LỜI NÓI ĐẦU
Công nghệ thông tin ngày nay được ứng dụng vào tất cả các lĩnh vực của
cuộc sống. Có thể thấy máy tính và mạng internet là thành phần không thể thiếu
của hầu hết các công ty, trở thành công cụ hỗ trợ đắc lực cho công việc hàng ngày
và các giao dịch.
Tuy nhiên, sự phát triển này cũng kèm theo vấn đề an ninh máy tính đang
ngày càng trở nên nóng bỏng. Tội phạm máy tính là một trong những hành vi
phạm tội có tốc độ phát triển nhanh nhất trên toàn hành tinh. Vì vậy, việc xây
dựng một nền an ninh máy tính, thiết kế và quản trị mạng đảm bảo và có khả năng
kiểm soát rủi do liên quan đến việc sử dụng máy tính trở thành đòi hỏi không thể
thiếu ở nhiều lĩnh vực.
Kịp thời nắm bắt xu hướng này, trong thời gian làm đồ án thực tập tốt
nghiệp em đã lựa chọn đề tài “Thiết kế mạng an toàn sử dụng PIX firewall cho
trường Cao đẳng cơ khí luyện kim”. Đồ án đề cập đến các nguy cơ cũng như sự
cần thiết của an ninh mạng, các đặc trưng và cấu hình cơ bản PIX firewall. Và cuối
cùng là ứng dụng PIX firewall thiết kế mô hình mạng cho trường Cao đẳng cơ khí
luyện kim.
1
LỜI CẢM ƠN
Sau thời gian 5 năm học tập và rèn luyện tại Khoa Công nghệ thông tin và
truyền thông – Đại học Thái Nguyên, đến nay em đã hoàn thành đồ án tốt nghiệp
và kết thúc khóa học. Em xin gửi lời cảm ơn chân thành đến lãnh đạo khoa, toàn
thể các thầy cô giáo đã tận tình giảng dạy trang bị cho chúng em những kiến thức
quý báu làm hành trang cho chúng em sau này.
Đặc biệt em xin gửi lời cảm ơn chân thành đến cô giáo Bùi Thị Mai Hoa –
Bộ môn Kỹ thuật máy tính đã trực tiếp hướng dẫn, giúp đỡ em có thể hoàn thành
đồ án này. Các ơn sự đóng góp ý kiến của các thầy cô, bạn bè để em có thể hoàn
thành đồ án này.
Thái Nguyên, tháng 06 năm 2009.
Sinh viên
Trần Giáo

5.1 The Security Wheel (bánh xe an ninh)..................................................................12
5.2 Bảo vệ và quản lý các điểm cuối...........................................................................17
5.3. Bảo vệ và quản lý mạng.......................................................................................19
CHƯƠNG 2.........................................................................................................................23
TƯỜNG LỬA CISCO PIX FIREWALL............................................................................23
I. Firewall và các kỹ thuật firewall..................................................................................23
1. Firewall........................................................................................................................23
2. Các kỹ thuật tường lửa................................................................................................23
2.1. Kỹ thuật packet filtering ......................................................................................24
2.2. Kỹ thuật Proxy Server..........................................................................................25
2.3. Kỹ thuật stateful packet filtering..........................................................................27
II. Tổng quan về PIX Firewall.........................................................................................27
III. Các dòng PIX Firewall và nguyên tắc hoạt động.....................................................28
1. Các dòng PIX Firewall................................................................................................28
2. Nguyên tắc hoạt động của PIX Firewall.....................................................................32
IV. Các lệnh duy trì thông thường của PIX Firewall......................................................34
1. Các chế độ truy cập.....................................................................................................34
2. Các lệnh duy trì thông thường của PIX Firewall........................................................35
2.1. Lệnh enable...........................................................................................................35
2.2. Lệnh enable password..........................................................................................36
2.3. Lệnh write.............................................................................................................36
2.4. Lệnh telnet............................................................................................................37
2.5. Lệnh hostname và ping.........................................................................................38
2.6. Lệnh show.............................................................................................................39
2.7. Lệnh name............................................................................................................39
CHƯƠNG 3.........................................................................................................................41
4
CẤU HÌNH, DỊCH CHUYỂN ĐỊA CHỈ VÀ ĐIỀU KHIỂN TRUY CẬP TRONG PIX
FIREWALL..........................................................................................................................41
I. Các lệnh cấu hình cơ bản PIX Firewall.......................................................................41

