CHAPTER 5: BASIC CONFIGURATION OF THE CISCO PIX FIREWALL Chương CẤU HÌNH CƠ BẢN PIX FIREWALL Tổng quan: Chương bao gốm nội dung sau:  Mục tiêu  Các lệnh trì thơng thường  Cấp độ an ninh ASA  lệnh  Tóm tắt  Bài tập thực hành phòng Lab Mục tiêu Trần Giáo_Khoa CNTT_ĐH Thái Nguyên CHAPTER 5: BASIC CONFIGURATION OF THE CISCO PIX FIREWALL Các lệnh trì thơng thường PIX Firewall Phần đưa kiểu truy cập lệnh kết hợp với hoạt động PIX Firewall PIX Firewall chứa tập lệnh dựa hệ điều hành Cisco IOS cung cấp chế độ truy cập:  Unprivileged mode (chế độ truy cập không đặc quyền) – Chế độ sẵn có bạn lần truy cập vào PIX Firewall Từ dấu nhắc > hiển thị, chế độ cho phép bạn xem thiết lập cách hạn chế  Privileged mode (chế độ đặc quyền) – Chế độ hiển thị dấu nhắc # cho phép bạn thay đổi cài đặt Bất kỳ lệnh chế độ không đặc quyền làm việc chế độ đặc quyền  Configuration mode (chế độ cấu hình) – Chế độ hiển thị dấu nhắc (config)# cho phép bạn thay đổi cấu hình hệ thống Tất lệnh đặc quyền, khơng đặc quyền lệnh cấu hình làm việc chế độ  Monitor mode (chế độ theo dõi kiểm tra) – Đây chế độ đặc biệt cho phép bạn cập nhật image mạng Trong chế độ bạn nhập lệnh định vị trí TFTP server image nhị phân để download Trần Giáo_Khoa CNTT_ĐH Thái Nguyên CHAPTER 5: BASIC CONFIGURATION OF THE CISCO PIX FIREWALL Trong kiểu truy cập, bạn rút gọn cách tối đa câu lệnh xuống vài ký tự riêng biệt câu lệnh Ví dụ bạn nhập write t để xem cấu hình thay phải nhập câu lệnh đầy đủ write terminal Bạn nhập en thay cho enable để bắt đầu chế độ đặc quyền, co t thay cho configuration terminal để bắt đầu chế độ cấu hình Thơng tin trợ giúp ln sẵn có dịng lệnh PIX Firewall cách nhập help ? để liệt kê tất lệnh Nếu bạn nhập help ? sau lệnh (ví dụ router), cú pháp lệnh router liệt kê Số lệnh liệt kê bạn dùng dấu hỏi từ khóa help khác chế độ truy cập mà chế độ khơng đặc quyền đưa lệnh chế độ cấu hình đưa số lệnh nhiều Hơn bạn nhập lệnh (chính nó)ở dịng lệnh sau ấn phím Enter để xem cú pháp lệnh Chú ý: bạn tạo cấu hình riêng trình soạn thảo văn sau cut paste sang phần cấu hình Bạn paste cấu hình dịng lần tồn lần Nhớ phải ln kiểm tra cấu hình bạn sau paste khối lớn văn để chắn thứ copy Trần Giáo_Khoa CNTT_ĐH Thái Nguyên CHAPTER 5: BASIC CONFIGURATION OF THE CISCO PIX FIREWALL Có số lệnh trì thơng thường PIX Firewall:  Lệnh Enable, enable password passwd – Được sử dụng để truy cập vào phần mềm PIX Firewall để thay đổi mật  Write erase, wirte memory write team – Được sử dụng để hiển thị cấu hình hệ thống lưu trữ cấu hình liệu  Show interface, show ip address, show memory, show version show xlate – Được sử dụng để kiểm tra cấu hình hệ thống thơng tin thích hợp khác  Exit reload – Được sử dụng để thoát chế độ truy cập, tải lại cấu hình khởi động lại hệ thống  Hostname, ping