơng Hình 3-12: Webserver Internet thành cơng Trần Văn Hiếu 79 Lớp Mạng máy tính K57 Đồ án tốt nghiệp chuyên ngành Mạng Máy Tính Kiểm tra kết nối từ vùng inside ngồi Internet Hình 3-13: Kết nối từ mạng nội Internet thành công Kiểm tra kết nối từ vùng outside vào inside Vùng outside kết nối với mạng nội Hình 3-14: Kiểm tra kết nối vùng outside inside Trần Văn Hiếu 80 Lớp Mạng máy tính K57 Đồ án tốt nghiệp chuyên ngành Mạng Máy Tính 3.5 Kết luận chương Hệ thống trước triển khai giải pháp an ninh hoạt động thiếu bảo vệ Các nguy cơng từ ngồi Internet hacker thường xun xảy ra, bên cạnh vấn đề virut lây lan nhanh chóng hệ thống mạng nội Server làm nhân viên quản trị mạng phải tốn thời gian tiền bạc để khắc phục Sau phân tích, đưa giải pháp triển khai cấu hình hệ thống an ninh sử dụng firewall ASA ta thấy hiệu rõ nét, cụ thể:  Hệ thống hoạt động an toàn, ổn định  Cisco ASA triển khai vùng biên mạng có trách nhiệm bảo vệ tài nguyên nội doanh nghiệp liệu khỏi mối đe dọa từ bên cách ngăn chặn truy cập vào từ Internet Bảo vùng LAN, DMZ khỏi cơng từ Internet Kiểm sốt lưu lượng truy cập Internet người dùng  Các Server vùng DMZ NAT sang IP khác truy cập ngồi Internet, nguy bị cơng khó Ngồi có người dùng ngồi Internet truy cập đến hệ thống Server bị kiểm tra lọc kỹ danh sách kiểm tra truy cập ACL dịch vụ khác firewall ASA Tóm lại hệ thống mạng doanh nghiệp vừa nhỏ bảo vệ an toàn nhiều sau triển khai hệ thống an ninh với thiết bị bảo mật đặc biệt firewall ASA Trần Văn Hiếu 81 Lớp Mạng máy tính K57 Đồ án tốt nghiệp chuyên ngành Mạng Máy Tính KẾT LUẬN CHUNG Nghiên cứu an ninh mạng phương thức đảm bảo an tồn cho hệ thống mạng đề tài có tính chất thực tế Đồng thời mảng kiến thức rộng nhiều điều mẻ Đề tài “Nghiên cứu triển khai hệ thống firewall ASA” đề tài xây dựng hệ thống an ninh mạng dựa sở lý thuyết nghiên cứu thực tế Nhận thấy ưu điểm mà thiết bị an ninh firewall ASA mang lại cho hệ thống mạng lớn Đề tài giúp ta hiểu rõ an ninh mạng, tường lửa firewall ASA Các model firewall ASA phù hợp với với tất hệ thống doanh nghiệp vừa nhỏ hay nhà cung cấp dịch vụ Đồ án hoàn thành mục tiêu đặt thực số chức phổ biến mà quan, doanh nghiệp sử dụng đạt hiệu định lĩnh vực bảo mật hệ thống như: chia vùng mạng bản, cấu hình NAT, PAT; cấu hình Access Control List; cài đặt ASDM để theo dõi, quản lý firewall ASA Tường lửa Cisco ASA thiết bị để đảm bảo an toàn thông tin, bảo mật hệ thống tăng suất hoạt động hệ thống nhiên mắc phải số lỗ hổng, khơng có an toàn tuyệt đối nhiên để hạn chế rủi ro nên thường xuyên cập nhật thông tin nhận hỗ trợ từ Cisco Trong tương lai, đồ án hướng tới việc thực mô thêm chức mà firewall ASA hỗ trợ triển khai thực tế cho quan, doanh nghiệp Trần Văn Hiếu 82 Lớp Mạng máy tính K57 Đồ án tốt nghiệp chuyên ngành Mạng Máy Tính TÀI LIỆU THAM KHẢO Các tài liệu Tiếng Anh [1] Dave Hucaby, Cisco ASA and PIX Firewall Handbook by, Publisher: Cisco Press – 7/1/2005 [2] Harris Andrea, “Cisco-ASA-Firewall-Fundamentals-2nd-Edition” step by step configuration tutorial (CCNA,CCNP,CCSP) [3] Richard Deal, “Cisco Asa Configuration”, Network professional’s library Các tài liệu từ Internet [4] https://whitehat.vn/threads/huong-dan-gia-lap-firewall-asa-tren-gns3-p2.8104/ [5] http://svuit.vn/threads/chapter-7-7-nat-0-and-static-nat-asa-8-2-vs-asa-8-41369/ [6] http://www.vnpro.vn/cac-loai-firewall-cua-cisco-va-cac-tinh-nang-tiep-theo/ [7] http://svuit.vn/threads/lab-2-5-how-to-install-asdm-on-asa-gns3-196/ [8] http://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/Small_Enterprise_D esign_Profile/SEDP/chap5.html Trần Văn Hiếu 83 Lớp Mạng máy tính K57 Đồ án tốt nghiệp chuyên ngành Mạng Máy Tính Trần Văn Hiếu 84 Lớp Mạng máy tính K57 ... nghiên cứu triển khai hệ thống firewall ASA Đồ án tổng hợp lý thuyết bảo mật nói chung hệ thống firewall ASA nói riêng Đồ án đưa phương pháp thiết kế xây dựng phương án bảo mật hệ thống firewall phương... cấu hình cho hệ thống mơ sử dụng firewall ASA Nội dung Đồ án gồm chương: Chương 1: Tổng quan tường lửa Chương 2: Hệ thống firewall ASA Chương 3: Thiết kế xây dựng mô hệ thống firewall ASA Kết đạt... Hiếu Lớp Mạng máy tính K57 Đồ án tốt nghiệp chuyên ngành Mạng Máy Tính THƠNG TIN KẾT QUẢ NGHIÊN CỨU Thông tin chung Tên đề tài: Nghiên cứu triển khai hệ thống firewall ASA Sinh viên thực hiện: