Tải bản đầy đủ (.docx) (54 trang)
  1. Trang chủ
    2. >>
  2. Cao đẳng - Đại học
    3. >>
  3. Chuyên ngành kinh tế

Đề tài nghiên cứu về tường lửa

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (820.25 KB, 54 trang )

<span class="text_page_counter">Trang 1</span><div class="page_container" data-page="1">

<b><small>NGHIÊM NGỌC QUANG</small></b>

<b>ĐỒ ÁN MẠNG MÁY TÍNH</b>

<b><small>NGÀNH CÔNG NGHỆ THÔNG TIN</small></b>

<b>ĐỀ TÀI</b>

<b>Nghiên cứu về tường lửa</b>

</div><span class="text_page_counter">Trang 2</span><div class="page_container" data-page="2">

<b>ĐỒ ÁN MẠNG MÁY TÍNH</b>

<b>CHUYÊN NGÀNH MẠNG MÁY TÍNH</b>

<b>BỘ GIÁO DỤC VÀ ĐÀO TẠO</b>

<b>TRƯỜNG ĐẠI HỌC MỎ - ĐỊA CHẤT</b>

<b>ĐỀ TÀI</b>

<b>NGHIÊN CỨU VỀ TƯỜNG LỬA</b>

<b>Sinh viên thực hiện</b>

<b>Họ tên sv</b>

<b>Cán bộ hướng dẫn</b>

<b>Họ tên giảng viên hướng dẫn<small>NGHIÊM NGỌC QUANG</small></b>

</div><span class="text_page_counter">Trang 3</span><div class="page_container" data-page="3">

<small>MỤC LỤ</small>

<small>THÔNG TIN KẾT QUẢ ĐỜ ÁN MẠNG MÁY TÍNH...4</small>

<i><small>Mã mơn học: 7080729...4</small></i>

<small>LỜI MỞ ĐẦU...5</small>

<b><small>I.CHƯƠNG 1 KHÁI QUÁT VỀ TƯỜNG LỬA...7</small></b>

<b><small>1. Khái niệm về tường lửa...7</small></b>

<b><small>2. Chức năng của tường lửa...7</small></b>

<b><small>3. Phân loại Firewall...8</small></b>

<b><small>3.1.Hardware Firewall...8</small></b>

<b><small>3.2.Software Firewall...9</small></b>

<b><small>3.3.So sánh 2 loại tường lửa...10</small></b>

<b><small>4. Cấu tạo và cơ chế hoạt động của Firewall...11</small></b>

<b><small>II.CHƯƠNG 2 TỔNG QUÁT FIREWALL CISCO ASA...19</small></b>

<b><small>1. Giới thiệu về Firewall Cisco ASA...19</small></b>

<b><small>2. Các thuộc tính của Firewall Cisco ASA...19</small></b>

</div><span class="text_page_counter">Trang 4</span><div class="page_container" data-page="4">

<b><small>III.CHƯƠNG 3 HƯỚNG DẪN CAI DẶT VA CHẠY MÔ PHỎNG...43</small></b>

<b><small>1. Hướng dẫn cài đặt Cisco Packet Tracer...43</small></b>

<b><small>2. Giới thiệu về bài toán...43</small></b>

<b><small>2.1.Đặt vấn đề...43</small></b>

<b><small>3. Mơ hình bài tốn...46</small></b>

<b><small>4. Nội dung cần thực hiện...47</small></b>

<small>TÀI LIỆU THAM KHẢO...56</small>

<b>THÔNG TIN KẾT QUẢ ĐỒ ÁN MẠNG MÁY TÍNH</b>

</div><span class="text_page_counter">Trang 5</span><div class="page_container" data-page="5">

<i><b>Mã môn học: 7080729</b></i>

<b>1. Thông tin chung</b>

<b>Tên đề tài:</b>Nghiên cứu về tường lửa

<b>Sinh viên thực hiện: Nghiêm Ngọc Quang </b>

<b>Mã sinh viên: 1921050477 Lớp: DCCTMM64BHệ đào tạo: Chính quy</b>

Tìm hiểu về cấu tạo, phân loại, chức năng của tường lửa.

Tìm hiểu về cấu tạo, phân loại, chức năng của tường lửa Cisco ASA

Lập lab cấu hình 1 mạng nội bộ có tường lửa Cisco ASA thơng qua phần mềm mơ phỏng Cisco Packet Tracer.

<b>4. Kết quả chính đạt được</b>

Tuy khơng hồn chỉnh lắm nhưng em đã một phần nắm bắ được những chức năng chính của tường lửa cũng như các thao tác cơ bản để cấu hình Firewall Cisco ASA.

</div><span class="text_page_counter">Trang 6</span><div class="page_container" data-page="6">

<b>LỜI MỞ ĐẦU</b>

An tồn thơng tin là nhu cầu rất quan trọng đối với cá nhân cũng như đối với xã hội và các quốc gia trên thế giới. Mạng máy tính an tồn thơng tin được tiến hành thông qua các phương pháp vật lý và hành chính. Từ khi ra đời cho đến nay mạng máy tính đã đem lại hiệu quả vơ cùng to lớn trong tất cả các lĩnh vực của đời sống. Bên cạnh đó người sử dụng phải đối mặt với các hiểm họa do thông tin trên mạng của họ bị tấn công. An tồn thơng tin trên mạng máy tính bao gồm các phương pháp nhằm bảo vệ thông tin được lưu giữ và truyền trên mạng. An toàn thơng tin trên mạng máy tính là một lĩnh vực đang được quan tâm đặc biệt đồng thời cũng là một cơng việc hết sức khó khăn và phức tạp. Thực tế đã chứng tỏ rằng có một tình trạng rất đáng lo ngại khi bị tấn công thông tin trong quá trình xử lý, truyền và lưu giữ thông tin. Những tác động bất hợp pháp lên thơng tin với mục đích làm tổn thất, sai lạc, lấy cắp các tệp lưu giữ tin, sao chép các thông tin mật, giả mạo người được phép sử dụng thông tin trong các mạng máy tính.

Tường lửa khơng chỉ là một dạng phần mềm (như tường lửa trên Windows), mà nó cịn có thể là phần cứng chuyên dụng trong các mạng doanh nghiệp. Các tường lửa là phần cứng này giúp máy tính của các cơng ty có thể phân tích dữ liệu ra để đảm bảo rằng malware không thể thâm nhập vào mạng, kiểm sốt hoạt động trên máy tính mà nhân viên của họ đang sử dụng. Nó cũng có thể lọc dữ liệu để chỉ cho phép một máy tính chỉ có thể lướt web, vơ hiệu hóa việc truy cập vào các loại dữ liệu khác.

Với sự hướng dẫn tận tình của Thầy Đỗ Như Hải đã giúp đỡ em em đã hoàn thành bài báo cáo này. Tuy đã cố gắng hết sức tìm hiểu, phân tích nhưng chắc rằng khơng tránh khỏi những thiếu sót, em rất mong nhận được sự thơng cảm và góp ý của quý Thầy Cô và các bạn.

