LỜI CAM ĐOAN
Tôi cam đoan: Đồ án tốt nghiệp với đề tài “Xây dựng mô hình mạng bảo
mật với Cisco ASA Firewall cho Công ty cổ phần Tập đoàn Quang Minh Bắc
Giang” là công trình nghiên cứu của riêng tôi dưới sự hướng dẫn của thầy giáo
Ths. Trần Duy Minh. các kết quả nghiên cứu có tính độc lập riêng, không sao
chép bất kỳ tài liệu nào và chưa công bố nội dung này ở bất kỳ đâu.
Tôi xin hoàn toàn chịu trách nhiệm về công trình nghiên cứu của riêng mình
!
Thái Nguyên, tháng 6 năm 2016
Sinh viên
Lục Văn Luân

1


LỜI CẢM ƠN
Lời đầu tiên, em xin gửi lời cảm ơn chân thành tới Th.S Trần Duy Minh
đã tận tình giúp đỡ em trong suốt quá trình làm đồ án.
Em cũng xin gửi lời biết ơn sâu sắc tới các thầy, cô giáo trong trường Đại
học Công nghệ Thông tin và Truyền thông – Đại học Thái Nguyên. Các thầy, cô đã
xây dựng cho chúng em một kho tri thức khổng lồ, không chỉ là kiến thức chuyên
ngành, các thầy cô còn dạy bảo chúng em đạo làm người, rèn luyện cho chúng em
nghị lực, khát vọng vươn lên, phát huy khả năng tư duy sáng tạo trong mọi lĩnh
vực.
Cuối cùng, em xin được cảm ơn gia đình, bạn bè, những người thân yêu
nhất của em. Mọi người luôn ở bên cạnh, động viên, khuyến khích em vươn lên
trong quá trình học tập và trong cuộc sống
Thái Nguyên, tháng 6 năm 2016
Sinh viên
Lục Văn Luân

2


MỤC LỤC
LỜI CAM ĐOAN 2
LỜI CẢM ƠN

3

CHƯƠNG 1: CƠ SỞ LÝ THUYẾT

8

1.1 Tổng quan về mạng máy tính

8

1.2 Mô hình OSI (Open Systems Interconnect)
1.2.1 Các giao thức trong mô hình OSI
1.3 Mô hình TCP/IP

9

9

10

1.4 Tổng quan về quản trị mạng

11


1.4.1 khái quát công việc quản trị mạng bao gồm: 11
1.5 Bảo mật mạng máy tính

11

1.5.1 Định nghĩa bảo mật mạng máy tính

11

1.5.2 Các kiểu tấn công mạng 12
1.5.3 Các mức độ bảo mật

13

1.6 Tường lửa (Firewall) 14
1.6.1 Giới thiệu 14
1.6.2 Phân loại 15
1.6.3 Chức năng của Firewall 17
1.6.4 Hạn chế của Firewall
1.7 Tường lửa Cisco ASA

17
18

1.7.1 Giới thiệu 18
1.7.2 Chức năng chính của ASA

19


1.7.3 Cơ chế hoạt động của tường lửa ASA 20
1.8 Network Access Translation (NAT)
1.8.1 Khái niệm 23
1.8.2 Một số kỹ thuật NAT

23

1.8.3 NAT trên Cisco ASA

25
3

23


1.9 Access Control List ( ACL ) 25
CHƯƠNG 2: KHẢO SÁT VÀ ĐÁNH GIÁ HIỆN TRẠNG HỆ THỐNG MẠNG
TẠI CÔNG TY CỔ PHẦN TẬP ĐOÀN QUANG MINH – BẮC GIANG
2.1 Giới thiệu

28

28

2.1.1 Lịch sử phát triển28
2.1.2 Lĩnh vực kinh doanh

29

2.2 Tổ chức bộ máy quản lý của công ty


30

2.3 Khảo sát hiện trạng hệ thống mạng cảu công ty 32
2.3.3 Sơ đồ hiện trạng hệ thống mạng

34

2.3.4 Sơ đồ vật lý mạng của công ty 35
2.4. Đánh giá hiện trạng 37
CHƯƠNG 3: PHÂN TÍCH THIẾT KẾ VÀ ĐỀ XUẤT GIẢI PHÁP BẢO MẬT
MẠNG SỬ DỤNG CISCO ASA 39
3.1. Phân tích hiện trạng và xây dựng mục tiêu
3.1.1 Đặt vấn đề

39

39

3.1.2 Phân tích và thiết kế hệ thống mạng 41
3.2. Thiết kế hệ thống mạng

42

3.2.1 Sơ đồ Logic mạng mới cho công ty

42

3.2.2 Sơ đồ vật ký hệ thống mạng của công ty


43

3.3. Đề xuất giải pháp bảo mật mạng sử dụng ASA 46
3.3.1. Tính năng chính của Firewall Cisco ASA 5520
3.3.2. Xây dựng các luật bảo mật dựa trên ASA

