Cấu hình 4 interface yêu cầu phải chú ý nhiều hơn đến những khía cạnh nhỏ nhưng
nói chung là chúng được cấu hình với các lệnh PIX Firewall chuẩn.Để cho phép
một người sử dụng trên interface có mức an ninh cao hơn truy cập đến các host trên
interface có m ức an ninh thấp hơn, sử dụng lệnh nat và global(ví dụ, người sử
dụng trên inside interface truy cập đến web server trên DMZ interface)
Để người sử dụng trên interface có mức an ninh thấp hơn(người sử dụng trên các
interface mạng partnernettruy cập đến các host trên interface có mức an ninh cao
hơn(DMZ), sử dụng lệnh staticvà conduit. Như b ạn thấy trong hình trên, các
mạng đối tác có mức an ninh là 40 và DMZ có mức an ninh là 50. DMZ sẽ sử dụng
lệnh natvà bglobal để giao tiếp với mạng đối tác và sẽ sử dụng lệnh staticvà
conduitđể nhận lưu lượng từ partnernet
15 trang |
Chia sẻ: maiphuongdc | Lượt xem: 2058 | Lượt tải: 1
Bạn đang xem nội dung tài liệu Bài giảng Cấu hình đa giao diện (Configuration multiple Interface), để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
CHAPTER 7:CONFIGURING MULTIPLE INTERFACE
Trần Giáo_Khoa CNTT_ĐH Thái Nguyên
1
Chương 7
Cấu hình đa giao diện
(Configuration multiple Interface)
Tổng quan
Chương này bao gồm các topic sau:
Mục tiêu
Cấu hình thêm các interface
Tổng hợp
Lab exercise
CHAPTER 7:CONFIGURING MULTIPLE INTERFACE
Trần Giáo_Khoa CNTT_ĐH Thái Nguyên
2
Mục tiêu
CHAPTER 7:CONFIGURING MULTIPLE INTERFACE
Trần Giáo_Khoa CNTT_ĐH Thái Nguyên
3
Cấu hình thêm các interface
Phần này mô tả cách cấu hình nhiều interface trên Cisco Secure PIX Firewall
PIX Firewall hỗ trợ tới 8 interface vành đai cho các nền tảng có khả năng mở rộng
và yêu cầu về chính sách an ninh trên các dịch vụ có khả năng truy cập một cách
công cộng. Nhiều interface vành đai cho phép PIX Firewall bảo vệ các dịch vụ như
web, mail, DNS server trên miền DMZ. Web-base và các ứng dụng Electronic Data
Interchange (EDI) liên kết các nhà phát triển và các khách hàng cũng đảm bảo an
ninh hơn và khả năng mở rộng khi sử dụng mạng vật lý riêng biệt. Khi mà xu
hướng xây dựng mạng intranet ngày càng nhiều thì PIX Firewall đã chuẩn bị sẵn
sảng đáp ứng các yêu cầu đó
CHAPTER 7:CONFIGURING MULTIPLE INTERFACE
Trần Giáo_Khoa CNTT_ĐH Thái Nguyên
4
Khi cấu hình nhiều interface, hãy nhớ rằng mức an ninh được thiết kế cho một
interface là inside (tin cậy) hoặc outside (không tin cậy) liên quan tới interface khác.
Một interface được xem như là inside trong mối quan hệ với interface nếu mức an
ninh của nó cao hơn mức an ninh của interface kia. Và được xem là outside trong
mối quan hệ với một interface khác nếu mức an ninh của nó thấp hơn mức an ninh
của interface kia.
(Nói một cách nôm na theo kiểu người Việt Nam chúng ta, nó là thế này: thuật ngữ
inside, outside là tùy từng trường hợp. Với 2 interface thì cái nào có mức an ninh
thấp hơn là outside, cao hơn là inside. Vì vậy mà 1 interface có thể là inside đối với
interface này nhưng là outside đối với interface khác.)
