Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT HƯNG YÊN _______________________________ ĐỒ ÁN 5 NGÀNH: CÔNG NGHỆ THÔNG TIN CHUYÊN NGÀNH: MẠNG VÀ TRUYỀN THÔNG TÊN ĐỀ TÀI: TÌM HIỂU FIREWALL TRÊN CÔNG NGHỆ CISCO VÀ DEMO MỘT SỐ ỨNG DỤNG THỰC TIỄN Nhóm sinh viên: Phạm Thị Viên Vũ Tiến Dương GV hướng dẫn: Vi Hoài Nam Hưng yên, tháng 11, năm 2011 NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN Page 1 Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn . . . . . . . . . . . . . . . . . . . . . . Giáo viên hướng dẫn Page 2 Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN . . . . . . . . . . . . . . . . . . . . . . Giáo viên phản biện Page 3 Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn LỜI CẢM ƠN Sau gần 3 tháng nỗ lực tìm hiều và thực hiện, đồ án “ Tìm hiểu Firewall trên công nghệ Cisco và Demo một số ứng dụng thực tiễn” đã được hoàn thành, ngoài sự cố gắng hết mình của bản thân, chúng tôi còn nhận được nhiều sự động viên,khích lệ từ gia đình, thầy cô và bạn bè. Đây là một đề tài khá hay mang tính thiết thực cao. Nhóm chúng tôi đã nghiên cứu và cố gắng thiết kế một hệ thống mạng cho đơn vị hoàn chỉnh nhất bằng hết khả năng của mình. Tuy đã cố gắng hết sức song chắc chắn đề tài này không tránh khỏi những thiết sót. Rất mong nhận được sự thông cảm và chỉ bảo tận tình của các Thầy cô và các bạn. Chúng tôi xin bày tỏ lòng biết ơn chân thành nhất đến Thầy Vi Hoài Nam đã tận tâm chỉ bảo và hướng dẫn tận tình trong suốt thời gian nhóm chúng em thực hiện đề tài này. Chúng tôi cũng xin chân thành cảm ơn quý Thầy cô trong Khoa Công nghệ thông tin, trường Đại học sư phạm kỹ thuật Hưng Yên đã tận tình giảng dạy, hướng dẫn, giúp đỡ và tạo điều kiện cho chúng tôi thực hiện tốt đề tài này. Xin cảm ơn tất cả các bạn bè đã và đang giúp đỡ động viên chúng tôi trong quá trình học tập và hoàn thành đồ án. Mặc dù đã cố gắn hết sức để hoàn thành đồ án này,nhưng chắc chắn sẽ không tránh khỏi những sai sót.Chúng tôi rất mong nhận được sự thông cảm và đóng góp, chỉ bảo tận tình của quý thầy cô và bạn bè! Hưng Yên, ngày 25, tháng 11 năm 2011 Sinh viên thực hiện: Phạm Thị Viên Vũ Tiến Dương Page 4 Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn LỜI MỞ ĐẦU Trong thực tế hiện nay bảo mật thông tin đang đóng một vai trò thiết yếu chứ không còn là “thứ yếu” trong mọi hoạt động liên quan đến việc ứng dụng công nghệ thông tin. Tôi muốn nói đến vai trò to lớn của việc ứng dụng CNTT đã và đang diễn ra sôi động, không chỉ thuần túy là những công cụ (Hardware, software), mà thực sự đã được xem như là giải pháp cho nhiều vấn đề. Khởi động từ những năm đầu thập niên 90, với một số ít chuyên gia về CNTT, những hiểu biết còn hạn chế và đưa CNTT ứng dụng trong