CHAPTER 5: BASIC CONFIGURATION OF THE CISCO PIX FIREWALL Trần Giáo_Khoa CNTT_ĐH Thái Nguyên 1 Chương 5 CẤU HÌNH CƠ BẢN PIX FIREWALL Tổng quan: Chương này bao gốm các nội dung sau:  Mục tiêu  Các lệnh duy trì thông thường  Cấp độ an ninh ASA  6 lệnh chính  Tóm tắt  Bài tập thực hành trên phòng Lab Mục tiêu CHAPTER 5: BASIC CONFIGURATION OF THE CISCO PIX FIREWALL Trần Giáo_Khoa CNTT_ĐH Thái Nguyên 2 Các lệnh duy trì thông thường của PIX Firewall Phần này sẽ đưa ra các kiểu truy cập và các lệnh kết hợp với hoạt động của PIX Firewall PIX Firewall chứa tập các lệnh dựa trên hệ điều hành Cisco IOS và cung cấp 4 chế độ truy cập:  Unprivileged mode (chế độ truy cập không đặc quyền) – Chế độ này sẽ sẵn có khi bạn lần đầu tiên truy cập vào PIX Firewall. Từ dấu nhắc > được hiển thị, chế độ này cho phép bạn xem các thiết lập một cách hạn chế.  Privileged mode (chế độ đặc quyền) – Chế độ này hiển thị dấu nhắc # và cho phép bạn thay đổi cài đặt hiện tại. Bất kỳ lệnh trong chế độ không đặc quyền nào đều có thể làm việc trong chế độ đặc quyền.  Configuration mode (chế độ cấu hình) – Chế độ này hiển thị dấu nhắc (config)# và cho phép bạn thay đổi cấu hình hệ thống. Tất cả các lệnh đặc quyền, không đặc quyền và lệnh cấu hình đều làm việc ở chế độ này.  Monitor mode (chế độ theo dõi kiểm tra) – Đây là một chế độ đặc biệt nó cho phép bạn cập nhật image trên mạng. Trong chế độ này bạn có thể nhập các lệnh chỉ định vị trí của TFTP server và image nhị phân để download. CHAPTER 5: BASIC CONFIGURATION OF THE CISCO PIX FIREWALL Trần Giáo_Khoa CNTT_ĐH Thái Nguyên 3 Trong mỗi một kiểu truy cập, bạn có thể rút gọn một cách tối đa câu lệnh xuống chỉ còn một vài ký tự riêng biệt của câu lệnh đó. Ví dụ bạn có thể nhập write t để xem cấu hình thay vì phải nhập câu lệnh đầy đủ write terminal. Bạn có thể nhập en thay cho enable để bắt đầu chế độ đặc quyền, co t thay cho configuration terminal để bắt đầu chế độ cấu hình. Thông tin trợ giúp luôn sẵn có trong dòng lệnh của PIX Firewall bằng cách nhập help hoặc ? để liệt kê tất cả các lệnh. Nếu bạn nhập help hoặc ? sau một lệnh (ví dụ router), thì cú pháp lệnh router sẽ được liệt kê ra. Số các lệnh được liệt kê ra khi bạn dùng dấu hỏi hoặc từ khóa help là khác nhau ở các chế độ truy cập vì vậy mà chế độ không đặc quyền sẽ đưa ra các lệnh ít nhất và chế độ cấu hình sẽ đưa ra số lệnh nhiều nhất. Hơn nữa bạn có thể nhập bất cứ một lệnh nào (chính nó)ở trên dòng lệnh và sau đó ấn phím Enter để xem cú pháp lệnh Chú ý: bạn có thể tạo một cấu hình của riêng mình trên một trình soạn thảo văn bản sau đó cut và paste nó sang phần cấu hình. Bạn có thể paste cấu hình đó một dòng một lần hoặc toàn bộ một lần. Nhớ là phải luôn kiểm tra cấu hình của bạn sau khi paste một khối lớn văn bản để chắc chắn là mọi thứ đã được copy CHAPTER 5: BASIC CONFIGURATION OF THE CISCO PIX FIREWALL Trần Giáo_Khoa CNTT_ĐH Thái Nguyên 4 Có một số lệnh duy trì thông thường của PIX Firewall:  Lệnh Enable, enable password và passwd – Được sử dụng để truy cập vào phần mềm PIX Firewall để thay đổi mật khẩu.  