1
Mục lục
A.Tổng quan về đề tài......................................................................................................................2
B. Cấu trúc của đề tài.......................................................................................................................3
I.Tổng quan về an ninh mạng:.........................................................................................................4
1.Mục tiêu an ninh mạng.............................................................................................................4
2.Các phương thức tấn công........................................................................................................4
3. Các chính sách an ninh mạng..................................................................................................8
II. Radius........................................................................................................................................13
1. Tổng quan về Radius:............................................................................................................13
2. Kiến trúc RADIUS:...............................................................................................................18
3. Hoạt động:.............................................................................................................................31
4. RFCs:.....................................................................................................................................34
III. ASA..........................................................................................................................................39
1. Lịch sử ra đời. .......................................................................................................................39
2. Các sản phẩm tường lửa của Cisco:......................................................................................40
3. Điều khiển truy cập mạng (NAC).........................................................................................40
4. Giao thức AAA và dịch vụ hỗ trợ của Cisco ASA...............................................................45
5. Kiểm tra ứng dụng.................................................................................................................53
6. Khả năng chịu lỗi và dự phòng (failover and redundancy)..................................................54
7. Chất lượng dịch vụ (QoS).....................................................................................................56
8. Phát hiện xâm nhập (IDS).....................................................................................................57
IV. Mô phỏng.................................................................................................................................61
1. Mục tiêu của mô phỏng.........................................................................................................61
2. Mô hình mô phỏng................................................................................................................61
3. Các công cụ cần thiết để thực hiện mô phỏng......................................................................61
4. Các bước mô phỏng...............................................................................................................62
5. Kết quả đạt được....................................................................................................................71
V.KẾT LUẬN CHUNG................................................................................................................72
VI.HƯỚNG PHÁT TRIỂN CỦA ĐỀ TÀI...................................................................................73
Mục lục hình vẻ

GVHD: THS Nguyễn Đức Quang
SVTH:Nguyễn Đắc Nguyên Long MSSV:106102078
Lê Hoàng Long MSSV:106102079
2
A.Tổng quan về đề tài
Mục tiêu của việc nghiên cứu về Firewall ASA
+ Việc nghiên cứu giúp cho khả năng tự học ,tìm hiểu và nghiên cứu độc lập ngày
càng tốt hơn
+ Nghiên cứu về hệ thống firewall ASA.
+ Triển khai hệ thống phất hiện, ngăn chặn các lưu lượng ra vào của hệ thống là sự
cần thiết cho các doanh nghiệp có nhu cầu về sự an toàn của hệ thống trước những hành
vi xâm nhập trái phép. Trước sự phát triển của internet và sự hiểu biết của ngày càng sâu
của con người thì việc truy cập và phá hoại hệ thống mạng của một doanh nghiệp ,công
ty nào đó củng theo đà phát triển của internet mà tăng lên rất nhiều.
+ Việc nghiên cứu này đáp ứng cho lãnh vực bảo mật và an ninh của hệ thống.
+ ASA(Adaptive Security Appliance) là một thiết bị tường lửa mạnh tất cả trong một
và được ưa chuộng nhất hiện nay của Cisco.Chính vì vậy mục tiêu của đề tài này là
nhằm nghiên cứu và tìm hiểu cách thức hoạt động,phương pháp cấu hình và ứng dụng
của nó trong việc bảo mật hệ thống mạng.Kết quả đạt được qua việc nghiên cứu thiết bị
này là hiểu được cách thức hoạt động và có khả năng triển khai thiết bị này vào trong
một số hệ thống mạng bất kỳ.
+Nghiên cứu về AAA server.
+Nghiên cứu về cách tổ chức giám sát hoạt động của người dùng cuối như thời gian
bắt đầu hay kết thúc của người dùng (accounting).Bảo mật là vấn đề rất quan trọng.Với
mức độ điều khiển, thật dễ dàng để cài đặt bảo mật và quản trị mạng. có thể định nghĩa
các vai trò (role) đưa ra cho user những lệnh mà họ cần để hoàn thành nhiệm vụ của họ
và theo dõi những thay đổi trong mạng. Với khả năng log lại các sự kiện, ta có thể có
GVHD: THS Nguyễn Đức Quang
SVTH:Nguyễn Đắc Nguyên Long MSSV:106102078
Lê Hoàng Long MSSV:106102079

