Xem mẫu
- Chapter 3: cisco pix firewall models and features
Chương 3
ĐẶC TÍNH VÀ CÁC KIỂU TƯỞNG LỬA
PIX CISCO
Tổng quan
Chương này bao gồm những nội dung sau:
Mục đích
Tường lửa
Tổng quan về PIX Firewall
Tóm tắt
1
Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
- Chapter 3: cisco pix firewall models and features
2
Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
- Chapter 3: cisco pix firewall models and features
Tường lửa
Phần này đưa ra cách giải thích về một tường lửa
Theo cách định nghĩa thông thường thì tường lửa là một phần tạo nên vật liệu
chống cháy, được thiết kế để ngăn cản sự lan rộng của lửa từ một phần đến phần
khác. Nó cũng có thể được sử dụng để cách ly một phần với phần khác.
Khi áp dụng thuật ngữ tường lửa cho mạng máy tính, một tường lửa là một hệ
thống hoặc một nhóm hệ thống yêu cầu một chính sách điều khiển việc truy cập
giữa hai hoặc nhiều hơn hai mạng.
3
Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
- Chapter 3: cisco pix firewall models and features
Tường lửa hoạt động dựa trên ba kỹ thuật sau:
Packet filtering – Giới hạn thông tin truyền sang một mạng dựa trên thông
tin header của gói tin tĩnh.
Proxy Server – Yêu cầu sự kết nối chuyển tiếp giữa một client bên trong
của tường lửa và mạng Internet
Stateful packet filtering – Kết hợp tốt nhất hai kỹ thuật packet filtering và
proxy server
4
Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
- Chapter 3: cisco pix firewall models and features
Một tường lửa có thể sử dụng packet filtering để giới hạn thông tin đi vào một
mạng hoặc thông tin di chuyển từ một đoạn mạng này sang một đoạn mạng khác.
Packet filtering sử dụng danh sách điều khiển truy cập (ACLs), nó cho phép một
tường lửa xác nhận hay phủ nhận việc truy cập dựa trên kiểu của gói tin và các
biến khác.
Phương pháp này có hiệu quả khi một mạng được bảo vệ nhận gói tin từ một
mạng không được bảo vệ khác. Bất kỳ gói tin nào được gửi đến một mạng đã
được bảo vệ và không đúng với các tiêu chuẩn được định nghĩa bởi ACLs đều bị
hủy.
Những có một số vấn đề với packet filtering
Các gói tin bất kỳ có thể được gửi đi mà nó phù hợp với các tiêu chuẩn
của ACL thì sẽ đi qua được bộ lọc
Các gói tin có thể đi qua được bộ lọc theo từng đoạn
ACL phức tạp là rất khó thực thi và duy trì một cách đúng đắn
Một số dịch vụ không thể lọc
5
Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
- Chapter 3: cisco pix firewall models and features
Một Proxy server là một thiết bị tường lửa mà nó quyết định một gói tin tại lớp
cao hơn của mô hình OSI. Thiết bị này có giá trị ẩn dữ liệu bằng cách yêu cầu
người sử dụng giao tiếp với một hệ thống bảo mật có nghĩa là một proxy. Người
sử dụng dành quyền truy cập đến một mạng bằng cách đi qua một tiến trình, tiến
trình đó sẽ thiết lập một trạng thái phiên, chứng thực người dùng và chính sách
cấp quyền. Điều này có nghĩa là người sử dụng kết nối đến các dịch vụ bên ngoài
thông qua chương trình ứng dụng (proxies) đang chạy trên cổng dùng để kết nối
đến vùng không được bảo vệ phía ngoài
Tuy nhiên cũng có những vấn đề với Proxy server bởi bì nó:
Tạo một cùng lỗi chung, nó có nghĩa là nếu cổng vào mạng bị sập thì sau
đó toàn bộ mạng cũng bị sập theo
Nó rất khó để thêm các dịch vụ mới vào tường lửa
Thực thi các ứng suất chậm
6
Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
- Chapter 3: cisco pix firewall models and features
Stateful packet filtering là một phương pháp được sử dụng bởi thiết bị tường lửa
PIX của Cisco. Kỹ thuật này duy trì trạng thái phiên đầy đủ. Mỗi khi một kết nối
TCP/UDP được thiết lập cho các kết nối vào hoặc ra. Thông tin này được tập hợp
trong Stateful session flow table.
