Network Security and The Cisco PIX Firewall P4

Chia sẻ: Lac Tran | Ngày: | Loại File: PDF | Số trang:19

0
98
lượt xem
42
download

Network Security and The Cisco PIX Firewall P4

Mô tả tài liệu
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Power (nguồn) – Khi có màu sáng xanh thì thiết bị đã được bật  Link/Acc – Khi đèn sáng xanh theo từng đợt, mạng đang hoạt động (ví dụ như đang truy cập mạng chẳng hạn). Khi đèn sáng xanh thì chứng tỏ đã sử dụng đúng loại cáp, các thiết bị đã được kết nối đã bật nguồn và hoạt động. Khi đèn tắt, không có kết nối nào được thiết lập

Chủ đề:
Lưu

Nội dung Text: Network Security and The Cisco PIX Firewall P4

  1. Chapter 4: indentify the cisco pix firewall Chương 4 NHẬN DẠNG CISCO PIX FIREWALL Tổng quan Chương này bao gồm các nội dung sau: Mục tiêu  Nhận dạng PIX Firewall 501 controls, đầu nối, và LEDs  Nhận dạng PIX Firewall 506 controls, đầu nối, và LEDs  Nhận dạng PIX Firewall 515 controls, đầu nối, và LEDs  Nhận dạng PIX Firewall 520 controls, đầu nối, và LEDs  Nhận dạng PIX Firewall 525 controls, đầu nối, và LEDs  Nhận dạng PIX Firewall 535 controls, đầu nối, và LEDs Mục tiêu 1 Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
  2. Chapter 4: indentify the cisco pix firewall Nhận dạng các điều khiển và các đầu nối của PIX Firewall 501 Phần này sẽ giải thích các điều khiển và các kết nối của PIX Firewall 501  Power (nguồn) – Khi có màu sáng xanh thì thiết bị đã được bật  Link/Acc – Khi đèn sáng xanh theo từng đợt, mạng đang hoạt động (ví dụ như đang truy cập mạng chẳng hạn). Khi đèn sáng xanh thì chứng tỏ đã sử dụng đúng loại cáp, các thiết bị đã được kết nối đã bật nguồn và hoạt động. Khi đèn tắt, không có kết nối nào được thiết lập  VPN tunnel (đường hầm VPN) – khi đèn sáng xanh, một hoặc nhiều hơn đường hầm IKE/ IPSec VPN đươc thiết lập. khi đèn sáng tắt, một hoặc nhiều hơn đường hầm IKE/ IPSec VPN bị vô hiệu hóa. Nếu cấu hình chuẩn không được chỉnh sửa để hỗ trợ đường hầm VPN thì đèn LED không sáng lên được vì mặc định nó bị vô hiệu hóa Chú ý: Đèn báo hiệu đường hầm VPN không sáng lên được khi đường hầm PPTP/L2TP được thiết lập 2 Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
  3. Chapter 4: indentify the cisco pix firewall  100Mbps – Khi đèn này sáng xanh thì giao diện 100Mbps được kích hoạt (auto-negotiaed_tự động đàm phán). Khi đèn này tắt thì giao diện 10Mbps được kích hoạt Hình vẽ sau sẽ thể hiện mặt sau của PIX Firewall 501. Dưới đây là các đặc tính của PIX Firewall 501:  Cổng 10/100 switch - Các cổng này nằm trong auto-sensing (tự động phán đoán), auto-MDIX switch được sử dụng cho giao diện bên trong. Kết nối PC của bạn hoặc các thiết bị mạng khác đến một trong 4 cổng đó, được đánh số từ 1 đến 4  Cổng 10BaseT – Cổng 0, là cổng Ethernet dạng bán song công (half_duplex) cho các mạng công cộng. PIX Firewall 501 với một cái cáp Ethernet màu vàng và một cái cáp Ethernet màu cam. Sử dụng cáp màu vàng để kết nối thiết bị đến switch hoặc hub. Sử dụng cáp màu cam để kết nối thiết bị đến DSL modem, cáp modem hoặc router  Console port (cổng console) – chuẩn RS 232 (RJ-45) tốc độ 9600 baud sử dụng để kết nối một máy tính đến PIX Firewall cho hoạt động console. 3 Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
