Bài giảng Xây dựng hệ thống firewall - Bài 2: Bảo mật mạng sử dụng Cisco ios firewall
TÓM LƯỢC BÀI HỌC
Kỹ thuật bảo mật phòng thủ theo từng tầng.
Triển khai tính năng CBAC.
Triển khai Firewall với Cisco IOS Firewall
Kết luận:
Bài học này rất hay giúp SV hình dung được cách xây dựng hệ thống
phòng thủ theo từng tầng.
Ưng dụng bài học vào thực tiễn xây dựng hệ thống Firewall với Cisco
IOS Firewall bảo mật cho hệ thống mạng DN.
89 trang |
Chia sẻ: vutrong32 | Lượt xem: 1150 | Lượt tải: 0
Bạn đang xem trước 20 trang tài liệu Bài giảng Xây dựng hệ thống firewall - Bài 2: Bảo mật mạng sử dụng Cisco ios firewall, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
MÔN HỌC: XÂY DỰNG HỆ THỐNG
FIREWALL
1
Trường Cao đẳng Nghề CNTT iSPACE
Khoa Mạng Và An Ninh Thông Tin
fit@ispace.edu.vn
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Bài 1: CÁC NGUYÊN TẮC BẢO MẬT MẠNG.
Bài 2: BẢO MẬT MẠNG SỬ DỤNG CISCO IOS FIREWALL
Bài 3: BẢO MẬT MẠNG SỬ DỤNG CISCO IPS
Bài 4: BẢO MẬT LAYER 2
Bài 5: TRIỂN KHAI HỆ THỐNG VPN TRÊN CISCO IOS
MÔN HỌC: XÂY DỰNG HỆ THỐNG
FIREWALL
2
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
BÀI 2: BẢO MẬT MẠNG SỬ DỤNG
CISCO IOS FIREWALL
Giới thiệu Cisco IOS Firewall
Cấu hình Cisco IOS Firewall
Câu hỏi bài tập
Giới thiệu và cấu hình Cisco IOS Firewall
3
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
MỤC TIÊU BÀI HỌC
Trình bày được đặc điểm của Cisco IOS Firewall.
Giải thích được chiến lược phòng thủ theo từng tầng.
Trình bày được các kỹ thuật Firewall.
Cấu hình được Cisco IOS Firewall.
Triển khai được hệ thống firewall cho doanh nghiệp dựa trên
Cisco IOS Firewall.
4
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Giới thiệu Cisco IOS Firewall
Tổng quan về Cisco IOS Firewall
DMZ:
Vùng DMZ được xây dựng giữa các vùng bảo mật.
DMZ là vùng mạng đệm giữa vùng Inside và Outside.
Cisco IOS Firewall là loại Firewall dựa trên router sử dụng IOS hỗ trợ tính
năng Firewall
5
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Giới thiệu Cisco IOS Firewall
Chiến lược phòng thủ theo từng tầng
Layered Defense Features
Multiple DMZs
Modern DMZ Design
6
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Giới thiệu Cisco IOS Firewall
Chiến lược phòng thủ theo từng tầng
Layered Defense Features
Access control được áp đặt trên traffic ra vào vùng mạng đệm đến các
vùng bảo mật bằng cách dùng:
o Classic router.
o Thiết bị Firewall.
7
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Giới thiệu Cisco IOS Firewall
Chiến lược phòng thủ theo từng tầng
DMZ/Multiple DMZ :
Publish những dịch vụ dùng chung ở trong vùng đệm để cho phép
vùng ngoài truy cập.
DMZ có thể host 1 cổng ứng dụng cho kết nối ra ngoài.
Hạn chế những mối nguy hại và giữ chân kẻ tấn công nếu 1 dịch vụ
nào đó bị sự cố do tấn công.
8
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Giới thiệu Cisco IOS Firewall
Chiến lược phòng thủ theo từng tầng
Multiple DMZ
Multiple DMZs tạo sự phân chia và quản lý truy cập tốt hơn:
o Mỗi dịch vụ có thể được lưu trữ ở 1 vùng DMZ riêng biệt.
o Hạn chế những mối nguy hại và giữ chân kẻ tấn công nếu 1 dịch
vụ nào đó bị sự cố do tấn công.
