Chapter 3 : Đặc tính và các kiểu tường lửa PIX Cisco

Chia sẻ: Nhan Hoang | Ngày: | Loại File: PDF | Số trang:21

0
155
lượt xem
72
download

Chapter 3 : Đặc tính và các kiểu tường lửa PIX Cisco

Mô tả tài liệu
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Đặc tính và các kiểu tường lửa PIX Cisco

Chủ đề:
Lưu

Nội dung Text: Chapter 3 : Đặc tính và các kiểu tường lửa PIX Cisco

 1. Chapter 3: cisco pix firewall models and features Chương 3 ĐẶC TÍNH VÀ CÁC KIỂU TƯỞNG LỬA PIX CISCO Tổng quan Chương này bao gồm những nội dung sau:  Mục đích  Tường lửa  Tổng quan về PIX Firewall  Tóm tắt 1 Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
 2. Chapter 3: cisco pix firewall models and features 2 Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
 3. Chapter 3: cisco pix firewall models and features Tường lửa Phần này đưa ra cách giải thích về một tường lửa Theo cách định nghĩa thông thường thì tường lửa là một phần tạo nên vật liệu chống cháy, được thiết kế để ngăn cản sự lan rộng của lửa từ một phần đến phần khác. Nó cũng có thể được sử dụng để cách ly một phần với phần khác. Khi áp dụng thuật ngữ tường lửa cho mạng máy tính, một tường lửa là một hệ thống hoặc một nhóm hệ thống yêu cầu một chính sách điều khiển việc truy cập giữa hai hoặc nhiều hơn hai mạng. 3 Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
 4. Chapter 3: cisco pix firewall models and features Tường lửa hoạt động dựa trên ba kỹ thuật sau:  Packet filtering – Giới hạn thông tin truyền sang một mạng dựa trên thông tin header của gói tin tĩnh.  Proxy Server – Yêu cầu sự kết nối chuyển tiếp giữa một client bên trong của tường lửa và mạng Internet  Stateful packet filtering – Kết hợp tốt nhất hai kỹ thuật packet filtering và proxy server 4 Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
 5. Chapter 3: cisco pix firewall models and features Một tường lửa có thể sử dụng packet filtering để giới hạn thông tin đi vào một mạng hoặc thông tin di chuyển từ một đoạn mạng này sang một đoạn mạng khác. Packet filtering sử dụng danh sách điều khiển truy cập (ACLs), nó cho phép một tường lửa xác nhận hay phủ nhận việc truy cập dựa trên kiểu của gói tin và các biến khác. Phương pháp này có hiệu quả khi một mạng được bảo vệ nhận gói tin từ một mạng không được bảo vệ khác. Bất kỳ gói tin nào được gửi đến một mạng đã được bảo vệ và không đúng với các tiêu chuẩn được định nghĩa bởi ACLs đều bị hủy. Những có một số vấn đề với packet filtering  Các gói tin bất kỳ có thể được gửi đi mà nó phù hợp với các tiêu chuẩn của ACL thì sẽ đi qua được bộ lọc  Các gói tin có thể đi qua được bộ lọc theo từng đoạn  ACL phức tạp là rất khó thực thi và duy trì một cách đúng đắn  Một số dịch vụ không thể lọc 5 Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
