BỘ CÔNG THƯƠNG
TRƯỜNG CAO ĐẲNG KỸ THUẬT CAO THẮNG
KHOA CÔNG NGHỆ THƠNG TIN

ĐỒ ÁN TỐT NGHIỆP

Tìm Hiểu GNS3 Và Triển Khai VPN Gateway-ToGateway Cho Firewall ASA
GVHD:
Sinh viên thực hiện:
1. Nguyễn Đức Minh
LỚP:
KHĨA:

TP.Hồ Chí Minh, ngày... tháng năm


NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN
….
………………………………………………………………………………………………………
……………………………………………………….
………………………………………………………………………………………………………
……………………………………………………….
………………………………………………………………………………………………………
……………………………………………………….
………………………………………………………………………………………………………
……………………………………………………….
………………………………………………………………………………………………………
……………………………………………………….
………………………………………………………………………………………………………
……………………………………………………….
………………………………………………………………………………………………………

……………………………………………………………….….
………………………………………………………………………………………………………
……………………………………………………….
………………………………………………………………………………………………………
……………………………………………………….
………………………………………………………………………………………………………
……………………………………………………….…………………………………
TP.Hồ Chí Minh, ngày ... tháng ... năm
Giáo viên hướng dẫn


NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN
….
………………………………………………………………………………………………………
……………………………………………………….
………………………………………………………………………………………………………
……………………………………………………….
………………………………………………………………………………………………………
……………………………………………………….
………………………………………………………………………………………………………
……………………………………………………….
………………………………………………………………………………………………………
……………………………………………………….
………………………………………………………………………………………………………
……………………………………………………….
………………………………………………………………………………………………………
……………………………………………………………….….
………………………………………………………………………………………………………
……………………………………………………….
………………………………………………………………………………………………………

……………………………………………………….
………………………………………………………………………………………………………
……………………………………………………….…………………………………
TP.Hồ Chí Minh, ngày ... tháng ... năm
Giáo viên phản biện


NHẬN XÉT CỦA HỘI ĐỒNG
….
………………………………………………………………………………………………………
……………………………………………………….
………………………………………………………………………………………………………
……………………………………………………….
………………………………………………………………………………………………………
……………………………………………………….
………………………………………………………………………………………………………
……………………………………………………….
………………………………………………………………………………………………………
……………………………………………………….
………………………………………………………………………………………………………
……………………………………………………….
………………………………………………………………………………………………………
……………………………………………………………….….
………………………………………………………………………………………………………
……………………………………………………….
………………………………………………………………………………………………………
……………………………………………………….
………………………………………………………………………………………………………
……………………………………………………….…………………………………
TP.Hồ Chí Minh, ngày ... tháng ... năm

Thư kí hội đồng

Chủ tịch hội đồng


MỤC LỤC
CHƯƠNG 1: TỔNG QUAN........................................................................................1
1.1 Tổng quan về GNS3............................................................................................1
1.1.1 Các chức năng quan trọng trong GNS3......................................................2
1.1.2 Tương thích với các thiết bị mạng...............................................................2
1.1.3 Tích hợp với cơng cụ thực thi mạng............................................................3
1.2 Khái niệm về VPN...............................................................................................3
1.2.1 Các chức năng cơ bản VPN..........................................................................3
1.2.2 Các chức năng của một hệ thống VPN........................................................4
1.2.3 Các giao thức của hệ thống VPN trên Firewall ASA..................................5
1.2.4 Cơ chế hoạt động VPN trên Firewall ASA..................................................8
1.3 Tổng quan Firewall ASA....................................................................................9
1.3.1 Những chức năng chính của Firewall........................................................10
1.3.2 Phân loại Firewall.......................................................................................11
1.3.3. Các dòng sản phẩm Firewall ASA............................................................22
CHƯƠNG 2 CÀI ĐẶT GNS3 VÀ TRIỂN KHAI VPN TRÊN GNS3....................25
2.1 Cài đặt GNS3.....................................................................................................25
2.2 Kết nối Vmware, thêm các Router, Firewall và máy ảo trên GNS3..............26
2.2.1 Kết nối Vmware..........................................................................................26
2.2.2 Thêm Router...............................................................................................27
2.2.3 Thêm Firewall.............................................................................................28
2.2.4 Thêm máy ảo...............................................................................................29
2.3 Mơ hình chức năng vật lí..................................................................................30
2.4 Mơ hình chức năng LAB...................................................................................31
2.5 Các bước thực hiện............................................................................................32

