Change background image
LOVE quotion

Bắt đầu từ 4.53' thứ Hai ngày 17/10/2011


You are not connected. Please login or register

Xem chủ đề cũ hơn Xem chủ đề mới hơn Go down  Thông điệp [Trang 1 trong tổng số 1 trang]

Zone
Zone Ưu tú

Cấp bậc: Ưu tú

Bài viết : 834

Danh vọng : 1552

Uy tín : 0

PIX-515E-R-DMZ-BUN : 68.639.000 VNĐ

Cisco firewall PIX-515E-R-DMZ-BUN Produc10

PIX 515E DMZ Bundle (chassis, restricted license, software, 3 10/100 interfaces, 64 MB RAM)

Specifications
Product DescriptionCisco PIX 515E Restricted Bundle - security appliance
FeaturesFirewall protection, 56-bit encryption, 168-bit encryption, DHCP support, NAT support, VPN support, PAT support, VLAN support, content filtering, manageable, IPv6 support, 256-bit encryption, DDos attack prevention, Quality of Service (QoS)
Dimensions (WxDxH)42.7 cm x 30 cm x 4.4 cm
Weight4.1 kg
Processor1 x Intel Celeron 433 MHz x86-to-RISC
RAM Installed ( Max )64 MB ( 128 MB )
PowerAC 120/230 V AC 110/220 V ± 10% ( 50/60 Hz )
Device Type Security appliance
Enclosure TypeExternal - 1U
Ports Qty3
Data Link ProtocolEthernet, Fast Ethernet
Communication ModeHalf-duplex, full-duplex
Network / Transport ProtocolTCP/IP, IPSec
Remote Management ProtocolSNMP, HTTP
Flash Memory Installed (Max)16 MB Flash

Giới thiệu Firewall phổ biến:
Có rất nhiều loại Firewall khác nhau như Firewall dựa trên phần mềm cho các hệ điều hành Windows NT, Unix, Firewall dựa trên phần mềm tích hợp trên các Router, Firewall dựa trên thiết bị phần cứng… Vì thế việc chọn lựa một Firewall thích hợp cho hệ thống với yêu cầu về khả năng hoạt động mạnh,  bảo đảm tính an ninh, độ tin cậy cao, khả năng dễ mở rộng trong tương lai.

Cisco firewall PIX-515E-R-DMZ-BUN Firewa10
ICTROI giới thiệu giải pháp Firewall có tốc độ và độ an tòan cao của ba hãng cung cấp giải pháp Firewall mạnh nhất hiện nay sau:

1. Giới thiệu công nghệ Firewall của Cisco

Để đáp ứng được yêu cầu đặt ra đối với thiết bị firewall lớp ngòai và với mục đích xây dựng mạng an toàn tốc độ chuyển mạch tốt nhất, giới thiệu các dòng sản phẩm Firewall mạnh  hiện nay của Cisco là dòng PIX với khả năng cung cấp khả năng an ninh, bảo mật cũng như khả năng hoạt động và độ ổn định cao cho hệ thống, hỗ trợ mạng riêng ảo – Ipsec VPN…[/justify]
[justify]
Độ bảo mật cao: So với các hình thức bảo mật hiện nay như Proxy-based firewall chạy ở lớp ứng dụng có, thì PIX là sản phẩm có khả năng hoạt động rất mạnh mẽ, mức độ an toàn cao.

CiscoSecure PIX Firewall là một thiết bị phần cứng đã được tích hợp sẵn software bên trong và hoạt động một cách độc lập không phụ thuộc vào các yếu tố về nền tảng ứng dụng như yêu cầu về cấu hình phần cứng, môi trường hệ điều hành (Windows NT, Unix…) vì thế làm đơn giản hoá hệ thống và quản trị thiết bị được dễ dàng hơn, đồng thời nâng cao khả năng bảo mật so với các hệ thống bảo mật chạy trên các hệ thống bảo mật khác (Check point, Gardian…)

Dễ dàng quản trị và phân cấp mức độ an ninh cho hệ thống mạng bên trong nhờ yếu tố sử dụng các giao tiếp vật lý (ports) để nối đến các mạng cấp thấp, cho phép mở rộng thêm cổng giao tiếp vật lý bất kỳ lúc nào khi có nhu cầu trong tương lai. Một điểm nữa cũng khá quan trọng cần được đề cập đến là khả năng mở rộng cao và mức độ đầu tư thấp.

Hỗ trợ các thủ tục DNS, HTTP, HTTPS, FTP, SMTP,POP, SNMPv2, Database, SIP, H323.

Hỗ trợ cho các ứng dụng và các giao thức sau: Internet Protocol (IP), Transmission Control Protocol (TCP), User Datagram Protocol (UDP), Internet Control Message Protocol (ICMP), Generic Route Encapsulation (GRE), Address Resolution Protocol (ARP), Domain Name System (DNS), Simple Network Management Protocol 2(SNMP2), Boot Protocol, HyperText Transport Protocol (HTTP), Secure hypertext transport protocol (HTTPS),  File Transfer protocol (FTP), Trivial File Transfer protocol (TFTP), Archie, Gopher, Telnet,POP,  NetBIOS over IP (Microsoft Networking), Point-to-Point Tunneling Protocol (PPTP), SQL*Net (Oracle client/server protocol), Sun Remote Procedure Call (RPC) services, including Network File System (NFS), Berkeley Standard Distribution (BSD)-Rcmds,AAA Server Groups.

