Chapter 3: cisco pix firewall models and features Chương ĐẶC TÍNH VÀ CÁC KIỂU TƯỞNG LỬA PIX CISCO Tổng quan Chương bao gồm nội dung sau:  Mục đích  Tường lửa  Tổng quan PIX Firewall  Tóm tắt Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN Chapter 3: cisco pix firewall models and features Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN Chapter 3: cisco pix firewall models and features Tường lửa Phần đưa cách giải thích tường lửa Theo cách định nghĩa thơng thường tường lửa phần tạo nên vật liệu chống cháy, thiết kế để ngăn cản lan rộng lửa từ phần đến phần khác Nó sử dụng để cách ly phần với phần khác Khi áp dụng thuật ngữ tường lửa cho mạng máy tính, tường lửa hệ thống nhóm hệ thống yêu cầu sách điều khiển việc truy cập hai nhiều hai mạng Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN Chapter 3: cisco pix firewall models and features Tường lửa hoạt động dựa ba kỹ thuật sau:  Packet filtering – Giới hạn thông tin truyền sang mạng dựa thơng tin header gói tin tĩnh  Proxy Server – Yêu cầu kết nối chuyển tiếp client bên tường lửa mạng Internet  Stateful packet filtering – Kết hợp tốt hai kỹ thuật packet filtering proxy server Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN Chapter 3: cisco pix firewall models and features Một tường lửa sử dụng packet filtering để giới hạn thông tin vào mạng thông tin di chuyển từ đoạn mạng sang đoạn mạng khác Packet filtering sử dụng danh sách điều khiển truy cập (ACLs), cho phép tường lửa xác nhận hay phủ nhận việc truy cập dựa kiểu gói tin biến khác Phương pháp có hiệu mạng bảo vệ nhận gói tin từ mạng khơng bảo vệ khác Bất kỳ gói tin gửi đến mạng bảo vệ không với tiêu chuẩn định nghĩa ACLs bị hủy Những có số vấn đề với packet filtering  Các gói tin gửi mà phù hợp với tiêu chuẩn ACL qua lọc  Các gói tin qua lọc theo đoạn  ACL phức tạp khó thực thi trì cách đắn  Một số dịch vụ lọc Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN Chapter 3: cisco pix firewall models and features Một Proxy server thiết bị tường lửa mà định gói tin lớp cao mơ hình OSI Thiết bị có giá trị ẩn liệu cách yêu cầu người sử dụng giao tiếp với hệ thống bảo mật có nghĩa proxy Người sử dụng dành quyền truy cập đến mạng cách qua tiến trình, tiến trình thiết lập trạng thái phiên, chứng thực người dùng sách cấp quyền Điều có nghĩa người sử dụng kết nối đến dịch vụ bên ngồi thơng qua chương trình ứng dụng (proxies) chạy cổng dùng để kết nối đến vùng khơng bảo vệ phía ngồi Tuy nhiên có vấn đề với Proxy server bì nó:  Tạo lỗi chung, có nghĩa cổng vào mạng bị sập sau tồn mạng bị sập theo  Nó khó để thêm dịch vụ vào tường lửa  Thực thi ứng suất chậm Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN Chapter 3: cisco pix firewall models and features Stateful packet filtering phương pháp sử dụng thiết bị tường lửa PIX Cisco Kỹ thuật trì trạng thái phiên đầy đủ Mỗi kết nối TCP/UDP thiết lập cho kết nối vào Thông tin tập hợp Stateful session flow table Stateful session flow table chứa địa nguồn đích, số cổng, thông tin số thứ tự TCP thêm thông cờ cho kết nốiTCP/UDP kết hợp với phiên Thơng tin tạo nên đối tượng kết nối gói tin vào so sánh