TRƯỜNG CAO ĐẲNG CÔNG NGHỆ THÔNG TIN

HỮU NGHỊ VIỆT - HÀN

KHOA CÔNG NGHỆ THÔNG TIN

BẢO MẬT HỆ THỐNG MẠNG

BẰNG FIREWALL CISCO ASA 5515X

TÓM TẮT ĐỒ ÁN TỐT NGHIỆP

NGÀNH: QUẢN TRỊ MẠNG MÁY TÍNH

HSSV thực hiện : Nguyễn Quang Hiền

MÃ HSSV : CCMM17A002

Cán bộ hƣớng dẫn : TS. Đặng Quang Hiển

Bùi Thanh Minh

Khóa đào tạo : 2017 - 2020

Đà Nẵng, 01/2020

1

MỞ ĐẦU

1. Lý do chọn đề tài

Với sự bùng nổ và phát triển của công nghệ hiện nay, máy tính

và mạng máy tính có vai trò hết sức quan trọng trong cuộc sống hằng

ngày. Ngày nay trong bất kỳ lĩnh vực nào cũng cần đến máy tính,

máy tính rất hữu ích với chúng ta. Chính nhờ có máy tính và sự phát

triển của nó đã làm cho khoa học kỹ thuật phát triển vượt bậc, kinh tế

phát triển nhanh chóng và thần kỳ. Cùng với sự ra đời và phát triển

của máy tính và mạng máy tính là vấn đề bảo mật thông tin, ngăn

chặn sự xâm phạm và đánh cắp thông tin trong máy tính và thông tin

cá nhân trên mạng máy tính khi mà ngày càng có nhiều tin tặc xâm

nhập và phá huỷ dữ liệu quan trọng làm thiệt hại lớn như hiện nay.

Việc bảo mật và an toàn thông tin đang trở thành mối lo ngại

và nguy cơ tiềm tàng, tin tặc có thể truy cập vào hệ thống của các cơ

quan, tổ chức từ khắp nơi trên thế giới.

Hiểm họa về mất an toàn thông tin như:

- Các hoạt động tin tặc liên tục tăng.

- Mức độ nguy hiểm ngày một gia tăng, tính tự động ngày

càng cao.

- Đa dạng về kiểu tấn công.

- Xu hướng tấn công vào các tổ chức tài chính, ngân hàng, các

cơ quan chính phủ.

Chính vì vậy việc bảo mật thông tin rất quan trọng, hệ thống

thông tin là thành phần thiết yếu trong mọi cơ quan, tổ chức, đem lại

khả năng xử lý thông tin, nhưng hệ thống thông tin cũng chứa rất

nhiều điểm yếu. Do máy tính được phát triển với tốc độ rất nhanh để

đáp ứng nhiều yêu cầu của người dùng, các phiên bản được phát

hành liên tục với các tính năng mới được thêm vào ngày càng nhiều,

2

điều này làm cho các phần mềm không được kiểm tra kỹ trước khi

phát hành và bên trong chúng chứa rất nhiều lỗ hổng có thể dễ dàng

bị lợi dụng. Thêm vào đó là việc phát triển của hệ thống mạng, cũng

như sự phân tán của hệ thống thông tin, làm cho người dùng truy cập

thông tin dễ dàng hơn và tin tặc cũng có nhiều mục tiêu tấn công dễ

dàng hơn.

Song song với việc xây dựng hệ thống thông tin hiện đại, đáp

ứng nhu cầu của các cơ quan, tổ chức cần phải bảo vệ hệ thống thông

tin, đảm bảo cho hệ thống đó hoạt động ổn định và tin cậy. An toàn

và bảo mật thông tin là thiết yếu trong mọi cơ quan, tổ chức.

Do vậy việc bảo vệ hệ thống là một vấn đề mà chúng ta đáng

phải quan tâm. Người ta đã đưa ra khái niệm Firewall để giải quyết

vấn đề này.

Trong đồ án tốt nghiệp này em sẽ trình bày về: “Bảo mật hệ

thống mạng bằng Firewall Cisco ASA 5515-X” qua đây sẽ cho

chúng ta cái nhìn sâu hơn về khái niệm, củng như chức năng của

Firewall.

