Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 15 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
15
Dung lượng
569,12 KB
Nội dung
CHAPTER 7:CONFIGURING MULTIPLE INTERFACE Trần Giáo_Khoa CNTT_ĐH Thái Nguyên 1 Chương 7 Cấu hình đa giao diện (Configuration multiple Interface) Tổng quan Chương này bao gồm các topic sau: Mục tiêu Cấu hình thêm các interface Tổng hợp Lab exercise CHAPTER 7:CONFIGURING MULTIPLE INTERFACE Trần Giáo_Khoa CNTT_ĐH Thái Nguyên 2 Mục tiêu CHAPTER 7:CONFIGURING MULTIPLE INTERFACE Trần Giáo_Khoa CNTT_ĐH Thái Nguyên 3 Cấu hình thêm các interface Phần này mô tả cách cấu hình nhiều interface trên Cisco Secure PIXFirewallPIXFirewall hỗ trợ tới 8 interface vành đai cho các nền tảng có khả năng mở rộng và yêu cầu về chính sách an ninh trên các dịch vụ có khả năng truy cập một cách công cộng. Nhiều interface vành đai cho phép PIXFirewall bảo vệ các dịch vụ như web, mail, DNS server trên miền DMZ. Web-base và các ứng dụng Electronic Data Interchange (EDI) liên kết các nhà phát triển và các khách hàng cũng đảm bảo an ninh hơn và khả năng mở rộng khi sử dụng mạng vật lý riêng biệt. Khi mà xu hướng xây dựng mạng intranet ngày càng nhiều thì PIXFirewall đã chuẩn bị sẵn sảng đáp ứng các yêu cầu đó CHAPTER 7:CONFIGURING MULTIPLE INTERFACE Trần Giáo_Khoa CNTT_ĐH Thái Nguyên 4 Khi cấu hình nhiều interface, hãy nhớ rằng mức an ninh được thiết kế cho một interface là inside (tin cậy) hoặc outside (không tin cậy) liên quan tới interface khác. Một interface được xem như là inside trong mối quan hệ với interface nếu mức an ninh của nó cao hơn mức an ninh của interface kia. Và được xem là outside trong mối quan hệ với một interface khác nếu mức an ninh của nó thấp hơn mức an ninh của interface kia. (Nói một cách nôm na theo kiểu người Việt Nam chúng ta, nó là thế này: thuật ngữ inside, outside là tùy từng trường hợp. Với 2 interface thì cái nào có mức an ninh thấp hơn là outside, cao hơn là inside. Vì vậy mà 1 interface có thể là inside đối với interface này nhưng là outside đối với interface khác.) Một quy tắc cơ bản cho mức an ninh đó là một interface có mức an ninh cao hơn có thể truy cập tới một interface có mức an ninh thấp hơn. Lệnh nat và global làm việc cùng nhau để cho phép mạng sử dụng bất kỳ lược đồ địa chỉ IP nào để duy trì tính ẩn trước mạng bên ngoài Một interface với mức an ninh thấp không thể truy cập một interface có mức an ninh cao hơn trừ khi là bạn chỉ định cho phép nó bằng cách thực hiện cặp lệnh static và conduit hoặc static và access-list CHAPTER 7:CONFIGURING MULTIPLE INTERFACE Trần Giáo_Khoa CNTT_ĐH Thái Nguyên 5 Một giao diện thứ 3 được cấu hình như hình vẽ. Khi PIXFirewall là thiết bị với 3 hoặc nhiều hơn các interface, sử dụng nguyên tắc sau để cấu hình cho nó khi sử dụng NAT: Outside interface không thể đổi tên hoặc thay đổi mức an ninh khác đi Một interface luôn luôn là “outside” đối với interface khác mà có mức an ninh cao hơn. Gói tin không thể đi qua giữa các interface mà có cùng mức an ninh Sử dụng một khai báo đường mặc định đơn chỉ đến outside interface. Thiết lập tuyến đường mặc định với lệnh route Sử dụng lệnh nat cho phép người sử dụng trên interface tương ứng bắt đầu một outbound connection (kết nối ra ngoài). Kết hợp nat_id với global_id trong lệnh global. Số id có thể là một số bất kỳ, hỗ trợ lên đến 2 tỷ Sau khi bạn hoàn thành cấu hình thêm, thay đổi, gỡ bỏ khai báo global, ghi lại cấu hình và nhập lệnh clear xlate vì vậy mà địa chỉ IP sẽ được cập nhật trong translation table (bảng dịch). Để cho phép truy cập đến server trên các mạng được bảo vệ, sử dụng lệnh static và conduit CHAPTER 7:CONFIGURING