ĐẠI HỌC BÁCH KHOA HÀ NỘI

TRƯỜNG ĐIỆN – ĐIỆN TỬ

VIỆN ĐIỆN TỬ VIỄN THÔNG

ĐỒ ÁN TỐT NGHIỆP

ĐỀ TÀI:

NGHIÊN CỨU VÀ TRIỂN KHAI HỆ THỐNG FIREWALL

CISCO ASA

GVHD: TS. PHAN XUÂN VŨ CHỮ KÝ GVHD

SVTH: NGUYỄN VÂN DƯƠNG

EMAIL: DUONG.NV192796@SIS.HUST.EDU.VN
LỚP: ĐIỆN TỬ 05 – K64
MSSV: 20192796

Hà Nội, 06/2024
 LỜI CÁM ƠN

Trước tiên, em xin gởi lời cám ơn chân thành tới thầy hướng dẫn đồ án tốt
nghiệp của em, TS. Phan Xuân Vũ, người đã tạo mọi điều kiện, động viên và giúp đỡ
em hoàn thành tốt kỳ đồ án này. Trong suốt quá trình nghiên cứu thầy đã kiên nhẫn
hướng dẫn, giúp đỡ và động viên em rất nhiều. Sự hiểu biết sâu sắc cũng như kinh
nghiệm của thầy chính là tiền đề giúp em đạt được những thành tựu và kinh nghiệm
quý báu.

Xin cám ơn viện Điện tử - Viễn Thông của Trường Điện – Điện tử trực thuộc
Đại học Bách Khoa Hà Nội đã tạo điều kiện thuận lợi cho em làm việc trên khoa để có
thể tiến hành tốt cho đồ án của em.

Em cũng xin gởi lời cảm ơn đến bạn bè và gia đình đã luôn bên em, cổ vũ và
động viên em những lúc khó khăn để em vượt qua và hoàn thành tốt đồ án này

Một lần nữa em xin chân thành cảm ơn thầy cô của trường Điện – Điện tử, đặc
biệt là thầy Phan Xuân Vũ người đã tận tình hướng dẫn em. Cuối cùng em xin gởi lời
chúc đến quý thầy cô cùng các bạn sinh viên của trường được dồi dào sức khỏe và
thành công trong công việc.

Em xin chân thành cảm ơn!

Sinh viên thực hiện

Nguyễn Vân Dương

 MỤC LỤC
MỤC LỤC .............................................................................................................. i

MỤC LỤC HÌNH .................................................................................................. v

MỤC LỤC BẢNG ................................................................................................ vi

LỜI MỞ ĐẦU ....................................................................................................... 1

CHƯƠNG 1 : AN TOÀN TRONG MẠNG MÁY TÍNH ..................................... 2

1.1. Tình hình thực tế ........................................................................................ 2

1.2. Các lỗ hổng trên mạng................................................................................ 3

Các mật khẩu yếu ................................................................................ 3

Dữ liệu không được mã hóa ................................................................ 4

Các file chia sẻ .................................................................................... 4

1.3. Các mục tiêu cần bảo vệ ............................................................................. 5

Dữ liệu ................................................................................................. 5

Tài nguyên ........................................................................................... 5

Danh tiếng ........................................................................................... 6

1.4. Các dạng tấn công trên mạng ..................................................................... 6

Xâm nhập ............................................................................................ 6

Từ chối dịch vụ ................................................................................... 7

1.5. Các chiến lược bảo vệ ................................................................................ 8

Quyền hạn tối thiểu (Least Privilege) ................................................. 8

Bảo vệ theo chiều sâu (Defence in Depth ) ......................................... 9

Nút thắt (Choke Point) ........................................................................ 9

Liên kết yếu nhất ( Weakest Link ) ..................................................... 9

Hỏng an toàn ( Fail – Safe Stance ) .................................................. 10

Tính toàn cục ( Universal Participation ) .......................................... 10

