Bài giảng Xây dựng hệ thống Firewall: Bài 2

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

MÔN HỌC: XÂY DỰNG HỆ THỐNG FIREWALL

Trường Cao đẳng Nghề CNTT iSPACE Khoa Mạng Và An Ninh Thông Tin fit@ispace.edu.vn

http://fit.ispace.edu.vn

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

MÔN HỌC: XÂY DỰNG HỆ THỐNG FIREWALL

Bài 1: CÁC NGUYÊN TẮC BẢO MẬT MẠNG. Bài 2: BẢO MẬT MẠNG SỬ DỤNG CISCO IOS FIREWALL Bài 3: BẢO MẬT MẠNG SỬ DỤNG CISCO IPS Bài 4: BẢO MẬT LAYER 2 Bài 5: TRIỂN KHAI HỆ THỐNG VPN TRÊN CISCO IOS

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

BÀI 2: BẢO MẬT MẠNG SỬ DỤNG CISCO IOS FIREWALL

Giới thiệu và cấu hình Cisco IOS Firewall

Giới thiệu Cisco IOS Firewall Cấu hình Cisco IOS Firewall Câu hỏi bài tập

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

MỤC TIÊU BÀI HỌC

Trình bày được đặc điểm của Cisco IOS Firewall. Giải thích được chiến lược phòng thủ theo từng tầng. Trình bày được các kỹ thuật Firewall. Cấu hình được Cisco IOS Firewall. Triển khai được hệ thống firewall cho doanh nghiệp dựa trên Cisco IOS Firewall.

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Giới thiệu Cisco IOS Firewall

Cisco IOS Firewall làloạiFirewall dựatrênrouter sửdụngIOS hỗtrợtính năngFirewall

Tổng quan về Cisco IOS Firewall

DMZ:

Vùng DMZ được xây dựng giữa các vùng bảo mật. DMZ là vùng mạng đệm giữa vùng Inside và Outside.

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Giới thiệu Cisco IOS Firewall

Chiến lược phòng thủ theo từng tầng

Layered Defense Features Multiple DMZs Modern DMZ Design

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Giới thiệu Cisco IOS Firewall

Chiến lược phòng thủ theo từng tầng

Layered Defense Features

Access control được áp đặt trên traffic ra vào vùng mạng đệm đến các vùng bảo mật bằng cách dùng:

o Classic router. o Thiết bị Firewall.

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Giới thiệu Cisco IOS Firewall

Chiến lược phòng thủ theo từng tầng

DMZ/Multiple DMZ :

Publish những dịch vụ dùng chung ở trong vùng đệm để cho phép vùng ngoài truy cập. DMZ có thể host 1 cổng ứng dụng cho kết nối ra ngoài. Hạn chế những mối nguy hại và giữ chân kẻ tấn công nếu 1 dịch vụ nào đó bị sự cố do tấn công.

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Giới thiệu Cisco IOS Firewall

Chiến lược phòng thủ theo từng tầng

Multiple DMZ

Multiple DMZs tạo sự phân chia và quản lý truy cập tốt hơn:

o Mỗi dịch vụ có thể được lưu trữ ở 1 vùng DMZ riêng biệt. o Hạn chế những mối nguy hại và giữ chân kẻ tấn công nếu 1 dịch

vụ nào đó bị sự cố do tấn công.

Three Separate DMZs

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Giới thiệu Cisco IOS Firewall

Chiến lược phòng thủ theo từng tầng

Redundancy DMZ Design

Những hệ thống khác nhau (1 bộ lọc gói dạng stateful hay 1 proxy server) đều có thể lọc traffic. Thiết bị bộ lọc có cấu hình thích hợp là cách thức phòng thủ hữu hiệu.

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Giới thiệu Cisco IOS Firewall

Chiến lược phòng thủ theo từng tầng

Modern DMZ Design

Traffic flows on private VLANs:

•RED and YELLOW can

communicate with BLUE

•RED and YELLOW

cannot communicate with each other

Secondary VLANs

Primary VLANs

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Giới thiệu Cisco IOS Firewall

Chiến lược phòng thủ theo từng tầng

Modern DMZ Design

Promiscuous Port

Host 1 (FTP)

Secondary VLAN Ports

Host 2 (HTTP)

Promiscuous Port

Host 3 (Admin)

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Giới thiệu Cisco IOS Firewall

Firewall Technologies:

Firewall sử dụng 3 kỹ thuật:

Packet filtering Application layer gateway (ALG) Stateful packet filtering

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Giới thiệu Cisco IOS Firewall

Firewall Technologies Packet Filtering

Packet filtering giúp hạn chế traffic trong mạng dựa vào các thông tin như: địa chỉ nguồn và đích, port, flag và được đưa vào trong ACL.