với lưu lượng phiên Stateful session flow table Dữ liệu phép qua tường lửa kết nối thích hợp tồn đánh giá tính hợp pháp qua liệu Phương pháp có hiệu vì:  Nó làm việc gói tin kết nối  Nó hoạt động mức cao so với packet filtering sử dụng proxy  Nó ghi liệu bảng cho kết nối Bảng điểm tham chiếu để xác địng gói tin có thuộc kết nối tồn hay không từ nguồn trái phép Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN Chapter 3: cisco pix firewall models and features Tổng quan PIX Firewall Phần thảo luận khái niệm PIX Firewall PIX firewall yếu tố toàn giải pháp an ninh end-to-end Cisco PIX Firewall giải pháp an ninh phần cứng phần mềm chuyên dụng mức độ bảo mật cao mà không ảnh hưởng đến thực thi hệ thống mạng Nó hệ thống lai ghép sử dụng hai kỹ thuật packet filtering proxy server Không giống CPU tập trung thông thường, server proxy full-time thực xử lý mở rộng gói liệu tầng ứng dụng; PIX Firewall sử dụng hệ điều hành thích hợp, đảm bảo bảo mật, hệ điều hành thời gian thực, hệ thống dạng nhúng PIX Firewall cung cấp đặc tính sau:  Không giống UNIX, đảm bảo bảo mật, hệ điều hành thời gian thực, hệ thống nhúng – Không CPU, server proxy tập trung thông thường thực thi xử lý mở rộng gói liệu, PIX Firewall hệ thống thời gian thực, dạng nhúng nên tăng cường an ninh cho mạng Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN Chapter 3: cisco pix firewall models and features  Apdaptive Security Algorithm (ASA) – thực việc điều khiển kết nối stateful thông qua PIX Firewall  Cut – through proxy – Một người sử dụng phải dựa phương pháp chứng thực kết nối vào cung cấp hiệu suất cải thiện so sánh với proxy server  Stateful failover – PIX Firewall cho phép bạn cấu hình hai đơn vị PIX Firewall topo mà có đủ dư thừa  Stateful packet filtering – Một phương pháp bảo mật phân tích gói liệu mà thơng tin nằm trải rộng sang bảng Để phiên thiết lập thông tin kết nối phải kết hợp với thơng tin bảng PIX Firewall vận hành mở rộng cấp độ với ISPes, ISPec bao gồm lưới an ninh giao thức chứng thực Internet Key Exchange (IKE) Public Key Infrastructure (PKI) Các máy clients xa truy cập cách an tồn đến mạng công ty thông qua ISPs họ Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN Chapter 3: cisco pix firewall models and features Cisco PIX firewall họ 500 có khả đáp ứng hàng loạt yêu cầu kích thước mạng bao gồm kiểu: PIX Firewall 501, 506, 515, 525 535 Dòng 500 hỗ trợ dải rộng card mạng (NIC) Dòng 501 tích hợp cổng 10BaseT cổng 10/100 switch Dịng 506 tích hợp cổng 10BaseT Dịng 515 hỗ trợ cổng 10/100 Ehthernet gia tốc VPN PIX Firewall 525 hỗ trợ cổng đơn cổng 10/100 Fast Ethernet, Gigabit Ethernet gia tốc VPN Dòng 535 hỗ trợ Fast Ethernet, Gigabit Ethernet gia tốc VPN PIX Firewall đảm bảo không nằm hộp Cài đặt mặc định cảu PIX Firewall cho phép tất kết nối từ cổng bên truy cập cổng bên ngồi khóa tất kết nối từ cổng bên vào bên Sau vài thủ tục cài đặt cấu hình khởi tạo lệnh cấu hình thơng thường, PIX Firwall bạn hoạt động bảo vệ hệ thống mạng cho bạn 10 Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN Chapter 3: cisco pix firewall models and features Cisco PIX 501 Firewall kích thước 