 6. Chapter 3: cisco pix firewall models and features Một Proxy server là một thiết bị tường lửa mà nó quyết định một gói tin tại lớp cao hơn của mô hình OSI. Thiết bị này có giá trị ẩn dữ liệu bằng cách yêu cầu người sử dụng giao tiếp với một hệ thống bảo mật có nghĩa là một proxy. Người sử dụng dành quyền truy cập đến một mạng bằng cách đi qua một tiến trình, tiến trình đó sẽ thiết lập một trạng thái phiên, chứng thực người dùng và chính sách cấp quyền. Điều này có nghĩa là người sử dụng kết nối đến các dịch vụ bên ngoài thông qua chương trình ứng dụng (proxies) đang chạy trên cổng dùng để kết nối đến vùng không được bảo vệ phía ngoài Tuy nhiên cũng có những vấn đề với Proxy server bởi bì nó:  Tạo một cùng lỗi chung, nó có nghĩa là nếu cổng vào mạng bị sập thì sau đó toàn bộ mạng cũng bị sập theo  Nó rất khó để thêm các dịch vụ mới vào tường lửa  Thực thi các ứng suất chậm 6 Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
 7. Chapter 3: cisco pix firewall models and features Stateful packet filtering là một phương pháp được sử dụng bởi thiết bị tường lửa PIX của Cisco. Kỹ thuật này duy trì trạng thái phiên đầy đủ. Mỗi khi một kết nối TCP/UDP được thiết lập cho các kết nối vào hoặc ra. Thông tin này được tập hợp trong Stateful session flow table. Stateful session flow table chứa địa chỉ nguồn và đích, số cổng, thông tin số thứ tự TCP và thêm thông các cờ cho mỗi kết nốiTCP/UDP kết hợp với các phiên đó. Thông tin này tạo nên các đối tượng kết nối và do đó các gói tin vào và ra được so sánh với lưu lượng phiên trong Stateful session flow table. Dữ liệu được phép qua tường lửa chỉ khi nếu một kết nối thích hợp tồn tại đánh giá tính hợp pháp đi qua của dữ liệu đó Phương pháp này có hiệu quả bởi vì:  Nó làm việc trên các gói tin và các kết nối  Nó hoạt động ở mức cao hơn so với packet filtering hoặc sử dụng proxy  Nó ghi dữ liệu trong một bảng cho mỗi kết nối. Bảng này như là một điểm tham chiếu để xác địng gói tin có thuộc về một kết nối đang tồn tại hay không hoặc là từ một nguồn trái phép 7 Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
 8. Chapter 3: cisco pix firewall models and features Tổng quan về PIX Firewall Phần này sẽ thảo luận về các khái niệm cơ bản của PIX Firewall PIX firewall là một yếu tố chính trong toàn bộ giải pháp an ninh end-to-end của Cisco. PIX Firewall là một giải pháp an ninh phần cứng và phần mềm chuyên dụng và mức độ bảo mật cao hơn mà không ảnh hưởng đến sự thực thi của hệ thống mạng. Nó là một hệ thống được lai ghép bởi vì nó sử dụng cả hai kỹ thuật packet filtering và proxy server Không giống như các CPU tập trung thông thường, các server proxy full-time thực hiện xử lý mở rộng trên mỗi gói dữ liệu tại tầng ứng dụng; PIX Firewall sử dụng hệ điều hành thích hợp, nó đảm bảo sự bảo mật, là hệ điều hành thời gian thực, là hệ thống dạng nhúng. PIX Firewall cung cấp các đặc tính và các chứ năng sau:  Không giống như UNIX, đảm bảo sự bảo mật, là hệ điều hành thời gian thực, là hệ thống nhúng – Không như các CPU, những server proxy tập trung thông thường thực thi xử lý mở rộng trên mỗi gói dữ liệu, PIX Firewall là hệ thống thời gian thực, dạng nhúng nên nó tăng cường an ninh cho mạng 8 Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