Three Separate DMZs
9
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Giới thiệu Cisco IOS Firewall
Chiến lược phòng thủ theo từng tầng
Redundancy DMZ Design
Những hệ thống khác nhau (1 bộ lọc gói dạng stateful hay 1 proxy
server) đều có thể lọc traffic.
Thiết bị bộ lọc có cấu hình thích hợp là cách thức phòng thủ hữu hiệu.
10
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Giới thiệu Cisco IOS Firewall
Chiến lược phòng thủ theo từng tầng
Modern DMZ Design
Traffic flows on private
VLANs:
•RED and YELLOW can
communicate with
BLUE
•RED and YELLOW
cannot communicate
with each other Secondary
VLANs Primary
VLANs
11
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Giới thiệu Cisco IOS Firewall
Chiến lược phòng thủ theo từng tầng
Modern DMZ Design
Promiscuous Port
Promiscuous Port
Secondary VLAN
Ports
Host 1
(FTP)
Host 2
(HTTP)
Host 3
(Admin)
12
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Giới thiệu Cisco IOS Firewall
Firewall Technologies:
Firewall sử dụng 3 kỹ thuật:
Packet filtering
Application layer gateway (ALG)
Stateful packet filtering
13
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Giới thiệu Cisco IOS Firewall
Firewall Technologies
Packet Filtering
Packet filtering giúp hạn chế traffic trong mạng dựa vào các thông tin
như: địa chỉ nguồn và đích, port, flag và được đưa vào trong ACL.
14
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Giới thiệu Cisco IOS Firewall
Firewall Technologies
Ví dụ Packet Filtering
Router(config)# access-list 100 permit tcp any 16.1.1.0
0.0.0.255 established
Router(config)# access-list 100 deny ip any any log
Router(config)# interface Serial0/0
Router(config-if)# ip access-group 100 in
Router(config-if)# end
15
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Giới thiệu Cisco IOS Firewall
Firewall Technologies
Application Layer Gateway
The ALG phân chia và thiết lập kết nối đến Internet thay cho client.
16
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Giới thiệu Cisco IOS Firewall
Firewall Technologies
ALG Firewall Device
17
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Giới thiệu Cisco IOS Firewall
Firewall Technologies
Stateful Packet Filtering
Stateless ACLs lọc traffic dựa trên địa chỉ IP nguồn và đích, các port
TCP and UDP, TCP flag, và loại ICMP và mã code.
Stateful kiểm tra và ghi nhớ chính xác các chi tiết, hay trạng thái của
các yêu cầu.
18
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Giới thiệu Cisco IOS Firewall
Firewall Technologies
Stateful Packet Filtering
Stateful packet filter còn gọi là stateful firewall hay application-aware
packet filter.
Stateful firewall có 2 cải tiến mới:
o Duy trì 1 bảng session (state table) để ghi nhận tất cả kết nối.
o Nhận dạng các ứng dụng động và biết loại kết nối thêm nào sẽ
được thiết lập giữa các điểm đầu cuối.
Stateful firewall kiểm tra mỗi packet, so sánh packet dựa vào bảng
state table, và có thể kiểm tra gói tin trong quá trình thương thuyết
của các protocol.
Stateful firewall hoạt động chính ở tầng 4 (TCP and UDP).
19
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Giới thiệu Cisco IOS Firewall
Firewall Technologies
Stateful Packet Filtering Example
20
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Giới thiệu Cisco IOS Firewall
Stateful Firewall Operation
Stateful Packet Filter và cách xử lý các loại giao thức
TCP Session – Dễ dàng ghi nhận kết nối TCP (kiểm tra field
flow information TCP sequence number dựa
vào entry trong state table).
UDP Connection – Không có field flag hay sequence number
nên khó ghi nhận chi tiết.
– Chỉ kiểm tra dựa trên field flow information,
field timeout được sử dụng để xóa các
entry trong state table.
Các dịch vụ
Connectionless khác
(GRE, IPsec)
– Xử lý như 1 stateless packet filter.
Dynamic Application – Được xử lý tự động bằng cách tìm trên các
kênh đàm phán ứng dụng.