Một quy tắc cơ bản cho mức an ninh đó là một interface có mức an ninh cao hơn có
thể truy cập tới một interface có mức an ninh thấp hơn. Lệnh nat và global làm
việc cùng nhau để cho phép mạng sử dụng bất kỳ lược đồ địa chỉ IP nào để duy trì
tính ẩn trước mạng bên ngoài
Một interface với mức an ninh thấp không thể truy cập một interface có mức an
ninh cao hơn trừ khi là bạn chỉ định cho phép nó bằng cách thực hiện cặp lệnh
static và conduit hoặc static và access-list
CHAPTER 7:CONFIGURING MULTIPLE INTERFACE
Trần Giáo_Khoa CNTT_ĐH Thái Nguyên
5
Một giao diện thứ 3 được cấu hình như hình vẽ. Khi PIX Firewall là thiết bị với 3
hoặc nhiều hơn các interface, sử dụng nguyên tắc sau để cấu hình cho nó khi sử
dụng NAT:
Outside interface không thể đổi tên hoặc thay đổi mức an ninh khác đi
Một interface luôn luôn là “outside” đối với interface khác mà có mức an
ninh cao hơn. Gói tin không thể đi qua giữa các interface mà có cùng mức an
ninh
Sử dụng một khai báo đường mặc định đơn chỉ đến outside interface. Thiết
lập tuyến đường mặc định với lệnh route
Sử dụng lệnh nat cho phép người sử dụng trên interface tương ứng bắt đầu
một outbound connection (kết nối ra ngoài). Kết hợp nat_id với global_id
trong lệnh global. Số id có thể là một số bất kỳ, hỗ trợ lên đến 2 tỷ
Sau khi bạn hoàn thành cấu hình thêm, thay đổi, gỡ bỏ khai báo global, ghi
lại cấu hình và nhập lệnh clear xlate vì vậy mà địa chỉ IP sẽ được cập nhật
trong translation table (bảng dịch).
Để cho phép truy cập đến server trên các mạng được bảo vệ, sử dụng lệnh
static và conduit
CHAPTER 7:CONFIGURING MULTIPLE INTERFACE
Trần Giáo_Khoa CNTT_ĐH Thái Nguyên
6
Trong hình vẽ phía trên PIX Firewall có 4 interface, người sử dụng trên tất cả các
interface có thể truy cập đến các server và host (inside, outside, DMZ và
partnernet).
Cấu hình 4 interface yêu cầu phải chú ý nhiều hơn đến những khía cạnh nhỏ nhưng
nói chung là chúng được cấu hình với các lệnh PIX Firewall chuẩn. Để cho phép
một người sử dụng trên interface có mức an ninh cao hơn truy cập đến các host trên
interface có mức an ninh thấp hơn, sử dụng lệnh nat và global (ví dụ, người sử
dụng trên inside interface truy cập đến web server trên DMZ interface)
Để người sử dụng trên interface có mức an ninh thấp hơn (người sử dụng trên các
interface mạng partnernet truy cập đến các host trên interface có mức an ninh cao
hơn (DMZ), sử dụng lệnh static và conduit. Như bạn thấy trong hình trên, các
mạng đối tác có mức an ninh là 40 và DMZ có mức an ninh là 50. DMZ sẽ sử dụng
lệnh nat và bglobal để giao tiếp với mạng đối tác và sẽ sử dụng lệnh static và
conduit để nhận lưu lượng từ partnernet
CHAPTER 7:CONFIGURING MULTIPLE INTERFACE
Trần Giáo_Khoa CNTT_ĐH Thái Nguyên
7
Bảng dưới đây là một tham chiếu nhanh nhằm hướng dẫn khi sử dụng lệnh nat và
static để cấu hình nhiều interface khác nhau trong PIX Firewall:
Từ giao diện Đến giao diện Sử dụng lệnh này
Inside Outside Nat
Inside DMZ Nat
Inside Partnernet Nat
DMZ Outside Nat
DMZ Partnernet Nat
DMZ Inside Static
Partnernet Outside Nat
Partnernet DMZ Static
Partnernet Inside Static
Outside DMZ Static
