Packet filtering giúp hạn chế traffic trong mạng dựa vào các thông tin như: địa chỉ nguồn và đích, port, flag và được đưa vào trong ACL. 14.[r]
(1)@Email: fit@ispace.edu.vn
http://fit.ispace.edu.vn
MÔN HỌC: XÂY DỰNG HỆ THỐNG FIREWALL
1
Trường Cao đẳng Nghề CNTT iSPACE Khoa Mạng Và An Ninh Thông Tin
(2)@Email: fit@ispace.edu.vn
Bài 2: BẢO MẬT MẠNG SỬ DỤNG CISCO IOS FIREWALL Bài 3: BẢO MẬT MẠNG SỬ DỤNG CISCO IPS
Bài 4: BẢO MẬT LAYER 2
Bài 5: TRIỂN KHAI HỆ THỐNG VPN TRÊN CISCO IOS
(3)@Email: fit@ispace.edu.vn
Giới thiệu Cisco IOS Firewall Cấu hình Cisco IOS Firewall Câu hỏi tập
Giới thiệu cấu hình Cisco IOS Firewall
(4)@Email: fit@ispace.edu.vn
Giải thích chiến lược phịng thủ theo tầng. Trình bày kỹ thuật Firewall
Cấu hình Cisco IOS Firewall
Triển khai hệ thống firewall cho doanh nghiệp dựa Cisco IOS Firewall
(5)@Email: fit@ispace.edu.vn
Tổng quan Cisco IOS Firewall DMZ:
Vùng DMZ xây dựng vùng bảo mật DMZ vùng mạng đệm vùng Inside Outside.
Cisco IOS Firewall loại Firewall dựa router sử dụng IOS hỗ trợ tính năng Firewall
(6)@Email: fit@ispace.edu.vn
Layered Defense Features Multiple DMZs
Modern DMZ Design
(7)@Email: fit@ispace.edu.vn
Chiến lược phòng thủ theo tầng Layered Defense Features
Access control áp đặt traffic vào vùng mạng đệm đến các vùng bảo mật cách dùng:
o Classic router. o Thiết bị Firewall
(8)@Email: fit@ispace.edu.vn
DMZ/Multiple DMZ :
Publish dịch vụ dùng chung vùng đệm phép vùng ngồi truy cập.
DMZ host cổng ứng dụng cho kết nối ngoài.
Hạn chế mối nguy hại giữ chân kẻ cơng dịch vụ nào bị cố công.
(9)@Email: fit@ispace.edu.vn
Chiến lược phòng thủ theo tầng Multiple DMZ
Multiple DMZs tạo phân chia quản lý truy cập tốt hơn:
o Mỗi dịch vụ lưu trữ vùng DMZ riêng biệt.
o Hạn chế mối nguy hại giữ chân kẻ công dịch
vụ bị cố cơng.
Three Separate DMZs
(10)@Email: fit@ispace.edu.vn
Redundancy DMZ Design
Những hệ thống khác (1 lọc gói dạng stateful hay proxy server) lọc traffic.
Thiết bị lọc có cấu hình thích hợp cách thức phịng thủ hữu hiệu.
(11)@Email: fit@ispace.edu.vn
Chiến lược phòng thủ theo tầng Modern DMZ Design
Traffic flows on private VLANs:
•RED and YELLOW can communicate with
BLUE
•RED and YELLOW
cannot communicate
with each other Secondary
VLANs Primary VLANs
(12)@Email: fit@ispace.edu.vn
Modern DMZ Design
(13)@Email: fit@ispace.edu.vn
Firewall Technologies:
Firewall sử dụng kỹ thuật: Packet filtering
Application layer gateway (ALG) Stateful packet filtering
(14)@Email: fit@ispace.edu.vn
Packet Filtering
Packet filtering giúp hạn chế traffic mạng dựa vào thơng tin như: địa nguồn đích, port, flag đưa vào ACL.
(15)@Email: fit@ispace.edu.vn
Firewall Technologies Ví dụ Packet Filtering
Router(config)# access-list 100 permit tcp any 16.1.1.0 0.0.0.255 established
Router(config)# access-list 100 deny ip any any log Router(config)# interface Serial0/0
Router(config-if)# ip access-group 100 in Router(config-if)# end
(16)@Email: fit@ispace.edu.vn
Application Layer Gateway
The ALG phân chia thiết lập kết nối đến Internet thay cho client.
(17)@Email: fit@ispace.edu.vn
Firewall Technologies ALG Firewall Device
(18)@Email: fit@ispace.edu.vn
Stateful Packet Filtering
Stateless ACLs lọc traffic dựa địa IP nguồn đích, port TCP and UDP, TCP flag, loại ICMP mã code
Stateful kiểm tra ghi nhớ xác chi tiết, hay trạng thái các yêu cầu
(19)@Email: fit@ispace.edu.vn
Firewall Technologies Stateful Packet Filtering
Stateful packet filter gọi stateful firewall hay application-aware packet filter.
Stateful firewall có cải tiến mới:
o Duy trì bảng session (state table) để ghi nhận tất kết nối. o Nhận dạng ứng dụng động biết loại kết nối thêm
được thiết lập điểm đầu cuối.
Stateful firewall kiểm tra packet, so sánh packet dựa vào bảng state table, kiểm tra gói tin q trình thương thuyết của protocol.
Stateful firewall hoạt động tầng (TCP and UDP).
(20)@Email: fit@ispace.edu.vn
Stateful Packet Filtering Example
20