21
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Giới thiệu Cisco IOS Firewall
Giới thiệu Cisco IOS Firewall Feature Set
Cisco IOS Firewall
Cisco IOS Firewall Authentication Proxy
Cisco IOS Firewall IPS
Cisco IPS Signature Actions
Cisco IOS ACLs Revisited
22
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Giới thiệu Cisco IOS Firewall
Giới thiệu Cisco IOS Firewall Feature Set
Cisco IOS Firewall
Các gói tin sẽ được Cisco IOS Firewall kiểm tra nếu gói tin không bị
ngăn cấm bởi ACL.
Cisco IOS Firewall cho phép hay ngăn cấm traffic TCP hay UDP xác
định đi qua.
Cisco IOS Firewall xây dựng bảng state table để duy trì thông tin
session.
ACL được tạo hay xóa một cách linh hoạt.
Cisco IOS Firewall ngăn chặn kiểu tấn công DoS.
23
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Giới thiệu Cisco IOS Firewall
Giới thiệu Cisco IOS Firewall Feature Set
Cisco IOS Firewall Authentication Proxy
Chứng thực HTTP, HTTPS, FTP, và Telnet.
Cung cấp cơ chế chứng thực linh hoạt, chứng thực user và xác thực
qua các giao thức TACACS+ và RADIUS.
24
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Giới thiệu Cisco IOS Firewall
Giới thiệu Cisco IOS Firewall Feature Set
Cisco IOS Firewall IPS
Là 1 bộ tìm kiếm và ngăn chặn xâm nhập.
Khi kẻ tấn công được phát hiện, bộ tìm kiếm có thể thực thi những
hành động sau:
o Alarm: gửi 1 cảnh báo đến SDM hoặc syslog server.
o Drop: hủy bỏ gói tin.
o Reset: gửi tín hiệu TCP reset để kết thúc session.
o Block: khóa IP kẻ tấn công hoặc session trong thời gian xác định.
Nhận biết hơn 700 kiểu tấn công phổ biến.
25
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Giới thiệu Cisco IOS Firewall
Giới thiệu Cisco IOS Firewall Feature Set
Cisco IPS Signature Actions
Action Description
Alarm Đưa ra cảnh báo và có thể ghi nhận vào file
log trong logging destination hoặc qua Security
Device Event Exchange (SDEE)
Drop Hủy bỏ the packet
Reset Thiết lập lại kết nốiTCP bằng cách gửi gói tin
TCP RST đến cả bên gửi và bên nhận.
Block attacker Khóa tất cả truyền thông từ địa chỉ IP của kẻ
tấn công trong thời gian xác định.
Block connection Khóa sessionTCP hoặcUDP của kẻ tấn công
trong thời gian xác định
26
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Giới thiệu Cisco IOS Firewall
Giới thiệu Cisco IOS Firewall Feature Set
Cisco IOS ACLs Revisited
ACL cung cấp bộ lọc traffic theo những tiêu chuẩn sau:
o Theo địa chỉ IP nguồn và đích.
o Theo port nguồn và đích.
ACL có thể được sử dụng để triển khai 1 bộ lọc firewall, tuy nhiên sẽ có 1
số hạn chế sau:
Các port phải được mở cố định để cho phép traffic, tạo ra 1 cơ hội để
tấn công.
Các ACL không hoạt động với những ứng dụng có quá trình thương
thuyết port linh động.
Cisco IOS Firewall sẽ khắc phục những hạn chế của các ACL.
27
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Giới thiệu Cisco IOS Firewall
Cisco IOS Firewall Functions
Cisco IOS Firewall TCP Handling
Cisco IOS Firewall UDP Handling
28
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Giới thiệu Cisco IOS Firewall
Cisco IOS Firewall Functions
Cisco IOS Firewall TCP Handling
29
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Giới thiệu Cisco IOS Firewall
Cisco IOS Firewall Functions
Cisco IOS Firewall UDP Handling
30
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Giới thiệu Cisco IOS Firewall
Cisco IOS Firewall Process
Cách thức hoạt động của Cisco IOS Firewall
31
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Giới thiệu Cisco IOS Firewall
Cisco IOS Firewall Process
Cách thức hoạt động của Cisco IOS Firewall
32
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Giới thiệu Cisco IOS Firewall
Cisco IOS Firewall Process
Timeout and Threshold Value
Value Description
Timeout values for
TCP and UDP sessions
• Giúp ngăn chặn kiểu tấn công DoS bằng cách giải
phóng tài nguyên hệ thống. Timeout có thể được thiết lập
riêng cho TCP và UDP.