I. Khảo sát hệ thống mạng hiện tại và các yêu cầu cần nâng cấp...................................61
1. Hiện trạng hệ thống.....................................................................................................61
2. Đánh giá hiệu năng và mức an toàn của hệ thống......................................................63
3. Các yêu cầu nâng cấp hệ thống mạng hiện tại của trường.........................................64
II. Thiết kế hệ thống mạng sử dụng thiết bị PIX firewall...............................................65
1. Sơ đồ thiết kế hệ thống mới........................................................................................65
2. Cấp phát địa chỉ...........................................................................................................67
3. Cấu hình mô phỏng hệ thống......................................................................................69
3.1. Các phần mềm được sử dụng cho cấu hình mô phỏng............................................69
3.2. Thiết lập cấu hình cho hệ thống mạng.....................................................................71
4. Kiểm tra cấu hình.........................................................................................................78
KẾT LUẬN..........................................................................................................................81
TÀI LIỆU THAM KHẢO...................................................................................................82
5
CHƯƠNG 1
TÌM HIỂU VỀ AN NINH MẠNG VÀ CHÍNH SÁCH AN NINH
1. Sự cần thiết của an ninh mạng
An ninh mạng là vấn đề cần thiết bởi vì Internet là một mạng của các mạng
có mối liên hệ với nhau không có ranh giới. Vì lý do này mà mạng của các tổ chức có
thể được sử dụng và cũng có thể bị tấn công từ bất kỳ một máy tính nào trên thế giới.
Khi một công ty sử dụng Internet trong kinh doanh, các nguy cơ mới sẽ phát sinh từ
những người mà không cần thiết phải truy cập đến tài nguyên máy tính của công ty
thông qua môi trường vật lý.
Trong một nghiên cứu gần đây của Computer Security Institute (CIS), 70%
các tổ chức bị mất mát thông tin do vấn đề an ninh mạng có lỗ thủng và 60% trong số
đó nguyên nhân là do chính trong nội bộ công ty của họ.
Cùng với sự phát triển của máy tính, mạng LAN và mạng Internet, hệ thống
mạng ngày nay càng được mở rộng. Khi thương mại điện tử và nhiều ứng dụng trên
Internet phát triển, việc tìm ra các phương thức an toàn thông tin là điều vô cùng
quan trọng, kèm theo đó là khả năng tìm và nhận dạng những mối nguy hiểm gây hại