Ouside Partnernet Static
Outside Inside static
Qua bảng trên thì chúng ta có thể nhớ nôm na theo kiểu người Việt như sau:
Với 2 interface: thằng có mức an ninh cao muốn truy cập tới thằng có mức an ninh
thấp thì dùng lệnh nat. còn ngược lại thì dùng lệnh static. (bọn Tây nó cứ dài dòng
thế đấy các bạn ạ)
CHAPTER 7:CONFIGURING MULTIPLE INTERFACE
Trần Giáo_Khoa CNTT_ĐH Thái Nguyên
8
Lab exercise – Configure Inside Multiple Interface
Cấu hình nhiều inside interface
Mục tiêu: Trong bài lab này bạn sẽ phải hoàn thành những nhiệm vụ sau:
Cấu hình nhiều inside interface
Cấu hình ouside truy cập đến DMZ
Topo
Hướng dẫn
Nhiệm vụ của bạn trong bài tập này là cấu hình PIX Firewall để nó làm việc cùng
với router vành đai để bảo vệ mạng campus (mạng của trường đại học) trước những
kẻ tấn công. Có 1 PIX Firewall cho mỗi nhóm 2 sinh viên. Làm việc cùng với thành
viên của nhóm để thực hiện những bước sau đây:
Nhiệm vụ 1 – cấu hình nhiều inside interface
Nhiệm vụ 2 – cấu hình truy cập từ outside đến DMZ
CHAPTER 7:CONFIGURING MULTIPLE INTERFACE
Trần Giáo_Khoa CNTT_ĐH Thái Nguyên
9
Nhiệm vụ 1 – Cấu hình nhiều inside interface
Cấu hình PIX Firewall cho phép truy cập đến DMZ từ mạng inside và outside. Thực
hiện những bước dưới đây để cấu hình global address pool, NAT và định tuyến cho
interface DMZ
Bước 1: gán một dải địa chỉ IP cho các host trên public DMZ
pixP(config)# global (dmz) 1 172.16.P.20-172.16.P.254 netmask 255.255.255.0
(P = pod number)
Bước 2: cho phép sử dụng lệnh name để ánh xạ chuỗi text đến địa chỉ IP
pixP(config)# names
Bước 3: sử dụng lệnh name đặt tên cho host bastion. Tên được cấu hình sẽ được
sử dụng trong các bước sau
pixP(config)# name 172.16.P.2 bastionhost
pixP(config)# show name
(where P = pod number)
Bước 4: xóa translation table vì vậy mà global IP address sẽ được cập nhật trong
bảng translation
pixP(config)# clear xlate
Bước 5: ghi cấu hình hiện tại vào bộ nhớ flash
pixP(config)# write memory
Bước 6: kiểm tra kết nối đến host bastion từ các host trong vùng inside
C:\> ping 172.16.P.2
(P = pod number)
Bước 7: kiểm tra truy cập web đến host bastion từ windows NT server bằng cách
thực hiện các bước sau đây:
1. Mở một trình duyệt web trên Windows NT server
2. Sử dụng trình duyệt web truy cập đến host bastion bằng cách gõ
3. Trang chủ của bastion host sẽ xuất hiện trên trình duyệt của bạn
4. Sử dụng lệnh show arp, show conn, show xlate để quan sát kết quả sau khi
cấu hình
CHAPTER 7:CONFIGURING MULTIPLE INTERFACE
Trần Giáo_Khoa CNTT_ĐH Thái Nguyên
10
pixP(config)# show arp
outside 192.168.P.1 00e0.1e41.8762
inside 10.0.P.3 00e0.b05a.d509
dmz bastionhost 00e0.1eb1.78df
pixP(config)# show xlate
Global 172.16.P.20 Local 10.0.P.3 static
pixP(config)# show conn
0 in use, 3 most used
TCP out bastionhost:80 in 10.0.P.3:1074 idle 0:00:07
Bytes 380 flags UIO
Bước 8: kiểm tra truy cập FTP host bastion từ Windows NT server bằng cách thực
hiện những bước sau:
1. Thiết lập một phiên FTP dến bastion host bằng cách chọn Start>Run>ftp
172.16.P.2 bạn kết nối đến được bastion host nếu bạn nhận được thông điệp
“connected to 172.16.P.2”