2. Mục tiêu và nhiệm vụ nghiên cứu

Đồ án này sẽ giúp cho chúng ta biết được các quá trình cần

thiết để thiết kế nên một hệ thống mạng, giúp ta biết sâu hơn về khái

niệm cũng như nghiên cứu và triển khai các chức năng chính trên

Firewall Cisco ASA 5515-x.

3. Đối tƣợng và phạm vi nghiên cứu

Đối tượng nghiên cứu: Firewall Cisco ASA 5515-x và các

thiết bị mạng, máy tính có tại phòng Lab B107 của trường.

Phạm vi nghiên cứu: nghiên cứu lý thuyết về bảo mật mạng và

triển khai các chức năng chính của firewall Cisco ASA 5515-x.

4. Phƣơng pháp nghiên cứu

3

- Đọc các tài liệu về an toàn và bảo mật mạng. Đặc biệt là

thiết bị an toàn mạng Firewall Cisco ASA 5515-x.

- Triển khai thực hành tới đâu thì viết phần lý thuyết tới đó.

5. Dự kiến kết quả

- Hoàn thiện báo cáo lý thuyết;

- Hoàn thiện mô hình bảo mật mạng trong đó sử dụng Firewall

Cisco ASA 5515-X.

6. Ý nghĩa khoa học và thực tiễn

Nâng cao tính bảo mật và an toàn dữ liệu trên mạng.

Giúp bảo mật hệ thống mạng tại các công ty và doanh

nghiệp.

7. Nội dung đồ án tốt nghiệp

Chương 1: Tổng quan về bảo mật mạng.

Chương 2: Thiết bị bảo mật mạng Cisco ASA 5515X.

