ĐÀO TẠO ĐÀO TẠO Bảo mật - Cisco Firewall Bảo mật - Cisco Firewall Lịch học Lịch học Nội Dung Mục Tiêu Lịch Học: Trong 5 ngày Sáng từ 9h-11h30 Chiều từ 14h-16h30 Sáng 8h30-11h30 Lý thuyết Chiều 14h-17h00 Thực hành Ngày 1 Ngày 2 Ngày 3 Bài 1 : Tổng quan về Cisco Firewall Bài 2: Các bước đầu làm quen và cấu hình thiết bị bảo mật của Cisco Bài 1 :Thiết lập console đến thiết bị firewall Bài 2: Thực hiện một số câu lệnh cơ bản Bài 3: Cấu hình các interface Bài 2: Các bước đầu làm quen và cấu hình thiết bị bảo mật của Cisco (continue) Bài 3: Quản lý thiết bị bảo mật cisco ASA Bài 4: Access Control Lists Bài 4: Cấu hình NAT và cấu hình Định tuyến Bài 5: Kiểm tra kết nối tới các cổng Inside, Outside, và DMZ Bài 6 :Cấu hình Access-lists (ACLs) trên firewall Bài 5: Cisco Adaptive Security Device Manager Bài 6: Firewall Switch Modules (FWSM) Bài 7: Quản trị Cisco firewall Giới thiệu Giới thiệu  Người trình bày: 1. Họ Tên 2. Vị trí công tác 3. Kinh nghiệm  Học viên giới thiệu 1. Họ tên 2. Vị trí công tác 3. Những kinh nghiệm về bảo mật mạng… Bài 1 Bài 1 Tổng quan về Cisco Firewall Tổng quan về Cisco Firewall Firewall là gì ? Firewall là gì ? Outside Vùng mạng DMZ Vùng mạng Inside Vùng mạng Internet Firewall là một hệ thống hoặc một nhóm các hệ thống Kiểm soát quyền truy cập giữa hai hoặc nhiều vùng mạng. . Các công nghệ về Firewall Các công nghệ về Firewall Firewall hoạt động được dựa trên một trong ba công nghệ :  Packet filtering  Proxy server  Stateful packet filtering Data A B Data A C DMZ: Server B Inside: Server C Host A AB-Yes AC-No Internet Việc Kiểm soát truy nhập thông tin dựa vào địa chỉ nguồn Và địa chỉ đích của gói tin gửi đến Packet Filtering Packet Filtering Proxy Server Proxy Server Outside Network Proxy Server Inside Network Internet Các kết nối từ được thông qua một máy chủ đại diện trung gian. Stateful Packet Filtering Stateful Packet Filtering 172.16.0.50 10.0.0.11 1026 80 49091 Syn 172.16.0.50 192.168.0.20 49769 Syn 1026 80 Source port Destination address Source address Initial sequence no. Destination port Flag Ack State Table DMZ: Server B Inside: Server C Host A Internet Việc Kiểm soát truy nhập thông tin không chỉ dựa vào địa chỉ nguồn Và địa chỉ đích của gói tin gửi đến mà còn dựa vào bảng trạng thái (state table) Data HTTP A B Hệ thống bảo mật của Cisco Hệ thống bảo mật của Cisco Hệ thống bảo mật của cisco cung cấp giải pháp an ninh , bảo mật hướng tới các đối tượng khách hàng. Một số tính năng của thiết bị an ning bảo mật của cisco như sau:  Hệ điều hành riêng biệt  Stateful packet inspection  Xác thực người dùng  Theo dõi, giám sát các ứng dụng và giao thức  Modular policy framework  Mạng riêng ảo (VPN)  Các ngữ cảnh bảo mật (các firewall ảo)  Stateful failover  Transparent firewalls  Quản trị dựa trên giao diện web [...]... nhỏ  Các chức năng của thiết bị bảo mật có thể được mở rộng nhờ vào SSMs Bài 2 Các bước đầu làm quen và cấu hình thiết bị bảo mật của Cisco Giao diện người sử dụng Các chế độ truy nhập Thiết bị bảo mật Cisco có 4 chế độ truy nhập như sau : Unprivileged Privileged Configuration Monitor ciscoasa> ciscoasa# ciscoasa(config)# monitor> Chế độ Privileged Internet ciscoasa> enable [priv_level] Lệnh này... • Remote access • WebVPN Hỗ trợ thêm cá module SSMs (Cisco ASA AIP SSM, Cisco ASA CSC SSM, and four-port Gigabit Ethernet SSM) Các thiết bị bảo mật ASA 5510, 5520, và 5540 mặt phía trước Flash Status Power Active VPN Các thiết