Tải bản đầy đủ (.docx) (19 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Quản trị mạng

Tổng quan về công nghệ tường lửa

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (314.39 KB, 19 trang )

Báo cáo: Công nghệ tường lửa

SVTH: Trần Văn Sơn

Chương 1 : TỔNG QUAN VỀ CÔNG NGHỆ
TƯỜNG LỬA (FIREWALL)
1. Khái niệm về tường lửa
1.1. Khái niệm về Tường lửa
Firewall (tường lửa) là một giải pháp được tích hợp vào hệ thống mạng để chống
sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm
nhập khơng mong muốn vào hệ thống.

Hình 1.1: Tường lửa

1.2. Phân loại tường lửa
1.2.1. Firewall packet filter (lọc gói tin)
Firewall lọc gói hoạt động ở lớp mạng của mơ hình OSI, hoặc lớp IP của mơ hình
TCP/IP. Chúng thường là một phần của router, là thiết bị nhận gói từ một mạng
và chuyển gói tới mạng khác. Trong firewall lọc gói, mỗi gói được so sánh với

GVHD: TS.Nguyễn Hà Huy Cường

1


Báo cáo: Công nghệ tường lửa

SVTH: Trần Văn Sơn

tập các tiêu chuẩn trước khi nó được chuyển tiếp. Dựa vào gói và tiêu chuẩn,
firewall có thể hủy gói, chuyển tiếp hoặc gởi thơng điệp tới nơi tạo gói.


Ví dụ: IP Chains, Router ACLs,…

 Gateway mức mạng (ciruit level gateways)
Gateway mức mạng hoạt động ở lớp session của mơ hình OSI, hoặc lớp TCP của
mơ hình TCP/IP. Chúng giám sát việc thỏa hiệp TCP giữa các gói để xác định
rằng một phiên yêu cầu là phù hợp. Thông tin tới máy tính từ xa thơng qua một
gateway mức mạng, làm cho máy tính ở xa đó nghĩ là thơng tin đến từ gateway.
Điều này che dấu được thông tin về mạng được bảo vệ.

 Gateway mức ứng dụng (application level gateways)
Các gateway mức ứng dụng, còn được gọi là các proxy, tương tự như các
gateway mức mạng ngoại trừ việc chỉ định các ứng dụng. Chúng có thể lọc gói ở
lớp ứng dụng của mơ hình OSI. Các gói vào hoặc ra khơng thể truy cập các dịch
vụ mà khơng có proxy.
Ví dụ: Gauntlet, Symantec Enterprise Firewall…

 Firewall nhiều lớp (stateful firewall)
Các firewall nhiều lớp là sự kết hợp hình thức của ba loại firewall. Chúng lọc các
gói ở lớp mạng, xác định các gói phù hợp và đánh giá nội dung các gói tại lớp
ứng dụng.
Ví dụ: IP Tables, Netscreen,…

GVHD: TS.Nguyễn Hà Huy Cường

2


Báo cáo: Công nghệ tường lửa

SVTH: Trần Văn Sơn


1. Lý do phải có hệ thống firewall
-

Bảo vệ hệ thống khi bị tấn công.

-

Hạn chế nguy cơ bị tấn công.

-

Đảm bảo tính riêng tư.

-

Áp đặt các chính sách an ninh cho đơn vị.

2. Vai trị và vị trí của firewall
Vai trị:
-

Vai trị chính là bảo mật thơng tin, ngăn chặn sự truy cập khơng mong muốn
từ bên ngồi (Internet) và cấm truy nhập từ bên trong (Intranet) ra bên ngoài
(Internet).

-

Điều tiết lưu lượng mạng giữa các phân đoạn mạng (bên trong lẫn bên ngồi).


-

Là nơi áp đặt các chính sách điều khiển truy cập.

Vị trí:
Firewall có thể đặt tại nhiều vị trí khác nhau trong kiến trúc mạng:
-

Giữa miền cơng cộng (public) và miềng riêng tư (private): Firewall mạng.

-

Giữa card mạng (NIC) của máy tính với các thành phần cịn lại: Firewall cá
nhân.

3. Các ưu nhược điểm khi triển khai tường lửa
Ưu điểm và hạn chế của Firewall:
GVHD: TS.Nguyễn Hà Huy Cường

3


Báo cáo: Công nghệ tường lửa

SVTH: Trần Văn Sơn

a. Ưu điểm:
o Bảo vệ hệ thống bởi các tấn công (bên trong, bên ngoài).
o Lọc kết nối dựa trên nội dung dữ liệu.
o Thực thi NAT.

o Kết hợp được với hệ thống IDS/IPS.
o Thành phần trong giải pháp phòng thủ theo chiều sâu.