Threshold values for
TCP sessions
• Giúp ngăn chặn tấn công DoS bằng cách quản lý số
session đóng hờ (half-open) và giới hạn số lượng tài
nguyên hệ thống sử dụng cho session đóng hờ đó.
• Khi 1 session bị hủy, firewall sẽ gửi 1 thông điệp reset
đến tất cả thiết bị tại các điểm đầu cuối của session.
• Khi hệ thống đang bị tấn công nhận được lệnh reset thì
các tài nguyên, tiến trình của hệ thống sẽ được giải
phóng.
• Thresholds chỉ có thể cấu hình cho TCP.
33
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Giới thiệu Cisco IOS Firewall
Cisco IOS Firewall Process
Supported Protocol
Ngoại trừ các giao thức tầng ứng dụng, Cisco IOS Firewall sẽ kiểm tra:
o Tất cả TCP session
o Tất cả UDP connection.
Sự kiểm tra thông tin trạng thái nâng cao của các giao thức lớp ứng
dụng.
X
Yêu cầu truy cập từ
Internet đi vào bị khóa.
Yêu cầu đến Internet và hồi đáp từ
Internet được cho phép
34
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Giới thiệu Cisco IOS Firewall
Cisco IOS Firewall Process
Alerts và Audit Trails
Cisco IOS Firewall đưa ra các cảnh báo thời gian thực và giám sát các
dấu vết.
Tính năng Audit trail sử dụng syslog để ghi nhận tất cả nhật ký mạng.
Với các luật kiểm tra trong Cisco IOS Firewall, bạn có thể cấu hình các
thông tin cảnh báo và giám sát dấu vết trên 1 giao thức ứng dụng cơ
bản.
35
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Cisco IOS Firewall
Tổng quan cấu hình IOS Firewall
Cấu hình Cisco IOS Firewall sử dụng command line
Cách sử dụng Basic và Advanced Firewall Configuration Wizard
trong SDM
Cách cấu hình Basic Firewall sử dụng SDM
Cấu hình một DMZ trên Advanced Firewall
Cấu hình inspection rules
Theo dõi hoạt động và các thiết lập của Firewall.
Giới thiệu cấu hình Cisco IOS dùng CLI và SDM
36
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Cisco IOS Firewall
Cấu hình Cisco IOS Firewall bằng CLI
Các bước cấu hình Cisco IOS Firewall bằng CLI
Bước 1: Xác định interface: internal và external
Bước 2: Cấu hình IP ACLs trên Interface
Bước 3: Định nghĩa inspection rule
Bước 4: Áp dụng inspection rule và ACLs lên Interface
Bước 5: Kiểm tra kết quả
37
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Router(config)#logging on
Router(config)#logging host 10.0.0.3
Router(config)#ip inspect audit-trail
Router(config)#no ip inspect alert-off
• Cho phép chuyển thông điệp audit trail sử dụng syslog
• Cho phép real-time alert
no ip inspect alert-off
Router(config)#
ip inspect audit-trail
Router(config)#
Cấu hình Cisco IOS Firewall bằng CLI
Thiết lập Audit Trails và Alerts
Cấu hình Cisco IOS Firewall
38
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
ip inspect name inspection-name protocol [alert
{on|off}] [audit-trail {on|off}] [timeout seconds]
• Xác định giao thức ứng dụng để kiểm tra:
• Những thông tin được áp đặt trên 1 interface:
– Các giao thức có giá trị như tcp, udp, icmp, smtp, esmtp, cuseeme,
ftp, ftps, http, h323, netshow, rcmd, realaudio, rpc, rtsp, sip, skinny,
sqlnet, tftp, vdolive
– Alert, audit-trail, và timeout là những giao thức có thể cấu hình tùy
chọn.
