intTypePromotion=3

Giáo Trình CIs+ part 70

Chia sẻ: Super Super Administer | Ngày: | Loại File: PDF | Số trang:8

0
28
lượt xem
3
download

Giáo Trình CIs+ part 70

Mô tả tài liệu
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Tham khảo tài liệu 'giáo trình cis+ part 70', công nghệ thông tin, kỹ thuật lập trình phục vụ nhu cầu học tập, nghiên cứu và làm việc hiệu quả

Chủ đề:
Lưu

Nội dung Text: Giáo Trình CIs+ part 70

  1. outbound b. Cấu hình IDS Dùng lệnh ip audit để cấu hình IDS signature. Đầu tiên tạo ra một policy với lệnh ip audit name và sau đó đưa policy này đến một interface với lệnh ip audit interface Có hai lệnh ip auit name khác nhau: ip audit name info và ip audit name attack. Lệnh ip audit name info được dùng để tạo ra các policy của các signature được phân loại như thông tin. Tất cả informational signature, trừ những cái bị loại bỏ bởi lệnh ip audit signature, trở thành một phần của policy. Lệnh ip audit name attack thực hiện cùng chức năng với signature được phân loại như attack signature Lệnh ip audit name cũng cho phép chỉ rõ các hoạt động khi signature được gây ra. nếu một policy được định nghĩa mà không có các hoạt động, hoạt động mặc định có hiệu quả Lệnh no ip audit name được dùng để bỏ một audit policy. Lệnh sh ip audit name miêu tả các audit policy. Để bỏ một policy từ một interface, sử dụng lệnh no ip audit interface. Để miêu tả cấu hình inteface, sử dụng lệnh sh ip audit interface 5. Failover Chức năng failover của PIX firewall cung cấp độ dự phòng trong trường hợp một PIX bị hư , pix kia ngay lập tức đóng vai trò của Pix bị hư đó . Failover làm việc với 2 , và chính xác là chỉ 2 , firewall . Hai firewall này phải : - có model giống nhau (ví dụ pix 515 không thể sử dụng cùng với pix 515E ) - dung lượng Flash và RAM phải giống nhau - có cùng số lượng interface và các loại interface - Cùng loại activation key
  2. - Primary firewall phải chạy unrestricted license - Secondary firewall phải chạy hoặc là unrestricted hoặc là failover license . Failover chỉ hỗ trợ trong các model high-end như PIX 515, 515E , 520 , 525 và 535. ?Note : Đặc điểm failover của PIX firewall chỉ hỗ trợ chức năng redundancy . Một PIX sẽ hoạt động như là active firewall , một PIX khác hoạt động ở chế độ standby mode . Không thể sử dụng cả hai firewall cùng vai trò active cùng một lúc tức là PIX firewall không hỗ trợ tính năng load balancing . Khi cấu hình failover , 1 firewall có vai trò là primary , một firewall có vai trò là secondary . Ở trạng thái hoạt động bình thường , primary firewall là active và nắm giữ tất cả các traffic mạng . Secondary firewall ở chế độ standby và sẽ active khi primary firewall bị hư , lúc đó primary firewall lại ở chế độ standby . Standby firewall có thể cũng bị hư nhưng lần này failover sẽ không xảy ra . Mặc dù firewall có thể chuyển đổi các vai trò cho nhau nhưng primary và secondary không bao giờ thay đổi . Nghĩa là khi có failover xảy ra , primary ở chế độ standby , còn secondary ở chế độ active . Các trường hợp sau được xem là firewall bị hư : - Bộ nhớ bị cạn kiệt trong vòng từ 15 giây trở lên trong PIX firewall active - trạng thái liên kết của các interface mạng ở active PIX firewall bị down hơn 2 lần trong khoảng thời gian poll . Điều này không phải là interface bị administratively down - Không có sự trao đổi Hello packets giữa primary và secondary qua tất cả các interface mạng (các gói hello này được gửi đi mặc định là 15 giây một lần , nhưng chu kì này có thể thay đổi được ) . Nếu không có hello message nào được nhận trong khoảng chu kì 2 poll , interface không response đó sẽ được đặt vào trạng thái testing . Nếu interface không qua được trong quá trình kiểm tra này , nó cũng đuợc xem như là firewall bị hư . - Các hello packets cũng được trao đổi giữa primary và secondary qua failover serial cable . Nếu standby firewall không có nghe thông tin gì từ active firewall trong khoảng 2 poll , trạng thái failover cable vẫn tốt , standby firewall sẽ xem như active firewall bị hư và đóng lấy vai trò của active