  4. Chapter 4: indentify the cisco pix firewall  Power connectior (bộ kết nối nguồn) – Sử dụng gắn dây nguồn cung cấp cho PIX Firewall, PIX Firewall 501 không có công tắc nguồn  Security lock slot  Chú ý: Khi cài đặt PIX Firewall 501, nó lên trên mặt phẳng, chắc chắn, không được di chuyển Nhận dạng các điều khiển và các đầu nối của PIX Firewall 506 Phần này sẽ giải thích các điều khiển và các đầu nối của PIX Firewall 506  Power (nguồn) – Khi PIX Firewall được bật thì đèn sẽ sáng  ACT – Khi mà software image (ảnh phần mềm) được download trên PIX Firewall 506, đèn này sẽ sáng  NETWORK (mạng) – Khi ít nhấy có một giao diện mạng có lưu lượng đang truyền qua thì đèn sẽ sáng 4 Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
  5. Chapter 4: indentify the cisco pix firewall Trên PIX Firewall 506, kết nối Ethernet 1 thuộc về mạng phía trong và Ethernet 0 thuộc về mạng phía ngoài. Sử dụng cổng console để kết nối một máy tính để nhập các câu lệnh cấu hình. Cổng USB ở phía trái của cổng console không được sử dụng. Kết nối nguồn ngay phía dưới công tắc nguồn. PIX Firewall 506 sử dụng nguồn cung cấp mở rộng từ AC đến DC  ACT – Hiển thị khi mạng hoạt động  LINK – Hiển thị dữ liệu đang chuyển qua mạng mà có đầu nối được gắn vào 5 Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
  6. Chapter 4: indentify the cisco pix firewall Nhận dạng các điều khiển và các đầu nối của PIX Firewall 515 Phần này sẽ giải thích các điều khiển và các đầu nối của PIX Firewall 515  Power (nguồn) – Khi PIX bật nguồn thì đèn này sẽ sáng  ACT – Khi PIX Firewall được sử dụng trong một cấu hình độc lập, đèn sẽ sáng. Khi PIX Firewall được cấu hình cho hoạt động failover đèn sẽ sáng trên PIX Firewall hoạt động (PIX chủ).  Network (mạng) – Đèn sẽ sáng khi có ít nhất một giao diện mạng có lưu lượng đang truyền qua 6 Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
  7. Chapter 4: indentify the cisco pix firewall Hình vẽ thể hiện mặt sau của PIX Firewall 515. Dưới đây là danh sách các đặc tính của PIX Firewall 515:  Ethernet connections (các kết nối Ethernet) – Với phần mềm phiên bản từ 5.2 hoặc cao hơn, bất cứ cổng nào dù cố định hay không hoặc một cổng PCI mở rộng, và bất kỳ một kiểu giao diện nào, FDDI, Token Ring, Fast Ethernet hoặc Gigabit Ethernet có thể được chỉ định vào cổng mạng phía trong hoặc cổng mạng phía ngoài  Console port (cổng console) – Được sử dụng để kết nối một máy tính đến PIX Firewall cho các hoạt động console  Failover connection (kết nối failover) – Được sử dụng để gắn cáp failover giữa hai PIX Firewall  100 Mbps LED – Truyền thông 100Mbps, 100-baseTX cho các đầu nối tương ứng. Nếu đèn này tắt PIX Firewall 515 tốc độ trao đổi dữ liệu là 10Mbps  LINK LED – Chỉ ra dữ liệu đang được truyền trên mạng tương ứng với đầu nối được gắn vào 7 Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