Hỗ trợ cho các ứng dụng Multimedia, bao gồm: Microsoft NetShow, White Pine CU-SeeMe, RealNetworks RealAudio and RealVideo, Xing StreamWorks, VDOnet VDOLive, VXtreme WebTheater, VocalTec Internet Phone theo chuẩn SIP và H.323.
Hỗ trợ cho các ứng dụng Videoconferencing (H.323): Microsoft NetMeeting, Intel Internet Video Phone, White Pine Meeting Point.

Khả năng chống lại các dạng tấn công thông thường, khả năng tự bịt các lỗ hổng an ninh.

Hỗ trợ phát hiện và chống tấn công: Phát hiện các loại tấn công theo kiểu Denial Of Service, chống lại các hình thức tấn công như sync flooding, port scans, làm hỏng, thay đổi nội dung các gói dữ liệu.

Hỗ trợ Intrusion Detection System (IDS): hệ thống lưu giữ và xác định các mẫu tấn công từ đó phát hiện và đối phó với các hình thức tấn công này. Tự động phát hiện và bịt các lỗ hổng an ninh

Để tăng cường bảo mật, khả năng an ninh, PIX còn hỗ trợ các phương thức xác thực phổ biến như RADIUS và TACACS+ tích hợp với các hệ thống phần mềm khác như WebSENSE để quản lý, truy nhập các địa chỉ Internet dựa trên cơ sở dữ liệu URL, đảm bảo các kết nối vào hệ thống cần phải được xác thực trước, tăng cường khả năng xử lý đối phó với các tấn công thông thường như thăm dò, phát hiện lỗ hổng và tận dụng các lỗ hổng sẵn có để phá huỷ hệ thống.

Hỗ trợ VPN sử dụng IPSec: Phối hợp hoạt động với VPN: Khả năng điều khiển trạng thái đầy đủ (stateful control), thực hiện chức năng firewall cho các dịch vụ VPN, với dịch vụ VPN các người dùng truy nhập từ xa hoặc các văn phòng chi nhánh có thể truy nhập vào mạng của công ty qua mạng công cộng (internet) nhưng vẫn đảm bảo bảo mật và giảm chi phí kết nối, giảm tiền đầu tư thiết bị. Cisco PIX cho phép bảo mật các kết nối qua internet bằng cách tích hợp các tính năng chính của VPN như công nghệ đường hầm, mã hoá dữ liệu, bảo mật, và firewall – cung cấp một môi trường tích hợp vừa đảm bảo an ninh thông tin vừa đảm bảo tính hiệu quả cho các kết nối từ xa, các văn phòng xa, các kết nối ra mạng ngoài thông qua môi trường Internet. PIX  hỗ trợ mã hoá cho IPSec – DES, 3DES. Chúng tôi khuyến nghị đối với đối tượng khách hàng, người dùng truy nhập vào mạng nội bộ qua đường kết nối quay số (đường Internet hoặc Extranet) cần thiết phải sử dụng công nghệ kênh riêng ảo (VPN) để đảm bảo tính bảo mật, toàn vẹn và xác thực của thông tin – các kết nối VPN này sẽ kết thúc tại các firewall  đối với truy nhập từ Internet vào cũng như đối với những kết nối từ mạng Extranet vào.

Hỗ trợ NAT và PAT:

Nguyên lý hoạt động của PIX Firewall theo hai dạng NAT và PAT. NAT (Network Address Translation) dùng để chuyển đổi một địa chỉ Internet thành một địa chỉ riêng (Private) theo dạng địa chỉ tĩnh (static) với ánh xạ 1-1, ngoài ra cho phép đổi n địa chỉ Internet thành m địa chỉ Private dưới dạng địa chỉ động (dynamic) với n<m. PAT (Port Address Translation) dùng để chuyển đổi một địa chỉ Internet thành nhiều địa chỉ Private (kết hợp với NAT – ánh xạ 1- n). nguyên lý hoạt động này rất thích hợp cho việc sử dụng nhiều giao tiếp kết nối trên PIX Firewall.

Với khả năng cho phép chuyển đổi tự động địa chỉ như thế rất hữu ích cho nhiều người dùng mà không cần thiết phải quan tâm đến việc cấp địa chỉ Internet. Đối với các host của hệ thống mạng khu vực cũng không cần thiết đăng ký với NIC (Network Information Center) vẫn có thể dùng TCP/IP để truy cập trực tiếp vào Internet bằng cách mở chế độ chuyển đổi bên trong PIX Firewall. Cách này cho phép hệ thống mở rộng dịch vụ cung cấp truy cập từ xa kết nối qua hệ thống truy cập vào Internet trong tương lai.

Hoạt động với mức độ hoạt động sẵn sàng cao nhất:

Mức độ ổn định: khả năng làm việc cực kỳ ổn định với mean time between failure (MTB) lớn hơn 60000 giờ.
Ngoài ra CiscoSecure PIX Firewall software giới hạn mức độ người dùng cùng lúc thông qua các cổng giao tiếp vật lý của nó, tránh được tình trạng xử lý quá tải làm tắt nghẽn hệ thống truy cập Internet chung cho toàn hệ thống.

