đến nguồn tài nguyên thông tin , điều này cũng tạo cho hacker có hội trong việc attack . Nếu tất cả các connection đều phải được chứng thực thì khi có quá nhiều authentication request làm cho nguồn tài nguyên của AAA quá tải dẫn đến dịch vụ bị từ chối – DoS . Floodguard command cho phép ta tự động bảo vệ nguồn tài nguyên cho PIX firewall nếu hệ thống xác thực user bị quá tải . Nếu kết nối uauth inbond hoặc outbound bị tấn công hoặc bị sử dụng quá nhiều , PIX tự động bảo vệ TCP user resource . Khi các nguồn tài nguyên bị cạn kiệt , PIX firewall sẽ đưa ra nhiều messages chỉ thị rằng nó đã hết tài nguyên (out of resource) . Nếu hệ thống uauth bị cạn kiệt , TCP user resource ở trạng thái khác sẽ được dùng phụ thuộc vào mức độ cảnh báo theo thứ tự sau : - Timewait - Finwait - Embryonic - Idle Floodguard command mặc định đã được bật lên và có cấu trúc như sau : floodguard enable | disable e. Fragmentation Guard Đặc điểm Fragmentation Guard đưa ra 2 security check ngoài các security check được đề nghị bởi RFC 1858 cho gói tin IP trong việc bảo vệ cho gói tin khỏi bị phân mảnh từ các cuộc tấn công như teardrop , land … Security check đầu tiên yêu cầu mỗi gói tin non-initial IP fragment phải liên kết với gói tin already-seen valid initial IP fragment . Vì các fragment này có thể đến không theo thứ tự . Security check thứ hai là IP fragment phải có tốc độ là 100 gói tin IP fragment hoàn chỉnh trên 1 giây cho mỗi host internal . Điều này có nghĩa là Pix có thể xử lý 1200 packet fragment trong vòng 1 giây . FragGuard hoạt động ở tất cả các interface của PIX firewall . Để enable tính năng này lên , sử dụng câu lệnh sysopt security fragguard 2. syslog Việc kiểm tra các cấu hình của thiết bị để bảo đảm nó hoạt động tốt là vấn đề quan trọng trong việc bảo mật mạng . Có rất nhiều cách để thực hiện điều này , nhưng cách chủ yếu vẫn là giám sát (monitor ) và ghi lại (log) các sự kiện trong mạng . Việc ghi lại các sự kiện rất quan trọng trong quá trình theo dõi nhiều thông tin trong hệ thống .Thao tác này sẽ đưa ra tại ngõ ra của hệ thống các message báo lỗi như ai đang làm gì , ai đang đi đâu , hoặc là các loại tấn công có thể có vào mạng . Trong PIX firewall có hai cách để ghi lại thông tin , đó là local và remote . Local logging là việc bản thân Pix có thể ghi lại các sự kiện , nhưng hạn chế của phương pháp này là chỉ ghi được một vài sự kiện . Remote logging là phương pháp cho phép ta lưu các bản tin và sử dụng các scripts để kiểm tra các bản tin đó một cách chi tiết , điểu khiển được dữ liệu và phát ra các bản báo cáo chi tiểt . Remote logging cũng cho phép ta lưu tạm các sự kiện . Để thực hiện được phương pháp này , PIX firewall sử dụng cơ chế syslog , đó là một trong các phương pháp phổ biến nhất để lưu và giữ lại các log messages , trong đó có một host sẽ gửi các syslog messages và một server quản lí syslog , server này có thể là máy chủ sử dụng hệ điều hành Window , Linux / UNIX . PIX firewall sẽ đóng vai trò như là một host gửi các syslog messages đến syslog server , syslog server quyết định sẽ đặt các bản tin này ở đâu còn tùy thuộc vào các software sử dụng cho server . Syslog server có thể viết các bản tin này thành một file hoặc là gửi thông báo khẩn (alert ) đến một người nào đó bằng email hay tin nhắn . Mặc định PIX firewall sẽ tắt chức năng logging , để bật nó lên ta sử dụng câu lênh sau : Pix (config)# logging on Câu lệnh này cần thiết để bắt đầu logging tất cả các sự kiện ở ngõ ra như ở buffer , terminal , hay là ở syslog server . Tuy nhiên sau khi sử dụng lệnh này , ta vẫn phải chỉ ra hình thức logging cụ thể . Để tắt logging , sử dụng no logging on a. Local logging Có 3 loại local logging là : buffered logging (logging từ bộ đệm ) , console logging (logging từ cổng console ) , và terminal logging (logging từ thiết bị đầu cuối ) . - Buffered logging : Khi sử dụng phương pháp này , tất cả các log messages được gửi đến một bộ đệm bên trong PIX firewall . Để bật tính năng này lên , sử dụng câu lệnh sau : Pix(config)# logging buffered <level> Tham số level chỉ ra mức độ chi tiết mà ta muốn xem trong các bản tin , các bản tin này sẽ xuất hiện ở cổng console của pix , tham số này được dùng để giới hạn số lượng bản tin được log . Để xem các bản tin được giữ trong bộ đệm , sử dụng câu lệnh show logging , câu lệnh này chỉ cấu hình logging cũng như các bản tin được giữ trong bộ đệm . Lệnh clear logging cho phép ta làm sạch bộ đệm . Hai lệnh trên được sử dụng ở enable mode . Ví dụ của lệnh show logging : Pix # show logging Syslog logging : enabled Facility : 20 Timestamp logging : disabled Standby logging : disabled Console logging : level debugging , 37 messages logged Monitor logging : disabled Buffer logging : level debugging , 8 messages logged Trap logging : disabled History logging : disabled ? NOTE : Cisco đề nghị không nên bật tính năng buffered logging vì sẽ làm giảm hoạt động của PIX . - Console