Router(config)#
Router(config)#ip inspect name FWRULE smtp alert on audit-trail on timeout 300
Router(config)#ip inspect name FWRULE ftp alert on audit-trail on timeout 300
Cấu hình Cisco IOS Firewall bằng CLI
Inspection Rules cho các giao thức tầng ứng dụng
Cấu hình Cisco IOS Firewall
39
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Cisco IOS Firewall
Cấu hình Cisco IOS Firewall bằng CLI
Inspection Rules cho các giao thức tầng ứng dụng
40
Parameter Description
inspection-
name
Tên thiết lập của luật kiểm tra. Nếu không muốn thêm giao thức
vào luật đã có, ta sử dụng cùng inspection name cho luật đó.
protocol Giao thức để kiểm tra.
alert {on | off} (Tủy chọn) Với mỗi giao thức được kiểm tra, thông điệp alert có
thể được thiết lập on hay off. Nếu thông số này không được cấu
hình thì ta có thể đưa ra thông điệp alert bằng lệnh ip inspect
alert-off.
audit-trail {on |
off}
(Tùy chọn) Với mỗi giao thức được kiểm tra, thông số audit-
trail có thể được thiết lập on hay off. Nếu thông số này không
được cấu hình thì ta có thể đưa ra thông điệp audit trail bằng
lệnh ip inspect audit-trail.
timeout
seconds
(Tùy chọn) Xác định số giây cho thời gian chờ timeout khác nhau
của giao thức TCP hay UDP.
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Cisco IOS Firewall
ip inspect name PERMIT_JAVA http java-list 10
access-list 10 permit 144.224.10.0 0.0.0.255
access-list 10 any
Ví dụ 1:
User trên access list 10 được cho phép download Java
applets:
ip inspect name in2out rcmd
ip inspect name in2out ftp
ip inspect name in2out tftp
ip inspect name in2out tcp timeout 43200
ip inspect name in2out http
ip inspect name in2out udp
Ví dụ 2:
Cho Cisco IOS Firewall biết cần kiểm tra những thông tin gì :
Cấu hình Cisco IOS Firewall bằng CLI
Áp dụng Inspection Rule cho Interface
41
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn 42
Cấu hình Cisco IOS Firewall bằng CLI
Hướng dẫn áp dụng Inspection Rules và ACLs cho Interfaces
Parameter Description
inspection-name Tên thiết lập của inspection rule
in Áp đặt inspection rule cho traffic đi vào
out Áp đặt inspection rule cho traffic đi ra
Trên interface có traffic đi qua:
o Áp đặt ACL cho traffic được phép theo hướng vào trong.
o Áp đặt rule cho traffic được phép theo hướng vào trong.
Trên các interface còn lại, áp đặt ACL cho traffic ngăn cấm theo hướng vào
trong.
ip inspect inspection-name {in | out}
• Đặt tên inspection rule cho interface
Router(config-if)#
Cấu hình Cisco IOS Firewall
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Cisco IOS Firewall
Cấu hình Cisco IOS Firewall bằng CLI
Ví dụ: Two-Interface Firewall
ip inspect name OUTBOUND tcp
ip inspect name OUTBOUND udp
ip inspect name OUTBOUND icmp
!
interface FastEthernet0/0
ip access-group OUTSIDEACL in
!
interface FastEthernet0/1
ip inspect OUTBOUND in
ip access-group INSIDEACL in
!
ip access-list extended OUTSIDEACL
permit icmp any any packet-too-big
deny ip any any log
!
ip access-list extended INSIDEACL
permit tcp any any
permit udp any any
permit icmp any any
43
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Cisco IOS Firewall
Cấu hình Cisco IOS Firewall bằng CLI
Ví dụ: Three-Interface Firewall
interface FastEthernet0/0
ip inspect OUTSIDE in
ip access-group OUTSIDEACL in
!
interface FastEthernet0/1
ip inspect INSIDE in
ip access-group INSIDEACL in
!
interface FastEthernet0/2
ip access-group DMZACL in
!
ip inspect name INSIDE tcp
ip inspect name OUTSIDE tcp
!
ip access-list extended OUTSIDEACL
permit tcp any host 200.1.2.1 eq 25
permit tcp any host 200.1.2.2 eq 80
permit icmp any any packet-too-big
deny ip any any log
!
