LỜI NÓI ĐẦU Công nghệ thông tin ngày ứng dụng vào tất lĩnh vực sống Có thể thấy máy tính mạng internet thành phần thiếu hầu hết công ty, trở thành công cụ hỗ trợ đắc lực cho công việc hàng ngày giao dịch Tuy nhiên, phát triển kèm theo vấn đề an ninh máy tính ngày trở nên nóng bỏng Tội phạm máy tính hành vi phạm tội có tốc độ phát triển nhanh toàn hành tinh Vì vậy, việc xây dựng an ninh máy tính, thiết kế quản trị mạng đảm bảo có khả kiểm soát rủi liên quan đến việc sử dụng máy tính trở thành đòi hỏi thiếu nhiều lĩnh vực Kịp thời nắm bắt xu hướng này, thời gian làm đồ án thực tập tốt nghiệp em lựa chọn đề tài “Thiết kế mạng an toàn sử dụng PIX firewall cho trường Cao đẳng khí luyện kim” Đồ án đề cập đến nguy cần thiết an ninh mạng, đặc trưng cấu hình PIX firewall Và cuối ứng dụng PIX firewall thiết kế mô hình mạng cho trường Cao đẳng khí luyện kim MỤC LỤC LỜI NÓI ĐẦU LỜI CẢM ƠN Error! Bookmark not defined LỜI CAM ĐOAN Error! Bookmark not defined MỤC LỤC CHƯƠNG TÌM HIỂU VỀ AN NINH MẠNG VÀ CHÍNH SÁCH AN NINH .4 Sự cần thiết an ninh mạng .4 Nhận diện nguy tiềm ẩn an ninh mạng .5 Các mối đe dọa công mạng máy tính 3.1 Unstructured Threats (Các mối đe dọa cấu trúc) .6 3.2 Structured Threats (Các mối đe dọa có cấu trúc) .6 3.3 External Threats (Các mối đe dọa bên ngoài) 3.4 Internal Threats (Các mối đe dọa bên trong) Các cách thức công mạng máy tính 4.1 Sự thăm dò - Reconnaisance 4.2 Truy nhập - Access 4.3 Cấm dịch vụ (DoS) - Denial of Service .8 4.4 Worms, Virus Trojan Horses Chính sách an ninh 10 5.1 The Security Wheel (bánh xe an ninh) 10 5.2 Bảo vệ quản lý điểm cuối 14 5.3 Bảo vệ quản lý mạng 16 CHƯƠNG 20 TƯỜNG LỬA CISCO PIX FIREWALL .20 I Firewall kỹ thuật firewall 20 Firewall .20 Các kỹ thuật tường lửa .20 2.1 Kỹ thuật packet filtering 21 2.1 Kỹ thuật Proxy Server 22 2.3 Kỹ thuật stateful packet filtering 23 II Tổng quan PIX Firewall 23 III Các dòng PIX Firewall nguyên tắc hoạt động 24 Các dòng PIX Firewall 24 Nguyên tắc hoạt động PIX Firewall .28 IV Các lệnh trì thông thường PIX Firewall 30 Các chế độ truy cập .30 Các lệnh trì thông thường PIX Firewall 31 2.1 Lệnh enable 31 2.2 Lệnh enable password 31 2.3 Lệnh write 32 2.4 Lệnh telnet 32 2.5 Lệnh hostname ping 34 2.6 Lệnh show 35 2.7 Lệnh name 35 CHƯƠNG 37 CẤU HÌNH, DỊCH CHUYỂN ĐỊA CHỈ VÀ ĐIỀU KHIỂN TRUY CẬP TRONG PIX FIREWALL 37 I Các lệnh cấu hình PIX Firewall .37 Lệnh nameif 37 Lệnh interface 38 Lệnh ip addresss 39 Lệnh nat 39 Lệnh global 40 Lệnh route .41 II Dịch chuyển địa PIX Firewall 42 Tổng quan NAT 42 1.1 Mô tả NAT 42 1.2 Nat control 43 Các kiểu NAT 44 2.1 Dynamic NAT .44 2.2 PAT 45 2.3 Static NAT 45 2.3 Static PAT 45 Cấu hình Nat Control 46 Sử dụng Dynamic NAT PAT 46 Sử dụng lệnh Static NAT .51 Sử dụng Static PAT .52 III ACCESS LIST 52 Tổng quan access list 52 1.1 Thứ tự ACE 53 1.2 Access Control Implicit Deny .53 1.3 Địa IP sử dụng cho access list sử dụng NAT .53 Cấu hình access list 55 2.1 Câu lệnh access – list .55 2.2 Câu lệnh access – group 56 CHƯƠNG 57 THIẾT KỆ MẠNG AN TOÀN CHO TRƯỜNG 57 CAO ĐẲNG CƠ KHÍ LUYỆN KIM SỬ DỤNG PIX FIREWALL .57 I Khảo sát hệ thống mạng