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Giới thiệu Cisco IOS Firewall

Firewall Technologies

Ví dụ Packet Filtering

Router(config)# access-list 100 permit tcp any 16.1.1.0 0.0.0.255 established Router(config)# access-list 100 deny ip any any log Router(config)# interface Serial0/0 Router(config-if)# ip access-group 100 in Router(config-if)# end

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Giới thiệu Cisco IOS Firewall

Firewall Technologies

Application Layer Gateway

The ALG phân chia và thiết lập kết nối đến Internet thay cho client.

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Giới thiệu Cisco IOS Firewall

Firewall Technologies ALG Firewall Device

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Giới thiệu Cisco IOS Firewall

Firewall Technologies

Stateful Packet Filtering

Stateless ACLs lọc traffic dựa trên địa chỉ IP nguồn và đích, các port TCP and UDP, TCP flag, và loại ICMP và mã code. Stateful kiểm tra và ghi nhớ chính xác các chi tiết, hay trạng thái của các yêu cầu.

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Giới thiệu Cisco IOS Firewall

Firewall Technologies

Stateful Packet Filtering

Stateful packet filter còn gọi là stateful firewall hay application-aware packet filter. Stateful firewall có 2 cải tiến mới:

o Duy trì 1 bảng session (state table) để ghi nhận tất cả kết nối. o Nhận dạng các ứng dụng động và biết loại kết nối thêm nào sẽ

được thiết lập giữa các điểm đầu cuối.

Stateful firewall kiểm tra mỗi packet, so sánh packet dựa vào bảng state table, và có thể kiểm tra gói tin trong quá trình thương thuyết của các protocol. Stateful firewall hoạt động chính ở tầng 4 (TCP and UDP).

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Giới thiệu Cisco IOS Firewall

Firewall Technologies

Stateful Packet Filtering Example

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Giới thiệu Cisco IOS Firewall

Stateful Firewall Operation

Stateful Packet Filter và cách xử lý các loại giao thức

TCP Session

– Dễ dàng ghi nhận kết nối TCP (kiểm tra field flow information TCP sequence number dựa vào entry trong state table).

UDP Connection

– Không có field flag hay sequence number

nên khó ghi nhận chi tiết.

– Chỉ kiểm tra dựa trên field flow information,

field timeout được sử dụng để xóa các entry trong state table.

– Xử lý như 1 stateless packet filter.

Các dịch vụ Connectionless khác (GRE, IPsec) Dynamic Application

– Được xử lý tự động bằng cách tìm trên các

kênh đàm phán ứng dụng.

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Giới thiệu Cisco IOS Firewall

Giới thiệu Cisco IOS Firewall Feature Set

Cisco IOS Firewall Cisco IOS Firewall Authentication Proxy Cisco IOS Firewall IPS Cisco IPS Signature Actions Cisco IOS ACLs Revisited

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Giới thiệu Cisco IOS Firewall

Giới thiệu Cisco IOS Firewall Feature Set

Cisco IOS Firewall

Các gói tin sẽ được Cisco IOS Firewall kiểm tra nếu gói tin không bị ngăn cấm bởi ACL. Cisco IOS Firewall cho phép hay ngăn cấm traffic TCP hay UDP xác định đi qua. Cisco IOS Firewall xây dựng bảng state table để duy trì thông tin session. ACL được tạo hay xóa một cách linh hoạt. Cisco IOS Firewall ngăn chặn kiểu tấn công DoS.

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Giới thiệu Cisco IOS Firewall

Giới thiệu Cisco IOS Firewall Feature Set Cisco IOS Firewall Authentication Proxy Chứng thực HTTP, HTTPS, FTP, và Telnet. Cung cấp cơ chế chứng thực linh hoạt, chứng thực user và xác thực qua các giao thức TACACS+ và RADIUS.

