Đồ án Thiết kế mạng an toàn sử dụng PIX firewall cho trường Cao đẳng cơ khí luyện kim

MỤC LỤC

LỜI NÓI ĐẦU 1

LỜI CẢM ƠN 2

LỜI CAM ĐOAN 3

MỤC LỤC 4

CHƯƠNG 1 6

TÌM HIỂU VỀ AN NINH MẠNG VÀ CHÍNH SÁCH AN NINH 6

1. Sự cần thiết của an ninh mạng 6

2. Nhận diện các nguy cơ tiềm ẩn trong an ninh mạng 7

3. Các mối đe dọa và tấn công mạng máy tính 8

3.1. Unstructured Threats (Các mối đe dọa không có cấu trúc) 8

3.2. Structured Threats (Các mối đe dọa có cấu trúc) 8

3.3. External Threats (Các mối đe dọa bên ngoài) 9

3.4. Internal Threats (Các mối đe dọa bên trong) 9

4. Các cách thức tấn công mạng máy tính 9

4.1 Sự thăm dò - Reconnaisance 9

4.2 Truy nhập - Access 10

4.3. Cấm các dịch vụ (DoS) - Denial of Service 10

4.4. Worms, Virus và Trojan Horses 11

5. Chính sách an ninh 12

5.1 The Security Wheel (bánh xe an ninh) 12

5.2 Bảo vệ và quản lý các điểm cuối 17

5.3. Bảo vệ và quản lý mạng 19

CHƯƠNG 2 23

TƯỜNG LỬA CISCO PIX FIREWALL 23

I. Firewall và các kỹ thuật firewall 23

1. Firewall 23

2. Các kỹ thuật tường lửa 23

2.1. Kỹ thuật packet filtering 24

2.1. Kỹ thuật Proxy Server 25

2.3. Kỹ thuật stateful packet filtering 26

II. Tổng quan về PIX Firewall 26

III. Các dòng PIX Firewall và nguyên tắc hoạt động. 27

1. Các dòng PIX Firewall 27

2. Nguyên tắc hoạt động của PIX Firewall 31

IV. Các lệnh duy trì thông thường của PIX Firewall 33

1. Các chế độ truy cập 33

2. Các lệnh duy trì thông thường của PIX Firewall 34

2.1. Lệnh enable 34

2.2. Lệnh enable password 34

2.3. Lệnh write 35

2.4. Lệnh telnet 35

2.5. Lệnh hostname và ping 37

2.6. Lệnh show 38

2.7. Lệnh name 38

CHƯƠNG 3 40

CẤU HÌNH, DỊCH CHUYỂN ĐỊA CHỈ VÀ ĐIỀU KHIỂN TRUY CẬP TRONG PIX FIREWALL 40

I. Các lệnh cấu hình cơ bản PIX Firewall 40

1. Lệnh nameif 40

2. Lệnh interface 41

3. Lệnh ip addresss 42

4. Lệnh nat 42

5. Lệnh global 43

6. Lệnh route 44

II. Dịch chuyển địa chỉ trong PIX Firewall 45

1. Tổng quan về NAT 45

1.1. Mô tả NAT 45

1.2. Nat control 46

2. Các kiểu NAT 47

2.1 Dynamic NAT 47

2.2. PAT 48

2.3. Static NAT 48

2.3. Static PAT 48

3. Cấu hình Nat Control 49

4. Sử dụng Dynamic NAT và PAT 49

5. Sử dụng lệnh Static NAT 55

6. Sử dụng Static PAT 56

III. ACCESS LIST 56

1. Tổng quan về access list 56

1.1. Thứ tự các ACE 57

1.2. Access Control Implicit Deny 57

1.3. Địa chỉ IP được sử dụng cho access list khi sử dụng NAT 57

2. Cấu hình access list 59

2.1. Câu lệnh access – list. 59

2.2. Câu lệnh access – group 60

CHƯƠNG 4 61

THIẾT KỆ MẠNG AN TOÀN CHO TRƯỜNG 61

CAO ĐẲNG CƠ KHÍ LUYỆN KIM SỬ DỤNG PIX FIREWALL 61

I. Khảo sát hệ thống mạng hiện tại và các yêu cầu cần nâng cấp. 61

1. Hiện trạng hệ thống 61

2. Đánh giá hiệu năng và mức an toàn của hệ thống 62

3. Các yêu cầu nâng cấp hệ thống mạng hiện tại của trường 63

II. Thiết kế hệ thống mạng sử dụng thiết bị PIX firewall. 64

1. Sơ đồ thiết kế hệ thống mới. 64

2. Cấp phát địa chỉ 66

3. Cấu hình mô phỏng hệ thống 68

3.1. Các phần mềm được sử dụng cho cấu hình mô phỏng 68

3.2. Các câu lệnh cấu hình 70

4. Kiểm tra cấu hình 77

KẾT LUẬN 79

TÀI LIỆU THAM KHẢO 80

 