3
những sự điều chỉnh thích hợp với từng yêu cầu đặt ra.
Tất cả những thành phần này là cần thiết để duy trì tính an toàn, bảo mật cho mạng. Với
thông tin thu thập được, có thể tiên đoán việc cập nhật cần thiết theo thời gian. Yêu cầu
bảo mật dữ liệu, gia tăng băng thông, giám sát các vấn đề trên mạng thông AAA server.
B. Cấu trúc của đề tài.
Đề tài được chia làm 6 phần.
I. Tổng quan về an ninh mạng
Chương này mô tả về các nguy cơ an ninh mạng và các chính sách an ninh nhằm
đem lại hiệu qua cho việc bảo mật dữ liệu làm giảm nguy cơ hoặc phát hiện ra sự tấn
công.
II. Radius
Chương này mô tả về kỹ thuật sử dụng để xác thực,ủy quyền,thanh toán nhằm
đem lại hiểu quả cao cho an ninh mạng toàn vẹn và tránh thất thoát dữ liệu.
III. ASA
Chương này giới thiệu về tường lủa cisco asa ,các kỹ thuật được áp dụng cho
tường lửu .
IV. Mô phỏng.
Chương này mô tả quá trình hiện thực cisco asa với mô hình mạng cụ thể cho
thấy tính thực tế và kiểm nghiệm đúng lý thuyết của đề tài này.Chỉ rõ chi tiết quá trình
thực nghiệm.
V. Kết luận chung.
Chương này nêu ra những kết quả của đề tài làm được những gì và những mặc
hạn chế khó khăn chưa thực hiện được của đề tài.
VI. Hướng phát triển của đề tài.
GVHD: THS Nguyễn Đức Quang
SVTH:Nguyễn Đắc Nguyên Long MSSV:106102078
Lê Hoàng Long MSSV:106102079
4
I.Tổng quan về an ninh mạng:

1.Mục tiêu an ninh mạng
Việc phát triển ngày càng tăng của mạng internet do sự thuận tiện mà nó đem lại cho
con người tuy nhiên cũng kéo theo nhiều mối nguy hiểm rình rập của những hacker
mạng. Đảm bảo cho người dùng được an toàn khi làm việc trên mạng là mục tiêu hàng
đầu của an ninh mạng:
 Bảo đảm mạng nội bộ không bị xâm nhập trái phép.
 Các tài liệu và thông tin quan trọng không bị rò rỉ và bị mất.
 Các dịch vụ được thực hiện nhanh chóng không bị trì trệ hoặc không được thực
hiện.
 Các cuộc mua bán trên mạng diễn ra đúng với yêu cầu người dùng.
 Người dùng làm việc trên mạng không bị mạo danh, lừa đảo.
2.Các phương thức tấn công
 Virus
 Worm
 Trojan
 Từ chối dịch vụ
 Phân phối từ chối dịch vụ
 Zombies
 Spyware
 Phishing
 Dựa vào yếu tố con người
2.1 Virus
Một virus máy tính được thiết kế để tấn công một máy tính và thường phá các máy tính
khác và các thiết bị mạng. Một virus thường có thể là một tập tin đính kèm trong e-mail,
và chọn các tập tin đính kèm có thể gây ra các mã thực thi để chạy và tái tạo virus. Một
virus phải được thực hiện hoặc chạy trong bộ nhớ để chạy và tìm kiếm các chương trình
khác hoặc máy chủ để lây nhiễm và nhân rộng. Như tên của nó, virus cần một máy chủ
như là một bảng tính hoặc e-mail để đính kèm, lây nhiễm, và nhân rộng. Có một số hiệu
ứng chung của vi rút. Một số virus lành tính, và chỉ cần thông báo cho nạn nhân của họ
rằng họ đã bị nhiễm bệnh. Các virus ác tính tạo ra sự hủy hoại bằng cách xóa các tập tin