  8. Chapter 4: indentify the cisco pix firewall  FDX LED – Chỉ ra kết nối sử dụng trao đổi dữ liệu theo kiểu full duplex (song công)-dữ liệu có thể truyền và nhận đồng thời. Nếu đèn này tắt thì kết nối đang hoạt động ở chế độ half-duplex (bán song công)  Power switch – Quản lý nguồn của PIX Firewall Quad card là một phần có 4 card Ethernet. Khi bạn kết nối cáp mạng vành đai với card này thì bạn phải bắt đầu từ đầu nối phía bên trái nhất và di chuyển sang bên phải. Ví dụ, Ethernet 2 là đầu nối bên trái nhất, Ethernet 3 là đầu nối thứ 2 từ trái sang và cứ thế đến Ethernet 4 và Ethernet 5 Chú ý: Số giao diện cực đại cho phép là 6. Bất kỳ card nào được thêm vào đều không được chấp nhận 8 Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
  9. Chapter 4: indentify the cisco pix firewall Nếu PIX Firewall của bạn có một hoặc hai card Ethernet đơn được cài đặt trong auxiliary assembly (nhóm/ đơn vị hỗ trợ) ở phía trái đằng sau PIX Firewall. Card này được đánh số từ trên xuống vì thế mà card phía trên là Ethernet 2 và card phía dưới là Ethernet 3 9 Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
  10. Chapter 4: indentify the cisco pix firewall Nhận dạng các điều khiển và các đầu nối của PIX Firewall 520 Phần này sẽ giải thích về các điều khiển và các đầu nối của PIX Firewall 520 Đầu nối cáp PIX Firewall 520 nằm ở phía trước của PIX; một vài model trước đó thì nằm ở phía sau. PIX Firewall 520 hỗ trợ ổ đĩa mềm; công tắc nguồn ở mặt sau. Hai rack-unit cần đến để lắp đặt PIX Firewall. 10 Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
  11. Chapter 4: indentify the cisco pix firewall Hình vẽ này hiển thị phía trước của PIX Firewall 520 và nó thể hiện vị trí của mỗi đầu nối đơn Khi kết nối cáp với giao diện có 4 cổng đơn trên PIX Firewall, card giao diện bên ngoài cần đặt ở slot 0 – cái slot ở bên trái nhất của PIX. Card đầu tiên bên phải của giao diện bên ngoài được xem bởi PIX Firewall như là card giao diện bên trong, nó không phụ thuộc vào vị trí Chú ý: PIX Firewall hỗ trợ đến 6 giao diện 11 Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
  12. Chapter 4: indentify the cisco pix firewall Việc gán số thứ tự các giao diện được quyết định bởi quad card. Hình vẽ thể hiện quad card được cài đặt ở slot 0, slot 1 và slot 2. Chú ý sự khác nhau trong các số thứ tự đó. Trong ví dụ A thể hiện quad card được đánh số từ trên xuống dưới. Đầu nối trên cùng là giao diện bên ngoài Ví dụ B mô tả các số được thể hiện như thế nào nếu một card giao điện đơn là slot 0 còn quad card là slot 1 Ví dụ C mô tả các số được thể hiện như thế nào nếu một card giao diện đơn là slot 0 và slot 1 còn quad card là slot 2 12 Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
  13. Chapter 4: indentify the cisco pix firewall Nhận dạng các điều khiển và các đầu nối của PIX Firewall 525 Phần này sẽ giải thích về các điều khiển và các đầu nối của PIX Firewall 525 Có 2 LED ở phía trước của PIX Firewall 525, chức năng các LED được thể hiện như sau:  Power (nguồn) – Bật khi đơn vị này bật nguồn  ACT – Bật khi failover của đơn vị này được kích hoạt. Nếu có failover, đèn sẽ sáng nếu nó là đơn vị hoạt động (active unit) và nó tắt nếu là đơn vị dự phòng (standby unit) 13 Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