2. Log into FTP session
User (172.16.P.2(none)): anonymous
331 Anonymous access allowed, send identity (e-mail name) as password.
Password: cisco
3. thoát phiên FTP nếu bạn đã kết nối được và log gin: ftp>quit
Nhiệm vụ 2 – Cấu hình ousite truy cập đến DMZ
Cấu hình PIX Firewall cho phép outside truy cập đến các host trong DMZ. Cấu hình
một static và conduit để kiểm tra kết nối sử dụng lệnh ping giữa các router vành đai
và host bastion, và sau đó cấu hình truy cập HTTP và FTP.
Bước 1: tạo static translation (dịch tĩnh) cho host bastion. Sử dụng hostname đã
được cấu hình trong bước trước cho host bastion tại 172.16.P.2
pixP(config)# static (dmz,outside) 192.168.P.11 bastionhost
Bước 2: Ping đến host bastion từ host trên mạng inside khi đã được cho phép bởi
lệnh conduit và static
CHAPTER 7:CONFIGURING MULTIPLE INTERFACE
Trần Giáo_Khoa CNTT_ĐH Thái Nguyên
11
C:\> ping 192.168.Q.11
(Q = peer pod number)
Bước 3: hiển thị static translaton hiện tại
pixP(config)# show xlate
Global 172.16.P.20 Local 10.0.P.3
Global 192.168.P.10 Local 10.0.P.3 static
Global 192.168.P.11 Local bastionhost static
Bước 4: Kiểm tra truy cập đến host bastion của nhóm khác bằng cách:
1. Mở trình duyệt web trên client PC
2. sử dụng trình duyệt truy cập đến host bastion :
3. Có một nhớm cố gắng truy cập đến host bastion trong cùng một cách. Bạn sẽ
không thể truy cập được địa chỉ IP đã được ánh xạ tĩnh đến host bastion của
nhóm kia
Bước 5: Kiểm tra truy cập đến host bastion của nhóm khác bằng cách
1. trên FTP client, thử kết nối đến host bastion của nhóm khác bằng cách
Start>Run>ftp 192.168.Q.11. bạn sẽ không thể truy cập được qua FTP
2. Có một nhóm khác sử dụng FTP để kết nối đến host bastion của nhóm bạn
Bước 6: Cấu hình conduit cho phép web và FTP truy cập đến host bastion từ
outside và sau đó kiểm tra conduit. Cấu hình conduits cho phép lưu lượng TCP từ
các clients trên mạng outside truy cập đến bastion DMZ sử dụng cấu hình static lúc
trước
pixP(config)# conduit permit tcp host 192.168.P.11 eq www any
pixP(config)# conduit permit tcp host 192.168.P.11 eq ftp any
Bước 7: kiểm truy cập web đến host bastion của nhóm khác bằng cách:
1. Mỏ trình duyệt web trên client PC
2. Sử dụng trình duyệt web truy cập đến host bastion của nhóm đó
3. Sử dụng lệnh show arp, show conn, show xlate để quan sát quá trình thực
hiện cấu hình
Bước 8: Kiểm tra truy cập FTP của đến host bastion của nhóm khác bằng cách
CHAPTER 7:CONFIGURING MULTIPLE INTERFACE
Trần Giáo_Khoa CNTT_ĐH Thái Nguyên
12
1. Trên PC client, sử dụng FTP kiểm tra: start>Run>ftp 192.168.Q.11
2. Sử dụng lệnh show arp, show conn, show xlate để quan sát quá trình thực
hiện cấu hình
Bước 9: ghi cấu hình hiện tại đến terminal và kiểm tra đảm bảo các lệnh trước
đó đã nhập đúng. Cấu hình của bạn sẽ xuất hiện tương tự như dưới đây
pixP(config)# write terminal
Building configuration...
