TRƯỜNG ĐẠI HỌC KỸ THUẬT – HẬU CẦN CAND
KHOA CÔNG NGHỆ THÔNG TIN

BÁO CÁO CHUYÊN ĐỀ
Nghiên cứu thiết bị tường lửa ASA 5515 và ứng dụng xây
dựng bài lab thực hành tại khoa CNTT
Học phần: An toàn hạ tầng mạng

GIÁO VIÊN HƯỚNG DẪN: Thượng úy Nguyễn Văn Thông
Nhóm học viên: Nguyễn Phi Hùng
Trần Hưng
Nguyễn Thị Hương Lan
Đoàn Thị Thúy Liễu

Bắc Ninh, tháng 12 năm 2017


MỤC LỤC

CHƯƠNG 1. TỔNG QUAN VỀ FIREWALL ...................................................... 4
1.1. Sơ lược về Firewall ......................................................................................... 4
1.2. Phân loại Firewall ........................................................................................... 5
1.2.1. Firewall cứng............................................................................................ 5
1.2.2. Firewall mềm............................................................................................ 6
1.3. Kiến trúc Firewall ........................................................................................... 9
1.3.1. Kiến trúc Dual – homed Host .................................................................. 9
1.3.2. Kiến trúc Screened Host......................................................................... 11
1.3.3. Kiến trúc Screened Subnet Host ............................................................ 12
1.3.4. Sử dụng nhiều Bastion Host ................................................................... 13
1.3.5. Kiến trúc ghép chung Router trong và Router ngoài ............................. 15
1.3.6. Kiến trúc ghép chung Bastion Host và Router ngoài (Exterior Router) 16

1.4. Các thành phần và cơ chế hoạt động ............................................................. 16
1.4.1. Bộ lọc paket (Paket filtering router) ...................................................... 16
1.4.2. Cổng ứng dụng (application-level getway) ............................................ 18
1.4.3. Cổng vòng (circuit -Level Gateway) ..................................................... 20
CHƯƠNG 2. TÌM HIỀU FIREWALL ASA 5515 .............................................. 22
2.1. Giới thiệu sơ lược ASA 5515 ........................................................................ 22
2.2. Các tính năng ................................................................................................. 23
CHƯƠNG 3. TRIỂN KHAI CÁC CHÍNH SÁCH TRÊN FIREWALL ASA 5515-X 27
3.1. Bài toán 1 ...................................................................................................... 27
3.1.1. Các bước cấu hình .................................................................................. 27
3.2. Bài toán 2 ...................................................................................................... 28
3.2.1. Các bước cấu hình .................................................................................. 29
CHƯƠNG 4. KẾT LUẬN ...................................................................................... 30
TÀI LIỆU THAM KHẢO ..................................................................................... 31


DANH MỤC HÌNH ẢNH
Hình 1.1. Mô hình Firewall cơ bản ...................................................................................... 5
Hình 1.2. Zone Alarm ........................................................................................................... 7
Hình 1.3. Mô hình Firewall mềm ......................................................................................... 7
Hình 1.4. Windows Firewall ................................................................................................ 8
Hình 1.5. Sơ đồ kiến trúc Dual-homed Host ........................................................................ 9
Hình 1.6. Sơ đồ kiến trúc Screened Host ........................................................................... 11
Hình 1.7. Sơ đồ kiến trúc sử dụng 2 Bastion Host ............................................................. 14
Hình 1.8. Sơ đồ kiến trúc ghép chung Router trong và Router ngoài ................................ 15
Hình 1.9. Sơ đồ kiến trúc ghép chung Bastion Host và Router ngoài ................................ 16
Hình 1.10. Bộ lọc gói tin trên Firewall ............................................................................... 17
Hình 1.11. Kết nối qua cổng vòng ...................................................................................... 20
Hình 2.1. Cisco Firewall ASA 5515-X .............................................................................. 22
Hình 2.2. Thông số cơ bản ASA 5515-X ........................................................................... 22

Hình 3.1. Mô hình thực hiện .............................................................................................. 27
Hình 3.2. Mô hình thực hiện .............................................................................................. 28