telnet – Được sử dụng để xác định địa IP khác tồn tại, thay đổi hostname, định host cục cho PIX Firewall giành quyền truy cập console Trần Giáo_Khoa CNTT_ĐH Thái Nguyên CHAPTER 5: BASIC CONFIGURATION OF THE CISCO PIX FIREWALL Lệnh enable cho phép bạn vào chế độ truy cập đặc quyền, sau bạn nhập enable, PIX Firewall nhắc bạn mật để truy cập vào chế độ đặc quyền Mặc định mật khơng u cầu mà bạn ấn phím Enter, sau bạn vào chế độ đặc quyền để ý dấu nhắc thay đổi sang ký hiệu # Khi bạn gõ configure terminal đưa bạn vào chế độ cấu hình dấu nhắc thay đổi sang (config)# Để thoát quay trở chế độ trước đó, sử dụng lệnh disable, exit quit Trần Giáo_Khoa CNTT_ĐH Thái Nguyên CHAPTER 5: BASIC CONFIGURATION OF THE CISCO PIX FIREWALL Lệnh enable password thiết lập mật truy cập vào chế độ đặc quyền Bạn nhắc mật sau nhập lệnh enable (Khi PIX Firewall khởi động bạn nhập vào chế độ đặc quyền xuất dấu nhắc để nhập mật khẩu) Khơng có mật mặc định bạn ấn phím enter dấu nhắc mật bạn tạo mật bạn chọn Mật phân biệt chữ hoa chữ thường, hỗ trợ độ dài lên đến 16 ký tự chữ số Bất kỳ ký tự sử dụng lọai trừ dấu chấm hỏi, dấu cách dấu hai chấm Nếu bạn thay đổi mật khẩu, bạn nên ghi lại va lưu trữ nơi thích hợp Sau bạn thay đổi mật bạn khơng thể xem lại mã hóa Lệnh show enable password đưa dạng mật mã hóa Sau mật bị mã hóa chúng khơng thể đảo ngược lại dạng văn thông thường Lệnh passwd cho phép bạn thiết lập mật Telnet truy cập vào PIX Firewall Mặc định giá trị Cisco Chú ý: Bất kỳ mật rỗng thay đổi thành xâu mã hóa Trần Giáo_Khoa CNTT_ĐH Thái Nguyên CHAPTER 5: BASIC CONFIGURATION OF THE CISCO PIX FIREWALL Lệnh write cho phép bạn ghi (lữ trữ) cấu hình hệ thống vào nhớ, hiển thị cấu hình hệ thống xóa cấu hình Dưới lệnh write:  write net – Lưu trữ cấu hình hệ thống thành file TFTP server mạng  write earse – Xóa cấu hình nhớ flash  write floppy – Lữ trữ cấu hình vào đĩa mềm (PIX Firewall 520 model trước có ổ đĩa mềm 3.5-inch) Chú ý: Nếu bạn định dạng ổ đĩa mềm từ hệ điều hành Window, chọn kiểu định dạng full-format không chọn quick-format Ổ đĩa mềm bạn tạo đọc ghi PIX Firewall Nếu bạn sử dụng lệnh write floppy với đĩa mềm mà khơng phải đĩa khởi động PIX Firewall, khơng để ổ đĩa ngăn cản q trình khởi động lại PIX xảy lỗi nguồn hệ thống load lại Chỉ copy cấu hình lưu trữ đĩa mềm  write memory – Ghi cấu hình chạy (hiện tại) vào nhớ Flash Trần Giáo_Khoa CNTT_ĐH Thái Nguyên CHAPTER 5: BASIC CONFIGURATION OF THE CISCO PIX FIREWALL  write standby – Ghi cấu hình lưu Ram active failover PIX Firewall, vào RAM standby PIX Firewall Khi PIX Firewall hoạt động (active PIX Firewall) khởi động ghi cấu hình vào PIX dự phịng Sử dụng lệnh để ghi cấu hình active PIX Firewall sang standby PIX Firewall  Write teminal – Hiển thị cấu hình thiết bị đầu cuối Dưới lệnh