Trong tương lai khi có khả năng nâng cấp lên chạy dự phòng 2 thiết bị PIX – có thể sử dụng chức năng dự phòng tiên tiến của sản phẩm PIX – Stateful failover cho phép cung cấp khả năng dự phòng thay thế nóng giữa 2 thiết bị PIX – UR hoặc giữa 1 thiết bị PIX-UR và một thiết bị PIX-FO, khi một thiết bị gặp sự cố thì thiết bị còn lại sẽ thay thế thiết bị đó để tiếp nhận và xử lý các yêu cầu đang tồn tại cũng như các yêu cầu mới, do vậy việc một trong hai thiết bị gặp sự cố không ảnh hưởng gì đến các dịch vụ đang chạy trên mạng.

Hỗ trợ giao diện quản lý qua WEB:

Hỗ trợ bới tính năng Cisco PIX Device manager (PDM): Hệ thống quản trị thiết bị PIX riêng lẻ, sử dụng Java applet để chứng thực và Secure Hypertext Transfer Protocol để bảo mật thông tin giữa PDM và PIX firewall. PDM cung cấp các chức năng sau:

+ Hỗ trợ cấu hình PIX firewall qua WEB, mà không cần sử dụng các giao diện dòng lệnh PIX firewall Command-line Interface (CLI)
+ Hỗ trợ các bước cấu hình sử dụng các wizard (start-up Wizard, VPN Wizard)
+ Cho phép quản lý PIX với các lưu đồ và  dữ liệu thời gian thực, bao gồm các kết nối, IDS, thông tin về băng thông. Cho phép theo dõi thông số trong vòng 5 ngày trở lại.
+ Quản trị và cấu hình PIX tách biệt , nhưng có thể sử dụng nhiều browser trên cùng một trạm để cấu hình nhiều PIX khác nhau.

2. Giải pháp Firewall của Checkpoint

Checkpoint hiện là một trong những công ty hàng đầu trong công nghệ Firewall. Checkpoint chiếm ưu thế trong thị trường firewall với sản phẩm cùng tên.

Phần mềm Checkpoint với ưu thế cạnh tranh, là sản phẩm đáng tín cậy cho bất kỳ  cơ quan nào. Bộ sản phẩm của CheckPoint gồm nhiều Module kết hợp tạo nên một giải pháp Firewall an ninh hiệu quả cho các hình thức mạng khác nhau.

FireWall:

Sử dụng công nghệ “Stateful Inspection” bảo vệ được từ mức network đến mức ứng dụng trong mô hình OSI
Kỹ thuật phòng chống thông minh “SmartDefense” cho phép bảo vệ tấn công ở mức ứng dụng
SmartDefense cho phép dễ dàng cập nhật và cấu hình các phương pháp tấn công mới
Hỗ trợ phân quyền theo nhiều yếu tố host, dịch vụ hay người truy cập

Hỗ trợ phân tích log:

Quản lý tập trung cho phép quản lý nhiều firewall trên một máy tính
Quản lý thiết lập chính sách dễ dàng bằng các công cụ trực quan GUI
Hỗ trợ việc xác thực người sử dụng bằng nhiều phương pháp S/key, SecurID, OS password, RADIUS, TACACS hay những phương pháp chứng thực khác

VPN:

VPN hỗ trợ thuật toán mã hóa 3DES, AES. VPN hỗ trợ site- to site đảm bảo kênh truyền an toàn giữa các mạng Lan và an toàn giữa các mạng Lan và client –to site tạo kênh truyền an toàn giữa các máy truy cập từ xa và trung tâm. Module Secure Client cho phép bảo vệ máy truy cập từ xa tránh trường hợp tạo “backdoors” cho hacker xâm nhập vào hệ thống
Chính sách VPN và Firewall tích hợp định hướng chính sách firewall và VPN
Hỗ trợ truy cập VPN qua SSL hay Microsoft Windows L2TP/IPSec VPN Client

Tính năng quản lý (SmartCenter và GUI Client):

Quản lý tập trung với người quản trị bằng một giao diện đồ họa duy nhất
Tất cả dữ liệu log sẽ được quản lý tập trung dễ dàng phân tích và theo dõi bởi người quản trị hệ thống
Khả năng quản lý nhiều firewall trên một giao diện đồ họa duy nhất

Tính năng quản lý log:

Log sẽ được định hướng đến server chuyên dụng xử lý log
Log được cảnh báo khi ổ đĩa cứng trống còn thấp và sẽ reset lại log theo những thông số do người quản trị định nghĩa
Đặt thời gian chuyển file log đến server xử lý log theo chu kỳ
Thông tin log bao gồm người sử dụng dịch vụ, thời gian kết nối, đích đến, độ dài phiên kết nối, hành động …
Người quản trị có thể lọc file log để định những sự kiện lưu tâm đến bảo mật của hệ thống

Tính linh động và liên tác:

Người sử dụng có thể chọn lựa giải pháp của Checkpoint linh động dựa trên hệ điều hành như WinNT, Linux, Solaris hay những thiết bị phần cứng chuyên dụng của Celestix, Resilience, Nokia...
Hỗ trợ cơ cấu mở (OPSEC) cho phép liên kết giải pháp CheckPoint với những ứng dụng an ninh khác như ISS, TrendMicro. Raibow, RSA, Websense…

Giới thiệu phần mềm đảm bảo tính sẵn sàng cao Rainfinity RainWall dành cho hệ thống Checkpoint

- Raiwall là phần mềm đảm bảo tính sẵn sàng cao của hệ thống ứng dụng bảo mật trên Gateway được phát triển dựa trên chuẩn  OPSEC của CheckPoint.
- Tích hợp với phần mềm CheckPoint VPN-1/FireWall-1 và các ứng dụng bảo mật trên Gateway như Antivirus và các phần mềm bảo mật nội dung khác
- Tích hợp tính cân bằng tải cho hệ thống bảo mật
- Tăng hiệu suất thực thi của FireWall và VPN
- Tích hợp dễ dàng với bất kỳ kiến trúc nào của hệ thống bảo mật
- Kỹ thuật thông minh để xử lý lỗi xảy ra cho firewall và VPN gateway đảm bảo hệ thống hoạt động trong suốt
- Quản lý tập trung cho hệ thống bảo mật.