 9. Chapter 3: cisco pix firewall models and features  Apdaptive Security Algorithm (ASA) – thực hiện việc điều khiển các kết nối stateful thông qua PIX Firewall  Cut – through proxy – Một người sử dụng phải dựa trên phương pháp chứng thực của các kết nối vào và ra cung cấp một hiệu suất cải thiện khi so sánh nó với proxy server  Stateful failover – PIX Firewall cho phép bạn cấu hình hai đơn vị PIX Firewall trong một topo mà có đủ sự dư thừa  Stateful packet filtering – Một phương pháp bảo mật phân tích các gói dữ liệu mà thông tin nằm trải rộng sang một bảng. Để một phiên được thiết lập thông tin về các kết nối phải kết hợp được với thông tin trong bảng PIX Firewall có thể vận hành và mở rộng cấp độ được với các ISPes, các ISPec bao gồm một lưới an ninh và các giao thức chứng thực như là Internet Key Exchange (IKE) và Public Key Infrastructure (PKI). Các máy clients ở xa có thể truy cập một cách an toàn đến mạng của công ty thông qua các ISPs của họ 9 Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
 10. Chapter 3: cisco pix firewall models and features Cisco PIX firewall họ 500 có khả năng đáp ứng hàng loạt các yêu cầu và kích thước mạng. và hiện tại bao gồm 5 kiểu: PIX Firewall 501, 506, 515, 525 và 535. Dòng 500 hỗ trợ một dải rộng các card mạng (NIC). Dòng 501 tích hợp 1 cổng 10BaseT và 4 cổng 10/100 switch. Dòng 506 tích hợp 2 cổng 10BaseT . Dòng 515 hỗ trợ 4 cổng 10/100 Ehthernet và bộ gia tốc VPN. PIX Firewall 525 hỗ trợ 1 cổng đơn hoặc 4 cổng 10/100 Fast Ethernet, Gigabit Ethernet và bộ gia tốc VPN. Dòng 535 hỗ trợ Fast Ethernet, Gigabit Ethernet và bộ gia tốc VPN PIX Firewall vẫn được đảm bảo khi không nằm trong hộp. Cài đặt mặc định cảu PIX Firewall là cho phép tất cả các kết nối từ cổng bên trong truy cập ra các cổng bên ngoài và khóa tất cả các kết nối từ các cổng bên ngoài vào bên trong. Sau một vài thủ tục cài đặt và cấu hình khởi tạo của 6 lệnh cấu hình thông thường, PIX Firwall của bạn có thể hoạt động và bảo vệ hệ thống mạng cho bạn 10 Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
 11. Chapter 3: cisco pix firewall models and features Cisco PIX 501 Firewall kích thước chỉ 10 x 6.25 x5.5 inch và nặng 0.75 pounds. Nó dùng cho các văn phòng nhỏ và các lao động từ xa. Lý tưởng cho sự bảo mật tốc độ cao, môi trường băng thông rộng luôn được bật, Cisco PIX 501 Firewall cung cấp các đặc tính, sức mạnh cho mạng của các văn phòng nhỏ, có khả năng quản lý các thiết bị từ xa trong cùng một quy tắc, giải pháp tất cả trong một. Cisco PIX 501 Firewall cung cấp một cách thức thuận tiện cho nhiều máy tính cùng chia sẻ một kết nối băng rộng. Được thêm cổng console RS-32 (RJ-45) 9600 baud, nó còn được tích hợp cổng 10BaseT cho cổng ra, nó mô tả một nét nổi bật là một auto –sening (khả năng tự động phán đoán) được tích hợp, auto- MDIX 4 cổng 10/100 switch cho cổng vào. Nhờ auto-MDIX đã loại bỏ việc cần thiết phải sử dụng cáp crossover với các thiết bị kết nối đến switch. Cisco PIX 501 Firewall cũng có thể đảm bảo an ninh cho tất cả các truyền thông mạng từ các văn phòng từ xa đến mạng của công ty thông qua Internet sử dụng các chuẩn của nó dựa trên Internet Key Exchange (IKE)/IP security (Ipsec) và khả năng của VPN. Người sử dụng cũng có thể có được các mạng plug-and-play (cắm và chạy) bằng cách nắm bắt lợi thế của việc xây dựng server giao thức cấu hình host động – Dynamic Host Configuration Protocol (DHCP) server trong 11 Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