yêu cầu cần nâng cấp 57 Hiện trạng hệ thống .57 Đánh giá hiệu mức an toàn hệ thống .58 Các yêu cầu nâng cấp hệ thống mạng trường 59 II Thiết kế hệ thống mạng sử dụng thiết bị PIX firewall .60 Sơ đồ thiết kế hệ thống 60 Cấp phát địa 62 Cấu hình mô hệ thống .64 3.1 Các phần mềm sử dụng cho cấu hình mô .64 3.2 Các câu lệnh cấu hình .66 Kiểm tra cấu hình 73 KẾT LUẬN .75 TÀI LIỆU THAM KHẢO 76 CHƯƠNG TÌM HIỂU VỀ AN NINH MẠNG VÀ CHÍNH SÁCH AN NINH Sự cần thiết an ninh mạng An ninh mạng vấn đề cần thiết Internet mạng mạng có mối liên hệ với ranh giới Vì lý mà mạng tổ chức sử dụng bị công từ máy tính giới Khi công ty sử dụng Internet kinh doanh, nguy phát sinh từ người mà không cần thiết phải truy cập đến tài nguyên máy tính công ty thông qua môi trường vật lý Trong nghiên cứu gần Computer Security Institute (CIS), 70% tổ chức bị mát thông tin vấn đề an ninh mạng có lỗ thủng 60% số nguyên nhân nội công ty họ Cùng với phát triển máy tính, mạng LAN mạng Internet, hệ thống mạng ngày mở rộng Khi thương mại điện tử nhiều ứng dụng Internet phát triển, việc tìm phương thức an toàn thông tin điều vô quan trọng, kèm theo khả tìm nhận dạng mối nguy hiểm gây hại cho hệ thống thông tin Hơn phát triển giới mạng di động mạng không dây đánh dấu bước tiến vượt bậc giới công nghệ thông tin, loại bỏ mô hình cũ đồng thời yêu cầu có giải pháp bảo mật linh hoạt hơn, hiệu Việc sử dụng máy tính trở nên phổ biến, số lượng máy tính ngày tăng, hệ thống mạng LAN theo tăng theo, mạng toàn cầu Internet sử dụng rộng rãi kéo theo xuất nguy bảo mật, khó kiểm soát Để giải nguy này, giải pháp đưa sử dụng thiết bị tường lửa (firewall), công nghệ giúp cho doanh nghiệp khả thi bảo mật thông tin truy cập Internet Ngày yêu cầu đặt cho hệ thống bảo mật bao gồm :  Người sử dụng thực thi quyền lợi cấp phép  Người sử dụng có thông tin, liệu cho phép  Người sử dụng phá hủy liệu, thông tin hay ứng dụng mà hệ thống sử dụng Nhận diện nguy tiềm ẩn an ninh mạng Việc phân tích rủi ro xác định mối nguy mạng, tài nguyên mạng liệu mạng Mục đích việc làm xác định thành phần mạng, đánh giá tầm quan trọng thành phần sau áp dụng mức độ bảo mật phù hợp + Asset Identification (nhận diện tài sản mạng) Trước ta tiến hành bảo mật cho mạng, cần phải xác định thành phần có mạng Mỗi quan hay tổ chức nên tiến hành kiểm kê tài sản tồn mạng mình.Các tài sản bao gồm thiết bị mạng điểm cuối ( endpoint) host, server + Vulnerability Assenssment ( đánh giá lỗ hổng hệ thống ) Các thành phần mạng máy tính luôn đứng trước nguy bị công từ kẻ xấu Nguyên nhân yếu công nghệ, cấu hình sách an ninh chưa thỏa đáng Tuy nhiên, hạn chế hay khống chế công nhiều phương thức khác như: sử dụng phần mềm, cấu hình lại thiết bị mạng, triển khai biện pháp đối phó (Firewall, phần mềm Anti-virus ) + Threat Identification ( nhận diện mối đe dọa ) Một lời đe dọa kiện mang lại lợi cho công mạng máy tính nguyên nhân tác động không tốt mạng Vì vậy, việc xác định mối đe dọa tiềm ẩn mạng quan trọng, công liên quan cần lưu ý để hạn chế, giảm bớt mức độ nguy hiểm Các mối đe dọa công mạng máy tính Có mối đe dọa an ninh mạng Hình Các mối đe dọa