MULTIPLE INTERFACE Trần Giáo_Khoa CNTT_ĐH Thái Nguyên 6 Trong hình vẽ phía trên PIXFirewall có 4 interface, người sử dụng trên tất cả các interface có thể truy cập đến các server và host (inside, outside, DMZ và partnernet). Cấu hình 4 interface yêu cầu phải chú ý nhiều hơn đến những khía cạnh nhỏ nhưng nói chung là chúng được cấu hình với các lệnh PIXFirewall chuẩn. Để cho phép một người sử dụng trên interface có mức an ninh cao hơn truy cập đến các host trên interface có mức an ninh thấp hơn, sử dụng lệnh nat và global (ví dụ, người sử dụng trên inside interface truy cập đến web server trên DMZ interface) Để người sử dụng trên interface có mức an ninh thấp hơn (người sử dụng trên các interface mạng partnernet truy cập đến các host trên interface có mức an ninh cao hơn (DMZ), sử dụng lệnh static và conduit. Như bạn thấy trong hình trên, các mạng đối tác có mức an ninh là 40 và DMZ có mức an ninh là 50. DMZ sẽ sử dụng lệnh nat và bglobal để giao tiếp với mạng đối tác và sẽ sử dụng lệnh static và conduit để nhận lưu lượng từ partnernet CHAPTER 7:CONFIGURING MULTIPLE INTERFACE Trần Giáo_Khoa CNTT_ĐH Thái Nguyên 7 Bảng dưới đây là một tham chiếu nhanh nhằm hướng dẫn khi sử dụng lệnh nat và static để cấu hình nhiều interface khác nhau trong PIX Firewall: Từ giao diện Đến giao diện Sử dụng lệnh này Inside Outside Nat Inside DMZ Nat Inside Partnernet Nat DMZ Outside Nat DMZ Partnernet Nat DMZ Inside Static Partnernet Outside Nat Partnernet DMZ Static Partnernet Inside Static Outside DMZ Static Ouside Partnernet Static Outside Inside static Qua bảng trên thì chúng ta có thể nhớ nôm na theo kiểu người Việt như sau: Với 2 interface: thằng có mức an ninh cao muốn truy cập tới thằng có mức an ninh thấp thì dùng lệnh nat. còn ngược lại thì dùng lệnh static. (bọn Tây nó cứ dài dòng thế đấy các bạn ạ) CHAPTER 7:CONFIGURING MULTIPLE INTERFACE Trần Giáo_Khoa CNTT_ĐH Thái Nguyên 8 Lab exercise – Configure Inside Multiple Interface Cấu hình nhiều inside interface Mục tiêu: Trong bài lab này bạn sẽ phải hoàn thành những nhiệm vụ sau: Cấu hình nhiều inside interface Cấu hình ouside truy cập đến DMZ Topo Hướng dẫn Nhiệm vụ của bạn trong bài tập này là cấu hình PIXFirewall để nó làm việc cùng với router vành đai để bảo vệ mạng campus (mạng của trường đại học) trước những kẻ tấn công. Có 1 PIXFirewall cho mỗi nhóm 2 sinh viên. Làm việc cùng với thành viên của nhóm để thực hiện những bước sau đây: Nhiệm vụ 1 – cấu hình nhiều inside interface Nhiệm vụ 2 – cấu hình truy cập từ outside đến DMZ CHAPTER 7:CONFIGURING MULTIPLE INTERFACE Trần Giáo_Khoa CNTT_ĐH Thái Nguyên 9 Nhiệm vụ 1 – Cấu hình nhiều inside interface Cấu hình PIXFirewall cho phép truy cập đến DMZ từ mạng inside và outside. Thực hiện những bước dưới đây để cấu hình global address pool, NAT và định tuyến cho interface DMZ Bước 1: gán một dải địa chỉ IP cho các host trên public DMZ pixP(config)# global (dmz) 1 172.16.P.20-172.16.P.254 netmask 255.255.255.0 (P = pod number) Bước 2: cho phép sử dụng lệnh name để ánh xạ chuỗi text đến địa chỉ IP pixP(config)# names Bước 3: sử dụng lệnh name đặt tên cho host bastion. Tên được cấu hình sẽ được sử dụng trong các bước sau pixP(config)# name 172.16.P.2 bastionhost pixP(config)# show name (where P = pod number) Bước 4: xóa translation table vì vậy mà global IP address sẽ được cập nhật trong bảng translation pixP(config)# clear xlate Bước 5: ghi cấu hình hiện tại vào bộ nhớ flash pixP(config)# write memory Bước 6: kiểm tra kết nối đến host bastion từ các host trong vùng inside C:\> ping 172.16.P.2 (P = pod number) Bước 7: kiểm tra truy cập web đến host bastion từ windows NT server bằng