46

53

3.3.3. Xây dựng quy trình bảo mật 54
CHƯƠNG 4: XÂY DỰNG VÀ CÀI ĐẶT MÔ PHỎNG CHƯƠNG TRÌNH 58
4.1 Mục tiêu của bài toán58
4.2 Cấu hình các thiết bị 59
4.2.1 Cấu hình ASA qua ASDM

60

KẾT LUẬN 67
4


TÀI LIỆU THAM KHẢO 68

5


DANH MỤC HÌNH ẢNH
Hình 1.1: Một mô hình liên kết các máy tính trong mạng
Hình 1.2 Mô hình OSI


8

9

Hình 1.3 Các mức độ bảo mật

13

Hình 1.4 Mô hình Firewall cứng 16
Hình 1.5 Mô hình Firewall mềm 17
Hình 1.6 Mô tả luồng dữ liệu ra vào giữa Internet và Intranet 17
Hình 1.7 Mô tả các mức độ bảo mật trong hệ thống mạng

22

Hình 1.8 Mô tả NAT tĩnh của một mạng LAN ra ngoài Internet
Hình 1.9 Bảng NAT động của một mang LAN 24
Hình 1.10 Mô tả cơ chế PAT

24

Hình 1.11 Sơ đồ ACL điều khiển truy cập mạng.25
Hình 2.1 Sơ đồ tổ chức bộ máy công ty 30
Hình 2.2 Tòa nhà chính của công ty

32

Hình 2.3 Sơ đồ logic hệ thống mạng của công ty34
Hình 2.4 Sơ đồ vật lý mạng tầng 1 35

Hình 2.5 Sơ đồ vật lý mạng tầng 2 35
Hình 2.6 Sơ đồ vật lý mạng tầng 3 36
Hình 2.7 Sơ đồ vật lý mạng tầng 4 36
Hình 2.8 Sơ đồ vật lý mạng tầng 5 37
Hình 3.1 Sơ đồ thiết kế mạng bảo mật sử dụng ASA Firewall 40
Hình 3.2 Sơ đồ mạng LOGIC mới cho công ty 42
Hình 3.3 Sơ đồ vật lý mạng tầng 1 43
Hình 3.4 Sơ đồ vật lý mạng tầng 2 43
Hình 3.5 Sơ đồ vật lý mạng tầng 3 44
Hình 3.6 Sơ đồ vật lý mạng tầng 4 44
6

23


Hình 3.7 Sơ đồ vật lý mạng tầng 5 45
Hình 3.8 Bảng phân bổ địa chỉ ip 45
Hình 3.9 bảng chi phí các thiết bị mới cần thê 46
Hình 4.1 Sơ đồ mạng mô phỏng trên GNS3

58

Hình 4.2 Kiểm tra kết nối từ C2 đến PC5

60

Hình 4.3 Kiểm tra ping từ ASA đến C1 64
Hình 4.4 Kiểm tra ping từ ASA đến PC1 Và PC2
Hình 4.5 Kiểm tra ping từ ASA đến C2 64
Hình 4.6 Kiểm tra ping từ PC3 đến PC1 và PC264

Hình 4.7 Kiểm tra ping từ PC1 đến C2 65
Hình 4.8 Kiểm tra ping từ PC3 đến C2 65
Hình 4.9 Kiểm tra kết nối từ PC3 đến PC4
Hình 4.10 Kiểm tra từ PC1 ra internet

66

7

65

64


CHƯƠNG 1: CƠ SỞ LÝ THUYẾT
1.1 Tổng quan về mạng máy tính
Mạng máy tính là một tập hợp các máy tính được nối với nhau bởi môi
trường truyền (đường truyền) theo một cấu trúc nào đó và thông qua đó các máy
tính trao đổi thông tin qua lại cho nhau.
Môi trường truyền là hệ thống các thiết bị truyền dẫn có dây hay không dây
dùng để chuyển các tín hiệu điện tử từ máy tính này đến máy tính khác. Các tín
hiệu điện tử đó biểu thị các giá trị dữ liệu dưới dạng các xung nhị phân (on – off).
Tất cả các tín hiệu được truyền giữa các máy tính đều thuộc một dạng sóng điện từ.
Tùy theo tần số của sóng điện từ có thể dùng các môi trường truyền vật lý khác
nhau để truyền các tín hiệu. Ở đây môi trường truyền được kết nối có thể là dây
cáp đồng trục, cáp xoắn, cáp quang, dây điện thoại, sóng vô tuyến … Các môi
trường truyền dữ liệu tạo nên cấu trúc của mạng. Hai khái niệm môi trường truyền
và cấu trúc là những đặc trưng cơ bản của mạng máy tính.