Write erase, wirte memory và write team – Được sử dụng để hiển thị cấu hình hệ thống và lưu trữ cấu hình dữ liệu mới  Show interface, show ip address, show memory, show version và show xlate – Được sử dụng để kiểm tra cấu hình hệ thống và thông tin thích hợp khác  Exit và reload – Được sử dụng để thoát một chế độ truy cập, tải lại một cấu hình và khởi động lại hệ thống  Hostname, ping và telnet – Được sử dụng để xác định nếu một địa chỉ IP khác tồn tại, thay đổi hostname, chỉ định host cục bộ cho PIX Firewall và giành quyền truy cập console CHAPTER 5: BASIC CONFIGURATION OF THE CISCO PIX FIREWALL Trần Giáo_Khoa CNTT_ĐH Thái Nguyên 5 Lệnh enable cho phép bạn vào chế độ truy cập đặc quyền, sau khi bạn nhập enable, PIX Firewall sẽ nhắc bạn mật khẩu để truy cập vào chế độ đặc quyền. Mặc định thì mật khẩu này không yêu cầu vì thế mà bạn ấn phím Enter, sau khi bạn vào chế độ đặc quyền hãy để ý dấu nhắc sẽ thay đổi sang ký hiệu #. Khi bạn gõ configure terminal nó sẽ đưa bạn vào chế độ cấu hình và dấu nhắc thay đổi sang (config)#. Để thoát và quay trở về chế độ trước đó, sử dụng lệnh disable, exit hoặc quit CHAPTER 5: BASIC CONFIGURATION OF THE CISCO PIX FIREWALL Trần Giáo_Khoa CNTT_ĐH Thái Nguyên 6 Lệnh enable password thiết lập mật khẩu truy cập vào chế độ đặc quyền. Bạn sẽ được nhắc mật khẩu này sau khi nhập lệnh enable (Khi PIX Firewall khởi động và bạn nhập vào chế độ đặc quyền thì sẽ xuất hiện dấu nhắc để nhập mật khẩu) Không có mật khẩu mặc định do đó bạn có thể ấn phím enter tại dấu nhắc mật khẩu hoặc bạn có thể tạo ra mật khẩu do bạn chọn. Mật khẩu phân biệt chữ hoa và chữ thường, hỗ trợ độ dài lên đến 16 ký tự chữ số. Bất kỳ ký tự nào cũng có thể được sử dụng lọai trừ dấu chấm hỏi, dấu cách và dấu hai chấm. Nếu bạn thay đổi mật khẩu, bạn nên ghi lại va lưu trữ nó ở một nơi thích hợp. Sau khi bạn thay đổi mật khẩu thì bạn không thể xem lại nó bởi vì nó đã được mã hóa. Lệnh show enable password chỉ đưa ra dạng mật khẩu đã được mã hóa. Sau khi mật khẩu đã bị mã hóa chúng không thể đảo ngược lại dạng văn bản thông thường Lệnh passwd cho phép bạn thiết lập mật khẩu Telnet truy cập vào PIX Firewall. Mặc định giá trị này là Cisco. Chú ý: Bất kỳ một mật khẩu rỗng nào cũng được thay đổi thành một xâu mã hóa CHAPTER 5: BASIC CONFIGURATION OF THE CISCO PIX FIREWALL Trần Giáo_Khoa CNTT_ĐH Thái Nguyên 7 Lệnh write cho phép bạn ghi (lữ trữ) cấu hình hệ thống vào bộ nhớ, hiển thị cấu hình hệ thống và xóa các cấu hình hiện tại. Dưới đây là các lệnh write:  