ị mà nó kết nối . - shutdown : administratively shut down interface ?Note: tránh sử dụng từ khóa auto trên bất kì interface Ethernet nào . Duplex mismatch có thể xảy ra và làm giảm hoạt động của Pix . · ip address command : Mỗi interface trên pix phải được cấu hình với 1 địa chỉ . ip address if_name ip_address [netmask] · nat command : Network address translation (NAT) giúp cho user dấu được địa chỉ internal khi đi ra mạng ngoài . nat (if_name) nat_id local_ip [netmask] - if_name : tên của internal interface sẽ sử dụng địa chỉ global . Dữ liệu sẽ đi ra khỏi pix thông qua interface được chỉ ra trong global command . - nat_id : chỉ ra global pool , id này phải giống với id trong global commad - local_ip : địa chỉ IP được đăng kí đến thiết bị của inside netword .0.0.0.0 (có thể viết tắt là 0) được sử dụng để cho phép tất cả các kết nối outbound được nat ra ngoài với điạ chỉ trong global command . - netmask : mặt nạ mạng cho local ip address Khi bắt đầu cấu hình pix , tất cả các host có thể truy cập các kết nối outbound với nat 1 0.0.0.0 0.0.0.0 command . Câu lệnh này có ý nghĩa cho phép tất cả các inside host được phép nat ra ngoài tương ứng với địa chỉ trong global command . 0 có thể được sử dụng để thay thế 0.0.0.0 · global command : Khi dữ liệu được gửi đi từ một trusted network đến untrusted network, địa chỉ source ip thường được chuyển đổi . Pix thực hiện điều này bằng 2 câu lệnh , câu lệnh thứ nhất là nat – định nghĩa địa chỉ trusted source sẽ được chuyển đổi , câu lệnh thứ hai là global command - định nghĩa tầm địa chỉ mà source address sẽ chuyển đổi thành . global (if_name) nat_id interface | global_ip [- global_ip] netmask [global_mask] Ví dụ về NAT : Khi gói dữ liệu outbound được gửi từ một thiết bị thuộc mạng inside đến pix , địa chỉ source được extract ra và so sánh với bảng chuyển đổi internal . Nếu địa chỉ của thiết bị không có trong bảng , nó sẽ được chuyển đổi thành . Một entry mới được tạo ra cho thiết bị đó , sau đó nó được đăng kí một địa chỉ global ip từ pool địa chỉ global . Đây được gọi là translation slot . Sau khi translation xảy ra , bảng được update và gói ip được chuyển đổi đó được gửi ra ngoài . Sau khoảng thời gian timeout (mặc định là 3 giờ) , sẽ không có gói tin được translate nào dành cho địa chỉ global đó , entry của nó ở trong bảng translation sẽ bị loại bỏ và địa chỉ global được sử dụng bởi bất kì host nào trong mạng inside . Quá trình được miêu tả như hình vẽ sau : Error! ?NOTE : PIX firewall đăng kí địa chỉ từ global pool bắt đầu từ thấp cho đến cao . Sau khi thay đổi , thêm vào , hay loại bỏ một global statement , sử dụng clear xlate để xóa tất cả các translation slot . · Route command : định nghĩa một static route cho một interface . route if_name ip_address netmask gateway_ip [metric] 3. PIX firewall translation PIX firewall có thể được sử dụng để translate tất cả địa chỉ bên trong , khi dữ liệu đi từ inside ra outside hay đi đến một mạng có mức security thấp hơn . Nếu user ở mạng outside cố gắng thực hiện kết nối đến inside , user đó sẽ không thành công . Một session không thể được tạo ra từ Internet với địa chỉ đích là địa chỉ private trừ khi nó được cấu hình cho phép thực hiện điều đó . Có hai cách để một mạng ít tin cậy hơn đi vào một mạng có độ tin cậy cao hơn là : - Response to Valid Request : Khi user ở inside thành lập một kết nối đến thiết bị ở outside , mặc định response cho request đó được phép qua pix . Tất cả kết nối từ inside đến outside sẽ được update trong bảng translation . Khi một thiết bị outside đáp ứng cho request đó , PIX firewall sẽ kiểm tra bảng translation để xem thử có translation slot nào tồn tại cho request đó hay không ? Nếu nó tồn tại, PIX firewall cho phép response tiếp tục . Sau khi session được tạo ra , idle timer sẽ bắt đầu khởi động , mặc định là 3 giờ . - Cấu hình Conduit : Được sử dụng cho việc liên lạc từ outside đến inside . Static translation hoặc là global và nat được cấu hình trước , sau đó cấu hình conduit để định nghĩa địa chỉ , hay là một nhóm địa chỉ , source port hay là destination port được phép đi qua pix . a. Static address translation : Static address translation được sử dụng nếu một host được translate đến cùng một địa chỉ khi mỗi outbound session được tạo ra qua pix . Tức là nó được dùng để tạo ra một ánh xạ cố định (static translation slot) giữa một địa chỉ local và một địa chỉ global . Khi kết nối đến internet , địa chỉ global phải được phải là địa chỉ thực ( địa chỉ được đăng kí ) Static address translation được sử dụng bằng câu lệnh sau : Static [(internal_if_name , external_if_name)] global_ip local_ip [netmask network_mask] [max_conns [em_limit]] [norandomseq] Đối với outbound connection , sử