8



Hình 1.1: Một mô hình liên kết các máy tính trong mạng
Tốc độ truyền dữ liệu trên đường truyền còn được gọi là thông lượng của đường
truyền – thường được tính bằng số lượng bit được truyền đi trong một giây (bps).
1.2 Mô hình OSI (Open Systems Interconnect)
Ở thời kỳ đầu của công nghệ nối mạng, việc gửi và nhận dữ liệu ngang qua
mạng thường gây nhầm lẫn do các công ty lớn như IBM, Honeywell tự đề ra
những tiêu chuẩn riêng cho hoạt động kết nối máy tính.
Năm 1984, tổ chức Tiêu chuẩn hóa Quốc Tế - ISO ( International Standard
Organization) chính thức đưa ra mô hình OSI ( Open Systems Interconnection), là
tập hợp các đặc điểm kỹ thuật mô tả kiến trúc mạng dành cho việc kết nối các thiết
bị không cùng chủng loại
9


Mô hình OSI được chia thành 7 tầng, mỗi tầng bao gồm những hoạt động,
thiết bị và giao thức mạng khác nhau.

Hình 1.2 Mô hình OSI
1.2.1 Các giao thức trong mô hình OSI
Trong mô hình OSI có hai loại giao thích chính được áp dụng: Giao thức có
liên kết và giao thức không liên kết.
 Giao thức có liên kết: Trước khi truyền dữ liệu hai tầng đồng mức cần
thiết lập một liên kết logic và các gói tin được trao đổi thông qua liên kết này, việc
có liên kết logic sẽ nâng cao độ an toàn trong truyền dữ liệu.
 Giao thức không liên kết: Trước khi truyền dữ liệu không thiết lập liên
kết logic và mỗi gói tin được truyền độc lập với các gói tin trước hoặc sau nó.
1.3 Mô hình TCP/IP
TCP/IP ( Transmission Control Protocol/ Internet Protocol) là bộ giao thức

cho phép kết nối các hệ thống mạng không đồng nhất với nhau. Ngày nay, TCP/IP
được sử dụng rộng rãi trong các mạng cục bộ cũng như trên mạng Internet toàn
10


cầu.
TCP/IP là giản lược của mô hình tham chiếu OSI với bốn tầng:
 Tầng truy cập ( Network Access Layer)
 Tầng mạng (Internet Layer)
 Tậng vận chuyển (Transport Layer)
 Tầng ứng dụng ( Application Layer)
a. Tầng truy cập mạng ( Network Access Layer)
Tầng truy cập là tầng thấp nhất trong mô hình TCP/IP, bao gồm các thiết bị
giao tiếp mạng và chương trình cung cấp các thông tin cần thiết để có thể hoạt
động, truy nhập đường truyền vật lý qua thiets vị giao tiếp mạng đó
b. Tầng mạng (Network Layer)
Tầng mạng xử lý quá trình truyền gói tin trên mạng. Các giao thức của tầng
này gồm: IP (Internet Protocol), ICMP ( Internet Control Message Protocol),
IGMP ( Internet Group Message Protocol).
c. Tầng vận chuyển ( Transport Layer)
Tầng vận chuyển phụ trách luồng dữ liệu giữa hai trạm thực hiện các ứng
dụng của tầng trên.
Tầng này có hai giao thức chính: TCP (Transmission Control Protocol) Và
UDP ( User Datagram Protocol)
TCP cung cấp một luồng dữ liệu tin cậy giữa hai trạm, nó sử dụng các cơ
chế chia nhỏ các gói tin của tầng trên thành các gói tin có kích thước thích hợp cho
tầng mạng bên dưới, báo nhận gói tin, đặt hạn chế thời gian time-out để đảm bảo
bên nhận biết được các gói tin đã gửi đi. Do tầng này đảm bảo tính tin cậy, tầng
trên sẽ không cần quan tâm đến nữa
UDP cung cấp một dịch vụ đơn giản hơn cho tầng ứng dụng. Nó chỉ gửi các