write net – Lưu trữ cấu hình hệ thống thành một file trên TFTP server hoặc trong mạng.  write earse – Xóa cấu hình bộ nhớ flash  write floppy – Lữ trữ cấu hình hiện tại vào đĩa mềm (PIX Firewall 520 và các model trước đó có ổ đĩa mềm 3.5-inch) Chú ý: Nếu bạn định dạng ổ đĩa mềm từ hệ điều hành Window, chọn kiểu định dạng full-format và không được chọn quick-format. Ổ đĩa mềm bạn tạo có thể chỉ được đọc hoặc ghi bởi PIX Firewall. Nếu bạn sử dụng lệnh write floppy với một đĩa mềm mà nó không phải là đĩa khởi động của PIX Firewall, không được để nó ở trong ổ đĩa bởi vì nó sẽ ngăn cản quá trình khởi động lại của PIX khi xảy ra lỗi ở nguồn hoặc hệ thống load lại. Chỉ một bản copy của cấu hình có thể được lưu trữ trên đĩa mềm.  write memory – Ghi cấu hình đang chạy (hiện tại) vào bộ nhớ Flash CHAPTER 5: BASIC CONFIGURATION OF THE CISCO PIX FIREWALL Trần Giáo_Khoa CNTT_ĐH Thái Nguyên 8  write standby – Ghi cấu hình được lưu trong Ram trên active failover PIX Firewall, vào RAM trên standby PIX Firewall. Khi PIX Firewall hoạt động (active PIX Firewall) khởi động ghi cấu hình vào PIX dự phòng Sử dụng lệnh này để ghi cấu hình của active PIX Firewall sang standby PIX Firewall.  Write teminal – Hiển thị cấu hình hiện tại trên thiết bị đầu cuối Dưới đây là các lệnh Telnet khác:  telnet – Cho phép bạn chỉ định host có thể truy cập đến PIX Firewall thông qua Telnet. Bạn có thể chỉ định một host trên một mạng bên trong bất kỳ nhưng bạn không thể chỉ định host trên mạng phía ngoài. Hỗ trợ lên đến 16 host hoặc mạng cho phép truy cập đồng hời đến PIX Firewall thông qua Telnet  Show telnet – Hiển thị danh sách các địa chỉ IP hiện tại được phép truy cập vào PIX Firewall thông qua telnet CHAPTER 5: BASIC CONFIGURATION OF THE CISCO PIX FIREWALL Trần Giáo_Khoa CNTT_ĐH Thái Nguyên 9  Clear telnet and no telnet – Di chuyển đến phiên telnet truy cập từ một địa chỉ IP trước đó  Telnet timeout – Thiết lập thời gian cực đại một phiên telnet có thể không được sử dụng trước khi nó bị kết thúc bởi PIX Firewall.  Kill – Kết thúc một phiên telnet. Khi bạn kết thúc một phiên telnet, PIX Firewall sẽ ngăn chặn mọi lệnh kích hoạt và sau đó hủy kết nối mà không cảnh báo người sử dụng.  Who – Cho phép bạn hiển thị địa chỉ IP hiện tại đang truy cập vào PIX Firewall thông qua telnet Dưới đây là cú pháp của các lệnh này:  telnet ip_address [netmask] [if_name]  clear telnet [ip_address [netmask] [if_name]]  no telnet [ip_address [netmask] [if_name]]  telnet timeout minutes  kill telnet_id  who local_ip Ip_address Một địa chỉ IP của một host hoặc mạng mà có thể Telnet đến PIX Firewall . Nếu không đưa ra tên giao diện (if_name) thì mặc định sẽ là giao diện phía trong (mạng bên trong). PIX Firewall tự động kiểm tra địa chỉ IP dựa trên địa chỉ IP được nhập