Bài giảng Xây dựng hệ thống firewall - Bài 2: Bảo mật mạng sử dụng Cisco ios firewall

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn MÔN HỌC: XÂY DỰNG HỆ THỐNG FIREWALL 1 Trường Cao đẳng Nghề CNTT iSPACE Khoa Mạng Và An Ninh Thông Tin fit@ispace.edu.vn TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Bài 1: CÁC NGUYÊN TẮC BẢO MẬT MẠNG. Bài 2: BẢO MẬT MẠNG SỬ DỤNG CISCO IOS FIREWALL Bài 3: BẢO MẬT MẠNG SỬ DỤNG CISCO IPS Bài 4: BẢO MẬT LAYER 2 Bài 5: TRIỂN KHAI HỆ THỐNG VPN TRÊN CISCO IOS MÔN HỌC: XÂY DỰNG HỆ THỐNG FIREWALL 2 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn BÀI 2: BẢO MẬT MẠNG SỬ DỤNG CISCO IOS FIREWALL Giới thiệu Cisco IOS Firewall Cấu hình Cisco IOS Firewall Câu hỏi bài tập Giới thiệu và cấu hình Cisco IOS Firewall 3 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn MỤC TIÊU BÀI HỌC Trình bày được đặc điểm của Cisco IOS Firewall. Giải thích được chiến lược phòng thủ theo từng tầng. Trình bày được các kỹ thuật Firewall. Cấu hình được Cisco IOS Firewall. Triển khai được hệ thống firewall cho doanh nghiệp dựa trên Cisco IOS Firewall. 4 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Giới thiệu Cisco IOS Firewall Tổng quan về Cisco IOS Firewall DMZ: Vùng DMZ được xây dựng giữa các vùng bảo mật. DMZ là vùng mạng đệm giữa vùng Inside và Outside. Cisco IOS Firewall là loại Firewall dựa trên router sử dụng IOS hỗ trợ tính năng Firewall 5 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Giới thiệu Cisco IOS Firewall Chiến lược phòng thủ theo từng tầng Layered Defense Features Multiple DMZs Modern DMZ Design 6 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Giới thiệu Cisco IOS Firewall Chiến lược phòng thủ theo từng tầng Layered Defense Features Access control được áp đặt trên traffic ra vào vùng mạng đệm đến các vùng bảo mật bằng cách dùng: o Classic router. o Thiết bị Firewall. 7 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Giới thiệu Cisco IOS Firewall Chiến lược phòng thủ theo từng tầng DMZ/Multiple DMZ : Publish những dịch vụ dùng chung ở trong vùng đệm để cho phép vùng ngoài truy cập. DMZ có thể host 1 cổng ứng dụng cho kết nối ra ngoài. Hạn chế những mối nguy hại và giữ chân kẻ tấn công nếu 1 dịch vụ nào đó bị sự cố do tấn công. 8 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Giới thiệu Cisco IOS Firewall Chiến lược phòng thủ theo từng tầng Multiple DMZ Multiple DMZs tạo sự phân chia và quản lý truy cập tốt hơn: o Mỗi dịch vụ có thể được lưu trữ ở 1 vùng DMZ riêng biệt. o Hạn chế những mối nguy hại và giữ chân kẻ tấn công nếu 1 dịch vụ nào đó bị sự cố do tấn công. Three Separate DMZs 9 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Giới thiệu Cisco IOS Firewall Chiến lược phòng thủ theo từng tầng Redundancy DMZ Design Những hệ thống khác nhau (1 bộ lọc gói dạng stateful hay 1 proxy server) đều có thể lọc traffic. Thiết bị bộ lọc có cấu hình thích hợp là cách thức phòng thủ hữu hiệu. 10 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Giới thiệu Cisco IOS Firewall Chiến lược phòng thủ theo từng tầng Modern DMZ Design Traffic flows on private VLANs: •RED and YELLOW can communicate with BLUE •RED and YELLOW cannot communicate with each other Secondary VLANs Primary VLANs 11 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Giới thiệu Cisco IOS Firewall Chiến lược phòng thủ theo từng tầng Modern DMZ Design Promiscuous Port Promiscuous Port Secondary VLAN Ports Host 1 (FTP) Host 2 (HTTP) Host 3 (Admin) 12 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Giới thiệu Cisco IOS Firewall Firewall Technologies: Firewall sử dụng 3 kỹ thuật: Packet filtering Application layer