Stateful session flow table chứa địa chỉ nguồn và đích, số cổng, thông tin số thứ
tự TCP và thêm thông các cờ cho mỗi kết nốiTCP/UDP kết hợp với các phiên đó.
Thông tin này tạo nên các đối tượng kết nối và do đó các gói tin vào và ra được
so sánh với lưu lượng phiên trong Stateful session flow table. Dữ liệu được phép
qua tường lửa chỉ khi nếu một kết nối thích hợp tồn tại đánh giá tính hợp pháp đi
qua của dữ liệu đó
Phương pháp này có hiệu quả bởi vì:
Nó làm việc trên các gói tin và các kết nối
Nó hoạt động ở mức cao hơn so với packet filtering hoặc sử dụng proxy
Nó ghi dữ liệu trong một bảng cho mỗi kết nối. Bảng này như là một điểm
tham chiếu để xác địng gói tin có thuộc về một kết nối đang tồn tại hay
không hoặc là từ một nguồn trái phép
7
Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
- Chapter 3: cisco pix firewall models and features
Tổng quan về PIX Firewall
Phần này sẽ thảo luận về các khái niệm cơ bản của PIX Firewall
PIX firewall là một yếu tố chính trong toàn bộ giải pháp an ninh end-to-end của
Cisco. PIX Firewall là một giải pháp an ninh phần cứng và phần mềm chuyên
dụng và mức độ bảo mật cao hơn mà không ảnh hưởng đến sự thực thi của hệ
thống mạng. Nó là một hệ thống được lai ghép bởi vì nó sử dụng cả hai kỹ thuật
packet filtering và proxy server
Không giống như các CPU tập trung thông thường, các server proxy full-time
thực hiện xử lý mở rộng trên mỗi gói dữ liệu tại tầng ứng dụng; PIX Firewall sử
dụng hệ điều hành thích hợp, nó đảm bảo sự bảo mật, là hệ điều hành thời gian
thực, là hệ thống dạng nhúng.
PIX Firewall cung cấp các đặc tính và các chứ năng sau:
Không giống như UNIX, đảm bảo sự bảo mật, là hệ điều hành thời gian
thực, là hệ thống nhúng – Không như các CPU, những server proxy tập
trung thông thường thực thi xử lý mở rộng trên mỗi gói dữ liệu, PIX
Firewall là hệ thống thời gian thực, dạng nhúng nên nó tăng cường an
ninh cho mạng
8
Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
- Chapter 3: cisco pix firewall models and features
Apdaptive Security Algorithm (ASA) – thực hiện việc điều khiển các kết
nối stateful thông qua PIX Firewall
Cut – through proxy – Một người sử dụng phải dựa trên phương pháp
chứng thực của các kết nối vào và ra cung cấp một hiệu suất cải thiện khi
so sánh nó với proxy server
Stateful failover – PIX Firewall cho phép bạn cấu hình hai đơn vị PIX
Firewall trong một topo mà có đủ sự dư thừa
Stateful packet filtering – Một phương pháp bảo mật phân tích các gói dữ
liệu mà thông tin nằm trải rộng sang một bảng. Để một phiên được thiết
lập thông tin về các kết nối phải kết hợp được với thông tin trong bảng
PIX Firewall có thể vận hành và mở rộng cấp độ được với các ISPes, các ISPec
bao gồm một lưới an ninh và các giao thức chứng thực như là Internet Key
Exchange (IKE) và Public Key Infrastructure (PKI). Các máy clients ở xa có thể
truy cập một cách an toàn đến mạng của công ty thông qua các ISPs của họ
9
Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
- Chapter 3: cisco pix firewall models and features
Cisco PIX firewall họ 500 có khả năng đáp ứng hàng loạt các yêu cầu và kích
thước mạng. và hiện tại bao gồm 5 kiểu: PIX Firewall 501, 506, 515, 525 và 535.