bởi lệnh ip address để đảm bảo rằng địa chỉ bạn đưa ra thuộc về mạng bên trong. Nếu tên giao diện được đưa ra thì PIX Firewall chỉ kiểm tra host dựa trên giao diện bạn chỉ định Netmask Mặt nạ mạng của địa chỉ IP. Để giới hạn truy cập đến một địa chỉ IP đơn thì sử dụng 255 cho mỗi octet( ví dụ, 255.255.255.255). Nếu bạn không đưa ra netmask thì mặc định CHAPTER 5: BASIC CONFIGURATION OF THE CISCO PIX FIREWALL Trần Giáo_Khoa CNTT_ĐH Thái Nguyên 10 là 255.255.255.255 đối với lớp local_ip (ip cục bộ). Không sử dụng mặt nạ mạng con của mạng bên trong. Mặt nạ mạng chỉ là một bit mask cho địa chỉ IP trong ip address If_name Nếu Ipsec đang hoạt động, PIX Firewall cho phép bạn đưa ra một tên giao diện không đảm bảo. Thông thường là mạng phía ngoài. Tối thiểu thì lệnh cryto map cần được cấu hình để đưa ra tên một giao diện với lệnh Telnet Minutes Số phút mà phiên telnet có thể không sử dụng đến trước khi bị đóng bởi PIX Firewall. Mặc định là 5 phút. Hỗ trợ từ 1-60 phút telnet_id Định danh phiên telnet local_ip Một tùy chọn địa chỉ ip bên trong để giới hạn danh sách đến một địa chỉ ip hoặc một địa chỉ mạng [...]... console của PIX Firewall Sau khi truy cập vào cổng console của PIX Firewall thì dấu nhắc PIX Firewall sẽ xuất hiện pixfirewall> Bước 2: Hiển thị danh sách các lệnh help pixfirewall> ?  câu hỏi 1: lệnh đầu tiên là lệnh nào?  trả lời: enable Bước 3: Nhập vào chế độ đặc quyền của PIX Firewall, khi dấu nhắc mật khẩu xuất hiện thì ấn Enter pixfirewall> enable password: pixfirewall# Bước 4: Hiển thị danh... Thái Nguyên CHAPTER 5: BASIC CONFIGURATION OF THE CISCO PIX FIREWALL BÀI LAB THỰC HÀNH CẤU HÌNH PIX FIREWALL VÀ THỰC HIỆN CÁC LỆNH BẢO TRÌ THÔNG THƯỜNG Trong bài Lab này, các bạn sẽ thực hiện những nhiệm vụ sau:  Hoàn thiện kiến thức với các lệnh bảo trì thông thường  Cấu hình đặc tính cơ bản của PIX Firewall để bảo vệ truy cập cho mạng doanh nghiệp  Kiểm tra hoạt động cấu hình PIX Firewall Dưới... CNTT_ĐH Thái Nguyên CHAPTER 5: BASIC CONFIGURATION OF THE CISCO PIX FIREWALL interface Chỉ định PAT sử dụng địa chỉ IP tại giao diện Nếu lệnh nat được sử dụng, thì lệnh đi cùng với nó là lệnh global cần được cấu hình để định nghĩa một dải địa chỉ IP được dịch Để xóa mục global, sử dụng lệnh no global Ví dụ, no global (outside) 1 192.168.1.20-12.168.1. 254 netmask 255 . 255 . 255 .0 Note: PIX Firewall sẽ gán... Ip_address Chỉ định host hoặc là mạng có quyền khởi tạo một kết nối đến PIX Firewall Netmask Chỉ định mặt nạ mạng cho địa chỉ 11 Trần Giáo_Khoa CNTT_ĐH Thái Nguyên CHAPTER 5: BASIC CONFIGURATION OF THE CISCO PIX FIREWALL ip_address Nếu bạn không đưa ra mặt nạ mạng thì mặc địng sẽ là 255 . 255 . 255 . 