Cisco ASA 5505

Đây là dòng nhỏ nhất phù hợp cho mạng SOHO hoặc cho những văn phòng chi nhánh. Nó có một switch tầng hai 8 cổng. Switch này cũng có 2 cổng it has an 8-port layer 2 cổng PoE (Power over Ethernet) để có thể kết nối với các IP Phone hoặc các thiết bị PoE khác. Dòng này là một sự thay thế phù hợp cho các dòng PIX 501 hoặc PIX 506

Đặc điểm chính của ASA 5505:

• Thông lượng Cleartext: 150 Mbit/s

• Thông lượng AES/Triple DES: 100 Mbit/s

• Số lượng tối đa các kết nối đông thời: 10,000 (25,000 với Sec Plus License)

• Các phiên VPN truy cập từ xa và site-to-site tối đa: 10 (25 với Sec Plus License)

• Số lượng tối đa các phiên người dùng VPN SSL: 25

b) Cisco ASA 5510

Dòng này lý tưởng cho các doanh nghiệp nhỏ như là một Internet edge firewall. Về các giao tiếp mạng của nó, nó được trang bị 5 cổng 10/100 (với the Base License) hoặc 2 cổng 10/100/100 Plus 3 cổng 10/100 với Security Plus License. Dòng này thường được dùng để thay thế cho các dòng PIX 506 hoặc PIX 515.

Hình 2.10: ASA 5510

Đặc điểm chính của ASA 5510:

• Thông lượng Cleartext: 300 Mbit/s

• Thông lượng AES/Triple DES: 170 Mbit/s

• Số lượng tối đa các kết nối đồng thời: 50,000 (130,000 với Sec Plus License)

• Các phiên VPN truy cập từ xa và site-to-site tối đa: 250

c) Cisco ASA 5520

Một dòng dành cho mô hình Internet Edge với lưu lượng nhiều hơn so với một doanh nghiệp nhỏ. Có thể sử dụng cho các doanh nghiệp nhỏ và vừa. Nó được trang bị nhiều bộ nhớ hơn so với hai dòng trước.

Hình 2.11: ASA 5520

Đặc điểm chính của ASA 5520:

• Thông lượng Cleartext: 450 Mbit/s

• Thông lượng AES/Triple DES: 225 Mbit/s

• Số lượng tối đa các kết nối đồng thời: 280,000

• Các phiên VPN truy cập từ xa và site-to-site tối đa: 750

• Số lượng tối đa các phiên người dùng VPN SSL: 750

d) Cisco ASA 5540

Được sử dụng trong các doanh nghiệp vừa như Internet edge hoặc cho phân khúc mạng LAN. Với bộ nhớ RAM lớn hơn (1GB) có thể hỗ trợ số lượng các kết nối site-to-site hoặc VPN nhiều hơn.

Đặc điểm chính của ASA 5540:

• Thông lượng Cleartext: 650 Mbit/s

• Thông lượng AES/Triple DES: 325 Mbit/s

• Số lượng tối đa các kết nối đồng thời: 400,000

• Các phiên VPN truy cập từ xa và site-to-site tối đa: 5,000

• Số lượng tối đa các phiên người dùng VPN SSL: 2,500

e) Cisco ASA 5550

Được sử dụng trong các môi trường khuôn viên rộng lớn với lưu lượng cao, hoặc cho các doanh nghiệp lớn, hoặc cho các ứng dụng ISP.

Hình 2.13: ASA 5550

Đặc điểm chính của ASA 5550:

• Thông lượng Cleartext: 1,200 Mbit/s

• Thông lượng AES/Triple DES: 425 Mbit/s

• Số lượng tối đa các kết nối đồng thời: 650,000

• Các phiên VPN truy cập từ xa và site-to-site tối đa: 5,000

• Số lượng tối đa các phiên người dùng VPN SSL: 5,000

f) Cisco ASA 5580-20

Được sử dụng trong các mạng trung tâm dữ liệu và các vùng mạng lớn. Với 8GB RAM nó hỗ trợ tối đa 1 triệu kết nối firewall

Hình 2.14: ASA 5580-20

Đặc điểm chính của ASA 5580-20:

• Thông lượng Cleartext: 5,000 Mbit/s

• Thông lượng AES/Triple DES: 1,000 Mbit/s

• Số lượng tối đa các kết nối đồng thời: 1,000,000

• Các phiên VPN truy cập từ xa và site-to-site tối đa: 10,000

• Số lượng tối đa các phiên người dùng VPN SSL: 10,000

g) Cisco ASA 5580-40

Cũng giống như các dòng trên, nhưng có hiệu năng tốt hơn. 10 Gbps thông lượng firewall, 2 triệu kết nối firewall, 12GB RAM và hơn thế nữa. Đây là dòng hiện đại và dẫn đầu các dòng.