 

doc78 trang | Chia sẻ: netpro | Lượt xem: 3522 | Lượt tải: 5download
Bạn đang xem trước 20 trang tài liệu Đồ án Thiết kế mạng an toàn sử dụng PIX firewall cho trường Cao đẳng cơ khí luyện kim, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
ông tin nằm trải rộng sang một bảng. Để một phiên được thiết lập thông tin về các kết nối phải kết hợp được với thông tin trong bảng PIX Firewall có thể vận hành và mở rộng cấp độ được với các ISPes, các ISPec bao gồm một lưới an ninh và các giao thức chứng thực như là Internet Key Exchange (IKE) và Public Key Infrastructure (PKI). Các máy clients ở xa có thể truy cập một cách an toàn đến mạng của công ty thông qua các ISPs của họ III. Các dòng PIX Firewall và nguyên tắc hoạt động. 1. Các dòng PIX Firewall PIX 501 Hình 3.1. PIX 501 Kích cỡ 1.0 x 6.25 x 5.5 inches và 0.75 pounds Được thiết kế cho các văn phòng nhỏ, tốc độ an toàn cao, trên những môi trường trải rộng. Thông lượng là 60 Mbps đối với dữ liệu text Hỗ trợ 1 cổng 10/100BASE-T Ethernet và 1 switch 4 cổng Thông lượng VPN 3 Mbps 3DES 4.5 Mbps 128-bit AES Kết nối 10 mạng VPN ngang hàng đồng thời PIX 506E Hình 3.2. PIX 506E Là giải pháp bảo mật cho các văn phòng ở xa, các chi nhánh công ty và các mạng doanh nghiệp nhỏ, trung bình. Một số đặc điểm của PIX 506E như sau: Kích cỡ 8 x 12 x 17 inches Bộ nhớ Flash 8 Mb Hỗ trợ 2 cổng 10/100 BASE-T, 2 VLANs Hỗ trợ chuẩn Ipsec Thông lượng là 100 Mbps đối với dữ liệu text Thông lượng VPN 17Mbps 3DES 30Mbps 128 bit AES Không thể kết nối nhiều hơn 25 mạng VPN ngang hàng đồng thời Với phiên bản 6.3, có hai tùy chọn mã hóa VPN: DES với 56 bit mã hóa hoặc 3DES với 168 bit mã hóa 3DES và 256 bit mã hóa AES. PIX 515 Hình 3.3 PIX 515 Dùng cho trong các doanh nghiệp nhỏ và trung bình Thông lượng 118Mbps đối với dữ liệu text Thông lượng VPN 140 Mbps 3DES ( VACÆ) 140 Mbps 256-bit AES (VACÆ) Hỗ trợ các cổng 6 cổng 10/100 ethernet 25 VLANs 5 ngữ cảnh bảo mật Bộ nhớ Flash 16 MB PIX 525 Hình 3.4. PIX 525 Dùng cho các mạng trung bình và lớn Thông lượng là 330 Mbps đối với dữ liệu text Các cổng hỗ trợ 10 cổng 10/100 Fast Ethernet 100 VLANs 50 ngữ cảnh bảo mật Thông lượng VPN 155 Mbps 3DES (VACÆ) 170 Mbps 256-bit AES (VACÆ) PIX 535 Hình 3.5. PIX 535 Thiết kế cho các mạng lớn và mạng của nhà cung cấp dịch vụ Thông lượng là 1.7 Gbps đối với dữ liệu text Các cổng hỗ trợ 14 cổng Fast Ethernet và Gigabit Ethernet 200 VLANs 100 ngữ cảnh bảo mật Thông lượng VPN 440 Mbps 3DES (VACÆ) 440 Mbps 256-bit AES (VACÆ) Bộ nhớ Flash là 16 MB 2. Nguyên tắc hoạt động của PIX Firewall Nguyên tắc chung của firewall (kể cả firewall dạng phần mềm như proxy hay dạng thiết bị cứng như là PIX) là bắt gói dữ liệu đi ngang qua nó và so sánh với các luật đã thiết lập. Nếu thấy không vi phạm luật nào thì cho đi qua, ngược lại thì hủy gói dữ liệu. PIX firewall hoạt động dựa trên cơ chế ASA (Adaptive Security Algorithm) sử dụng Security level (mức độ bảo mật). Giữa hai cổng thì một sẽ có Security level cao hơn, một có Security level thấp hơn. Vấn đề cốt lõi của các thiết bị an ninh là thuật toán An ninh tổng hợp (Adaptive Security Algorithm - ASA). Giải thuật ASA duy trì vành đai an toàn giữa các mạng điều khiển bởi thiết bị an ninh. ASA tuân theo các quy luật sau: Không gói tin nào đi qua PIX mà không có một kết nối và trạng thái Cho phép các kết nối ra bên ngoài, trừ những kết nối bị cấm bởi danh sách điều khiển truy nhập ACLs. Một kết nối ra bên ngoài có thể là một nguồn hoặc một client ở cổng có mức bảo mật cao hơn nơi nhận hoặc server. Cổng có mức bảo mật cao nhất là inside với giá trị là 100, cổng có mức bảo mật thấp