các cuộc tấn công này bằng nhiều phương thức khác nhau như: sử dụng phần mềm,
cấu hình lại thiết bị mạng, hoặc là triển khai các biện pháp đối phó (Firewall, phần
mềm Anti-virus ).
+ Threat Identification ( nhận diện các mối đe dọa )
Một lời đe dọa là một sự kiện mang lại lợi thế cho các cuộc tấn công mạng
máy tính và là nguyên nhân của các tác động không tốt trên mạng. Vì vậy, việc xác
định các mối đe dọa tiềm ẩn trong mạng là rất quan trọng, các cuộc tấn công liên
quan cần được lưu ý để hạn chế, giảm bớt mức độ nguy hiểm.
7
3. Các mối đe dọa và tấn công mạng máy tính
Có 4 mối đe dọa chính đối với an ninh mạng
Hình 1. Các mối đe dọa đối với an ninh mạng
3.1. Unstructured Threats (Các mối đe dọa không có cấu trúc)
Mối đe dọa không có cấu trúc thông thường là những cá nhân thiếu kinh
nghiệm sử dụng các công cụ đơn giản, sẵn có trên Internet. Một số người thuộc dạng
này có động cơ là mục đích phá hoại, nhưng phần lớn có động cơ là trổ tài trí óc và
rất tầm thường. Phần lớn họ không phải là những người tài giỏi hoặc là những
attacker có kinh nghiệm, nhưng họ có những động cơ thúc đẩy, mà những động cơ đó
đều quan trọng.
3.2. Structured Threats (Các mối đe dọa có cấu trúc)
Mối đe dọa có cấu trúc bao gồm các attacker, những người có động cơ cao
hơn và có kỹ thuật thành thạo hơn. Thông thường họ hiểu biết về thiết kế hệ thống
mạng và những chỗ có thể tấn công, và họ có thể hiểu cũng như tạo ra các đoạn mã
để thâm nhập vào những hệ thống mạng này
8
3.3. External Threats (Các mối đe dọa bên ngoài)
Mối đe dọa từ bên ngoài là những cá nhân, tổ chức làm việc ở bên
ngoài công ty.Họ không có quyền truy cập đến hệ thống mạng hoặc hệ thống máy
tính của công ty. Họ làm việc theo cách thức của họ để vào trong mạng chính từ
mạng Internet hoặc mạng quay số truy cập vào servers

Việc này được thực hiện bởi những người sử dụng hợp pháp với quyền truy cập thấp
hoặc đối với những kẻ thâm nhập có quyền truy cập thấp. Mục đích là để thu thập
thông tin hoặc thực thi các thủ tục mà nó không được phép ở cấp độ truy cập hiện tại.
Trong một vài trường hợp kẻ thâm nhập chỉ muốn dành quyền truy cập mà
không muốn lấy cắp thông tin – đặc biệt khi động cơ là sự tranh tài về trí tuệ, tò mò
hoặc là do không biết gì.
4.3. Cấm các dịch vụ (DoS) - Denial of Service
Đây là kiểu tấn công làm tê liệt hệ thống, làm mất khả năng cung cấp dịch vụ
(Denial of Service - DoS) không cho hệ thống thực hiện được các chức năng mà nó
được thiết kế. Kiểu tấn công này rất khó ngăn chặn bởi chính những phương tiện
dùng để tổ chức tấn công lại chính là những phương tiện dùng để làm việc và truy
cập thông tin trên mạng. Một thí dụ về trường hợp có thể xảy ra là một người trên
mạng sử dụng chương trình đẩy ra những gói tin yêu cầu về một trạm nào đó. Khi
10
nhận được gói tin, trạm luôn luôn phải xử lý và tiếp tục thu các gói tin đến sau cho
đến khi bộ đệm đầy, dẫn tới tình trạng những nhu cầu cung cấp dịch vụ của các máy
khác đến trạm không được phục vụ.
Điều đáng sợ là các kiểu tấn công DoS chỉ cần sử dụng những tài nguyên giới
hạn mà vẫn có thể làm ngưng trệ dịch vụ của các site lớn và phức tạp. Do vậy loại
hình tấn công này còn được gọi là kiểu tấn công không cân xứng (asymmetric attack).
Chẳng hạn như kẻ tấn công chỉ cần một máy tính PC thông thường với một modem
tốc độ chậm vẫn có thể tấn công làm ngưng trệ các máy tính mạnh hay những mạng
có cấu hình phức tạp.
4.4. Worms, Virus và Trojan Horses
Worm (sâu máy tính) là một loại virus máy tính chuyên tìm kiếm mọi dữ liệu
trong bộ nhớ hoặc trong đĩa, làm thay đổi bất kỳ dữ liệu nào mà nó gặp. Hành động
thay đổi này có thể là chuyển các ký tự thành các con số hoặc là trao đổi các byte
được lưu trữ trong bộ nhớ. Những dữ liệu bị hỏng thường không khôi phục được.
Virus hay chương trình virus là một chương trình máy tính được thiết kế mà
có thể tự lây lan bằng cách gắn vào các chương trình khác và tiến hành các thao tác