gateway (ALG) Stateful packet filtering 13 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Giới thiệu Cisco IOS Firewall Firewall Technologies Packet Filtering Packet filtering giúp hạn chế traffic trong mạng dựa vào các thông tin như: địa chỉ nguồn và đích, port, flag và được đưa vào trong ACL. 14 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Giới thiệu Cisco IOS Firewall Firewall Technologies Ví dụ Packet Filtering Router(config)# access-list 100 permit tcp any 16.1.1.0 0.0.0.255 established Router(config)# access-list 100 deny ip any any log Router(config)# interface Serial0/0 Router(config-if)# ip access-group 100 in Router(config-if)# end 15 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Giới thiệu Cisco IOS Firewall Firewall Technologies Application Layer Gateway The ALG phân chia và thiết lập kết nối đến Internet thay cho client. 16 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Giới thiệu Cisco IOS Firewall Firewall Technologies ALG Firewall Device 17 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Giới thiệu Cisco IOS Firewall Firewall Technologies Stateful Packet Filtering Stateless ACLs lọc traffic dựa trên địa chỉ IP nguồn và đích, các port TCP and UDP, TCP flag, và loại ICMP và mã code. Stateful kiểm tra và ghi nhớ chính xác các chi tiết, hay trạng thái của các yêu cầu. 18 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Giới thiệu Cisco IOS Firewall Firewall Technologies Stateful Packet Filtering Stateful packet filter còn gọi là stateful firewall hay application-aware packet filter. Stateful firewall có 2 cải tiến mới: o Duy trì 1 bảng session (state table) để ghi nhận tất cả kết nối. o Nhận dạng các ứng dụng động và biết loại kết nối thêm nào sẽ được thiết lập giữa các điểm đầu cuối. Stateful firewall kiểm tra mỗi packet, so sánh packet dựa vào bảng state table, và có thể kiểm tra gói tin trong quá trình thương thuyết của các protocol. Stateful firewall hoạt động chính ở tầng 4 (TCP and UDP). 19 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Giới thiệu Cisco IOS Firewall Firewall Technologies Stateful Packet Filtering Example 20 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Giới thiệu Cisco IOS Firewall Stateful Firewall Operation Stateful Packet Filter và cách xử lý các loại giao thức TCP Session – Dễ dàng ghi nhận kết nối TCP (kiểm tra field flow information TCP sequence number dựa vào entry trong state table). UDP Connection – Không có field flag hay sequence number nên khó ghi nhận chi tiết. – Chỉ kiểm tra dựa trên field flow information, field timeout được sử dụng để xóa các entry trong state table. Các dịch vụ Connectionless khác (GRE, IPsec) – Xử lý như 1 stateless packet filter. Dynamic Application – Được xử lý tự động bằng cách tìm trên các kênh đàm phán ứng dụng. 21 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Giới thiệu Cisco IOS Firewall Giới thiệu Cisco IOS Firewall Feature Set Cisco IOS Firewall Cisco IOS Firewall Authentication Proxy Cisco IOS Firewall IPS Cisco IPS Signature Actions Cisco IOS ACLs Revisited 22 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Giới thiệu Cisco IOS Firewall Giới thiệu Cisco IOS Firewall Feature Set Cisco IOS Firewall Các gói tin sẽ được Cisco IOS Firewall kiểm tra nếu gói tin không bị ngăn cấm bởi ACL. Cisco IOS Firewall cho phép hay ngăn cấm traffic TCP hay UDP xác định đi qua. Cisco IOS Firewall xây dựng bảng state table để duy trì thông tin session. ACL được tạo hay xóa một cách linh hoạt. Cisco IOS Firewall ngăn chặn kiểu tấn công DoS. 23 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Giới thiệu Cisco IOS Firewall Giới thiệu Cisco IOS Firewall Feature Set Cisco IOS Firewall Authentication Proxy Chứng thực HTTP, HTTPS, FTP, và Telnet. Cung cấp cơ chế chứng thực linh hoạt, chứng thực user và xác thực qua các giao thức TACACS+ và RADIUS. 