Một Firewall hoạt động dựa trên 3 kỹ thuật sau:
• Packet Filtering: Một tường lửa có thể sử dụng packet filtering để giới hạn thông tin đi vào một mạng hoặc thông tin di chuyển từ một đoạn mạng này sang một đoạn mạng khác. Packet filtering sử dụng danh sách điều khiển truy cập (ACLs), nó cho phép một tường lửa xác nhận hay phủ nhận việc truy cập dựa trên kiểu của gói tin và các biến khác. Phương pháp này có hiệu quả khi một mạng được bảo vệ nhận gói tin từ một mạng không được bảo vệ khác. Bất kỳ gói tin nào được gửi đến một mạng đã được bảo vệ và không đúng với các tiêu chuẩn được định nghĩa bởi ACLs đều bị hủy. Một số vấn đề với Packet Filtering:
Các gói tin bất kỳ có thể được gửi đi mà nó phù hợp với các tiêu chuẩn của ACL thì sẽ đi qua được bộ lọc
Các gói tin có thể đi qua được bộ lọc theo từng đoạn
ACL phức tạp là rất khó thực thi và duy trì một cách đúng đắn
Một số dịch vụ không thể lọc
• Proxy Server: Một Proxy server là một thiết bị tường lửa mà nó quyết định một gói tin tại lớp cao hơn của mô hình OSI. Thiết bị này có giá trị ẩn dữ liệu bằng cách yêu cầu người sử dụng giao tiếp với một hệ thống bảo mật có nghĩa là một proxy. Người sử dụng dành quyền truy cập đến một mạng bằng cách đi qua một tiến trình, tiến trình đó sẽ thiết lập một trạng thái phiên, chứng thực người dùng và chính sách cấp quyền. Điều này có nghĩa là người sử dụng kết nối đến các dịch vụ bên ngoài thông qua chương trình ứng dụng (proxies) đang chạy trên cổng dùng để kết nối đến vùng không được bảo vệ phía ngoài. Tuy nhiên cũng có những vấn đề với Proxy server bởi bì nó:
Tạo cùng một lỗi chung, nó có nghĩa là nếu cổng vào mạng bị sập thì sau đó toàn bộ mạng cũng bị sập theo
Nó rất khó để thêm các dịch vụ mới vào tường lửa
Thực thi các ứng suất chậm
• Stateful Packet Filtering: là một phương pháp được sử dụng bởi thiết bị tường lửa PIX của Cisco. Kỹ thuật này duy trì trạng thái phiên đầy đủ. Mỗi khi một kết nối TCP/UDP được thiết lập cho các kết nối vào hoặc ra. Thông tin này được tập hợp trong bảng Stateful session flow. Bảng stateful session flow chứa địa chỉ nguồn và đích, số cổng, thông tin số thứ tự TCP và thêm thông tin các cờ cho mỗi kết nối TCP/UDP kết hợp với các phiên đó. Thông tin này tạo nên các đối tượng kết nối và do đó các gói tin vào và ra được so sánh với lưu lượng phiên trong bảng stateful session flow. Dữ liệu được phép qua tường lửa chỉ khi nếu một kết nối thích hợp
tồn tại đánh giá tính hợp pháp đi qua của dữ liệu đó. Hiệu quả của kỹ thuật này là:
Làm việc trên các gói tin và cổng kết nối.
Nó hoạt động ở mức cao hơn so với hai kỹ thuật trước.
Nó ghi dữ liệu trong một bảng cho mỗi kết nối. Bảng này như là một điểm tham chiếu để xác định gói tin có thuộc về một kết nối đang tồn tại hay không hoặc từ một nguồn trái phép.
2.1.3. Tổng quan về Cisco PIX Firewall
2.1.3.1. Đặc tính và chức năng của PIX firewall
PIX firewall là một yếu tố chính trong toàn bộ giải pháp an ninh end-to- end của Cisco. PIX Firewall là một giải pháp an ninh phần cứng và phần mềm chuyên dụng với mức độ bảo mật cao hơn mà không ảnh hưởng đến sự thực thi của hệ thống mạng. Nó là một hệ thống được lai ghép bởi vì nó sử dụng cả hai kỹ thuật packet filtering và proxy server.