ip access-list extended INSIDEACL
permit tcp any any eq 80
permit icmp any any packet-too-big
deny ip any any log
!
ip access-list extended DMZACL
permit icmp any any packet-too-big
deny ip any any log
44
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
show ip inspect name inspection-name
show ip inspect config
show ip inspect interfaces
show ip inspect session [detail]
show ip inspect statistics
show ip inspect all
• Hiển thị inspection, cấu hình interface, sessions, and statistics
Router#show ip inspect session
Established Sessions
Session 6155930C (10.0.0.3:35009)=>(172.30.0.50:34233) tcp SIS_OPEN
Session 6156F0CC (10.0.0.3:35011)=>(172.30.0.50:34234) tcp SIS_OPEN
Session 6156AF74 (10.0.0.3:35010)=>(172.30.0.50:5002) tcp SIS_OPEN
Router#
Cấu hình Cisco IOS Firewall bằng CLI
Kiểm tra Cisco IOS Firewall
Cấu hình Cisco IOS Firewall
45
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
debug ip inspect function-trace
debug ip inspect object-creation
debug ip inspect object-deletion
debug ip inspect events
debug ip inspect timers
debug ip inspect detail
• General debug commands
debug ip inspect protocol
• Protocol-specific debug
Router#
Router#
Cấu hình Cisco IOS Firewall bằng CLI
Khắc phục lỗi Cisco IOS Firewall
Cấu hình Cisco IOS Firewall
46
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Cisco IOS Firewall
Basic and Advanced Firewall Wizards
Có 2 loại cấu hình wizard:
Basic Firewall Configuration wizard:
o Hỗ trợ 2 loại interface (inside and
outside)
o Áp dụng rule có sẵn
Advanced Firewall Configuration
wizard:
o Hỗ trợ nhiều interface hơn
(Inside, Outside, and DMZ)
o Áp dụng rule có sẵn và rule tạo
mới
47
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Cisco IOS Firewall
Cấu hình Basic Firewall
Cấu hình Basic Firewall Interface
Triển khai cấu hình Basic Firewall
Reviewing the Basic Firewall for the Originating Traffic
Reviewing the Basic Firewall for the Returning Traffic
Kiểm tra kết quả cấu hình Basic Firewall Inspection Rule
Kiểm tra kết quả cấu hình Basic Firewall ACL
Kiểm tra kết quả cấu hình Basic Firewall Interface
48
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Cisco IOS Firewall
Cấu hình Basic Firewall
Cấu hình Basic Firewall Interface
1
2
3
4
49
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Cisco IOS Firewall
Cấu hình Basic Firewall
Triển khai cấu hình Basic Firewall
50
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Cisco IOS Firewall
Cấu hình Basic Firewall
Triển khai cấu hình Basic Firewall
51
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Cisco IOS Firewall
Cấu hình Basic Firewall
Reviewing the Basic Firewall for the Originating Traffic
52
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Cisco IOS Firewall
Cấu hình Basic Firewall
Reviewing the Basic Firewall for the Returning Traffic
53
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Cisco IOS Firewall
Cấu hình Basic Firewall
Kiểm tra kết quả cấu hình Basic Firewall Inspection Rule
Router#show running-config | include ip inspect name
ip inspect name SDM_LOW cuseeme
ip inspect name SDM_LOW dns
ip inspect name SDM_LOW ftp
ip inspect name SDM_LOW h323
ip inspect name SDM_LOW https
ip inspect name SDM_LOW icmp
ip inspect name SDM_LOW imap
ip inspect name SDM_LOW pop3
ip inspect name SDM_LOW netshow
ip inspect name SDM_LOW rcmd
ip inspect name SDM_LOW realaudio
ip inspect name SDM_LOW rtsp
ip inspect name SDM_LOW esmtp
ip inspect name SDM_LOW sqlnet
ip inspect name SDM_LOW streamworks
ip inspect name SDM_LOW tftp
ip inspect name SDM_LOW tcp
ip inspect name SDM_LOW udp
ip inspect name SDM_LOW vdolive
54
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Cisco IOS Firewall
Cấu hình Basic Firewall
Kiểm tra kết quả cấu hình Basic Firewall ACL
Router#show running-config | include access-list
access-list 100 remark autogenerated by SDM firewall configuration
access-list 100 remark SDM_ACL Category=1
access-list 100 deny ip 200.0.0.0 0.0.0.3 any
access-list 100 deny ip host 255.255.255.255 any