10 x 6.25 x5.5 inch nặng 0.75 pounds Nó dùng cho văn phịng nhỏ lao động từ xa Lý tưởng cho bảo mật tốc độ cao, môi trường băng thông rộng bật, Cisco PIX 501 Firewall cung cấp đặc tính, sức mạnh cho mạng văn phịng nhỏ, có khả quản lý thiết bị từ xa quy tắc, giải pháp tất Cisco PIX 501 Firewall cung cấp cách thức thuận tiện cho nhiều máy tính chia sẻ kết nối băng rộng Được thêm cổng console RS-32 (RJ-45) 9600 baud, cịn tích hợp cổng 10BaseT cho cổng ra, mơ tả nét bật auto –sening (khả tự động phán đoán) tích hợp, autoMDIX cổng 10/100 switch cho cổng vào Nhờ auto-MDIX loại bỏ việc cần thiết phải sử dụng cáp crossover với thiết bị kết nối đến switch Cisco PIX 501 Firewall đảm bảo an ninh cho tất truyền thông mạng từ văn phịng từ xa đến mạng cơng ty thơng qua Internet sử dụng chuẩn dựa Internet Key Exchange (IKE)/IP security (Ipsec) khả VPN Người sử dụng có mạng plug-and-play (cắm chạy) cách nắm bắt lợi việc xây dựng server giao thức cấu hình host động – Dynamic Host Configuration Protocol (DHCP) server 11 Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN Chapter 3: cisco pix firewall models and features PIX Firewall DHCP server tự động gán địa mạng đến máy tính chúng bật nguồn Cisco PIX 501 Firewall với dịch vụ an ninh tích hợp khóa lỗ hổng hoàn thiện cho an ninh mức vật lý chứa 8MB nhớ Flash PIX Firewall 506 thiết kế cho công ty dử dụng Internet dành lợi giá cho phép cơng nhân làm việc từ xa Nó đưa chế bảo vệ tường lửa tồn diện, cịn bổ sung thêm khả car mạng riêng ảo (VPN) PIX Firewall 506 kết nối lên đến 25 mạng VPN ngang hàng lúc cung cấp cho người sử dụng bổ sung đầy đủ chuẩn Ipsec Nó có 8MB bộn nhớ flash tích hợp cổng 10Base-T, có kích thước x 12 x 1.7 inch sử dụng TFTP để cập nhật download image 12 Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN Chapter 3: cisco pix firewall models and features PIX Firewall 515 thiết kế cho doanh nghiệp có kích thước vừa nhỏ, cung cấp chế bảo vệ tồn diện, bổ sung thêm khả VPN IPsec với bổ sung đầy đủ chuẩn Ipsec Bạn tạo kết thúc đường hầm VPN hai PIX Firewall, PIX Firewall router Cisco có hỗ trợ VPN khác PIX Firewall Cisco Virtual Private Networks (CVPN) client PIX Firewall 515 lý tưởng cho địa điểm từ xa mà yêu cầu hai cách truyền thông với mạng công ty chúng PIX Firewall 515 hỗ trợ lên đến sáu cổng 10/100 Ethernet, bổ sung card gia tốc VPN Điều cho phép cấu hình lưu lượng mạnh mẽ thiết lập DMZ bảo vệ hosting website thực lọc URL phát virus PIX Firewall 515 lắp đặt cách linh động, có 16MB nhớ flash sử dụng TFTP để download cập nhật image 13 Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN Chapter 3: cisco pix firewall models and features PIX Firewall 520 dành cho doanh nghiệp có cấu tổ chức lớn phức tạp, có lưu lượng truyền thơng lớn Nó đưa chế bảo mật đầy đủ, cịn cung cấp thêm tính VPN IPsec với thực thi đầy đủ chuẩn Ipsec PIX Firewall 520 có thiết kế khung dành cho doanh nghiệp, linh động, sử dụng ổ đĩa mềm 3.5 inch để tải cập nhật image Nó có 16Mb nhớ Flash, chạy phần mềm phiên 5.2 cao Chú ý: PIX Firewall 520 khơng sẵn có nên khó mua Thơng tin đưa khóa học trợ giúp khách hàng Người ta khuyến cáo nên thay