Đồ án tốt nghiệp Tìm hiểu Firewall Cisco ASA5520
MỤC LỤC
MỤC LỤC 1
DANH SÁCH CÁC BẢNG 4
DANH MỤC CÁC TỪ VIẾT TẮT 5
CHƯƠNG 1: TỔNG QUAN VỀ FIREWALL 8
1.1. KHÁI NIỆM VỀ FIREWALL 8
1.2. MỤC ĐÍCH CỦA FIREWALL 8
1.3. PHÂN LOẠI FIREWALL 11
1.3.1. Firewall phần cứng 12
1.3.2. Firewall phần mềm 12
1.4. KỸ THUẬT VÀ CÔNG NGHỆ FIREWALL 12
1.4.1. Packet Filtering 13
1.4.2 Proxy 14
1.4.2.1. Cổng mức mạch 14
1.4.2.2. Cổng ứng dụng 16
1.4.3. Statefull Inspection Firewall (SIF) 19
1.5. KIẾN TRÚC CỦA FIREWALL 20
1.5.1. Screening Router 20
1.5.2. Kiến trúc Dual - Homed host 21
1.5.3. Kiến trúc Screend Host 22
1.5.4. Kiến trúc Screened Subnet 24
1.5.5. Sử dụng nhiều Bastion Host 25
CHƯƠNG 2: KỸ THUẬT VÀ CÔNG NGHỆ TƯỜNG LỬA CISCO 28
2.1. LỊCH SỬ RA ĐỜI. 28
2.2. TỔNG QUAN VỀ TƯỜNG LỬA CỦA CISCO: 29
2.3. NGUYÊN TẮC HOẠT ĐỘNG CỦA TƯỜNG LỬA CISCO 30
2.3.1. Định tuyến lưu lượng qua tường lửa 31
2.3.2. Truy cập thông qua tường lửa 32
2.3.3. Truy cập ra ngoài thông qua tường lửa 32
2.3.4. Truy cập vào trong thông qua tường lửa 33

2.4. CÔNG NGHỆ TÍCH HỢP TRÊN TƯỜNG LỬA CISCO 34
2.4.1. Công nghệ Stateful Inspection 34
2.4.2. Công nghệ Cut-Through Proxy 35
2.4.3. Applicatin-Aware Inspection 36
Đinh Hoàng Thái - 1 -
Lớp AT3C
Đồ án tốt nghiệp Tìm hiểu Firewall Cisco ASA5520
2.4.4. Virtual Private Network 37
2.4.5. Security Context (Virtual Firewall) 39
2.4.6. Khả năng dự phòng - Failover Capabilities 40
2.4.7. Chế độ trong suốt (Transparent Mode) 41
2.4.8. Quản lý thiết bị qua giao diện web 43
2.5. CÁC DÒNG SẢN PHẨM TƯỜNG LỬA CISCO 44
2.5.1. Dòng sản phẩm thế hệ trước Cisco PIX Firewall 44
2.5.2. Dòng sản phẩm thế hệ mới Cisco ASA Firewall 45
CHƯƠNG 3: KHAI THÁC SẢN PHẨM FIREWALL CISCO ASA 5520 47
3.1. GIỚI THIỆU DÒNG SẢN PHẨM FIREWALL CISCO ASA 5520 47
3.2. CÁC LỆNH CẤU HÌNH CƠ BẢN 50
3.2.1. Lệnh nameif 50
3.2.2. Lệnh interface 50
3.2.3. Lệnh ip address 52
3.2.4. Lệnh nat 52
3.2.5. Lệnh global 52
3.2.6. Lệnh route 53
3.3. CẤU HÌNH MỘT SỐ DỊCH VỤ TRÊN FIREWALL CISCO ASA 5520 54
3.3.1. Publich website qua tường lửa Cisco 54
3.3.2. Cấu hình PAT cho phép vùng INSIDE ra ngoài INTERNET 58
3.3.3. Cấu hình dự phòng Failover Active/Stanby 60
3.4. NHẬN XÉT VÀ ĐÁNH GIÁ SẢN PHẨM 62
3.4.1. Tưởng lửa Checkpoint 63