  3. firewall . Ngoài ra , active không có nghe thông tin gì từ standby trong khoảng 2 poll , nó xem như standby bị hư . - Nếu standby firewall phát hiện rằng active firewall bị tắt nguồn hoặc là reboot , standby sẽ trở nên active . Nếu failover cable bị unplugged , failover không xảy ra . Có hai loại failover là standard failover và LAN-based failover , chức năng của hai loại này là như nhau . Sự khác biệt lớn nhất giữa hai loại này là cách mà chúng sử dụng để trao đổi thông tin failover giữa primary và secondary firewall . Ở standard failover , một loại serial cable đặc biệt được sử dụng để kết nối 2 firewall lại với nhau . Cable này được gọi là failover cable . Failover cable là loại cable do Cisco đưa ra dựa trên chuẩn tín hiệu RS-232 . Đối với LAN-based failover , thay vì sử dụng serial cable , một link Ethenet dành riêng được sử dụng để trao đổi thông tin failover . Thông tin được trao đổi giữa hai loại failover là như nhau và bao gồm : - Địa chỉ MAC của firewall - Các gói tin Hello - Thông tin trạng thái (active hay là standby) - Trạng thái liên kết network interface - bản sao cấu hình (configuration replication) Failover cable Failover cable được sử dụng để kết nối primary và secondary firewall . Một đầu của failover cable được đánh dấu là primary được nối đến primary firewall , đầu kia được đánh dấu là secondary được nối đến secondary firewall . Cable chỉ nên nối đến firewall khi tắt secondary firewall đi . Failover cable trao đổi trạng thái dữ liệu giữa 2 firewall ở 115Kbps . Đối với PIX OS có version trước 5.2 thì failover cable hoạt động ở tốc độ 9600bps . Không nên nối ngược failover cable vì làm như vậy replication sẽ xảy ra từ secondary firewall đến primary firewall và xóa toàn bộ cấu hình . Việc liên lạc qua failover cable được thực hiện bằng cách sử dụng các messages , và mỗi message phải được ACK . Nếu một message không được ACK từ firewall khác trong vòng 3 giây , nó được truyền lại . Sau 5 lần truyền lại mà vẫn không có ACK , firewall không có ACK messages đó được xem như là bị hư . Configuration replication Configuration replication là chức năng đồng bộ cấu hình của primary với secondary. Khi configuration replication thành công ,
  4. cả primary và secondary phải giống nhau về hardware và software , chạy cùng OS và có cùng số interface . tiến trình replication xảy ra tại RAM , không được lưu vào trong Flash , do đó , sau khi replication hoàn tất , cần phải lưu cấu hình lại . Configuration replication tự động xảy ra khi : - standby PIX hoàn tất quá trình boot . Primary firewall sao chép toàn bộ cấu hình của nó đến secondary firewall . - Khi các command được gõ trong active PIX firewall . Mỗi command được nhập vào thì nó sẽ được gửi đến standby qua failover connection . - Khi write standby command được sử dụng ở active PIX firewall . Điều này sẽ làm cho toàn bộ cấu hình của active được tái bản ở secondary . Bất kì sự thay đôỉ về cấu hình ở standby firewall sẽ không được sao lại ở primary . Địa chỉ IP và MAC sử dụng cho failover Mỗi network interface mà tại đó ta cấu hình failover , ta cần phải có hai địa chỉ . Một địa chỉ IP dành cho primary firewall , và một địa chỉ Ip dành cho failover . Khi hoạt động , primary sử dụng địa chỉ IP và địa chỉ MAC hệ thống của nó , secondary firewall sẽ sử dụng địa chỉ IP và địa chỉ MAC failover . Khi failover xảy