Hình 2.15: ASA 5580-40

Đặc điểm chính của ASA 5580-40:

• Thông lượng Cleartext: 10,000 Mbit/s

• Thông lượng AES/Triple DES: 1,000 Mbit/s

• Số lượng tối đa các kết nối đồng thời: 2,000,000

• Các phiên VPN truy cập từ xa và site-to-site tối đa: 10,000

2.2. Tổng quan về VPN – Virtual Private Network 2.2.1. Khái niệm và chức năng của VPN

VPN được hiểu đơn giản như là sự mở rộng của một mạng riêng (Private Network) thông qua các mạng công cộng. Về căn bản, mỗi VPN là một mạng riêng rẽ sử dụng một hạ tầng mạng chung (thường là Internet) để kết nối cùng với các site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa. Thay cho việc sử dụng kết nối thực, chuyên dùng, mỗi VPN sử dụng các kết nối ảo được thiết lập qua Internet từ mạng riêng của các Công ty tới các chi nhánh hay các nhân viên từ xa. Để có thể gửi và nhận dữ liệu thông qua mạng công cộng mà vẫn bảo đảm tính an toàn và bảo mật, VPN cung cấp các cơ chế mã hoá dữ liệu trên đường truyền, tạo ra một đường ống (tunnel) bảo mật giữa nơi gửi và nơi nhận. Để có thể tạo ra một đường ống bảo mật đó, dữ liệu phải được mã hoá, chỉ cung cấp phần đầu gói dữ liệu (header) là thông tin về đường đi cho phép nó có thể đi đến đích thông qua mạng công cộng một cách nhanh chóng. Dữ liệu được mã hoá một cách cẩn thận do đó nếu các packet bị xem lén trên đường truyền công cộng thì cũng không thể đọc được nội dung vì không có khoá để giải mã. Các đường kết nối VPN thường được gọi là đường ống VPN (tunnel).

Hình 2.16: Mô hình mạng VPN

VPN cung cấp nhiều đặc tính hơn so với những mạng truyền thông và những mạng leased-line. Những lợi ích đầu tiên bao gồm:

• Chi phí thấp hơn những mạng riêng: VPN có thể giảm chi phí từ 20 đến 40% so với những mạng sử dụng leased-line và giảm chi phí trong việc truy cập từ xa từ 40 đến 60%

• Tính linh hoạt trong kết nối.

• Tăng tính bảo mật: Các dữ liệu quan trọng sẽ được che giấu đối với những người không có quyền truy cập.

• Hỗ trợ các giao thức mạng thông dụng nhất hiện nay là TCP/IP.

• Bảo mật địa chỉ IP: Bởi vì thông tin được gửi đi trên VPN đã được mã hoá, do đó các địa chỉ bên trong mạng riêng được che giấu và chỉ sử dụng các địa chỉ bên ngoài Internet.

Chức năng cơ bản của VPN:

• Sự tin cậy và bảo mật (confidentiality): Người gửi có thể mã hoá các gói dữ liệu trước khi truyền chúng ngang qua mạng. Bằng cách này, không một ai có thể truy nhập thông tin mà không được phép, mà nếu như có lấy được thông tin thì cũng không thể đọc được vì thông tin đã được mã hoá.

• Tính toàn vẹn dữ liệu (Data Integrity): Người nhận có thể kiểm tra rằng dữ liệu được truyền qua mạng Internet mà không có sự thay đổi nào.

• Xác thực nguồn gốc (Origin Authentication): Người nhận có thể xác thực nguồn gốc của gói dữ liệu, đảm bảo và công nhận nguồn thông tin.

• Điều khiển truy nhập (Access Control): VPN có thể phân biệt giữa những người dùng hợp lệ và trái phép bằng nhiều cách như dựa vào chính sách bảo mật, sự chứng thực...

2.2.2. Các dạng kết nối của mạng riêng ảo VPN2.2.2.1. Truy cập VPN từ xa (Remote Access VPN) 2.2.2.1. Truy cập VPN từ xa (Remote Access VPN)

Cho phép các người dùng ở xa sử dụng VPN client để truy cập vào mạng Intranet của Công ty thông qua Gateway hoặc VPN concentrator (bản chất là một server). Vì vậy, giải pháp này thường được gọi là client/server. Trong giải pháp

này, người dùng thường sử dụng các công nghệ WAN truyền thống để tạo ra các tunnel về mạng trung tâm của họ.

Một số thành phần chính của Remote Access VPN:

• Remote Access Server (RAS): Thiết bị này được đặt tại trung tâm và có nhiệm vụ xác thực và chứng nhận các yêu cầu gửi tới sau đó thiết lập kết nối.