Nhược điểm:
o Các tấn công ở lớp ứng dụng có thể bị bỏ qua.
o Các kết nối: Dial-up, VPN có thể vượt firewall.
o Quản lý vận hành tương đối phức tạp.
o Tồn tại các điểm yếu nội tại.
o Tốm kém chi phí thiết bị tường lửa

o Ảnh hưởng đến tốc độ kết nối.

4. Kết luận
Mạng internet ngày càng phát triển và phổ biến rộng khắp mọi nơi, lợi ích của nó
rất lớn. Tuy nhiên cũng có rất nhiều ngoại tác không mong muốn đối với các cá
nhân là cha mẹ hay tổ chức, doanh nghiệp, cơ quan nhà nước... như các trang web
không phù hợp lứa tuổi, nhiệm vụ, lợi ích, đạo đức, pháp luật hoặc trao đổi thơng
GVHD: TS.Nguyễn Hà Huy Cường

4


Báo cáo: Công nghệ tường lửa

SVTH: Trần Văn Sơn

tin bất lợi cho cá nhân, doanh nghiệp... Do vậy họ (các cá nhân, tổ chức, cơ quan
và nhà nước) sử dụng tường lửa để ngăn chặn.Tường lửa đóng vai trị rất quan
trọng để ngăn chặn các thành phần nguy hiểm như hacker, sâu, hay các loại virus
trước khi chúng có thể xâm nhập vào máy tính của ta.


GVHD: TS.Nguyễn Hà Huy Cường

5


Báo cáo: Công nghệ tường lửa

SVTH: Trần Văn Sơn

Chương 2: GIỚI THIỆU VỀ PHẦM MỀM CISCO
PACKET TRACER CẤU HÌNH ASA BASIC
SETTINGS AND FIREWALL BẰNG CLI
Mơ hình

Hình 1.2: Mơ hình mạng
GVHD: TS.Nguyễn Hà Huy Cường

6


Báo cáo: Công nghệ tường lửa

SVTH: Trần Văn Sơn

Lưu ý: Các thiết bị ISR G2 sử dụng GigabitEthernet thay vì FastEthernet.
Giới thiệu về Phần mềm Cisco Packet Tracer
- Packet Tracer là một phần mềm giả lập mạng dùng trong học tập sử dụng các thiết bị mạng
(router/switch) của Cisco. Nó được hãng Cisco cung cấp miễn phí cho các trường lớp, sinh viên
đang giảng dạy/ theo học chương trình mạng của Cisco. Sản phẩm cung cấp một công cụ để

nghiên cứu các nguyên tắc cơ bản của mạng và các kỹ năng làm việc với hệ thống Cisco.

Hình 1.3: Phần mềm Cisco Packet Tracer
- Phiên bản hiện nay của Packet Tracer hỗ trợ giả lập một loạt các phương thức tầng ứng
dụng và các phương thức định tuyến cơ bản như RIP, OSPF, và EIGRP trong yêu cầu của
chương trình CCNA. Trong khi phần mềm nhắm đến cung cấp một mơi trường giả lập mạng,
nó chỉ sử dụng một ít chức năng được cung cấp trên Cisco IOS. Vì vậy, Packet Tracer khơng
thích hợp làm mơ hình mạng lưới sản xuất. Với sự ra mắt của phiên bản 5.3, nhiều tính năng
mới được thêm vào, bao gồm BGP. BGP khơng nằm trong chương trình giảng dạy CCNA,
nhưng nằm trong chương trình CCNP.
- Packet Tracer được sử dụng rộng rãi trong các chương trình học thi chứng chỉ CCNA của
Cisco. Vì phần mềm cung cấp giới hạn một số chức năng, nó chỉ dùng để phụ trợ chứ khơng
thay thế thiết bị Router hay Switch trong quá trình học.

GVHD: TS.Nguyễn Hà Huy Cường

7


Báo cáo: Công nghệ tường lửa

SVTH: Trần Văn Sơn

Kịch bản:
Công ty TNHH Hoàng Thiên cần triển khai một hệ thống tường lửa để bảo vệ hệ thống mạng
và server trong cơng ty. Trong hợp đồng Cơng ty TNHH Hồng Long yêu cầu sử dụng ASA
5505 để tạo tường lửa và bảo vệ mạng công ty nội bộ khỏi những kẻ xâm nhập bên ngoài đồng
thời cho phép các máy chủ nội bộ truy cập Internet. Tường lửa tạo ra ba giao diện bảo mật:
Outside, Inside và DMZ. Cung cấp cho người dùng bên ngoài quyền truy cập hạn chế vào
DMZ và khơng có quyền truy cập vào các tài ngun bên trong. Người dùng bên trong cơng ty