3.4.2. Tưởng lửa Netscreen 64
3.5. ĐỀ XUẤT GIẢI PHÁP THIẾT KẾ HỆ THỐNG MẠNG VỚI TÍNH DỰ PHÒNG VÀ TÍNH SẴN SÀNG CAO VỚI FIREWALL CISCO
ASA5520 65
KẾT LUẬN 72
TÀI LIỆU THAM KHẢO 74
DANH SÁCH CÁC HÌNH VẼ
HÌNH 1. 1: FIREWALL ĐƯỢC ĐẶT Ở GIỮA MẠNG RIÊNG VÀ MẠNG CÔNG CỘNG 10
HÌNH 1. 2: SỬ DỤNG NHIỀU FIREWALL NHẰM TĂNG KHẢ NĂNG BẢO MẬT 11
Đinh Hoàng Thái - 2 -
Lớp AT3C
Đồ án tốt nghiệp Tìm hiểu Firewall Cisco ASA5520
HÌNH 1. 3: CÔNG NGHỆ FIREWALL PACKET - FILTERING 13
HÌNH 1. 4: CÔNG NGHỆ FIREWALL CỔNG MỨC MẠCH 15
HÌNH 1.5: MÔ HÌNH CỔNG ỨNG DỤNG 16
HÌNH 1.7: HOẠT ĐỘNG CỦA STATEFULL INSPECTION FIREWALL 20
HÌNH 1.8: MÔ HÌNH SCREENING ROUTER 20
HÌNH 1.9: KIẾN TRÚC DUAL - HOMED HOST 22
HÌNH 1.10: KIẾN TRÚC SCREENED HOST 24
HÌNH 1.11: KIẾN TRÚC SCREENED SUBNET 25
HÌNH 1.12: SƠ ĐỒ KIẾN TRÚC SỬ DỤNG 2 BASTION HOST 26
HÌNH 2.1 CÔNG NGHỆ STATEFUL INSPECTION 34
HÌNH 2.2: CÔNG NGHỆ CUT-THOUGH PROXY 36
HÌNH 2.3 CÔNG NGHỆ APPLICATION-AWARE INSPECTION 37
HÌNH 2.3 CÔNG NGHỆ MẠNG RIÊNG ẢO VPN 38
HÌNH 2.4 CÔNG NGHỆ TƯỜNG LỬA ẢO 39
HÌNH 2.5: CÔNG NGHỆ FAILOVER 40
HÌNH 2.6 CÔNG NGHỆ HOẠT ĐỘNG Ở CHẾ ĐÓ TRANSPARENT 41
HÌNH 2.7 GIẢI PHÁP GIAO DIỆN WEB 43
HÌNH 2.8 CÁC DÒNG SẢN PHẨM PIX 44
HÌNH 2.9 CÁC DÒNG SẢN PHẨM ASA 45

HÌNH 3.1 SẢN PHẨM FIREWALL CISCO ASA 5520 47
HÌNH 3.2 MẶT TRƯỚC FIREWALL CISCO ASA 5510, 5520, 5540 48
HÌNH 3.3 MẶT SAU FIREWALL CISCO ASA 5510, 5520, 5540 49
HÌNH 3.4: PORT TRÊN SẢN PHẨM FIREWALL CISCO ASA 5520 49
HÌNH 3.5: MÔ HÌNH DEMO NAT VÀ PAT 54
HÌNH 3.6: TRUY NHẬP WEB TỪ MÁY TÍNH TRONG VÙNG INSIDE 56
HÌNH 3.7: REMOTE DESKTOP TỪ VÙNG INSIDE 56
HÌNH 3.8: TRUY NHẬP WEB TỪ MÁY TÍNH NGOÀI INTERNET
57
HÌNH 3. 9: REMOTE DESKTOP TỪ MÁY TÍNH NGOÀI INTERNET 57
HÌNH 3. 10: KẾT QUẢ PING THÀNH CÔNG 58
HÌNH 3.11: BẢNG ÁNH XẠ ĐỊA CHỈ PAT 59
HÌNH 3.12: MÔ HÌNH FAILOVER ACTIVE/STANDBY 60
Đinh Hoàng Thái - 3 -
Lớp AT3C
Đồ án tốt nghiệp Tìm hiểu Firewall Cisco ASA5520
HÌNH 3.13 TƯỜNG LỬA CHECK POINT VPN-1 TRONG HỆ THỐNG MẠNG 64
HÌNH 3.14 TƯỜNG LỬA NETSCREEN TRONG HỆ THỐNG MẠNG 65
HÌNH 3.15: HỆ THỐNG MẠNG VỚI ASA 5520 66
HÌNH 3. 16: MÔ HÌNH TRIỂN KHAI FAILOVER ACTIVE/ACTIVE 68
DANH SÁCH CÁC BẢNG
BẢNG 1: THÔNG SỐ KỸ THUẬT FIREWALL CISCO ASA 5520 48
BẢNG 1: BẢNG PHÂN CHIA ĐỊA CHỈ 69
Đinh Hoàng Thái - 4 -
Lớp AT3C
Đồ án tốt nghiệp Tìm hiểu Firewall Cisco ASA5520
DANH MỤC CÁC TỪ VIẾT TẮT
STT CỤM TỪ VIẾT TẮT
1 Network Interface Controller NIC
2 Internet Protocol IP

3 Local Area Network LAN
4 Demilitarized Zone DMZ
5 File Transfer Protocol FTP
6 Simple Mail Transfer Protocol SMTP
7 Open Systems Interconnection OSI
8 Hypertext Transfer Protocol HTTP
9 Transmission Control Protocol TCP
10 Asymmetric Digital Subscriber Line ADSL
11 Personal Computer PC
12 Domain Name System DNS
13 Random Access Memory RAM
14 Internet Security and Acceleration ISA
15 Virtual Private Network VPN
16 Network Address Translation NAT
17 Wide Area Network WAN
18 Operating System OS
19 Post Office Protocol POP
20 Internet Message Access Protocol IMAP
Đinh Hoàng Thái - 5 -
Lớp AT3C
Đồ án tốt nghiệp Tìm hiểu Firewall Cisco ASA5520
LỜI MỞ ĐẦU
Trong thực tế hiện nay bảo mật thông tin đang đóng một vai trò thiết yếu
chứ không còn là “thứ yếu” trong mọi hoạt động liên quan đến việc ứng dụng
công nghệ thông tin. Khởi động từ những năm đầu thập niên 90, với một số ít
chuyên gia về CNTT, những hiểu biết còn hạn chế và đưa CNTT ứng dụng
trong các hoạt động sản xuất, giao dịch, quản lý còn khá khiêm tốn và chỉ
dừng lại ở mức công cụ, và đôi khi còn nhận thấy những công cụ “đắt tiền”
này còn gây một số cản trở, không đem lại những hiệu quả thiết thực cho
những tổ chức sử dụng nó.