2.5.1 Cấu hình mạng nội ping thông nhau và đi ra Internet.............................32
2.5.2 Cài đặt ASDM trên Firewall ASA.............................................................36
2.5.3 Cấu hình VPN Anyconnect Trên ASDM...................................................38


2.5.4 Cấu hình VPN Gateway-to-Gateway.........................................................52
CHƯƠNG 3: KẾT LUẬN..........................................................................................58
3.1 Kết quả đạt được...............................................................................................58
3.2 Không đạt được.................................................................................................58
3.3 Hướng phát triển và bảo trì hệ thống trong thực tế.......................................58
3.4 Kết luận.............................................................................................................. 59


DANH MỤC VIẾT TẮT
GVHD:

Giáo Viên Hướng Dẫn

SVTH:

Sinh Viên Thực Hiện

HCM:

Hồ Chính Minh

HN:

Hà Nội


GNS3:

Graphical Network Simulator 3

IP:

Internet Protocol Address

DOS:

Denial-of-Service

DDOS:

Distributed Denial-of-Service

UDP:

User Datagram Protocol

FTP:

File Transfer Protocol

VLAN:

Virtual Local Area Network

ASDM:


Adaptive Security Device Manager

TFTP:

Trivial File Transfer Protocol

HTTP:

Hypertext Transfer Protocol

DNS:

Domain Name System

SNMP:

Simple Network Management Protocol

TCP/IP:

Transmission Control Protocol/Internet Protocol

i


DANH MỤC HÌNH ẢNH
Hình 1. 1 Icon ứng dụng GNS3......................................................................................1
Hình 1. 2 Mơ hình VPN Client.......................................................................................6
Hình 1. 3 Mơ hình VPN Tunnel.....................................................................................6
Hình 1. 4 Mơ hình IPSec Tunnel....................................................................................7

Hình 1. 5 Mơ hình SSL VPN..........................................................................................7
Hình 1. 6 Mơ hình PPTP VPN........................................................................................8
Hình 1. 8 Chức năng firewall........................................................................................11
Hình 1. 9 Simple Access List Sample Network............................................................15
Hình 1. 10 Simple Access List.....................................................................................15
Hình 1. 11 NAT firewall...............................................................................................16
Hình 1. 12 Circuit-level firewall...................................................................................16
Hình 1. 13 Proxy firewall.............................................................................................17
Hình 1. 14 Stateful firewall..........................................................................................18
Hình 1. 15 Mơ hình Dual-homed host..........................................................................19
Hình 1. 16 Mơ hình Screened Host...............................................................................20
Hình 1. 17 Mơ hình Screened subnet............................................................................21
Hình 1. 18 ASA 5505...................................................................................................23
Hình 1. 19 ASA 5510...................................................................................................24
Hình 2. 1 Cài đặt GNS3................................................................................................25
Hình 2. 2 Giao diện GNS3............................................................................................25
Hình 2. 3 Kết nối tới máy ảo Vmware..........................................................................26
Hình 2. 4 Trạng thái kết nối thành cơng.......................................................................27
Hình 2. 5 Thêm file.image của Router..........................................................................27
Hình 2. 6 Thêm Routers mới vào GNS3.......................................................................28
Hình 2. 7 Thêm Firewall vào GNS3.............................................................................28
Hình 2. 8 Thêm máy ảo vào GNS3...............................................................................29
Hình 2. 9 Thêm Win Server vào GNS3........................................................................29
Hình 2. 10 Mơ hình tổng qt.......................................................................................30
Hình 2. 11 Mơ hìnhh vật lí tầng trệt.............................................................................30
Hình 2. 12 Mơ hình chức năng vật lí tầng 1..................................................................31
Hình 2. 13 Mơ hình chức năng LAB hệ thống mạng....................................................31
Hình 2. 14 ASDM-731-101.bin phiên bản trên thiết bị................................................36
Hình 2. 15 Đưa file ASDM lên sử dụng.......................................................................36
Hình 2. 16 Truy cập Web để cài ASDM trên PC..........................................................37