các hoạt động sản xuất, giao dịch, quản lý còn khá khiêm tốn và chỉ dừng lại ở mức công cụ, và đôi khi tôi còn nhận thấy những công cụ “đắt tiền” này còn gây một số cản trở, không đem lại những hiệu quả thiết thực cho những Tổ chức sử dụng nó. Internet cho phép chúng ta truy cập tới mọi nơi trên thế giới thông qua một số dịch vụ. Ngồi trước máy tính của mình bạn có thể biết được thông tin trên toàn cầu, nhưng cũng chính vì thế mà hệ thống máy tính của bạn có thể bị xâm nhập vào bất kỳ lúc nào mà bạn không hề được biết trước. Do vậy việc bảo vệ hệ thống là một vấn đề chúng ta đáng phải quan tâm. Người ta đã đưa ra khái niệm FireWall để giải quyết vấn đề này. Cũng có rất nhiều kiểu, và loại firewall nhưng Cisco đưa ra công nghệ bảo mật với firewall rất hữu hiệu Để làm rõ các vấn đề này thì đồ án “Tìm hiểu friewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn ” sẽ cho chúng ta cái nhìn sâu hơn về khái niệm, cũng như chức năng, cách thức bảo mật cụ thể của Firewall Cisco. Một lần nữa nhóm tôi xin chân thành cảm ơn thầy Vi Hoài Nam và các thầy cô khoa CNTT đã hướng dẫn nhóm tôi hoàn thành đồ án của mình! I. Mục tiêu Page 5 Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn Đồ án này sẽ giúp cho chúng ta biết được các khái niệm cũng như chức năng Firewall. Giúp ta biết sâu hơn về các chính sách bảo mạt Firewall của Cisco cụ thể như thế nào? Cấu hình chúng ra sao. II. Phương pháp nghiên cứu • Đọc kỹ và nắm bắt được các yêu cầu của đồ án đề ra. • Phương pháp thiết yếu nhất trong đồ án này đó là kỹ năng đọc, dịch và hiểu tài liệu Tiếng Anh • Đi sâu trong việc tìm kiếm tài liệu và trình bày một cách hợp lý nhất. • Chăm chú lắng nghe và tiếp thu những ý kiến đóng góp của giáo viên hướng dẫn. III. Bố cục * Nội dung của đồ án này được chia làm 3 chương như sau: • Chương 1: Ta tìm hiểu về tổng quan Firewall. • Chương 2: Các vấn đề bảo mật • Chương 3: Tìm hiểu sâu vào tìm hiểu Firewall của Cisco • Chương 4: Tổng quan về VPNs • Chương 5: Demo một số mô hình ứng dụng trong thực tế Page 6 Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn MỤC LỤC LỜI CẢM ƠN .4 LỜI MỞ ĐẦU .5 MỤC LỤC .7 DANH MỤC CÁC HÌNH VẼ, BẢNG BIỂU .10 DANH MỤC CÁC TỪ VIẾT TẮT .12 1.1. KHÁI NIỆM VỀ FIREWALL 13 1.1.1. Tại sao phải sử dụng một Firewall cho mạng máy tính kết nối Internet? 13 1.1.2. Sự ra đời của Firewall .14 1.1.3. Mục đích của Firewall .15 1.1.4. Các lựa chọn Firewall 19 1.1.4.1. Firewall phần cứng .19 1.1.4.2. Firewall phần mềm .19 1.2. CHỨC NĂNG CỦA FIREWALL .20 1.2.1. Firewall bảo vệ những vấn đề gì? .20 1.2.2. Firewall bảo vệ chống lại những vấn đề gì? 20 1.2.2.1. Chống lại việc Hacking .21 1.2.2.2. Chống lại việc sửa đổi mã 21 1.2.2.3. Từ chối các dịch vụ đính kèm .21 