24 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Giới thiệu Cisco IOS Firewall Giới thiệu Cisco IOS Firewall Feature Set Cisco IOS Firewall IPS Là 1 bộ tìm kiếm và ngăn chặn xâm nhập. Khi kẻ tấn công được phát hiện, bộ tìm kiếm có thể thực thi những hành động sau: o Alarm: gửi 1 cảnh báo đến SDM hoặc syslog server. o Drop: hủy bỏ gói tin. o Reset: gửi tín hiệu TCP reset để kết thúc session. o Block: khóa IP kẻ tấn công hoặc session trong thời gian xác định. Nhận biết hơn 700 kiểu tấn công phổ biến. 25 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Giới thiệu Cisco IOS Firewall Giới thiệu Cisco IOS Firewall Feature Set Cisco IPS Signature Actions Action Description Alarm Đưa ra cảnh báo và có thể ghi nhận vào file log trong logging destination hoặc qua Security Device Event Exchange (SDEE) Drop Hủy bỏ the packet Reset Thiết lập lại kết nốiTCP bằng cách gửi gói tin TCP RST đến cả bên gửi và bên nhận. Block attacker Khóa tất cả truyền thông từ địa chỉ IP của kẻ tấn công trong thời gian xác định. Block connection Khóa sessionTCP hoặcUDP của kẻ tấn công trong thời gian xác định 26 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Giới thiệu Cisco IOS Firewall Giới thiệu Cisco IOS Firewall Feature Set Cisco IOS ACLs Revisited ACL cung cấp bộ lọc traffic theo những tiêu chuẩn sau: o Theo địa chỉ IP nguồn và đích. o Theo port nguồn và đích. ACL có thể được sử dụng để triển khai 1 bộ lọc firewall, tuy nhiên sẽ có 1 số hạn chế sau: Các port phải được mở cố định để cho phép traffic, tạo ra 1 cơ hội để tấn công. Các ACL không hoạt động với những ứng dụng có quá trình thương thuyết port linh động. Cisco IOS Firewall sẽ khắc phục những hạn chế của các ACL. 27 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Giới thiệu Cisco IOS Firewall Cisco IOS Firewall Functions Cisco IOS Firewall TCP Handling Cisco IOS Firewall UDP Handling 28 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Giới thiệu Cisco IOS Firewall Cisco IOS Firewall Functions Cisco IOS Firewall TCP Handling 29 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Giới thiệu Cisco IOS Firewall Cisco IOS Firewall Functions Cisco IOS Firewall UDP Handling 30 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Giới thiệu Cisco IOS Firewall Cisco IOS Firewall Process Cách thức hoạt động của Cisco IOS Firewall 31 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Giới thiệu Cisco IOS Firewall Cisco IOS Firewall Process Cách thức hoạt động của Cisco IOS Firewall 32 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Giới thiệu Cisco IOS Firewall Cisco IOS Firewall Process Timeout and Threshold Value Value Description Timeout values for TCP and UDP sessions • Giúp ngăn chặn kiểu tấn công DoS bằng cách giải phóng tài nguyên hệ thống. Timeout có thể được thiết lập riêng cho TCP và UDP. Threshold values for TCP sessions • Giúp ngăn chặn tấn công DoS bằng cách quản lý số session đóng hờ (half-open) và giới hạn số lượng tài nguyên hệ thống sử dụng cho session đóng hờ đó. • Khi 1 session bị hủy, firewall sẽ gửi 1 thông điệp reset đến tất cả thiết bị tại các điểm đầu cuối của session. • Khi hệ thống đang bị tấn công nhận được lệnh reset thì các tài nguyên, tiến trình của hệ thống sẽ được giải phóng. • Thresholds chỉ có thể cấu hình cho TCP. 33 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Giới thiệu Cisco IOS Firewall Cisco IOS Firewall Process Supported Protocol Ngoại