access-list 100 deny ip 127.0.0.0 0.255.255.255 any
access-list 100 permit ip any any
access-list 101 remark autogenerated by SDM firewall configuration
access-list 101 remark SDM_ACL Category=1
access-list 101 deny ip 10.1.1.0 0.0.0.255 any
access-list 101 permit icmp any host 200.0.0.1 echo-reply
access-list 101 permit icmp any host 200.0.0.1 time-exceeded
access-list 101 permit icmp any host 200.0.0.1 unreachable
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 127.0.0.0 0.255.255.255 any
access-list 101 deny ip host 255.255.255.255 any
access-list 101 deny ip host 0.0.0.0 any
access-list 101 deny ip any any log
55
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Cisco IOS Firewall
Cấu hình Basic Firewall
Kiểm tra kết quả cấu hình Basic Firewall Interface
Router#show running-config | begin interface
interface FastEthernet0/0
description $FW_INSIDE$
ip address 10.1.1.1 255.255.255.0
ip access-group 100 in
!
interface Serial0/0/0
description $FW_OUTSIDE$
ip address 200.0.0.1 255.255.255.252
ip access-group 101 in
ip verify unicast reverse-path
ip inspect SDM_LOW out
!
56
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Cisco IOS Firewall
Cấu hình Interfaces trên Advanced Firewall
Cấu hình Advanced Firewall Interface
2
3
4
1
57
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Cisco IOS Firewall
Cấu hình vùng DMZ trên Advanced Firewall
58
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Cisco IOS Firewall
Cấu hình vùng DMZ trên Advanced Firewall
59
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Cisco IOS Firewall
Cấu hình vùng DMZ trên Advanced Firewall
Advanced Firewall DMZ Service Configuration: TCP
60
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Cisco IOS Firewall
Cấu hình vùng DMZ trên Advanced Firewall
Advanced Firewall DMZ Service Configuration: UDP
61
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Cisco IOS Firewall
Cấu hình tính năng bảo mật trên Advanced Firewall
Advanced Firewall Protocols và Applications
Advanced Firewall Inspection Parameters
Lựa chọn Advanced Firewall Security Policy
62
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Cisco IOS Firewall
Cấu hình tính năng bảo mật trên Advanced Firewall
Advanced Firewall Protocols và Applications
63
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Cisco IOS Firewall
Cấu hình tính năng bảo mật trên Advanced Firewall
Advanced Firewall Protocols và Applications
64
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Cisco IOS Firewall
Cấu hình tính năng bảo mật trên Advanced Firewall
Advanced Firewall Protocols và Applications
65
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Cisco IOS Firewall
Cấu hình tính năng bảo mật trên Advanced Firewall
Advanced Firewall Inspection Parameters
66
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Cisco IOS Firewall
Cấu hình tính năng bảo mật trên Advanced Firewall
Lựa chọn Advanced Firewall Security Policy
67
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Cisco IOS Firewall
Cấu hình tính năng bảo mật trên Advanced Firewall
Lựa chọn Advanced Firewall Security Policy
68
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Cisco IOS Firewall
Hoàn tất cấu hình Advanced Firewall
Kiểm tra kết quả cấu hình Advanced Firewall Inspection Rule
Kiểm tra kết quả cấu hình Advanced Firewall ACL
Kiểm tra kết quả cấu hình Advanced Firewall Interface
69
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Cisco IOS Firewall
Hoàn tất cấu hình Advanced Firewall
Kiểm tra kết quả cấu hình Advanced Firewall Inspection Rule
Router#show running-config | include ip inspect name
ip inspect name appfw_100 tcp audit-trail on
ip inspect name appfw_100 udp
ip inspect name appfw_100 ftp
ip inspect name dmzinspect tcp
ip inspect name dmzinspect udp
70
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Cisco IOS Firewall
Hoàn tất cấu hình Advanced Firewall
Kiểm tra kết quả cấu hình Advanced Firewall ACL
Router#show running-config | include access-list
access-list 100 remark autogenerated by SDM firewall configuration