 12. Chapter 3: cisco pix firewall models and features PIX Firewall. DHCP server tự động gán địa chỉ mạng đến các máy tính khi chúng được bật nguồn Cisco PIX 501 Firewall với một dịch vụ an ninh tích hợp đã khóa các lỗ hổng hoàn thiện hơn cho an ninh mức vật lý và chứa 8MB bộ nhớ Flash. PIX Firewall 506 được thiết kế cho các công ty dử dụng Internet dành lợi thế về giá cả và cho phép các công nhân làm việc từ xa. Nó đưa ra cơ chế bảo vệ tường lửa toàn diện, còn bổ sung thêm khả năng của car mạng riêng ảo (VPN). PIX Firewall 506 có thể kết nối lên đến 25 mạng VPN ngang hàng cùng một lúc và cung cấp cho người sử dụng sự bổ sung đầy đủ chuẩn Ipsec. Nó có 8MB bộn nhớ flash và tích hợp 2 cổng 10Base-T, có kích thước 8 x 12 x 1.7 inch và sử dụng TFTP để cập nhật và download image 12 Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
 13. Chapter 3: cisco pix firewall models and features PIX Firewall 515 được thiết kế cho các doanh nghiệp có kích thước vừa và nhỏ, nó cung cấp một cơ chế bảo vệ toàn diện, còn bổ sung thêm cả khả năng của VPN IPsec với sự bổ sung đầy đủ chuẩn Ipsec. Bạn có thể tạo và kết thúc một đường hầm VPN giữa hai PIX Firewall, giữa một PIX Firewall và bất cứ một router của Cisco có hỗ trợ VPN nào khác và giữa một PIX Firewall và Cisco Virtual Private Networks (CVPN) client. PIX Firewall 515 cũng lý tưởng cho địa điểm từ xa mà chỉ yêu cầu hai cách truyền thông với mạng của công ty chúng. PIX Firewall 515 hỗ trợ lên đến sáu cổng 10/100 Ethernet, còn bổ sung cả card gia tốc VPN. Điều này cho phép cấu hình lưu lượng mạnh mẽ hơn như là thiết lập một DMZ bảo vệ hosting một website hoặc thực hiện lọc URL và phát hiện virus. PIX Firewall 515 có thể được lắp đặt một cách linh động, nó có 16MB bộ nhớ flash và sử dụng TFTP để download và cập nhật image 13 Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
 14. Chapter 3: cisco pix firewall models and features PIX Firewall 520 dành cho các doanh nghiệp có cơ cấu tổ chức lớn và phức tạp, có lưu lượng truyền thông lớn. Nó cũng đưa ra cơ chế bảo mật đầy đủ, nó còn cung cấp thêm tính năng VPN IPsec cùng với sự thực thi đầy đủ của chuẩn Ipsec. PIX Firewall 520 có một thiết kế khung dành cho doanh nghiệp, rất linh động, sử dụng ổ đĩa mềm 3.5 inch để tải và cập nhật image. Nó có 16Mb bộ nhớ Flash, chạy phần mềm phiên bản 5.2 hoặc cao hơn. Chú ý: PIX Firewall 520 vì nó không sẵn có nên rất khó mua. Thông tin đưa ra trong khóa học này chỉ là sự trợ giúp đối với khách hàng. Người ta khuyến cáo nên thay thế sản phẩm này bằng PIX Firewall 525. 14 Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
 15. Chapter 3: cisco pix firewall models and features PIX Firewall 525 dành cho các doanh nghiệp và các nhà cung cấp dịch vụ sử dụng. Lý tưởng cho việc bảo vệ Headquarter’s perimeter của doanh nghiệp. PIX Firewall 525 cũng cung cấp cơ chế bảo mật toàn diện, còn cung thêm cả tính năng VPN IPsec PIX Firewall 525 hỗ trợ các card mạng đa dạng. Các chuẩn card bao gồm các cổng đơn hoặc 4 cổng 10/100 Fast Ethernet và Gigabit Ethernet (với UR license). Với restriced licenes nó hỗ trợ 6 interface, với unrestriced licenes (UR) hỗ trợ 8 interface PIX Firewall 525 cũng đưa ra nhiều tùy chọn về nguồn cung cấp. Bạn có thể chọn giữa AC và 48 DC. Chú ý: PIX Firewall 525 cũng hỗ trợ cả bộ gia tốc VPN 15 Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