trừ các giao thức tầng ứng dụng, Cisco IOS Firewall sẽ kiểm tra: o Tất cả TCP session o Tất cả UDP connection. Sự kiểm tra thông tin trạng thái nâng cao của các giao thức lớp ứng dụng. X Yêu cầu truy cập từ Internet đi vào bị khóa. Yêu cầu đến Internet và hồi đáp từ Internet được cho phép 34 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Giới thiệu Cisco IOS Firewall Cisco IOS Firewall Process Alerts và Audit Trails Cisco IOS Firewall đưa ra các cảnh báo thời gian thực và giám sát các dấu vết. Tính năng Audit trail sử dụng syslog để ghi nhận tất cả nhật ký mạng. Với các luật kiểm tra trong Cisco IOS Firewall, bạn có thể cấu hình các thông tin cảnh báo và giám sát dấu vết trên 1 giao thức ứng dụng cơ bản. 35 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Cisco IOS Firewall Tổng quan cấu hình IOS Firewall Cấu hình Cisco IOS Firewall sử dụng command line Cách sử dụng Basic và Advanced Firewall Configuration Wizard trong SDM Cách cấu hình Basic Firewall sử dụng SDM Cấu hình một DMZ trên Advanced Firewall Cấu hình inspection rules Theo dõi hoạt động và các thiết lập của Firewall. Giới thiệu cấu hình Cisco IOS dùng CLI và SDM 36 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Cisco IOS Firewall Cấu hình Cisco IOS Firewall bằng CLI Các bước cấu hình Cisco IOS Firewall bằng CLI Bước 1: Xác định interface: internal và external Bước 2: Cấu hình IP ACLs trên Interface Bước 3: Định nghĩa inspection rule Bước 4: Áp dụng inspection rule và ACLs lên Interface Bước 5: Kiểm tra kết quả 37 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Router(config)#logging on Router(config)#logging host 10.0.0.3 Router(config)#ip inspect audit-trail Router(config)#no ip inspect alert-off • Cho phép chuyển thông điệp audit trail sử dụng syslog • Cho phép real-time alert no ip inspect alert-off Router(config)# ip inspect audit-trail Router(config)# Cấu hình Cisco IOS Firewall bằng CLI Thiết lập Audit Trails và Alerts Cấu hình Cisco IOS Firewall 38 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn ip inspect name inspection-name protocol [alert {on|off}] [audit-trail {on|off}] [timeout seconds] • Xác định giao thức ứng dụng để kiểm tra: • Những thông tin được áp đặt trên 1 interface: – Các giao thức có giá trị như tcp, udp, icmp, smtp, esmtp, cuseeme, ftp, ftps, http, h323, netshow, rcmd, realaudio, rpc, rtsp, sip, skinny, sqlnet, tftp, vdolive – Alert, audit-trail, và timeout là những giao thức có thể cấu hình tùy chọn. Router(config)# Router(config)#ip inspect name FWRULE smtp alert on audit-trail on timeout 300 Router(config)#ip inspect name FWRULE ftp alert on audit-trail on timeout 300 Cấu hình Cisco IOS Firewall bằng CLI Inspection Rules cho các giao thức tầng ứng dụng Cấu hình Cisco IOS Firewall 39 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Cisco IOS Firewall Cấu hình Cisco IOS Firewall bằng CLI Inspection Rules cho các giao thức tầng ứng dụng 40 Parameter Description inspection- name Tên thiết lập của luật kiểm tra. Nếu không muốn thêm giao thức vào luật đã có, ta sử dụng cùng inspection name cho luật đó. protocol Giao thức để kiểm tra. alert {on | off} (Tủy chọn) Với mỗi giao thức được kiểm tra, thông điệp alert có thể được thiết lập on hay off. Nếu thông số này không được cấu hình thì ta có thể đưa ra thông điệp alert bằng lệnh ip inspect alert-off. audit-trail {on | off} (Tùy chọn) Với mỗi giao thức được kiểm tra, thông số audit- trail có thể được thiết lập on hay off. Nếu thông số này không được cấu hình thì ta có thể đưa ra thông điệp audit trail bằng lệnh ip inspect audit-trail. timeout seconds (Tùy chọn) Xác định số giây cho thời gian chờ timeout khác nhau của giao thức TCP hay UDP. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Cisco IOS Firewall ip inspect name PERMIT_JAVA http java-list 10 access-list 10 permit 144.224.10.0 0.0.0.255 access-list 10 any Ví dụ 1: User trên access list 10 được cho phép download Java applets: ip inspect name in2out rcmd ip inspect name in2out ftp ip inspect name in2out tftp ip inspect name in2out tcp timeout 43200 ip inspect name in2out http ip inspect name in2out udp Ví dụ 2: Cho Cisco IOS Firewall biết cần kiểm tra những thông tin gì : Cấu hình Cisco IOS Firewall bằng CLI Áp dụng Inspection Rule cho Interface 41 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn 42 Cấu hình Cisco IOS Firewall bằng CLI Hướng dẫn áp dụng Inspection Rules và ACLs cho Interfaces Parameter Description inspection-name Tên thiết lập của inspection rule in Áp đặt inspection rule cho traffic đi vào out Áp đặt inspection rule cho traffic đi ra Trên interface có traffic đi qua: o Áp đặt ACL cho traffic được phép theo hướng vào trong. o Áp đặt rule cho traffic được phép theo hướng vào trong. Trên các interface còn lại, áp đặt ACL cho traffic ngăn cấm theo hướng vào trong. ip inspect inspection-name {in | out} • Đặt tên inspection rule cho interface Router(config-if)# Cấu hình Cisco IOS Firewall TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Cisco IOS Firewall Cấu hình Cisco IOS Firewall bằng CLI Ví dụ: Two-Interface Firewall ip inspect name OUTBOUND tcp ip inspect name OUTBOUND udp ip inspect name OUTBOUND icmp ! interface FastEthernet0/0 ip access-group OUTSIDEACL in ! interface FastEthernet0/1 ip inspect OUTBOUND in ip access-group INSIDEACL in ! ip access-list extended OUTSIDEACL permit icmp any any packet-too-big deny ip any any log ! ip access-list extended INSIDEACL permit tcp any any permit udp any any permit icmp any any 43 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Cisco IOS Firewall Cấu hình Cisco IOS Firewall bằng CLI Ví dụ: Three-Interface Firewall interface FastEthernet0/0 ip inspect OUTSIDE in ip access-group OUTSIDEACL in ! interface FastEthernet0/1 ip inspect INSIDE in ip access-group INSIDEACL in ! interface FastEthernet0/2 ip access-group DMZACL in ! ip inspect name INSIDE tcp ip inspect name OUTSIDE tcp ! ip access-list extended OUTSIDEACL permit tcp any host 200.1.2.1 eq 25 permit tcp any host 200.1.2.2 eq 80 permit icmp any any packet-too-big deny ip any any log ! ip access-list extended INSIDEACL permit tcp any any eq 80 permit icmp any any packet-too-big deny ip any any log ! ip access-list extended DMZACL permit icmp any any packet-too-big deny ip any any log 44 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn show ip inspect name inspection-name show ip inspect config show ip inspect interfaces show ip inspect session [detail] show ip inspect statistics show ip inspect all • Hiển thị inspection, cấu hình interface, sessions, and statistics Router#show ip inspect session Established Sessions Session 6155930C (10.0.0.3:35009)=>(172.30.0.50:34233) tcp SIS_OPEN Session 6156F0CC (10.0.0.3:35011)=>(172.30.0.50:34234) tcp SIS_OPEN Session 6156AF74 (10.0.0.3:35010)=>(172.30.0.50:5002) tcp SIS_OPEN Router# Cấu hình Cisco IOS Firewall bằng CLI Kiểm tra Cisco IOS Firewall Cấu hình Cisco IOS Firewall 45 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn debug ip inspect function-trace debug ip inspect object-creation debug ip inspect object-deletion debug ip inspect events debug ip inspect timers debug ip inspect detail • General debug commands debug ip inspect protocol • Protocol-specific debug Router# Router# Cấu hình