Dòng 500 hỗ trợ một dải rộng các card mạng (NIC). Dòng 501 tích hợp 1 cổng
10BaseT và 4 cổng 10/100 switch. Dòng 506 tích hợp 2 cổng 10BaseT . Dòng
515 hỗ trợ 4 cổng 10/100 Ehthernet và bộ gia tốc VPN. PIX Firewall 525 hỗ trợ
1 cổng đơn hoặc 4 cổng 10/100 Fast Ethernet, Gigabit Ethernet và bộ gia tốc
VPN. Dòng 535 hỗ trợ Fast Ethernet, Gigabit Ethernet và bộ gia tốc VPN
PIX Firewall vẫn được đảm bảo khi không nằm trong hộp. Cài đặt mặc định cảu
PIX Firewall là cho phép tất cả các kết nối từ cổng bên trong truy cập ra các cổng
bên ngoài và khóa tất cả các kết nối từ các cổng bên ngoài vào bên trong. Sau
một vài thủ tục cài đặt và cấu hình khởi tạo của 6 lệnh cấu hình thông thường,
PIX Firwall của bạn có thể hoạt động và bảo vệ hệ thống mạng cho bạn
10
Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
- Chapter 3: cisco pix firewall models and features
Cisco PIX 501 Firewall kích thước chỉ 10 x 6.25 x5.5 inch và nặng 0.75 pounds.
Nó dùng cho các văn phòng nhỏ và các lao động từ xa. Lý tưởng cho sự bảo mật
tốc độ cao, môi trường băng thông rộng luôn được bật, Cisco PIX 501 Firewall
cung cấp các đặc tính, sức mạnh cho mạng của các văn phòng nhỏ, có khả năng
quản lý các thiết bị từ xa trong cùng một quy tắc, giải pháp tất cả trong một.
Cisco PIX 501 Firewall cung cấp một cách thức thuận tiện cho nhiều máy tính
cùng chia sẻ một kết nối băng rộng. Được thêm cổng console RS-32 (RJ-45)
9600 baud, nó còn được tích hợp cổng 10BaseT cho cổng ra, nó mô tả một nét
nổi bật là một auto –sening (khả năng tự động phán đoán) được tích hợp, auto-
MDIX 4 cổng 10/100 switch cho cổng vào. Nhờ auto-MDIX đã loại bỏ việc cần
thiết phải sử dụng cáp crossover với các thiết bị kết nối đến switch.
Cisco PIX 501 Firewall cũng có thể đảm bảo an ninh cho tất cả các truyền thông
mạng từ các văn phòng từ xa đến mạng của công ty thông qua Internet sử dụng
các chuẩn của nó dựa trên Internet Key Exchange (IKE)/IP security (Ipsec) và
khả năng của VPN. Người sử dụng cũng có thể có được các mạng plug-and-play
(cắm và chạy) bằng cách nắm bắt lợi thế của việc xây dựng server giao thức cấu
hình host động – Dynamic Host Configuration Protocol (DHCP) server trong
11
Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
- Chapter 3: cisco pix firewall models and features
PIX Firewall. DHCP server tự động gán địa chỉ mạng đến các máy tính khi
chúng được bật nguồn
Cisco PIX 501 Firewall với một dịch vụ an ninh tích hợp đã khóa các lỗ hổng
hoàn thiện hơn cho an ninh mức vật lý và chứa 8MB bộ nhớ Flash.