Internet cho phép chúng ta truy cập tới mọi nơi trên thế giới thông qua
một số dịch vụ. Ngồi trước máy tính của mình bạn có thể biết được thông tin
trên toàn cầu, nhưng cũng chính vì thế mà hệ thống máy tính của bạn có thể bị
xâm nhập vào bất kỳ lúc nào mà bạn không hề được biết trước. Do vậy việc
bảo vệ hệ thống là một vấn đề chúng ta đáng phải quan tâm. Người ta đã đưa
ra khái niệm FireWall để giải quyết vấn đề này.
Để làm rõ các vấn đề này thì đồ án “ Nghiên cứu tìm hiểu về firewall
và khai thác sản phẩm firewall Cisco ASA 5520 ứng dụng bảo vệ website học
viện kỹ thuật Mật Mã ” sẽ cho chúng ta cái nhìn sâu hơn về khái niệm, cũng
như chức năng của Firewall.
Nội dung đồ án được chia làm 3 chương như sau:
• Chương 1 : Tổng quan về firewall, chương này sẽ cung cấp các
khái niệm cơ bản nhất về firewall cũng như kiến trúc và công nghệ
thiết kế firewall.
• Chương 2 : Kỹ thuật và công nghệ tường lửa Cisco, nội dung
chương này sẽ đề cập tới các tính năng, các công nghệ được ứng
dụng trong thiết bị firewall Cisco.
• Chương 3 : Khai thác sản phẩm Firewall Cisco ASA 5520, phần
này chúng ta sẽ đi vào việc khai thác sử dụng một số tính năng của
dòng sản phẩm Firewall ASA 5520 và ứng dụng trong thực tế.
Đinh Hoàng Thái - 6 -
Lớp AT3C
Đồ án tốt nghiệp Tìm hiểu Firewall Cisco ASA5520
Cuối cùng em xin chân thành cảm ơn Ths. Nguyễn Xuân Hà và các
thầy cô trong khoa CNTT đã giúp đỡ, hướng dẫn tận tình giúp em hoàn thành
tốt đồ án của mình.
Hà Nội, ngày 07 tháng 6 năm 2011
Sinh viên thực hiện
Đinh Hoàng Thái
Đinh Hoàng Thái - 7 -

Lớp AT3C
Đồ án tốt nghiệp Tìm hiểu Firewall Cisco ASA5520
CHƯƠNG 1: TỔNG QUAN VỀ FIREWALL
Nội dung của chương một chủ yếu nhắc tới các khái niệm cơ bản cũng
như các công nghệ , kiến trúc của hệ thống firewall. Qua đây giúp chúng ta
có được những hiểu biết cơ bản về firewall làm tiền đề cho việc đi xâu và
nghiên cứu một sản phẩm firewall nào đó.
1.1. Khái niệm về Firewall
Bức tường lửa (Firewall) hiểu một cách chung nhất, là cơ cấu để bảo vệ
một mạng máy tính chống lại sự truy nhập bất hợp pháp từ các (mạng) máy
tính khác. Firewall bao gồm các cơ cấu nhằm:
• Ngăn chặn truy nhập bất hợp pháp.
• Cho phép truy nhập sau khi đó kiểm tra tính xác thực của thực thể yêu
cầu truy nhập.
Trên thực tế, Firewall được thể hiện rất khác nhau: bằng phần mềm hoặc
phần cứng chuyên dùng, sử dụng một máy tính hoặc một mạng các máy tính.
Theo William Cheswick và Steven Beilovin là người tiên phong xây dựng hệ
thống Firewall thì bức tường lửa có thể được xác định như là một tập hợp các
cấu kiện đặt giữa hai mạng.
Nhìn chung bức tường lửa có những thuộc tính sau :
- Thông tin giao lưu được theo hai chiều.
- Chỉ những thông tin thoả mãn nhu cầu bảo vệ cục bộ mới được đi
qua.
- Bản thân bức tường lửa không đòi hỏi quá trình thâm nhập.
1.2. Mục đích của Firewall
Với Firewall, người sử dụng có thể yên tâm đang được thực thi quyền
giám sát các dữ liệu truyền thông giữa máy tính của họ với các máy tính hay
hệ thống khác. Có thể xem Firewall là một người bảo vệ có nhiệm vụ kiểm tra
"giấy thông hành" của bất cứ gói dữ liệu nào đi vào máy tính hay đi ra khỏi
Đinh Hoàng Thái - 8 -

