intTypePromotion=1
zunia.vn Tuyển sinh 2024 dành cho Gen-Z zunia.vn zunia.vn
ADSENSE

Bài giảng Xây dựng hệ thống Firewall: Bài 2 - Cao đẳng Nghề CNTT iSPACE

Chia sẻ: Kiếp Này Bình Yên | Ngày: | Loại File: PDF | Số trang:89

105
lượt xem
17
download
 
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Bài giảng bài 2 đề cập đến việc bảo mật mạng sử dụng Cisco IOS Firewall. Bài học này giúp sinh viên hình dung được cách xây dựng hệ thống phòng thủ theo từng tầng, biết ứng dụng bài học vào thực tiễn xây dựng hệ thống Firewall với Cisco IOS Firewall bảo mật cho hệ thống mạng doanh nghiệp.

Chủ đề:
Lưu

Nội dung Text: Bài giảng Xây dựng hệ thống Firewall: Bài 2 - Cao đẳng Nghề CNTT iSPACE

  1. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn MÔN HỌC: XÂY DỰNG HỆ THỐNG FIREWALL Trường Cao đẳng Nghề CNTT iSPACE Khoa Mạng Và An Ninh Thông Tin fit@ispace.edu.vn http://fit.ispace.edu.vn @Email: fit@ispace.edu.vn 1
  2. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn MÔN HỌC: XÂY DỰNG HỆ THỐNG FIREWALL Bài 1: CÁC NGUYÊN TẮC BẢO MẬT MẠNG. Bài 2: BẢO MẬT MẠNG SỬ DỤNG CISCO IOS FIREWALL Bài 3: BẢO MẬT MẠNG SỬ DỤNG CISCO IPS Bài 4: BẢO MẬT LAYER 2 Bài 5: TRIỂN KHAI HỆ THỐNG VPN TRÊN CISCO IOS @Email: fit@ispace.edu.vn 2
  3. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn BÀI 2: BẢO MẬT MẠNG SỬ DỤNG CISCO IOS FIREWALL Giới thiệu và cấu hình Cisco IOS Firewall Giới thiệu Cisco IOS Firewall Cấu hình Cisco IOS Firewall Câu hỏi bài tập @Email: fit@ispace.edu.vn 3
  4. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn MỤC TIÊU BÀI HỌC Trình bày được đặc điểm của Cisco IOS Firewall. Giải thích được chiến lược phòng thủ theo từng tầng. Trình bày được các kỹ thuật Firewall. Cấu hình được Cisco IOS Firewall. Triển khai được hệ thống firewall cho doanh nghiệp dựa trên Cisco IOS Firewall. @Email: fit@ispace.edu.vn 4
  5. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn Giới thiệu Cisco IOS Firewall Cisco IOS Firewall là loại Firewall dựa trên router sử dụng IOS hỗ trợ tính năng Firewall Tổng quan về Cisco IOS Firewall DMZ: Vùng DMZ được xây dựng giữa các vùng bảo mật. DMZ là vùng mạng đệm giữa vùng Inside và Outside. @Email: fit@ispace.edu.vn 5
  6. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn Giới thiệu Cisco IOS Firewall Chiến lược phòng thủ theo từng tầng Layered Defense Features Multiple DMZs Modern DMZ Design @Email: fit@ispace.edu.vn 6
  7. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn Giới thiệu Cisco IOS Firewall Chiến lược phòng thủ theo từng tầng Layered Defense Features Access control được áp đặt trên traffic ra vào vùng mạng đệm đến các vùng bảo mật bằng cách dùng: o Classic router. o Thiết bị Firewall. @Email: fit@ispace.edu.vn 7
  8. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn Giới thiệu Cisco IOS Firewall Chiến lược phòng thủ theo từng tầng DMZ/Multiple DMZ : Publish những dịch vụ dùng chung ở trong vùng đệm để cho phép vùng ngoài truy cập. DMZ có thể host 1 cổng ứng dụng cho kết nối ra ngoài. Hạn chế những mối nguy hại và giữ chân kẻ tấn công nếu 1 dịch vụ nào đó bị sự cố do tấn công. @Email: fit@ispace.edu.vn 8
  9. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn Giới thiệu Cisco IOS Firewall Chiến lược phòng thủ theo từng tầng Multiple DMZ Multiple DMZs tạo sự phân chia và quản lý truy cập tốt hơn: o Mỗi dịch vụ có thể được lưu trữ ở 1 vùng DMZ riêng biệt. o Hạn chế những mối nguy hại và giữ chân kẻ tấn công nếu 1 dịch vụ nào đó bị sự cố do tấn công. Three Separate DMZs @Email: fit@ispace.edu.vn 9