gói dữ liệu từ trạm này tới trạm kia mà không đảm bảo các gói tin đến được đích

11


d. Tầng ứng dụng ( Application Layer)
Tầng ứng dụng là tầng trên cùng của mô hình TCP/IP bao gồm các tiến
trình và các ứng dụng cấp cho người sử dụng để truy cập mạng. Có nhiều ứng
dụng được cung cấp trong tâng này, phổ biến là: Telnet (sử dụng trong truy cập từ
xa), FTP ( File Transfer Protocol- dịch vụ truyền tệp tin), Email (dịch vụ thư điện
tử)…
1.4 Tổng quan về quản trị mạng
Quản trị mạng được định nghĩa là các công việc quản trị mạng lưới bao
gồm cung cấp các dịch vụ hỗ trợ, đảm bảo mạng lưới hoạt động hiệu quả, đảm bảo
mạng lưới cung cấp đúng chỉ tiêu định ra.
1.4.1 khái quát công việc quản trị mạng bao gồm:
-Quản trị cấu hình, tài nguyên mạng: Bao gồm các công tác quản lý, kiểm
soát cấu hình, quản lý tài nguyên cấp phát cho các đối tượng sử dụng khác nhau.
- Quản trị người dùng, dịch vụ mạng: bao gồm các công tác quản lý người
sử dụng trên hệ thống và đảm bảo dịch vụ cung cấp có độ tin cậy cao, chất lượng
đảm bảo theo đúng các chỉ tiêu đã đề ra.
- Quản trị hiệu năng, hoạt động mạng: bao gồm các công tác quản lý, giám
sát hoạt động mạng lưới, đảm bảo các hoạt động của thiết bị hệ thống ổn định.
-Quản trị an ninh, an toàn mạng: bao gồm các công tác quản lý, giám sát
mạng lưới, các hệ thống để đảm bảo phòng tránh các truy nhập trái phép. Việc
phòng chống, ngăn chặn sự lây lan của các loại virus máy tính, các phương thức
tấn công như Dos làm tê liệt hoạt động của mạng cũng là một phần rất quan trọng
trong công tác quản trị, an ninh, an toàn mạng.
1.5 Bảo mật mạng máy tính
1.5.1 Định nghĩa bảo mật mạng máy tính

Bảo mật mạng là sự đảm bảo an toàn của toàn bộ hệ thống mạng trước
những hoạt động nhằm tấn công phá hoại hệ thống mạng cả từ bên trong như bên ngoài.
Hoạt động phá hoại là những hoạt động như xâm nhập trái phép sử dụng tài
12


nguyên trái phép ăn cắp thông tin, các hoạt động giả mạo nhằm phá hoại tài
nguyên mạng và cơ sở dữ liệu của hệ thống.
Vấn đề bảo mật mạng luôn là một vấn đề bức thiết khi ta nghiên cứu một
hệ thống mạng. Hệ thống mạng càng phát triển thì vấn đề bảo mật mạng càng
được đạt lên hàng đầu.
Khi nguyên cứu một hệ thống mạng chúng ta cần phải kiểm soát vấn đề
bảo mật mạng ở các cấp độ sau:
 Mức mạng: Ngăn chặn kẻ xâm nhập bất hợp pháp vào hệ thống mạng.
 Mức server: Kiểm soát quyền truy cập, các cơ chế bảo mật, quá trình
nhận dạng người dùng, phân quyền truy cập, cho phép các tác vụ
 Mức cơ sở dữ liệu: Kiểm soát ai? được quyền như thế nào? với mỗi
cơ sở dữ liệu
 Mức trường thông tin: Trong mỗi cơ sở dữ liệu kiểm soát được mỗi
trường dữ liệu chứa thông tin khác nhau sẽ cho phép các đối tượng khác nhau có
quyền truy cập khác nhau.
 Mức mật mã: Mã hoá toàn bộ file dữ liệu theo một phương pháp nào
đó và chỉ cho phép người có “ chìa khoá” mới có thể sử dụng được file dữ liệu
1.5.2 Các kiểu tấn công mạng
a) Thăm dò (reconnaissance)
Đó chính là hình thức hacker gửi vài thông tin truy vấn về địa chỉ IP hoặc
domain name bằng hình thức này hacker có thể lấy được thông tin về địa chỉ
IP và domain name từ đó thực hiện các biện pháp tấn công khác…
b) Packet sniffer
Packet sniffer là phần mềm sử dụng NIC card ở chế độ “promisscuous” để

bắt tất cả các gói tin trong cùng miền xung đột. Nó có thể khai thác thông tin dưới
dạng clear Text.
c) Đánh lừa (IP spoofing)
13


Kỹ thuật này được sử dụng khi hacker giả mạo địa chỉ IP tin cậy trong
mạng nhằm thực hiện việc chèn thông tin bất hợp pháp vào trong phiên làm việc
hoặc thay đổi bản tin định tuyến để thu nhận các gói tin cần thiết.