cách thực hiện các bước sau đây: 1. Mở một trình duyệt web trên Windows NT server 2. Sử dụng trình duyệt web truy cập đến host bastion bằng cách gõ http://172.16.P.2 3. Trang chủ của bastion host sẽ xuất hiện trên trình duyệt của bạn 4. Sử dụng lệnh show arp, show conn, show xlate để quan sát kết quả sau khi cấu hình CHAPTER 7:CONFIGURING MULTIPLE INTERFACE Trần Giáo_Khoa CNTT_ĐH Thái Nguyên 10 pixP(config)# show arp outside 192.168.P.1 00e0.1e41.8762 inside 10.0.P.3 00e0.b05a.d509 dmz bastionhost 00e0.1eb1.78df pixP(config)# show xlate Global 172.16.P.20 Local 10.0.P.3 static pixP(config)# show conn 0 in use, 3 most used TCP out bastionhost:80 in 10.0.P.3:1074 idle 0:00:07 Bytes 380 flags UIO Bước 8: kiểm tra truy cập FTP host bastion từ Windows NT server bằng cách thực hiện những bước sau: 1. Thiết lập một phiên FTP dến bastion host bằng cách chọn Start>Run>ftp 172.16.P.2 bạn kết nối đến được bastion host nếu bạn nhận được thông điệp “connected to 172.16.P.2” 2. Log into FTP session User (172.16.P.2(none)): anonymous 331 Anonymous access allowed, send identity (e-mail name) as password. Password: cisco 3. thoát phiên FTP nếu bạn đã kết nối được và log gin: ftp>quit Nhiệm vụ 2 – Cấu hình ousite truy cập đến DMZ Cấu hình PIXFirewall cho phép outside truy cập đến các host trong DMZ. Cấu hình một static và conduit để kiểm tra kết nối sử dụng lệnh ping giữa các router vành đai và host bastion, và sau đó cấu hình truy cập HTTP và FTP. Bước 1: tạo static translation (dịch tĩnh) cho host bastion. Sử dụng hostname đã được cấu hình trong bước trước cho host bastion tại 172.16.P.2 pixP(config)# static (dmz,outside) 192.168.P.11 bastionhost Bước 2: Ping đến host bastion từ host trên mạng inside khi đã được cho phép bởi lệnh conduit và static [...]... đây pixP(config)# write terminal Building configuration Building configuration : Saved : PIX Version 5.3(1) nameif ethernet0 outside security0 nameif ethernet1 inside security1 00 nameif ethernet2 dmz security5 0 nameif ethernet3 intf3 security1 5 nameif ethernet4 intf4 security2 0 nameif ethernet5 intf5 security2 5 enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted hostname pixP... Nguyên CHAPTER 7:CONFIGURING MULTIPLE INTERFACE no logging standby no logging console no logging monitor no logging buffered no logging trap logging facility 20 logging queue 512 interface ethernet0 100full interface ethernet1 100full interface ethernet2 100full interface ethernet3 auto shutdown interface ethernet4 auto shutdown interface ethernet5 auto shutdown mtu outside 1500 mtu inside 1500 mtu... từ outside và sau đó kiểm tra conduit Cấu hình conduits cho phép lưu lượng TCP từ các clients trên mạng outside truy cập đến bastion DMZ sử dụng cấu hình static lúc trước pixP(config)# conduit permit tcp host 192.168.P.11 eq www any pixP(config)# conduit permit tcp host 192.168.P.11 eq ftp any Bước 7: kiểm truy cập web đến host bastion của nhóm khác bằng cách: 1 Mỏ trình duyệt web trên client PC 2 Sử...CHAPTER 7:CONFIGURING MULTIPLE INTERFACE C:\> ping 192.168.Q.11 (Q = peer pod number) Bước 3: hiển thị static translaton hiện tại pixP(config)# show xlate Global 172.16.P.20 Local 10.0.P.3 Global 192.168.P.10 Local 10.0.P.3 static Global 192.168.P.11 Local bastionhost static Bước 4: Kiểm tra truy cập đến host bastion của nhóm khác . nameif ethernet1 inside security1 00 nameif ethernet2 dmz security5 0 nameif ethernet3 intf3 security1 5 nameif ethernet4 intf4 security2 0 nameif ethernet5. interface Phần này mô tả cách cấu hình nhiều interface trên Cisco Secure PIX Firewall PIX Firewall hỗ trợ tới 8 interface vành đai cho các nền tảng có