5. PHẦN 4: TRIỂN KHAI CÁC CÔNG NGHỆ FIREWALL
5.1 MÔ HÌNH TỔNG QUAN
Firewall TMG Server có 3 card mạng:
1 card dành cho kết nối Outbound.
1card dành cho kết nối Inbound(Inbound này dùng kết nối với Firewall Cisco ASA 5510 thông qua SW 3560).
1card dành cho kết nối vùng SERVER FARM (vùng này chứa SAN Server, Application Server, DHCP Server. … ) nhân viên truy cập.
Firewall Cisco ASA cũng cần dùng 2 interface giao tiếp:
1 interface dành cho kết nối Outbound. Interface này dùng kết nối với Inbound của Firewall ISA 2006 thông qua switch 3560.
SW3560 kết nối hệ thống Web,Mail,File Server… với ISA và ASA. Hệ thống này sẽ được sự quản lý chặt chẻ bởi các chính sách của Firewall ISA và ASA. Tránh sự truy cập trái phép và tấn công từ bên ngoài.
Firewall ASA cấu hình bảo mật cho đường hầm VPN của User, khách hàng từ bên ngoài vào, chứng thực bằng CA server trong vùng DMZ.
Triển khai một số chính sách trên CISCO ASA 5510:
Cho phép User bên trong và bên ngoài truy cập mail,web, file Server.
Thực hiện NAT cho Internal đi ra web, và cho bên ngoài truy cập vào server DMZ.
Cho phép người quản trị thực hiện Telnet, SSH để quản trị cấu hình.(bằng CLI và Giao diện)
Chặn các User bên ngoài truy cập và các Server Farm.
Cho phép User VPN vào hệ thống thông qua tài khoản được chứng thực bằng chữ ký điện tử qua CA Server.
Thực hiện giới hạn kết nối để chống tấn công DDoS, chống tấn công giả mạo IP và các mối nguy hiểm tiềm tàn.
5.2 MỘT SỐ THAO TÁC CẤU HÌNH TRÊN CISCO ASA 5510
Lưu ý: Mặc định cổng có level cao có thể truy cập qua cổng có level thấp và không có điều ngược lại. Đây là đặc tính bảo mật rất hay của cisco ASA. Các vùng có level bằng nhau cũng không truy cập lẫn nhau được, có thể giải quyết tình huống này bằng câu lệnh sau:
same-security-traffic permit inter-interface
5.2.2 Cấu hình telnet
5.2.3 Cấu hình SSH
5.2.4 Cho phép cấu hình ASA bằng ASDM
5.2.5 Quản lý license
5.2.6 Thực hiện NAT cho mạng bên trong đi ra ngoài
5.2.7 Thực hiện NAT cho Inside đi vào vùng DMZ2
5.2.8 Thực hiện một số cấu hình về dịch vụ truy cập trên Server
5.2.9 Cấu hình default route
5.2.10 Cấu hình ASA giao tiếp và nhận certification từ CA Server
5.2.11 Một số cấu hình liên quan đến bảo mật traffic
Chống tấn công giả mạo IP (IP Spoofing)
Tính năng phát hiện các mối nguy hiểm tiềm tàng (Basic Threat Detection Feature in ASA 8.x)
5.3 TRIỂN KHAI MỘT SỐ CHÍNH SÁCH TRÊN FIREWALL TMG