- Filtering server sẽ quyết định xem client có được phép truy cập đến trang đã yêu cầu hay không ? - Nếu được , PIX sẽ chuyển request đến server và client nhận được nội dung đã request - Nếu không , request của client bị đánh rớt . Websense là một phần mềm cung cấp chức năng filtering cho PIX firewall , giúp cho nhà quản trị mạng giám sát và điều khiển lưu lượng mạng . Websense được sử dụng để khóa các URL mà PIX không thể khóa . Websense quyết định là khóa hay cho phép một URL nào đó dựa trên thông tin cấu hình của nó và Master Database . Cấu hình Websense là đưa ra các quy tắc filtering mà ta đã thiết lập trong Websense. Master Database là database của URL bị khóa . Database này được duy trì và cập nhập hằng ngày bởi Websense corporate office . Câu lệnh chỉ ra filtering server cho Websense là : url-server <if_name> host <local_ip> [timeout <seconds>] [protocol <tcp> | <udp>] [version 1 | 4] Cấu hình Pix để làm việc với Websense : Filter url http [local_ip local_mask foreign_ip foreign_mask ] [allow] b. Active Code Filtering Active content trong các trang web có thể được xem là vấn đề không mong muốn trong việc bảo mật . PIX firewall có thể lọc các active code , các active code này có thể được sử dụng trong các ứng dụng như Java hay ActiveX . PIX firewall hỗ trợ Java applet filer có thể dừng các ứng dụng Java nguy hiểm dựa trên user hay địa chỉ IP . Câu lệnh để filter java là : Filter java port [- port] local_ip mask foreign_ip mask ActiveX controls có thể gây ra các vấn đề bảo mật bởi vì chúng có thể đưa một cách nào đó cho hacker tấn công server . PIX firewall có hỗ trợ tính năng khóa tất cả các activeX controls . filter activex port local_ip mask foreign_ip mask 4. Intruction Detection PIX Firewall software version 5.2 trở về sau có khả năng phát hiện xâm nhập (IDS). Phát hiện xâm nhập là khả năng phát hiện sự tấn công mạng. Có 3 loại tấn công vào mạng : - Reconnaissance attack - Kẻ xâm nhập cố gắng phát hiện và sắp xếp hệ thống, dịch vụ hoặc các cho yếu điểm - Access attack - Kẻ xâm nhập tấn công mạng hoặc hệ thống để lấy dữ liệu, tăng tốc độ truy cập và nâng cao đặc quyền truy cập - DoS attack -Kẻ xâm nhâ tấn công vào hệ thống mạng bằng cách ga6 nguy hiểm hoặc làm hỏng các hệ thống máy tính hoặc từ chối iệc truy cấp vào mạng, các dịch vụ hoặc các hệ thống PIX Firewall phát hiện xâm nhập bằng cách sử dụng signature phát hiện xâm nhập. Một signature là một tập các nguyên tắc gắn liền với các hoạt động xâ nhập. Với việc cho phép phát hiện xâm nhập, PIX Firewall có thể phát hiện signature và truyền đáp ứng khi một tập các nguyên tắc được so sánh với hoạt động của mạng. Nó có thể giám sát các gói của 53 signature phat hiện xâm nhập và được cấu hình để gởi cảnh báo đến một Syslog server, drop packet hoặc reset lại kết nối. 53 signature làmột tập con của các signature được hỗ trợ bởi Cisco Intrusion Detection System (CIDS) PIX Firewall có thể phát hiện hai loại signature khác nhau: informational signature và attack signature. Information class signature là các signature mà được gây ra bởi hoạt động thông thường của mạng mà bản thân nó xem như vô hại nhưng có thể được dùng để xác định tính hiệu lực của việc tấn công. Attack class signature là những signature mà được gây ra bởi một hoạt độg được biết, hoặc có thể dẫn đến, lấy lại dữ liệu không có thẩm quyển a. Phát hiện xâm nhập trong PIX Firewall Phát hiện xâm nhập được cho phép bởi lệnh ip audit. Sử dụng lệnh ip audit kiểm tra các policy có thể được tạo để xác định traffic mà được kiểm tra hoặc phân công các hoạt động khi một signature bị phát hiện. Sau khi một policy được tạo ra, nó có thể được đưa vào bất cứ interface nào Mỗi interface có hai policy: một cho informational signature và một cho attack signature. Mỗi lần một policy của một class signature được tạo ra và đưa vào interface, tất cả các signature được hỗ trợ của class đó được giám sát trừ khi disable chúng với lệnh ip audit signature disbale PIX Firewall hỗ trợ cả inbound và outbound auditing. Auditing thự hiện bằng cách nhìn vào các gói