an ninh mạng 3.1 Unstructured Threats (Các mối đe dọa cấu trúc) Mối đe dọa cấu trúc thông thường cá nhân thiếu kinh nghiệm sử dụng công cụ đơn giản, sẵn có Internet Một số người thuộc dạng có động mục đích phá hoại, phần lớn có động trổ tài trí óc tầm thường Phần lớn họ người tài giỏi attacker có kinh nghiệm, họ có động thúc đẩy, mà động quan trọng 3.2 Structured Threats (Các mối đe dọa có cấu trúc) Mối đe dọa có cấu trúc bao gồm attacker, người có động cao có kỹ thuật thành thạo Thông thường họ hiểu biết thiết kế hệ thống mạng chỗ công, họ hiểu tạo đoạn mã để thâm nhập vào hệ thống mạng 3.3 External Threats (Các mối đe dọa bên ngoài) Mối đe dọa từ bên cá nhân, tổ chức làm việc bên công ty.Họ quyền truy cập đến hệ thống mạng hệ thống máy tính công ty Họ làm việc theo cách thức họ để vào mạng từ mạng Internet mạng quay số truy cập vào servers 3.4 Internal Threats (Các mối đe dọa bên trong) Mối đe dọa từ bên xảy số người có quyền truy cập đến hệ thống mạng thông qua tài khoản server truy cập trực tiếp thông qua môi trường vật lý Thông thường người có bất bình với thành viên trước bất bình với giám đốc công ty sách công ty Các cách thức công mạng máy tính Có cách thức công mạng máy tính Hình Các kiểu công vào mạng máy tính 4.1 Sự thăm dò - Reconnaisance Thăm dò hình thức tính toán, khám phá bất hợp pháp hệ thống, dịch vụ điểm dễ bị công Nó biết đến việc thu thập thông tin Trong hầu hết trường hợp xảy trước so với hành động truy xuất hợp pháp khác công theo kiểu DoS Kẻ thâm nhập quét mạng đích để xác định địa IP hoạt động Sau hoàn thành việc này, tin tặc định dịch vụ cổng kích hoạt địa IP Từ thông tin này, tin tặc tính toán để định ứng kiểu ứng dụng phiên kiểu phiên hệ điều hành chạy host đích 4.2 Truy nhập - Access Truy cập hình thức vượt qua giới hạn để xử lý liệu trái phép, truy cập hệ thống tiến vào chế độ đặc quyền Truy tìm liệu trái phép thông thường việc đọc, ghi, chép gỡ bỏ files mà sử dụng kẻ thâm nhập Truy cập hệ thống khả kẻ thâm nhập dành quyền truy cập vào máy mà không phép truy cập (ví dụ kẻ thâm nhập tài khoản mật khẩu) Nhập truy cập vào hệ thống mà quyên truy cập thông thường bao gồm việc chạy hack, đoạn kịch công cụ để khai thác lỗ hổng hệ thống ứng dụng Một dạng khác công theo kiểu truy cập tiến tới chế độ đặc quyền Việc thực người sử dụng hợp pháp với quyền truy cập thấp kẻ thâm nhập có quyền truy cập thấp Mục đích để thu thập thông tin thực thi thủ tục mà không phép cấp độ truy cập Trong vài trường hợp kẻ thâm nhập muốn dành quyền truy cập mà không muốn lấy cắp thông tin – đặc biệt động tranh tài trí tuệ, tò mò 4.3 Cấm dịch vụ (DoS) - Denial of Service Đây kiểu công làm tê liệt hệ thống, làm khả cung cấp dịch vụ (Denial of Service - DoS) không cho hệ thống thực chức mà thiết kế Kiểu công khó ngăn chặn phương tiện dùng để tổ chức công lại phương tiện dùng để làm việc truy cập thông tin mạng Một thí dụ trường hợp xảy người mạng sử dụng chương trình đẩy gói tin yêu cầu trạm Khi nhận gói tin, trạm luôn phải xử lý tiếp tục thu gói tin đến sau đệm đầy, dẫn tới tình trạng nhu cầu cung cấp dịch vụ máy khác đến trạm không