logging : gửi các log messages đến console ( cổng nối tiếp) của PIX firewall . Để bật tính năng này lên , sử dụng : pix(config) # logging console <level> Tham số level sử dụng giống như trong buffer logging . - Terminal logging : gửi các log messages đến một phiên telnet hoặc SSH . Để bật terminal logging , sử dụng : pix(config) # logging monitor <level> Bên cạnh bật chức năng này ở mode global , logging output cùng phải được bật trên mỗi phiên làm việc telnet hoặc SSH hiện tại bằng cách sử dụng câu lệnh terminal monitor . Để tắt nó , sử dụng terminal no monitor . b. Remote logging : syslog Như đã nói ở trước , logging trong pix mặc định là bị tắt đi , ta cần phải bật nó trên trước khi cấu hình logging cho pix . Pix(config) # logging on - Để cấu hình syslog trên pix , đầu tiên cần phải xác định host nào sẽ gửi syslog messages đến bằng cách sử dụng câu lệnh : logging host [<interface>] <ip_address> · Tham số interface chỉ ra interface mà ta muốn gửi các bản tin ra ngoài , · Tham số ip_address chỉ ra điạ chỉ của syslog server trên interface đó . Nếu không chỉ ra interface nào cụ thể , mặc định là lấy inside interface . - Sẽ không có log messages nào được gửi đến syslog cho đến khi ta cấu hình mức độ logging sử dụng câu lệnh sau : logging trap <level> - Khi được cấu hình để sử dụng syslog , PIX firewall sẽ gửi log messages đến syslog server mặc định sử dụng UDP port 514 . Ta có thể thay đổi mặc định này như sau : logging host [<interface>] <ip_address> [tcp | udp / <port_number>] Có thể cấu hình UDP hay là TCP cho syslog , tham số port _number là giá trị nằm trong khoảng 1025 đến 65535 . TCP không phải là phương pháp chuẩn cho việc cấu hình syslog vì hầu hết các syslog server không hỗ trợ . Nếu sử dụng kết nối TCP cho syslog server , cần lưu ý là nếu syslog server bị down thì tất cả lưu lượng trong mạng qua pix sẽ bị khóa . Một lưu ý khác là khi cấu hình TCP syslog thì kết nối syslog sẽ chậm hơn UDP vì TCP phụ thuộc vào quá trình bắt tay 3 bước . Điều này sẽ dẫn đến thêm overhead của kết nối và làm chậm việc gửi syslog messages đến server . - Đối với những pix có hỗ trợ tính năng failover , lệnh logging standby cho phép failover PIX gửi syslog messages cho các log files được đồng bộ trong trường hợp stateful failover xảy ra . c. logging level Mặc dù lệnh logging có 8 level khác nhau được sử dụng trong pix (theo bảng ) , logging level 0 không được sử dụng . Khi cấu hình logging , ta phải chỉ ra mức level có thể bằng số hay bằng từ khóa . Khi đó , PIX firewall ghi lại tất cả các sự kiện như nhau cho mức level được chỉ ra cũng như các level thấp hơn nó . Ví dụ , level mặc định cho pix là level 3 (error) , thì pix cũng sẽ log các sự kiện ở level 2 , level 1 , và level 0 . Error! Ví dụ về các level được ghi lại : Error! Error! Error! d. Logging facility Mỗi syslog message có một số tiện ích (facility number) . Có 24 facility khác nhau được xếp từ 0 đên 23 . 8 facility được sử dụng phổ biến cho syslog là local0 đến local7 . Facility có vai trò giống như những ống dẫn dẫn dắt tiến trình syslog . Tiến trình syslog sẽ đặt các messages vào đúng log file dựa trên facility . Cấu hinh tính năng này như sau : logging facility <facility_code> Các facility_code được sắp xếp theo bảng sau : Error! 3. Content Filtering a. Filtering URL với Websense Có thể sử dụng access-list để cho phép hoặc từ chối truy cập web , nhưng nếu list các site ngày càng dài hơn , thì giải pháp này sẽ ảnh hưởng đến hoạt động của firewall . Ngoài ra , access-list không đưa ra được sự tiện lợi trong việc điều khiển truy cập trong trường hợp này . Ví dụ như nó không thể cho phép hoặc từ chối truy cập đến các trang cụ thể trong website , mà là toàn bộ website được chỉ ra trong câu lệnh của nó . Access-list cũng không có tác dụng đối với những website là những host ảo . Ví dụ như có nhiều website thuộc về cùng một server và tất của các website đó phải có địa chỉ IP , do đó chỉ có thể cho phép hoặc từ chối truy cập đến tất cả các website đó trong cùng một lúc . Pix đã đưa ra một giải pháp điều khiển truy cập web tốt hơn và hiệu quả hơn đó là sử filtering URL thông qua một filtering server . Cụ thể như trong hình sau : Error! - khi một client thiết lập kết nối TCP đến Web server - Client gửi HTTP request cho một trang trong server này - Pix chặn request này và chuyển nó đến filtering server . trạng thái khác sẽ được dùng phụ thuộc vào mức độ cảnh báo theo thứ tự sau : - Timewait - Finwait - Embryonic - Idle Floodguard command mặc định đã được bật lên và có cấu trúc như sau :. yêu cầu mỗi gói tin non-initial IP fragment phải liên kết với gói tin already-seen valid initial IP fragment . Vì các fragment này có thể đến không theo thứ tự . Security check thứ hai là. facility Mỗi syslog message có một số tiện ích (facility number) . Có 24 facility khác nhau được xếp từ 0 đên 23 . 8 facility được sử dụng phổ biến cho syslog là local0 đến local7 . Facility