có thể truy cập DMZ và các tài ngun bên ngồi mạng.
Cơng ty TNHH Hồng Thiên có một địa điểm được kết nối với một ISP. R1 đại diện cho một
thiết bị CPE được quản lý bởi ISP. R2 đại diện cho một bộ định tuyến Internet trung gian. R3
đại diện cho một ISP kết nối nhân viên quản trị mạng. ASA là một thiết bị bảo mật cạnh kết nối
mạng nội bộ của công ty và DMZ với ISP trong khi cung cấp dịch vụ NAT và DHCP cho các
máy chủ bên trong. ASA sẽ được cấu hình để quản lý bởi quản trị viên trên mạng nội bộ và bởi
quản trị viên từ xa. Giao diện Vlan Layer 3 cung cấp quyền truy cập vào ba khu vực: Inside,
Outside và DMZ. ISP chỉ định không gian địa chỉ IP public là 209.165.200.224/29, sẽ được sử
dụng để dịch địa chỉ trên ASA.

GVHD: TS.Nguyễn Hà Huy Cường

8


Báo cáo: Công nghệ tường lửa

SVTH: Trần Văn Sơn

Bảng địa chỉ IP
Bảng 1: Địa chỉ IP

Device

Interface

IP Address

Subnet Mask


Default Gateway

Switch Port

G0/0

209.165.200.224

255.255.255.248

N/A

ASA E0/0

S0/0/0 (DCE)

10.1.10.1

255.255.255.252

N/A

N/A

S0/0/0

10.1.10.2

255.255.255.252


N/A

N/A

S0/0/1 (DCE)

10.1.8.2

255.255.255.252

N/A

N/A

G0/1

172.16.3.1

255.255.255.0

N/A

S3 F0/5

S0/0/1

10.1.8.1

255.255.255.252


N/A

N/A

ASA

VLAN 1 (E0/1)

192.168.1.1

255.255.255.0

NA

S2 F0/24

ASA

VLAN 2 (E0/0)

209.165.200.224

255.255.255.248

NA

R1 G0/0

ASA


VLAN 3 (E0/2)

192.168.2.1

255.255.255.0

NA

S1 F0/24

PC-A

NIC

192.168.2.3

255.255.255.0

192.168.2.1

S1 F0/6

PC-B

NIC

192.168.1.3

255.255.255.0


192.168.1.1

S2 F0/18

PC-C

NIC

172.16.3.3

255.255.255.0

172.16.3.1

S3 F0/18

R1

R2

R3

GVHD: TS.Nguyễn Hà Huy Cường

9


Báo cáo: Công nghệ tường lửa

SVTH: Trần Văn Sơn


CHƯƠNG 2: TRUY CẬP ASA VÀ DÙNG CLI ĐỂ
CÀI ĐẶT CẤU HÌNH CƠ BẢN CHO ASA
Bước 1: Truy cập vào ASA console.
Vào chế độ cấu hình với lệnh enable và mật khẩu (nếu mật khẩu đã được đặt). Mật khẩu
trống theo mặc định. Nhấn Enter. Nếu mật khẩu đã được thay đổi thành những gì được
chỉ định trong các bước trên, hãy nhập.
> enable
Password: class (or press Enter if none set)

Bước 2: Xác định phiên bản ASA, giao diện và giấy phép.
- Lệnh show version để xem.
ciscoasa# show version

GVHD: TS.Nguyễn Hà Huy Cường

10


Báo cáo: Cơng nghệ tường lửa

SVTH: Trần Văn Sơn

Hình 1.5: Version của ASA

GVHD: TS.Nguyễn Hà Huy Cường

11



Báo cáo: Công nghệ tường lửa

SVTH: Trần Văn Sơn

Bước 3: Xác định hệ thống tập tin và nội dung của bộ nhớ flash.
- Dùng lệnh show file system .

Hình 1.6: Hệ thống tập tin và nội dung của bộ nhớ flash
- Hiển thị nội dung của bộ nhớ flash bằng một trong các lệnh này: show flash, show disk0, dir
flash:, or dir disk0:.