dụng static để chỉ ra một địa chỉ global luôn được sử dụng cho việc translation giữa local host và global host đó . Đối với inbound connection , mặc định là các host ở untrusted network sẽ không được vào trusted network , do đó muốn cho các mạng outside vào inside , ta sẽ phải sử dụng kết hợp cả static command và conduit command để định nghĩa các địa chỉ trong mạng outside . Một chú ý quan trọng là : o Conduit command cho phép kết nối từ interface có mức bảo mật thấp hơn đến interface có mức bảo mật cao hơn . o Static command được sử dụng để tạo ra ánh xạ cố định giữa local host và global ip address . Conduit command : conduit permit | deny protocol global_ip global_mask [operator port [port]] foreign_ip foreign_mask [operator port [port]] Một ví dụ khi sử dụng conduit command là kiểm tra kết nối thông qua pix với các message ICMP . Để cho phép một gói tin echo- request từ outside qua pix , conduit phải được cấu hình . Ngoài ra , user outside cũng cần phải có một địa chỉ đích để sử dụng , thông tin này có thể được map vào pix sử dụng static command . b. Dynamic address translation : đây chính là sử dụng nat và global command mà ta đã nhắc đến phía trước . Ngoài ra thay vì nat các địa chỉ inside ra outside trong một pool địa chỉ , ta cũng có thể nat bằng một địa chỉ global bằng cách sử dụng PAT (port address translation) . PAT là sự kết hợp một địa chỉ và một source port number để tạo ra một session duy nhất . Pix sẽ translate mỗi địa chỉ local đến cùng một điạ chỉ global nhưng đăng kí giá trị port khác nhau và lớn hơn 1024. Câu lệnh cấu hình PAT giống như Nat , nhưng trong global command , thay vì sử dụng một pool địa chỉ ,ta chỉ sử dụng 1 địa chỉ . c. Cấu hình NAT 0 Đây là chức năng phổ biến khi kết nối đến internet để cho phép truy cập từ outside đến HTTP server hoặc là SMTP server . Các server này phải có địa chỉ thực để còn liên lạc với các thiết bị khác trong mạng internet . Do đó có thể cấu hình pix để địa chỉ private của thiết bị đó trong inside network được phép đi ra ngoài mạng mà không có quá trình translation . Sử dụng nat 0 command phụ thuộc vào chính sách bảo mật mà nơi ta áp đặt nó vào . Nếu chính sách đó cho phép các internal client sử dụng địa chỉ private của chúng để đi ra ngoài internet , nat 0 sẽ đáp ứng dịch vụ đó . Sử dụng nat 0 một minh sẽ không cho phép truy cập từ outside đến inside . Nếu chính sách cho phép truy cập từ outside đến inside , ta phải cấu hình thêm conduit command . 4. Truy nhập vào PIX firewall Pix có thể được truy nhập vào thông qua port console hoặc là truy cập từ xa qua các phương pháp sau : - telnet - Secure Shell (SSH) - Browser sử dụng PIX device Manger (PDM) a. Truy cập vào PIX bằng Telnet Có thể quản lí PIX firewall thông qua Telnet từ các host thuộc internal interface . Nếu IPSEC được cấu hình thì ta có thể quản lí PIX từ các interface có security level thấp hơn Để truy cập vào PIX thông qua kết nối Telnet , ta cấu hình như sau : bước 1 : cho phép host hay mạng được phép telnet : telnet local_ip [mask] [if_name] bước 2 : đặt password cho Telnet : passwd telnetpasswd bước 3 : Nếu cần thiết thì thiết lập cho phép Telnet session được idle trong khoảng bao lâu trước khi Pix làm rớt kết nối . Mặc định là 5 phút . telnet timeout time b. Cấu hình truy cập PIX qua Secure Shell (SSH) SSH là một chương trình ứng dụng chạy trên lớp transport , có khả năng xác thực và mã hóa mạnh do đó nó có độ bảo mật cao hơn Telnet . 5 SSH client có thể được phép truy cập PIX console đồng thời . PIX firewall hỗ trợ SSH v1 . Cấu hình PIX cho việc truy cập thông qua SSH có 2 bước : - Cấu hình trên PIX để chấp nhận kết nối SSH - Cấu hình SSH client để kết nối đến PIX 5. LAB Bài 1 : Cấu hình translation Scenario : Error! Địa chỉ của các interface như sau : Device Interface Address PIX E0 E1 E2 209.162.1.1/24 10.10.10.1/24 172.16.1.1/24 Router 2530 E0 209.162.1.2/24 Router dmz E0 172.16.1.2/24 PC 10.10.10.10/24 Cấu hình toàn bộ : Pix# write terminal Building configuration : Saved : PIX Version 6.2(2) nameif ethernet0 outside security0 nameif ethernet1 inside security100 nameif ethernet2 dmz security50 . address . Conduit command : conduit permit | deny protocol global_ip global_mask [operator port [port]] foreign_ip foreign_mask [operator port [port]] Một ví dụ khi sử dụng conduit command là. conduit command . 4. Truy nhập vào PIX firewall Pix có thể được truy nhập vào thông qua port console hoặc là truy cập từ xa qua các phương pháp sau : - telnet - Secure Shell (SSH) - Browser. 172.16.1.2/24 PC 10.10.10.10/24 Cấu hình toàn bộ : Pix# write terminal Building configuration : Saved : PIX Version 6.2(2) nameif ethernet0 outside security0 nameif ethernet1 inside security100