Chương 3: Triển khai hệ thống bảo mật mạng Firewall Cisco

ASA 5515X

4

CHƢƠNG 1: TỔNG QUAN VỀ BẢO MẬT MẠNG

1.1. ĐỊNH NGHĨA BẢO MẬT MẠNG

1.1.1. Các yếu tố cần đƣợc bảo vệ trong hệ thống

1.1.2. Các đặc trƣng của một hệ thống thông tin bảo mật

1.1.3. Mục tiêu của bảo mật hệ thống

1.2. CÁC HÌNH THỨC TẤN CÔNG HỆ THỐNG MẠNG

1.2.1. Quá trình thăm dò tấn công (Reconnaissance)

1.2.2. Quét hệ thống (Scanning)

1.2.3. Chiếm quyền điều khiển (Gainning access)

1.2.4. Duy trì điều khiển hệ thống (Maitaining access)

1.2.5. Xoá dấu vết (Clearning tracks)

1.3. CÁC BIỆN PHÁP BẢO VỆ HỆ THỐNG MẠNG

1.3.1. Mã hoá

1.3.2. Chứng thực ngƣời dùng

1.3.3. Bảo mật máy trạm

1.3.4. Bảo mật truyền thông

1.4. CÁC CÔNG NGHỆ VA KĨ THUẬT BẢO MẬT

1.4.1. Bảo mật bằng firewall

1.4.2. Bảo mật bằng VPN (Virtual Private Network)

1.4.3. Bảo mật bằng IDS (Intrusion Detection System)

5

CHƢƠNG 2: THIẾT BỊ BẢO MẬT MẠNG

FIREWALL CISCO ASA 5515 - X

2.1. KHÁI NIỆM VỀ FIREWALL

2.1.1. Khái niệm

2.1.2. Lý do sử dụng Firewall cho mạng máy tính

2.1.3. Sự ra đời của firewall

2.1.4. Các lựa chọn Firewall

2.1.5. Chức năng chính của Firewall

2.1.6. Firewall bảo vệ những vấn đề

2.2. TỔNG QUAN VỀ FIREWALL CISCO ASA 5515-X

2.2.1. Cấu hình phần cứng thiết bị ASA 5515-X

2.2.2. Tính năng thiết bị ASA 5515-X của CISCO

2.2.3. Một số công cụ và dịch vụ đƣợc cài đặt trên thiết bị ASA

5515-X

2.2.3.1. Ciscos ASDM (Adaptive Security Device Manager)

2.2.3.2. NAT (Network Address Translation)

6

CHƢƠNG 3: TRIỂN KHAI BẢO MẬT HỆ THỐNG MẠNG

BẰNG FIREWALL CISCO ASA 5515 X

3.1. XÂY DỰNG MÔ HÌNH TRIỂN KHAI

3.1.1. Mô hình thực tế

Hình 3.1. Mô hình thực tế hệ thống mạng

3.1.2. Sơ đồ triển khai

Hình 3.2. Sơ đồ triển khai hệ thống mạng

3.1.3. Danh sách các thiết bị đƣợc sử dụng trong mô hình

3.1.4. Các phần mềm và dịch vụ đƣợc cài đặt, cấu hình trên

Firewall

7

3.2. TIẾN HÀNH CÀI ĐẶT VÀ CẤU HÌNH THIẾT BỊ

3.2.1. Cài đặt công cụ ASDM (Adative Security Device Manager)

3.2.1.1. Chuẩn bị để cài ASDM

3.2.1.2. Cài đặt ASDM

3.2.2. Cấu hình cơ bản trên firewall

- Đặt Hostname cho firewall là ASA 5515-X.

- Cấu hình password cho firewall.

- Cấu hình enable interface, cấu hình IP cho các interface,

name cho interface.

- Cấu hình security-level trên interface.

Cấu hình bằng ASDM:

- Đầu tiên, đặt tên hostname cho thiết bị:

Hình 3.3. Đặt tên cho Firewall

- Cấu hình password:

Hình 3.4. Password enable

- Nhấn Apply để lưu cấu hình.

8

- Tiếp theo tiến hành đặt ip, bật các port và cấu hình security-

level lên các interface cho từng cổng kết nối với vùng Outside, dmz,

inside, inside1.

Hình 3.5. Tạo các interface

- Nhấn OK để tạo.

- Làm tương tự cho các Port như trên:

- Nhấn Apply để lưu cấu hình.

3.2.3. Cấu hình SSH (Secure Shell)

- Bước 1: Sử dụng giao diện ASDM: Chọn Configuration >

Remote Access VPN > DHCP Server: Kích chọn interface:

inside (DHCP sẽ cấp cho miền mạng này).

9

Hình 3.6. Cấu hình DHCP

- Bước 2: Nhấn ok để lưu, cấu hình tương tự như trên cho

miền mạng inside1:

- Bước 3: Nhấn Ok để lưu, Apply để lưu cấu hình.

- Bước 4: Tiến hành kiểm tra kết quả:

10

Hình 3.7. PC nhận ip từ dịch vụ DHCP

- Như vậy dịch vụ DHCP đã cấp ip cho 2 Vlan (gv, sv).

3.2.4. Cấu hình NAT

- Sau khi đặt ip cho các port ta tiến hành cấu hình NAT để các

thiết bị trong vùng dmz, inside, inside1 có thể kết nối Internet. Cấu

hình bằng giao diện ASDM:

- Bước 1: Chọn Configuration > Firewall > NAT Ruler >

Add”Network Object”NAT Rule.

11

Hình 3.8. Cấu hình NAT

- Bước 2: Nhập tên, ip, Netmask như hình.

Hình 3.9. Cấu hình Network object

- Tiếp theo, chọn kiểu NAT, để tất cả các ip trong miền mạng

kết nối được Internet thì ở đây chọn Dynamic PAT (Hide).

Hình 3.10. Chọn loại NAT

12

- Làm tương tự với các miền mạng còn lại.

- Bước 3: Nhấn Ok, rồi nhấn Apply để lưu cấu hình.

3.2.5. Tạo Access Rules

- Bước 1: Chọn Configuration > Firewall > Access Rules.

13

Hình 3.11. Tạo Access Rules

- Bước 2: Tiến hành cấu hình như hình.

Hình 3.12. Tạo Access Rules

- Làm tương tự cho các Access Rules khác.