Hình 2.17: Mô hình non-VPN Remote Access

• Remote Access Client: Bằng việc triển khai Remote Access VPN qua Internet, những người dùng từ xa hoặc các văn phòng chi nhánh chỉ cần thiết lập một kết nối cục bộ đến nhà cung cấp dịch vụ Internet, sau đó có thể kết nối đến tài nguyên của doanh nghiệp thông qua Remote Access VPN. Mô hình Remote Access VPN được mô tả như hình dưới đây:

Hình 2.18: Mô hình Remote Access VPN

Ưu điểm của Remote Access VPN:

• VPN truy nhập từ xa không cần đến sự hỗ trợ của quản trị mạng bởi các kết nối từ xa do các nhà cung cấp dịch vụ Internet đảm nhiệm.

• Giảm giá thành chi phí kết nối với khoảng cách xa vì các kết nối của VPN truy nhập từ xa chính là các kết nối Internet.

• VPN cung cấp khả năng truy cập đến trung tâm tốt hơn bởi vì nó hỗ trợ dịch vụ truy cập ở mức độ tối thiểu.

Nhược điểm của Remote Access VPN:

• Remote Access VPN cũng không đảm bảo được chất lượng dịch vụ (QoS).

• Khả năng mất dữ liệu là rất cao, thêm nữa là các phân đoạn của gói dữ liệu có thể bị thất thoát.

• Do độ phức tạp của thuật toán mã hoá nên gây khó khăn cho quá trình xác nhận.

2.2.2.2. Kết nối Site-to-Site VPN (LAN-to-LAN)

Site-to-Site VPN là giải pháp kết nối các hệ thống mạng ở những địa điểm khác nhau với mạng trung tâm thông qua VPN. Trong trường hợp này, quá trình xác thực ban đầu cho người sử dụng là quá trình xác thực giữa các thiết bị. Các thiết bị này hoạt động như cổng an ninh (security gateway), truyền dẫn lưu lượng một cách an toàn từ site này tới site kia. Các bộ định tuyến hay tường lửa hỗ trợ VPN đều có khả năng thực hiện kết nối này. Sự khác nhau giữa Site-to-Site VPN và Remote Access VPN chỉ mang tính tượng trưng. Nhiều thiết bị VPN mới có thể hoạt động theo cả hai cách này.

Hình 2.19: Mô hình Site - to - Site VPN

Site-to-Site VPN có thể được xem như là Intranet VPN hoặc Extranet VPN xét theo quan điểm chính sách quản lý. Nếu hạ tầng mạng có chung một nguồn quản lý, nó có thể được xem như Intranet VPN, ngược lại, nó có thể được coi là Extranet VPN. Việc truy nhập giữa các điểm phải được kiểm soát chặt chẽ bởi các thiết bị tương ứng.

Intranet VPN: Intranet VPN hay còn gọi là VPN cục bộ là một mô hình tiêu biểu của Site-to-Site VPN, dạng kết nối này được sử dụng để bảo mật các kết nối giữa địa điểm khác nhau của một công ty hay doanh nghiệp. Nó liên kết trụ sở chính và các văn phòng chi nhánh trên một cơ sở hạ tầng chung sử dụng các kết nối luôn được mã hóa bảo mật. Điều này cho phép tất cả các điểm có thể truy nhập an toàn các nguồn dữ liệu được phép trong toàn công ty.

Intranet VPN cung cấp những đặc tính của mạng WAN như khả năng mở rộng, tính tin cậy và hỗ trợ nhiều kiểu giao thức khác nhau với chi phí thấp nhưng vẫn đảm bảo tính mềm dẻo.

Hình 2.20: Mô hình Intranet VPN

Những ưu điểm chính của giải pháp này bao gồm:

• Các mạng cục bộ hoặc diện rộng có thể được thiết lập thông qua một hay nhiều nhà cung cấp dịch vụ Internet.

• Giảm được nhân lực hỗ trợ kỹ thuật mạng đối với các chi nhánh ở xa.

• Do kết nối trung gian được thực hiện thông qua Internet nên nó có thể dễ dàng thiết lập thêm một liên kết ngang hàng mới.

• Tiết kiệm chi phí từ việc sử dụng đường hầm VPN thông qua Internet kết hợp với các công nghệ chuyển mạch tốc độ cao.

Tuy nhiên, giải pháp Intranet VPN cũng có những nhược điểm nhất định như:

• Do dữ liệu được truyền qua mạng công cộng (mặc dù đã được mã hóa) nên vẫn còn những mối đe dọa về mức độ bảo mật dữ liệu và chất lượng dịch vụ (QoS).