CHƯƠNG 1. TỔNG QUAN VỀ FIREWALL
1.1. Sơ lược về Firewall
- Firewall là một thiết bị – hay một hệ thống – điều khiển truy cập mạng, nó có thể
là phần cứng hoặc phần mềm hoặc kết hợp cả hai.
- Firewall thường được đặt tại mạng vành đai để đóng vai trò như cổng nối
(gateway) bảo mật giữa một mạng tin cậy và mạng không tin cậy, có thể giữa Internet và
Internet hoặc giữa mạng của doanh nghiệp chủ với mạng của đối tác.
Một số ưu điểm của Firewall
Firewall được thiết kế để ngăn chặn tất cả các lưu lượng không được phép và cho
phép các lưu lượng được phép đi qua nó, bảo vệ tài nguyên
- Sừ dụng quy tắc kiểm soát truy cập
Kiêm tra trạng thái gói tin
- Dùng application proxies
Ghi nhận báo cáo sự kiện trong mạng: ta có thể nghi nhận các sự kiện của Firewall
bằng nhiều cách nhừng hầu hết các Firewall sử dụng hai phương pháp chính là syslog và
proprietaly logging formamt.
Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Internet và
Internet, Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Internet) và
mạng Internet :là việc đâu tiên và cơ bản nhất mà tất cả các firewall đều có là quản lý và
kiểm soát luồng dũa liệu trên mạng, firewall kiểm tra các gói tin giám sát các kết nối đang
thực hiện và sau đó lọc các kết nối dựa trên kêt quả kiểm tra gói tin và các kết nối được
giám sát, kiêm tra gói tin có thể dựa trên các thông tin sau:
- IP nguồn
- Port nguồn
- IP đích
- Port đích

- Giao thức IP
- Thông tin header


Xác thực quyền truy cập: Firewall co thể có thể xác định quyền truy cập bằng nhiều
cơ cấu khác nhau:
- Thư nhất firewall có có quyền yêu cầu username và password của người dùng khi
người dùng truy cập
- Thứ hai firewall có thể xác thực người dùng bằng certificates và public key.
- Thứ ba firewall có thể dùng pre-shared keys (PSKs) để xác thực người dùng
Những hạn chế của Firewall
Tuy firewall co những ưu điểm nhưng vẫn tồn tại một số hạn chế sau
- Firewall không bảo vệ chống lại các cuộc tấn công bỏ qua tường lửa. vd một hệ
thống bên trong có khả năng dial-out kết nối với ISP hoạc mạng LAN bên trong có thể
cung cấp một modem pool có khả năng dial-in cho các nhân viên di động hay các kiểu tấn
công dạng social engineering nhằm đếm đối tượng là các người dùng trong mạng.
- Firewall không bảo vệ chống lại các mối đe dọa trong nội bộ, vd như một nhân
vihường, chỉ một số giới hạn các ứng dụng cho các dịch vụ Telnet, DNS,
FTP, SMTP và xác thực user là được cài đặt trên bastion host.
- Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau, ví dụ như user
password hay smart card.
- Mỗi proxy duy trì một quyển
- Mỗi proxy được đặt cấu hình để cho phép truy nhập chỉ một sồ các máy chủ nhất
định. Điều này có nghĩa rằng bộ lệnh và đặc điểm thiết lập cho mỗi proxy chỉ đúng với
một số máy chủ trên toàn hệ thống.
- Nhật ký ghi chép lại toàn bộ chi tiết của giao thông qua nó, mỗi sự kết nối, khoảng
thời gian kết nối. Nhật ký này rất có ích trong việc tìm theo dấu vết hay ngăn chặn kẻ phá
hoại.
- Mỗi proxy đều độc lập với các proxy khác trên bastion host. Điều này cho phép dễ
dàng quá trình cài đặt một proxy mới, hay tháo gỡ môt proxy đang có vấn để.

Ưu điểm
- Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ trên mạng,
bởi vì ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủ nào có thể truy nhập
được bởi các dịch vụ.
- Cho phép người quản trị mạng hoàn toàn điều khiển được những dịch vụ nào cho
phép, bởi vì sự vắng mặt của các proxy cho các dịch vụ tương ứng có nghĩa là các dịch vụ