PIX Firewall 506 được thiết kế cho các công ty dử dụng Internet dành lợi thế về
giá cả và cho phép các công nhân làm việc từ xa. Nó đưa ra cơ chế bảo vệ tường
lửa toàn diện, còn bổ sung thêm khả năng của car mạng riêng ảo (VPN). PIX
Firewall 506 có thể kết nối lên đến 25 mạng VPN ngang hàng cùng một lúc và
cung cấp cho người sử dụng sự bổ sung đầy đủ chuẩn Ipsec. Nó có 8MB bộn nhớ
flash và tích hợp 2 cổng 10Base-T, có kích thước 8 x 12 x 1.7 inch và sử dụng
TFTP để cập nhật và download image
12
Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
- Chapter 3: cisco pix firewall models and features
PIX Firewall 515 được thiết kế cho các doanh nghiệp có kích thước vừa và nhỏ,
nó cung cấp một cơ chế bảo vệ toàn diện, còn bổ sung thêm cả khả năng của
VPN IPsec với sự bổ sung đầy đủ chuẩn Ipsec. Bạn có thể tạo và kết thúc một
đường hầm VPN giữa hai PIX Firewall, giữa một PIX Firewall và bất cứ một
router của Cisco có hỗ trợ VPN nào khác và giữa một PIX Firewall và Cisco
Virtual Private Networks (CVPN) client. PIX Firewall 515 cũng lý tưởng cho địa
điểm từ xa mà chỉ yêu cầu hai cách truyền thông với mạng của công ty chúng.
PIX Firewall 515 hỗ trợ lên đến sáu cổng 10/100 Ethernet, còn bổ sung cả card
gia tốc VPN. Điều này cho phép cấu hình lưu lượng mạnh mẽ hơn như là thiết
lập một DMZ bảo vệ hosting một website hoặc thực hiện lọc URL và phát hiện
virus. PIX Firewall 515 có thể được lắp đặt một cách linh động, nó có 16MB bộ
nhớ flash và sử dụng TFTP để download và cập nhật image
13
Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
- Chapter 3: cisco pix firewall models and features
PIX Firewall 520 dành cho các doanh nghiệp có cơ cấu tổ chức lớn và phức tạp,
có lưu lượng truyền thông lớn. Nó cũng đưa ra cơ chế bảo mật đầy đủ, nó còn
cung cấp thêm tính năng VPN IPsec cùng với sự thực thi đầy đủ của chuẩn Ipsec.
PIX Firewall 520 có một thiết kế khung dành cho doanh nghiệp, rất linh động, sử
dụng ổ đĩa mềm 3.5 inch để tải và cập nhật image. Nó có 16Mb bộ nhớ Flash,
chạy phần mềm phiên bản 5.2 hoặc cao hơn.
Chú ý: PIX Firewall 520 vì nó không sẵn có nên rất khó mua. Thông tin đưa ra
trong khóa học này chỉ là sự trợ giúp đối với khách hàng. Người ta khuyến cáo
nên thay thế sản phẩm này bằng PIX Firewall 525.
14
Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
- Chapter 3: cisco pix firewall models and features
PIX Firewall 525 dành cho các doanh nghiệp và các nhà cung cấp dịch vụ sử
dụng. Lý tưởng cho việc bảo vệ Headquarter’s perimeter của doanh nghiệp. PIX
Firewall 525 cũng cung cấp cơ chế bảo mật toàn diện, còn cung thêm cả tính
năng VPN IPsec
PIX Firewall 525 hỗ trợ các card mạng đa dạng. Các chuẩn card bao gồm các
cổng đơn hoặc 4 cổng 10/100 Fast Ethernet và Gigabit Ethernet (với UR license).
Với restriced licenes nó hỗ trợ 6 interface, với unrestriced licenes (UR) hỗ trợ 8
interface
PIX Firewall 525 cũng đưa ra nhiều tùy chọn về nguồn cung cấp. Bạn có thể
chọn giữa AC và 48 DC.