1.2.2.4. Tấn công trực tiếp 21 1.2.2.5. Nghe trộm .22 1.2.2.6. Vô hiệu hoá các chức năng của hệ thống (Deny service) 22 1.2.2.7. Lỗi người quản trị hệ thống .22 1.2.2.8. Yếu tố con người 22 1.3. MÔ HÌNH VÀ KIẾN TRÚC CỦA FIREWALL 22 1.3.1. Kiến trúc Dual - Homed host (máy chủ trung gian) 24 1.3.2. Kiến trúc Screend Host .25 Page 7 Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn 1.3.3. Kiến trúc Screened Subnet 27 1.4. PHÂN LOẠI FIREWALL .28 1.4.1. Packet Filtering Firewall 28 1.4.2. Application-proxy firewall 30 1.5. MỘT SỐ VẤN ĐỀ KHI LỰA CHỌN MỘT FIREWALL .31 1.5.1. Sự cần thiết của Firewall 31 1.5.2. Firewall điều khiển và bảo vệ gì ? .31 1.6. NHỮNG HẠN CHẾ CỦA FIREWALL 32 2.1. Nguyên tắc bảo vệ hệ thống mạng 34 2.1.1. Hoạch định hệ thống bảo vệ mạng 34 2.1.2. Mô hình bảo mật 35 2.1.3. Nâng cao mức độ bảo mật .35 2.2. Kiến trúc bảo mật của hệ thống mạng .37 2.2.1. Các mức an toàn thông tin trên mạng 37 2.2.2. Ảnh hưởng của các lỗ hổng mạng .38 CHƯƠNG 3. FIREWALL CISCO 38 3.3 Tổng quan về NAT .51 3.3.1 Địa chỉ Private .51 3.3.2 Nhu cầu của NAT 52 3.3.3 Lợi ích của NAT .52 3.3.4 Thuật ngữ và định nghĩa NAT .52 3.3.5 Một vài ví dụ điển hình NAT .53 3.4.2 Cấu hình NAT tĩnh .66 3.4.2 Cấu hình PAT tĩnh .68 3.5 Access Control .69 3.6 Web content 76 3. 7 Khời tạo các chính sách bảo mật trên ASA 84 3.8 Các chức năng nâng cao của ASA .89 Page 8 Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn CHƯƠNG 4. VPNs .105 4.1 IPSec là gì? 105 4.2 Cách làm việc của IPSec 106 4.3 Các loại kết nối: 106 4.4 Hướng dẫn cấu hình .107 4.4.4 Cấu hình anyconnect webvpn .118 KẾT LUẬN 128 TÀI LIỆU THAM KHẢO .130 Page 9 Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn DANH MỤC CÁC HÌNH VẼ, BẢNG BIỂU SỐ HIỆU MÔ TẢ TRANG Hình 1.1 Firewall được đặt ở giữa mạng riêng và mạng công cộng 8 Hình 1.2 Mạng gồm có Firewall và các máy chủ 9 Hình 1.3 Sử dụng nhiều Firewall nhằm tăng khả năng bảo mật 10 Hình 1.4 Kiến trúc của hệ thống sử dụng Firewall 14 Hình 1.5 Cấu trúc chung của một hệ thống Firewall 15 Hình 1.6 Kiến trúc Dual - Homed host 16 Hình 1.7 Kiến trúc Screened host 18 Hình 1.8 Kiến trúc Screened Subnet 19 Hình 1.9 Packet filtering firewall 20 Hình 1.10 Circuit level gateway 21 Hình 1.11 Application-proxy firewall 22 Hình 2.1 Các mức an toàn thông tin trên mạng 27 Hình 2.2 Cấu hình từ chối một host theo standard -accesslist 30 Hình 2.3 Cấu hình từ chối telnet từ subnet 31 Hình 3.15 Ví dụ về chính sách NAT 67 Hình 3.16 Ví dụ chính sách xác định NAT 68 Hình 3.17 Ví dụ cấu hình NAT tĩnh 70 Hình 3.18 Ví dụ PAT tĩnh 71 Hình 3.19 ví dụ về NAT với 2 interface 75 Hình 3.20 Ví dụ NAT với mô hình 3 interfaces 77 Hình 3.21 Thay đổi proxy 84 Hình 3.22 Ví dụ về cấu hình WCCP 87 Page 10