bị bảo mật ASA 5510, 5520, và 5540 mặt phía sau Bộ nhớ flash Các module SSMs Các interface cố định Các thiết bị bảo mật ASA 5510, 5520, và 5540 cổng kết nối Bộ nhớ Flash Cổng... Status SSM loại 4 port Gigabit ethernet RJ-45 link LED SFP link LED SFP speed LED RJ-45 speed LED RJ-45 ports Status LED Power LED SFP ports Tóm tắt  Firewall là thiết bị kiểm soát truy nhập từ vùng mạng này sang vùng mạng khách  Statefull firewall là thiết bị hoạt động hiệu quả nhất  Thiết bị bảo mật của cisco bao gồm PIX và ASA  Các thiết bị bảo mật ASA 5510, 5520 nhắm tới thị trường các doanh... được các nguy cơ bảo mật khi sử dụng chung với các hệ điều hành khác Stateful Packet Inspection  Giải thuật kiểm tra gói tin -statefull packet inspection cung cấp các kết nối bảo mật  Mặc định, giải thuật này cho phép kết nối từ máy vùng trong (cấp độ bảo mật cao hơn) sang các vùng có cấp độ bảo mật thấp hơn  Mặc định, giải thuật này chặn các kết nối từ máy vùng ngoài (cấp độ bảo mật thấp hơn ) sang... USB 2.0 *Với thiệt bị bảo mật ASA 5510 hỗ trợ cổng 10/100 Cổng Console Cổng AUX Nguồn điện (AC hoặc DC) Cisco ASA Security Services Module  Module cung cấp các dịch vụ mở rộng cho thiết bị bảo mật  Sử dụng bộ nhớ flash để tăng cường độ tin cậy  Có cổng Gigabit ethernet cho phép quản trị outband Các kiểu module SSM SSM-10  Bộ xử lý 2.0-GHz  1.0 GB RAM Speed SSM-20  Bộ xử lý 2.4-GHz Link and activity... site (250 peers) • Remote access • WebVPN Hỗ trợ thêm các module SSMs (Cisco ASA AIP SSM, Cisco ASA CSC SSM, và Gigabit Ethernet SSM loại 4 port) Thiết bị bảo mật Cisco ASA 5520        Cung cấp các dịch vụ bảo mật , kể cả vpn cho các doanh nghiệp cỡ vừa Cung cấp lên tới 280,000 kết nối đồng thời Thông lượng có thể đáp ứng 450-Mbps Các interface được hỗ trợ: • 4 10/100/1000 Gigabit Ethernet interfaces... access • WebVPN Hỗ trợ thêm các module SSMs (Cisco ASA AIP SSM, Cisco ASA CSC SSM, và Gigabit Ethernet SSM loại 4 port) Thiết bị bảo mật Cisco ASA 5540        Cung cấp các dịch vụ cần hiệu quả cao, các loại dịch vụ bảo mật , kể cả vpn cho các doanh nghiệp lớn và các nhà cung cấp dịch vụ Cung cấp lên tới 400,000 kết nối đồng thời Thông lượng đáp ứng 650-Mbps Các interface hỗ trợ: • 4 10/100/1000... Remote Access Các ngữ cảnh bảo mật 4 thiết bị firewall thật Internet 1 thiết bị firewall thật 4 thiết bị firewall ảo Internet Cung cấp khả năng tạo nhiều firewall ảo trên một thiết bị firewall thật Khả năng Failover : Active/Standby, Active/Active, và Stateful Failover Failover: Active/Standby Failover: Active/Active Contexts 1 Primary: Failed Firewall Secondary: Active Firewall Internet 2 1 Primary:... 192.168.1.2 Internet  Có khả năng triển khai thiết bị bảo mật ở layer 2  Cho phép bảo mật từ layer 2 đến layer 7 và hoạt động như một thiết bị layer 2 Giải pháp quản trị dùng web Adaptive Security Device Manager (ASDM) Các loại firewall của cisco và tính năng Các dòng sản phẩm ASA 5500 ASA 5550 ASA 5540 Giá ASA 5520 ASA 5510 ASA 5505 Gigabit Ethernet Các văn phòng ROO DN nhỏ Doanh nghiệp lớn Chức năng... thấp hơn ) sang các vùng có cấp độ bảo cao hơn  Giải thuật này hỗ trợ xác thực, ủy quyền và theo dõi Nhận diện ứng dụng FTP Server Data Control Port Port 20 21 Client Data - Port 2010 Control Data Port Port 2008 2010 Port 2010 OK Data  Cá giao thưc như FTP, HTTP, H.323, and SQL*Net cần các kết nối từ Nhiều port khác nhau để truyền dữ liệu qua firewall  Thiết bị bảo mật sẽ theo dõi quá trình kết nối