  14. Chapter 4: indentify the cisco pix firewall Ở phía sau PIX Firewall 525 có 3 đèn LEDs cho mỗi cổng giao diện RJ-45 và 3 kiểu đầu nối giao diện cố định. Các đèn LEDs này hiển thị các trạng thái truyền sau:  100Mbps – Truyền thông 100BaseTX, 100Mbps. Nếu đèn này tắt trong suốt quá trình mạng hoạt động, cổng đó đang sử dụng tốc độ trao đổi dữ liệu là 10Mbps  ACT – Cho biết mạng đang hoạt động  LINK – Cho biết dữ liệu đang truyền qua giao diện Dưới đây là những đầu nối cố định ở mặt sau của PIX Firewall 525  RJ-45 – Đầu nối mạng và console  DB-15 – Đầu nối cáp failover  USB – Hiện tại chưa sử dụng Các kết nối phía trong, phía ngoài hoặc mạng vành đai có thể được tạo ra từ bất cứ cổng sẵn có nào trên PIX Firewall 525. Nếu bạn chỉ sử dụng 2 cổng Ethernet 0 và Ethernet 1, kết nối cáp mạng phía trong đến đầu nối được đánh dấu là Ethernet 0 hoặc Ethernet 1 thì cáp mạng phía ngoài lúc này sẽ là cổng Ethernet còn lại. 14 Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
  15. Chapter 4: indentify the cisco pix firewall Nếu bạn cài đặt bo mạch một cách tùy chọn, danh sách các kết hợp sắn có của PIX Firewall 525 dưới đây sẽ cho bạn sự tham khảo. Tối đa 6 bo mạch có thể sử dụng với một cấp độ còn hạn chế và tối đa 8 bo mạch có thể sử dụng với một cấp độ không hạn chế Dưới đây là các tùy chọn giao diện có giới hạn (Restriced Interface Options):  3 Fast Ethernet  2 Fast Ethernet + 1 VPN Accelerator  3 Gigabit Ethernet  2 Gigabit Ethernet + 1 VPN Accelerator  1 4-Port Fast Ethernet  1 4-Port Fast Ethernet + 1 VPN Accelerator Dưới đây là các tùy chọn giao diện không giới hạn(Unrestricted Interface Options) của PIX Firewall 525:  3 Fast Ethernet  2 Fast Ethernet + 1 VPN Accelerator  3 Gigabit Ethernet  2 Gigabit Ethernet + 1 VPN Accelerator  2 Gigabit Ethernet + 1 VPN Accelerator  1 4-port Fast Ethernet  1 4-port Fast Ethernet + 2 FE  1 4-port Fast Ethernet + 2 Gigabit Ethernet  1 4-port Fast Ethernet + 1 VPN Accelerator  1 4-port Fast Ethernet + 1 VPN Accelerator + FE  1 4-port Fast Ethernet + 1 VPN Accelerator + Gigabit Ethernet Khi kết nối cáp mạng đến cổng giao diện mở rộng, sử dụng nguyên tắc sau: đầu tiên là chỉ só cổng mở rộng, tính từ bên trên-bên trái là interface 2. bắt đầu từ cồng ssod và đi từ trái sang phải và từ trên xuống dưới, tiếp theo là interface 3, tiếp theo nữa là interface 4 và cứ thế tiếp tục… 15 Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
  16. Chapter 4: indentify the cisco pix firewall Nhận dạng các điều khiển và các đầu nối của PIX Firewall 535 Phần này sẽ giải thích về các điều khiển và các đầu nối của PIX Firewall 535 Có 2 đèn LED ở mặt trước của PIX Firewall 535. Chức năng của chúng như sau:  Power (nguồn) – Bật khi PIX Firewall bật nguồn  ACT – Bật khi PIX Firewall kich hoạt failover firewall. Nếu failover hiện diện đèn sẽ sáng khi PIX Firewall kích hoạt firewall và tắt khi PIX Firewall ở chế độ dự phòng (standby mode) 16 Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