CHƯƠNG 2 : TỔNG QUAN VỀ FIREWALL .................................................. 11

 2.1. Khái niệm ................................................................................................. 11

2.2. Phân loại Firewall ..................................................................................... 11

Firewall phần cứng ............................................................................ 11

Firewall phần mềm............................................................................ 12

2.3. Ưu điểm và nhược điểm của Firewall ...................................................... 12

Ưu điểm ............................................................................................. 12

Firewall là điểm tập trung giải quyết các vấn đề an ninh .......... 12

Firewall có thể thiết lập chính sách an ninh ............................... 13

Firewall có thể ghi lại các hoạt động một cách hiệu quả ........... 13

Nhược điểm ....................................................................................... 13

Firewall không thể bảo vệ được nếu có sự tấn công từ bên trong
................................................................................................................. 13

Firewall không thể bảo vệ được nếu các cuộc tấn công không đi
qua nó ...................................................................................................... 13

2.4. Các chức năng của Firewall ..................................................................... 14

Packet Filtering ................................................................................. 14

Khái niệm ................................................................................... 14

Các hoạt động của Packet Filtering ........................................... 16

Proxy ................................................................................................. 16

Khái niệm ................................................................................... 16

Các hoạt động của Proxy ........................................................... 17

Phân loại Proxy .......................................................................... 17

Sử dụng Proxy với các dịch vụ Internet ..................................... 18

Theo dõi và ghi chép (Monitoring and Logging).............................. 19

CHƯƠNG 3 : TƯỜNG LỬA CISCO ASA ........................................................ 20

3.1. Giới thiệu .................................................................................................. 20

3.2. Các chức năng cơ bản ............................................................................... 21

 Các chế độ làm việc .......................................................................... 21

Quản lý File ....................................................................................... 22

3.3. Network Access Translation (NAT) ......................................................... 24

Khái niệm .......................................................................................... 24

NAT trên thiết bị ASA ...................................................................... 25

3.4. Access Control List .................................................................................. 27

CHƯƠNG 4 : TRIỂN KHAI CÁC GIẢI PHÁP TRÊN CISCO ASA VÀ DEMO
KẾT QUẢ ............................................................................................................ 34

4.1. Giới thiệu và xây dựng mô hình Firewall ASA........................................ 34

4.2. Hoạch định, giải pháp và kết quả đạt được: ............................................. 35

Hoạch định ........................................................................................ 35

Giải pháp ........................................................................................... 36

Triển khai Router ISP ................................................................ 36

Interface trên Cisco ASA ........................................................... 37

Static Route trên Cisco ASA...................................................... 37

Access Control List trên Cisco ASA ......................................... 37

NAT trên Cisco ASA ................................................................. 38

Kết quả đạt được ............................................................................... 41

KẾT LUẬN ......................................................................................................... 42

PHỤ LỤC ............................................................................................................... i

DANH MỤC CÁC TỪ VIẾT TẮT .................................................................... xxi

TÀI LIỆU THAM KHẢO ................................................................................ xxiii

 MỤC LỤC HÌNH
Hình 1.1: Tấn công kiểu DoS và DdoS ............................................................................ 7
Hình 1.2: Tấn công kiểu DRDoS ..................................................................................... 8
Hình 1.3: Bảo vệ theo chiều sâu ...................................................................................... 9
Hình 2.1: Vị trí Firewall trong mạng doanh nghiệp ....................................................... 11
Hình 2.2: Packet Filtering .............................................................................................. 14
Hình 2.3: Proxy server ................................................................................................... 17
Hình 3.1: Cisco ASA 5505 ............................................................................................ 20
Hình 3.2: Security Level trong mạng lưới doanh nghiệp ............................................... 23
Hình 3.3: Chuyển đổi địa chỉ mạng ............................................................................... 24
Hình 3.4: Mô tả cơ chế PAT (NAT overload) ............................................................... 25
Hình 3.5: Sơ đồ ACL điều khiển truy cập mạng ............................................................ 27
Hình 4.1: Mô hình triển khai Firewall ASA .................................................................. 34
Hình 4.2: Mô hình logic Firewall ASA.......................................................................... 34
 MỤC LỤC BẢNG
Bảng 4.1: Các vùng mạng của một hệ thống mạng........................................................ 35
Bảng 4.2: Chính sách cho các vùng mạng ..................................................................... 36
 LỜI MỞ ĐẦU