ấy bị khoá.
- Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt, và nó có nhật ký ghi chép lại
thông tin về truy nhập hệ thống.
- Luật lệ lọc filltering cho cổng ứng dụng là dễ dàng cấu hình và kiểm tra hơn so với
bộ lọc packet.
Hạn chế
Yêu cầu các user thay đổi thao tác, hoặc thay đổi phần mềm đã cài đặt trên máy
client cho truy nhập vào các dịch vụ proxy. Chẳng hạn, Telnet truy nhập qua cổng ứng
dụng đòi hỏi hai bước để nối với máy chủ chứ không phải là một bước thôi. Tuy nhiên,
cũng đã có một số phần mềm client cho phép ứng dụng trên cổng ứng dụng là trong suốt,
bằng cách cho phép user chỉ ra máy đích chứ không phải cổng ứng dụng trên lệnh Telnet.
1.4.3. Cổng vòng (circuit -Level Gateway)
Cổng vòng là một chức năng đặc biệt có thể thực hiện được bởi một cổng ứng dụng.
Cổng vòng đơn giản chỉ chuyển tiếp (relay) các kết nối TCP mà không thực hiện bất kỳ
một hành động xử lý hay lọc packet nào.
Hình dưới đây minh hoạ một hành động sử dụng nối telnet qua cổng vòng. Cổng
vòng đơn giản chuyển tiếp kết nối telnet qua firewall mà không thực hiện một sự kiểm tra,
lọc hay điều khiển các thủ tục Telnet nào.Cổng vòng làm việc như một sợi dây,sao chép
các byte giữa kết nối bên trong (inside connection) và các kết nối bên ngoài (outside
connection). Tuy nhiên, vì sự kết nối này xuất hiện từ hệ thống firewall, nó che dấu thông
tin về mạng nội bộ.


Hình 1.11. Kết nối qua cổng vòng

Cổng vòng thường được sử dụng cho những kết nối ra ngoài, nơi mà các quản trị
mạng thật sự tin tưởng những người dùng bên trong. Ưu điểm lớn nhất là một bastion host


có thể được cấu hình như là một hỗn hợp cung cấp Cổng ứng dụng cho những kết nối đến
và cổng vòng cho các kết nối đi. Điều này làm cho hệ thống tường lửa dễ dàng sử dụng
cho những người trong mạng nội bộ muốn trực tiếp truy nhập tới các dịch vụ Internet,
trong khi vẫn cung cấp chức năng tường lửa để bảo vệ mạng nội bộ từ những sự tấn công
bên ngoài.


CHƯƠNG 2. TÌM HIỀU FIREWALL ASA 5515
2.1. Giới thiệu sơ lược ASA 5515

Hình 2.1. Cisco Firewall ASA 5515-X

Thông số cơ bản:
- RAM: 8Gb
- Chuẩn Ethernet: 10/100/1000 Base-T
- Giá thành: Khoảng 3000$

Hình 2.2. Thông số cơ bản ASA 5515-X


2.2. Các tính năng
Stateful Inspection Throughput (Maximum)

1.2 Gbps


Stateful Inspection Throughput (Multiprotocol)

600 Mbps

IPS Throughput

400 Mpbs (Extra hardware not
required)

Next-Generation Throughput(Multiprotocol)

350 Mbps

3DES/AES VPN Throughput

250 Mbps

Users/Nodes

Unlimited

IPsec VPN Peers

250

Cisco Cloud Web Security Users

250


Premium

AnyConnect

VPN 2/250

Peers(Included/Maximum)
Concurrent Connections

250,000

New Connections/Second

15,000

Virtual Interfaces (VLANs)

100

Security Contexts (Included/Maximum)6

2,5

High Availability

Active/Active and Active/Standby

Expansion Slot

1 interface card


User-Accessible Flash Slot

No

USB 2.0 Ports

2


Integrated I/O

6 GE Copper

Expansion I/O

6 GE Copper or 6 GE SFP

Serial Ports

1 RJ-45 console

Solid State Drive

1 slot, 120 GB MLC SED

Memory

8 GB


Minimum System Flash

8 GB

System Bus

Multibus architecture

Temperature

23 to 104°F (-5 to 40°C)

Relative Humidity

10 to 90 percent noncondensing

Altitude

Designed and tested for 0 to 15,000
ft (4572m)

Shock

70G, 4.22 m/sec

Vibration

0.41 Grms2 (3 to 500 Hz) random
input


Acoustic Noise

64.2 dBa max

Temperature

-13 to 158ºF (-25 to 70ºC)

Relative Humidity

10 to 90 percent noncondensing

Altitude

Designed and tested for 0 to 15,000
ft (4570m)