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Giới thiệu Cisco IOS Firewall

Giới thiệu Cisco IOS Firewall Feature Set

Cisco IOS Firewall IPS

Là 1 bộ tìm kiếm và ngăn chặn xâm nhập. Khi kẻ tấn công được phát hiện, bộ tìm kiếm có thể thực thi những hành động sau:

o Alarm: gửi 1 cảnh báo đến SDM hoặc syslog server. o Drop: hủy bỏ gói tin. o Reset: gửi tín hiệu TCP reset để kết thúc session. o Block: khóa IP kẻ tấn công hoặc session trong thời gian xác định.

Nhận biết hơn 700 kiểu tấn công phổ biến.

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Giới thiệu Cisco IOS Firewall

Giới thiệu Cisco IOS Firewall Feature Set

Cisco IPS Signature Actions

Action

Description

Alarm

Drop Reset

Block attacker

Đưa ra cảnh báo và có thể ghi nhận vào file log trong logging destination hoặc qua Security Device Event Exchange (SDEE) Hủy bỏ the packet Thiết lập lại kết nốiTCP bằng cách gửi gói tin TCP RST đến cả bên gửi và bên nhận. Khóa tất cả truyền thông từ địa chỉ IP của kẻ tấn công trong thời gian xác định.

Block connection Khóa sessionTCP hoặcUDP của kẻ tấn công trong thời gian xác định

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Giới thiệu Cisco IOS Firewall

Giới thiệu Cisco IOS Firewall Feature Set

Cisco IOS ACLs Revisited

ACL cung cấp bộ lọc traffic theo những tiêu chuẩn sau:

o Theo địa chỉ IP nguồn và đích. o Theo port nguồn và đích.

ACL có thể được sử dụng để triển khai 1 bộ lọc firewall, tuy nhiên sẽ có 1 số hạn chế sau:

Các port phải được mở cố định để cho phép traffic, tạo ra 1 cơ hội để tấn công. Các ACL không hoạt động với những ứng dụng có quá trình thương thuyết port linh động. Cisco IOS Firewall sẽ khắc phục những hạn chế của các ACL.

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Giới thiệu Cisco IOS Firewall

Cisco IOS Firewall Functions

Cisco IOS Firewall TCP Handling Cisco IOS Firewall UDP Handling

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Giới thiệu Cisco IOS Firewall

Cisco IOS Firewall Functions

Cisco IOS Firewall TCP Handling

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Giới thiệu Cisco IOS Firewall

Cisco IOS Firewall Functions

Cisco IOS Firewall UDP Handling

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Giới thiệu Cisco IOS Firewall

Cisco IOS Firewall Process

Cách thức hoạt động của Cisco IOS Firewall

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Giới thiệu Cisco IOS Firewall

Cisco IOS Firewall Process

Cách thức hoạt động của Cisco IOS Firewall

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Giới thiệu Cisco IOS Firewall

Cisco IOS Firewall Process

Timeout and Threshold Value

Value

Description

Timeout values for TCP and UDP sessions

• Giúp ngăn chặn kiểu tấn công DoS bằng cách giải phóng tài nguyên hệ thống. Timeout có thể được thiết lập riêng cho TCP và UDP.

Threshold values for TCP sessions

• Giúp ngăn chặn tấn công DoS bằng cách quản lý số session đóng hờ (half-open) và giới hạn số lượng tài nguyên hệ thống sử dụng cho session đóng hờ đó. • Khi 1 session bị hủy, firewall sẽ gửi 1 thông điệp reset đến tất cả thiết bị tại các điểm đầu cuối của session. • Khi hệ thống đang bị tấn công nhận được lệnh reset thì các tài nguyên, tiến trình của hệ thống sẽ được giải phóng.

• Thresholds chỉ có thể cấu hình cho TCP.

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Giới thiệu Cisco IOS Firewall

Cisco IOS Firewall Process

Supported Protocol

Ngoại trừ các giao thức tầng ứng dụng, Cisco IOS Firewall sẽ kiểm tra:

o Tất cả TCP session o Tất cả UDP connection.

Sự kiểm tra thông tin trạng thái nâng cao của các giao thức lớp ứng dụng.

Yêu cầu đến Internet và hồi đáp từ Internet được cho phép

X

Yêu cầu truy cập từ Internet đi vào bị khóa.

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Giới thiệu Cisco IOS Firewall

Cisco IOS Firewall Process Alerts và Audit Trails

Cisco IOS Firewall đưa ra các cảnh báo thời gian thực và giám sát các dấu vết. Tính năng Audit trail sử dụng syslog để ghi nhận tất cả nhật ký mạng. Với các luật kiểm tra trong Cisco IOS Firewall, bạn có thể cấu hình các thông tin cảnh báo và giám sát dấu vết trên 1 giao thức ứng dụng cơ bản.