PIX Firewall cung cấp các đặc tính và các chức năng sau:
• Apdaptive Security Algorithm (ASA): thực hiện việc điều khiển các kết nối stateful thông qua PIX Firewall.
• Cut – through proxy: Một người sử dụng phải dựa trên phương pháp chứng thực của các kết nối vào và ra, cung cấp một hiệu suất cải thiện khi so sánh nó với proxy server.
• Stateful failover – PIX Firewall cho phép người dùng cấu hình hai đơn vị PIX Firewall trong một topo mà có đủ sự dư thừa
• Stateful packet filtering: Một phương pháp bảo mật phân tích các gói dữ liệu mà thông tin nằm trải rộng sang một bảng. Để một phiên được thiết lập thông tin về các kết nối phải kết hợp được với thông tin trong bảng PIX Firewall có thể vận hành và mở rộng cấp độ được với các IPSec, các IPSec bao gồm một lưới an ninh và các giao thức chứng thực như là Internet Key
Exchange (IKE) và Public Key Infrastructure (PKI). Các máy client ở xa có thể truy cập một cách an toàn đến mạng của công ty thông qua các ISP của họ.
2.1.3.2. Các dòng PIX firewall của Cisco
Cisco PIX firewall họ 500 có khả năng đáp ứng hàng loạt các yêu cầu và kích thước mạng. Hiện tại bao gồm 5 dòng: PIX Firewall 501, 506, 515, 525 và 535. Họ 500 hỗ trợ một dải rộng các card mạng (NIC). Dòng 501 tích hợp 1 cổng 10BaseT và 4 cổng 10/100 switch. Dòng 506 tích hợp 2 cổng 10BaseT . Dòng 515 hỗ trợ 4 cổng 10/100 Ehthernet và bộ gia tốc VPN. PIX Firewall 525 hỗ trợ 1 cổng đơn hoặc 4 cổng 10/100 Fast Ethernet, Gigabit Ethernet và bộ gia tốc VPN. Dòng 535 hỗ trợ Fast Ethernet, Gigabit Ethernet và bộ gia tốc VPN PIX Firewall vẫn được đảm bảo khi không nằm trong hộp. Cài đặt mặc định của PIX Firewall là cho phép tất cả các kết nối từ cổng bên trong truy cập ra các cổng bên ngoài và khóa tất cả các kết nối từ các cổng bên ngoài vào bên trong. Sau một vài thủ tục cài đặt và cấu hình khởi tạo của 6 lệnh cấu hình thông thường, PIX Firwall có thể hoạt động và bảo vệ hệ thống mạng cho người dùng
a) PIX Firewall 501
Hình 2.4: PIX Firewall 501
Cisco PIX 501 Firewall kích thước chỉ 10 x 6.25 x 5.5 inch và nặng 0.75 pounds. Lý tưởng cho sự bảo mật tốc độ cao, môi trường băng thông rộng luôn được bật. Cisco PIX 501 Firewall cung cấp các đặc tính, sức mạnh cho mạng của các văn phòng nhỏ, có khả năng quản lý các thiết bị từ xa trong cùng một quy tắc, giải pháp tất cả trong một. Cisco PIX 501 Firewall cung cấp một cách thức thuận tiện cho nhiều máy tính cùng chia sẻ một kết nối băng rộng. Được thêm cổng console RS-32 (RJ-45) 9600 baud, nó còn được tích hợp cổng 10BaseT cho
cổng ra, auto-sening (khả năng tự động phán đoán) được tích hợp, auto-MDIX 4 cổng 10/100 switch cho cổng vào. Nhờ auto-MDIX đã loại bỏ việc cần thiết phải sử dụng cáp crossover với các thiết bị kết nối đến switch. Cisco PIX 501 Firewall cũng có thể đảm bảo an ninh cho tất cả các truyền thông mạng từ các văn phòng từ xa đến mạng của công ty thông qua Internet sử dụng các chuẩn của nó dựa trên Internet Key Exchange (IKE)/IP security (Ipsec) và khả năng của VPN. Người sử dụng cũng có thể có được các mạng plug-and-play (cắm và chạy) bằng cách nắm bắt lợi thế của việc xây dựng server giao thức cấu hình host động – Dynamic Host Configuration Protocol (DHCP) server trong PIX Firewall. DHCP server tự động gán địa chỉ mạng đến các máy tính khi chúng được bật nguồn
Cisco PIX 501 Firewall với một dịch vụ an ninh tích hợp đã khóa các lỗ hổng hoàn thiện hơn cho an ninh mức vật lý và chứa 8MB bộ nhớ Flash.