Cisco IOS Firewall bằng CLI Khắc phục lỗi Cisco IOS Firewall Cấu hình Cisco IOS Firewall 46 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Cisco IOS Firewall Basic and Advanced Firewall Wizards Có 2 loại cấu hình wizard: Basic Firewall Configuration wizard: o Hỗ trợ 2 loại interface (inside and outside) o Áp dụng rule có sẵn Advanced Firewall Configuration wizard: o Hỗ trợ nhiều interface hơn (Inside, Outside, and DMZ) o Áp dụng rule có sẵn và rule tạo mới 47 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Cisco IOS Firewall Cấu hình Basic Firewall Cấu hình Basic Firewall Interface Triển khai cấu hình Basic Firewall Reviewing the Basic Firewall for the Originating Traffic Reviewing the Basic Firewall for the Returning Traffic Kiểm tra kết quả cấu hình Basic Firewall Inspection Rule Kiểm tra kết quả cấu hình Basic Firewall ACL Kiểm tra kết quả cấu hình Basic Firewall Interface 48 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Cisco IOS Firewall Cấu hình Basic Firewall Cấu hình Basic Firewall Interface 1 2 3 4 49 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Cisco IOS Firewall Cấu hình Basic Firewall Triển khai cấu hình Basic Firewall 50 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Cisco IOS Firewall Cấu hình Basic Firewall Triển khai cấu hình Basic Firewall 51 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Cisco IOS Firewall Cấu hình Basic Firewall Reviewing the Basic Firewall for the Originating Traffic 52 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Cisco IOS Firewall Cấu hình Basic Firewall Reviewing the Basic Firewall for the Returning Traffic 53 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Cisco IOS Firewall Cấu hình Basic Firewall Kiểm tra kết quả cấu hình Basic Firewall Inspection Rule Router#show running-config | include ip inspect name ip inspect name SDM_LOW cuseeme ip inspect name SDM_LOW dns ip inspect name SDM_LOW ftp ip inspect name SDM_LOW h323 ip inspect name SDM_LOW https ip inspect name SDM_LOW icmp ip inspect name SDM_LOW imap ip inspect name SDM_LOW pop3 ip inspect name SDM_LOW netshow ip inspect name SDM_LOW rcmd ip inspect name SDM_LOW realaudio ip inspect name SDM_LOW rtsp ip inspect name SDM_LOW esmtp ip inspect name SDM_LOW sqlnet ip inspect name SDM_LOW streamworks ip inspect name SDM_LOW tftp ip inspect name SDM_LOW tcp ip inspect name SDM_LOW udp ip inspect name SDM_LOW vdolive 54 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Cisco IOS Firewall Cấu hình Basic Firewall Kiểm tra kết quả cấu hình Basic Firewall ACL Router#show running-config | include access-list access-list 100 remark autogenerated by SDM firewall configuration access-list 100 remark SDM_ACL Category=1 access-list 100 deny ip 200.0.0.0 0.0.0.3 any access-list 100 deny ip host 255.255.255.255 any access-list 100 deny ip 127.0.0.0 0.255.255.255 any access-list 100 permit ip any any access-list 101 remark autogenerated by SDM firewall configuration access-list 101 remark SDM_ACL Category=1 access-list 101 deny ip 10.1.1.0 0.0.0.255 any access-list 101 permit icmp any host 200.0.0.1 echo-reply access-list 101 permit icmp any host 200.0.0.1 time-exceeded access-list 101 permit icmp any host 200.0.0.1 unreachable access-list 101 deny ip 10.0.0.0 0.255.255.255 any access-list 101 deny ip 172.16.0.0 0.15.255.255 any access-list 101 deny ip 192.168.0.0 0.0.255.255 any access-list 101 deny ip 127.0.0.0 0.255.255.255 any access-list 101 deny ip host 255.255.255.255 any access-list 101 deny ip host 0.0.0.0 any access-list 101 deny ip any any log 55 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Cisco IOS Firewall Cấu hình Basic Firewall Kiểm tra kết quả cấu hình Basic Firewall Interface Router#show running-config | begin interface interface FastEthernet0/0 description $FW_INSIDE$ ip address 10.1.1.1 255.255.255.0 ip access-group 100 in ! interface Serial0/0/0 description $FW_OUTSIDE$ ip address 200.0.0.1 255.255.255.252 ip access-group 101 in ip verify unicast reverse-path ip inspect SDM_LOW out ! 