<i>Em xin chân thành cảm ơn!</i>

</div><span class="text_page_counter">Trang 7</span><div class="page_container" data-page="7">

<b>I. CHƯƠNG 1 KHÁI QUÁT VỀ TƯỜNG LỬA.1. Khái niệm về tường lửa.</b>

Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hỏa hoạn. Cịn trong cơng nghệ mạng máy tính, đây là một thuật ngữ chuyên ngành quen thuộc.

Firewall là công cụ phần cứng hoặc phần mềm, hay có thể là cả 2 được tích hợp vào hệ thống để ngăn chặn các truy cập trái phép, ngăn chặn virus xâm nhập… đảm bảo các nguồn thông tin nội bộ ln được bảo vệ an tồn.

Trong mọi trường hợp, Firewall phải có ít nhất hai giao tiếp mạng, một cho mạng mà nó bảo vệ, một cho mạng bên ngồi. Firewall có thể là gateway hoặc điểm nối liền giữa hai mạng, thường là một mạng riêng và một mạng công cộng như là Internet. Các firewall đầu tiên là các router đơn giản.

Sự ra đời của Firewall đóng vai trị thiết yếu đối với bất kì máy tính nào có hệ thống kết nối với mạng internet, vì nó sẽ giúp quản lý những gì được phép vào mạng và những gì ra khỏi mạng. Việc sở hữu một “người kiểm duyệt” như vậy để giám sát q trình mọi việc xảy ra là vơ cùng quan trọng.

<b>2. Chức năng của tường lửa.</b>

Chức năng chính của Firewall là kiểm sốt luồng thơng tin từ giữa Intranet và Internet. Thiết lập cơ chế điều khiển dịng thơng tin giữa mạng nội bộ (Intranet) và mạng Internet. Cụ thể là:

 Cho phép hoặc vơ hiệu hóa những dịch vụ truy nhập từ bên trong ra bên ngoài (từ Intranet ra Internet).

 Cho phép hoặc cấm những dịch vụ phép truy nhập từ bên ngoài vào bên trong trong (từ Internet vào Intranet).

 Tường lửa có thể phát hiện và ngăn chặn ngay tức khắc các cuộc tấn công, xâm nhập từ bên ngoài.

 Theo dõi luồng dữ liệu mạng giữa Internet và Intranet.

<small></small> Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập.

 Kiểm soát người sử dụng và việc truy nhập của người sử dụng.  Kiểm sốt nội dung thơng tin thơng tin lưu chuyển trên mạng.

</div><span class="text_page_counter">Trang 8</span><div class="page_container" data-page="8">

<b>3. Phân loại Firewall.</b>

<b>3.1. Hardware Firewall </b>

<b>Hardware Firewall hay còn gọi là Tường lửa phần cứng là thiết bị bảo mật </b>

đại diện cho một phần cứng riêng biệt được đặt giữa mạng bên trong(Intranet) và

<b>bên ngoài (Internet). </b>

<b> Hardware Firewall sẽ kiểm tra tất cả các dữ liệu đến từ Internet, đi qua các </b>

gói dữ liệu an tồn trong khi chặn các gói dữ liệu nguy hiểm tiềm ẩn.

<b>Hardware Firewall có tài ngun của nó và khơng tiêu thụ bất kỳ CPU hoặc </b>

RAM nào từ các thiết bị chủ. Nó là một thiết bị vật lý đóng vai trị như một cổng cho lưu lượng truy cập đến và đi từ một mạng nội bộ.

<b>Hardware Firewall được sử dụng bởi các tổ chức hoặc doanh nghiệp vừa và lớn và có nhiều máy tính hoạt động trong cùng một mạng. Sử dụng tường lửa </b>

phần cứng trong những trường hợp như vậy thực tế hơn là cài đặt phần mềm riêng lẻ trên từng thiết bị. Việc định cấu hình và quản lý tường lửa phần cứng địi hỏi kiến thức và kỹ năng, vì vậy hãy đảm bảo có một đội ngũ lành nghề đảm nhận trách nhiệm này.

<b>Đặc điểm của Firewall cứng:</b>

<b>Tốc độ : Hardware Firewall được thiết kế cho thời gian phản hồi nhanh hơn, </b>

do đó, nó có thể xử lý nhiều lưu lượng truy cập hơn.

<b>Bảo mật : Hardware Firewall có hệ điều hành riêng ít bị tấn cơng hơn. Điều </b>

này lần lượt làm giảm nguy cơ bảo mật và ngồi ra, tường lửa phần cứng có các điều khiển bảo mật nâng cao.

<b>Khơng có nhiễu : Vì Hardware Firewall là một thành phần mạng bị cơ lập, </b>

nó có thể được quản lý tốt hơn và khơng tải hoặc làm chậm các ứng dụng khác. Tường lửa có thể được di chuyển, tắt máy hoặc cấu hình lại với sự can thiệp tối thiểu vào mạng.

<i><small>1.Sơ đồ HARDWARE FIREWALL</small></i>

</div><span class="text_page_counter">Trang 9</span><div class="page_container" data-page="9">

Không được linh hoạt như Firewall mềm: Không thể thêm chức năng, thêm quy tắc như firewall mềm.

Firewall cứng hoạt động ở tầng Network và tầng Transport.

Firewall cứng không thể kiểm tra được nột dung của gói tin: Tường lửa phần cứng được tích hợp vào bộ định tuyến nằm giữa máy tính và Internet. Họ thường sử dụng lọc gói, có nghĩa là họ quét tiêu đề gói để xác định nguồn gốc, nguồn gốc, địa chỉ đích và kiểm tra với quy tắc người dùng hiện có được xác định để đưa ra quyết định cho phép / từ chối.

<b>Một số Hardware Firewall: Cisco ASA, Fortigate, Juniper, Checkpoint, Palo</b>

Alto, SonicWall,…

<b>3.2.Software Firewall</b>

<b>Software Firewall hay còn gọi là Tường lửa phần mềm, được cài đặt trên</b>

các máy tính cá nhân trên mạng hay cịn gọi là Server.

<b>Khơng giống như Hardware Firewall , Software Firewall có thể dễ dàng </b>

phân biệt giữa các chương trình trên máy tính. Điều này cho phép họ cho phép dữ liệu vào một chương trình trong khi chặn một chương trình khác.

Nếu có nhiều thiết bị, bạn cần cài đặt phần mềm trên mỗi thiết bị. Vì nó cần phải tương thích với máy chủ, nó u cầu cấu hình riêng cho từng máy. Do đó, bất lợi chính là thời gian và kiến thức cần thiết để quản trị và quản lý tường lửa cho mỗi thiết bị.

<b>Đặc điểm của Software Firewal: </b>

Tính linh hoạt cao như là có thể thêm, bớt các quy tắc, các chức năng.

