LỜI CAM ĐOAN
Tôi cam đoan: Đồ án tốt nghiệp với đề tài “Xây dựng mô hình mạng bảo
mật với Cisco ASA Firewall cho Công ty cổ phần Tập đoàn Quang Minh Bắc
Giang” là công trình nghiên cứu của riêng tôi dưới sự hướng dẫn của thầy giáo
Ths. Trần Duy Minh. các kết quả nghiên cứu có tính độc lập riêng, không sao
chép bất kỳ tài liệu nào và chưa công bố nội dung này ở bất kỳ đâu.
Tôi xin hoàn toàn chịu trách nhiệm về công trình nghiên cứu của riêng mình
!
Thái Nguyên, tháng 6 năm 2016
Sinh viên
Lục Văn Luân

1


LỜI CẢM ƠN
Lời đầu tiên, em xin gửi lời cảm ơn chân thành tới Th.S Trần Duy Minh
đã tận tình giúp đỡ em trong suốt quá trình làm đồ án.
Em cũng xin gửi lời biết ơn sâu sắc tới các thầy, cô giáo trong trường Đại
học Công nghệ Thông tin và Truyền thông – Đại học Thái Nguyên. Các thầy, cô đã
xây dựng cho chúng em một kho tri thức khổng lồ, không chỉ là kiến thức chuyên
ngành, các thầy cô còn dạy bảo chúng em đạo làm người, rèn luyện cho chúng em
nghị lực, khát vọng vươn lên, phát huy khả năng tư duy sáng tạo trong mọi lĩnh
vực.
Cuối cùng, em xin được cảm ơn gia đình, bạn bè, những người thân yêu
nhất của em. Mọi người luôn ở bên cạnh, động viên, khuyến khích em vươn lên
trong quá trình học tập và trong cuộc sống
Thái Nguyên, tháng 6 năm 2016
Sinh viên
Lục Văn Luân



1.4.1 khái quát công việc quản trị mạng bao gồm: 11
1.5 Bảo mật mạng máy tính

11

1.5.1 Định nghĩa bảo mật mạng máy tính

11

1.5.2 Các kiểu tấn công mạng 12
1.5.3 Các mức độ bảo mật

13

1.6 Tường lửa (Firewall) 14
1.6.1 Giới thiệu 14
1.6.2 Phân loại 15
1.6.3 Chức năng của Firewall 17
1.6.4 Hạn chế của Firewall
1.7 Tường lửa Cisco ASA

17
18

1.7.1 Giới thiệu 18
1.7.2 Chức năng chính của ASA

19



30

2.3 Khảo sát hiện trạng hệ thống mạng cảu công ty 32
2.3.3 Sơ đồ hiện trạng hệ thống mạng

34

2.3.4 Sơ đồ vật lý mạng của công ty 35
2.4. Đánh giá hiện trạng 37
CHƯƠNG 3: PHÂN TÍCH THIẾT KẾ VÀ ĐỀ XUẤT GIẢI PHÁP BẢO MẬT
MẠNG SỬ DỤNG CISCO ASA 39
3.1. Phân tích hiện trạng và xây dựng mục tiêu
3.1.1 Đặt vấn đề

39

39

3.1.2 Phân tích và thiết kế hệ thống mạng 41
3.2. Thiết kế hệ thống mạng

42

3.2.1 Sơ đồ Logic mạng mới cho công ty

42

3.2.2 Sơ đồ vật ký hệ thống mạng của công ty



8

9

Hình 1.3 Các mức độ bảo mật

13

Hình 1.4 Mô hình Firewall cứng 16
Hình 1.5 Mô hình Firewall mềm 17
Hình 1.6 Mô tả luồng dữ liệu ra vào giữa Internet và Intranet 17
Hình 1.7 Mô tả các mức độ bảo mật trong hệ thống mạng

22

Hình 1.8 Mô tả NAT tĩnh của một mạng LAN ra ngoài Internet
Hình 1.9 Bảng NAT động của một mang LAN 24
Hình 1.10 Mô tả cơ chế PAT