3. Giải pháp firewall Sidewinder G2 của SecureComputing

Sản phẩm Firewall Sidewinder của công ty Secure Computing được biết đến là một trong 4 sản phẩm Firewall phổ biến nhất hiện nay là : Pix firewall của Cisco, Checkpoint, Sonicwall, Sidewinder G2.

Khác với hệ thống firewall Pix và Sonicwall thông thường sử dụng cho các cổng kết nối mạng tốc độ cao, Checkpoint là dòng Firewall có thể tác động và hoạt động bảo mật cho lớp ứng dụng thì Sidewinder là sản phẩm được thiết kế có tất cả các khả năng giống các sản phẩm trên.

Hệ thống Firewall Sidewinder G2 là sản phẩm được ưa chuộng nhất hiện nay khu vực Châu Mỹ với lịch sử lâu đời về thành tích bảo vệ các hệ thống mạng có độ tin cậy cao của các tổ chức lớn tại Mỹ như:US Bank, Federal Reserve Bank, Goldman Sachs, Amgen, Southwestern Bell ,Bank of Missouri, Bank One Leasing, New York Stock Exchange, Securities Exchange Commission, Northwest Airlines, United Airlines
CERT @ CarnegieMellonUniversity, Government: GAO, DFAS, CIA, NSA, FBI, USAF, US Army, SPAWAR

Các tổ chức quốc tế đang sử dụng Sidewinder là Credit-Suisse-First-Boston, Deutsche Bank, Sanwa Bank, Safra Bank, Banamex,Redbank across South America, Mexican Government (the tax division), Japan  widely deployed in organizations/government
Schroders, Swedish Government, France Telecom,Alcatel, Cap Gemini E&Y, World Health Organization…
Hệ thống Frewall Sidewinder sử dụng công nghệ lọc và ngăn chặn Hybrid khác với công nghệ Stateful Inspection mà Checkpoint, Pix đang sử dụng hiện nay. Công nghệ Hybrid là tích hợp của 5 thành phần : Packet Filter, Stateful inspection(Công nghệ tương tự Checkpoint và Pix), Generic Proxy, application proxy  (khả năng bảo đảm an tòan cho lớp ứng dụng)và splitserver (Công nghệ phân tải cho firewall).

Sidewinder G2 gồm các phiên bản 25,100,250,1000,2000 và 4000. Hệ thống Sidewinder có thể triển khai dễ dàng với sản phẩm phần mềm cài lên các thiết bị máy chủ như Checkpoint hoặc cũng có thể sử dụng thiết bị bảo mật tích hợp sẳn với sản phầm SecureOS phát triển từ nền tảng Unix. Hệ thống có khả năng cung cấp dịch vụ cung lúc cho 1.000.000 kết nối cùng lúc với băng thống tối đa là 1Gb.

Sidewinder hỗ trợ các giao thức (SNMP, OSPF, RIP, NTP, ICMP, PING, etc.).và dễ dàng quản lý tập trung với các phần mềm quản lý chuyên dụng như Tivoli, Webtrend.

Hệ thống Sidewinder G2 dễ dàng triển khai so với các hệ thống Firewall khác với công nghệ Power-It-On đơn giản. Hệ thống bảo mật nội tại được thiết kế giảm thiểu tối đa chi phí quản trị và cập nhật vá lỗi.

Dễ dàng thiết lập các cơ chế tạo VPN. Cung cấp sẳn hệ thống Strikeback® intrusion detection system bên trong sản phẩm.Cung cấp giải pháp tích hợp quản trị truy cập SmartFilter tương tư giải pháp Websense.Dễ dàng thiết lập chế độ dự phòng nóng cho các thiết bị phần cứng cũng như phần mềm lõi. Đảm bảo giải pháp quản trị dễ dàng từ xa với giao diện đồ họa trên nền Windows.

Đến thời diểm hiện nay Sidewinder G2 đã được Hiệp hội bảo mật quốc tế ICSA (www.icsalabs.com) công nhận là sản phẩm bảo mật có nhiều tính năng và đảm bảo nhất với chứng chỉ mức độ EAL 4+ mạnh nhất hiện nay.
      
Zone
Zone Ưu tú

Cấp bậc: Ưu tú

Bài viết : 834

Danh vọng : 1552

Uy tín : 0

Cisco IOS Firewall

Như các bạn đã biết, nếu tìm hiểu về IOS của Cisco thì cũng giống như mọi người dùng Windows, mỗi windows sẽ dùng tối ưu cho từng mục đích sử dụng. IOS trên router cũng vậy, tùy từng IOS mà chúng ta sẽ dùng cho từng mục đích khác nhau. Ex :

+ Voice
+ R&S base
+ VPN
+ Security

Trong đó không thể không kể đến dòng IOS hỗ trợ mạnh tính năng Security - Cisco IOS Firewall. Router sẽ có tính năng như một firewall cứng nhưng mini. Đương nhiên sẽ không đủ tính năng như một firewall PIX hay ASA hay CP... nhưng đối với một hệ thống mạng trung bình thì có thể chấp nhận được để tiết kiệm chi phí thiết bị.