sản phẩm PIX Firewall 525 14 Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN Chapter 3: cisco pix firewall models and features PIX Firewall 525 dành cho doanh nghiệp nhà cung cấp dịch vụ sử dụng Lý tưởng cho việc bảo vệ Headquarter’s perimeter doanh nghiệp PIX Firewall 525 cung cấp chế bảo mật tồn diện, cịn cung thêm tính VPN IPsec PIX Firewall 525 hỗ trợ card mạng đa dạng Các chuẩn card bao gồm cổng đơn cổng 10/100 Fast Ethernet Gigabit Ethernet (với UR license) Với restriced licenes hỗ trợ interface, với unrestriced licenes (UR) hỗ trợ interface PIX Firewall 525 đưa nhiều tùy chọn nguồn cung cấp Bạn chọn AC 48 DC Chú ý: PIX Firewall 525 hỗ trợ gia tốc VPN 15 Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN Chapter 3: cisco pix firewall models and features PIX Firewall 535 dành cho doanh nghiệp nhà cung cấp dịch vụ sử dụng Nó có thơng lượng 1.7 Gbps có khả quản lý đồng thời 500,000 kết nối, hỗ trợ hai dạng ứng dụng VPN site-to-site remote access thông qua 56-bit DES 168-bit 3DES Các chức VPN tích hợp PIX Firewall 535 thực thi với card gia tốc VPN, cung cấp thơng lượng 96Mbps 3DES 2000 đường hầm IPSec PIX Firewall 535 hỗ trợ Fast Ethernet, Gigabit Ethernet giao diện gia tốc VPN Một PIX Firewall 535 cấu hình với giao diện Gigabit Ethernet khơng có khả nây cấp Activation key Nâng cấp Activation key yêu cầu kiểm tra kiểu cho tất hệ thống không dùng ổ đĩa mềm Việc kiểm tra kiểu không hỗ trợ giao diện Gigabit Ethernet Một giao diện Fast Ethernet cần cài đặt để sử dụng kiểm tra kiểu Nếu PIX Firewall 535 có giao diện Gigabit Ethernet, thêm giao diện Fast Ethernet với đơn vị sẵn có mà Activation key nâng cấp Chú ý: Nếu sau cấu hình PIX Firewall cho card Gigabit Ethernet, bạn thay card card 10/100 Ethernet thứ tự card cấu hình bị thay đổi so với cấu hình ban đầu Ví dụ, bạn cấu hình ethernet0 cho card Gigabit Ethernet gán cho giao diện bên thay card card 10/100 Ethernet, card 10/100 Ethernet khơng xuất ethernet0 PIX Firewall 535 có 16MB nhớ Flash hỗ trợ phần mềm tường lửa PIX từ phiên 5.3 trở lên 16 Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN Chapter 3: cisco pix firewall models and features Các hệ điều hành thuộc Cisco khơng UNIX hay Window NT, giống hệ điều hành IOS (hệ điều hành mạng) Nó khéo léo loại trừ rủi ro kết hợp với hệ điều hành đa Nó cho phép PIX Firewall đưa hiệu suất bật với 500,000 kết nối đồng thời, lớn tường lửa dựa UNIX 17 Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN Chapter 3: cisco pix firewall models and features Cái cốt lõi PIX Firewall Adaptive Security Algorithm (ASA – thuật tốn an ninh thích ứng) ASA trì an ninh vành đai mạng điều khiển PIX Firewall Thiết kế stateful, connection-oriented (kết nối định hướng) ASA tạo session flows (lưu lượng phiên) dựa địa nguồn đích Chỉ số cổng, số thứ tự TCP đánh cách ngẫu nhiên cờ TCP thêm vào trước hoàn thành kết nối Chức hoạt động, kiểm tra gói tin quay trở lại để chắn chúng khơng bị lỗi cho phép đường kết nối (inside to outside) mà khơng cấu hình cách rõ ràng cho hệ thống bên ứng dụng Việc đánh số cách ngẫu nhiên số thứ tự gói tin TCP nhằm cực tiểu hóa rủi ro việc công