24

Hình 1.11 Sơ đồ ACL điều khiển truy cập mạng.25
Hình 2.1 Sơ đồ tổ chức bộ máy công ty 30
Hình 2.2 Tòa nhà chính của công ty

32

Hình 2.3 Sơ đồ logic hệ thống mạng của công ty34
Hình 2.4 Sơ đồ vật lý mạng tầng 1 35

Hình 4.7 Kiểm tra ping từ PC1 đến C2 65
Hình 4.8 Kiểm tra ping từ PC3 đến C2 65
Hình 4.9 Kiểm tra kết nối từ PC3 đến PC4
Hình 4.10 Kiểm tra từ PC1 ra internet

66

7

65

64


CHƯƠNG 1: CƠ SỞ LÝ THUYẾT
1.1 Tổng quan về mạng máy tính
Mạng máy tính là một tập hợp các máy tính được nối với nhau bởi môi
trường truyền (đường truyền) theo một cấu trúc nào đó và thông qua đó các máy
tính trao đổi thông tin qua lại cho nhau.
Môi trường truyền là hệ thống các thiết bị truyền dẫn có dây hay không dây
dùng để chuyển các tín hiệu điện tử từ máy tính này đến máy tính khác. Các tín
hiệu điện tử đó biểu thị các giá trị dữ liệu dưới dạng các xung nhị phân (on – off).
Tất cả các tín hiệu được truyền giữa các máy tính đều thuộc một dạng sóng điện từ.
Tùy theo tần số của sóng điện từ có thể dùng các môi trường truyền vật lý khác
nhau để truyền các tín hiệu. Ở đây môi trường truyền được kết nối có thể là dây
cáp đồng trục, cáp xoắn, cáp quang, dây điện thoại, sóng vô tuyến … Các môi
trường truyền dữ liệu tạo nên cấu trúc của mạng. Hai khái niệm môi trường truyền
và cấu trúc là những đặc trưng cơ bản của mạng máy tính.

8

cho phép kết nối các hệ thống mạng không đồng nhất với nhau. Ngày nay, TCP/IP
được sử dụng rộng rãi trong các mạng cục bộ cũng như trên mạng Internet toàn
10


cầu.
TCP/IP là giản lược của mô hình tham chiếu OSI với bốn tầng:
 Tầng truy cập ( Network Access Layer)
 Tầng mạng (Internet Layer)
 Tậng vận chuyển (Transport Layer)
 Tầng ứng dụng ( Application Layer)
a. Tầng truy cập mạng ( Network Access Layer)
Tầng truy cập là tầng thấp nhất trong mô hình TCP/IP, bao gồm các thiết bị
giao tiếp mạng và chương trình cung cấp các thông tin cần thiết để có thể hoạt
động, truy nhập đường truyền vật lý qua thiets vị giao tiếp mạng đó
b. Tầng mạng (Network Layer)
Tầng mạng xử lý quá trình truyền gói tin trên mạng. Các giao thức của tầng
này gồm: IP (Internet Protocol), ICMP ( Internet Control Message Protocol),
IGMP ( Internet Group Message Protocol).
c. Tầng vận chuyển ( Transport Layer)
Tầng vận chuyển phụ trách luồng dữ liệu giữa hai trạm thực hiện các ứng
dụng của tầng trên.
Tầng này có hai giao thức chính: TCP (Transmission Control Protocol) Và
UDP ( User Datagram Protocol)
TCP cung cấp một luồng dữ liệu tin cậy giữa hai trạm, nó sử dụng các cơ
chế chia nhỏ các gói tin của tầng trên thành các gói tin có kích thước thích hợp cho
tầng mạng bên dưới, báo nhận gói tin, đặt hạn chế thời gian time-out để đảm bảo
bên nhận biết được các gói tin đã gửi đi. Do tầng này đảm bảo tính tin cậy, tầng
trên sẽ không cần quan tâm đến nữa
UDP cung cấp một dịch vụ đơn giản hơn cho tầng ứng dụng. Nó chỉ gửi các