LỜI MỞ ĐẦU
Mặc dù Internet là mỏ thông tin và giao tiếp xã hội quý giá, nhưng không phải
lúc nào nó cũng thân thiện. Thay vào đó, có rất nhiều kẻ xấu rình rập trên mạng với
mưu đồ xâm nhập vào những máy tính kết nối với Internet.

Sau hàng loại những vụ tấn công mạng với quy mô lớn diễn ra gần đây, vấn đề
bảo mật trên máy tính trở nên quan trọng hơn bao giờ hết. Bên cạnh những phần mềm
diệt virus, các cổng giao tiếp trong hệ thống, bạn còn cần chú ý đến một yếu tố nữa đó
là tường lửa Firewall.

Để làm rõ các vấn đề này thì đồ án “FIREWALL CISCO ASA” sẽ cho chúng ta
cái nhìn sâu hơn về khái niệm, cũng như chức năng của Firewall.

Nội dung đồ án được chia làm 4 chương sau:

• Chương 1: An toàn trong mạng máy tính

• Chương 2: Tổng quan về Firewall
• Chương 3: Tường lửa Cisco ASA
• Chương 4: Triển khai các giải pháp trên Cisco ASA và demo kết quả

Dưới sự hướng dẫn, chỉ bảo nhiệt tình của thầy Ts. Phan Xuân Vũ cùng với sự
cố gắng nổ lực của cá nhân, em đã hoàn thành đồ án đúng thời hạn cho phép. Do nội
dung đồ án rộng và bao gồm nhiều kiến thức mới mẻ, thời gian và kiến thức còn hạn
chế, việc nghiên cứu chủ yếu dựa trên lý thuyết nên chắc chắn đề tài không tránh khỏi
những thiếu xót. Em rất mong nhận được được sự đóng góp ý kiến của thầy cô giáo và
bạn bè.

SVTH: NGUYỄN VÂN DƯƠNG LỚP: ĐIỆN TỬ 05 – K64 Trang 1

 CHƯƠNG 1: AN TOÀN TRONG MẠNG MÁY TÍNH

CHƯƠNG 1: AN TOÀN TRONG MẠNG MÁY TÍNH

Trong chương này chúng ta sẽ trình bày các khái niệm chung về an toàn an ninh
mạng, tình hình thực tế. Các mô hình mạng và các giao thức được sử dụng để truyền
thông trên mạng.

Các dạng tấn công, một số kỹ thuật tấn công đang được sử dụng phổ biến hiện
nay, từ đó đưa ra các chiến lược bảo vệ hệ thống khỏi các nguy cơ này.

1.1. Tình hình thực tế

Mạng Internet – mạng toàn cầu kết nối các máy tính cung cấp các dịch vụ như
WWW, E-mail, tìm kiếm thông tin … là nền tảng cho dịch vụ điện tử đang ngày càng
phát triển nhanh chóng. Internet đã và đang trở thành một phần không thể thiếu được
trong cuộc sống hằng ngày. Và cùng với nó là những sự nguy hiểm mà mạng Internet
mang lại.

Những kẻ tấn công ngày càng tinh vi hơn trong các hoạt động của chúng.
Thông tin về các lỗ hổng bảo mật, các kiểu tấn công được trình bày công khai trên
mạng. Không kể những kẻ tấn công không chuyên nghiệp, những người có trình độ
cao mà chỉ cần một người có một chút hiểu biết về lập trình, về mạng khi đọc các
thông tin này là có thể trở thành một hacker. Chính vì lí do này mà số vụ tấn công trên
mạng không ngừng ra tăng và nhiều phương thức tấn công mới ra đời, không thể kiểm
soát.