255 đối với lớp địa chỉ ip If_name tên giao diện PIX Firewall trên host hoặc mạng khởi tạo vùng kết nối HTTP Mặc định... giải thích cho sơ đồ trong hình vẽ trước Note: PIX Firewall có thể có tới 6 mạng vành đai trong tổng số 8 giao diện 23 Trần Giáo_Khoa CNTT_ĐH Thái Nguyên CHAPTER 5: BASIC CONFIGURATION OF THE CISCO PIX FIREWALL Có 6 lệnh cấu hình cơ bản cho PIX Firewall:  Nameif – Gán tên đến mỗi giao diện mạng vành đai và chỉ định mức an ninh cho nó  Interface – Cấu hình kiểu và khả năng của mỗi giao diện vành đai... IP như trong hình vẽ Setup: Trước khi thực hiện bài lan bày bạn cần phải chắc chắn là PIX Firewall đã được bật và các PC đã được kết nối đến PIX Firewall Hướng dẫn: Bạn sẽ gán địa chỉ IP và xem lại toàn bộ chúng Bạn sẽ thực hiện các câu lệnh bảo trì thông thường cần thiết để PIX Firewall hoạt động đúng 35 Trần Giáo_Khoa CNTT_ĐH Thái Nguyên CHAPTER 5: BASIC CONFIGURATION OF THE CISCO PIX FIREWALL Thực... dưới đây trong bài lab này:  Thực hiện cấu hình mặc định PIX Firewall  Trả lời các câu hỏi của bài lab  Cấu hình giao diện PIX Firewall  Kiểm tra kết nối giao diện inside, outside và DMZ  Cấu hình địa chỉ global, NAT và định tuyến từ inside và outside Nhiệm vụ 1: Thực hiện các lệnh thông thường Để hoàn thiện các kiến thức của bản thân, thực hiện những lệnh dưới đây: Bước 1: Giáo viên sẽ hướng dẫn.. .CHAPTER 5: BASIC CONFIGURATION OF THE CISCO PIX FIREWALL Các lệnh http cho phép bạn kích hoạt PIX Firewall HTTP server và chỉ định các client được phép truy cập đến nó HTTP server cần được kích hoạt để cấu hình và kiểm tra PIX Firewall thông qua trình quản lý thiết bị PIX (PDM ~ PIX Device Manager) PDM được thảo luận trong chương 16 Sử dụng lệnh http server enable để kích hoạt PIX Firewall s... con thì sử dụng mặt nạ mạng con (ví dụ, 255 . 255 . 255 .128) Nếu bạn chỉ định một dãy địa chỉ mà chồng chéo lên mạng con với lệnh netmask, lệnh này sẽ không sử Netmask global_mask dụng địa chỉ mạng hoặc địa chỉ broadcast trong dải địa chỉ public Ví dụ, nếu bạn sử dụng dải địa chỉ 192. 150 .50 .20 – 192. 150 .50 .140, địa chỉ mạng 192. 150 .50 .128 và địa chỉ broadcast 192. 150 .50 .127 sẽ không bao gồm trong dải địa... trong 5 phút CPU utilization for 5 seconds: p1%; 1 minute: p2%; 5 minutes: p3% Phần trăm sử dụng hiển thị là NA (not available) nếu CPU không sử dụng vào bất cứ khoảng thời gian nào Điều này có thể xảy ra nếu người sử dụng yêu cầu thông tin sử dụng CPU trước khoảng thời gian khởi tạo 5 giây, 1 phút, hoặc 5 phút 15 Trần Giáo_Khoa CNTT_ĐH Thái Nguyên CHAPTER 5: BASIC CONFIGURATION OF THE CISCO PIX FIREWALL . sử dụng 255 cho mỗi octet( ví dụ, 255 . 255 . 255 . 255 ). Nếu bạn không đưa ra netmask thì mặc định CHAPTER 5: BASIC CONFIGURATION OF THE CISCO PIX FIREWALL. CHAPTER 5: BASIC CONFIGURATION OF THE CISCO PIX FIREWALL Trần Giáo_Khoa CNTT_ĐH Thái Nguyên 1 Chương 5 CẤU HÌNH CƠ BẢN PIX FIREWALL Tổng quan: Chương