access-list 100 remark SDM_ACL Category=1
access-list 100 deny ip 200.0.0.0 0.0.0.3 any
access-list 100 deny ip 192.168.0.0 0.0.0.255 any
access-list 100 deny ip host 255.255.255.255 any
access-list 100 deny ip 127.0.0.0 0.255.255.255 any
access-list 100 permit ip any any
access-list 101 remark autogenerated by SDM firewall configuration
access-list 101 remark SDM_ACL Category=1
access-list 101 deny ip any any log
access-list 102 remark autogenerated by SDM firewall configuration
access-list 102 remark SDM_ACL Category=1
access-list 102 deny ip 192.168.0.0 0.0.0.255 any
access-list 102 deny ip 10.1.1.0 0.0.0.255 any
access-list 102 permit icmp any host 200.0.0.1echo-reply
access-list 102 permit icmp any host 200.0.0.1 time-exceeded
access-list 102 permit icmp any host 200.0.0.1 unreachable
access-list 102 permit tcp any host 192.168.0.2 eq www
access-list 102 permit udp any host 192.168.0.3 eq isakmp
access-list 102 deny ip 10.0.0.0 0.255.255.255 any
access-list 102 deny ip 172.16.0.0 0.15.255.255 any
access-list 102 deny ip 192.168.0.0 0.0.255.255 any
access-list 102 deny ip 127.0.0.0 0.255.255.255 any
access-list 102 deny ip host 255.255.255.255 any
access-list 102 deny ip host 0.0.0.0 any
access-list 102 deny ip any any log
71
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Cisco IOS Firewall
Hoàn tất cấu hình Advanced Firewall
Kiểm tra kết quả cấu hình Advanced Firewall Interface
Router#show running-config | begin interface
interface FastEthernet0/0
description $FW_INSIDE$
ip address 10.1.1.1 255.255.255.0
ip access-group 100 in
ip inspect appfw_100 in
!
interface FastEthernet0/1
description $FW_DMZ$
ip address 192.168.0.1 255.255.255.0
ip access-group 101 in
ip inspect dmzinspect out
!
interface Serial0/0/0
description $FW_OUTSIDE$
ip address 200.0.0.1 255.255.255.252
ip access-group 102 in
ip verify unicast reverse-path
!
72
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Cisco IOS Firewall
Xem xét hoạt động của Firewall
Xem Firewall Log
73
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Cisco IOS Firewall
Xem xét hoạt động của Firewall
Xem Firewall Log
1
2
74
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Câu hỏi bài tập
Trình bày đặc điểm của Cisco IOS Firewall.
Giải thích chiến lược phòng thủ theo từng tầng.
Trình bày các kỹ thuật Firewall.
Các cách cấu hình Cisco IOS Firewall.
Triển khai hệ thống firewall cho doanh nghiệp dựa trên
Cisco IOS Firewall.
75
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
TÓM LƯỢC BÀI HỌC
Kỹ thuật bảo mật phòng thủ theo từng tầng.
Triển khai tính năng CBAC.
Triển khai Firewall với Cisco IOS Firewall
Kết luận:
Bài học này rất hay giúp SV hình dung được cách xây dựng hệ thống
phòng thủ theo từng tầng.
Ứng dụng bài học vào thực tiễn xây dựng hệ thống Firewall với Cisco
IOS Firewall bảo mật cho hệ thống mạng DN.
76
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
HỎI - ĐÁP
77
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Mở rộng.
Các loại Firewall.
78
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Mở rộng.
Các loại Firewall.
79
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Mở rộng.
Các loại Firewall.
80
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Mở rộng.
Các loại Firewall.
81
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Mở rộng.
Các loại Firewall.
82
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Mở rộng.
Các loại Firewall.
83
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Mở rộng.
Các loại Firewall.
84
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Mở rộng.
Các loại Firewall.
85
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Mở rộng.
Các loại Firewall.
86
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Mở rộng.
Các loại Firewall.
87
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Mở rộng.
Các loại Firewall.
88
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Mở rộng.
Các loại Firewall.
89
Các file đính kèm theo tài liệu này:
- lesson02_6776.pdf