5.1 The Security Wheel (bánh xe an ninh)
An ninh mạng cần phải là một tiến trình liên tục được xây dựng dựa trên các
chính sách an ninh. Một chính sách an ninh liên tục mang lại hiệu quả lớn nhất bởi vì
12
nó xúc tiến quá trình tái áp dụng và tái kiểm tra các cập nhật bảo mật dựa trên cơ sở
liên tục. Tiến trình an ninh liên tục này tiêu biểu cho Security Wheel.
Để bắt đầu tiến trình liên tục này cần phải tạo một chính sách an ninh mà nó
cho phép bảo mật các ứng dụng. Một chính sách an ninh cần phải thực hiện những
nhiệm vụ sau:
 Nhận dạng mục đích bảo mật của tổ chức
 Tài liệu về tài nguyên cần bảo vệ.
 Nhận dạng cơ sở hạ tầng mạng với sơ đồ hiện tại và một bản tóm tắt.
Để tạo hoặc thực thi một chính sách an ninh có hiệu quả, cần phải xác định cái
mà ta muốn bảo vệ và bảo vệ nó như thế nào. Cần phải có hiểu biết vể các điểm yếu
hệ thống mạng và cách mà người ta có thể khai thác nó. Cũng cần phải hiểu về các
chức năng thông thường của hệ thống vì thế mà chúng ta phải biết là chúng ta cần cái
gì và nó cũng giống với cách mà các thiết bị thông thường được sử dụng. Cuối cùng
là cân nhắc đến an ninh về mặt vật lý của hệ thống mạng và cách bảo vệ nó. Việc truy
xuất về mặt vật lý đến một máy tính, router, hoặc tường lửa có thể mang lại cho
người sử dụng khả năng tổng điều khiển trên toàn bộ thiết bị.
Sau chính sách an ninh được phát triển thì nó phải phù hợp với bánh xe an
ninh ở phía trên - bốn bước kế tiếp của Security Wheel cần dựa vào:
Bước 1: Bảo mật hệ thống: bước này bao gồm việc cung cấp các thiết bị bảo mật như
tường lửa, hệ thống chứng thực, mã hóa,…với mục đích là ngăn chặn sự truy cập trái
phép đến hệ thống mạng. Đây chính là điểm mà các thiết bị tường lửa bảo mật của
Cisco có hiệu quả nhất.
Bước 2: Theo dõi hệ thống mạng về các vi phạm và sự tấn công chống lại chính sách
bảo mật của công ty. Các vi phạm có thể xảy ra từ bên trong vành đai an ninh của
mạng do sự phẫn nộ của những người lao động hoặc là từ bên ngoài do các attacker.
Việc kiểm tra mạng với hệ thống phát hiện sự xâm nhập thời gian thực như là Cisco

thiết bị phát hiện sự xâm nhập thời gian thực như là Cisco Secure Intrusion Detection
System (CSIDS). Những thiết bị này trợ giúp bạn trong việc phát hiện ra các phần
trái phép và nó cũng có vai trò như là một hệ thống kiểm tra – cân bằng (check –
balance system) để đảm bảo rằng các thiết bị trong bước 1 của Security Wheel được
cấu hình và làm việc đúng đắn.
5.1.3. Kiểm tra
15
Việc kiểm tra là cần thiết. Bạn có thể có một hệ thống an ninh mạng tinh vi
nhất, nhưng nếu nó không làm việc thì hệ thống mạng của bạn có thể bị tấn công.
Điều này giải thích tại sao bạn cần phải kiểm tra, chạy thử các thiết bị trong bước 1
và bước 2 để đảm bảo chúng thực hiện đúng chức năng. Cisco Secure Scanner (thiết
bị quét bảo mật của Cisco) được thiết kế để đánh giá độ bảo mật của hệ thống mạng
5.1.4. Hoàn thiện
Pha hoàn thiện của Security Wheel bao gồm việc phân tích dữ liệu được tổng
hợp từ hai pha kiểm tra và chạy thử nghiệm. Kỹ thuật phát triển và hoàn thiện nó
phục vụ cho chính sách an ninh của chúng ta và nó bảo mật cho pha trong bước 1.
Nếu muốn duy trì hệ thống mạng được bảo mật thì cần phải lặp lại chu trình của
16
Security Wheel bởi vì lỗ hổng và nguy cơ bị xâm phạm của hệ thống mạng luôn được
tạo ra hàng ngày.
5.2 Bảo vệ và quản lý các điểm cuối
5.2.1 Công nghệ và các thành phần an ninh cơ bản trên host và server
Các máy tính và server cần được bảo vệ khi chúng tham gia vào mạng. Phần
mềm chống virus, firewall và dò tìm xâm nhập là những công cụ hữu ích được sử
dụng để đảm bảo an toàn cho các máy, server.
Device hardening
Khi một hệ điều hành mới được cài đặt trên máy tính, các thiết đặt về bảo mật
là những giá trị mặc định. Trong phần lớn trường hợp, những mức độ bảo mật này là
chưa đủ. Các hệ điều hành nên áp dụng một số bước đơn giản sau:
• Nên thay đổi ngay tên người dùng và mật khẩu.