nhất là outside với giá trị là 0. Bất kỳ cổng nào khác cũng có thể có mức bảo mật nhận giá trị từ 1 đến 99. Cấm các kết nối vào bên trong, ngoại trừ những kết nối được phép. Một kết nối vào bên trong là một nguồn hoặc client ở cổng hay mạng có mức bảo mật thấp hơn nơi nhận hoặc server. Tất cả các gói ICMP đều bị cấm, trừ những gói được phép Mọi sự thử nghiệm nhằm phá vỡ các quy tắc trên đều bị hủy bỏ Trên mỗi cổng của PIX có các mức độ bảo mật (Security-level), xác định một giao tiếp (interface) là tin cậy, được bảo vệ hay không tin cậy, được bảo vệ ít và tương quan với các giao tiếp khác như thế nào. Một giao tiếp được xem là tin cậy trong mối quan hệ với các giao tiếp khác nếu nó có mức độ bảo mật cao hơn. Quy tắc cơ bản về mức độ bảo mật là: Dữ liệu có thể đi vào PIX thông qua một interface với Security level cao hơn , đi qua PIX và đi ra ngoài thông qua interface có Security level thấp hơn. Ngược lại, dữ liệu đi vào interface có Security level thấp hơn không thể đi qua PIX và đi ra ngoài thông qua interface có Security level cao hơn nếu trên PIX không có cấu hình conduit hoặc access-list để cho phép nó thực hiện điều này. Các mức bảo mật đánh số từ 0 đến 100. Mức 0: Là mức thấp nhất, thiết lập mặc định cho outside interface (cổng ra ) của PIX, thường dành cho cổng kết nối ra Internet. Vì 0 là mức bảo mật ít an toàn nhất nên các untrusted network thường ở sau interface này. Các thiết bị ở outside chỉ được phép truy nhập vào PIX khi nó được cấu hình để làm điều đó. Mức 100: Là mức cao nhất cho một interface. Nó được sử dụng cho inside interface ( cổng vào ) của PIX, là cấu hình mặc định cho PIX và không thể thay đổi. Vì vậy mạng của tổ chức thường ở sau interface này, không ai có thể truy nhập vào mạng này trừ khi được phép thực hiện điều đó. Việc cho phép đó phải được cấu hình trên PIX; các thiết bị trong mạng này có thể truy nhập ra mạng outside. Mức từ 1 đến 99: Được dành cho những mạng xung quanh kết nối tới PIX, đăng ký dựa trên kiểu của truy nhập của mỗi thiết bị, thông thường là kết nối đến một mạng hoạt động như là Demilitarized zone ( DMZ ). Khi có nhiều kết nối giữa PIX và các thiết bị xung quanh thì: Dữ liệu đi từ interface có Security level cao hơn đến interface có Security level thấp hơn: Cần phải có một translation ( static hay dynamic ) để cho phép giao thông từ interface có Security level cao hơn đến interface có Security level thấp hơn. Khi đã có translation này, giao thông bắt đầu từ inside interface đến outside interface sẽ được phép, trừ khi nó bị chặn bởi access-list, authentication hay authorization. Dữ liệu đi từ interface có Security level thấp hơn đến interface có Security level cao hơn: 2 điều quan trọng cần phải được cấu hình để cho giao thông từ interface có Security level thấp hơn đến interface có Security level cao hơn là static translation và conduit hoặc access-list. Dữ liệu đi qua hai interface có Security level như nhau: Không có giao thông đi giữa hai interface có Security level như nhau. IV. Các lệnh duy trì thông thường của PIX Firewall 1. Các chế độ truy cập PIX Firewall chứa tập các lệnh dựa trên hệ điều hành Cisco IOS và cung cấp 4 chế độ truy cập: Unprivileged mode (chế độ truy cập không đặc quyền) – Chế độ này sẽ sẵn có khi bạn lần đầu tiên truy cập vào PIX Firewall. Từ dấu nhắc > được hiển thị, chế độ này cho phép bạn xem các thiết lập một cách hạn chế. Privileged mode (chế độ đặc quyền) – Chế độ này hiển thị dấu nhắc # và cho phép bạn thay đổi cài đặt hiện tại. Bất kỳ lệnh trong chế độ không đặc quyền nào đều có thể làm việc trong chế độ đặc quyền. Configuration mode (chế độ cấu hình) – Chế độ này hiển thị dấu nhắc (config)# và cho phép bạn thay đổi cấu hình hệ thống. Tất cả các lệnh đặc quyền, không đặc quyền và lệnh cấu hình đều làm việc ở chế độ này. Monitor mode (chế độ theo dõi kiểm tra) – Đây là một chế độ đặc biệt nó cho phép bạn cập nhật image trên mạng. Trong chế độ này bạn có thể nhập các lệnh chỉ định vị trí của TFTP server và image nhị phân để download. Trong mỗi một kiểu truy cập, ta có thể rút gọn một cách tối đa câu lệnh xuống chỉ còn một vài ký tự riêng biệt của câu lệnh đó. Ví dụ ta có thể nhập write t để xem cấu hình thay vì phải nhập câu lệnh đầy đủ write terminal. Có thể nhập en thay cho enable để bắt đầu chế độ đặc quyền, co t thay cho configuration terminal để bắt đầu chế độ cấu hình. Thông tin trợ giúp luôn sẵn có trong dòng lệnh của PIX Firewall bằng cách nhập help hoặc ? để liệt kê tất cả các lệnh. Nếu bạn nhập help hoặc ? sau một lệnh (ví dụ router), thì cú pháp lệnh router sẽ được liệt kê ra. Số các lệnh được liệt kê ra khi ta dùng dấu hỏi hoặc từ khóa help là khác nhau ở các chế độ truy cập vì vậy mà chế độ không đặc quyền sẽ đưa ra các lệnh ít nhất và chế độ cấu hình sẽ đưa ra số lệnh nhiều nhất. Hơn nữa ta có thể nhập bất cứ một lệnh nào (chính nó) ở trên dòng lệnh và sau đó ấn phím Enter để xem cú pháp lệnh 2. Các lệnh duy trì thông thường của PIX Firewall Có một số lệnh duy trì thông thường của PIX Firewall: Lệnh Enable, enable password và passwd – Được sử dụng để truy cập vào phần mềm PIX Firewall để thay đổi mật khẩu. Write erase, wirte memory và write team – Được sử dụng để hiển thị cấu hình hệ thống và lưu trữ cấu hình dữ liệu mới Show interface, show ip address, show memory, show version và show xlate – Được sử dụng để kiểm tra cấu hình hệ thống và thông tin thích hợp khác Exit và reload – Được sử dụng để thoát một chế độ truy cập, tải lại một cấu hình và khởi động lại hệ thống Hostname, ping và telnet – Được sử dụng để xác định nếu một địa chỉ IP khác tồn tại, thay đổi hostname, chỉ định host cục bộ cho PIX Firewall và giành quyền truy cập console 2.1. Lệnh enable Lệnh enable cho phép ta vào chế độ truy cập đặc quyền, sau khi nhập enable, PIX Firewall sẽ nhắc mật khẩu để truy cập vào chế độ đặc quyền. Mặc định thì mật khẩu này không yêu cầu vì thế mà chỉ cần ấn phím Enter, sau khi bạn vào chế độ đặc quyền hãy để ý dấu nhắc sẽ thay đổi sang ký hiệu #. Khi gõ configure terminal nó sẽ vào chế độ cấu hình và dấu nhắc thay đổi sang (config)#. Để thoát và quay trở về chế độ trước đó, sử dụng lệnh disable, exit hoặc quit 2.2. Lệnh enable password Lệnh enable password thiết lập mật khẩu truy cập vào chế độ đặc quyền. Bạn sẽ được nhắc mật khẩu này sau khi nhập lệnh enable (Khi PIX Firewall khởi động và bạn nhập vào chế độ đặc quyền thì sẽ xuất hiện dấu nhắc để nhập mật khẩu) Không có mật khẩu mặc định do đó bạn có thể ấn phím enter tại dấu nhắc mật khẩu hoặc bạn có thể tạo ra mật khẩu do bạn chọn. Mật khẩu phân biệt chữ hoa và chữ thường, hỗ trợ độ dài lên đến 16 ký tự chữ số. Bất kỳ ký tự nào cũng có thể được sử dụng lọai trừ dấu chấm hỏi, dấu cách và dấu hai chấm. Nếu bạn thay đổi mật khẩu, bạn nên ghi lại va lưu trữ nó ở một nơi thích hợp. Sau khi bạn thay đổi mật khẩu thì bạn không thể xem lại nó bởi vì nó đã được mã hóa. Lệnh show enable password chỉ đưa ra dạng mật khẩu đã được mã hóa. Sau khi mật khẩu đã bị mã hóa chúng không thể đảo ngược lại dạng văn bản thông thường Lệnh passwd cho phép bạn thiết lập mật khẩu Telnet truy cập vào PIX Firewall. Mặc định giá trị này là Cisco. 