Telnet khác:  telnet – Cho phép bạn định host truy cập đến PIX Firewall thơng qua Telnet Bạn định host mạng bên bạn khơng thể định host mạng phía Hỗ trợ lên đến 16 host mạng cho phép truy cập đồng hời đến PIX Firewall thông qua Telnet  Show telnet – Hiển thị danh sách địa IP phép truy cập vào PIX Firewall thông qua telnet Trần Giáo_Khoa CNTT_ĐH Thái Nguyên CHAPTER 5: BASIC CONFIGURATION OF THE CISCO PIX FIREWALL  Clear telnet and no telnet – Di chuyển đến phiên telnet truy cập từ địa IP trước  Telnet timeout – Thiết lập thời gian cực đại phiên telnet khơng sử dụng trước bị kết thúc PIX Firewall  Kill – Kết thúc phiên telnet Khi bạn kết thúc phiên telnet, PIX Firewall ngăn chặn lệnh kích hoạt sau hủy kết nối mà không cảnh báo người sử dụng  Who – Cho phép bạn hiển thị địa IP truy cập vào PIX Firewall thông qua telnet Dưới cú pháp lệnh này:  telnet ip_address [netmask] [if_name]  clear telnet [ip_address [netmask] [if_name]]  no telnet [ip_address [netmask] [if_name]]  telnet timeout minutes  kill telnet_id  who local_ip Ip_address Một địa IP host mạng mà Telnet đến PIX Firewall Nếu không đưa tên giao diện (if_name) mặc định giao diện phía (mạng bên trong) PIX Firewall tự động kiểm tra địa IP dựa địa IP nhập lệnh ip address để đảm bảo địa bạn đưa thuộc mạng bên Nếu tên giao diện đưa PIX Firewall kiểm tra host dựa giao diện bạn định Netmask Mặt nạ mạng địa IP Để giới hạn truy cập đến địa IP đơn sử dụng 255 cho octet( ví dụ, 255.255.255.255) Nếu bạn khơng đưa netmask mặc định Trần Giáo_Khoa CNTT_ĐH Thái Nguyên CHAPTER 5: BASIC CONFIGURATION OF THE CISCO PIX FIREWALL 255.255.255.255 lớp local_ip (ip cục bộ) Không sử dụng mặt nạ mạng mạng bên Mặt nạ mạng bit mask cho địa IP ip address If_name Nếu Ipsec hoạt động, PIX Firewall cho phép bạn đưa tên giao diện khơng đảm bảo Thơng thường mạng phía ngồi Tối thiểu lệnh cryto map cần cấu hình để đưa tên giao diện với lệnh Telnet Minutes Số phút mà phiên telnet khơng sử dụng đến trước bị đóng PIX Firewall Mặc định phút Hỗ trợ từ 1-60 phút telnet_id Định danh phiên telnet local_ip Một tùy chọn địa ip bên để giới hạn danh sách đến địa ip địa mạng 10 Trần Giáo_Khoa CNTT_ĐH Thái Nguyên ... CONFIGURATION OF THE CISCO PIX FIREWALL  write standby – Ghi cấu hình lưu Ram active failover PIX Firewall, vào RAM standby PIX Firewall Khi PIX Firewall hoạt động (active PIX Firewall) khởi động... CONFIGURATION OF THE CISCO PIX FIREWALL Các lệnh trì thơng thường PIX Firewall Phần đưa kiểu truy cập lệnh kết hợp với hoạt động PIX Firewall PIX Firewall chứa tập lệnh dựa hệ điều hành Cisco IOS cung... hostname pixfirewall 12 Trần Giáo_Khoa CNTT_ĐH Thái Nguyên CHAPTER 5: BASIC CONFIGURATION OF THE CISCO PIX FIREWALL Lệnh ping sử dụng PIX Firewall kết nối tồn host (được nhận diện PIX Firewall )