• Ngăn chặn: dừng lại các cuộc tấn công bị phát hiện
• Phản ứng: phòng ngừa hệ thống trước các cuộc tấn công trong tương lai.
5.2.2 Quản lý máy tính cá nhân (PC)
Kiểm kê máy và bảo trì
Những người có trách nhiệm nên duy trì các cuộc kiểm kê chi tiết tất cả các
máy tính trên mạng như các trạm làm việc, server, laptop…Có thể kiểm kê số serial
của máy; kiểu phần cứng, phần mềm được cài đặt, tên các cá nhân được nhận phản
hồi từ máy. Khi các thành phần phần cứng, phần mềm hoặc các thiết bị lưu trữ được
thay thế thì quá trình kiểm kê cũng phải cập nhật những thay đổi. Một việc làm cần
thiết nữa là đào tạo những người làm trong tổ chức để họ có thể giữ an toàn cho máy.
Cập nhật phần mềm kháng virus
18
Khi virus mới hoặc những ứng dụng mới dạng chương trình “những chú ngựa
thành Troa” được phát hiện, doanh nghiệp cần cập nhật phần mềm kháng virus mới
nhất và phiên bản mới nhất của ứng dụng.
Để quá trình quét virus thành công, nên hoàn thành những việc sau:
• Quét những file thường dùng trong máy
• Cập nhật danh sách virus và các dấu hiệu
• Theo dõi thường xuyên những cảnh báo từ những máy scanner
5.3. Bảo vệ và quản lý mạng
5.3.1 Các thành phần và công nghệ cơ sở của an ninh mạng
Firewall trên nền trang thiết bị (Appliance-based Firewalls)
Firewall trên nền trang thiết bị được thiết kế với nền tảng không có ổ cứng.
Điều này cho phép quá trình Boot nhanh hơn, kiểm tra giao thông ở tốc độ dữ liệu
bậc cao và giảm nhẹ thất bại. Giải pháp của Cisco bao gồm một IOS Firewall được
tích hợp và một thiết bị PIX chuyên dụng. Đặc tính của IOS Firewall có thể được cài
đặt và cấu hình trên Router của Cisco. PIX là một giải pháp bảo mật phần cứng và
phần mềm cung cấp công nghệ lọc gói và proxy server.
Một số nhà cung cấp Firewall trên nền trang thiết bị là Juniper, Nokia,
Symatec, Watchguard và Nortel Networks. Đối với những mạng trong phạm vi gia