Lớp AT3C
Đồ án tốt nghiệp Tìm hiểu Firewall Cisco ASA5520
máy tính của người sử dụng, chỉ cho phép những gói dữ liệu hợp lệ đi qua và
loại bỏ tất cả các gói dữ liệu không hợp lệ.
Các giải pháp Firewall là thực sự cần thiết, xuất phát từ chính cách thức
các dữ liệu di chuyển trên internet. Giả sử gửi cho người thân của mình một
bức thư thì để bức thư đó được chuyển qua mạng internet, trước hết phải được
phân chia thành từng gói nhỏ. Các gói dữ liệu này sẽ tìm các con đường tối ưu
nhất để tới địa chỉ người nhận thư và sau đó lắp ráp lại (theo thứ tự đã được
đánh số trước đó) và khôi phục nguyên dạng như ban đầu. Việc phân chia
thành gói làm đơn giản hoá việc chuyển dữ liệu trên internet nhưng có thể dẫn
tới một số vấn đề. Nếu một người nào đó với dụng ý không tốt gửi tới một số
gói dữ liệu, nhưng lại cài bẫy làm cho máy tính của không biết cần phải xử lý
các gói dữ liệu này như thế nào hoặc làm cho các gói dữ liệu lắp ghép theo
thứ tự sai, thì có thể nắm quyền kiểm soát từ xa đối với máy tính của và gây
nên những vấn đề nghiêm trọng. Kẻ nắm quyền kiểm soát trái phép sau đó có
thể sử dụng kết nối internet của để phát động các cuộc tấn công khác mà
không bị lộ tung tích của mình.
Firewall sẽ đảm bảo tất cả các dữ liệu đi vào là hợp lệ, ngăn ngừa những
người sử dụng bên ngoài đoạt quyền kiểm soát đối với máy tính của bạn.
Chức năng kiểm soát các dữ liệu đi ra của Firewall cũng rất quan trọng vì sẽ
ngăn ngừa những kẻ xâm nhập trái phép "cấy" những virus có hại vào máy
tính của để phát động các cuộc tấn công cửa sau tới những máy tính khác trên
mạng internet.
Đinh Hoàng Thái - 9 -
Lớp AT3C
Đồ án tốt nghiệp Tìm hiểu Firewall Cisco ASA5520
Hình 1. 1: Firewall được đặt ở giữa mạng riêng và mạng công cộng
Một Firewall gồm có ít nhất hai giao diện mạng: Chung và riêng, giao
diện chung kết nối với internet, là phía mà mọi người có thể truy cập, giao

diện riêng là phía mà chứa các dữ liệu được bảo vệ. Trên một Firewall có thể
có nhiều giao diện riêng tuỳ thuộc vào số đoạn mạng cần được tách rời. Ứng
với mỗi giao diện có một bộ quy tắc bảo vệ riêng để xác định kiểu lưu thông
có thể qua từ những mạng chung và mạng riêng.
Firewall cũng có thể làm được nhiều việc hơn và cũng có nhiều thuận lợi
và khó khăn. Thông thường nhà quản trị mạng sử dụng Firewall như một thiết
bị đầu nối VPN, máy chủ xác thực hoặc máy chủ DNS. Tuy nhiên như bất kì
một thiết bị mạng khác, nhiều dịch vụ hoạt động trên cùng một máy chủ thì
các rủi ro càng nhiều .Do đó, một Firewall không nên chạy nhiều dịch vụ.
Firewall là lớp bảo vệ thứ hai trong hệ thống mạng, lớp thứ nhất là bộ
định tuyến ở mức định tuyến sẽ cho phép hoặc bị từ chối các địa chỉ IP nào đó
và phát hiện những gói tin bất bình thường. Firewall xem những cổng nào là
được phép hay từ chối.
Sức mạnh của Firewall nằm trong khả năng lọc lưu lượng dựa trên một
tập hợp các quy tắc bảo vệ, còn gọi là quy tắc bảo vệ do các nhà quản trị đưa
vào. Đây cũng có thể là nhược điểm lớn nhất của Firewall, bộ quy tắc xấu
hoặc không đầy đủ có thể mở lối cho kẻ tấn công, và mạng có thể không được
an toàn.
Đinh Hoàng Thái - 10 -
Lớp AT3C
Đồ án tốt nghiệp Tìm hiểu Firewall Cisco ASA5520
Nhiều nhà quản trị mạng không nghĩ rằng Firewall hoạt động như một
thiết bị mạng phức tạp. Người ta quan tâm nhiều đến việc giữ lại những lưu
lượng không mong muốn đến mạng riêng, ít quan tâm đến việc giữ lại những
lưu lượng không mong muốn đến mạng công cộng. Nên quan tâm đến cả hai
kiểu của tập các quy luật bảo vệ. Nếu một kẻ tấn công muốn tìm cách xâm
nhập vào một máy chủ, chúng không thể sử dụng máy chủ đó để tấn công vào
các thiết bị mạng ở xa.
Để bảo vệ và giúp cho các lưu lượng bên trong đoạn mạng các nhà quản
lý thường chạy hai bộ Firewall, bộ thứ nhất để bảo vệ toàn bộ mạng, và bộ

còn lại để bảo vể các đoạn mạng khác.
Nhiều lớp Firewall cũng cho phép các nhà quản trị an toàn mạng kiểm
soát tốt hơn những dòng thông tin, đặc biệt là các cơ sở bên trong và bên
ngoài công ty phải xử lý các thông tin nhảy cảm. Các hoạt động trao đổi
thông tin có thể cho phép trên phần nào đó của mạng thì có thể bị giới hạn
trên những vùng nhạy cảm hơn.
Hình 1. 2: Sử dụng nhiều Firewall nhằm tăng khả năng bảo mật
1.3. Phân loại Firewall
Có một số công ty sản xuất sản phẩm Firewall và có hai loại để chọn:
Firewall phần cứng và Firewall phần mềm.
Đinh Hoàng Thái - 11 -
Lớp AT3C
Đồ án tốt nghiệp Tìm hiểu Firewall Cisco ASA5520
1.3.1. Firewall phần cứng
Về tổng thể, Firewall phần cứng cung cấp mức độ bảo vệ cao hơn so với
Firewall phần mềm và dễ bảo trì hơn. Firewall phần cứng cũng có một ưu
điểm khác là không chiếm dụng tài nguyên hệ thống trên máy tính như
Firewall phần mềm.
Firewall phần cứng là một lựa chọn rất tốt đối với các doanh nghiệp nhỏ,
đặc biệt cho những công ty có chia sẻ kết nối Internet. Có thể kết hợp Firewall
và một bộ định tuyến trên cùng một hệ thống phần cứng và sử dụng hệ thống
này để bảo vệ cho toàn bộ mạng. Firewall phần cứng có thể là một lựa chọn
đỡ tốn chi phí hơn so với Firewall phần mềm thường phải cài trên mọi máy
tính cá nhân trong mạng.
1.3.2. Firewall phần mềm
Nếu không muốn tốn tiền mua Firewall phần cứng thì bạn có thể sử dụng
Firewall phần mềm. Về giá cả, Firewall phần mềm thường không đắt bằng
firewall phần cứng, thậm chí một số còn miễn phí (phần mềm Comodo
Firewall Pro 3.0, PC Tools Firewall Plus 3.0, ZoneAlarm Firewall 7.1 …) và
bạn có thể tải về từ mạng Internet.