ra , primary firewall bị hư , secondary sẽ active , địa chỉ IP và điạ chỉ MAC sẽ được chuyển đổi . Nói cách khác , secondary firewall (bây giờ đã active) sẽ lấy địa chỉ IP và MAC của primary firewall . Primary firewall (bây giờ đang ở standby) sẽ lấy địa chỉ IP và MAC failover của secondary firewall . Mặc định địa chỉ MAC của active firewall là các địa chỉ được tạo thành từ NICs của primary firewall và địa chỉ MAC của standby firewall là các địa chỉ được tạo thành từ NICs của secondary firewall . Thay vì sử dụng các địa chỉ này , ta có thể sử dụng địa chỉ MAC ảo . Mỗi interface có thể đăng kí các địa chỉ MAC ảo sử dụng command sau : failover mac address Phát hiện lỗi (failure detection) Primary và secondary firewall trao đổi gói tin hello cho nhau thông qua failover cable cũng như qua tất cả các network interface . Các gói hello này mặc định trao đổi 15giây 1 lần . Để thay đổi khoảng thời gian này , sử dụng command sau :
  5. failover poll Giá trị nhỏ nhất cho seconds là 3 giây , giá trị lớn nhất là 15 giây . Nếu khoảng thời gian hello thấp hơn , lỗi sẽ được phát hiện nhanh hơn , nhưng cũng dễ tạo ra failover không cần thiết khi mạng bị nghẽn vì có quá nhiều gói hello . Đặc điểm failover của PIX firewall giám sát việc trao đổi các gói hello cũng như trạng thái nguồn của firewall khác . Nếu lỗi được phát hiện và không phải là do mất nguồn hoặc là do secondary firewall reboot , PIX firewall (primary và secondary , cái nào phát hiện lỗi) sẽ thực hiện hàng loạt kiểm tra (theo một series) để quyết định xem firewall có bị hỏng hay không . Việc kiểm tra bắt đầu khi không có nghe các bản tin hello trong khoảng thời gian 2 poll . Đối với mỗi quá trình kiểm tra , nếu một firewall nhận được network traffic trong suốt quá trình kiểm tra , firewall kia không nhận được , thì firewall không nhận được traffic đó được xem là bị hỏng . Nếu cả hai firewall không nhận được traffic nào thì việc kiểm tra tiếp theo trong series đó sẽ được thực hiện . Có 4 quá trình kiểm tra thường được sử dụng : - link up /down : firewall kiểm tra trạng thái liên kết mạng để đảm bảo rằng nó up . Quá trình kiểm tra này sẽ tìm ra được các vấn đề lỗi vật lí như cable unplugged , port của hub/switch trong tình trạng xấu , hay là hub / switch bị lỗi . Nếu interface không có lỗi gì hết , PIX firewall bắt đầu kiểm tra hoạt động mạng . Ngược lại , interface tương ứng với firewall được xem như bị hư . - network activity : firewall lắng nghe network activity khoảng 5 giây . Nếu có gói tin được nhận trong suốt quá trình kiểm tra này , interface được xem là hoạt động và PIX kết thúc việc kiểm tra , ngược lại , nếu không nhận được gói tin nào , pix chuyển đến kiểm tra ARP . - ARP : Pix lấy khoảng 10 entry gần nhất trong bảng ARP của nó và gửi ARP request cho mỗi entry đó để kích thích network traffic . Sau khi gửi mỗi request , PIX firewall giám sát tất cả các traffic được nhận trong khoảng 5 giây . Nếu không có traffic nào được nhận , PIX sẽ chuyển đến entry kế tiếp trong list đó . Nếu có traffic trong suốt quá trình kiểm tra đó , interface được xem là hoạt động và quá trình test kết thúc . Nếu đã kiểm tra hết entry trong list mà vẫn không nhận được traffic nào , PIX bắt đầu kiểm tra broadcast ping