Dưới đây sẽ là demo cấu hình chặn truy cập, giới hạn tới các website hay IP bên ngoài... Nếu yêu cầu truy cập được các ACLs chấp nhận, người dùng sẽ phải nhập Username và Password, nếu Valid thì sẽ được forward còn nếu Invalid thì sẽ ngay lập tức bị discard và không thể thử lại (với số lần thử được admin định nghĩa).

Topo mang tính chất demo, các bạn có thể dựng mô hình đơn giản hơn để test.

Sau đây là cấu hình chi tiết cho Router đóng vai trò Firewall :

Cấu hình trên Router đóng vai trò là Firewall. Lưu ý rằng muốn làm được điều này trước tiên IOS đó phải hộ trợ Cisco Firewall. Các bạn chú ý phần cấu hình được in đậm.

Chi tiết cấu hình :

IOS-firewall#write terminal
Building configuration...

Current configuration : 2983 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname IOS-firewall
!
boot-start-marker
boot-end-marker
!
!
aaa new-model
!
!
aaa authentication login default local
!
aaa session-id common
!
resource policy
!
memory-size iomem 5
ip subnet-zero
!
!
ip cef
no ip dhcp use vrf connected
!
!
ip auth-proxy auth-proxy-banner http ^C
Cisco.com --- hoadqtk4^C
ip auth-proxy name hoadq http inactivity-time 60
ip admission auth-proxy-banner http ^C
Cisco.com --- hoadqtk4^C
no ip ips deny-action ips-interface
!
no ftp-server write-enable
!
!
crypto pki trustpoint TP-self-signed-0
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-0
 revocation-check none
 rsakeypair TP-self-signed-0
!
!
crypto pki certificate chain TP-self-signed-0
 certificate self-signed 01
 30820233 3082019C A0030201 02020101 300D0609 2A864886 F70D0101 04050030
 28312630 24060355 0403131D 494F532D 53656C66 2D536967 6E65642D 43657274
 69666963 6174652D 30301E17 0D303230 33303130 30303830 325A170D 32303031
 30313030 30303030 5A302831 26302406 03550403 131D494F 532D5365 6C662D53
 69676E65 642D4365 72746966 69636174 652D3030 819F300D 06092A86 4886F70D
 01010105 0003818D 00308189 02818100 DD1FF784 169F87C1 CC6F3527 47922793
 62B9F9FB F5D6CD9C 0FFEEB04 243DCEDE 920B4FDF 41CD41ED 306835ED 21113946
 8D761AB5 C7CD0FD0 30A7067A 07821C56 A814A427 261CE1B1 7086B78B F46368ED
 3FF8BA62 53ED112C 5990B354 81A4DDD8 6E8F764D 3172806B 93BA319C 19CCD8F1
 1D9C6D99 683D8894 6A47AB3D D9138BC5 02030100 01A36D30 6B300F06 03551D13
 0101FF04 05300301 01FF3018 0603551D 11041130 0F820D49 4F532D66 69726577
 616C6C2E 301F0603 551D2304 18301680 14305691 3FEFF5E7 58655320 E95D2F93
 9FB6650B 73301D06 03551D0E 04160414 3056913F EFF5E758 655320E9 5D2F939F
 B6650B73 300D0609 2A864886 F70D0101 04050003 81810039 C5581240 B39FB384
 174B533F B1FD705A 6AE523BD ED9A820E 28430A97 931D8722 3FFA591B E766C3D8
 FB3A81F4 B12E9661 CE36E6A3 D0F9FE35 7B64966C EE7743D4 651F8395 79EB2072
 9A0E4E27 4F2D2DF3 604C56DF 5ED7C802 2BD96DD1 D88B84E6 AB8C7F12 0DC7872B
 96ECDE17 DC773116 138F9BD4 39EACDFD 514D084D CCD8B4
 quit
!
!
username hoadq privilege 15 password 0 anhyeuem
!
!
no crypto isakmp ccm
!
!
interface FastEthernet0/0
ip address 1.1.1.1 255.255.255.0
ip auth-proxy hoadq
duplex auto
speed auto
!
interface Serial1/0
 ip address 10.1.1.1 255.255.255.252
 serial restart-delay 0
 no dce-terminal-timing-enable
!
interface Serial1/1
 no ip address
 shutdown
 serial restart-delay 0
 no dce-terminal-timing-enable
!
interface Serial1/2
 no ip address
 shutdown
 serial restart-delay 0
 no dce-terminal-timing-enable
!
interface Serial1/3
 no ip address
 shutdown
 serial restart-delay 0
 no dce-terminal-timing-enable
!
ip http server
ip http authentication aaa
ip http secure-server

ip classless
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
!
!
end


Sau khi cấu hình xong, các bạn tiến hành test bằng cách đứng từ 1 PC trong mạng LAN và thực hiện kết nối ra ngoài PC ngoài Internet có địa chỉ 10.1.1.2

Kết quả chi tiết các bạn xem tại [url=http://forum.edulab.com.vn/showthread.php?p=2162#post2162]ĐÂY
      
Zone
Zone Ưu tú

Cấp bậc: Ưu tú

Bài viết : 834

Danh vọng : 1552

Uy tín : 0

Firewall là gì? firewall ASA

Sau thời gian nghiên cứu firewall và tôi đã cấu hình các ASA của cisco xin chia sẻ cũng các bạn những kiến thức cơ bản sau:
---------------------------------------------------------------------------------------------------------------------
Các công nghệ Firewall: có 3 công nghệ chính

- Packet filtering

+ Ưu điểm: đơn giản, xử lý nhanh.
+ Nhược điểm: Khó quản lý ACL khi ACL cồng kềnh. Khó quản lý với 1 số vấn đề giao thức, kết nối đặc biệt.