So với Firewall phần cứng, Firewall phần mềm cho phép linh động hơn,
nhất là khi cần đặt lại các thiết lập cho phù hợp hơn với nhu cầu riêng của
từng công ty. Chúng có thể hoạt động tốt trên nhiều hệ thống khác nhau, khác
với Firewall phần cứng tích hợp với bộ định tuyến chỉ làm việc tốt trong
mạng có qui mô nhỏ. Firewall phần mềm cũng là một lựa chọn phù hợp đối
với máy tính xách tay vì máy tính sẽ vẫn được bảo vệ cho dù mang máy tính
đi bất kỳ nơi nào.
Các Firewall phần mềm làm việc tốt với Windows 98, Windows ME và
Windows 2000. Chúng là một lựa chọn tốt cho các máy tính đơn lẻ. Các công
ty phần mềm khác làm các tường lửa này. Chúng không cần thiết cho
Windows XP bởi vì XP đã có một tường lửa cài sẵn.
1.4. Kỹ thuật và công nghệ Firewall
Đinh Hoàng Thái - 12 -
Lớp AT3C
Đồ án tốt nghiệp Tìm hiểu Firewall Cisco ASA5520
Hiện nay có nhiều loại Firewall, để tiện cho quá trình nghiên cứu và phát
triển, người ta chia Firewall ra làm hai loại chính bao gồm:
Packet Filtering Firewall: là hệ thống tường lửa giữa các thành phần bên
trong mạng và bên ngoài mạng có kiểm soát.
Application-proxy Firewall: là hệ thống cho phép kết nối trực tiếp giữa
các máy khách và các host.
1.4.1. Packet Filtering
Packet-Filtering là công nghệ phổ biến và lâu đời nhất. Tường lửa
Packet-Filter kiểm tra luồng dữ liệu đến tại tầng vận chuyển (Transport
Layer) của mô hình OSI (Open System Interconnection). Nó phân tích các gói
tin IP (IP Packet) và so sánh chúng với những quy tắc được đặt trước trong
danh sách điều khiển truy cập (Access Control List - ACL). Nó kiểm tra
những thành phần sau của gói tin:
• Địa chỉ IP nguồn (Source IP Address)
• Cổng nguồn (Source Port)

• Địa chỉ IP đích (Destination IP Address)
• Cổng đích (Destination Port)
• Giao thức (Protocol)
Hình 1. 3: Công nghệ firewall Packet - Filtering
Đinh Hoàng Thái - 13 -
Lớp AT3C
Đồ án tốt nghiệp Tìm hiểu Firewall Cisco ASA5520
Chú ý: Ngoài những thành phần trên, một số Packet-Filter còn kiểm tra
thông tin Header của gói tin để quyết định xem gói tin đến từ một kết nối mới
hay kết nối đang tồn tại.Những yếu tố trên được so sánh với ACL để quyết
định xem gói tin có được phép hay không.
 Ưu điểm
− Tốc độ xử lý nhanh
− Dễ dàng triển khai, cài đặt và bảo trì
− Ứng dụng độc lập
 Nhược điểm
Không kiểm soát được dữ liệu từ lớp 4 trở nên: Nhiều ứng dụng mới
(như ứng dụng đa phương tiện - Multimedia Application) tạo ra nhiều kết nối
trên những cổng bất kỳ mà không xác định cổng sẽ sử dụng cho đến khi kết
nối được thiết lập. ACL được cấu hình một cách thủ công nên rất khó hỗ trợ
được những ứng dụng kiểu này.
Không hỗ trợ tính năng xác thực người dùng: Người dùng có thể giả mạo
địa chỉ IP được phép trong ACL để đánh lừa Packet-Filter.
Mức an ninh thấp, thiết lập luật phức tạp.
1.4.2 Proxy
Tường lửa Proxy hay còn gọi là Proxy Server đóng vai trò là đại diện
cho các host trên những đoạn mạng (Segment) cần bảo vệ. Các host này
không tạo kết nối trực tiếp ra bên ngoài, chúng gửi yêu cầu (Request) đến
Proxy Server nơi chúng được xác thực (Authenticated) và phân quyền
(Authorized). Tại đây, Proxy Server gửi những yêu cầu này đến các host bên