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Cấu hình Cisco IOS Firewall

GiớithiệucấuhìnhCisco IOS dùngCLI vàSDM

Tổng quan cấu hình IOS Firewall

Cấu hình Cisco IOS Firewall sử dụng command line Cách sử dụng Basic và Advanced Firewall Configuration Wizard trong SDM Cách cấu hình Basic Firewall sử dụng SDM Cấu hình một DMZ trên Advanced Firewall Cấu hình inspection rules Theo dõi hoạt động và các thiết lập của Firewall.

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Cấu hình Cisco IOS Firewall

Cấu hình Cisco IOS Firewall bằng CLI

Các bước cấu hình Cisco IOS Firewall bằng CLI

Bước 1: Xác định interface: internal và external Bước 2: Cấu hình IP ACLs trên Interface Bước 3: Định nghĩa inspection rule Bước 4: Áp dụng inspection rule và ACLs lên Interface Bước 5: Kiểm tra kết quả

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Cấu hình Cisco IOS Firewall

Cấu hình Cisco IOS Firewall bằng CLI

Thiết lập Audit Trails và Alerts

Router(config)#

ip inspect audit-trail

• Cho phép chuyển thông điệp audit trail sử dụng syslog Router(config)#

no ip inspect alert-off

• Cho phép real-time alert

Router(config)#logging on Router(config)#logging host 10.0.0.3 Router(config)#ip inspect audit-trail Router(config)#no ip inspect alert-off

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Cấu hình Cisco IOS Firewall

Cấu hình Cisco IOS Firewall bằng CLI

Inspection Rules cho các giao thức tầng ứng dụng

Router(config)#

ip inspect name inspection-name protocol [alert

{on|off}] [audit-trail {on|off}] [timeout seconds]

• Xác định giao thức ứng dụng để kiểm tra:

• Những thông tin được áp đặt trên 1 interface:

– Các giao thức có giá trị như tcp, udp, icmp, smtp, esmtp, cuseeme, ftp, ftps, http, h323, netshow, rcmd, realaudio, rpc, rtsp, sip, skinny, sqlnet, tftp, vdolive…

– Alert, audit-trail, và timeout là những giao thức có thể cấu hình tùy

chọn.

Router(config)#ip inspect name FWRULE smtp alert on audit-trail on timeout 300 Router(config)#ip inspect name FWRULE ftp alert on audit-trail on timeout 300

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Cấu hình Cisco IOS Firewall

Cấu hình Cisco IOS Firewall bằng CLI

Inspection Rules cho các giao thức tầng ứng dụng

Parameter

Description

inspection- name

Tên thiết lập của luật kiểm tra. Nếu không muốn thêm giao thức vào luật đã có, ta sử dụng cùng inspection name cho luật đó.

protocol

Giao thức để kiểm tra.

alert {on | off}

(Tủy chọn) Với mỗi giao thức được kiểm tra, thông điệp alert có thể được thiết lập on hay off. Nếu thông số này không được cấu hình thì ta có thể đưa ra thông điệp alert bằng lệnh ip inspect alert-off.

audit-trail {on | off}

(Tùy chọn) Với mỗi giao thức được kiểm tra, thông số audit- trail có thể được thiết lập on hay off. Nếu thông số này không được cấu hình thì ta có thể đưa ra thông điệp audit trail bằng lệnh ip inspect audit-trail.

timeout seconds

(Tùy chọn) Xác định số giây cho thời gian chờ timeout khác nhau của giao thức TCP hay UDP.

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Cấu hình Cisco IOS Firewall

Cấu hình Cisco IOS Firewall bằng CLI Áp dụng Inspection Rule cho Interface

Ví dụ 1:

User trên access list 10 được cho phép download Java applets:

ip inspect name PERMIT_JAVA http java-list 10 access-list 10 permit 144.224.10.0 0.0.0.255 access-list 10 any

Ví dụ 2:

Cho Cisco IOS Firewall biết cần kiểm tra những thông tin gì :

ip inspect name in2out rcmd ip inspect name in2out ftp ip inspect name in2out tftp ip inspect name in2out tcp timeout 43200 ip inspect name in2out http ip inspect name in2out udp