Hình 2. 17 Truy cập vào ASDM...................................................................................38

ii


Hình 2. 18 Giao diện ASDM........................................................................................38
Hình 2. 19 Cấu hình AnyConnect VPN Wizards trên CN-HN.....................................39
Hình 2. 20 Đặt Profile Name cho AnyConnect.............................................................39
Hình 2. 21 Chọn SSL và tắt IPsec................................................................................40
Hình 2. 22 Upload file image AnyConnect...................................................................40
Hình 2. 23 Tạo User login vào AnyConnect.................................................................41
Hình 2. 24 Tạo pool lan cấp địa chỉ..............................................................................41
Hình 2. 25 Đặt DNS và Domain Name.........................................................................42
Hình 2. 26 Chọn cổng NAT..........................................................................................42
Hình 2. 27 Kết quả sau khi cấu hình.............................................................................43
Hình 2. 28 Download phần mềm AnyConnect từ Win-Client......................................43
Hình 2. 29 Nhập Username Password để kết nối..........................................................44
Hình 2. 30 Kết nối thành cơng AnyConnect.................................................................44
Hình 2. 31 Kết quả sau khi kết nối...............................................................................45
Hình 2. 32 Share bên chi nhánh HN.............................................................................45
Hình 2. 33 Kiểm tra kết quả bên Win_Client...............................................................46
Hình 2. 34 Triển khai Web và FTP Server...................................................................46
Hình 2. 35 Tạo FTP Site và chọn đường dẫn cần upload..............................................47
Hình 2. 36 Chọn IP máy triển khai dịch vụ..................................................................47
Hình 2. 37 Cấp quyền cho các tài khoản truy cập.........................................................48
Hình 2. 38 Tạo tài khoản truy cập đến FTP Server.......................................................48
Hình 2. 39 Cấp quyền cho tài khoản.............................................................................49
Hình 2. 40 Tạo Pool LAN cho các tài khoản kết nối....................................................49
Hình 2. 41 Chọn cổng Anyconnect vào DMZ..............................................................50
Hình 2. 42 Từ Win_Client Anyconnect vào DMZ........................................................50

Hình 2. 43 Kiểm tra trạng thái và Ping thơng nhau.......................................................51
Hình 2. 44 Truy cập vào FTP để donwload file............................................................51
Hình 2. 45 Tạo Object Network mới cho chi nhánh HN...............................................52
Hình 2. 46 Tạo 2 Object Network chi nhánh HN.........................................................53
Hình 2. 47 Đặt IP cổng outside HCM...........................................................................53
Hình 2. 48 Cấu hình mạng nội bộ và mạng từ xa..........................................................54
Hình 2. 49 Cấu hình giao diện nguồn cho lưu lượng trên ASA....................................54
Hình 2. 50 Kết quả sau khi cấu hình.............................................................................55
Hình 2. 51 Kết quả ping từ CN-HN đến CN-HCM......................................................56
Hình 2. 52 Kết quả ping ngược lại từ CN-HCM đến CN-HN.......................................56
Hình 2. 53 Kiểm tra file share từ CN-HN đến CN-HCM.............................................57

iii


DANH MỤC BẢNG BIỂU
Bảng 1. 1......................................................................................................................32