IP đến tại một input interface. Ví dụ, nếu một attack policy được đưa vào một outside interface, attack signature được gây ra khi attack traffic đến tại outside interface ở hướng vào, kể cả inbound traffic hoặc return traffic từmột kết nối outbound b. Cấu hình IDS Dùng lệnh ip audit để cấu hình IDS signature. Đầu tiên tạo ra một policy với lệnh ip audit name và sau đó đưa policy này đến một interface với lệnh ip audit interface Có hai lệnh ip auit name khác nhau: ip audit name info và ip audit name attack. Lệnh ip audit name info được dùng để tạo ra các policy của các signature được phân loại như thông tin. Tất cả informational signature, trừ những cái bị loại bỏ bởi lệnh ip audit signature, trở thành một phần của policy. Lệnh ip audit name attack thực hiện cùng chức năng với signature được phân loại như attack signature Lệnh ip audit name cũng cho phép chỉ rõ các hoạt động khi signature được gây ra. nếu một policy được định nghĩa mà không có các hoạt động, hoạt động mặc định có hiệu quả Lệnh no ip audit name được dùng để bỏ một audit policy. Lệnh sh ip audit name miêu tả các audit policy. Để bỏ một policy từ một interface, sử dụng lệnh no ip audit interface. Để miêu tả cấu hình inteface, sử dụng lệnh sh ip audit interface 5. Failover Chức năng failover của PIX firewall cung cấp độ dự phòng trong trường hợp một PIX bị hư , pix kia ngay lập tức đóng vai trò của Pix bị hư đó . Failover làm việc với 2 , và chính xác là chỉ 2 , firewall . Hai firewall này phải : - có model giống nhau (ví dụ pix 515 không thể sử dụng cùng với pix 515E ) - dung lượng Flash và RAM phải giống nhau - có cùng số lượng interface và các loại interface - Cùng loại activation key - Primary firewall phải chạy unrestricted license - Secondary firewall phải chạy hoặc là unrestricted hoặc là failover license . Failover chỉ hỗ trợ trong các model high-end như PIX 515, 515E , 520 , 525 và 535. ?Note : Đặc điểm failover của PIX firewall chỉ hỗ trợ chức năng redundancy . Một PIX sẽ hoạt động như là active firewall , một PIX khác hoạt động ở chế độ standby mode . Không thể sử dụng cả hai firewall cùng vai trò active cùng một lúc tức là PIX firewall không hỗ trợ tính năng load balancing . Khi cấu hình failover , 1 firewall có vai trò là primary , một firewall có vai trò là secondary . Ở trạng thái hoạt động bình thường , primary firewall là active và nắm giữ tất cả các traffic mạng . Secondary firewall ở chế độ standby và sẽ active khi primary firewall bị hư , lúc đó primary firewall lại ở chế độ standby . Standby firewall có thể cũng bị hư nhưng lần này failover sẽ không xảy ra . Mặc dù firewall có thể chuyển đổi các vai trò cho nhau nhưng primary và secondary không bao giờ thay đổi . Nghĩa là khi có failover xảy ra , primary ở chế độ standby , còn secondary ở chế độ active . Các trường hợp sau được xem là firewall bị hư : - Bộ nhớ bị cạn kiệt trong vòng từ 15 giây trở lên trong PIX firewall active - trạng thái liên kết của các interface mạng ở active PIX firewall bị down hơn 2 lần trong khoảng thời gian poll . Điều này không phải là interface bị administratively down - Không có sự trao đổi Hello packets giữa primary và secondary qua tất cả các interface mạng (các gói hello này được gửi đi mặc định là 15 giây một lần , nhưng chu kì này có thể thay đổi được ) . Nếu không có hello message nào được nhận trong khoảng chu kì 2 poll , interface không response đó sẽ được đặt vào trạng thái testing . Nếu interface không qua được . hiệu quả Lệnh no ip audit name được dùng để bỏ một audit policy. Lệnh sh ip audit name miêu tả các audit policy. Để bỏ một policy từ một interface, sử dụng lệnh no ip audit interface. Để miêu. lệnh ip audit để cấu hình IDS signature. Đầu tiên tạo ra một policy với lệnh ip audit name và sau đó đưa policy này đến một interface với lệnh ip audit interface Có hai lệnh ip auit name khác. mạng. Có 3 loại tấn công vào mạng : - Reconnaissance attack - Kẻ xâm nhập cố gắng phát hiện và sắp xếp hệ thống, dịch vụ hoặc các cho yếu điểm - Access attack - Kẻ xâm nhập tấn công mạng hoặc