- Proxy (ủy quyền – mở gói tin tới tầng 7):

+ Ưu điểm: vì kiểm soát gói tin tới tầng 7 – content nên kiểm soát chặt chẽ hơn.
+ Nhược điểm: xử lý chậm và hạn chế với nhiều giao thức.

- Statefull inspection:

+ Ưu điểm: Quản lý mềm dẻo và linh hoạt hơn tùy nhu cầu của người quản trị
+ Nhược điểm: Xử lý chậm hơn Packet Filtering vì còn quá trình kiểm tra trạng thái

firewall Cisco

pixfirewall#configure terminal
pixfirewall(config)#hostname pix1
pix1(config)#


* Cấu hình enable password và telnet password *

pix1(config)#enable pasword bkna
pix1(config)#passwd bkis


* Định danh các Public Server, AAA_Server và InsideHost *

pix1(config)#names
pix1(config)#name 172.16.1.3 DNS_Server
pix1(config)#name 172.16.1.4 Web_Server
pix1(config)#name 172.16.1.5 Mail_Server
pix1(config)#name 172.16.1.6 FTP_Server
pix1(config)#name 10.0.4.5 AAA_Server
pix1(config)#name 10.0.2.10 InsideHost



ASA Firewall trong hệ thống sẽ hoạt động như một thiết bị lớp 3, vì vậy ta phải cấu hình các interface cho firewall. Lưu ý là interface Ethernet 0 kết nối đến vùng outside nên có cấp độ bảo mật thấp nhất (cấp độ 0), Ethernet 1 kết nối đến vùng inside nên có cấp độ bảo mật cao nhất (cấp độ 100), còn Ethernet 2 kết nối đến vùng DMZ nên có cấp độ bảo mật trung bình (cấp độ 50).

* Cấu hình cho interface Ethernet 0 (ouside) *

pix1(config)#interface e0
pix1(config-if)#name-if outside // đặt tên cho interface
pix1(config-if)#ip address 192.168.1.2 255.255.255.240
pix1(config-if)#speed 100
pix1(config-if)#duplex full
pix1(config-if)#security 0 // thiết lập cấp độ bảo mật
pix1(config-if)#no shutdown
pix1(config-if)#exit


* Cấu hình cho interface Ethernet 1 (inside) *

pix1(config)#interface e1
pix1(config-if)#name-if inside
pix1(config-if)#ip address 10.0.1.1 255.255.255.0
pix1(config-if)#speed 100
pix1(config-if)#duplex full
pix1(config-if)#security 100
pix1(config-if)#no shutdown
pix1(config-if)#exit


* Cấu hình cho interface Ethernet 2 (DMZ) *

pix1(config)#interface e2
pix1(config-if)#name-if dmz
pix1(config-if)#ip address 172.16.1.1 255.255.255.0
pix1(config-if)#speed 100
pix1(config-if)#duplex full
pix1(config-if)#security 50
pix1(config-if)#no shutdown
pix1(config-if)#exit


Œ Cấu hình giao thức sử dụng cho AAA Server

pix1(config)#aaa-server MyRadius protocol radius
pix1(config-aaa-server-group)#accounting-mode single
pix1(config-aaa-server-group)#exit


 Định danh AAA Server và khóa chia sẻ

pix1(config)#aaa-server MyRadius (inside) host AAA_Server
pix1(config-aaa-server-host)#key secretkey
pix1(config-aaa-server-host)#exit


Ž Cấu hình yêu cầu xác thực cho các lưu lượng đi qua PIX Firewall

pix1(config)#aaa authentication include any outside 0 0 0 0 MyRadius
pix1(config)#aaa authentication include any inside 0 0 0 0 MyRadius
pix1(config)#aaa authentication include any inside 0 0 172.16.1.0 255.255.255.0 MyRadius
pix1(config)#aaa authentication telnet console MyRadius

pix1(config)#timeout uauth 0:10:00 absolute


Cấu hình dự phòng (Failover)

Để đảm bảo khả năng dự phòng cho hệ thống, ta cần sử dụng 2 PIX Firewall và cấu hình dự phòng trên 2 firewall. Lưu ý là các interface của thiết bị chính (Primary) và phụ (Secondary) cùng được kết nối đến các vùng như nhau, riêng interface Ethernet 3 được dùng làm failover link giữa hai thiết bị. Dưới đây là các bước cấu hình dự phòng trên thiết bị chính (Primary)

* Kích hoạt interface Ethernet 3 dành cho failover link *

pix1(config)#interface e3
pix1(config-if)#no shutdown
pix1(config-if)#exit


* Đặt địa chỉ IP dự phòng (stanby) cho mỗi interface *

----------------------- Ethernet 0 -----------------------
pix1(config)#interface e0
pix1(config-if)#ip address 192.168.1.2 255.255.255.0 standby 192.168.1.7
pix1(config-if)#exit