iv


LỜI CẢM ƠN
Qua những tháng ngày chúng em học tập dưới mái trường thân yêu, những điều
bổ ích mà thầy cơ đã tận tình giảng dạy chúng em. Từ những kiến thức đó, chúng em
đã đúc kết ra được những hiểu biết vô cùng quý giá và từ những bài học ấy chúng em
đã làm ra đồ án này. Tuy đồ án có rất nhiều thiếu xót, và cũng có những điều chúng em
chưa hiểu được, mong quý thầy cô giúp chúng em cải thiện lại những điều chúng em
còn đang vướng mắc, để hoàn thiện tốt hơn đồ án cơ sở này.
Qua những lời tâm tình này, chúng em xin cảm ơn đến quý thầy cô và đặc biệt
xin gửi lời cảm ơn nhất đến cô Trần , thầy đã có rất nhiều cơng sức hướng dẫn đồ án

này, đã ln lắng nghe những gì chúng em trình bày và đã chỉ bảo tường tận cho chúng
em.

Xin chân thành cảm ơn Quý thầy cô!

v


LỜI MỞ ĐẦU
1. Tính cấp thiết
Từ năm 2020. Do đại dịch covid-19 rất nguyên hiểm lây lan do tiếp xúc gần rất
nhanh, nên mọi người không thể đến công ty để làm việc, trao đổi dữ liệu, các tài tài
nguyên qua lại bằng cách trực tiếp. Nên mọi người bắt đầu làm việc thông qua Internet,
trao đổi các thông tin tài liệu học tập và làm việc với nhau qua cái ứng dụng trực tuyến,
như teamviewer, ultraviewer… Nhưng có chắc chắn rằng nó thật sự an tồn, khơng bị
nghe trộm hay đánh cấp dữ liệu và có thể bảo vệ được thông tin của bạn hay không?.
2. Mục tiêu nghiên cứu
Đồ án tập trung vào nghiên cứu và triển khai hệ thống VPN Gateway-toGateway trên Firewall ASA, một phương pháp bảo mật mạng quan trọng an toàn, trong
hệ thống mạng khi truy cập từ xa và chia sẻ dữ liệu 2 bên.
Đồ án bao gồm tổng hợp lý thuyết của GNS3, VPN, Firewall ASA cụ thể hơn.
Đồ án sẽ triển khai mơ hình hệ thống mạng VPN Gateway-to-Gateway cho Firewall
ASA trên phần mềm mô phỏng mạng GNS3.

vi


CHƯƠNG 1: TỔNG QUAN
1.1 Tổng quan về GNS3
GNS3 (Graphical Network Simulator 3) là một phần mềm mô phỏng mạng mã
nguồn mở được sử dụng để thiết kế, triển khai và kiểm tra các mạng ảo. Nó cung cấp

một mơi trường ảo hóa linh hoạt cho việc tạo ra các mơ hình mạng phức tạp bằng cách
sử dụng các thiết bị và hệ điều hành thật, nhưng trong một môi trường ảo.

Hình 1. 1 Icon ứng dụng GNS3
GNS3 cung cấp giao diện đồ họa cho phép người dùng kéo và thả các thiết bị
mạng vào môi trường mô phỏng. Người dùng có thể kết nối các thiết bị với nhau và
cấu hình chúng bằng cách sử dụng các giao diện dịng lệnh tương tự như các thiết bị
thật.
Với GNS3, người dùng có thể thực hiện các thử nghiệm và kiểm tra mạng, xác
định và khắc phục sự cố, thử nghiệm cấu hình mới và phát triển kỹ năng mạng mà
khơng cần sử dụng các thiết bị thật và tạo ra ảnh hưởng đến mạng sản xuất.