<b>Software Firewal hoạt động ở tầng cao hơn Hardware Firewall (tầng ứng dụng) Software Firewal có thể kiểm tra được nội dung của gói tin (thơng qua các từ </b>

<b>Ví dụ về Software Firewal: Zone Alarm, Symantec: Norton Personal </b>

Firewall, Network Associates: McAfee Personal Firewall,…

<i><small>2 Sơ đồ SOFTWARE FIREWALL</small></i>

</div><span class="text_page_counter">Trang 10</span><div class="page_container" data-page="10">

<b>3.3.So sánh 2 loại tường lửa</b>

 Cao về đầu tư ban đầu

 Bảo trì thấp trong những năm đầu  Trả thêm phí cho mỗi đối tượng địa lý, một số có thể độc quyền cho người khác.

Chi phí thấp hơn.

Chi phí cấu hình / tùy chỉnh ban đầu cao

Đầu tư ban đầu thấp  HW chun dụng cho cơng việc,

có thể cho hiệu suất tốt hơn.

 Phần mềm và phần cứng được kiểm tra tốt để làm việc với nhau.

 ASIC (Mạch tích hợp ứng dụng cụ thể) có thể tăng tốc các chức năng cụ thể của Firewall / IDS (Hệ thống phát hiện xâm nhập) / IPS (Hệ thống ngăn chặn xâm nhập). Điều này có thể rất thuận lợi cho một thiết bị mạng nội tuyến vì nó khơng giới thiệu độ trễ tăng lên.

Khả năng tùy chỉnh theo yêu cầu, hoặc bạn có thể có trên máy ảo. cung cấp các tính năng đáng kinh ngạc có thể khơng được cung cấp bởi tường lửa thương mại (chúng không có bảo đảm ).

<i><small>Bảng 1 So sánh 2 loại tường lửa</small></i>

<b>4. Cấu tạo và cơ chế hoạt động của Firewall.4.1. Cấu tạo</b>

</div><span class="text_page_counter">Trang 11</span><div class="page_container" data-page="11">

Một hoặc nhiều hệ thống máy chủ kết nối với các bộ định tuyến (router) hoặc có chức năng router. Các phần mềm quản lí an ninh chạy trên hệ thống máy chủ. Thông thường là các hệ quản trị xác thực (Authentication), cấp quyền

(Authorization) và kế toán (Accounting).

Một FireWall bao gồm một hay nhiều thành phần sau :  Bộ lọc packet (packet- filtering router).

 Cổng ứng dụng (Application-level gateway hay proxy server).  Cổng mạch (Circuite level gateway).

<b>4.1.1.Bộ lọc gói (Packet Fillering)</b>

Khi nói đến việc lưu thơng dữ liệu giữa các mạng với nhau thơng qua Firewall thì điều đó có nghĩa rằng Firewall hoạt động chặt chẽ với giao thức TCI/IP. Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng

<i><b>3</b></i>

<i><small>. Cấu tạo của Firewall</small></i>

</div><span class="text_page_counter">Trang 12</span><div class="page_container" data-page="12">

trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS...) thành các gói dữ liệu (data pakets) rồi gán cho các paket này những địa chỉ để có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại Firewall cũng liên quan rất nhiều đến các packet và những con số địa chỉ của chúng.

Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được. Nó kiểm tra tồn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoả mãn một trong số các luật lệ của lọc packet hay không. Các luật lệ lọc packet này là dựa trên các thông tin ở đầu mỗi packet (packet header), dùng để cho phép truyền các packet đó ở trên mạng. Đó là:

 Địa chỉ IP nơi xuất phát (Source)  Địa chỉ IP nơi nhận ( Destination)

 Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel …)  Cổng TCP/UDP nơi xuất phát

 Dạng thông báo ICMP  Giao diện packet đến  Giao diện packet đi

Nếu luật lệ lọc packet được thoả mãn thì packet được chuyển qua firewall. Nếu không packet sẽ bị bỏ đi. Nhờ vậy mà Firewall có thể ngăn cản được các kết nối vào các máy chủ hoặc mạng nào đó được xác định, hoặc khố việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép. Hơn nữa, việc kiểm soát các cổng làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất định vào các loại máy chủ nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP...) được phép mới chạy được trên hệ thống mạng cục bộ.

<b>4.1.1.1.Ưu điểm:</b>

Chi phí thấp vì cơ chế lọc packet đã được bao gồm trong mỗi phần mềm router.

Ngoài ra, bộ lọc packet là trong suốt đối với người sử dụng và các ứng dụng, vì vậy nó khơng u cầu sự huấn luyện đặc biệt nào cả.

<b>4.1.1.2. Hạn chế: </b>

Việc định nghĩa các chế độ lọc package là một việc khá phức tạp, đòi hỏi người quản trị mạng cần có hiểu biết chi tiết vể các dịch vụ Internet, các dạng packet header, và các giá trị cụ thể có thể nhận trên mỗi trường. Khi đòi hỏi vể sự

</div><span class="text_page_counter">Trang 13</span><div class="page_container" data-page="13">

lọc càng lớn, các luật lệ vể lọc càng trở nên dài và phức tạp, rất khó để quản lý và điều khiển.

Do làm việc dựa trên header của các packet, rõ ràng là bộ lọc packet khơng kiểm sốt được nội dung thông tin của packet. Các packet chuyển qua vẫn có thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu.

<b>4.1.2.Cổng ứng dụng (Application-Level Gateway)</b>

Đây là một loại Firewall được thiết kế để tăng cường chức năng kiểm soát các loại dịch vụ, giao thức được cho phép truy cập vào hệ thống mạng. Cơ chế hoạt động của nó dựa trên cách thức gọi là Proxy service. Proxy service là các bộ code đặc biệt cài đặt trên gateway cho từng ứng dụng. Nếu người quản trị mạng không cài đặt proxy code cho một ứng dụng nào đó, dịch vụ tương ứng sẽ khơng được cung cấp và do đó khơng thể chuyển thơng tin qua firewall. Ngồi ra, proxy code có thể được định cấu hình để hỗ trợ chỉ một số đặc điểm trong ứng dụng mà ngưòi quản trị mạng cho là chấp nhận được trong khi từ chối

Một cổng ứng dụng thường được coi như là một pháo đài (bastion host), bởi vì nó được thiết kế đặt biệt để chống lại sự tấn cơng từ bên ngồi. Những biện pháp đảm bảo an ninh của một bastion host là:

Bastion host ln chạy các version an tồn (secure version) của các phần mềm hệ thống (Operating system). Các version an tồn này được thiết kế chun cho mục đích chống lại sự tấn công vào Operating System, cũng như là đảm bảo sự tích hợp firewall.

Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài đặt trên bastion host, đơn giản chỉ vì nếu một dịch vụ khơng được cài đặt, nó khơng thể bị tấn cơng. Thơng thường, chỉ một số giới hạn các ứng dụng cho các dịch vụ Telnet, DNS, FTP, SMTP và xác thực user là được cài đặt trên bastion host.

Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau, ví dụ như user password hay smart card.

Mỗi proxy được đặt cấu hình để cho phép truy nhập chỉ một sồ các máy chủ nhất định. Điều này có nghĩa rằng bộ lệnh và đặc điểm thiết lập cho mỗi proxy chỉ đúng với một số máy chủ trên toàn hệ thống.

Mỗi proxy duy trì một quyển nhật ký ghi chép lại tồn bộ chi tiết của giao thơng qua nó, mỗi sự kết nối, khoảng thời gian kết nối. Nhật ký này rất có ích trong việc tìm theo dấu vết hay ngăn chặn kẻ phá hoại.

</div><span class="text_page_counter">Trang 14</span><div class="page_container" data-page="14">

Mỗi proxy đều độc lập với các proxies khác trên bastion host. Điều này cho phép dễ dàng quá trình cài đặt một proxy mới, hay tháo gỡ mơt proxy đang có vấn để.

<b>4.1.2.1. Ưu điểm:</b>

Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ trên mạng, bởi vì ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủ nào có thể truy nhập được bởi các dịch vụ.

Cho phép người quản trị mạng hoàn toàn điều khiển được những dịch vụ nào cho phép, bởi vì sự vắng mặt của các proxy cho các dịch vụ tương ứng có nghĩa là các dịch vụ ấy bị khoá.

Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt, và nó có nhật ký ghi chép lại thông tin về truy nhập hệ thống.

Luật lệ lọc filltering cho cổng ứng dụng là dễ dàng cấu hình và kiểm tra hơn so với bộ lọc packet.

<b>4.1.2.2.Hạn chế: </b>

Yêu cầu các users thay đổi thao tác, hoặc thay đổi phần mềm đã cài đặt trên máy client cho truy nhập vào các dịch vụ proxy. Chẳng hạn, Telnet truy nhập qua cổng ứng dụng đòi hỏi hai bước để nối với máy chủ chứ không phải là một bước thôi. Tuy nhiên, cũng đã có một số phần mềm client cho phép ứng dụng trên cổng ứng dụng là trong suốt, bằng cách cho phép user chỉ ra máy đích chứ khơng phải cổng ứng dụng trên lệnh Telnet.

<b>4.1.3.Cổng vòng (circui-level gateway)</b>

Cổng vòng là một chức năng đặc biệt có thể thực hiện được bởi một cổng ứng dụng. Cổng vòng đơn giản chỉ chuyển tiếp (relay) các kết nối TCP mà không thực hiện bất kỳ một hành động xử lý hay lọc packet nào.

Cổng vòng thường được sử dụng cho những kết nối ra ngoài, nơi mà các quản trị mạng thật sự tin tưởng những người dùng bên trong. Ưu điểm lớn nhất là một bastion host có thể được cấu hình như là một hỗn hợp cung cấp Cổng ứng dụng cho những kết nối đến, và cổng vòng cho các kết nối đi. Điều này làm cho hệ thống bức tường lửa dễ dàng sử dụng cho những người trong mạng nội bộ muốn trực tiếp truy nhập tới các dịch vụ Internet, trong khi vẫn cung cấp chức năng bức tường lửa để bảo vệ mạng nội bộ từ những sự tấn công bên ngồi.

<b>5. Những mơ hình Firewall phổ biến hiện nay.</b>

</div><span class="text_page_counter">Trang 15</span><div class="page_container" data-page="15">

<b>5.1. Edge Firewall</b>

<i>4. Sơ đồ mơ hình Edge Firewall</i>

<b>Edge Firewall template </b>

là một network template cơ bản giúp kết nối mạng bên trong với Internet, và được bảo vệ bởi Forefront TMG. Để sử dụng Edge Firewall template yêu cầu tối thiểu phải có hai network Adapter trên Forefront TMG Server. Đây là tùy chọn mặc định và một trong những tùy

chọn được sử dụng phổ biến nhất. Điều này sẽ tạo ra một mạng nội bộ phân cách với mạng bên ngồi thơng qua TMG.

<b>5.2.3-Leg Perimeter </b>

5 Mơ hình 3-Leg Perimeter

<b>3-Leg Perimeter Firewall </b>

là một Forefront TMG Server với ba hoặc nhiều network adapter. Một network adapter kết nối mạng bên trong, một network adapter kết nối với mạng bên ngoài và một network adapter kết nối với DMZ (Demilitarized Zone), cũng được gọi là Perimeter Network.

</div><span class="text_page_counter">Trang 16</span><div class="page_container" data-page="16">

<b>Perimeter Network </b>

gồm có các dịch vụ, nên cần có thể truy cập từ Internet nhưng cũng được bảo vệ bởi Forefront TMG. Các dịch vụ điển hình trong một DMZ là Web Server, DNS Server hoặc Mail Server. Một 3-Leg Perimeter Firewall cũng thường được gọi là “Poor Man’s Firewall”, nó khơng phải là một DMZ “đích thực”. Một DMZ đích thực chính là vùng giữa hai Firewall khác nhau.

<b>5.3.Back Firewall</b>

Tùy chọn này được sử dụng khi bạn có một bức tường lửa, chẳng hạn như một bức tường lửa TMG, tường lửa firewall ISA hoặc bên thứ 3, trước các bức tường lửa TMG, một chu vi TMG Firewall Network sẽ được tự động tao ra cũng như một mặc định mạng nội bộ.

Back Firewall template có thể được sử dụng bởi Forefront TMG Administrator, khi Forefront TMG được đặt phía sau Front Firewall. Back firewall sẽ bảo vệ mạng bên trong đối với việc truy cập từ DMZ và mạng bên ngồi, nó có thể điều khiển lưu lượng được phép từ các máy tính trong DMZ và từ Front Firewall.

<b>5.4. Single-Network Adapter</b>

6 Mơ hình Back Firewall

</div><span class="text_page_counter">Trang 17</span><div class="page_container" data-page="17">

7 Mơ hình Single-Network Adapter

Tùy chọn này được sử dụng khi bạn có một NIC đã được cài đặt trên các bức tường lửa TMG. Điều này chỉ được sử dụng khi các bức tường lửa là nó được sử dụng như một máy chủ proxy web. Cấu hình này khơng hỗ trợ bất kỳ giao thức khác hơn so với HTTP, HTTPS và FTP. Nó hỗ trợ truy cập từ xa VPN

Single Network Adapter template có một số hạn chế vì một Forefront TMG server với chỉ một giao diện mạng không thể được sử dụng như một Firewall thực sự, vì vậy nhiều dịch vụ theo đó mà khơng có. Nó chỉ có các tính năng dưới đây:

 Chuyển tiếp các request của Web Proxy có sử dụng HTTP, Secure HTTP (HTTPS), hoặc File Transfer Protocol (FTP) cho các download.