2.3. Lệnh write Lệnh write cho phép bạn ghi (lữ trữ) cấu hình hệ thống vào bộ nhớ, hiển thị cấu hình hệ thống và xóa các cấu hình hiện tại. Dưới đây là các lệnh write: write net – Lưu trữ cấu hình hệ thống thành một file trên TFTP server hoặc trong mạng. write earse – Xóa cấu hình bộ nhớ flash write floppy – Lữ trữ cấu hình hiện tại vào đĩa mềm (PIX Firewall 520 và các model trước đó có ổ đĩa mềm 3.5-inch) write memory – Ghi cấu hình đang chạy (hiện tại) vào bộ nhớ Flash write standby – Ghi cấu hình được lưu trong Ram trên active failover PIX Firewall, vào RAM trên standby PIX Firewall. Khi PIX Firewall hoạt động (active PIX Firewall) khởi động ghi cấu hình vào PIX dự phòng.. Sử dụng lệnh này để ghi cấu hình của active PIX Firewall sang standby PIX Firewall. Write teminal – Hiển thị cấu hình hiện tại trên thiết bị đầu cuối 2.4. Lệnh telnet telnet ip_address [netmask] [if_name] Cho phép chỉ ra host nào có thể truy cập cổng console của PIX thông qua telnet. Với các version 5.0 trở về trước, chỉ có các internal host mới có thể truy cập vào PIX firewall thông qua telnet, nhưng các version sau này, user có thể telnet vào PIX firewall qua tất cả các interface. Tuy nhiên, PIX firewall khuyến cáo rằng, tất cả telnet traffic đến outside interface phải được bảo vệ bởi IPSEC. Do đó, để khởi động một telnet session đến PIX, user cần cấu hình PIX để thiết lập IPSEC tunnel họăc là với một PIX khác, hoặc là router, hay là VPN Client. clear telnet [ip_address [netmask] [if_name]] Di chuyển đến phiên telnet truy cập từ một địa chỉ IP trước đó telnet timeout minutes Thiết lập thời gian cực đại một phiên telnet có thể không được sử dụng trước khi nó bị kết thúc bởi PIX Firewall kill telnet_id Kết thúc một phiên telnet. Khi bạn kết thúc một phiên telnet, PIX Firewall sẽ ngăn chặn mọi lệnh kích hoạt và sau đó hủy kết nối mà không cảnh báo người sử dụng. who local_ip Cho phép bạn hiển thị địa chỉ IP hiện tại đang truy cập vào PIX Firewall thông qua telnet Ip_address Một địa chỉ IP của một host hoặc mạng mà có thể Telnet đến PIX Firewall . Nếu không đưa ra tên giao diện (if_name) thì mặc định sẽ là giao diện phía trong (mạng bên trong). PIX Firewall tự động kiểm tra địa chỉ IP dựa trên địa chỉ IP được nhập bởi lệnh ip address để đảm bảo rằng địa chỉ bạn đưa ra thuộc về mạng bên trong (đối với các IOS version dưới 5.0) Netmask Mặt nạ mạng của địa chỉ IP. Để giới hạn truy cập đến một địa chỉ IP đơn thì sử dụng 255 cho mỗi octet (ví dụ, 255.255.255.255). Nếu bạn không đưa ra netmask thì mặc định là 255.255.255.255 đối với lớp local_ip (ip cục bộ). Không sử dụng mặt nạ mạng con của mạng bên trong. Mặt nạ mạng chỉ là một bit mask cho địa chỉ IP trong ip address If_name Nếu Ipsec đang hoạt động, PIX Firewall cho phép bạn đưa ra một tên giao diện không đảm bảo. Thông thường là mạng phía ngoài. Tối thiểu thì lệnh cryto map cần được cấu hình để đưa ra tên một giao diện với lệnh Telnet Minutes Số phút mà phiên telnet có thể không sử dụng đến trước khi bị đóng bởi PIX Firewall. Mặc định là 5 phút. Hỗ trợ từ 1-60 phút telnet_id Định danh phiên telnet local_ip Một tùy chọn địa chỉ ip bên trong để giới hạn danh sách đến một địa chỉ ip hoặc một địa chỉ mạng 2.5. Lệnh hostname và ping Lệnh hostname thay đổi nhãn trên dấu nhắc. hostname có thể hỗ trợ lên tới 16 ký tự alpha và chữ hoa, chữ thường. mặc định thì hostname là pixfirewall. Lệnh ping được sử dụng nếu PIX Firewall đã được kết nối hoặc nếu tồn tại một host (được nhận diện bởi PIX Firewall ) trên mạng. Nếu host tồn tại trên mạng thì lệnh ping nhận được còn nếu không thì sẽ có thông báo “NO response received”. (lúc này bạn sử dụng lệnh show interface để đảm bảo