  6. - Broadcast ping : firewall gửi ra ngoài broadcast ping ở interface và quan sát có nhận được gói tin trong vòng 5 giây sau khi ping được gửi đi . Nếu nhận được bất kì gói tin nào , pix coi như interface hoạt động và ngừng kiểm tra . Nếu không nhận được , nó sẽ quay lại quá trình kiểm tra ARP . ?Note : Tất cả các interface (không phải administratively down) của cả hai firewall phải giao tiếp được với nhau , ngay cả nếu chúng không được sử dụng . Ví dụ như các interface đó có thể nối với nhau bằng cáp chéo , hoặc là được cắm vào cùng một switch . Nếu không quá trình test sẽ hỏng . Stateful failover Có hai loại failover là failover và stateful failover (có trong PIX OS version5.1 trở về sau ) . Đối với failover , khi primary firewall bị hư , secondary trở nên active , tất cả các kết nối active qua firewall bị rớt , các ứng dụng phải khởi tạo kết nối mới để khởi động lại việc liên lạc qua pix . Nhưng stateful failover giải quyết được vấn đề này . Đối với stateful failover , khi active pix bị hư , secondary trở nên active , thì các kết nối active đó vẫn được duy trì ở PIX mới active . Các ứng dụng client vẫn tiếp tục hoạt động . Khi sử dụng stateful failover , bên cạnh thông tin cấu hình , các thông tin sau phải được gửi cho standby PIX firewall : - bảng translation (xlate) với static và dynamic translation - bảng TCP connection (bao gồm thông tin timeout cho mỗi kết nối) - đồng hồ hệ thống và thông tin về uptime hầu hết các kết nối UDP không được sao lại cho standby ngoại trừ giao thức H.232, các thành phần sau không được sao bản lại là : - thông tin trạng thái ISAKMP và IPSEC , điều này có nghĩa là ISAKMP và IPSEC SA không bị mất khi có failover xảy ra . - DHCP - bảng user authentication , khi failover xảy ra thì các user đã được chứng thực phải chứng thực lại . - bảng định tuyến , nghĩa là tất cả các route động (thông qua RIP) phải được học lại . - bảng ARP . ?Note: Mặc định thông tin về session HTTP sẽ không được sao lại nhưng trong các version 6.2 trở về sau , thì pix có hỗ trợ đặc điểm này bằng cách sử dụng câu lệnh sau :
  7. failover replicate http Để stateful failover làm việc , interface Fast Ethernet hoặc là Gigabit Ethernet trong mỗi pix phải được dành riêng cho các thông tin trạng thái đi qua (các interface này được gọi là stateful failover interface ) . Interface này phải cung cấp kết nối giữa primary và secondary firewall thông qua các phương pháp sau : - crossover Ethernet cable - hub hoặc switch dành riêng - VLAN dành riêng trong switch chỉ có 2 port kết nối đến firewall active trong VLAN ?Note : Stateful failover interface ít nhất là interface nhanh bằng interface nhanh nhất trong firewall . Token Ring và FDDI không hỗ trợ stateful failover . Cấu hình failover - để kích hoạt tính năng failover trong Pix , sử dụng failover command : pix(config)# failover - để cấu hình địa chỉ ip failover , sử dụng command sau : failover ip address ip_name ip_address - để bật tính năng stateful failover , sử dụng : failover link stateful_if_name stateful_if_name : chỉ ra interface dành riêng cho stateful failover . Mặc định là port LAN cao nhất có cấu hình failover . - để PIX đóng vai trò active , sử dụng : failover active - Kiểm tra failover : Show failover LAN-based failover Các PIX OS version 6.2 có hỗ trợ tính năng LAN-based failover . Trong LAN-based failover , thay vì sử dụng serial failover cable , Ethernet link được sử dụng để giám sát trạng thái failover và trao đổi thông tin failover . Ưu điểm lớn nhất khi sử dụng LAN-based failover là giải quyết được vấn đề giới hạn về khoảng cách mà standard failover gặp phải (serial failover cable dài tối đa chỉ 6 feet) . Ethernet link phải là interface LAN dành riêng . Tuy nhiên , nếu sử dụng stateful failover , thì cùng interface đó có thể được sử dụng để trao đổi thông tin trạng thái . Một hub hay switch dành riêng hoặc là VLAN dành riêng trong switch có thể được sử dụng để kết nối 2 PIX firewall cho LAN-based failover , nhưng crossover Ethernet cable không dùng được . Nhược điểm khi sử
  8. dụng LAN-based failover là mất nguồn thì firewall khác không phát hiện được .

CÓ THỂ BẠN MUỐN DOWNLOAD

 

Đồng bộ tài khoản