----------------------- Ethernet 1 ---------------------
pix1(config)#interface e1
pix1(config-if)#ip address 10.0.1.1 255.255.255.0 standby 10.0.1.7
pix1(config-if)#exit


----------------------- Ethernet 2 ---------------------
pix1(config)#interface e2
pix1(config-if)#ip address 172.16.1.1 255.255.255.0 standby 172.16.1.7
pix1(config-if)#exit


Tiếp theo, ta cấu hình dự phòng LAN-base cho hệ thống thông qua interface Ethernet 3 đã kích hoạt ở trên. Các thông tin failover sẽ được chuyển đi qua failover link này

* Cấu hình failover LAN-base *

pix1(config)#failover lan interface MyFailover e3
pix1(config)#failover interface ip 172.16.2.1 255.255.255.0 standby 172.16.2.7
pix1(config)#failover lan enable


Cuối cùng ta khai báo khóa dành cho failover, vai trò của thiết bị (Primary hay Secondary) và kích hoạt tính năng failover

* Khai báo khóa dành cho failover *
pix1(config)#failover lan key failoverkey

* Khai báo vai trò thiết bị *
pix1(config)#failover lan unit primary

* Kích hoạt tính năng failover *
pix1(config)#failover

* Cấu hình chuyển đổi địa chỉ động (NAT)*

pix1(config)#nat-control // thiết lập quy tắc NAT
pix1(config)#nat (inside) 1 10.0.1.0 255.255.255.0
pix1(config)#global (outside) 1 192.168.1.10-192.168.1.250 netmask 255.255.255.0
pix1(config)#global (dmz) 1 172.16.1.10-172.16.1.250 netmask 255.255.255.0


* Cấu hình định tuyến tĩnh đến các VLAN trong vùng inside *

pix1(config)#route inside 10.0.2.0 255.255.255.0 10.0.1.2
pix1(config)#route inside 10.0.3.0 255.255.255.0 10.0.1.2
pix1(config)#route inside 10.0.4.0 255.255.255.0 10.0.1.2


* Cấu hình đường mặc định *

pix1(config)#route outside 0 0 192.168.1.1

Cấu hình nhóm thực thể (Object Group)

Nhóm thực thể giúp người quản trị dễ dàng hơn trong việc quản lý hệ thống mạng. Đối với bài toán này, ta sẽ cấu hình nhóm thực thể để tiện cho công việc quan trị sau này

* Nhóm Public Server *

pix1(config)#object group network PubServer
pix1(config-network)#network-object host DNS_Server
pix1(config-network)#network-object host Web_Server
pix1(config-network)#network-object host Mail_Server
pix1(config-network)#network-object host FTP_Server
pix1(config-network)#exit


* Nhóm Ping (được sử dụng để cho phép ping giữa các vùng sau này)*

pix1(config)#object-group icmp-type Ping
pix1(config-icmp)#icmp-object echo
pix1(config-icmp)#icmp-object echo-reply
pix1(config-icmp)#icmp-object unreachable
pix1(config-icmp)#exit


Cấu hình truy cập

Để các host bên ngoài Internet có thể truy cập được vào các Public Server trong vùng DMZ, ta cần cấu hình chuyển đổi tĩnh cho các Server và thiết lập một ACL cho phép bên ngoài truy cập đến.

* Cấu hình chuyển đổi tĩnh cho Public Server *

pix1(config)#static (inside, outside) 192.168.1.10 insidehost netmask 255.255.255.255
pix1(config)#static (dmz, outside) 192.168.1.3 DNS_Server netmask 255.255.255.255
pix1(config)#static (dmz, outside) 192.168.1.4 Web_Server netmask 255.255.255.255
pix1(config)#static (dmz, outside) 192.168.1.5 Mail_Server netmask 255.255.255.255
pix1(config)#static (dmz, outside) 179.168.1.6 FTP_Server netmask 255.255.255.255


* Cấu hình ACL cho phép bên ngoài truy cập vào Public Server *

pix1(config)#access-list Outside_In permit tcp any host DNS_Server eq domain
pix1(config)#access-list Outside_In permit tcp any host Web_Server eq www
pix1(config)#access-list Outside_In permit tcp any host Mail_Server eq smtp
pix1(config)#access-list Outside_In permit tcp any host FTP_Server eq ftp


Trong quá trình quản trị cũng như giải quyết các sự cố của hệ thống, người quan trị có thể cần sử dụng một số công cụ như ping, tracert/traroute… Tuy nhiên, mặc định để đảm bảo an toàn thì PIX Firewall cấm không cho các gói ping trả về theo chiều vào trong (inbound) nên nếu muốn sử dụng ping để kiểm tra thì ta phải cấu hình ACL cho phép các gói ping theo chiều inbound. Lưu ý là để đảm bảo an toàn tránh các cuộc tấn công thăm dò (ping sweep, port sweep…) thì ta chỉ nên áp ACL cho phép ping lên interface trong quá trình giải quyết sự cố.