14

Hình 3.13 Tạo Access Rules

Hình 3.14. Tạo Access Rules

- Bước 3: Nhấn Ok, Chon Apply để lưu cấu hình.

3.2.6. Cấu hình static Router (định tuyến)

- Bước 1: Chọn Configuration > Device Setup > Routing >

Static Routes > Add.

15

Hình 3.15. Cấu hình Static Router

- Bước 2: Nhấn ok, Apply để lưu cấu hình.

3.2.7. Tiến hành kiểm tra kết quả

- Bước 1: Từ PC Client của Vlan gv (192.168.2.11)

o Ping 8.8.8.8.

o Ping các máy chủ vùng DMZ(172.16.1.11-14).

Hình 3.16. Ping 8.8.8.8 và khu DMZ

16

o Duyệt Web.

Hình 3.17. Duyệt web

- Bước 2: Tương tự, Kiểm tra trên PC thuộc Vlan SV

(192.168.3.11) kết quả:

Hình 3.18. Duyệt web

- Bước 3: Kiểm tra kết nối trên các máy chủ vùng DMZ

(172.16.1.11-14) kết quả:

17

Hình 3.19. Duyệt web

Hình 3.20. Ping 8.8.8.8 và inside

3.2.8. Kết quả

- Các PC trong 2 Vlan (gv, sv) đã nhận được ip động được cấp

phát tự động từ dịch vụ DHCP của Firewall.

18

- Quá trình cấu hình NAT trên firewall đã thành công, cho kết

quả sau:

o Các máy chủ vùng DMZ truy cập được Internet và ping

thông vào 2 Vlan (gv, sv).

o Các máy Client ở 2 Vlan (gv, sv) đi được Internet và truy

cập các dịch vụ ở các máy chủ vùng DMZ.

19

KẾT LUẬN

Đánh giá

Kết quả nghiên cứu

Sau quá trình tìm hiểu và nghiên cứu, đề tài đã đạt được một

số kết quả như sau:

- Đã hiểu rõ được thế nào là Firewall, bản chất của Firewall là

như thế nào.

- Chức năng của Firewall trong việc bảo mật cho hệ thống

mạng.

- Những thành phần chính hình thành nên một Firewall.

- Tìm hiểu được an toàn và bảo mật mạng.

- Các yêu cầu về Firewall của một hệ thống mạng.

- Những giải pháp Firewall đưa ra cho một hệ thống.

- Thiết lập một Firewall cho hệ thống.

Vấn để chƣa làm đƣợc

- Chưa Tìm hiểu hết các chức năng của Firewall Cisco asa

5515-x.

- Vì thời gian có hạn nên chưa triển khai được hết tất cả các

dịch vụ lên hệ thống.

Hƣớng phát triển của đề tài

Trên cơ sở những việc đã làm được và chưa làm được ở trên

khi thực hiện đề tài, em xin đưa ra hướng phát triển nhằm từng bước

hoàn thiện đề tài.

- Tìm hiểu thêm các chức năng và dịch vụ trên Firewall 5515-

x, củng như đề xuất phương án và giải pháp tốt.

- Xây dựng một mô hình mạng bảo mật cao.

Lời kết

20

Trong quá trình tìm hiểu và làm đồ án em đã nhận được rất

nhiều ý kiến đóng góp về nội dung cũng như cách trình bày. Em xin

cám ơn Thầy Đặng Quang Hiển và Thầy Bùi Thanh Minh đã tận tình

hướng dẩn và chỉ bảo em trong quá trình làm đồ án và triển khai hệ

thống.

Mặc dù đồ án đã đạt được một số kết quả nhất định như trên,

nhưng vì thời làm đồ án có hạn nên một số chức năng và dịch vụ

chưa thể triển khai hết trên Firewall và hệ thống. Trong quá trình làm

đồ án không thể tránh khỏi những sai sót và thiếu sót, em rất mong

nhận được sự đóng góp ý kiến và bổ sung của các thầy cô để em có

thêm kinh nghiệm và phát triển bản thân hơn.