Building configuration...
: Saved
:
PIX Version 5.3(1)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security50
nameif ethernet3 intf3 security15
nameif ethernet4 intf4 security20
nameif ethernet5 intf5 security25
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixP
fixup protocol ftp 21
fixup protocol http 80
fixup protocol smtp 25
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol sqlnet 1521
fixup protocol sip 5060
names
name 172.16.P.2 bastionhost
pager lines 24
no logging timestamp
CHAPTER 7:CONFIGURING MULTIPLE INTERFACE
Trần Giáo_Khoa CNTT_ĐH Thái Nguyên
13
no logging standby
no logging console
no logging monitor
no logging buffered
no logging trap
logging facility 20
logging queue 512
interface ethernet0 100full
interface ethernet1 100full
interface ethernet2 100full
interface ethernet3 auto shutdown
interface ethernet4 auto shutdown
interface ethernet5 auto shutdown
mtu outside 1500
mtu inside 1500
mtu dmz 1500
mtu intf3 1500
mtu intf4 1500
mtu intf5 1500
ip address outside 192.168.P.2 255.255.255.0
ip address inside 10.0.P.1 255.255.255.0
ip address dmz 172.16.P.1 255.255.255.0
ip address intf3 127.0.0.1 255.255.255.255
ip address intf4 127.0.0.1 255.255.255.255
ip address intf5 127.0.0.1 255.255.255.255
ip audit info action alarm
ip audit attack action alarm
no failover
failover timeout 0:00:00
failover poll 15
failover ip address outside 0.0.0.0
CHAPTER 7:CONFIGURING MULTIPLE INTERFACE
Trần Giáo_Khoa CNTT_ĐH Thái Nguyên
14
failover ip address inside 0.0.0.0
failover ip address dmz 0.0.0.0
failover ip address intf3 0.0.0.0
failover ip address intf4 0.0.0.0
failover ip address intf5 0.0.0.0
arp timeout 14400
global (outside) 1 192.168.P.20-192.168.P.254 netmask 255.255.255.0
global (dmz) 1 172.16.P.20-172.16.P.254 netmask 255.255.255.0
nat (inside) 1 10.0.P.0 255.255.255.0 0 0
static (inside,outside) 192.168.P.10 10.0.P.3
static (dmz,outside) 192.168.P.11 bastionhost
conduit permit icmp any any
conduit permit tcp host 192.168.P.10 eq www any
conduit permit tcp host 192.168.P.11 eq www any
conduit permit tcp host 192.168.P.11 eq ftp any
route outside 0.0.0.0 0.0.0.0 192.168.P.1 1
timeout xlate 3:00:00 conn 1:00:00 half-closed 0:10:00 udp 0:02:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00
si
p 0:30:00 sip media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
no sysopt route dnat
isakmp identity hostname
telnet timeout 5
CHAPTER 7:CONFIGURING MULTIPLE INTERFACE
Trần Giáo_Khoa CNTT_ĐH Thái Nguyên
15
ssh timeout 5
terminal width 80
Cryptochecksum:9963c491006b1296815f3437947fab81
: end
[OK]
Tiêu chuẩn hoàn thành
Bạn hoàn thành bài Lab này khi mà bạn có thể truy cập được đến host bastion. Và
các nhóm khác cũng có thể truy cập được đến host bastion của bạn
Các file đính kèm theo tài liệu này:
- chuong_7.pdf