phục vụ Điều đáng sợ kiểu công DoS cần sử dụng tài nguyên giới hạn mà làm ngưng trệ dịch vụ site lớn phức tạp Do loại hình công gọi kiểu công không cân xứng (asymmetric attack) Chẳng hạn kẻ công cần máy tính PC thông thường với modem tốc độ chậm công làm ngưng trệ máy tính mạnh hay mạng có cấu hình phức tạp 4.4 Worms, Virus Trojan Horses Worm (sâu máy tính) loại virus máy tính chuyên tìm kiếm liệu nhớ đĩa, làm thay đổi liệu mà gặp Hành động thay đổi chuyển ký tự thành số trao đổi byte lưu trữ nhớ Những liệu bị hỏng thường không khôi phục Virus hay chương trình virus chương trình máy tính thiết kế mà tự lây lan cách gắn vào chương trình khác tiến hành thao tác vô ích, vô nghĩa, phá hoại Khi virus phát tác chúng gây nhiều hậu nghiêm trọng: từ thông báo sai lệch đến tác động làm lệch lạc khả thực phần mềm hệ thống xóa thông tin đĩa cứng Trojan Horse (con ngựa thành Troa) chương trình xuất để thực chức có ích, đồng thời có chứa mã lệnh ẩn gây hỏng hệ máy chạy Các phần mềm nguy hiểm cài đặt vào máy tính nhằm phá hủy, hư hại hệ thống ngăn chặn dịch vụ, truy nhập tới mạng Bản chất mức độ nguy hiểm mối đe dọa thay đổi theo thời gian Những virus đơn giản từ năm 80 trở nên phức tạp virus phá hủy, công cụ công hệ thống năm gần Khả tự lan rộng “sâu máy tính” đem lại mối nguy hiểm Như trước chúng cần tới vài ngày hay vài tuần để tự lan rộng ngày chúng lan rộng toàn giới vòng vài phút Một ví dụ “sâu” Slammer tháng 01/2003, nhân rộng toàn giới 10 phút Người ta cho hệ virus công vài giây Những loại “sâu máy tính” virus làm nhiều nhiệm vụ khác nữa, không đơn phá hủy tài nguyên mạng, chúng sử dụng để phá hủy thông tin truyền mạng xóa ổ cứng Vì tương lai có mối đe dọa lớn ảnh hưởng trực tiếp tới sở hạ tầng hệ thống mạng Chính sách an ninh Những nguy đe dọa hệ thống mạng bị loại trừ hay ngăn chặn hoàn toàn Tuy nhiên, việc đánh giá quản lý ảnh hưởng nguy góp phần giảm thiểu số lượng công thiệt hại kèm theo chúng Mức độ rủi ro chấp nhận phụ thuộc vào khả doanh nghiệp Một sách an ninh thành phần quan trọng việc định nguy quản lý Chính sách an ninh hiểu phát biểu hình thức quy tắc mà theo người có quyền truy nhập vào công nghệ, tài sản, thông tin tổ chức phải tuân theo 5.1 The Security Wheel (bánh xe an ninh) An ninh mạng cần phải tiến trình liên tục xây dựng dựa sách an ninh Một sách an ninh liên tục mang lại hiệu lớn 10 Như tổng chi phí ước tính nâng cấp toàn hệ thống vào khoảng 9.675 USD Ngoài trường trả tiền thuê đường ADSL lease line hàng tháng Cấp phát địa Sau chia văn phòng VLAN, có sơ đồ VLAN sau: 192.168.128.0 /24 118.71.120.10 Fa0/0 118.71.120.11 Gán VLAN VLAN_ID 99 Tên VLAN VLAN VLAN VLAN VLAN VLAN VLAN VLAN VLAN 99 Mô tả Không dùng VLAN Tài - Kế toán VLAN Công đoàn VLAN Quản lý sinh viên VLAN Quan hệ QT VLAN Văn phòng khoa VLAN Đào tạo VLAN quản lý 62 Gán địa IP * PIX firewall Interface Name IP Address Subnet Inside Security Level 100 Ethernet 192.168.128.1 255.255.255.248 Ethernet DMZ 50 192.168.128.2 255.255.255.252 Ethernet Outside 118.71.120.10 255.255.255.0 * Router Cisco 1841 Interface IP Address Subnet Fa0/0 118.71.120.11 255.255.255.0 