Bài giảng Xây dựng hệ thống Firewall: Bài 2 - Cao đẳng Nghề CNTT iSPACE - Trường Đại Học Quốc Tế Hồng Bàng

Packet filtering giúp hạn chế traffic trong mạng dựa vào các thông tin như: địa chỉ nguồn và đích, port, flag và được đưa vào trong ACL. 14.[r]

(1)

@Email: fit@ispace.edu.vn

http://fit.ispace.edu.vn

MÔN HỌC: XÂY DỰNG HỆ THỐNG

FIREWALL

1

Trường Cao đẳng Nghề CNTT iSPACE

Khoa Mạng Và An Ninh Thông Tin

(2)

Bài 2: BẢO MẬT MẠNG SỬ DỤNG CISCO IOS FIREWALL

Bài 3: BẢO MẬT MẠNG SỬ DỤNG CISCO IPS

Bài 4: BẢO MẬT LAYER 2

Bài 5: TRIỂN KHAI HỆ THỐNG VPN TRÊN CISCO IOS

(3)

Giới thiệu Cisco IOS Firewall

Cấu hình Cisco IOS Firewall

Câu hỏi tập

Giới thiệu cấu hình Cisco IOS Firewall

(4)

Giải thích chiến lược phịng thủ theo tầng.

Trình bày kỹ thuật Firewall

Cấu hình Cisco IOS Firewall

Triển khai hệ thống firewall cho doanh nghiệp dựa

Cisco IOS Firewall

(5)

Tổng quan Cisco IOS Firewall

DMZ:

Vùng DMZ xây dựng vùng bảo mật

DMZ vùng mạng đệm vùng Inside Outside.

Cisco IOS Firewall loại Firewall dựa router sử dụng IOS hỗ trợ tính

năng Firewall

(6)

Layered Defense Features

Multiple DMZs

Modern DMZ Design

(7)

Chiến lược phòng thủ theo tầng

Layered Defense Features

Access control áp đặt traffic vào vùng mạng đệm đến các

vùng bảo mật cách dùng:

o

Classic router.

o

Thiết bị Firewall

(8)

DMZ/Multiple DMZ :

Publish dịch vụ dùng chung vùng đệm phép

vùng ngồi truy cập.

DMZ host cổng ứng dụng cho kết nối ngoài.

Hạn chế mối nguy hại giữ chân kẻ cơng dịch vụ

nào bị cố công.

(9)

Multiple DMZ

Multiple DMZs tạo phân chia quản lý truy cập tốt hơn:

o

Mỗi dịch vụ lưu trữ vùng DMZ riêng biệt.

o

Hạn chế mối nguy hại giữ chân kẻ công dịch

vụ bị cố cơng.

Three Separate DMZs

(10)

Redundancy DMZ Design

Những hệ thống khác (1 lọc gói dạng stateful hay proxy

server) lọc traffic.

Thiết bị lọc có cấu hình thích hợp cách thức phịng thủ hữu hiệu.

(11)

Traffic flows on private

VLANs:

•

RED

and

YELLOW

can

communicate with

BLUE

•

RED

and

YELLOW

cannot communicate

with each other

Secondary

VLANs

Primary

VLANs

(12)

(13)

Firewall Technologies:

Firewall sử dụng kỹ thuật:

Packet filtering

Application layer gateway (ALG)

Stateful packet filtering

(14)

Packet Filtering

Packet filtering giúp hạn chế traffic mạng dựa vào thơng tin

như: địa nguồn đích, port, flag đưa vào ACL.

(15)

Firewall Technologies

Ví dụ Packet Filtering

Router(config)# access-list 100 permit tcp any 16.1.1.0

0.0.0.255 established

Router(config)# access-list 100 deny ip any any log

Router(config)# interface Serial0/0

Router(config-if)# ip access-group 100 in

Router(config-if)# end

(16)

Application Layer Gateway

The ALG phân chia thiết lập kết nối đến Internet thay cho client.

(17)

ALG Firewall Device

(18)

Stateful Packet Filtering

Stateless ACLs lọc traffic dựa địa IP nguồn đích, port

TCP and UDP, TCP flag, loại ICMP mã code

Stateful kiểm tra ghi nhớ xác chi tiết, hay trạng thái

các yêu cầu

(19)

Stateful Packet Filtering

Stateful packet filter gọi stateful firewall hay application-aware

packet filter.

Stateful firewall có cải tiến mới:

o

Duy trì bảng session (state table) để ghi nhận tất kết nối.

o

Nhận dạng ứng dụng động biết loại kết nối thêm

được thiết lập điểm đầu cuối.

Stateful firewall kiểm tra packet, so sánh packet dựa vào bảng

state table, kiểm tra gói tin q trình thương thuyết

của protocol.

Stateful firewall hoạt động tầng (TCP and UDP).

(20)

Stateful Packet Filtering Example