d) Tấn công từ chối dịch vụ (Denial of services)
Kiểu tấn công này nhằm tắc nghẽn mạng bằng cách hacker gửi các gói tin
với tốc độ cao và liên tục tới hệ thống bảo mật nhằm làm tê liện hệ thống
chiếm hết băng thông sử dụng.
e) Tấn công trực tiếp password
Đó là kiểu tấn công trực tiếp vào username và password của người sử dụng
nhằm ăn cắp tài khoải sử dụng vào mục đích tấn công. Hacker dùng phần mềm
để tấn công ( vị dụ như Dictionary attacks ).
f) Thám thính (agent)
Hacker sử dụng các các phần mềm vius, trojan thường dùng để tấn công
vào máy trạm làm bước đệm để tấn công vào máy chủ và hệ thống. Kẻ tấn công
có thể nhận được các thông tin hữu ích từ máy nạn nhân thông qua các dịch vụ
mạng.
g) Tấn công vào yếu tố con người
Hacker có thể tấn công vào các lỗ hổng do lỗi nhà quản trị hệ thống hoặc
liên lạc với nhà quản trị hệ thống giả mạo là người sủ dụng thay đổi username và
password.
1.5.3 Các mức độ bảo mật

14



Hình 1.3 Các mức độ bảo mật

 Quyền truy nhập
Đây là lớp bảo vệ sâu nhất nhằm kiểm soát tài nguyên mạng kiểm soát ở
mức độ file và việc xác định quyền hạn của người dùng do nhà quản trị quyết
định như: chỉ đọc( only read), chỉ ghi (only write), thực thi(execute).

 Đăng nhập / Mật khẩu (login/password)
Đây là lớp bảo vệ mức độ truy nhập thông tin ở mức độ hệ thống. Đây là
mức độ bảo vệ được sử dụng phổ biến nhất vì nó đơn giản và ít tốn kém. Nhà quản
trị cung cấp cho mỗi người dùng một username và password và kiểm soát mọi
15


hoạt động của mạng thông qua hình thức đó. Mỗi lần truy nhập mạng người dùng
phải đăng nhập Username và password, hệ thống kiểm tra hợp lệ mới cho đăng
nhập

 Mã hóa dữ liệu (Data encryption)
Đó là sử dụng các phương pháp mã hoá dữ liệu ở bên phát và thực hiện giải mã ở
bên thu bên thu chỉ có thể mã hóa chính xác khi có khoá mã hóa do bên phát cung cấp.
 Bảo vệ vật lý (Physical protect)
Đây là hình thức ngăn chạn nguy cơ truy nhập vật lý bất hợp pháp vào hệ
thống như ngăn cấm tuyệt đối người không phận sự vào phòng đặt máy mạng,
dùng ổ khoá máy tính, hoặc cài đặt cơ chế báo động khi có truy nhập vào hệ
thống.

 Bức tường lửa (firewall)

Đây là hình thức ngăn chặn sự xâm nhập bất hợp pháp vào mạng nội bộ
thông qua firewall. Chức năng của tường lửa là ngăn chặn các truy nhập trái phép
(theo danh sách truy nhập đã xác định trước) và thậm chí có thể lọc các gói tin mà
ta không muốn gửi đi hoặc nhận vào vì một lý do nào đó. Phương thức bảo vệ
này được dùng nhiều trong môi trường liên mạng Internet.
1.6 Tường lửa (Firewall)
1.6.1 Giới thiệu
Trong ngành mạng máy tính, bức tường lửa (firewall) là rào chắn mà một số
cá nhân, tổ chức, doanh nghiệp, cơ quan nhà nước lập ra nhằm ngăn chặn người
dùng mạng Internet truy cập các thông tin không mong muốn hoặc/và ngăn chặn
người dùng từ bên ngoài truy nhập các thông tin bảo mật nằm trong mạng nội bộ.
Tường lửa là một thiết bị phần cứng và/hoặc một phần mềm hoạt động
trong một môi trường máy tính nối mạng để ngăn chặn một số liên lạc bị cấm bởi
chính sách an ninh của cá nhân hay tổ chức, việc này tương tự với hoạt động của
các bức tường ngăn lửa trong các tòa nhà. Tường lửa còn được gọi là Thiết bị bảo
vệ biên giới (Border Protection Device - BPD), đặc biệt trong các ngữ cảnh của
16