Bảo mật mạng là sự đảm bảo an toàn của toàn bộ hệ thống mạng trước
những hoạt động nhằm tấn công phá hoại hệ thống mạng cả từ bên trong như bên ngoài.
Hoạt động phá hoại là những hoạt động như xâm nhập trái phép sử dụng tài
12


nguyên trái phép ăn cắp thông tin, các hoạt động giả mạo nhằm phá hoại tài
nguyên mạng và cơ sở dữ liệu của hệ thống.
Vấn đề bảo mật mạng luôn là một vấn đề bức thiết khi ta nghiên cứu một
hệ thống mạng. Hệ thống mạng càng phát triển thì vấn đề bảo mật mạng càng
được đạt lên hàng đầu.
Khi nguyên cứu một hệ thống mạng chúng ta cần phải kiểm soát vấn đề
bảo mật mạng ở các cấp độ sau:
 Mức mạng: Ngăn chặn kẻ xâm nhập bất hợp pháp vào hệ thống mạng.
 Mức server: Kiểm soát quyền truy cập, các cơ chế bảo mật, quá trình
nhận dạng người dùng, phân quyền truy cập, cho phép các tác vụ
 Mức cơ sở dữ liệu: Kiểm soát ai? được quyền như thế nào? với mỗi
cơ sở dữ liệu
 Mức trường thông tin: Trong mỗi cơ sở dữ liệu kiểm soát được mỗi
trường dữ liệu chứa thông tin khác nhau sẽ cho phép các đối tượng khác nhau có
quyền truy cập khác nhau.
 Mức mật mã: Mã hoá toàn bộ file dữ liệu theo một phương pháp nào
đó và chỉ cho phép người có “ chìa khoá” mới có thể sử dụng được file dữ liệu
1.5.2 Các kiểu tấn công mạng
a) Thăm dò (reconnaissance)
Đó chính là hình thức hacker gửi vài thông tin truy vấn về địa chỉ IP hoặc
domain name bằng hình thức này hacker có thể lấy được thông tin về địa chỉ
IP và domain name từ đó thực hiện các biện pháp tấn công khác…
b) Packet sniffer
Packet sniffer là phần mềm sử dụng NIC card ở chế độ “promisscuous” để



Hình 1.3 Các mức độ bảo mật

 Quyền truy nhập
Đây là lớp bảo vệ sâu nhất nhằm kiểm soát tài nguyên mạng kiểm soát ở
mức độ file và việc xác định quyền hạn của người dùng do nhà quản trị quyết
định như: chỉ đọc( only read), chỉ ghi (only write), thực thi(execute).

 Đăng nhập / Mật khẩu (login/password)
Đây là lớp bảo vệ mức độ truy nhập thông tin ở mức độ hệ thống. Đây là
mức độ bảo vệ được sử dụng phổ biến nhất vì nó đơn giản và ít tốn kém. Nhà quản
trị cung cấp cho mỗi người dùng một username và password và kiểm soát mọi
15


hoạt động của mạng thông qua hình thức đó. Mỗi lần truy nhập mạng người dùng
phải đăng nhập Username và password, hệ thống kiểm tra hợp lệ mới cho đăng
nhập

 Mã hóa dữ liệu (Data encryption)
Đó là sử dụng các phương pháp mã hoá dữ liệu ở bên phát và thực hiện giải mã ở
bên thu bên thu chỉ có thể mã hóa chính xác khi có khoá mã hóa do bên phát cung cấp.
 Bảo vệ vật lý (Physical protect)
Đây là hình thức ngăn chạn nguy cơ truy nhập vật lý bất hợp pháp vào hệ
thống như ngăn cấm tuyệt đối người không phận sự vào phòng đặt máy mạng,
dùng ổ khoá máy tính, hoặc cài đặt cơ chế báo động khi có truy nhập vào hệ
thống.