• Trong trường hợp cần truyền khối lượng lớn dữ liệu như đa phương tiện với yêu cầu tốc độ cao và đảm bảo thời gian thực là một thách thức lớn trong môi trường Internet.

Extranet VPN (VPN mở rộng): Giải pháp VPN mở rộng cung cấp khả năng điều khiển truy nhập tới những nguồn tài nguyên mạng cần thiết để mở rộng tới những đối tượng kinh doanh. Sự khác nhau giữa VPN nội bộ và VPN mở rộng là sự truy nhập mạng được công nhận ở một trong hai đầu cuối của VPN.

Hình 2.21: Mô hình Extranet VPN

Những ưu điểm chính của VPN mở rộng bao gồm:

• Chi phí cho VPN mở rộng thấp hơn nhiều so với các giải pháp kết nối khác để cùng đạt được một mục đích như vậy.

• Dễ dàng thiết lập, bảo trì và thay đổi với mạng đang hoạt động.

• Do VPN mở rộng được xây dựng dựa trên Internet nên có nhiều cơ hội trong việc cung cấp dịch vụ và lựa chọn giải pháp phù hợp với nhu cầu cụ thể của từng công ty.

• Các kết nối Internet được các ISP bảo trì nên có thể giảm số lượng nhân viên kỹ thuật hỗ trợ mạng, do đó sẽ giảm được chi phí vận hành của toàn mạng.

Bên cạnh những ưu điểm trên, giải pháp VPN mở rộng cũng có những nhược điểm nhất định như:

• Vấn đề bảo mật thông tin gặp khó khăn hơn trong môi trường mở rộng như vậy, điều này làm tăng nguy cơ rủi ro đối với mạng cục bộ của công ty.

• Khả năng thất thoát dữ liệu trong khi truyền qua mạng công cộng vẫn tồn tại.

• Việc truyền khối lượng lớn dữ liệu với yêu cầu tốc độ cao và thời gian thực vẫn còn là một thách thức lớn cần giải quyết.

2.2.3. Các giao thức trong VPN

Trong VPN có 4 giao thức chính để thiết lập một “mạng riêng ảo” hoàn chỉnh đó là:

• L2F - Layer 2 Forwarding Protocol

• PPTP - Point-to-Point Tunneling Protocol

• L2TP - Layer 2 Tunneling Protocol

• IPSec - IP Security

Ngoài ra còn một số giao thức khác, tuy nhiên những giao thức này ít được sử dụng bởi sự bất cập của nó đã được phát hiện trong quá trình triển khai. Tuỳ theo từng lớp ứng dụng cụ thể mà mỗi giao thức đều có ưu và nhược điểm khác nhau khi triển khai vào mạng VPN, việc quan trọng là người thiết kế phải kết hợp các giao thức một cách mềm dẻo.

2.2.3.1. Giao thức chuyển tiếp lớp 2 (L2F - Layer 2 Forwarding Protocol) Protocol)

Giao thức L2F là một kỹ thuật được nghiên cứu và phát triển trong các hệ thống mạng của Cisco dựa trên giao thức PPP - Point to Point Protocol (là một giao thức truyền thông nối tiếp lớp 2), L2F cho phép máy tính của người dùng truy nhập vào mạng Intranet của một tổ chức xuyên qua cơ sở hạ tầng mạng công

cộng Internet với sự an toàn cao. Tương tự như giao thức định đường hầm điểm tới điểm PPTP, giao thức L2F cho phép truy nhập mạng riêng ảo một cách an toàn xuyên qua cơ sở hạ tầng mạng công cộng bằng cách tạo ra một đường hầm giữa hai điểm kết nối.

Sự khác nhau cơ bản giữa hai giao thức PPTP và L2F là PPTP chỉ hỗ trợ IP, IPX, NetBIOS và NetBEUI, còn L2F định đường hầm không tuỳ thuộc vào mạng IP, L2F có thể làm việc với nhiều công nghệ mạng khác nhau như: Frame Relay, ATM, FDDI...

L2F hỗ trợ việc định đường hầm cho hơn một kết nối. L2F có thể làm được điều này trong khi nó định nghĩa những kết nối bên trong đường hầm, đây là một đặc điểm hữu ích của L2F trong trường hợp ở nơi có nhiều người sử dụng truy nhập từ xa mà chỉ có duy nhất một kết nối được thoả mãn yêu cầu.

Hình 2.22: Mô hình kết nối VPN sử dụng L2F

L2F sử dụng giao thức PPP để chứng thực giống như giao thức PPTP, tuy nhiên L2F còn hỗ trợ chứng thực người dùng quay số từ xa RADIUS (Remote Authentication Dial-up User Service) và hệ thống điều khiển giám sát đầu cuối