vào số thứ tự TCP Stateful packet filtering phương pháp bảo mật phân tích gói liệu mà thơng tin nằm rải rộng nhiều vị trí gói liệu sang bảng Vào lúc kết nối TCP thiết lập cho kết nối vào thông qua PIX Firewall, thông tin kết nối thành phần bảng stateful session flow Mỗi phiên thiết lập, thông tin kết nối cần phải kết hợp với thông tin lưu trữ bảng Với phương pháp này, stateful filter làm việc kết nối khơng làm việc gói tin, làm cho có độ bảo mật cao hơn, session khơng bị cơng Giống việc nhận dạng vân tay, stateful packet filtering 18 Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN Chapter 3: cisco pix firewall models and features  Đạt số nhận dạng phiên, địa IP cổng cho kết nối TCP  Logs the data in a stateful session flow table and creates a session object  So sánh gói tin vào dựa session flow bảng kết nối  Chỉ cho phép gói liệu qua PIX Firewall kết nối thích hợp tồn để xác nhận tính hợp lệ việc chuyển qua  Tạm thời thiết lập đối tượng kết nối kết nối kết thúc Cut-through proxy phương pháp kiểm tra suốt ID người sử dụng firewall, cho phép không cho phép truy cập đến TCP UDP dựa ứng dụng Điều biết người sử dụng dựa việc chứng thực kết nối vào Nó khơng giống proxy server phân tích tất gói tin lớp ứng dụng mơ hình OSI PIX Firewall chặn người sử dụng tầng ứng dụng Sau người sử dụng chứng thực sách an ninh kiểm tra PIX Firewall chuyển session flow đến lớp thấp mơ hình OSI tạo hiệu suất nhanh lên đáng kể Điều cho phép sách an ninh có hiệu lực dựa ID người sử dụng Các kết nối cần chứng thực với ID người sử dụng mật trước chúng thiết lập ID người sử dụng mật nhập thông qua HTTP, telnet kết nối FTP Phương pháp Cut-through proxy PIX 19 Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN Chapter 3: cisco pix firewall models and features Firewall có tác dụng cho dịch vụ chứng thức cấp phép Cisco Secure Access Control Server Stateful failover cung cấp kỹ thuật cho PIX Firewall để tăng cường khả bảo mật cách cho phép hai đơn vị giống hệt đáp ứng chức chung Đơn vị hoạt động (active unit) thực chức an ninh thơng thường đơn vị dự phịng (standby unit) kiểm tra, sẵn sàng điều khiển đơn vị hoạt động bị lỗi Hai đơn vị cần phải chạy phiên phần mềm Bản cấu hình thực thi tình trạng sau:  Khi đơn vị thứ hai hoàn thành việc khởi động đơn vị tạo tồn cấu hình cho đơn vị thứ hai  Khi lệnh nhập vào đơn vị chúng gửi sang đơn vị thứ hai, lệnh gửi thông quan cable failover  Nhập lệnh write standby đơn vị tồn cấu hình truyền sang đơn vị thứ hai 20 Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN ... CNTT_ĐHTN Chapter 3: cisco pix firewall models and features Tổng quan PIX Firewall Phần thảo luận khái niệm PIX Firewall PIX firewall yếu tố toàn giải pháp an ninh end-to-end Cisco PIX Firewall giải... Bạn tạo kết thúc đường hầm VPN hai PIX Firewall, PIX Firewall router Cisco có hỗ trợ VPN khác PIX Firewall Cisco Virtual Private Networks (CVPN) client PIX Firewall 515 lý tưởng cho địa điểm... K3D_Khoa CNTT_ĐHTN Chapter 3: cisco pix firewall models and features Cisco PIX firewall họ 500 có khả đáp ứng hàng loạt yêu cầu kích thước mạng bao gồm kiểu: PIX Firewall 501, 506, 515, 525 535