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Cấu hình Cisco IOS Firewall

Cấu hình Cisco IOS Firewall bằng CLI

Hướng dẫn áp dụng Inspection Rules và ACLs cho Interfaces

Router(config-if)#

ip inspect inspection-name {in | out}

• Đặt tên inspection rule cho interface

Parameter

Description

inspection-name

Tên thiết lập của inspection rule

in

Áp đặt inspection rule cho traffic đi vào

out

Áp đặt inspection rule cho traffic đi ra

Trên interface có traffic đi qua:

o Áp đặt ACL cho traffic được phép theo hướng vào trong.

o Áp đặt rule cho traffic được phép theo hướng vào trong. Trên các interface còn lại, áp đặt ACL cho traffic ngăn cấm theo hướng vào trong.

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Cấu hình Cisco IOS Firewall

Cấu hình Cisco IOS Firewall bằng CLI

Ví dụ: Two-Interface Firewall

ip inspect name OUTBOUND tcp ip inspect name OUTBOUND udp ip inspect name OUTBOUND icmp ! interface FastEthernet0/0 ip access-group OUTSIDEACL in ! interface FastEthernet0/1 ip inspect OUTBOUND in ip access-group INSIDEACL in ! ip access-list extended OUTSIDEACL permit icmp any any packet-too-big deny ip any any log ! ip access-list extended INSIDEACL permit tcp any any permit udp any any permit icmp any any

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Cấu hình Cisco IOS Firewall

Cấu hình Cisco IOS Firewall bằng CLI

Ví dụ: Three-Interface Firewall

interface FastEthernet0/0 ip inspect OUTSIDE in ip access-group OUTSIDEACL in ! interface FastEthernet0/1 ip inspect INSIDE in ip access-group INSIDEACL in ! interface FastEthernet0/2 ip access-group DMZACL in ! ip inspect name INSIDE tcp ip inspect name OUTSIDE tcp ! ip access-list extended OUTSIDEACL permit tcp any host 200.1.2.1 eq 25 permit tcp any host 200.1.2.2 eq 80 permit icmp any any packet-too-big deny ip any any log ! ip access-list extended INSIDEACL permit tcp any any eq 80 permit icmp any any packet-too-big deny ip any any log ! ip access-list extended DMZACL permit icmp any any packet-too-big deny ip any any log

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Cấu hình Cisco IOS Firewall

Cấu hình Cisco IOS Firewall bằng CLI

Kiểm tra Cisco IOS Firewall

Router#

show ip inspect name inspection-name show ip inspect config show ip inspect interfaces show ip inspect session [detail] show ip inspect statistics show ip inspect all

• Hiển thị inspection, cấu hình interface, sessions, and statistics

Router#show ip inspect session Established Sessions

Session 6155930C (10.0.0.3:35009)=>(172.30.0.50:34233) tcp SIS_OPEN Session 6156F0CC (10.0.0.3:35011)=>(172.30.0.50:34234) tcp SIS_OPEN Session 6156AF74 (10.0.0.3:35010)=>(172.30.0.50:5002) tcp SIS_OPEN

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Cấu hình Cisco IOS Firewall

Cấu hình Cisco IOS Firewall bằng CLI

Khắc phục lỗi Cisco IOS Firewall

Router#

debug ip inspect function-trace debug ip inspect object-creation debug ip inspect object-deletion debug ip inspect events debug ip inspect timers debug ip inspect detail

• General debug commands

Router#

debug ip inspect protocol

• Protocol-specific debug

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Cấu hình Cisco IOS Firewall

Basic and Advanced Firewall Wizards

Có 2 loại cấu hình wizard:

Basic Firewall Configuration wizard:

o Hỗ trợ 2 loại interface (inside and

outside)

o Áp dụng rule có sẵn

Advanced Firewall Configuration wizard:

o Hỗ trợ nhiều interface hơn (Inside, Outside, and DMZ)

o Áp dụng rule có sẵn và rule tạo

mới

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Cấu hình Cisco IOS Firewall

Cấu hình Basic Firewall

Cấu hình Basic Firewall Interface Triển khai cấu hình Basic Firewall Reviewing the Basic Firewall for the Originating Traffic Reviewing the Basic Firewall for the Returning Traffic Kiểm tra kết quả cấu hình Basic Firewall Inspection Rule Kiểm tra kết quả cấu hình Basic Firewall ACL Kiểm tra kết quả cấu hình Basic Firewall Interface