rằng PIX Firewall đã được được kết nối đến mạng và đã thông lưu lượng). Mặc định lênh ping sẽ cố gắng ping đến host đích 3 lần. Sau khi PIX Firewall được cấu hình và hoạt động, chúng ta sẽ không thể ping đến giao diện bên trong (mạng bên trong) của PIX Firewall từ mạng bên ngoài hoặc từ giao diện bên ngoài (outside interface) của PIX Firewall. Nếu có thể ping những mạng bên trong từ giao diện bên trong và nếu bạn có thể ping những mạng bên ngoài từ giao diện bên ngoài thì PIX Firewall đã thực hiện được đúng chức năng thông thường của nó. 2.6. Lệnh show Lệnh show cho phép hiển thị các thông tin lệnh. Lệnh này thường kết hợp với các lệnh khác để hiển thị thông tin hệ thống của lệnh đó. Ta có thể nhập show cùng với ? để xem tên của các lệnh hiển thị và mô tả về chúng. Dưới đây là ví dụ của các lệnh show khác nhau Show interface - cho phép hiển thị thông tin giao diện mạng. đây là lệnh đầu tiên mà sẽ sử dụng khi thử thiết lập một kết nối. Show history – hiển thị các dòng lệnh trước đó Show memory – hiển thị tổng quan bộ nhớ vật lý tối đa và bộ nhớ hiện tại còn trống của PIX Firewall Show vesion – cho phép hiển thị phiên bản phần mềm của PIX Firewall, thời gian hoạt động tính từ lần khởi động lại gần đây nhất, kiểu bộ vi xử lý, kiểu bộ nhớ flash, giao diện bảng mạch và số serial (BISO ID) Show xlate – hiển thị thông tin khe dịch Show cpu usage – hiển thị CPU được sử dụng. Lệnh này sử dụng ở chế độ cấu hình hoặc chế độ đặc quyền Show ip address - cho phép xem địa chỉ IP được gán đến giao diện mạng. Địa chỉ IP hiện tại giống như là địa chỉ IP hệ thống trên failover active (PIX active). Khi active unit bị lỗi, địa chỉ IP hiện tại trở thành đơn vị chuẩn (địa chỉ IP hệ thống) 2.7. Lệnh name Sử dụng lệnh name cho phép cấu hình một danh sách các ánh xạ tên đến địa chỉ IP trên PIX Firewall. Điều này cho phép sử dụng tên trong cấu hình thay cho địa chỉ IP. Bạn có thể chỉ định tên sử dụng cú pháp dưới đây: name ip_address name Ip_address Địa chỉ IP của host được đặt tên Name Tên được gán cho địa chỉ IP. Cho phép đặt tên với các ký tự từ a-z, A-Z, 0-9, dấu gạch và dấu gạch dưới. Tên không thể bắt đầu bằng số. Nếu một tên trên 16 ký tự thì lệnh sẽ lỗi Cho phép đặt tên với các ký tự từ a-z, A-Z, 0-9, dấu gạch và dấu gạch dưới. Tên không thể bắt đầu bằng số. Nếu một tên trên 16 ký tự thì lệnh sẽ lỗi. Sau khi tên được định nghĩa nó có thể được sử dụng trong bất kỳ lệnh PIX Firewall nào tham chiếu đến một địa chỉ IP. Lệnh names cho phép sử dụng lệnh name. Lệnh clear names và no names là giống nhau. Lệnh show name liệt kê các trạng thái lệnh name trong cấu hình CHƯƠNG 3 CẤU HÌNH, DỊCH CHUYỂN ĐỊA CHỈ VÀ ĐIỀU KHIỂN TRUY CẬP TRONG PIX FIREWALL I. Các lệnh cấu hình cơ bản PIX Firewall Có 6 lệnh cấu hình cơ bản cho PIX Firewall: Nameif – Gán tên đến mỗi giao diện mạng vành đai và chỉ định mức an ninh cho nó Interface – Cấu hình kiểu và khả năng của mỗi giao diện vành đai Ip address – gán một địa chỉ ip cho mỗi cổng Nat – che dấu địa chỉ trên mạng inside từ mạng outside Global – Che dấu địa chỉ IP trên mạng inside từ mạng outside sử dụng một pool (một dải địa chỉ public) của địa chỉ IP Route – định nghĩa một tuyến đường tĩnh hoặc tuyến đường mặc định cho một interface 1. Lệnh nameif Lệnh nameif gán một tên đến mỗi giao diện vành đai trên PIX Firewall và chỉ định mức an ninh cho nó (ngoại trừ giao diện inside và outside vì nó được mặc định). Cú pháp của lệnh nameif như dưới đây: nameif hardware_id if_name security_level Harware_id Chỉ định một giao diện vành đai và vị trí khe của nó ở trên PIX Firewall. Có 3 giao diện mà bạn có thể nhập ở đây: Ethernet, FDDI hoặc Token Ring. Mỗi giao diện được mô tả bởi một định danh vừa có chữ vừa có số dựa trên giao diện của nó là gì và định danh là số mà bạn chọn cho nó. Ví dụ, một giao diện Ethernet được mô tả như là e1, e2, e3….; một FDDI được mô tả như là fddi1, fddi2, fddi3….; một giao diện Token Ring được mô tả như là token-ring1, token-ring2, token-ring3…. If_name Mô tả giao diện vành đai. Tên này được bạn gán và cần sử dụng trong tất cả cấu hình tương lai tham chiếu đến giao diện vành đai Security_lever Chỉ ra mức an ninh cho giao diện vành đai, nhập mức an ninh từ 1-99 2. Lệnh interface Lệnh interface nhận dạng phần cứng, thiết lập tốc độ phần cứng và kích hoạt giao diện. Khi một card Ethernet được thêm vào nó sẽ được cài đặt trên PIX Firewall, PIX Firewall tự động nhận dạng và thêm card Cú pháp cho lệnh interface như dưới đây: interface hardware_id hardware_speed [shutdown] Hardware_id Chỉ định một giao diện và vị trí khe trên PIX Firewall. Cái này giống như biến số được sử dụng trong lệnh nameif Hardware_speed Xác định tốc độ kết nối. Giá trị Ethernet có thể như sau 10baset – thiết lập giao tiếp bán song công 10Mbps 10full – Thiết lập giao tiếp Ethernet song công hoàn toàn tốc độ 10Mbps 100basetx – Thiết lập giao tiếp Ethernet bán song công tốc độ 100 Mbps 100full - Thiết lập giao tiếp Ethernet song công hoàn toàn tốc độ 100 Mbps 1000sxfull - Thiết lập giao tiếpGigabit Ethernet song công hoàn toàn tốc độ 1000 Mbps 1000basesx – thiết lập giao tiếp gigabit Ethernet bán song công tốc độ 1000 Mbps 1000auto – Thiết lập giao tiếp gigabit Ethernet tốc độ 100 Mbps, tự động điều chỉnh bán song công hoặc song công hoàn toàn. Khuyến cáo là bạn không nên sử dụng tùy chọn này để suy trig tính tương thích với switchs và các thiết bị khác trong mạng Aui – thiết lập giao tiếp Ethernet bán song công tốc độ 10 Mbps với một giao diện cáp AUI Auto – thiết lập tốc độ Ethernet tự động. Từ khóa tự động chỉ có thể sử dụng với card mạng Intel tốc độ 10/100 Bnc - thiết lập giao tiếp Ethernet bán song công tốc độ 10 Mbps với một giao diện cáp BNC 4mbps – thiết lập tốc độ truyền dữ liệu là 4Mbps 16mbps –(mặc định) thiết lập tốc độ truyền dữ liệu là 16 Mbps Shutdown Người quản trị tắt cổng 3. Lệnh ip addresss Mỗi một giao diện trên PIX Firewall cần được cấu hình với một địa chỉ IP, cú pháp cho lệnh ip address như dưới đây: ip address if_name ip_address [netmask] Ip_name Mô tả giao diện. Tên này do bạn gán và bạn cần sử dụng trong tất cả các cấu hình trong tương lai Ip_address Địa chỉ Ip của giao diện Netmask Nếu không đưa ra một mặt nạ mạng, sẽ sử dụng mặt nạ mạng mặc định Sau khi cấu hình địa chỉ IP và mặt nạ mạng, sử dụng lệnh show ip để hiển thị địa chỉ được gán cho giao diện mạng. 4. Lệnh nat Dịch địa chỉ mạng (NAT) cho phép bạn giữ địa chỉ IP bên trong – những địa chỉ phía sau của PIX Firewall – không được biết đối với những mạng phía ngoài. NAT thực hiện điều này bằng cách dịch địa chỉ IP bên trong, địa chỉ mà không phải là duy nhất sang địa chỉ IP duy nhất trước khia gói tin được đẩy ra mạng bên ngoài nat [(if_name)] nat_id local_ip [netmask] If_name Mô tả tên giao diện mạng bên trong, nơi mà bạn sẽ sử dụng địa chỉ public Nat_id Định danh global pool và kết hợp nó với lệnh nat tương ứng Local_ip Địa chỉ IP được gán cho giao diện trên mạng inside netmask Mặt nạ mạng cho địa chỉ IP cục bộ. Bạn có thể sử dụng 0.0.0.0 để cho phép tất cả các kết nối ra bên ngoài dịch với địa chỉ IP từ global pool Khi chúng ta khởi tạo cấu hình PIX Firewall, ta có thể cho phép tất cả host inside truy cập ra kết nối bên ngoài với lệnh nat 1.0.0.0 