 Lưu trữ nội dung web phục vụ cho các máy khách trên mạng công ty.  Web publishing để bảo vệ các máy chủ FTP và published Web

 Microsoft Outlook Web Access, ActiveSync và RPC trên HTTP (cũng được gọi là Outlook Anywhere trong Exchange Server 2007).

Network Setup Wizard còn cho phép bạn xác định các thiết lập IP cho NIC. Một cải tiến khác trên ISA Server 2006 Network Template Wizard, là khi bạn chọn 3-Leg hoặc Back Firewall. Trong những trường hợp này, Network Setup Wizard cung cấp cho bạn khả năng lựa chọn các mối quan hệ mạng NAT hoặc Route. Đây là một cải tiến lớn, trên ISA Server 2006 Mẫu Wizard trong khơng có giả định về mối quan hệ này.

</div><span class="text_page_counter">Trang 18</span><div class="page_container" data-page="18">

<b>II. CHƯƠNG 2 TỔNG QUÁT FIREWALL CISCO ASA.1. Giới thiệu về Firewall Cisco ASA.</b>

<b>Cisco Systems, Inc. là một tập đoàn cơng nghệ đa quốc gia của Mỹ có trụ sở </b>

<b>chính tại San Jose, California được thành lập vào tháng 12 năm 1984 bởi Leonard </b>

<b>Bosack và Sandy Lerner, hai nhà khoa học máy tính của Đại học Stanford.</b>

Cisco Systems là hãng chuyên sản xuất và đưa ra các giải pháp mạng LAN & WAN lớn nhất thế giới hiện nay. bởi sự tiện dụng và thông minh khi sản xuất ra các sản phẩm đáp ứng nhu cầu của các doanh nghiệp từ vừa và nhỏ đến lớn.

Cisco ASA viết tắt của từ: Cisco Adaptive Security Appliance. ASA là một giải pháp bảo mật đầu cuối chính của Cisco. Hiện tại ASA là sản phẩm bảo mật dẫn đầu trên thị trường về hiệu năng và cung cấp các mơ hình phù hợp doanh nghiệp.

<b>2. Các thuộc tính của Firewall Cisco ASA.</b>

Firewall ASA của Cisco có những thuộc tính sau:

 Bảo mật thời gian thực, hệ điều hành độc quyền của Cisco  Công nghệ Stateful firewall sử dụng thuật toán SA của Cisco  Sử dụng SNR để bảo mật kết nối TCP

 Sử dụng Cut through proxy để chứng thực telnet, http, ftp

 Chính sách bảo mật mặc định gia tăng bảo vệ mức tối đa và cũng có khả năng tùy chỉnh những chính sách này và xây dựng lên chính sách của riêng bạn

 VPN: IPSec, SSL và L2TP

 Tích hợp hệ thống ngăn ngừa và phát hiện xâm nhập IDS/IPS  NAT động, NAT tĩnh, NAT port

 Ảo hóa các chính sách sử dụng Context.

</div><span class="text_page_counter">Trang 19</span><div class="page_container" data-page="19">

<b>3.Cơ chế hoạt động</b>

Cisco ASA hoạt động theo cơ chế giám sát gói tin theo trạng thái (Stateful Packet Inspection), thực hiện điều khiển trạng thái kết nối khi qua thiết bị bảo mật (ghi nhận trạng thái của từng gói tin thuộc kết nối xác định theo loại giao thức hay ứng dụng). Cho phép kết nối một chiều (outbound-đi ra) với rất ít việc cấu hình. Một kết nối đi ra là một kết nối từ thiết bị trên cổng có mức bảo mật cao đến thiết bị trên mạng có mức bảo mật thấp hơn.

Trạng thái được ghi nhận sẽ dùng để giám sát và kiểm tra gói trở về. Thay đổi ngẫu nhiên giá trị tuần tự (sequence number) trong gói TCP để giảm rủi ro của sự tấn công.

Hoạt động theo kiến trúc phân vùng bảo mật dựa theo cổng, cổng tin cậy (trusted) hay mức bảo mật cao và cổng không tin cậy (untrusted) hay mức bảo mật thấp. Quy tắc chính cho mức bảo mật đó là thiết bị từ vùng tin cậy có thể truy cập được thiết bị trong vùng không tin cậy. Ngược lại thiết bị từ vùng không tin cậy không thể truy cập tới thiết bị vùng tin cậy trừ khi được cho phép bởi ACL.

<b>4.Các chức năng cơ bản của firewall ASA</b>

<b>4.1.Quản lý file</b>

<i>Có hai loại file cấu hình trong các thiết bị an ninh Cisco: </i>

<i>running-configuration và startup-running-configuration. </i>

 Loại file đầu tiên

<b> running-configuration </b>

là một trong những file hiện đang chạy trên thiết bị, và được lưu trữ trong bộ nhớ RAM của firewall. Bạn có thể

<i>xem cấu hình này bằng cách gõ show running-config từ các chế độ Privileged. Bất </i>

kỳ lệnh mà bạn nhập vào firewall được lưu trực tiếp bằng trong running-config và có hiệu lực thi hành ngay lập tức. Kể từ khi cấu hình chạy được lưu trong bộ nhớ RAM, nếu thiết bị bị mất nguồn, nó sẽ mất bất kỳ thay đổi cấu hình mà khơng được

<i><b>lưu trước đó. Để lưu lại cấu hình đang chạy, sử dụng copy run start hoặc write </b></i>

<i>memory. Hai lệnh này sẽ copy running-config vào startup-config cái mà được lưu </i>

trữ trong bộ nhớ flash.

 Loại thứ hai

<b> startup-configuration </b>

là cấu hình sao lưu của running-configuration. Nó được lưu trữ trong bộ nhớ flash, vì vậy nó khơng bị mất khi các thiết bị khởi động lại. Ngoài ra, startup-configuration được tải khi thiết bị khởi động.

<i>Để xem startup-configuration được lưu trữ, gõ lệnh show startup-config.</i>

<b>4.2.Mức độ bảo mật</b>

Security Level được gán cho interface (hoặc vật lý hay logical sub-interfaces) và cơ bản nó là một số từ 0-100 được chỉ định với interface liên quan đến một interface khác trên thiết bị. Mức độ bảo mật cao hơn thì interface càng đáng tin cậy

</div><span class="text_page_counter">Trang 20</span><div class="page_container" data-page="20">

hơn. Vì mỗi interface firewall đại diện cho một mạng cụ thể (hoặc khu vực an ninh) bằng cách sử dụng mức độ bảo mật. Các quy tắc chính cho mức độ bảo mật là một interface với một mức độ bảo mật cao hơn có thể truy cập vào một interface với một mức độ bảo mật thấp hơn. Mặt khác, một interface với một mức độ bảo mật thấp hơn không thể truy cập vào một interface với một mức độ bảo mật cao hơn, mà không có sự cho phép rõ ràng của một quy tắc bảo mật (Access Control List - ACL).