 16. Chapter 3: cisco pix firewall models and features PIX Firewall 535 dành cho các doanh nghiệp và các nhà cung cấp dịch vụ sử dụng. Nó có thông lượng là 1.7 Gbps và có khả năng quản lý đồng thời 500,000 kết nối, hỗ trợ cả hai dạng ứng dụng VPN là site-to-site và remote access thông qua 56-bit DES hoặc 168-bit 3DES. Các chức năng VPN được tích hợp trong PIX Firewall 535 có thể được thực thi với một card gia tốc VPN, nó cung cấp thông lượng là 96Mbps đối với 3DES và 2000 đối với đường hầm IPSec PIX Firewall 535 hỗ trợ Fast Ethernet, Gigabit Ethernet và giao diện bộ gia tốc VPN. Một PIX Firewall 535 chỉ được cấu hình với giao diện Gigabit Ethernet sẽ không có khả năng nây cấp một Activation key. Nâng cấp Activation key yêu cầu kiểm tra kiểu cho tất cả hệ thống không dùng ổ đĩa mềm. Việc kiểm tra kiểu không hỗ trợ giao diện Gigabit Ethernet. Một giao diện Fast Ethernet cần được cài đặt để sử dụng kiểm tra kiểu. Nếu một PIX Firewall 535 chỉ có giao diện Gigabit Ethernet, thêm một giao diện Fast Ethernet cùng với các đơn vị sẵn có vì thế mà Activation key có thể được nâng cấp Chú ý: Nếu sau khi cấu hình PIX Firewall cho card Gigabit Ethernet, bạn thay thế card này bằng card 10/100 Ethernet thì thứ tự của card trong cấu hình sẽ bị thay đổi so với cấu hình ban đầu. Ví dụ, nếu bạn cấu hình ethernet0 cho card Gigabit Ethernet được gán cho giao diện bên trong và thay thế card này bằng card 10/100 Ethernet, khi đó card 10/100 Ethernet có thể cũng không xuất hiện như là ethernet0 PIX Firewall 535 có 16MB bộ nhớ Flash và hỗ trợ các phần mềm tường lửa PIX từ phiên bản 5.3 trở lên 16 Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
 17. Chapter 3: cisco pix firewall models and features Các hệ điều hành thuộc bản quyển của Cisco nó không như UNIX hay Window NT, nó giống như hệ điều hành IOS (hệ điều hành mạng). Nó khéo léo loại trừ các rủi ro kết hợp với hệ điều hành đa năng. Nó cho phép PIX Firewall đưa ra hiệu suất nổi bật với 500,000 kết nối đồng thời, lớn hơn bất kỳ một tường lửa dựa trên nền UNIX nào. 17 Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
 18. Chapter 3: cisco pix firewall models and features Cái cốt lõi của PIX Firewall đó chính là Adaptive Security Algorithm (ASA – thuật toán an ninh thích ứng). ASA sẽ duy trì an ninh vành đai giữa các mạng được điều khiển bởi PIX Firewall. Thiết kế stateful, connection-oriented (kết nối được định hướng) ASA tạo ra các session flows (lưu lượng phiên) dựa trên địa chỉ nguồn và đích. Chỉ số cổng, số thứ tự TCP được đánh một cách ngẫu nhiên và các cờ TCP được thêm vào trước khi hoàn thành kết nối. Chức năng này luôn được hoạt động, kiểm tra các gói tin quay trở lại để chắc chắn chúng không bị lỗi và nó cho phép một đường kết nối (inside to outside) mà không được cấu hình một cách rõ ràng cho mỗi một hệ thống bên trong và ứng dụng. Việc đánh số một cách ngẫu nhiên số thứ tự gói tin TCP nhằm cực tiểu hóa rủi ro của việc tấn công vào chỉ số thứ tự TCP. Stateful packet filtering là một phương