Hình 1.7: Hiển thị bộ nhớ Flash
Bước 4: Xác định cấu hình đang chạy..
ASA 5505 thường được sử dụng như một thiết bị bảo mật kết nối một doanh nghiệp nhỏ
hoặc nhà làm việc từ xa với thiết bị ISP, chẳng hạn như DSL hoặc modem cáp, để truy cập
Internet. Cấu hình nhà máy mặc định cho ASA 5505 bao gồm:

GVHD: TS.Nguyễn Hà Huy Cường

12


Báo cáo: Công nghệ tường lửa

SVTH: Trần Văn Sơn

 Giao diện Vlan 1 bên trong được cấu hình bao gồm các cổng chuyển đổi Ethernet 0/1
đến 0/7. Địa chỉ và mặt nạ IP Vlan 1 là 192.168.1.1 và 255.255.255.0.
 Giao diện Vlan 2 bên ngồi được định cấu hình bao gồm cổng chuyển đổi Ethernet 0/0.
Vlan 2 lấy địa chỉ IP của nó từ ISP bằng DHCP theo mặc định.

 Tuyến mặc định được lấy từ cổng mặc định DHCP.
 Tất cả các địa chỉ IP bên trong sử dụng giao diện PAT trên giao diện Vlan 2.
 Theo mặc định, người dùng bên trong có thể truy cập bên ngoài bằng danh sách truy cập
và người dùng bên ngoài được ngăn chặn gây hại cho bên trong.
 Máy chủ DHCP được bật trên thiết bị bảo mật, do đó, PC kết nối với giao diện Vlan 1 sẽ
nhận được địa chỉ trong khoảng 192.168.1.5 và 192.168.1.36 (giấy phép cơ sở) mặc dù
phạm vi thực tế có thể khác nhau.
 Máy chủ HTTP được bật cho ASDM và người dùng có thể truy cập được trên mạng
192.168.1.0/24.

 Khơng u cầu bảng điều khiển hoặc kích hoạt mật khẩu và tên máy chủ mặc định là
ciscoasa.

 - Xem cấu hình đang chạy bằng lệnh show running-config.

GVHD: TS.Nguyễn Hà Huy Cường

13


Báo cáo: Cơng nghệ tường lửa

SVTH: Trần Văn Sơn

Hình 1.8: Cấu hình đang chạy trong ASA
- Bạn có thể đưa về cấu hình mặc định từ nhà máy bằng lệnh configure factorydefault .
ciscoasa# conf t
ciscoasa(config)# configure factory-default

WARNING: The boot system configuration will be cleared.

The first image found in disk0:/ will be used to boot the
system on the next reload.
Verify there is a valid image on disk0:/ or the system will
GVHD: TS.Nguyễn Hà Huy Cường

14


Báo cáo: Công nghệ tường lửa

SVTH: Trần Văn Sơn

not boot.

Begin to apply factory-default configuration:
Clear all configuration
WARNING: DHCPD bindings cleared on interface 'inside', address pool removed
Executing command: interface Ethernet 0/0
Executing command: switchport access vlan 2
Executing command: no shutdown
Executing command: exit
Executing command: interface Ethernet 0/1
Executing command: switchport access vlan 1
Executing command: no shutdown
Executing command: exit
<output omitted>

Bước 5: Xóa cấu hình trên ASA trước đó.
- Dùng lệnh write erase để xóa bỏ tập tin khởi động cấu hình từ bộ nhớ flash.
ciscoasa# write erase

Erase configuration in flash memory? [confirm]
[OK]
ciscoasa#
ciscoasa# show start
No Configuration

- Dùng lệnh reload để khởi động lại.
GVHD: TS.Nguyễn Hà Huy Cường

15


Báo cáo: Công nghệ tường lửa

SVTH: Trần Văn Sơn

ciscoasa# reload
Proceed with reload? [confirm]
ciscoasa#
***
*** --- START GRACEFUL SHUTDOWN --Shutting down isakmp
Shutting down File system
***
*** --- SHUTDOWN NOW --Process shutdown finished
Rebooting.....
CISCO SYSTEMS
Embedded BIOS Version 1.0(12)13 08/28/08 15:50:37.45
<output omitted>

Bước 6: Sử dụng CLI để cấu hình các cài đặt cơ bản.

- Sau khi reload xong.
Pre-configure Firewall now through interactive prompts [yes]? <Enter>
Firewall Mode [Routed]: <Enter>
Enable password [<use current password>]: class
Allow password recovery [yes]? <Enter>
Clock (UTC):
Year [2021]: <Enter>
Month [Jan]: <Enter>
Day [14]: <Enter>
GVHD: TS.Nguyễn Hà Huy Cường

16


Báo cáo: Công nghệ tường lửa

SVTH: Trần Văn Sơn

Time [15:30]: <Enter>
Management IP address: 192.168.1.1
Management network mask: 255.255.255.0
Host name: ASA-Init
Domain name: generic.com
IP address of host running Device Manager: <Enter>
The following configuration will be used:
Enable password: cisco
Allow password recovery: yes
Clock (UTC): 15:30 Jan 14 2021
Firewall Mode: Routed
Management IP address: 192.168.1.1