Các đặc điểm chính của PIX Firewall 501:
• Các tính năng VPN bao gồm Internet Key Exchange (IKE), IP security (IPsec) và Cisco Easy VPN
• Hỗ trợ TACACS+ và RADIUS
• Tích hợp switch 4- cổng 10/100
• DHCP client/server và DHCP Relay
• Hộ trợ NAT/PAT, PAT cho IPsec và PPPoE
• Cho phép 10 kết nối VPN ngang hàng đồng thời
• Cho phép 7,500 kết nối đồng thời
• Thông lượng khi truyền dữ liệu Cleartext: 60 Mbps
• Thông lượng VPN Ipsec 56-bit DES: 6 Mbps
• Thông lượng VPN Ipsec 168-bit 3DES: 3 Mbps
b) PIX Firewall 506E
Hình 2.5: PIX Firewall 506E
PIX Firewall 506E cung cấp sự bảo vệ đa lớp cho các văn phòng ở xa thông qua các dịch vụ bảo mật phong phú. PIX Firewall 506E có thể kết nối lên đến 25 mạng VPN ngang hàng cùng một lúc và cung cấp cho người sử dụng sự bổ sung đầy đủ chuẩn Ipsec. Nó có 8MB bộ nhớ flash và tích hợp 2 cổng 10Base-T, có kích thước 8 x 12 x 1.7 inch và sử dụng TFTP để cập nhật và download image
Các đặc điểm chính của PIX Firewall 506E
• Các tính năng VPN bao gồm Internet Key Exchange (IKE), IP security (IPsec) và Cisco Easy VPN
• Hỗ trợ TACACS+ và RADIUS
• DHCP client/server và DHCP Relay
• Hộ trợ NAT/PAT, PAT cho IPsec và PPPoE
• Cho phép 25 kết nối VPN ngang hàng đồng thời
• Cho phép 25,000 kết nối đồng thời
• Thông lượng khi truyền dữ liệu Cleartext: 100 Mbps
• Thông lượng VPN Ipsec 56-bit DES: 20 Mbps
• Thông lượng VPN Ipsec 168-bit 3DES: 17 Mbps
c) PIX Firewall 515E
Hình 2.6: PIX Firewall 515E
The Cisco PIX 515E Firewall cung cấp giải pháp bảo mật đa lớp cho doanh nghiệp nhỏ và vừa và các mạng lưới doanh nghiệp.
Các đặc điểm chính của PIX Firewall 515E:
• Các tính năng VPN bao gồm Internet Key Exchange (IKE), IP security (IPsec) và Cisco Easy VPN
• Hỗ trợ TACACS+ và RADIUS, tích hợp chặt chẽ với Cisco Secure Access Control Server (ACS)
• DHCP server và DHCP Relay
• Hỗ trợ NAT/PAT
• Virtual LAN (VLAN) dựa vào các giao diện ảo
• Định tuyến động Open Shortest Path First (OSPF)
• Các kết nối đồng thời: 130,000
• Các đường hầm VPN đồng thời: 2000
• Thông lượng Cleartext: 188 Mbps
• Thông lượng VPN Ipsec 168-bit 3DES: Lên đến 140 Mbps với VAC+ hoặc 63 Mbps với VAC
• Thông lượng VPN Ipsec 128-bit AES: Lên đến 135 Mbps với VAC+
d) PIX Firewall 525
Hình 2.7: PIX Firewall 525
Cisco PIX 525 Firewall cung cấp bảo mật cấp doanh nghiệp cho các mạng doanh nghiệp vừa và lớn một cách tin cậy.