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Cấu hình Cisco IOS Firewall

Cấu hình Basic Firewall

Cấu hình Basic Firewall Interface

1

2

3

4 @Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Cấu hình Cisco IOS Firewall

Cấu hình Basic Firewall

Triển khai cấu hình Basic Firewall

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Cấu hình Cisco IOS Firewall

Cấu hình Basic Firewall

Triển khai cấu hình Basic Firewall

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Cấu hình Cisco IOS Firewall

Cấu hình Basic Firewall

Reviewing the Basic Firewall for the Originating Traffic

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Cấu hình Cisco IOS Firewall

Cấu hình Basic Firewall

Reviewing the Basic Firewall for the Returning Traffic

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Cấu hình Cisco IOS Firewall

Cấu hình Basic Firewall

Kiểm tra kết quả cấu hình Basic Firewall Inspection Rule

Router#show running-config | include ip inspect name ip inspect name SDM_LOW cuseeme ip inspect name SDM_LOW dns ip inspect name SDM_LOW ftp ip inspect name SDM_LOW h323 ip inspect name SDM_LOW https ip inspect name SDM_LOW icmp ip inspect name SDM_LOW imap ip inspect name SDM_LOW pop3 ip inspect name SDM_LOW netshow ip inspect name SDM_LOW rcmd ip inspect name SDM_LOW realaudio ip inspect name SDM_LOW rtsp ip inspect name SDM_LOW esmtp ip inspect name SDM_LOW sqlnet ip inspect name SDM_LOW streamworks ip inspect name SDM_LOW tftp ip inspect name SDM_LOW tcp ip inspect name SDM_LOW udp ip inspect name SDM_LOW vdolive

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Cấu hình Cisco IOS Firewall

Cấu hình Basic Firewall

Kiểm tra kết quả cấu hình Basic Firewall ACL

Router#show running-config | include access-list access-list 100 remark autogenerated by SDM firewall configuration access-list 100 remark SDM_ACL Category=1 access-list 100 deny ip 200.0.0.0 0.0.0.3 any access-list 100 deny ip host 255.255.255.255 any access-list 100 deny ip 127.0.0.0 0.255.255.255 any access-list 100 permit ip any any access-list 101 remark autogenerated by SDM firewall configuration access-list 101 remark SDM_ACL Category=1 access-list 101 deny ip 10.1.1.0 0.0.0.255 any access-list 101 permit icmp any host 200.0.0.1 echo-reply access-list 101 permit icmp any host 200.0.0.1 time-exceeded access-list 101 permit icmp any host 200.0.0.1 unreachable access-list 101 deny ip 10.0.0.0 0.255.255.255 any access-list 101 deny ip 172.16.0.0 0.15.255.255 any access-list 101 deny ip 192.168.0.0 0.0.255.255 any access-list 101 deny ip 127.0.0.0 0.255.255.255 any access-list 101 deny ip host 255.255.255.255 any access-list 101 deny ip host 0.0.0.0 any access-list 101 deny ip any any log

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Cấu hình Cisco IOS Firewall

Cấu hình Basic Firewall

Kiểm tra kết quả cấu hình Basic Firewall Interface

Router#show running-config | begin interface interface FastEthernet0/0 description $FW_INSIDE$ ip address 10.1.1.1 255.255.255.0 ip access-group 100 in

! interface Serial0/0/0

description $FW_OUTSIDE$ ip address 200.0.0.1 255.255.255.252 ip access-group 101 in ip verify unicast reverse-path ip inspect SDM_LOW out

! <...rest of output removed...>

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Cấu hình Cisco IOS Firewall

Cấu hình Interfaces trên Advanced Firewall

Cấu hình Advanced Firewall Interface

1

2

3

4 @Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Cấu hình Cisco IOS Firewall

Cấu hình vùng DMZ trên Advanced Firewall

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Cấu hình Cisco IOS Firewall

Cấu hình vùng DMZ trên Advanced Firewall

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Cấu hình Cisco IOS Firewall

Cấu hình vùng DMZ trên Advanced Firewall

Advanced Firewall DMZ Service Configuration: TCP

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Cấu hình Cisco IOS Firewall

Cấu hình vùng DMZ trên Advanced Firewall

Advanced Firewall DMZ Service Configuration: UDP

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Cấu hình Cisco IOS Firewall

Cấu hình tính năng bảo mật trên Advanced Firewall

Advanced Firewall Protocols và Applications Advanced Firewall Inspection Parameters Lựa chọn Advanced Firewall Security Policy