Fa0/1 Địa ISP cấp Mô tả Nối với PIX Firewall Nối với lease line * Các server STT Dịch vụ Email, DNS Web ISA Server Inside Local IP 192.168.128.3 192.168.128.4 192.168.128.5 192.168.128.6 * Các host inside VLAN ID Tên VLAN Dải địa IP Subnet mask VLAN2 192.168.2.1 – 192.168.2.254 /24 VLAN3 192.168.3.1 – 192.168.3.254 /24 VLAN4 192.168.4.1 – 192.168.4.254 /24 VLAN5 192.168.5.1 – 192.168.5.254 /24 VLAN6 192.168.6.1 – 192.168.6.254 /24 VLAN7 192.168.7.1 – 192.168.7.254 /24 63 * Cấu hình địa IP máy trạm  Địa IP: 192.168.x.y  Subnet mask: /24  Gateway: 192.168.x.1  DNS: 192.168.128.3 Với x số VLAN tương ứng, y số thứ tự máy VLAN (y chạy từ 1-254) Cấu hình mô hệ thống 3.1 Các phần mềm sử dụng cho cấu hình mô 3.1.1 GNS3 Phần mềm GNS3 – phần mềm giả lập mạng có giao diện dạng đồ họa GNS3 phần mềm giả lập mạng dạng đồ họa, cho phép mô với mạng phức tạp, sử dụng hệ điều hành mạng Cisco GNS3 cho phép chạy Cisco IOS môi trường ảo máy tính cá nhân GNS3 chạy IOS thật thiết bị PIX, router…trong đồ án sử dụng IOS pix722_2.bin C2691-IS.BIN Vì phần mềm hỗ trợ IOS thật nên tốn CPU máy tính Do sử dụng thêm phần mềm BES 1.2.2 để hạn chế CPU 3.1.2 VMWare Workstation GNS3 không đưa thiết bị PC mà đưa thành phần gọi cloud dùng để kết nối đến PC hãng thứ vpcs, VMWare…Trong đồ án sử 64 dụng phần mềm VMWare để mô cho máy tính cá nhân mạng nội bộ, user bên Internet Server thuộc vùng DMZ * Chức thành phần mô hình + Web server: Là máy VMWare cài hệ điều hành Windows Server 2003 Trên máy vmware cấu hình dịch vụ web server để triển khai public website http://www.cdluyenkim.com Các user thuộc mạng nội trường (inside zone) user bên Internet truy cập website Ngoài server triển khai DNS để ánh xạ tên website sang địa IP web server + Host inside: Là máy VMWare cài đặt hệ điều hành Windows XP cấu hình địa gateway địa e0 PIX firewall, DNS trỏ đến địa IP web server + Host outside: Là máy VMWare cài đặt hệ điều hành Windows server 2003, dùng để kiểm tra kết nối đến web sever + PIX Firewall: Được chạy IOS thật pix722_2.bin 3.1.3 Packet tracer 5.0 Các host thuộc vùng inside sử dụng phần mềm packet tracer để chia thành VLAN khác cấu hình định tuyến VLAN 65 3.2 Thiết lập cấu hình cho hệ thống mạng * Cấu hình chia VLAN Final Configurations * router Current configuration : 1085 bytes ! version 12.4 no service password-encryption ! hostname Router ! ! ! ! ! ip ssh version ! ! interface FastEthernet0/0 no ip address duplex auto speed auto ! interface FastEthernet0/0.1 encapsulation dot1Q native ip address 192.168.1.1 255.255.255.0 ! interface FastEthernet0/0.2 encapsulation dot1Q ip address 192.168.2.1 255.255.255.0 ! interface FastEthernet0/0.3 encapsulation dot1Q ip address 192.168.3.1 255.255.255.0 ! interface FastEthernet0/0.4 encapsulation dot1Q ip address 192.168.4.1 255.255.255.0 ! interface FastEthernet0/0.5 encapsulation dot1Q ip address 192.168.5.1 255.255.255.0 ! interface FastEthernet0/0.6 encapsulation dot1Q ip address 192.168.6.1 255.255.255.0 ! interface FastEthernet0/0.7 encapsulation dot1Q 66 ip address 192.168.7.1 255.255.255.0 ! interface FastEthernet0/0.99 