Theo điều tra của Ernst & Young, thì 4/5 các tổ chức lớn (số lượng nhân viên
lớn hơn 2500 ) đều triển khai các ứng dụng nền tảng, quan trọng trong mạng cục bộ
LAN. Khi các mạng cục bộ này kết nối với mạng Internet, các thông tin thiết yếu đều
nằm dưới khả năng bị đột nhập, lấy cắp, phá hoại hoặc cản trở lưu thông. Phần lớn các
tổ chức này tuy có áp dụng những biện pháp an toàn nhưng chưa triệt để và có nhiều lỗ
hổng để kẻ tấn công có thể lợi dụng.

Những năm gần đây, tình hình bảo mật mạng máy tính đã trở lên nóng bỏng
hơn bao giờ hết khi hàng loạt các vụ tấn công, những lỗ hổng bảo mật được phát hiện
hoặc bị lợi dụng tấn công. Theo Arthur Wong – giám đốc điều hành của SecurityFocus
– trung bình một tuần, phát hiện ra hơn 30 lỗ hổng bảo mật mới. Theo điều tra của
SecurityFocus trong số 10.000 khách hàng của hãng có cài đặt phần mềm phát hiện

SVTH: NGUYỄN VÂN DƯƠNG LỚP: ĐIỆN TỬ 05 – K64 Trang 2

 CHƯƠNG 1: AN TOÀN TRONG MẠNG MÁY TÍNH
xâm nhập trái phép thì trung bình mỗi khách hàng phải chịu 129 cuộc thăm dò, xâm
nhập. Những phần mềm web server như IIS của Microsoft là mục tiêu phổ biến nhất
của các cuộc tấn công.

Trước tình hình đó thì việc bảo vệ an toàn thông tin cho một hay một hệ thống
máy tính trước nguy cơ bị tấn công từ bên ngoài khi kết nối vào Internet là một vấn đề
hết sức cấp bách. Để thực hiện các yêu cầu trên, thế giới đã xuất hiện các phần mềm
khác với những tính năng khác nhau mà được gọi là Firewall.

Sử dụng Firewall để bảo vệ mạng nội bộ, tránh sự tấn công từ bên ngoài là một
giải pháp hữu hiệu, đảm bảo được các yếu tố:

• An toàn cho sự hoạt động của toàn bộ hệ thống mạng

• Bảo mật cao trên nhiều phương diện
• Khả năng kiểm soát cao
• Mềm dẻo và dễ sử dụng
• Trong suốt với người sử dụng
• Đảm bảo kiến trúc mở
Để có thể bảo vệ được hệ thống, chống lại sự tấn công của hacker, ta phải biết
những mục tiêu cần bảo vệ, các kỹ thuật tấn công khác nhau, và đưa ra chiến lược bảo
vệ mạng hợp lý.

1.2. Các lỗ hổng trên mạng

Việc sử dụng mạng Internet làm tăng nhanh khả năng kết nối, nhưng đồng thời
chứa đựng trong đó những hiểm hoạ không ngờ. Những lỗ hổng để kẻ tấn công có thể
lợi dụng, gây tổn thương cho hệ thống có rất nhiều. Sau đây là một vài lỗ hổng phổ
biến trên cộng đồng mạng hiện nay.

Các mật khẩu yếu

Mọi người thường có thói quen sử dụng mật khẩu theo tên của người thân hay
những gì quen thuộc với mình. Với những mật khẩu dễ bị phán đoán, kẻ tấn công có
thể chiếm đoạt được quyền quản trị trong mạng, phá huỷ hệ thống, cài đặt backdoor …
Ngày nay, một người ngồi từ xa cũng có thể đăng nhập vào được hệ thống cho nên ta
cần phải sử dụng những mật khẩu khó đoán, khó dò tìm hơn.

SVTH: NGUYỄN VÂN DƯƠNG LỚP: ĐIỆN TỬ 05 – K64 Trang 3