 Bức tường lửa (firewall)

có kiến thức xây dựng một tường lửa có các tính năng chống lại các yếu tố phá
hoại đòi hỏi phải có trình độ chuyên nghiệp và kỹ năng trong việc bảo mật và an
ninh.
1.6.2 Phân loại
Các tường lửa được chia ra thành hai dạng: Firewall cứng (bên ngoài) và
firewall mềm (bên trong). Trong đó cả hai đều có những nhược điểm và ưu điểm
riêng. Quyết định lựa chọn loại tường lửa nào để sử dụng là khá quan trọng.
1.6.2.1 Tường lửa cứng
Điển hình là các tường lửa mạng, thiết bị mở rộng này được đặt giữa máy
tính hoặc mạng và cáp hoặc modem DSL. Nhiều hãng và nhà cung cấp dịch vụ
Internet (ISP) đưa ra các thiết bị “router” trong đó cũng bao gồm các tính năng
tường lửa. Tường lửa phần cứng được sử dụng có hiệu quả trong việc bảo vệ nhiều
máy tính mà vẫn có mức bảo mật cao cho một máy tính đơn. Nếu bạn chỉ có một
máy tính phía sau tường lửa, hoặc nếu bạn chắc chắn rằng tất cả các máy tính khác
trên mạng được cập nhật các bản vá miễn phí về virus, worm và các mã nguy hiểm
khác thì bạn không cần mở rộng sự bảo vệ của một phần mềm tường lửa. Tường
lửa phần cứng có ưu điểm trong việc phân chia các thiết bị đang chạy trên hệ điều
17


hành riêng, vì vậy chúng cung cấp khả năng chống lại các tấn công.Một số loại
Firewall cứng như: ASA, PIX, Fortinet, Juniper…
Đặc điểm của Firewall cứng:
Hoạt động ở tầng Network và tầng Transport
Tốc độ xử lý
Tính bảo mật cao
Tính linh hoạt thấp
Khả năng nâng cấp thấp.
Không kiểm tra được nội dung gói tin
Tuy nhiên hiện nay cũng có rất nhiều những firewall cứng có thể tích hợp

Hình 1.6 Mô tả luồng dữ liệu ra vào giữa Internet và Intranet
 Theo dõi luồng dữ liệu mạng giữa Internet và Intranet.
 Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập.
 Kiểm soát người sử dụng và việc truy nhập của người sử dụng.
 Kiểm soát nội dung thông tin thông tin lưu chuyển trên mạng
1.6.4 Hạn chế của Firewall
Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại
thông tin và phân tích nội dung tốt hay xấu của nó.
Firewall chỉ có thể ngăn chặn sự xâm nhập của những nguồn thông tin
không mong muốn nhưng phải xác định rõ các thông số địa chỉ
Firewall không bảo vệ được các tấn công đi vòng qua nó. Ví dụ như thiết bị
modems, tổ chức tin cậy, dịch vụ tin cậy (SSL/SSH).
Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (datadrivent attack). Khi có một số chương trình được chuyển theo thư điện tử, vượt
qua firewall vào trong mạng được bảo vệ và bắt đầu hoạt động ở đây.
Firewall không thể bảo vệ chống lại việc truyền các chương trình hoặc file
nhiễm virut.

20


1.7 Tường lửa Cisco ASA
1.7.1 Giới thiệu
Tường lửa Cisco ASA là công nghệ mới nhất trong các giải pháp tường lửa
được đưa ra bởi Cisco, hiện nay đang thay thế các tường lửa PIX rất tốt. ASA viết
tắt của Adaptive Security Appliances, làm cả hai nhiệm vụ là một tường lửa và ứng
dụng anti-malware.
Cisco ASA hoạt động theo cơ chế giám sát gói theo trạng thái (Stateful
Packet Inspection), thực hiện điều khiển trạng thái kết nối khi qua thiết bị bảo mật
(ghi nhận trạng thái của từng gói thuộc kết nối xác định theo loại giao thức hay
ứng dụng). Cho phép kết nối một chiều (outbuond-đi ra) với rất ít việc cấu hình.