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Cấu hình Cisco IOS Firewall

Cấu hình tính năng bảo mật trên Advanced Firewall

Advanced Firewall Protocols và Applications

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Cấu hình Cisco IOS Firewall

Cấu hình tính năng bảo mật trên Advanced Firewall

Advanced Firewall Protocols và Applications

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Cấu hình Cisco IOS Firewall

Cấu hình tính năng bảo mật trên Advanced Firewall

Advanced Firewall Protocols và Applications

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Cấu hình Cisco IOS Firewall

Cấu hình tính năng bảo mật trên Advanced Firewall

Advanced Firewall Inspection Parameters

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Cấu hình Cisco IOS Firewall

Cấu hình tính năng bảo mật trên Advanced Firewall

Lựa chọn Advanced Firewall Security Policy

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Cấu hình Cisco IOS Firewall

Cấu hình tính năng bảo mật trên Advanced Firewall

Lựa chọn Advanced Firewall Security Policy

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Cấu hình Cisco IOS Firewall

Hoàn tất cấu hình Advanced Firewall

Kiểm tra kết quả cấu hình Advanced Firewall Inspection Rule Kiểm tra kết quả cấu hình Advanced Firewall ACL Kiểm tra kết quả cấu hình Advanced Firewall Interface

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Cấu hình Cisco IOS Firewall

Hoàn tất cấu hình Advanced Firewall

Kiểm tra kết quả cấu hình Advanced Firewall Inspection Rule

Router#show running-config | include ip inspect name ip inspect name appfw_100 tcp audit-trail on ip inspect name appfw_100 udp ip inspect name appfw_100 ftp ip inspect name dmzinspect tcp ip inspect name dmzinspect udp

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Cấu hình Cisco IOS Firewall

Hoàn tất cấu hình Advanced Firewall

Kiểm tra kết quả cấu hình Advanced Firewall ACL

Router#show running-config | include access-list access-list 100 remark autogenerated by SDM firewall configuration access-list 100 remark SDM_ACL Category=1 access-list 100 deny ip 200.0.0.0 0.0.0.3 any access-list 100 deny ip 192.168.0.0 0.0.0.255 any access-list 100 deny ip host 255.255.255.255 any access-list 100 deny ip 127.0.0.0 0.255.255.255 any access-list 100 permit ip any any access-list 101 remark autogenerated by SDM firewall configuration access-list 101 remark SDM_ACL Category=1 access-list 101 deny ip any any log access-list 102 remark autogenerated by SDM firewall configuration access-list 102 remark SDM_ACL Category=1 access-list 102 deny ip 192.168.0.0 0.0.0.255 any access-list 102 deny ip 10.1.1.0 0.0.0.255 any access-list 102 permit icmp any host 200.0.0.1echo-reply access-list 102 permit icmp any host 200.0.0.1 time-exceeded access-list 102 permit icmp any host 200.0.0.1 unreachable access-list 102 permit tcp any host 192.168.0.2 eq www access-list 102 permit udp any host 192.168.0.3 eq isakmp access-list 102 deny ip 10.0.0.0 0.255.255.255 any access-list 102 deny ip 172.16.0.0 0.15.255.255 any access-list 102 deny ip 192.168.0.0 0.0.255.255 any access-list 102 deny ip 127.0.0.0 0.255.255.255 any access-list 102 deny ip host 255.255.255.255 any access-list 102 deny ip host 0.0.0.0 any access-list 102 deny ip any any log

@Email: fit@ispace.edu.vn

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Cấu hình Cisco IOS Firewall

Hoàn tất cấu hình Advanced Firewall

Kiểm tra kết quả cấu hình Advanced Firewall Interface

Router#show running-config | begin interface interface FastEthernet0/0 description $FW_INSIDE$ ip address 10.1.1.1 255.255.255.0 ip access-group 100 in ip inspect appfw_100 in

! interface FastEthernet0/1

description $FW_DMZ$ ip address 192.168.0.1 255.255.255.0 ip access-group 101 in ip inspect dmzinspect out

! interface Serial0/0/0

description $FW_OUTSIDE$ ip address 200.0.0.1 255.255.255.252 ip access-group 102 in ip verify unicast reverse-path

! <...rest of the output removed...>