<b>Một số mức độ bảo mật điển hình:</b>

 <b>Security Level 0: Đây là mức độ bảo mật thấp nhất và nó được gán mặc định</b>

interface bên ngồi của firewall. Đó là mức độ bảo mật ít tin cậy nhất và phải được chỉ định phù hợp với mạng (interface) mà chúng ta không muốn nó có bất kỳ truy cập vào mạng nội bộ của chúng ta. Mức độ bảo mật này thường được gán cho interface kết nối với Internet. Điều này có nghĩa rằng tất cả các thiết bị kết nối Internet khơng thể có quyền truy cập vào bất kỳ mạng phía sau firewall, trừ khi một quy tắc ACL rõ ràng cho phép.

 <b>Security Level 1 đến 99: Những mức độ bảo mật có thể được khu vực bảo</b>

mật vịng ngồi (ví dụ như khu vực DMZ, khu vực quản lý,...).

 <b>Security Level 100: Đây là mức độ bảo mật cao nhất và nó được gán mặc định</b>

interface bên trong của tường lửa. Đây là mức độ bảo mật đáng tin cậy nhất và phải được gán cho mạng (interface) mà chúng ta muốn áp dụng bảo vệ nhiều nhất từ các thiết bị an ninh.Mức độ bảo mật này thường được gán cho interface kết nối mạng nội bộ cơng ty đằng sau nó.

Việc truy cập giữa Security Level tuân theo các quy định sau:

 Truy cập từ Security Level cao hơn tới Security Level thấp hơn: Cho phép tất cả lưu lượng truy cập có nguồn gốc từ Security Level cao hơn trừ khi quy định cụ thể bị hạn chế bởi một Access Control List (ACL). Nếu NAT-Control được kích

<i>hoạt trên thiết bị, sau đó phải có một cặp chuyển đổi nat/global giữa các interface</i>

có Security Level từ cao tới thấp.

 Truy cập từ Security Level thấp hơn Security Level cao hơn: Chặn tất cả lưu lượng truy cập trừ khi được cho phép bởi một ACL. Nếu NAT-Control được kích hoạt trên thiết bị này, sau đó phải là một NAT tĩnh giữa các interface có Security Level từ cao tới thấp.

 Truy cập giữa các interface có cùng một Security Level: theo mặc định là

<i><b>không được phép, trừ khi bạn cấu hình lệnh same-security-traffic permit.</b></i>

</div><span class="text_page_counter">Trang 21</span><div class="page_container" data-page="21">

<b>4.3.Điều khiển truy cập mạng</b>

Cisco Adaptive Security Appliances (ASA) có thể giúp bảo vệ một hoặc nhiều mạng từ những kẻ xâm nhập và tấn công. Kết nối giữa các mạng này có thể được kiểm sốt và theo dõi bằng cách sử dụng các tính năng mạnh mẽ mà Cisco ASA cung cấp. Có thể đảm bảo rằng tất cả lưu lượng truy cập từ các mạng tin cậy cho đến mạng không tin cậy (và ngược lại) đi qua các tường lửa dựa trên chính sách đảm bảo an tồn của hệ thống tường lửa ASA.

<b>4.3.1.Lọc gói</b>

Cisco ASA có thể bảo vệ mạng bên trong (inside), các khu phi quân sự (DMZ) và mạng bên ngoài (outside) bằng cách kiểm tra tất cả lưu lượng đi qua nó. Có thể xác định chính sách và quy tắc cho những lưu lượng được cho phép hoặc không cho phép đi qua interface. Các thiết bị bảo mật sử dụng access control list (ACL) để giảm lưu lượng truy cập không mong muốn hoặc khơng biết khi nó cố gắng để vào mạng đáng tin cậy. Một ACL là danh sách các quy tắc an ninh, chính sách nhóm lại với nhau cho phép hoặc từ chối các gói tin sau khi nhìn vào các tiêu đề gói (packet header) và các thuộc tính khác. Mỗi phát biểu cho phép hoặc từ chối trong ACL được gọi là một access control entry (ACE). Các ACE có thể phân loại các gói dữ liệu bằng cách kiểm tra ở layer 2, layer 3 và layer 4 trong mơ hình OSI bao gồm:

 Kiểm tra thơng tin giao thức layer 2: ethertypes.

 Kiểm tra thông tin giao thức layer 3: ICMP, TCP or UDP, kiểm tra địa chỉ IP nguồn và đích .

 Kiểm tra thơng tin giao thức layer 4: port TCP/UDP nguồn và đích

Khi một ACL đã được cấu hình đúng, có thể áp dụng vào interface để lọc lưu lượng. Các thiết bị an ninh có thể lọc các gói tin theo hướng đi vào (inbound) và đi ra (outbound) từ interface. Khi một ACL được áp dụng đi vào interface, các thiết bị an ninh kiểm tra các gói chống lại các ACE sau khi nhận được hoặc trước khi truyền đi. Nếu một gói được cho phép đi vào, các thiết bị an ninh tiếp tục quá trình này bằng cách gửi nó qua các cấu hình khác. Nếu một gói tin bị từ chối bởi các ACL, các thiết bị an ninh loại bỏ các gói dữ liệu và tạo ra một thông điệp syslog chỉ ra một sự kiện đã xảy ra.

Nếu một ACL được áp dụng trên một interface, các thiết bị an ninh xử lý các gói dữ liệu bằng cách gửi các packet thơng qua các q trình khác nhau (NAT, QoS, và VPN) và sau đó áp dụng các cấu hình ACE trước khi truyền các gói dữ liệu này. Các thiết bị an ninh truyền các gói dữ liệu chỉ khi chúng được phép đi ra ngồi.

Các loại Access Control List:

</div><span class="text_page_counter">Trang 22</span><div class="page_container" data-page="22">

Có năm loại ACL khác nhau đã cung cấp một cách linh hoạt và khả năng mở rộng để lọc các gói trái phép bao gồm:

<b>Standard ACL: </b>

Chuẩn Standard ACL được sử dụng để xác định các gói dữ liệu dựa trên địa chỉ IP đích.Các ACL ở đây có thể được sử dụng để phân chia các luồng lưu thông trong truy cập từ xa VPN và phân phối lại các luồng này bằng sơ đồ định tuyến.Chuẩn Standard ACL chỉ có thể được sử dụng để lọc các gói khi và chỉ khi các thiết bị bảo mạng hoạt động ở chế độ định tuyến,ngăn truy cập từ mạng con này đến mạng con khác.

<b>Extended ACL: </b>

Chuẩn Extended là một chuẩn phổ biết nhất, có thể phân loại các gói dữ liệu dựa trên các đặc tính sau:

 Địa chỉ nguồn và địa chỉ đích.  Giao thức lớp 3.

 Địa chỉ nguồn hoặc địa chỉ của cổng TCP và UDP.  Điểm đến ICMP dành cho các gói ICMP.

 Một chuẩn ACL mở rộng có thể được sử dụng cho q trình lọc gói, phân loại các gói QoS, nhận dạng các gói cho cơ chế NAT và mã hóa VPN.