NATO, hay bộ lọc gói tin (packet filter) trong hệ điều hành BSD - một phiên bản
Unix của Đại học California, Berkeley.
Nhiệm vụ cơ bản của tường lửa là kiểm soát giao thông dữ liệu giữa hai
vùng tin cậy khác nhau. Các vùng tin cậy (zone of trust) điển hình bao gồm: mạng
Internet (vùng không đáng tin cậy) và mạng nội bộ (một vùng có độ tin cậy cao).
Mục đích cuối cùng là cung cấp kết nối có kiểm soát giữa các vùng với độ tin cậy
khác nhau thông qua việc áp dụng một chính sách an ninh và mô hình kết nối dựa
trên nguyên tắc quyền tối thiểu (principle of least privilege).
Cấu hình đúng đắn cho các tường lửa đòi hỏi kĩ năng của người quản trị hệ
thống. Việc này đòi hỏi hiểu biết đáng kể về các giao thức mạng và về an ninh máy
tính. Những lỗi nhỏ có thể biến tường lửa thành một công cụ an ninh vô dụng. Để

có kiến thức xây dựng một tường lửa có các tính năng chống lại các yếu tố phá
hoại đòi hỏi phải có trình độ chuyên nghiệp và kỹ năng trong việc bảo mật và an
ninh.
1.6.2 Phân loại
Các tường lửa được chia ra thành hai dạng: Firewall cứng (bên ngoài) và
firewall mềm (bên trong). Trong đó cả hai đều có những nhược điểm và ưu điểm
riêng. Quyết định lựa chọn loại tường lửa nào để sử dụng là khá quan trọng.
1.6.2.1 Tường lửa cứng
Điển hình là các tường lửa mạng, thiết bị mở rộng này được đặt giữa máy
tính hoặc mạng và cáp hoặc modem DSL. Nhiều hãng và nhà cung cấp dịch vụ
Internet (ISP) đưa ra các thiết bị “router” trong đó cũng bao gồm các tính năng
tường lửa. Tường lửa phần cứng được sử dụng có hiệu quả trong việc bảo vệ nhiều
máy tính mà vẫn có mức bảo mật cao cho một máy tính đơn. Nếu bạn chỉ có một
máy tính phía sau tường lửa, hoặc nếu bạn chắc chắn rằng tất cả các máy tính khác
trên mạng được cập nhật các bản vá miễn phí về virus, worm và các mã nguy hiểm
khác thì bạn không cần mở rộng sự bảo vệ của một phần mềm tường lửa. Tường
lửa phần cứng có ưu điểm trong việc phân chia các thiết bị đang chạy trên hệ điều
17


hành riêng, vì vậy chúng cung cấp khả năng chống lại các tấn công.Một số loại
Firewall cứng như: ASA, PIX, Fortinet, Juniper…
Đặc điểm của Firewall cứng:
Hoạt động ở tầng Network và tầng Transport
Tốc độ xử lý
Tính bảo mật cao
Tính linh hoạt thấp
Khả năng nâng cấp thấp.
Không kiểm tra được nội dung gói tin
Tuy nhiên hiện nay cũng có rất nhiều những firewall cứng có thể tích hợp

nhiều chức năng. Ngoài làm chức năng tường lửa bảo mật, chúng còn kèm theo
các module khác như routing, vpn, …

Hình 1.4 Mô hình Firewall cứng
1.6.2.2 Tường lửa mềm
Một vài hệ điều hành có tường lửa kèm theo, nếu hệ điều hành của bạn
không có thì cũng dễ dàng kiếm được từ một số cửa hàng máy tính hay hãng phần
mềm hoặc các nhà cung cấp dịch vụ Internet.Một số Firewall mềm như ISA server,
Zone Alarm, Norton firewall, các phần mềm antivirut hay các hệ điều hành đều có
tính năng firewall…
Đặc điểm:
18


Hoạt động ở tầng Application
Tính linh hoạt cao: Có thể thêm, bớt các quy tắc, các chức năng.
Có thể kiểm tra được nội dung của gói tin (thông qua các từ khóa).

Hình 1.5 Mô hình Firewall mềm
1.6.3 Chức năng của Firewall
- Kiểm soát luồng thông tin giữa Intranet và Internet
- Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet)
và mạng Internet. Cụ thể là:
Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet).
Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet
vào Intranet).

19



Hình 1.6 Mô tả luồng dữ liệu ra vào giữa Internet và Intranet
 Theo dõi luồng dữ liệu mạng giữa Internet và Intranet.
 Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập.
 Kiểm soát người sử dụng và việc truy nhập của người sử dụng.
 Kiểm soát nội dung thông tin thông tin lưu chuyển trên mạng
1.6.4 Hạn chế của Firewall
Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại
thông tin và phân tích nội dung tốt hay xấu của nó.
Firewall chỉ có thể ngăn chặn sự xâm nhập của những nguồn thông tin
không mong muốn nhưng phải xác định rõ các thông số địa chỉ
Firewall không bảo vệ được các tấn công đi vòng qua nó. Ví dụ như thiết bị
modems, tổ chức tin cậy, dịch vụ tin cậy (SSL/SSH).
Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (datadrivent attack). Khi có một số chương trình được chuyển theo thư điện tử, vượt
qua firewall vào trong mạng được bảo vệ và bắt đầu hoạt động ở đây.
Firewall không thể bảo vệ chống lại việc truyền các chương trình hoặc file
nhiễm virut.