ngoài và gửi trả hồi âm (Reply) của host bên ngoài vào trong. Proxy hoạt
động tại các tầng trên (Upper Layers) của mô hình OSI. Các mạng lớn thường
dùng nhiều Proxy Server để tránh những vấn đề về băng thông. Số lượng ứng
dụng các host có thể truy cập qua Proxy có giới hạn. Theo thiết kế thì các
tường lửa Proxy chỉ hỗ trợ một số giao thức và ứng dụng cụ thể. Proxy lại
được phân loại thành: Cổng mức mạch và cổng mức ứng dụng.
1.4.2.1. Cổng mức mạch
Đinh Hoàng Thái - 14 -
Lớp AT3C
Đồ án tốt nghiệp Tìm hiểu Firewall Cisco ASA5520
Cổng mức mạch thì hoạt động ở tầng giao vận (transport). Nó thực hiện
việc giám sát bắt tay TCP giữa gói tin vào/ra để xác định phiên làm việc có
hợp lệ hay không thông qua việc thiết lập 2 kết nối TCP một giữa cổng và
máy bên trong, một giữa cổng và máy bên ngoài tức là nó không cho phép
thực hiện kết nối end - to - end. Khi hai kết nối được thiết lập, cổng mức
mạch sẽ thực hiện sao chép, chuyển tiếp đoạn dữ liệu TCP từ kết nối bên
trong sang kết nối bên ngoài (và ngược lại) mà không cần kiểm tra nội dung
dữ liệu. Cổng mức mạch xác định một phiên làm việc hợp lệ nếu cờ SYN,
ACK và sequence number trong quá trình bắt tay giữa các kết nối là hợp lệ.
Hình 1. 4: Công nghệ firewall cổng mức mạch
 Ưu điểm
− Mức an toàn cao hơn so với lọc gói tin
− Có thể triển khai với lượng lớn giao thức tầng trên mà không cần
hiểu về thông tin tại giao thức đó
 Nhược điểm
Đinh Hoàng Thái - 15 -
Lớp AT3C
Đồ án tốt nghiệp Tìm hiểu Firewall Cisco ASA5520
− Một khi kết nối được thiết lập, nó có thể cho phép gửi các mã độc hại
trong gói tin

1.4.2.2. Cổng ứng dụng
Như tên gọi đã nêu, cổng ứng dụng hoạt động ở tầng ứng dụng. Chúng
được thiết kế nhằm tăng cường chức năng kiểm soát các loại dịch vụ, giao
thức được cho phép truy cập vào hệ thống mạng.
Hình 1.5: Mô hình cổng ứng dụng
Hoạt động của cổng ứng dụng dựa trên các dịch vụ ủy quyền (Proxy
service). Proxy service là các chương trình đặc biệt cài trên gateway cho từng
ứng dụng.
Quy trình kết nối sử dụng dịch vụ thông qua cổng ứng dụng diễn ra theo
5 bước sau đây:
− Bước 1: Máy trạm gửi yêu cầu tới máy chủ ở xa đến cổng ứng dụng
− Bước 2: Cổng ứng dụng xác thực người dùng. Nếu xác thực thành
công chuyển sang bước 3, ngược lại quá trình kết thúc
Đinh Hoàng Thái - 16 -
Lớp AT3C
Đồ án tốt nghiệp Tìm hiểu Firewall Cisco ASA5520
− Bước 3: Cổng ứng dụng chuyển yêu cầu máy trạm đến máy chủ ở
xa
− Bước 4: Máy chủ ở xa trả lời chuyển đến cổng ứng dụng
− Bước 5: Cổng ứng dụng chuyển trả lời của máy chủ ở xa đến máy
trạm
Hình 1.6: Minh họa hoạt động cổng ứng dụng
Ví dụ: Máy khách (client) muốn sử dụng dịch vụ TELNET để kết nối
vào hệ thống mạng qua cổng ứng dụng (Telnet proxy). Quá trình diễn ra như
sau:
Client thực hiện dịch vụ telnet đến Telnet proxy
Telnet proxy kiểm tra password. Nếu hợp lệ thì client được phép vào
giao diện của Telnet proxy. Telnet proxy sẽ cung cấp tập nhỏ lệnh của Telnet
và quyết định những máy nội bộ nào được phép truy cập.
Client chỉ ra máy nội bộ bên trong cần kết nối và Telnet proxy tạo một

kết nối của riêng nó tới máy nội bộ bên trong sau đó nó thực hiện chuyển các
lệnh tới máy nội bộ bên trong dưới sự ủy quyền của client, còn client thì tin
rằng Telnet proxy chính là máy nội bộ thật ở bên trong, trong khi máy nội bộ
bên trong thì tin rằng Telnet proxy chính là client thật.
Dịch vụ ủy quyền bao gồm hai thành phần:
− Chương trình chủ được ủy quyền (proxy server)
− Chương trình khách được ủy quyền (client proxy)
− Thực hiện sàng lọc hoặc chặn truy cập
− Chặn URL
− Chặn theo phân nhóm thông tin
Đinh Hoàng Thái - 17 -
Lớp AT3C
Đồ án tốt nghiệp Tìm hiểu Firewall Cisco ASA5520
− Lọc, chặn các nội dung nhúng (embedded content): Java, ActiveX
controls, và các đối tượng được nhúng trong trả lời (response) của
một yêu cầu Web (request)
Đinh Hoàng Thái - 18 -
Lớp AT3C
Đồ án tốt nghiệp Tìm hiểu Firewall Cisco ASA5520
 Ưu điểm
− Hoàn toàn điều khiển được từng dịch vụ trên mạng (quyết định
những máy chủ nào có thể truy cập được bởi các dịch vụ)
− Hoàn toàn điều khiển được những dịch vụ nào cho phép ( vắng mặt
của proxy cho dịch vụ nào thì dịch vụ đó bị khóa)
− Kiểm tra độ xác thực rất tốt, ghi chép lại thông tin về truy cập hệ
thống
− Luật lọc cho cổng ứng dụng dễ dàng cấu hình và kiểm tra hơn so với
lọc gói tin
 Nhược điểm
− Tốc độ chậm, hiệu suất thấp do xử lý trên nhiều tầng