Shock

70G, 4.22 m/sec


Vibration

1.12 Grms2 (3 to 500 Hz) random
input

AC Range Line Voltage

100 to 240 VAC


AC Normal Line Voltage

100 to 240 VAC

AC Current

4.85A

AC Frequency

50/60 Hz

Dual-Power Supplies

None

DC Domestic Line Voltage

-40.5 to 56

VDC (-48 VDC

nominal)
DC International Line Voltage

-55 to -72 VDC (-60 VDC nominal)

DC Current


15A (maximum input)

Steady State

65W

Maximum Peak

70W

Maximum Heat Dissipation

239 BTU/hr

Form Factor

1 RU, 19-in. rack-mountable

Dimensions (H x W x D)

1.67 x 16.7 x 15.6 In (4.24 x 42.9 x
39.5 cm)

Weight (with AC Power Supply)

13.39 lb (6.07 kg)

Safety

IEC 60950-1: 2005, 2nd Edition EN

60950-1:2006+A11:
60950-1:2007,

2009

UL

2ndEdition;

CSA


C22.2 No. 60950-1-07, 2ndEdition


CHƯƠNG 3. TRIỂN KHAI CÁC CHÍNH SÁCH TRÊN FIREWALL ASA 5515-X
3.1. Bài toán 1

Hình 3.1. Mô hình thực hiện

3.1.1. Các bước cấu hình
Trên PC thực hiện đặt địa chỉ ip đúng như hình vẽ.
Trên ASA thực hiện các bước:
ciscoasa(config)# int g1
ciscoasa(config-if)# ip add 172.16.1.100 255.255.255.0
ciscoasa(config-if)# nameif LAN
ciscoasa(config-if)# security-level 100
ciscoasa(config-if)# no shu
ciscoasa(config-if)# int g2
ciscoasa(config-if)# ip add 10.1.1.100 255.255.255.0

ciscoasa(config-if)# nameif DMZ
ciscoasa(config-if)# security-level 50
ciscoasa(config-if)# no shut


ciscoasa(config-if)# int g3
ciscoasa(config-if)# ip add 192.168.10.100 255.255.255.0
ciscoasa(config-if)# nameif INTERNET
ciscoasa(config-if)# no shut
ciscoasa(config)# http server enable
ciscoasa(config)# http 172.16.1.0 255.255.255.0 LAN
ciscoasa(config)# username admin pass
ciscoasa(config)# username admin password 123 privilege 15
ciscoasa(config)# copy tftp: flash:
Address or name of remote host []? 172.16.1.10
Source filename []? asdm-641.bin
Destination filename [asdm-641.bin]?
Accessing tftp://172.16.1.10/asdm-641.bin...
3.2. Bài toán 2

Hình 3.2. Mô hình thực hiện


3.2.1. Các bước cấu hình
Bước 1: Cài đặt địa chỉ ip theo mô hình
Bước 2: Cài đặt asdm trên 2 firewall ASA như bài 1.
Bước 3: Trên asdm cấu hình site to site.


CHƯƠNG 4. KẾT LUẬN


Kết quả đạt được:
Tiềm hiểu và sử dụng được cách cấu hình và mô hình mạng đơn giản trên GNS3.
Thực hành triển khai cấu hình mạng Firewall mô hình đơn giản trên thiết bị thật của
trường.
Biết cấu hình một bài lab đơn giản trên GNS3, cách nối dây giữa các thiết bị.
Hiểu căn bản về cấu trúc, chức năng của Firewall và hoạt động của Firewall.
Triển khai được ASA 5515 trên phòng B106.

Hạn chế:
Chưa đi sâu vào nghiên cứu các chính sách bảo mật trên Firewall.
Mô hình triển khai còn đơn giản chưa đi sát với thực tế.
Vẫn còn gập một số lỗi trong quá trình demo.


TÀI LIỆU THAM KHẢO

[1] Mạng máy tính và các hệ thống mở – Nguyễn Thúc Hải (NXB Giáo Dục).
[2] An toàn và bảo mật tin tức trên mạng – Học viện Công nghệ Bưu chính
Viễn thông (NXB Bưu Điện).
[3] Bức tường lửa Internet và An ninh mạng – NXB Bưu Điện
[4] Quangtrimang.com, mywep.pro.vn, hocwep.com.vn
Internet
[5] Sơ lượt về Firewall ( />Tiếng anh:

[6] Cisco ASA series Firewall CLI Configuration Guide
[7] Cisco ASA Series Command Reference