GVHD: THS Nguyễn Đức Quang
SVTH:Nguyễn Đắc Nguyên Long MSSV:106102078
Lê Hoàng Long MSSV:106102079
5
và nếu không thì gây ra lỗi cho các máy tính bị nhiễm có chứa tài sản kỹ thuật số, chẳng
hạn như hình ảnh, tài liệu, mật khẩu, và các bản báo cáo tài chính.
2.2 Worm
Worm là một chương trình phá hoại quét các điểm yếu hoặc lỗ hổng bảo mật trên
các máy tính khác để khai thác các điểm yếu và nhân rộng.Worm có thể tái tạo độc lập
và rất nhanh chóng.
Worm khác với virus trong hai cách chính:
Virus cần một máy chủ để đính kèm và thực hiện, và sâu không yêu cầu một máy
chủ.Virus và sâu thường gây ra các loại khác nhau của sự hủy diệt.
Virus, một khi chúng đang cư trú trong bộ nhớ, thường xóa và sửa đổi các tập tin
quan trọng trên máy tính bị nhiễm bệnh. Tuy nhiên, Worms có xu hướng mạng trung
tâm hơn so với máy tính trung tâm. Worms có thể tái tạo một cách nhanh chóng bằng
cách bắt đầu kết nối mạng để nhân rộng và gửi số lượng lớn dữ liệu. Worms cũng có thể
chứa một hành khách mang theo, hoặc trọng tải dữ liệu, mà có thể giao một máy tính
mục tiêu cho các trạng thái của một zombie. Zombie là một máy tính có bị xâm phạm và
hiện đang được kiểm soát bởi những kẻ tấn công mạng. Zombies thường được sử dụng
để khởi động các cuộc tấn công mạng khác. Một bộ sưu tập lớn các zombie dưới sự điều
khiển của kẻ tấn công được gọi là một "botnet". Botnets có thể phát triển được khá lớn.
Botnet được xác định đã lớn hơn 100.000 máy tính zombie.
2.3 Trojan horse
Một con ngựa Trojan, hoặc Trojan, là phần mềm nguy hại tìm cách ngụy trang chính
nó như là một ứng dụng đáng tin cậy như là một trò chơi hoặc trình bảo vệ màn hình.
Một khi người dùng tin cậy cố gắng để truy cập những gì có vẻ là một trò chơi vô
thưởng vô phạt hoặc trình bảo vệ màn hình, các Trojan có thể bắt đầu các hoạt động gây
tổn hại như xóa các tập tin hoặc định dạng lại một ổ đĩa cứng. Trojan thường không tự
sao chép.Những kẻ tấn công mạng cố gắng sử dụng các ứng dụng phổ biến, chẳng hạn

như iTunes của Apple, để triển khai một Trojan. Ví dụ, một cuộc tấn công mạng sẽ gửi
một e-mail với một liên kết có mục đích để tải về một bài hát iTunes miễn phí. Trojan
GVHD: THS Nguyễn Đức Quang
SVTH:Nguyễn Đắc Nguyên Long MSSV:106102078
Lê Hoàng Long MSSV:106102079
6
này sau đó sẽ bắt đầu một kết nối đến một máy chủ web bên ngoài và bắt đầu một cuộc
tấn công một khi người dùng cố gắng để tải về các bài hát miễn phí rõ ràng.
2.4 Từ chối dịch vụ.
Một cuộc tấn công từ chối dịch vụ (DoS) là một cuộc tấn công mạng có kết quả
trong việc từ chối dịch vụ bằng một ứng dụng yêu cầu như là một máy chủ web. Có một
vài cơ chế để tạo ra một cuộc tấn công DoS. Các phương pháp đơn giản nhất là tạo ra
một lượng lớn những gì xuất hiện để được giao thông mạng hợp lệ. Đây là loại tấn công
DoS mạng cố gắng để làm nghẽn các ống dẫn lưu lượng truy cập mạng để sử dụng hợp
lệ không thể có được thông qua kết nối mạng. Tuy nhiên, loại DoS thông thường cần
phải được phân phối bởi vì nó thường đòi hỏi nhiều hơn một nguồn để tạo ra các cuộc
tấn công.Một cuộc tấn công DoS lợi dụng thực tế là hệ thống mục tiêu như các máy chủ
phải duy trì thông tin trạng thái và có thể có kích thước bộ đệm và dự kiến nội dung gói
tin mạng cho các ứng dụng cụ thể. Một cuộc tấn công DoS có thể khai thác lỗ hổng này
bằng cách gửi các gói có giá trị kích cỡ và dữ liệu mà không như mong đợi của các ứng
dụng nhận được.Một số loại tấn công DoS tồn tại, bao gồm các cuộc tấn công Teardrop
và Ping of Death, mà gửi các gói thủ công mạng khác nhau từ những ứng dụng dự kiến
và có thể gây ra sụp đổ các ứng dụng và máy chủ. Những cuộc tấn công DoS trên một
máy chủ không được bảo vệ, chẳng hạn như một máy chủ thương mại điện tử, có thể
gây ra các máy chủ bị lỗi và ngăn chặn người dùng bổ sung thêm hàng vào giỏ mua sắm
của họ.
2.5. Distributed Denial-of-Service
DDoS tương tự như trong ý định của cuộc tấn công DoS, ngoại trừ cuộc tấn công
DDoS tạo ra nhiều nguồn tấn công. Ngoài ra để tăng lượng truy cập mạng từ nhiều kẻ
tấn công phân phối, một cuộc tấn công DDoS cũng đưa ra những thách thức của yêu cầu

bảo vệ mạng để xác định và ngăn chặn mỗi kẻ tấn công phân phối.
2.6. Spyware
GVHD: THS Nguyễn Đức Quang
SVTH:Nguyễn Đắc Nguyên Long MSSV:106102078
Lê Hoàng Long MSSV:106102079