− Các dịch vụ hỗ trợ bị hạn chế
− Khả năng thay đổi mở rộng (scalability) hạn chế
− Cài đặt và bảo trì phức tạp
− Khả năng trong suốt đối với người dùng cuối hạn chế
1.4.3. Statefull Inspection Firewall (SIF)
Statefull Inspection Firewall là sự kết hợp giữa hiệu năng và mức độ an
ninh. Nó tổng hợp tính năng của 3 loại tường lửa trên. Giống tường lửa lọc
gói tin, hoạt động ở tầng mạng, lọc gói tin đi/đến dựa trên tham số: địa chỉ
nguồn, địa chỉ đích, cổng nguồn, cổng đích
Giống cổng mức mạch, xác định chính xác gói tin trong phiên làm việc.
SIF xác nhận cờ ACK, SYN và sequence number có hợp lệ không?
SIF bắt chước cổng mức ứng dụng, SIF đưa gói tin lên tầng ứng dụng và
kiểm tra xem nội dung dữ liệu phù hợp với các luật trong chính sách an ninh
của hệ thống. Giống như cổng ứng dụng, SIF có thể được cấu hình để loại bỏ
gói tin chứa những câu lệnh xác định (ví dụ như FTP PUT, FTP GET, )
Khác với cổng mức ứng dụng (yêu cầu hai kết nối, do vậy tốc độ chậm)
SIF cho phép client kết nối trực tiếp với server
Đinh Hoàng Thái - 19 -
Lớp AT3C
Đồ án tốt nghiệp Tìm hiểu Firewall Cisco ASA5520
Hình 1.7: Hoạt động của statefull inspection firewall
Đây là công nghệ an toàn và đa năng nhất bởi các kết nối không chỉ
được kiểm tra bởi ACL mà còn được ghi trong bảng trạng thái (State Table).
Sau khi một kết nối được thiết lập, tất cả các thông tin của phiên kết nối
(Session) đi qua được so sánh với bảng trạng thái. Nếu thông tin không khớp,
kết nối sẽ bị hủy. Đây là công nghệ mới nhất, nó có ưu điểm là độ an toàn và
bảo mật rất cao. Một thiết bị điển hình sử dụng công nghệ này là ASA/PIX
Firewall của tập đoàn Cisco. Trong khuôn khổ đề tài, em sẽ trình bày trọng
tâm về Cisco Secure ASA/PIX Firewall - một trong những thiết bị an ninh
mạng hàng đầu thế giới hiện nay và chúng ta sẽ tìm hiểu kỹ hơn ở phần sau.

1.5. Kiến trúc của Firewall
1.5.1. Screening Router
Hình 1.8: Mô hình Screening Router
Đinh Hoàng Thái - 20 -
Lớp AT3C
Đồ án tốt nghiệp Tìm hiểu Firewall Cisco ASA5520
Kiến trúc này sử dụng công nghệ tường lửa lọc gói tin tích hợp vào trong
bộ định tuyến (Router). Thực hiện việc định tuyến hay chặn gói tin dựa vào
chính sách an ninh.
 Ưu điểm
o Tốc độ xử lý nhanh
o Dễ dàng triển khai
 Nhược điểm
o Mức độ an ninh thấp
o Đưa ra các chính sách cấu hình phức tạp nên dễ mắc lỗi
1.5.2. Kiến trúc Dual - Homed host
Firewall kiến trúc kiểu Dual-homed host được xây dựng dựa trên máy
tính Dual-homed host. Một máy tính được gọi là Dual-homed host nếu có ít
nhất hai Network interfaces, có nghĩa là máy đó có gắn hai card mạng giao
tiếp với hai mạng khác nhau và như thế máy tính này đóng vai trò là router
phần mềm. Kiến trúc Dual-homed host rất đơn giản. Dual-homed host ở giữa,
một bên được kết nối với Internet và bên còn lại nối với mạng nội bộ (LAN).
Dual-homed host chỉ có thể cung cấp các dịch vụ bằng cách ủy quyền
(proxy) chúng hoặc cho phép users đăng nhập trực tiếp vào Dual-homes host.
Mọi giao tiếp từ một host trong mạng nội bộ và host bên ngoài đều bị cấm,
Dual-homed host là nơi giao tiếp duy nhất.
Đinh Hoàng Thái - 21 -
Lớp AT3C
Đồ án tốt nghiệp Tìm hiểu Firewall Cisco ASA5520
Hình 1.9: Kiến trúc Dual - Homed host