vii


1.1.1 Các chức năng quan trọng trong GNS3
Mô phỏng mạng: GNS3 cho phép bạn tạo ra mơ hình mạng ảo với các thiết bị
mạng như router, switch, firewall và máy tính. Bạn có thể kéo và thả các thiết bị vào
giao diện đồ họa của GNS3 và kết nối chúng với nhau để tạo ra một mạng ảo phức tạp.
Sử dụng hình ảnh IOS: GNS3 cho phép bạn tải xuống và sử dụng các hình ảnh
IOS từ các nhà cung cấp mạng như Cisco Systems. Điều này cho phép bạn chạy các
phiên bản hệ điều hành mạng thực tế trên các thiết bị ảo trong GNS3.
Cấu hình và kiểm tra mạng: Bằng cách sử dụng GNS3, bạn có thể cấu hình
các thiết bị mạng bằng cách sử dụng các giao diện dòng lệnh tương tự như các thiết bị
thực tế. Bạn có thể thực hiện các thử nghiệm và kiểm tra mạng để xác định và khắc
phục sự cố, kiểm tra cấu hình mới và thử nghiệm các kịch bản mạng khác nhau.
Tích hợp với cơng cụ khác: GNS3 có thể tích hợp với các cơng cụ mạng khác
như Wireshark để phân tích lưu lượng mạng, VMware và VirtualBox để chạy các máy
ảo, và nhiều công cụ khác để mở rộng khả năng mơ phỏng và thử nghiệm.
1.1.2 Tương thích với các thiết bị mạng

GNS3 hỗ trợ các hình ảnh (image) của các thiết bị mạng từ các nhà cung cấp
khác nhau. Bạn có thể tải xuống và sử dụng các hình ảnh thiết bị từ trang web chính
thức của nhà cung cấp hoặc từ các nguồn khác.
Cisco IOS: GNS3 hỗ trợ sử dụng các hình ảnh Cisco IOS (Internetwork
Operating System) để mô phỏng các router và switch của Cisco. Bạn có thể tải xuống
các hình ảnh IOS từ trang web Cisco () hoặc từ các nguồn tài
nguyên khác. Lưu ý rằng bạn cần có quyền hợp pháp để sử dụng hình ảnh IOS.
Juniper Junos: GNS3 cũng hỗ trợ sử dụng các hình ảnh Juniper Junos để mơ
phỏng các thiết bị mạng của Juniper Networks. Bạn có thể tải xuống các hình ảnh

viii


Junos từ trang web Juniper Networks () hoặc từ các nguồn tài
nguyên khác.
MikroTik RouterOS: GNS3 hỗ trợ sử dụng các hình ảnh RouterOS của
MikroTik để mơ phỏng các router MikroTik. Bạn có thể tải xuống các hình ảnh
RouterOS từ trang web MikroTik () hoặc từ các nguồn tài nguyên
khác.
1.1.3 Tích hợp với cơng cụ thực thi mạng
GNS3 cung cấp tính năng tích hợp với các cơng cụ thực thi mạng như
Wireshark, để người dùng có thể phân tích gói tin và theo dõi hoạt động mạng trong
môi trường mạng ảo. Điều này rất hữu ích để kiểm tra và gỡ lỗi mạng ảo của bạn
1.2 Khái niệm về VPN
VPN (Virtual Private Network) là một công nghệ cho phép tạo ra một mạng
riêng ảo trên Internet. Nó cho phép người dùng truy cập vào mạng Internet một cách an
toàn và riêng tư bằng cách mã hóa kết nối giữa thiết bị cá nhân và mạng đích.
VPN tạo ra một kênh kết nối bảo mật và mã hóa thơng tin giữa máy tính hoặc
thiết bị của người dùng và máy chủ VPN. Khi bạn kết nối vào một dịch vụ VPN, tất cả
dữ liệu gửi và nhận giữa thiết bị của bạn và Internet sẽ được mã hóa, đảm bảo rằng

thơng tin cá nhân, dữ liệu trực tuyến và hoạt động truy cập của bạn không bị đánh cắp
hay theo dõi.
1.2.1 Các chức năng cơ bản VPN
Dưới đây là một số các chức năng cơ bản của VPN trên firewall ASA:
 Remote Access VPN: Cho phép người dùng từ xa kết nối vào mạng nội bộ
thông qua một kết nối VPN an tồn. Người dùng có thể truy cập vào tài ngun
và dịch vụ nội bộ mà không cần tiếp xúc trực tiếp với mạng công cộng.