20


1.7 Tường lửa Cisco ASA
1.7.1 Giới thiệu
Tường lửa Cisco ASA là công nghệ mới nhất trong các giải pháp tường lửa
được đưa ra bởi Cisco, hiện nay đang thay thế các tường lửa PIX rất tốt. ASA viết
tắt của Adaptive Security Appliances, làm cả hai nhiệm vụ là một tường lửa và ứng
dụng anti-malware.
Cisco ASA hoạt động theo cơ chế giám sát gói theo trạng thái (Stateful
Packet Inspection), thực hiện điều khiển trạng thái kết nối khi qua thiết bị bảo mật
(ghi nhận trạng thái của từng gói thuộc kết nối xác định theo loại giao thức hay
ứng dụng). Cho phép kết nối một chiều (outbuond-đi ra) với rất ít việc cấu hình.

Một kết nối đi ra là một kết nối từ thiết bị trên cổng có mức bảo mật cao đến thiết
bị trên mạng có mức bảo mật thấp hơn.
Trạng thái được ghi nhận sẽ dùng để giám sát và kiểm tra gói trở
về.Thay đổi ngẫu nhiên giá trị tuần tự (sequence number) trong gói TCP để
giảm rủi ro của sự tấn công.
Hoạt động theo kiến trúc phân vùng bảo mật dựa theo cổng, cổng tin cậy
(trusted) hay mức bảo mật cao và cổng không tin cậy (untrusted) hay mức bảo mật
thấp. Qui tắc chính cho múc bảo mật đó là thiết bị từ vùng tin cậy có thể truy cập
được thiết bị truy cập vùng không tin cậy hay còn gọi là outbound. Ngược lại từ
vùng bảo mật thấp không thể truy cập vùng bảo mật cao trừ khi được cho phép bởi
ACL hay còn gọi là inbound.
Mức bảo mật (Security Level) 100: Đây là mức bảo mật cao nhất, thường
được gán cho cổng thuộc mạng bên trong (inside).
Mức bảo mật 0: Đây là mức bảo mật thấp nhất, thường được gán cho cổng
mà kết nối ra Internet hay vùng không tin cậy còn gọi là vùng bên ngoài (outside).
Mức bảo mật từ 1-99: Cho phép bạn sử dụng để gán cho những cổng còn lại
21


nếu yêu cầu mở rộng vùng mạng.
Do đó trong quá trình cấu hình thông tin cho cổng đảm bảo mỗi cổng được
gán giá trị mức bảo mật dựa vào chính sách phân vùng bảo vệ của bạn thông qua
câu lệnh security-level.
Đặc tính nổi bật của ASA là:
- Đầy đủ các đặc điểm của Firewall, IPS, anti-X và công nghệ VPN
IPSec/SSL
- Có khả năng mở rộng thích nghi nhận dạng và kiến trúc Mitigation
Services
- Giảm thiểu chi phí vận hành và phát triền
1.7.2 Chức năng chính của ASA

- Tường lửa (Firewall): Bảo mật mạng từ các cuộc xâm nhập không xác
thực, trong khi vẫn cho phép hoạt động mạng diễn ra bình thường, không bị trì trệ.
- Mã hóa SSL/Ipsec VPN: Mở rộng hệ thống mạng bằng cách cho phép truy
cập mạng từ xa nhưng vẫn đảm bảo an toàn với các công nghệ mã hóa.
- Ngăn chặn xâm nhập: Bảo vệ tài nguyên quan trọng trong mạng từ các
cuộc tấn công, có đầy đủ chức năng của hệ thống ngăn chận xâm nhập (IPS), Cisco
ASA chống lại các mối đe dọa như các lỗ hổng bảo mật từ các ứng dụng, hệ điều
hành,..
- Bảo mật nội dung: Tăng tính hiệu quả sử dụng và loại bỏ mối đe dọa từ
những nội dung không mong muốn trong mạng.
1.7.3 Cơ chế hoạt động của tường lửa ASA
1.7.3.1 Các chế độ làm việc
Firewall ASA có 4 chế độ làm việc chính:

22


- Chế độ giám sát (Moniter Mode): Đây là chế độ đặc biệt cho phép bạn cập
nhật các hình ảnh qua mạng hoặc khôi phục lại mật khẩu. Trong khi ở chế độ giám
sát, bạn có thể nhập lệnh để xác định vị trí một máy chủ TFTP và vị trí của hình
ảnh phần mềm hoặc file hình ảnh nhị phân khôi phục mật khẩu tải vể. Bạn truy cập
vào chế độ này bằng cách nhấn “break” hoặc “ESC” chìa khóa ngay sau khi bật
nguồn thiết bị
- Chế độ không đặc quyền (Unprivileged Mode): Hiển thị dấu nhắc “>”.
Chế độ này cung cấp tầm nhìn hạn chế của các thiết bị an ninh. Bạn không thể cấu
hình bất cứ điều gì từ chế độ này. Để bắt đầu với cấu hình, lệnh đầu tiên phải nhập
là enable. Gõ enable và nhấn enter.
- Chế độ đặc quyền (privileged Mode): Cho phép bạn thay đổi các thiết lập hiện
hành. Bất cứ lệnh nào trong chế độ không đặc quyền cũng làm việc trong chế độ này. Từ
chế độ này, có thể xem cấu hình hiện tại bằng cách sử dụng lệnh show running-config

- Chế độ cấu hình ( Configuration Mode): Cho phép thay đổi tất cả thiết lập
cấu hình hệ thống
1.7.3.2 Quản lý File
Có hai loại file cấu hình trong các thiết bị an ninh Cisco: runningconfiguration và startup-configuration.
Loại file đầu tiên running-configuration là một trong những file hiện đang
chạy trên thiết bị, và được lưu trữ trong bộ nhớ RAM của firewall. Bạn có thể xem
cấu hình này bằng cách gõ show running-config từ các chế độ Privileged. Bất kỳ
lệnh mà bạn nhập vào firewall được lưu trực tiếp bằng trong running-config và có
hiệu lực thi hành ngay lập tức. Kể từ khi cấu hình chạy được lưu trong bộ nhớ
RAM, nếu thiết bị bị mất nguồn, nó sẽ mất bất kỳ thay đổi cấu hình mà không
được lưu trước đó. Để lưu lại cấu hình đang chạy, sử dụng copy run start hoặc
write memory. Hai lệnh này sẽ copy running-config vào startup-config cái mà

23


được lưu trữ trong bộ nhớ flash.
Loại thứ hai startup-configuration là cấu hình sao lưu của runningconfiguration. Nó được lưu trữ trong bộ nhớ flash, vì vậy nó không bị mất khi thiết
bị khởi động lại. Ngoài ra, Ngoài ra, startup-configuration được tải khi thiết bị
khởi động. Để xem startup-configuration được lưu trữ, gõ lệnh show startupconfig.
1.7.3.3 Mức độ bảo mật (Security Level)
Security Level được gán cho interface (hoặc vật lý hay logical subinterfaces) và nó cơ bản một số từ 0 - 100 chỉ định như thế nào tin cậy interface
liên quan đến một interface khác trên thiết bị. Mức độ bảo mật cao hơn thì
interface càng đáng tin cậy hơn (và do đó các mạng kết nối phía sau nó) được coi
là, liên quan đến interface khác. Vì mỗi interface firewall đại diện cho một mạng
cụ thể (hoặc khu vực an ninh), bằng cách sử dụng mức độ bảo mật, chúng ta có thể
chỉ định mức độ tin tưởng khu vực an ninh của chúng ta. Các quy tắc chính cho
mức độ bảo mật là một interface (hoặc zone) với một mức độ bảo mật cao hơn có
thể truy cập vào một interface với một mức độ bảo mật thấp hơn. Mặt khác, một
interface với một mức độ bảo mật thấp hơn không thể truy cập vào một interface

với một mức độ bảo mật cao hơn, mà không có sự cho phép rõ ràng của một quy
tắc bảo mật (Access Control List - ACL).
Một số mức độ bảo mật điển hình:
 Security Level 0: Đây là mức độ bảo mật thấp nhất và nó được gán mặc
định interface bên ngoài của firewall. Đó là mức độ bảo mật ít tin cậy nhất và phải
được chỉ định phù hợp với mạng (interface) mà chúng ta không muốn nó có bất kỳ
truy cập vào mạng nội bộ của chúng ta. Mức độ bảo mật này thường được gán cho
interface kết nối với Internet. Điều này có nghĩa rằng tất cả các thiết bị kết nối
Internet không thể có quyền truy cập vào bất kỳ mạng phía sau firewall, trừ khi rõ

24


ràng cho phép một quy tắc ACL.
 Security Level1 đến 99: Những mức độ bảo mật có thể được khu vực
bảo mật vòng ngoài (ví dụ như khu vực DMZ, khu vực quản lý,...).
 Security Level 100: Đây là mức độ bảo mật cao nhất và nó được gán
mặc định interface bên trong của tường lửa. Đây là mức độ bảo mật đáng tin cậy
nhất và phải được gán cho mạng (interface) mà chúng ta muốn áp dụng bảo vệ

nhiều nhất từ các thiết bị an ninh.Mức độ bảo mật này thường được gán cho

interface kết nối mạng nội bộ công ty đằng sau nó.

25