  10. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn Giới thiệu Cisco IOS Firewall Chiến lược phòng thủ theo từng tầng Redundancy DMZ Design Những hệ thống khác nhau (1 bộ lọc gói dạng stateful hay 1 proxy server) đều có thể lọc traffic. Thiết bị bộ lọc có cấu hình thích hợp là cách thức phòng thủ hữu hiệu. @Email: fit@ispace.edu.vn 10
  11. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn Giới thiệu Cisco IOS Firewall Chiến lược phòng thủ theo từng tầng Modern DMZ Design Traffic flows on private VLANs: •RED and YELLOW can communicate with BLUE •RED and YELLOW cannot communicate with each other Secondary VLANs Primary VLANs @Email: fit@ispace.edu.vn 11
  12. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn Giới thiệu Cisco IOS Firewall Chiến lược phòng thủ theo từng tầng Modern DMZ Design Promiscuous Port Host 1 (FTP) Secondary VLAN Ports Host 2 (HTTP) Promiscuous Port Host 3 (Admin) @Email: fit@ispace.edu.vn 12
  13. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn Giới thiệu Cisco IOS Firewall Firewall Technologies: Firewall sử dụng 3 kỹ thuật: Packet filtering Application layer gateway (ALG) Stateful packet filtering @Email: fit@ispace.edu.vn 13
  14. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn Giới thiệu Cisco IOS Firewall Firewall Technologies Packet Filtering Packet filtering giúp hạn chế traffic trong mạng dựa vào các thông tin như: địa chỉ nguồn và đích, port, flag và được đưa vào trong ACL. @Email: fit@ispace.edu.vn 14
  15. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn Giới thiệu Cisco IOS Firewall Firewall Technologies Ví dụ Packet Filtering Router(config)# access-list 100 permit tcp any 16.1.1.0 0.0.0.255 established Router(config)# access-list 100 deny ip any any log Router(config)# interface Serial0/0 Router(config-if)# ip access-group 100 in Router(config-if)# end @Email: fit@ispace.edu.vn 15
  16. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn Giới thiệu Cisco IOS Firewall Firewall Technologies Application Layer Gateway The ALG phân chia và thiết lập kết nối đến Internet thay cho client. @Email: fit@ispace.edu.vn 16
  17. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn Giới thiệu Cisco IOS Firewall Firewall Technologies ALG Firewall Device @Email: fit@ispace.edu.vn 17
  18. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn Giới thiệu Cisco IOS Firewall Firewall Technologies Stateful Packet Filtering Stateless ACLs lọc traffic dựa trên địa chỉ IP nguồn và đích, các port TCP and UDP, TCP flag, và loại ICMP và mã code. Stateful kiểm tra và ghi nhớ chính xác các chi tiết, hay trạng thái của các yêu cầu. @Email: fit@ispace.edu.vn 18
  19. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn Giới thiệu Cisco IOS Firewall Firewall Technologies Stateful Packet Filtering Stateful packet filter còn gọi là stateful firewall hay application-aware packet filter. Stateful firewall có 2 cải tiến mới: o Duy trì 1 bảng session (state table) để ghi nhận tất cả kết nối. o Nhận dạng các ứng dụng động và biết loại kết nối thêm nào sẽ được thiết lập giữa các điểm đầu cuối. Stateful firewall kiểm tra mỗi packet, so sánh packet dựa vào bảng state table, và có thể kiểm tra gói tin trong quá trình thương thuyết của các protocol. Stateful firewall hoạt động chính ở tầng 4 (TCP and UDP). @Email: fit@ispace.edu.vn 19
  20. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn Giới thiệu Cisco IOS Firewall Firewall Technologies Stateful Packet Filtering Example @Email: fit@ispace.edu.vn 20
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

 

Đồng bộ tài khoản
12=>0