ix


 Gateway-to-Gateway VPN: Cho phép kết nối an toàn giữa hai mạng nội bộ
hoặc nhiều mạng nội bộ thông qua mạng cơng cộng. Qua kết nối VPN này, các
mạng có thể truy cập và chia sẻ dữ liệu với nhau một cách bảo mật.
 SSL VPN: Cung cấp kết nối VPN an tồn thơng qua giao thức SSL/TLS. SSL
VPN cho phép truy cập từ xa thơng qua một trình duyệt web mà không cần cài
đặt phần mềm VPN đặc biệt.
 VPN Load Balancing: Tính năng này cho phép phân phối tải giữa các máy chủ
VPN và cân bằng tải các kết nối VPN đến các máy chủ khác nhau. Điều này
giúp tăng hiệu suất và sẵn sàng của hệ thống VPN.
 VPN High Availability: Đảm bảo tính sẵn sàng cao cho hệ thống VPN bằng
cách triển khai cấu hình dự phòng và sao lưu cho các máy chủ VPN. Khi một
máy chủ gặp sự cố, các máy chủ dự phòng sẽ tiếp tục xử lý các kết nối VPN.
 VPN Security Policies: Firewall ASA cho phép xác định các chính sách bảo
mật VPN để kiểm soát quyền truy cập và bảo vệ dữ liệu truyền qua kết nối
VPN. Các chính sách này bao gồm quy định về xác thực, mã hóa, kiểm tra tính
tồn vẹn dữ liệu và các quy tắc bảo mật khác.
1.2.2 Các chức năng của một hệ thống VPN
Mã hóa dữ liệu: Sử dụng các giao thức và thuật tốn mã hóa để bảo vệ dữ liệu
trong q trình truyền đi. Mã hóa đảm bảo rằng dữ liệu không thể bị đọc hoặc hiểu

được bởi các bên thứ ba không được ủy quyền.
Xác thực người dùng: Cho phép xác thực người dùng và thiết bị trước khi kết
nối vào mạng. Điều này đảm bảo rằng chỉ những người dùng có quyền truy cập được
phép có thể kết nối và sử dụng tài nguyên mạng.
Quản lý truy cập: Cung cấp khả năng quản lý và kiểm soát truy cập vào các tài
nguyên mạng. Quản trị viên có thể định rõ quyền truy cập và phạm vi truy cập cho
từng người dùng hoặc nhóm người dùng.

x


Giám sát và ghi nhật ký : Hệ thống VPN thường có khả năng giám sát và ghi
nhật ký các hoạt động truy cập và kết nối. Điều này cho phép quản trị viên theo dõi và
phân tích các hoạt động trên VPN, phát hiện và đối phó với các mối đe dọa mạng.
Tạo mạng riêng ảo: Cho phép tạo ra một mạng riêng ảo trên mạng công cộng,
cho phép các người dùng truy cập vào tài nguyên mạng như khi họ đang truy cập từ
trong mạng nội bộ. Điều này giúp tạo ra một mơi trường an tồn và bảo mật cho việc
truyền thông và chia sẻ dữ liệu.
Ẩn danh và riêng tư: Giúp giấu danh tính và địa chỉ IP của người dùng, tạo
điều kiện cho việc duyệt web ẩn danh và bảo vệ quyền riêng tư trực tuyến.
Vượt qua các rào cản địa lý: Cho phép người dùng truy cập vào các tài nguyên
mạng và dịch vụ trên toàn cầu, vượt qua các rào cản địa lý và hạn chế truy cập được
đặt bởi các nhà cung cấp dịch vụ Internet.
Tăng tốc độ truyền dữ liệu: Có thể cung cấp tốc độ truyền dữ liệu nhanh hơn
trong trường hợp mạng cơng cộng có tải cao hoặc có đường truyền không ổn định.
1.2.3 Các giao thức của hệ thống VPN trên Firewall ASA
VPN Client: Đây là phần mềm được cài đặt trên máy tính cá nhân hoặc thiết bị
di động của người dùng để thiết lập kết nối VPN với Firewall ASA. VPN Client có
nhiệm vụ mã hóa và giải mã dữ liệu truyền qua kết nối VPN.


xi


Hình 1. 2 Mơ hình VPN Client
VPN Tunnel: Là một kết nối ảo và mã hóa được thiết lập giữa thiết bị từ xa
(như máy tính hoặc thiết bị di động) và Firewall ASA. Khi kết nối được thiết lập, dữ
liệu được truyền qua tunnel mà không thể bị đánh cắp hay xem trộm.