- Tường lửa (Firewall): Bảo mật mạng từ các cuộc xâm nhập không xác
thực, trong khi vẫn cho phép hoạt động mạng diễn ra bình thường, không bị trì trệ.
- Mã hóa SSL/Ipsec VPN: Mở rộng hệ thống mạng bằng cách cho phép truy
cập mạng từ xa nhưng vẫn đảm bảo an toàn với các công nghệ mã hóa.
- Ngăn chặn xâm nhập: Bảo vệ tài nguyên quan trọng trong mạng từ các
cuộc tấn công, có đầy đủ chức năng của hệ thống ngăn chận xâm nhập (IPS), Cisco
ASA chống lại các mối đe dọa như các lỗ hổng bảo mật từ các ứng dụng, hệ điều
hành,..
- Bảo mật nội dung: Tăng tính hiệu quả sử dụng và loại bỏ mối đe dọa từ
những nội dung không mong muốn trong mạng.
1.7.3 Cơ chế hoạt động của tường lửa ASA
1.7.3.1 Các chế độ làm việc
Firewall ASA có 4 chế độ làm việc chính:

22


- Chế độ giám sát (Moniter Mode): Đây là chế độ đặc biệt cho phép bạn cập
nhật các hình ảnh qua mạng hoặc khôi phục lại mật khẩu. Trong khi ở chế độ giám
sát, bạn có thể nhập lệnh để xác định vị trí một máy chủ TFTP và vị trí của hình
ảnh phần mềm hoặc file hình ảnh nhị phân khôi phục mật khẩu tải vể. Bạn truy cập
vào chế độ này bằng cách nhấn “break” hoặc “ESC” chìa khóa ngay sau khi bật
nguồn thiết bị
- Chế độ không đặc quyền (Unprivileged Mode): Hiển thị dấu nhắc “>”.
Chế độ này cung cấp tầm nhìn hạn chế của các thiết bị an ninh. Bạn không thể cấu
hình bất cứ điều gì từ chế độ này. Để bắt đầu với cấu hình, lệnh đầu tiên phải nhập
là enable. Gõ enable và nhấn enter.
- Chế độ đặc quyền (privileged Mode): Cho phép bạn thay đổi các thiết lập hiện
hành. Bất cứ lệnh nào trong chế độ không đặc quyền cũng làm việc trong chế độ này. Từ
chế độ này, có thể xem cấu hình hiện tại bằng cách sử dụng lệnh show running-config

với một mức độ bảo mật cao hơn, mà không có sự cho phép rõ ràng của một quy
tắc bảo mật (Access Control List - ACL).
Một số mức độ bảo mật điển hình:
 Security Level 0: Đây là mức độ bảo mật thấp nhất và nó được gán mặc
định interface bên ngoài của firewall. Đó là mức độ bảo mật ít tin cậy nhất và phải
được chỉ định phù hợp với mạng (interface) mà chúng ta không muốn nó có bất kỳ
truy cập vào mạng nội bộ của chúng ta. Mức độ bảo mật này thường được gán cho
interface kết nối với Internet. Điều này có nghĩa rằng tất cả các thiết bị kết nối
Internet không thể có quyền truy cập vào bất kỳ mạng phía sau firewall, trừ khi rõ

24


ràng cho phép một quy tắc ACL.
 Security Level1 đến 99: Những mức độ bảo mật có thể được khu vực
bảo mật vòng ngoài (ví dụ như khu vực DMZ, khu vực quản lý,...).
 Security Level 100: Đây là mức độ bảo mật cao nhất và nó được gán
mặc định interface bên trong của tường lửa. Đây là mức độ bảo mật đáng tin cậy
nhất và phải được gán cho mạng (interface) mà chúng ta muốn áp dụng bảo vệ

nhiều nhất từ các thiết bị an ninh.Mức độ bảo mật này thường được gán cho

interface kết nối mạng nội bộ công ty đằng sau nó.

25