56 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Cisco IOS Firewall Cấu hình Interfaces trên Advanced Firewall Cấu hình Advanced Firewall Interface 2 3 4 1 57 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Cisco IOS Firewall Cấu hình vùng DMZ trên Advanced Firewall 58 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Cisco IOS Firewall Cấu hình vùng DMZ trên Advanced Firewall 59 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Cisco IOS Firewall Cấu hình vùng DMZ trên Advanced Firewall Advanced Firewall DMZ Service Configuration: TCP 60 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Cisco IOS Firewall Cấu hình vùng DMZ trên Advanced Firewall Advanced Firewall DMZ Service Configuration: UDP 61 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Cisco IOS Firewall Cấu hình tính năng bảo mật trên Advanced Firewall Advanced Firewall Protocols và Applications Advanced Firewall Inspection Parameters Lựa chọn Advanced Firewall Security Policy 62 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Cisco IOS Firewall Cấu hình tính năng bảo mật trên Advanced Firewall Advanced Firewall Protocols và Applications 63 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Cisco IOS Firewall Cấu hình tính năng bảo mật trên Advanced Firewall Advanced Firewall Protocols và Applications 64 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Cisco IOS Firewall Cấu hình tính năng bảo mật trên Advanced Firewall Advanced Firewall Protocols và Applications 65 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Cisco IOS Firewall Cấu hình tính năng bảo mật trên Advanced Firewall Advanced Firewall Inspection Parameters 66 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Cisco IOS Firewall Cấu hình tính năng bảo mật trên Advanced Firewall Lựa chọn Advanced Firewall Security Policy 67 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Cisco IOS Firewall Cấu hình tính năng bảo mật trên Advanced Firewall Lựa chọn Advanced Firewall Security Policy 68 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Cisco IOS Firewall Hoàn tất cấu hình Advanced Firewall Kiểm tra kết quả cấu hình Advanced Firewall Inspection Rule Kiểm tra kết quả cấu hình Advanced Firewall ACL Kiểm tra kết quả cấu hình Advanced Firewall Interface 69 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Cisco IOS Firewall Hoàn tất cấu hình Advanced Firewall Kiểm tra kết quả cấu hình Advanced Firewall Inspection Rule Router#show running-config | include ip inspect name ip inspect name appfw_100 tcp audit-trail on ip inspect name appfw_100 udp ip inspect name appfw_100 ftp ip inspect name dmzinspect tcp ip inspect name dmzinspect udp 70 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Cisco IOS Firewall Hoàn tất cấu hình Advanced Firewall Kiểm tra kết quả cấu hình Advanced Firewall ACL Router#show running-config | include access-list access-list 100 remark autogenerated by SDM firewall configuration access-list 100 remark SDM_ACL Category=1 access-list 100 deny ip 200.0.0.0 0.0.0.3 any access-list 100 deny ip 192.168.0.0 0.0.0.255 any access-list 100 deny ip host 255.255.255.255 any access-list 100 deny ip 127.0.0.0 0.255.255.255 any access-list 100 permit ip any any access-list 101 