1.5.3. Kiến trúc Screend Host
Screened host có cấu trúc ngược lại với cấu trúc Dual-homed host, kiến
trúc này cung cấp các dịch vụ từ một host bên trong mạng nội bộ, dùng một
router tách rời với mạng bên ngoài. Trong kiểu kiến trúc này, bảo mật chính
là phương pháp Packet Filtering.
Bastion host được đặt bên trong mạng nội bộ, Packet Filtering được cài
trên router. Theo cách này, Bastion host là hệ thống duy nhất trong mạng nội
bộ mà những host trên internet có thể kết nối tới. Mặc dù vậy, chỉ những kiểu
kết nối phù hợp (được thiết lập trong Bastion host) mới được phép kết nối.
Bất kỳ một hệ thống bên ngoài nào cố gắng truy cập vào hệ thống hoặc các
dịch vụ bên trong đều phải kết nối tới host này. Vì thế, Bastion host là host
Đinh Hoàng Thái - 22 -
Lớp AT3C
Đồ án tốt nghiệp Tìm hiểu Firewall Cisco ASA5520
cần phải được duy trì ở chế độ bảo mật cao. Packet Filtering cũng cho phép
Bastion host có thể mở kết nối ra bên ngoài.
Cấu hình của packet filtering trên screening router như sau :
− Cho phép tất cả các host bên trong mở kết nốt tới host bên ngoài
thông qua một số dịch vụ cố định.
− Không cho phép tất cả các kết nối từ host bên trong (cấm những
host này sử dụng dịch vụ proxy thông qua Bastion host).
− Bạn có thể kết hợp nhiều lối vào cho những dịch vụ khác nhau.
− Một số dịch vụ được phép đi vào trực tiếp qua packet filtering.
− Một số dịch vụ khác thì chỉ được phép đi vào gián tiếp qua proxy.
Bởi vì kiến trúc này cho phép các packet đi từ bên ngoài vào mạng bên
trong, nó dường như nguy hiểm hơn kiến trúc Dual-homed host, vì thế nó
được thiết kế để không một packet nào có thể tới được mạng bên trong. Tuy
nhiên trên thực tế thì kiến trúc Dual-homes host đôi khi cũng có lỗi mà cho
phép một packet thật sự đi từ bên ngoài vào bên trong (bởi vì những lỗi này
hoàn toàn không biết trước, nó hầu như không được bảo vệ để chống lại

những kiểu tấn công này) . Hơn nữa, kiến trúc Dual-homes host thì dễ dàng
bảo vệ router (là máy cung cấp rất ít các dịch vụ) hơn là bảo vệ các host bên
trong mạng.
Xét về toàn diện thì kiến trúc Screened host cung cấp độ tin cậy cao hơn
và an toàn hơn kiến trúc Dual-homed host.
So sánh với mộ số kiến trúc khác, chẳn hạn như kiến trúc Screened
subnet thì kiến trúc Screened host có một số bất lợi. Bất lợi chính là nếu kẻ
tấn công tìm cách xâm nhập Bastion host thì không có cách nào để ngăn tách
giữa Bastion host và các host còn lại bên trong mạng nội bộ. Router cũng có
một số điểm yếu là nếu router bị tổn thương, toàn bộ mạng sẽ bị tấn công.
Vì lý do này mà Screened subnet trở thành kiến trúc phổ biến nhất.
Đinh Hoàng Thái - 23 -
Lớp AT3C
Đồ án tốt nghiệp Tìm hiểu Firewall Cisco ASA5520
Hình 1.10: Kiến trúc Screened host
1.5.4. Kiến trúc Screened Subnet
Nhằm tăng cường khả năng bảo vệ mạng nội bộ, thực hiện chiến lược
phòng thủ theo chiều sâu, tăng cường sự an toàn cho bastion host, tách
bastion host khỏi các host khác, phần nào tránh lây lan một khi bastion host bị
tổn thương, người ta đưa ra kiến trúc Firewall có tên là Screened subnet.
Kiến trúc Screened subnet dẫn xuất từ kiến trúc Screened host bằng cách
thêm vào phần an toàn: mạng ngoại vi (perimeter network) nhằm cô lập mạng
nội bộ ra khỏi mạng bên ngoài, tách bastion host ra khỏi các host thông
thường khác. Kiểu Screen subnet đơn giản bao gồm hai screened router:
− Router ngoài (External router còn gọi là access router): nằm giữa
mạng ngoại vi và mạng ngoài có chức năng bảo vệ cho mạng ngoại vi
(bastion host, interior router). Nó cho phép ngững gì outbound từ mạng ngoại
vi. Một số quy tắc packet filtering đặc biệt được cài ở mức cần thiết đủ để bảo
vệ bastion host và interior router vì bastion host còn là host được cài đặt an
Đinh Hoàng Thái - 24 -

Lớp AT3C
Đồ án tốt nghiệp Tìm hiểu Firewall Cisco ASA5520
toàn ở mức cao. Ngoài các quy tắc đó, các quy tắc khác cần giống nhau giữa
hai router.
− Router trong (Interior router còn gọi là choke router): nằm giữa mạng
ngoại vi và mạng nội bộ, nhằm bảo vệ mạng nôi bộ trước khi ra ngoài và
mạng ngoại vi. Nó không thực hiện hết các quy tắc packet filtering của toàn
bộ firewall. Các dịch vụ mà interior router cho phép giữa bastion host và
mạng nội bộ, giữa bên ngoài và mạng nội bộ không nhất thiết phải giống
nhau. Giới hạn dịch vụ giữa bastion host và mạng nội bộ nhằm giảm số lượng
máy (số lượng dịch vụ trên các máy này) có thể bị tấn công khi bastion host bị
tổn thương và thỏa hiệp với bên ngoài. Chẳng hạn nên giới hạn các dịch vụ
được phép giữa bastion host và mạng nội bộ như SMTP khi có Email từ bên
ngoài vào, có lẽ chỉ giới hạn kết nối SMTP giữa bastion host và email server
bên trong.
Hình 1.11: Kiến trúc Screened Subnet
1.5.5. Sử dụng nhiều Bastion Host
Do các yêu cầu về tốc độ đáp ứng (performance) và dư thừa
(redundancy), cũng như tách biệt các Servers khác nhau.
Đinh Hoàng Thái - 25 -
Lớp AT3C