Chú ý: PIX Firewall 525 cũng hỗ trợ cả bộ gia tốc VPN
15
Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
- Chapter 3: cisco pix firewall models and features
PIX Firewall 535 dành cho các doanh nghiệp và các nhà cung cấp dịch vụ sử
dụng. Nó có thông lượng là 1.7 Gbps và có khả năng quản lý đồng thời 500,000
kết nối, hỗ trợ cả hai dạng ứng dụng VPN là site-to-site và remote access thông
qua 56-bit DES hoặc 168-bit 3DES. Các chức năng VPN được tích hợp trong
PIX Firewall 535 có thể được thực thi với một card gia tốc VPN, nó cung cấp
thông lượng là 96Mbps đối với 3DES và 2000 đối với đường hầm IPSec
PIX Firewall 535 hỗ trợ Fast Ethernet, Gigabit Ethernet và giao diện bộ gia tốc
VPN. Một PIX Firewall 535 chỉ được cấu hình với giao diện Gigabit Ethernet sẽ
không có khả năng nây cấp một Activation key. Nâng cấp Activation key yêu cầu
kiểm tra kiểu cho tất cả hệ thống không dùng ổ đĩa mềm. Việc kiểm tra kiểu
không hỗ trợ giao diện Gigabit Ethernet. Một giao diện Fast Ethernet cần được
cài đặt để sử dụng kiểm tra kiểu. Nếu một PIX Firewall 535 chỉ có giao diện
Gigabit Ethernet, thêm một giao diện Fast Ethernet cùng với các đơn vị sẵn có vì
thế mà Activation key có thể được nâng cấp
Chú ý: Nếu sau khi cấu hình PIX Firewall cho card Gigabit Ethernet, bạn thay
thế card này bằng card 10/100 Ethernet thì thứ tự của card trong cấu hình sẽ bị
thay đổi so với cấu hình ban đầu. Ví dụ, nếu bạn cấu hình ethernet0 cho card
Gigabit Ethernet được gán cho giao diện bên trong và thay thế card này bằng
card 10/100 Ethernet, khi đó card 10/100 Ethernet có thể cũng không xuất hiện
như là ethernet0
PIX Firewall 535 có 16MB bộ nhớ Flash và hỗ trợ các phần mềm tường lửa PIX
từ phiên bản 5.3 trở lên
16
Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
- Chapter 3: cisco pix firewall models and features
Các hệ điều hành thuộc bản quyển của Cisco nó không như UNIX hay Window
NT, nó giống như hệ điều hành IOS (hệ điều hành mạng). Nó khéo léo loại trừ
các rủi ro kết hợp với hệ điều hành đa năng. Nó cho phép PIX Firewall đưa ra
hiệu suất nổi bật với 500,000 kết nối đồng thời, lớn hơn bất kỳ một tường lửa dựa
trên nền UNIX nào.
17
Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
- Chapter 3: cisco pix firewall models and features
Cái cốt lõi của PIX Firewall đó chính là Adaptive Security Algorithm (ASA –
thuật toán an ninh thích ứng). ASA sẽ duy trì an ninh vành đai giữa các mạng
được điều khiển bởi PIX Firewall. Thiết kế stateful, connection-oriented (kết nối
được định hướng) ASA tạo ra các session flows (lưu lượng phiên) dựa trên địa
chỉ nguồn và đích. Chỉ số cổng, số thứ tự TCP được đánh một cách ngẫu nhiên
và các cờ TCP được thêm vào trước khi hoàn thành kết nối. Chức năng này luôn
được hoạt động, kiểm tra các gói tin quay trở lại để chắc chắn chúng không bị lỗi
và nó cho phép một đường kết nối (inside to outside) mà không được cấu hình
một cách rõ ràng cho mỗi một hệ thống bên trong và ứng dụng. Việc đánh số một
cách ngẫu nhiên số thứ tự gói tin TCP nhằm cực tiểu hóa rủi ro của việc tấn công
vào chỉ số thứ tự TCP.