Management network mask: 255.255.255.0
Host name: ASA-Init
Domain name: generic.com
Use this configuration and save to flash? [yes] yes
INFO: Security level for "management" set to 0 by default.
Cryptochecksum: c8a535f0 e273d49e 5bddfd19 e12566b1
2070 bytes copied in 0.940 secs
Type help or '?' for a list of available commands.
ASA-Init>

GVHD: TS.Nguyễn Hà Huy Cường

17


Báo cáo: Công nghệ tường lửa

SVTH: Trần Văn Sơn

MỤC LỤC
PHẦN 1 : TỔNG QUAN VỀ FIREWALL................................................................1
I. Khái niệm về tường lửa....................................................................................................1
1. Khái niệm về Tường lửa...................................................................................................1
2. Phân loại tường lửa........................................................................................................... 1
3. Lý do phải có hệ thống firewall........................................................................................2
4. Vai trị và vị trí của firewall..............................................................................................2
5. Các ưu nhược điểm khi triển khai tường lửa....................................................................2
6. Kết luận............................................................................................................................ 2
PHẦN 2: CẤU HÌNH ASA BASIC SETTINGS AND FIREWALL BẰNG CLI...............2
CHƯƠNG 1: CẤU HÌNH ROUTER/SWITCH VÀ PC CƠ BẢN..................................2

Bước 1: Xóa các cấu hình đã cài đặt trước đó. Đảm báo cho thiết bị khơng có cấu hình nào
khác khi khởi động...............................................................................................................2
Bước 4: Khởi động HTTP và cấu hình tài khoản, mã hóa mật khẩu, mã hóa khóa SSH......2
Bước 5: Cấu hình IP cho PC................................................................................................2
Bước 6: Lưu lại cấu hình......................................................................................................2
CHƯƠNG 2: TRUY CẬP ASA VÀ DÙNG CLI ĐỂ CÀI ĐẶT CẤU HÌNH CƠ BẢN CHO
ASA....................................................................................................................2
Bước 1: Truy cập vào ASA console......................................................................................2
Bước 2: Xác định phiên bản ASA, giao diện và giấy phép...................................................2
Bước 3: Xác định hệ thống tập tin và nội dung của bộ nhớ flash.........................................2
Bước 4: Xác định cấu hình đang chạy..................................................................................2
Bước 5: Xóa cấu hình trên ASA trước đó.............................................................................2
Bước 6: Sử dụng CLI để cấu hình các cài đặt cơ bản...........................................................2
CHƯƠNG 3: CÀI ĐẶT CẤU HÌNH ASA VÀ BẢO MẬT VỚI CLI..............................2
Bước 1: Cấu hình hostname và domain name......................................................................2
Bước 2: Cấu hình đăng nhập và mật khẩu............................................................................2
Bước 3: Đặt thời gian...........................................................................................................2
Bước 4: Cấu hình các Vlan inside và outside.......................................................................2
Bước 5: Kiểm tra kết nối với ASA.......................................................................................2
Bước 6: Cấu hình ASDM cho phép truy cập vào ASA.........................................................2
CHƯƠNG 4: CẤU HÌNH ĐỊNH TUYẾN VÀ CHÍNH SÁCH ĐỊNH TUYẾN BẰNG CLI 2
Bước 1: Định cấu định tuyến mặc định cho ASA.................................................................2
Bước 2: Cấu hình dịch địa chỉ bằng cách sử dụng PAT và các đối tượng mạng...................2
CHƯƠNG 5: CẤU HÌNH DHCP, AAA, VÀ SSH.......................................................2
Bước 1: Cấu hình ASA và dịch vụ DHCP............................................................................2
Bước 2: Cấu hình AAA để sử dụng cơ sở dữ liệu cục bộ để xác thực..................................2
Bước 3: Cấu hình truy cập ASA bằng SSH..........................................................................2
GVHD: TS.Nguyễn Hà Huy Cường

18



Báo cáo: Công nghệ tường lửa

SVTH: Trần Văn Sơn

CHƯƠNG 6: CẤU HÌNH DMZ, NAT TĨNH VÀ ACLS..............................................2
Bước 1: Cấu hình DMZ VLAN 3 trong ASA.......................................................................2
Bước 2: Cấu hình NAT tĩnh đến máy chủ DMZ bằng cách sử dụng một đối tượng mạng.. .2
Bước 3: Cấu hình ACL cho phép truy cập tới DMZ từ Internet...........................................2

GVHD: TS.Nguyễn Hà Huy Cường

19



Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×