encapsulation dot1Q 99 ip address 192.168.99.1 255.255.255.0 ! interface FastEthernet0/1 no ip address duplex auto speed auto shutdown ! interface Vlan1 no ip address shutdown ! ip classless ! ! ! ! ! line line vty login ! ! End * Switch S1 Current configuration : 1346 bytes ! version 12.2 no service password-encryption ! hostname S1 ! ! ! interface FastEthernet0/1 switchport access vlan switchport mode access ! interface FastEthernet0/2 switchport access vlan switchport mode access ! interface FastEthernet0/3 switchport trunk native vlan 99 switchport mode trunk 67 interface range FastEthernet0/4 - 24 shutdown ! interface GigabitEthernet1/1 ! interface GigabitEthernet1/2 ! interface Vlan1 no ip address shutdown ! interface Vlan99 ip address 192.168.99.11 255.255.255.0 ! line ! line vty login line vty 15 login ! ! End * Switch S2 Current configuration : 1346 bytes ! version 12.2 no service password-encryption ! hostname S2 ! ! ! interface FastEthernet0/1 switchport access vlan switchport mode access ! interface FastEthernet0/2 switchport access vlan switchport mode access ! interface FastEthernet0/3 switchport trunk native vlan 99 switchport mode trunk ! interface range FastEthernet0/4 - 24 ! interface GigabitEthernet1/1 ! 68 interface GigabitEthernet1/2 ! interface Vlan1 no ip address shutdown ! interface Vlan99 ip address 192.168.99.12 255.255.255.0 ! line ! line vty login line vty 15 login ! ! End * Switch S3 Building configuration Current configuration : 1379 bytes ! version 12.2 no service password-encryption ! hostname S3 ! ! ! interface FastEthernet0/1 switchport access vlan switchport mode access ! interface FastEthernet0/2 switchport access vlan switchport mode access ! interface FastEthernet0/3 switchport trunk native vlan 99 switchport trunk allowed vlan switchport mode trunk ! interface range FastEthernet0/4 – 24 shutdown ! interface GigabitEthernet1/1 ! interface GigabitEthernet1/2 69 ! interface Vlan1 no ip address shutdown ! interface Vlan99 ip address 192.168.99.13 255.255.255.0 ! line ! line vty login line vty 15 login ! ! End * Switch S4 Current configuration : 1538 bytes ! version 12.2 no service password-encryption ! hostname S4 ! no ip domain-lookup ! ! interface FastEthernet0/1 switchport access vlan switchport mode access ! interface FastEthernet0/2 switchport access vlan switchport mode access ! interface FastEthernet0/3 switchport trunk native vlan 99 switchport mode trunk ! interface FastEthernet0/4 switchport trunk native vlan 99 switchport mode trunk ! interface FastEthernet0/5 switchport trunk native vlan 99 switchport mode trunk ! interface FastEthernet0/6 70 switchport trunk native vlan 99 switchport mode trunk ! interface range FastEthernet0/7 - 24 shutdown ! interface GigabitEthernet1/1 ! interface GigabitEthernet1/2 ! interface Vlan1 no ip address shutdown ! interface Vlan99 ip address 192.168.99.14 255.255.255.0 ! ip default-gateway 192.168.99.1 ! line ! line vty login line vty 15 login ! ! End * Cấu hình PIX firewall PIX Version 7.2(2) ! hostname pixfirewall enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface Ethernet0 nameif inside security-level 100 ip address 192.168.1.2 255.255.255.0 ! interface Ethernet1 nameif dmz security-level 50 ip address 192.168.128.2 255.255.255.0 ! interface Ethernet2 nameif outside security-level 71 ip address 118.71.120.1 255.255.255.0 ! interface Ethernet3 shutdown no nameif no security-level no ip address ! interface Ethernet4 shutdown no nameif no security-level no ip address ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive access-list aclout extended permit tcp any host 118.71.120.12 eq 80 access-list aclout extended permit icmp any any pager lines 24 mtu outside 1500 mtu inside 1500 mtu dmz 1500 icmp unreachable rate-limit burst-size no asdm history enable arp timeout 14400 nat-control global (dmz) 118.71.120.14 netmask 255.255.255.0 global (outside) 118.71.120.13 netmask 255.255.255.0 global (outside) 118.71.120.15 netmask 255.255.255.0 nat (inside) 0 0 0 0 nat (dmz) 192.168.128.0 255.255.255.0 static (dmz,outside) 118.71.120.12 192.168.128.2 netmask 0 access-group aclout in interface dmz access-group aclout in interface outside timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absolute no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart telnet timeout ssh timeout console timeout prompt hostname context Cryptochecksum:225c6b16b78cabaa953f1b210a6844a5 : end 72 Kiểm tra cấu hình Các host inside chia thành VLAN truyền thông với Một user bên Internet user bên mạng nội trường truy cập website đặt máy chủ thuộc vùng DMZ Một user thuộc vùng inside vùng dmz bên Internet 73 Một user thuộc vùng inside truy cập vào vùng DMZ Một user bên Internet truy cập vào bên vùng inside DMZ Như sau sử dụng PIX, user bên mạng nội truy cập vào vùng DMZ truy cập Internet Ngược lại bên Internet truy cập vào mạng nội khu vực chứa server trường 74 KẾT LUẬN Các giao dịch Việt Nam giới tương lai đa số diễn mạng Do mà việc bảo mật thông tin vô quan trọng Tìm hiểu an ninh mạng phương thức đảm bảo an toàn cho hệ thống mạng đề tài có tính chất thực tế mẻ sinh viên Đồ án “Thiết kế mạng an toàn sử dụng PIX firewall cho trường Cao đẳng khí luyện kim” nhằm nghiên cứu tìm hiểu vấn đề hiểu biết tầm quan trọng an ninh mạng Đề tài tập trung tìm hiểu đặc trưng PIX Firewall – giải pháp an ninh phần cứng Cisco áp dụng vào mô hình mạng trường Cao đẳng khí luyện kim Sức mạnh bảo mật Cisco PIX Firewall mang lại cho hệ thống mạng lớn Tuy nhiên lượng thời gian có hạn nên việc tiếp cận công nghệ firewall mẻ khó tránh khỏi hạn chế Em xin tiếp nhận ý kiến đóng góp thầy cô, bạn bè để hoàn thiện kiến thức cho thân Em xin chân thành cảm ơn cô giáo Bùi Thị Mai Hoa tận tình hướng dẫn em hoàn thành đồ án Thái Nguyên, tháng 06 năm 2009 75 TÀI LIỆU THAM KHẢO [1] Cisco Secure PIX Firewall Advanced - CSPFA Student Guide V3.2 - Cisco system, Inc 170 Web Tasman Drive, San Jose, CA 951347-106 USA [2] Cisco Security Appliance Command Line Configuration Guide For the Cisco ASA 5500 Series and Cisco PIX 500 Series Software - Version 7.2 Customer [3] http://www.cisco.com [4] http://www.gns3.net [5] http://www.vmware.com 76