  17. Chapter 4: indentify the cisco pix firewall Có 3 buses riêng biệt cho 9 khe giao diện (interface slot) của PIX Firewall 535. Hình vẽ đưa ra tham khảo cấu hình interface slot trên PIX Firewall 535. Các slot và buses được cấu hình như sau:  Slot 0 và 1 – 64-bit/66 MHz Bus 0  Slot 2 và 3 - 64-bit/66 MHz Bus 1  Slot 4 đến 8 - 32-bit/33 MHz Bus 2 Các thực tế dưới đây cần được làm theo để có thể đạt được hiệu suất hệ thống cao nhất trên PIX Firewall 535  Card giao diện PIX-1GE-66 sẽ được cài đặt đầu tiên trong 64-bit/ 66 MHz buses trước khi chúng được cài đặt trong 32-bit/ 33 MHz buses. Nếu cần nhiều hơn 4 card PIX-1GE-66 thì chúng có thể cài đặt trên 32-bit/ 33 MHz buses nhưng với khả năng thông lượng bị hạn chế  Card PIX-1GE và PIX-1FE sẽ được cài đặt đầu tiên trước khi chúng được cài đặt trong 64-bit/66 MHz buses. Nếu cần nhiều hơn 5 card PIX-1GE và/hoặc PIX-1FE chúng có thể được cài đặt trong 64-bit/66MHz nhưng nó sẽ làm 17 Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
  18. Chapter 4: indentify the cisco pix firewall việc chậm hơn tốc độ bus và giới hạn thông lượng của bất cứ một card PIX- 1GE-66 nào được cài đặt trong bus đó Bộ điều hợp PIX-1GE Gigabit Ethernet được hỗ trợ trong PIX 535; Tuy nhiên việc sử dụng nó rất chán nản bởi vì hiệu suất cực đại của hệ thống với card PIX-1GE thấp hơn nhiều so với card PIX-1GE-66. Phần mềm sẽ hiển thị một cảnh báo khi khởi động nếu nó phát hiện ra card PIX-1GE Bảng dưới đây sẽ tổng hợp hiệu suất khi kết hợp các card giao diện khác nhau Installes in Interface Interface Card Combination Potential Throughput Slot Numbers 2 đến 4 PIX-1GE-66 0 đến 3 Tốt nhất PIX-1GE kết hợp với PIX- 0 đến 3 Bị giảm 1GE-66 hoặc chỉ card PIX-1GE Bất kỳ một PIX-1GE-66 hoặc 4 đến 8 Bị giảm mạnh PIX-1GE nào Nếu Stateful failover được kích hoạt, card giao diện và bus được sử dụng cho cổng LAN stateful failover cần phải bằng hoặc nhanh hơn card nhanh nhất được sử dụng cho cổng giao diện mạng. Ví dụ nếu giao diện bên trong và bên ngoài là card PIX- 1GE-66 được cài đặt trong bus 0. Sau đó giao diện stateful failover cần một cài đặt 1 card PIX-1GE-66 trong bus 1. Một card PIX-1GE hoặc PIX-1FE không thể sử dụng trong trường hợp này, cũng không thể cài đặt một PIX-1GE-66 trong bus 2 hoặc chia sẻ bus 1 với một card thấp hơn 18 Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
  19. Chapter 4: indentify the cisco pix firewall Được quyết định bởi các kiểu giao diện do đó có 4 đèn LEDs cho mỗi cổng giao diện mạng. Đèn LEDs cho các cổng giao diện hiển thị trạng thái truyền như dưới đây:  100Mbps – Truyền thông 100 Mbps, 100BaseTX. Nếu đèn tắt trong suốt quá trình hoạt động của mạng, cổng đó đang sử dụng tốc độ trao đổi dữ liệu là 10Mbps  ACT – Cho biết mạng đang hoạt động  LINK – Cho biết dữ liệu đang truyền qua giao diện đó  FDX – Cho biết kết nối sử dụng trao đổi dữ liệu theo kiểu song công (full- duplex) – dữ liệu có thể truyền và nhận đồng thời. Nếu đèn này tắt thì giao diện đó đang trao đổi dữ liệu theo kiểu bán song công (half-duplex) Khi kết nối cáp mạng phía trong, phí ngoài hoặc mạng vành đai đến cổng giao diện trên PIX 535, bắt đầu từ phải và di chuyển sang trái, các đầu nối là Ethernet 0, Ethernet 1, Ethernet 2, và … Chú ý: PIX Firewall 535 là một thiết bị với khả năng rút nóng (hot-swappable) nguồn cung cấp. Nếu một nguồn cung cấp bị lỗi bạn có thể gỡ bỏ nó mà không cần tắt nguồn của PIX Firewall 19 Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
Đồng bộ tài khoản