remark autogenerated by SDM firewall configuration access-list 101 remark SDM_ACL Category=1 access-list 101 deny ip any any log access-list 102 remark autogenerated by SDM firewall configuration access-list 102 remark SDM_ACL Category=1 access-list 102 deny ip 192.168.0.0 0.0.0.255 any access-list 102 deny ip 10.1.1.0 0.0.0.255 any access-list 102 permit icmp any host 200.0.0.1echo-reply access-list 102 permit icmp any host 200.0.0.1 time-exceeded access-list 102 permit icmp any host 200.0.0.1 unreachable access-list 102 permit tcp any host 192.168.0.2 eq www access-list 102 permit udp any host 192.168.0.3 eq isakmp access-list 102 deny ip 10.0.0.0 0.255.255.255 any access-list 102 deny ip 172.16.0.0 0.15.255.255 any access-list 102 deny ip 192.168.0.0 0.0.255.255 any access-list 102 deny ip 127.0.0.0 0.255.255.255 any access-list 102 deny ip host 255.255.255.255 any access-list 102 deny ip host 0.0.0.0 any access-list 102 deny ip any any log 71 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Cisco IOS Firewall Hoàn tất cấu hình Advanced Firewall Kiểm tra kết quả cấu hình Advanced Firewall Interface Router#show running-config | begin interface interface FastEthernet0/0 description $FW_INSIDE$ ip address 10.1.1.1 255.255.255.0 ip access-group 100 in ip inspect appfw_100 in ! interface FastEthernet0/1 description $FW_DMZ$ ip address 192.168.0.1 255.255.255.0 ip access-group 101 in ip inspect dmzinspect out ! interface Serial0/0/0 description $FW_OUTSIDE$ ip address 200.0.0.1 255.255.255.252 ip access-group 102 in ip verify unicast reverse-path ! 72 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Cisco IOS Firewall Xem xét hoạt động của Firewall Xem Firewall Log 73 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Cisco IOS Firewall Xem xét hoạt động của Firewall Xem Firewall Log 1 2 74 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Câu hỏi bài tập Trình bày đặc điểm của Cisco IOS Firewall. Giải thích chiến lược phòng thủ theo từng tầng. Trình bày các kỹ thuật Firewall. Các cách cấu hình Cisco IOS Firewall. Triển khai hệ thống firewall cho doanh nghiệp dựa trên Cisco IOS Firewall. 75 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn TÓM LƯỢC BÀI HỌC Kỹ thuật bảo mật phòng thủ theo từng tầng. Triển khai tính năng CBAC. Triển khai Firewall với Cisco IOS Firewall Kết luận: Bài học này rất hay giúp SV hình dung được cách xây dựng hệ thống phòng thủ theo từng tầng. Ứng dụng bài học vào thực tiễn xây dựng hệ thống Firewall với Cisco IOS Firewall bảo mật cho hệ thống mạng DN. 76 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn HỎI - ĐÁP 77 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Mở rộng. Các loại Firewall. 78 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Mở rộng. Các loại Firewall. 79 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Mở rộng. Các loại Firewall. 80 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Mở rộng. Các loại Firewall. 81 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Mở rộng. Các loại Firewall. 82 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Mở rộng. Các loại Firewall. 83 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Mở rộng. Các loại Firewall. 84 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Mở rộng. Các loại Firewall. 85 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Mở rộng. Các loại Firewall. 86 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Mở rộng. Các loại Firewall. 87 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Mở rộng. Các loại Firewall. 88 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Mở rộng. Các loại Firewall. 89