0.0.0.0. Lệnh nat 1.0.0.0 0.0.0.0 kích hoạt NAT và cho phép tất cả các host inside truy cập ra kết nối bên ngoài. Lệnh nat có thể chỉ định một host đơn hoặc một dải các host để tạo nhiều hơn sự lựa chọn truy cập. Khi một gói tin IP truyền ra mà được gửi từ một thiết bị trên mạng inside đến PIX Firewall, địa chỉ nguồn được trích ra để so sánh với bảng dịch đang tồn tại. Nếu địa chỉ của thiết bị không tồn tại trong bảng thì sau đó nó sẽ được dịch và mục mới được tạo cho thiết bị đó, nó được gán địa chỉ IP public từ dải địa chỉ IP public. Sau khi việc dịch này xảy ra thì bảng được cập nhật và dịch IP của gói tin đẩy ra ngoài.. Sau khi người sử dụng cấu hình timeout period (hoặc giá trị mặc định là 2 phút), sau khoảng thời gian đó mà không có việc dịch gói tin cho địa chỉ IP cụ thể thì địa chỉ public đó sẽ được giải phóng để sử dụng cho một thiết bị inside khác 5. Lệnh global Cú pháp của lệnh global như dưới đây: global [(if_name)] nat_id global_ip [-global_ip] [netmask global_mask] | interface If_name Mô tả tên giao diện mạng bên ngoài mà bạn sẽ sử dụng địa chỉ global Nat_id Định danh global pool và kết hợp nó với lệnh nat tương ứng với nó Global_ip Một địa chỉ IP đơn hoặc một dãy các địa chỉ IP public -global_ip Một dãy các địa chỉ Ip public Netmask global_mask Mặt nạ mạng cho địa chỉ global_ip. Nếu có mạng con thì sử dụng mặt nạ mạng con (ví dụ, 255.255.255.128). Nếu bạn chỉ định một dãy địa chỉ mà chồng chéo lên mạng con với lệnh netmask, lệnh này sẽ không sử dụng địa chỉ mạng hoặc địa chỉ broadcast trong dải địa chỉ public. Ví dụ, nếu bạn sử dụng dải địa chỉ 192.150.50.20 – 192.150.50.140, địa chỉ mạng 192.150.50.128 và địa chỉ broadcast 192.150.50.127 sẽ không bao gồm trong dải địa chỉ public interface Chỉ định PAT sử dụng địa chỉ IP tại giao diện Nếu lệnh nat được sử dụng, thì lệnh đi cùng với nó là lệnh global cần được cấu hình để định nghĩa một dải địa chỉ IP được dịch. Để xóa mục global, sử dụng lệnh no global. Ví dụ, no global (outside) 1 192.168.1.20-12.168.1.254 netmask 255.255.255.0 PIX Firewall sẽ gán địa chỉ từ dải địa chỉ bắt đầu từ địa chỉ thấp nhất tới địa chỉ cao nhất trong dải địa chỉ được chỉ định bởi lệnh global PIX Firewall sử dụng địa chỉ public để gán một địa chỉ ảo đến địa chỉ NAT bên trong. Sau khi thêm, thay đổi hoặc gỡ bỏ một trạng thái global, sử dụng lệnh clear xlate để tạo các địa chỉ IP có sẵn trong bảng dịch (translation table) 6. Lệnh route Lệnh route định nghĩa một tuyến đường tĩnh hoặc tuyến đường mặc định cho một interface Cú pháp của lệnh route như dưới đây route if_name ip_address netmask gateway_ip [metric] If_name Mô tả tên giao diện mạng (vùng mạng) bên trong hoặc bên ngoài Ip_address Mô tả địa chỉ IP mạng bên trong hoặc bên ngoài. Sử dụng 0.0.0.0 để chỉ định tuyến đường mặc định. Địa chỉ 0.0.0.0 có thể viết tắt là 0 Netmask Chỉ định mặt nạ mạng để áp dụng cho địa chỉ ip_address. Sử dụng 0.0.0.0 để chỉ định tuyến đường mặc định. Mặt nạ mạng 0.0.0.0 có thể viết tắt là 0 Gateway_ip Chỉ định địa chỉ ip của router gateway (địa chỉ next hop cho tuyến đường này) metric Chỉ định số lượng hop đến gateway_ip. Nếu bạn không chắc chắn thì nhập 1. Người quản trị WAN của bạn có thể hỗ trợ thông tin này hoặc bạn có thể sử dụng lệnh traceroute để có được số lượng hop. Mặc định là 1 nếu một metric không được đưa ra II. Dịch chuyển địa chỉ trong PIX Firewall 1. Tổng quan về NAT 1.1. Mô tả NAT Dịch địa chỉ là thay thế địa chỉ thực trong một packet thành địa chỉ được ánh xạ có khả năng định tuyến trên mạng đích. Nat gồ

Các file đính kèm theo tài liệu này:

  • docbao_mat_voi_pix_firewall_664.doc