ACL. Tuy nhiên chỉ nhận biết các lưu lượng là địa chỉ IPV6 lưu thông qua thiết bị bảo mật ở chế độ định tuyến.

<b>Ethertype ACL: </b>

Chuẩn Ethertype có thể được sử dụng để lọc IP hoặc lọc gói tin bằng cách kiểm tra đoạn mã trong trường Ethernet ở phần đầu lớp 2. Một Ethertype ACL chỉ có thể được cấu hình chỉ khi các thiết bị bảo mật đang chạy ở chế độ trong suốt (transparent). Lưu ý rằng ở chuẩn này các thiết bị bảo mật không cho phép dạng IPV6 lưu thông qua, ngay cả khi được phép đi qua IPV6 Ethertype ACL.

<b>WebVPN ACL: </b>

Một WebVPN ACL cho phép người quản trị hệ thống hạn chế lưu lượng truy cập đến từ luồng WebVPN. Trong trường hợp có một ACL WebVPN được xác định nhưng khơng phù hợp một gói tin nào đó,mặc định gói tin đó sẽ bị loại bỏ. Mặc khác, nếu khơng có ACL xác định,các thiết bị bảo mật sẽ cho phép lưu thông qua nó. ACL xác định lưu lượng truy cập bằng cách cho phép hoặc loại bỏ gói tin khi nó cố gắng đi qua thiết bị bảo mật. Một ACE đơn giản là cho

</div><span class="text_page_counter">Trang 23</span><div class="page_container" data-page="23">

phép tất cả các địa chỉ IP truy cập từ một mạng này đến mạng khác, phức tạp hơn là nó cho phép lưu thông từ một địa chỉ IP cụ thể ở một cổng riêng biệt đến một cổng khác ở địa chỉ đích. Một ACE được thiết kế bằng cách sử dụng các lệnh điều khiển truy cập để thiết lập cho thiết bị bảo mật.

<b>4.3.2.Lọc nội dung và URL</b>

Theo truyền thống firewall chặn các gói dữ liệu bằng cách kiểm tra thơng tin gói ở layer 3 hoặc Layer 4. Cisco ASA có thể nâng cao chức năng này bằng cách kiểm tra nội dung thông tin một vài giao thức ở layer 7 như HTTP, HTTPS, và FTP. Căn cứ vào chính sách bảo mật của một tổ chức, các thiết bị an ninh có thể cho phép hoặc chặn các packet chứa nội dụng không cho phép. Cisco ASA hỗ trợ hai loại lớp ứng dụng lọc: Content Filtering và URL Filtering

<b>Content Filtering</b>

Việc kích hoạt Java hoặc ActiveX trong mơi trường làm việc có thể khiến người dùng dễ dàng tải về tập tin thực thi độc hại có thể gây ra mất mát các tập tin hoặc hư hại các tập tin trong môi trường sử dụng.

Một chun gia an ninh mạng có thể vơ hiệu hố Java và xử lý ActiveX trong trình duyệt, nhưng điều này không phải là một giải pháp tốt nhất.

Có thể chọn một cách khác là sử dụng một thiết bị mạng như Cisco ASA để loại bỏ các nội dung độc hại từ các gói tin. Sử dụng tính năng lọc nội dung cục bộ, các thiết bị an ninh có thể kiểm tra các tiêu đề HTTP và lọc ra các ActiveX và Java applet khi các gói dữ liệu cố gắng đi qua từ máy khơng tin cậy. Cisco ASA có thể phân biệt giữa các applet tin cậy và applet không tin cậy. Nếu một trang web đáng tin cậy gửi Java hoặc ActiveX applet các thiết bị bảo mật có thể chuyển đến các máy chủ yêu cầu kết nối. Nếu các applet được gửi từ các máy chủ web không tin cậy, thiết bị bảo mật có thể sửa đổi nội dung và loại bỏ các đính kèm từ các gói tin. Bằng cách này, người dùng cuối không phải quyết định đến các applet được chấp nhận hoặc từ chối. Họ có thể tải về bất kỳ applet mà không phải lo lắng.

<b>URL Filtering</b>

ActiveX có thể gây ra vấn đề tiềm năng nguy hại trên các thiết bị mạng nếu mã độc ActiveX được tải về trên máy. Các mã ActiveX được đưa vào các trang web bằng cách sử dụng thẻ HTML <OBJECT> và </ OBJECT>. Các thiết bị an ninh tìm kiếm các thẻ cho lưu lượng có nguồn gốc trên một cổng cấu hình sẵn. Nếu các thiết bị an ninh phát hiện các thẻ này, nó thay thế chúng bằng các thẻ chú thích <!-- and

</div><span class="text_page_counter">Trang 24</span><div class="page_container" data-page="24">

-->. Khi trình duyệt nhận được các gói dữ liệu HTTP với <!-- and -->, nó bỏ qua các nội dung thực tế bằng cách giả sử rằng nội dung là ý kiến của tác giả.

Lưu ý: các thiết bị an ninh không thể nhận ra các thẻ HTML nếu chúng được phân chia giữa nhiều gói mạng.

<b>4.3.3.Chuyển đổi địa chỉ</b>

<b>Network Address Translation</b>

NAT hay cịn gọi là Network Address Translation là một kĩ thuật được phát minh lúc khởi đầu dùng để giải quyết vấn đề IP shortage, nhưng dần dần nó chứng tỏ nhiều ưu điểm mà lúc phát minh ra nó người ta không nghĩ tới, một trong những lợi điểm của NAT ngày nay được ứng dụng nhiều nhất là NAT cho phép:

 Chia sẻ kết nối Internet với nhiều máy bên trong LAN với một địa chỉ IP của WAN

 Firewall, nó giúp dấu tất cả IP bên trong LAN với thế giới bên ngồi, tránh sự dịm ngó của hackers.

 Tính linh hoạt và sự dễ dàng trong việc quản lý

 NAT giúp cho các home user và các doanh nghiệp nhỏ có thể tạo kết nối với internet một cách dễ dàng và hiệu quả cũng như giúp tiết kiệm vốn đầu tư.

NAT giống như một router, nó chuyển tiếp các gói tin giữa những lớp mạng khác nhau trên một mạng lớn. NAT dịch hay thay đổi một hoặc cả hai địa chỉ bên trong một gói tin khi gói tin đó đi qua một router, hay một số thiết bị khác. Thông thường, NAT thường thay đổi địa chỉ (thường là địa chỉ riêng) được dùng bên trong một mạng sang địa chỉ cơng cộng.

NAT cũng có thể coi như một firewall cơ bản. Để thực hiện được công việc đó, NAT duy trì một bảng thơng tin về mỗi gói tin được gửi qua. Khi một PC trên mạng kết nối đến một website trên Internet, header của địa chỉ IP nguồn được thay đổi và thay thế bằng địa chỉ IP Public mà đã được cấu hình sẵn trên NAT server, sau khi có gói tin trở về NAT dựa vào bảng record mà nó đã lưu về các gói tin, thay đổi địa chỉ IP đích thành địa chỉ của PC trong mạng và chuyển tiếp đi. Thông qua cơ chế đó quản trị mạng có khả năng lọc các gói tin được gửi đến hay gửi từ một địa chỉ IP và cho phép hay cấm truy cập đến một port cụ thể.