Mục đích của quản lý an ninh mạng là điều khiển việc truy nhập tài nguyên
mạng. Nó ngăn chặn sự phá hoại mạng máy tính và những người dùng trái phép truy
nhập những thông tin nhạy cảm. Ví dụ, một hệ thống quản lý an ninh có thể theo dõi
việc đăng ký vào tài nguyên mạng và từ chối những truy nhập có mã truy nhập không
thích hợp.
Hệ thống quản lý an ninh mạng làm việc bằng cách phân chia tài nguyên mạng
thành những khu vực được phép và khu vực không được phép.
Hệ thống này thực thi một số chức năng như sau:
• Định nghĩa tài nguyên mạng “nhạy cảm”.
• Quyết định sơ đồ giữa các tài nguyên đó với các thiết đặt của người dùng.
• Theo dõi các điểm truy cập tới những tài nguyên đó và khóa những truy nhập
không hợp lệ.
Cấu trúc điển hình của một hệ thống quản lý an ninh gồm một trạm quản lý
làm nhiệm vụ theo dõi và quản lý các thiết bị như Router, Firewall, các thiết bị VPN,
bộ cảm biến IDS. Phần mềm “Giải pháp quản lý an ninh” (VMS) là một ví dụ. VMS
bao gồm một tập các ứng dụng trên nền Web để cấu hình, theo dõi, gỡ rối cho VPNs,
firewall…
Ngoài ra, Cisco còn cung cấp miễn phí thiết bị quản lý GUI để cấu hình, theo
dõi các Firewall đơn, bộ cảm biến IDS hoặc Router.
Sự kiểm soát
Sự kiểm soát an ninh là rất cần thiết để xác định và theo dõi những chính sách
an ninh đối với một cơ sở hạ tâng mạng có được thực hiện đúng hay không. Việc
đăng ký và theo dõi các sự kiện sẽ giúp phát hiện ra bất kỳ hành vi nào bất bình
thường.
21
Để kiểm tra hiệu lực của cơ sở hạ tầng an ninh, sự kiểm soát an ninh phải
được thực thi thường xuyên và tại nhiều vị trí khác nhau. Nên kiểm soát việc cài đặt
các hệ thống mới, phương pháp phát hiện những hành động nguy hiểm, sự xuất hiện
của những vấn đề đặc biệt, ví dụ như các cuộc tấn công DoS.
Việc hiểu được quá trình vận hành của hệ thống, biết được những hành vi nào

24
Phương pháp này có hiệu quả khi một mạng được bảo vệ nhận gói tin từ một mạng
không được bảo vệ khác. Bất kỳ gói tin nào được gửi đến một mạng đã được bảo vệ
và không đúng với các tiêu chuẩn được định nghĩa bởi ACLs đều bị hủy.
Những có một số vấn đề với packet filtering
 Các gói tin bất kỳ có thể được gửi đi mà nó phù hợp với các tiêu chuẩn của
ACL thì sẽ đi qua được bộ lọc
 Các gói tin có thể đi qua được bộ lọc theo từng đoạn
 ACL phức tạp là rất khó thực thi và duy trì một cách đúng đắn
 Một số dịch vụ không thể lọc
2.2. Kỹ thuật Proxy Server
Một Proxy server là một thiết bị tường lửa mà nó quyết định một gói tin tại
lớp cao hơn của mô hình OSI. Thiết bị này có giá trị ẩn dữ liệu bằng cách yêu cầu
người sử dụng giao tiếp với một hệ thống bảo mật có nghĩa là một proxy. Người sử
dụng dành quyền truy cập đến một mạng bằng cách đi qua một tiến trình, tiến trình
đó sẽ thiết lập một trạng thái phiên, chứng thực người dùng và chính sách cấp quyền.
Điều này có nghĩa là người sử dụng kết nối đến các dịch vụ bên ngoài thông qua
chương trình ứng dụng (proxies) đang chạy trên cổng dùng để kết nối đến vùng
không được bảo vệ phía ngoài
Tuy nhiên cũng có những vấn đề với Proxy server bởi bì nó:
 Tạo một cùng lỗi chung, nó có nghĩa là nếu cổng vào mạng bị sập thì sau đó
toàn bộ mạng cũng bị sập theo
25

Trích đoạn Các dòng PIXFirewall và nguyên tắc hoạt động

---