Hình 1. 3 Mơ hình VPN Tunnel
IPsec VPN: IPsec là một giao thức VPN phổ biến được sử dụng để tạo ra kết nối an
toàn giữa các mạng từ xa và mạng nội bộ. Firewall ASA hỗ trợ IPsec VPN và có thể
cấu hình các chính sách bảo mật như mã hóa, xác thực và quản lý khóa để đảm bảo tính
bảo mật của kết nối VPN

xii


.
Hình 1. 4 Mơ hình IPSec Tunnel
SSL/TLS VPN: SSL/TLS VPN sử dụng giao thức SSL/TLS để tạo ra kết nối an
toàn giữa thiết bị từ xa và Firewall ASA. SSL/TLS VPN không yêu cầu việc cài đặt
phần mềm VPN riêng trên thiết bị từ xa và có thể truy cập vào ứng dụng, dịch vụ và tài
nguyên mạng qua trình duyệt web.

Hình 1. 5 Mơ hình SSL VPN
PPTP (Point-to-Point Tunneling Protocol): PPTP là một giao thức VPN cổ
điển và phổ biến. Nó cung cấp một kênh kết nối an tồn giữa máy tính cá nhân và máy
chủ VPN thơng qua mạng công cộng. Tuy nhiên, PPTP đã được coi là khơng an tồn
do các lỗ hổng bảo mật và khơng được khuyến nghị sử dụng nữa.


xiii


Hình 1. 6 Mơ hình PPTP VPN
Access Control Lists (ACLs): ACLs được sử dụng để kiểm soát quyền truy cập
vào mạng và các tài nguyên. Firewall ASA sử dụng ACLs để xác định và kiểm soát
luồng dữ liệu qua VPN Tunnel, quyết định liệu gói tin được chấp nhận hay từ chối.
1.2.4 Cơ chế hoạt động VPN trên Firewall ASA
Cơ chế hoạt động của VPN trên ASA (Adaptive Security Appliance) được thực
hiện thông qua việc sử dụng giao thức VPN như IPsec (Internet Protocol Security) và
SSL/TLS (Secure Sockets Layer/Transport Layer Security). Dưới đây là cơ chế hoạt
động cơ bản của VPN trên ASA:
 Xác thực (Authentication): Quá trình xác thực xảy ra khi thiết bị từ xa yêu cầu
kết nối VPN đến ASA. Người dùng cung cấp thông tin đăng nhập để chứng
minh danh tính. ASA kiểm tra thơng tin này với cơ sở dữ liệu người dùng để xác
thực.
 Tạo tunnel (Tunnel Establishment): Sau khi xác thực thành công, ASA và
thiết bị từ xa thiết lập tunnel VPN bằng cách thiết lập các thơng số như mã hóa,
giao thức, độ dài khóa và giấy phép cho kết nối.
 Mã hóa (Encryption): Khi tunnel VPN được thiết lập, ASA và thiết bị từ xa sử
dụng thuật tốn mã hóa để bảo vệ dữ liệu truyền qua kết nối. Dữ liệu được mã
hóa trước khi gửi từ thiết bị nguồn và chỉ được giải mã khi đến thiết bị đích,
đảm bảo tính bảo mật và chỉ có người nhận có thể đọc được dữ liệu.
 Quản lý khóa (Key Management): Quản lý khóa là q trình quản lý và thay
đổi khóa mã hóa trong q trình truyền thơng VPN. ASA và thiết bị từ xa sẽ sử

xiv