Stateful packet filtering là một phương pháp bảo mật phân tích gói dữ liệu mà
thông tin của nó nằm rải rộng ở nhiều vị trí về gói dữ liệu sang một bảng. Vào
mỗi lúc một kết nối TCP được thiết lập cho kết nối vào và ra thông qua PIX
Firewall, thông tin về kết nối là thành phần trong bảng stateful session flow. Mỗi
một phiên được thiết lập, thông tin về kết nối cần phải được kết hợp với thông tin
lưu trữ trong bảng đó. Với hê phương pháp này, stateful filter làm việc trên kết
nối chứ không làm việc trên gói tin, làm cho nó có độ bảo mật cao hơn, các
session của nó không bị tấn công.
Giống như việc nhận dạng vân tay, stateful packet filtering
18
Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
- Chapter 3: cisco pix firewall models and features
Đạt được các chỉ số nhận dạng phiên, địa chỉ IP và các cổng cho mỗi một
kết nối TCP
Logs the data in a stateful session flow table and creates a session object
So sánh gói tin vào ra dựa trên session flow trong bảng kết nối
Chỉ cho phép gói dữ liệu đi qua PIX Firewall nếu một kết nối thích hợp
tồn tại để xác nhận tính hợp lệ của việc chuyển qua nó.
Tạm thời thiết lập một đối tượng kết nối cho đến khi kết nối kết thúc
Cut-through proxy là một phương pháp kiểm tra trong suốt ID của người sử dụng
tại firewall, nó cho phép hoặc không cho phép truy cập đến bất kỳ TCP hoặc
UDP nào dựa trên ứng dụng. Điều này cũng được biết như người sử dụng dựa
trên việc chứng thực các kết nối vào ra. Nó không giống như proxy server phân
tích tất cả các gói tin tại lớp ứng dụng trong mô hình OSI. PIX Firewall đầu tiên
là chặn người sử dụng ở tầng ứng dụng. Sau đó người sử dụng được chứng thực
và các chính sách an ninh được kiểm tra. PIX Firewall chuyển session flow đến
lớp thấp hơn trong mô hình OSI tạo ra hiệu suất nhanh lên đáng kể. Điều này cho
phép các chính sách an ninh có hiệu lực dựa trên một ID người sử dụng
Các kết nối cần được chứng thực với ID người sử dụng và mật khẩu trước khi
chúng có thể được thiết lập. ID người sử dụng và mật khẩu được nhập thông qua
HTTP, telnet hoặc kết nối FTP. Phương pháp Cut-through proxy của PIX
19
Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
- Chapter 3: cisco pix firewall models and features
Firewall cũng có tác dụng cho dịch vụ chứng thức và cấp phép của Cisco Secure
Access Control Server
Stateful failover cung cấp một kỹ thuật cho PIX Firewall để tăng cường khả năng
bảo mật bằng cách cho phép hai đơn vị giống hệt nhau đáp ứng một chức năng
chung. Đơn vị hoạt động (active unit) thực hiện chức năng an ninh thông thường
trong khi đơn vị dự phòng (standby unit) kiểm tra, sẵn sàng điều khiển khi đơn vị
hoạt động bị lỗi
Hai đơn vị cần phải chạy cùng một phiên bản phần mềm. Bản sao cấu hình sẽ
được thực thi khi dưới các tình trạng sau:
Khi đơn vị thứ hai hoàn thành việc khởi động thì đơn vị chính sẽ tạo một
bản sao toàn bộ cấu hình của nó cho đơn vị thứ hai
Khi một lệnh được nhập vào đơn vị chính thì chúng sẽ được gửi sang đơn
vị thứ hai, lệnh này được gửi thông quan cable failover
Nhập lệnh write standby trên đơn vị chính thì toàn bộ cấu hình của nó sẽ
được truyền sang đơn vị thứ hai
20
Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
nguon tai.lieu . vn