pháp bảo mật phân tích gói dữ liệu mà thông tin của nó nằm rải rộng ở nhiều vị trí về gói dữ liệu sang một bảng. Vào mỗi lúc một kết nối TCP được thiết lập cho kết nối vào và ra thông qua PIX Firewall, thông tin về kết nối là thành phần trong bảng stateful session flow. Mỗi một phiên được thiết lập, thông tin về kết nối cần phải được kết hợp với thông tin lưu trữ trong bảng đó. Với hê phương pháp này, stateful filter làm việc trên kết nối chứ không làm việc trên gói tin, làm cho nó có độ bảo mật cao hơn, các session của nó không bị tấn công. Giống như việc nhận dạng vân tay, stateful packet filtering 18 Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
 19. Chapter 3: cisco pix firewall models and features  Đạt được các chỉ số nhận dạng phiên, địa chỉ IP và các cổng cho mỗi một kết nối TCP  Logs the data in a stateful session flow table and creates a session object  So sánh gói tin vào ra dựa trên session flow trong bảng kết nối  Chỉ cho phép gói dữ liệu đi qua PIX Firewall nếu một kết nối thích hợp tồn tại để xác nhận tính hợp lệ của việc chuyển qua nó.  Tạm thời thiết lập một đối tượng kết nối cho đến khi kết nối kết thúc Cut-through proxy là một phương pháp kiểm tra trong suốt ID của người sử dụng tại firewall, nó cho phép hoặc không cho phép truy cập đến bất kỳ TCP hoặc UDP nào dựa trên ứng dụng. Điều này cũng được biết như người sử dụng dựa trên việc chứng thực các kết nối vào ra. Nó không giống như proxy server phân tích tất cả các gói tin tại lớp ứng dụng trong mô hình OSI. PIX Firewall đầu tiên là chặn người sử dụng ở tầng ứng dụng. Sau đó người sử dụng được chứng thực và các chính sách an ninh được kiểm tra. PIX Firewall chuyển session flow đến lớp thấp hơn trong mô hình OSI tạo ra hiệu suất nhanh lên đáng kể. Điều này cho phép các chính sách an ninh có hiệu lực dựa trên một ID người sử dụng Các kết nối cần được chứng thực với ID người sử dụng và mật khẩu trước khi chúng có thể được thiết lập. ID người sử dụng và mật khẩu được nhập thông qua HTTP, telnet hoặc kết nối FTP. Phương pháp Cut-through proxy của PIX 19 Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
 20. Chapter 3: cisco pix firewall models and features Firewall cũng có tác dụng cho dịch vụ chứng thức và cấp phép của Cisco Secure Access Control Server Stateful failover cung cấp một kỹ thuật cho PIX Firewall để tăng cường khả năng bảo mật bằng cách cho phép hai đơn vị giống hệt nhau đáp ứng một chức năng chung. Đơn vị hoạt động (active unit) thực hiện chức năng an ninh thông thường trong khi đơn vị dự phòng (standby unit) kiểm tra, sẵn sàng điều khiển khi đơn vị hoạt động bị lỗi Hai đơn vị cần phải chạy cùng một phiên bản phần mềm. Bản sao cấu hình sẽ được thực thi khi dưới các tình trạng sau:  Khi đơn vị thứ hai hoàn thành việc khởi động thì đơn vị chính sẽ tạo một bản sao toàn bộ cấu hình của nó cho đơn vị thứ hai  Khi một lệnh được nhập vào đơn vị chính thì chúng sẽ được gửi sang đơn vị thứ hai, lệnh này được gửi thông quan cable failover  Nhập lệnh write standby trên đơn vị chính thì toàn bộ cấu hình của nó sẽ được truyền sang đơn vị thứ hai 20 Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
Đồng bộ tài khoản