* Cấu hình ACL cho phép ping theo chiều inbound từ vùng DMZ *

pix1(config)#access-list DMZ_In permit icmp 172.16.1.0 255.255.255.0 10.0.0.0 255.255.248.0 object-group PING
pix1(config)#access-list DMZ_In deny ip any any
pix1(config)#access-group DMZ_In in interface DMZ


* Cấu hình ACL cho phép ping theo chiều inbound từ vùng outside *

pix1(config)#access-list Outside_In permit any 172.16.1.0 255.255.255.0 object-group PING
pix1(config)#access-list Outside_In permit any 10.0.0.0 255.255.248.0 object-group PING
pix1(config)#access-list Outside_In deny ip any any
pix1(config)#access-group Outside_In in interface outside


Giả sử trong giờ cao điểm (từ 9h-11h sáng), để đảm bảo cho đường truyền Internet không bị tắc nghẽn, ta có thể cấu hình cấm sử dụng dịch vụ FTP từ inside ra Internet bằng cách sử dụng time-range kết hợp với ACL

* Cấu hình time-range (từ 9h-11h sáng) *

pix1(config)#time-range RushHour
pix1(config-time-range)#absolute start 09:00 01 jun 2007 end 11:00 30 jun 2007
pix1(config-time-range)#periodic weekdays 09:00 to 11:00
pix1(config-time-range)#exit


* Cấu hình ACL cấm truy cập FTP ra ngoài trong giờ cao điểm *

pix1(config)#access-list Inside_In permit tcp 10.0.0.0 255.255.248.0 172.16.1.0 255.255.255.0 eq FTP
pix1(config)#access-list Inside_In deny tcp 10.0.0.0 255.255.248.0 any eq FTP time-range RushHour
pix1(config)#access-list Inside_In permit ip any any
pix1(config)#access-group Inside_In in interface inside


Cho mô hình mạng như sau:


Interface
Zone
Network
IP
Security level
ethernet 0
(ethernet 0/0)
Inside
192.168.1.0/24
192.168.1.1
100
ethernet 1
(ethernet 0/1)
DMZ
172.16.1.0/24
172.16.1.1
50
• Yêu cầu:

- Cấu hình định tuyến trên Firewall cho phép ra ngoài internet.
- Cấu hình NAT cho phép các máy tính ở inside truy cập vào dmz và internet. Địa chỉ dùng để NAT là địa chỉ của các interface outside và DMZ
- Cấu hình NAT server 172.16.1.254 ra ngoài Outside với IP 10.2.46.146.
- Cấu hình cho phép PC (outside) truy cập vào dịch vụ DNS, HTTP của server. Thử ping từ PC (outside) vào server (theo địa chỉ đã NAT), giải thích kết quả.
- Cho phép ping giữa các vùng

• Bài làm:

- Cấu hình định tuyến trên Firewall cho phép ra ngoài Internet

Pixfirewall(config)route outside 0.0.0.0 0.0.0.0 10.2.46.1 1

- Cấu hình NAT cho phép các máy tính ở inside truy cập vào dmz và internet

Pixfirewall(config) nat (inside) 1 192.168.1.0 255.255.255.0
Pixfirewall(config) global (outside) 1 interface
Pixfirewall(config) global (dmz) 1 172.16.1.20-172.16.1.222 netmask 255.255.255.0

- Cấu hình NAT server 172.16.1.254 ra ngoài Outside với IP 10.2.46.146.[/b]

Pixfirewall(config) static (dmz,outside) 10.2.46.146 172.16.1.254 netmask 255.255.255.255

- Cấu hình cho phép PC (outside) truy cập vào dịch vụ DNS, HTTP của server. Thử ping từ PC (outside) vào server (theo địa chỉ đã NAT), giải thích kết quả.

Pixfirewall(config) access-list FROM_OUTSIDE extended permit tcp any host 10.2.46.146 eq www
Pixfirewall(config) access-list FROM_OUTSIDE extended permit udp any host 10.2.46.146 eq domainPixfirewall(config) access-group FROM_OUTSIDE in interface outside

+ Ping từ PC (outside) vào địa chỉ Server (đã được NAT) sẽ không ping được vì ACLFRO_OUTSIDE áp trên cổng outside của PIX chỉ cho phép lưu lượng www và dns.

- Cho phép ping giữa các vùng

//Inside ping ra outside
Pixfirewall(config) access-list FROM_OUTSIDE extended permit icmp any any echo-reply
Pixfirewall(config) access-group FROM_OUTSIDE in interface outside
//Inside ping ra dmz
Pixfirewall(config) access-list FROM_DMZ extended permit icmp any any echo-reply
Pixfirewall(config) access-group FROM_DMZ in interface dmz

Nghiên cứu về an ninh thiết bị Cisco thì anh em vào link dưới nhé, và search tài liệu"asa.all.in.one "


http://www.cisco.com/en/US/docs/ios/11_3/security/configuration/guide/secur_c.html

Các nội dung cơ bản

1. ACL Advanced
2. AAA
3. Encryption.
4. IPSec
and more....
      
      

Xem chủ đề cũ hơn Xem chủ đề mới hơn Về Đầu Trang  Thông điệp [Trang 1 trong tổng số 1 trang]

Quyền hạn của bạn

Bạn không có quyền trả lời bài viết
free counters



  • Đoàn Ngọc Khánh

    mobile phone 098 376 5575


    Đỗ Quang Thảo

    mobile phone 090 301 9666


    Nguyễn Văn Của

    mobile phone 090 372 1401


    IP address signature
    Free forum | © PunBB | Free forum support | Liên hệ | Báo cáo lạm dụng | Thảo luận mới nhất