</div><span class="text_page_counter">Trang 25</span><div class="page_container" data-page="25">

<b>NAT tĩnh</b>

Với NAT tĩnh, địa chỉ IP thường được ánh xạ tĩnh với nhau thơng qua các lệnh cấu hình. Trong NAT tĩnh, một địa chỉ Inside Local luôn luôn được ánh xạ vào địa chỉ Inside Global. Nếu được sử dụng, mỗi địa chỉ Outside Local luôn luôn ánh xạ vào cùng địa chỉ Outside Global. NAT tĩnh không tiết kiệm địa chỉ thực.

Mặc dù NAT tĩnh không giúp tiết kiệm địa chỉ IP, cơ chế NAT tĩnh cho phép một máy chủ bên trong hiện diện ra ngoài Internet, bởi vì máy chủ sẽ ln dùng cùng một địa chỉ IP thực.

Cách thức thực hiện NAT tĩnh thì dễ dàng vì tồn bộ cơ chế dịch địa chỉ được thực hiện bởi một công thức đơn giản:

<b>NAT động</b>

NAT động phức tạp hơn NAT tĩnh, vì thế chúng phải lưu giữ lại thông tin kết nối và thậm chí tìm thơng tin của TCP trong packet, dùng nó thay cho NAT tĩnh vì mục đích bảo mật. Từ bên ngồi khơng thể tìm được IP nào kết nối với host chỉ định vì tại thời điểm tiếp theo host này có thể nhận một IP hoàn toàn khác.

Những kết nối từ bên ngồi thì chỉ có thể tìm được địa chỉ IP khi những host này vẫn còn nắm giữ một IP trong bảng NAT động. Nơi mà NAT router lưu giữ những thông tin về IP bên trong (IP nguồn) được liên kết với NAT-IP (IP đích).

<i>Cấu hình dynamic NAT trên thiết bị Cisco ASA: Lệnh NAT xác định máy chủ nội bộ sẽ được dịch, và lệnh global xác định các pool địa chỉ trên outgoing </i>

8 Công thức cấu hình NAT tĩnh

9 Cơng thức cấu hình NAT động

</div><span class="text_page_counter">Trang 26</span><div class="page_container" data-page="26">

<b>Port Address Translation (PAT)</b>

PAT dùng để ánh xạ nhiều địa chỉ IP riêng sang một địa chỉ cơng cộng vì mỗi địa chỉ riêng được phân biệt bằng số port. Có tới 65, 356 địa chỉ nội bộ có thể chuyển đổi sang một địa chỉ cơng cộng, nhưng thực tế thì chỉ có khoảng 4000 port có thể chuyển đổi sang một địa chỉ công cộng. PAT hoạt động bằng cách đánh dấu một số dòng lưu lượng TCP hoặc UDP từ nhiều máy cục bộ bên trong xuất hiện như cùng từ một hoặc một vài địa chỉ Inside Global. Và bởi vì các trường của cổng có chiều dài 16 bit, mỗi địa chỉ Inside Global có thể hỗ trợ lên đến 65,000 kết nối TCP và UDP đồng thời.

<i><b> Mối quan hệ giữa NAT và PAT:</b></i>

PAT có mối quan hệ gần gũi với NAT nên vẫn thường được gọi là NAT. Trong NAT, nhìn chung chỉ địa chỉ IP được đổi có sự tương ứng 1:1 giữa địa chỉ riêng và địa chỉ công cộng.

Trong PAT cả địa chỉ riêng của người gửi và cổng đều được thay đổi. Thiết bị PAT sẽ chọn số cổng mà các hosts trên mạng công cộng sẽ nhìn thấy.

Trong NAT những gói tin từ ngồi mạng vào được định tuyến tới địa chỉ IP đích của nó trên mạng riêng bằng cách tham chiếu địa chỉ ngưồn đi vào.

Trong PAT chỉ có một địa chỉ IP cơng cộng được nhìn thấy từ bên ngồi và gói tin đi vào từ mạng cơng cộng được định tuyến tới đích của chúng trên mạng riêng bằng cách tham chiếu tới bảng quản lý từng cặp cổng private và public lưu trong thiết bị PAT. Cái này thường được gọi là connection tracking (truy vất kết nối).

<b>10 Mô tả cơ chết PAT</b>

</div><span class="text_page_counter">Trang 27</span><div class="page_container" data-page="27">

Một số thiết bị cung cấp NAT như broadband routers, thực tế cung cấp PAT nên có sự nhầm lẫn đáng kể giữa các thuật ngữ. Nhìn chung người ta sử dụng NAT để bao gồm những thiết bị PAT.

<b>4.4.Giao thức định tuyến</b>

Một số thực hành giao thức định tuyến tốt nhất cho các ASA:

Đối với các mạng nhỏ, chỉ sử dụng định tuyến tĩnh. Sử dụng định tuyến tĩnh mặc định chỉ là địa chỉ gateway kết nối với outside interface (thường là Internet), và cũng sử dụng các định tuyến tĩnh cho các mạng nội bộ có nhiều hơn 1 hop (tức là không kết nối trực tiếp).

Bất kỳ mạng được kết nối trực tiếp vào một ASA interface khơng cần bất kỳ cấu hình định tuyến tĩnh nào, firewall ASA sẽ làm những việc này.

Nếu ASA là kết nối trên vành đai của mạng (tức là biên giới giữa các mạng đáng tin cậy và khơng tin cậy), thì xác định một kết nối mặc định đối với các mạng bên ngồi khơng đáng tin cậy, và sau đó cấu hình định tuyến tĩnh cụ thể đối với các mạng nội bộ.

Nếu ASA là nằm bên trong một mạng rộng lớn với các tuyến đường mạng nội bộ nhiều, thì sử dụng cấu hình một giao thức định tuyến động.

Các kỹ thuật định tuyến:

<b>Định tuyến tĩnh</b>

Có 3 loại định tuyến tĩnh:

<b>Directly Connected Route</b>

: các đường kết nối trực tiếp được tự động tạo ra trong bảng định tuyến ASA khi bạn cấu hình một địa chỉ IP trên một giao diện thiết bị

<b>Normal Static Route</b>

: cung cấp đường đi cố định về một mạng cụ thể nào đó.

<b>Default Route</b>

: Default route là tuyến đường mặc định được cấu hình tĩnh của router là nơi mà khi router nhận được một gói tin cần chuyển đến mạng nào đó mà mạng đó khơng có trong bảng định tuyến của router đó thì nó sẽ đẩy ra default route.

<b>Định tuyến động</b>

</div>

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×