Các đặc điểm chính của PIX Firewall 515:
• Các tính năng VPN bao gồm Internet Key Exchange (IKE), IP security (IPsec) và Cisco Easy VPN
• Hỗ trợ TACACS+ và RADIUS, tích hợp chặt chẽ với Cisco Secure Access Control Server (ACS)
• DHCP server và DHCP Relay
• Hỗ trợ NAT/PAT
• Virtual LAN (VLAN) dựa vào các giao diện ảo
• Định tuyến động Open Shortest Path First (OSPF)
• Các đường hầm VPN đồng thời: 2000
• Các kết nối đồng thời: 280,000
• Thông lượng Cleartext: 330 Mbps
• Thông lượng VPN Ipsec 168-bit 3DES: Lên đến 155 Mbps với VAC+ hoặc 72 Mbps với VAC
• Thông lượng VPN Ipsec 128-bit AES: Lên đến 165 Mbps với VAC+
e) PIX Firewall 535
Hình 2.8: PIX Firewall 535
Cisco PIX 535 Firewall cung cấp bảo mật cấp doanh nghiệp cho các mạng của nhà cung cấp dịch vụ và các doanh nghiệp lớn với hiệu năng cao
Các đặc điểm chính của PIX Firewall 535:
• Các tính năng VPN bao gồm Internet Key Exchange (IKE), IP security (IPsec) và Cisco Easy VPN
• Hỗ trợ TACACS+ và RADIUS, tích hợp chặt chẽ với Cisco Secure Access Control Server (ACS)
• DHCP server và DHCP Relay
• Hỗ trợ NAT/PAT
• Virtual LAN (VLAN) dựa vào các giao diện ảo
• Định tuyến động Open Shortest Path First (OSPF)
• Các đường hầm VPN đồng thời: 2000
• Các kết nối đồng thời: 500,000
• Thông lượng Cleartext: 1.7 Gbps
• Thông lượng VPN Ipsec 168-bit 3DES: Lên đến 440 Mbps với VAC+ hoặc 100 Mbps với VAC
• Thông lượng VPN Ipsec 128-bit AES: Lên đến 535 Mbps với VAC+
2.1.3.3. Nguyên tắc hoạt động của PIX Firewall
Nguyên tắc chung của firewall (kể cả firewall dạng phần mềm như proxy hay dạng thiết bị cứng như PIX) là bắt gói dữ liệu đi ngang qua nó và so sánh với các luật đã thiết lập. Nếu thấy không vi phạm luật nào thì cho đi qua, ngược lại thì hủy gói dữ liệu. PIX firewall hoạt động dựa trên cơ chế ASA (Adaptive Security Algorithm) sử dụng Security level (mức độ bảo mật). Giữa hai cổng thì một sẽ có Security level cao hơn, một có Security level thấp hơn.
Vấn đề cốt lõi của các thiết bị an ninh là thuật toán An ninh tổng hợp (Adaptive Security Algorithm - ASA). Giải thuật ASA duy trì vành đai an toàn giữa các mạng điều khiển bởi thiết bị an ninh. ASA tuân theo các quy luật sau:
• Không gói tin nào đi qua PIX mà không có một kết nối và trạng thái
• Cho phép các kết nối ra bên ngoài, trừ những kết nối bị cấm bởi danh sách điều khiển truy nhập ACLs. Một kết nối ra bên ngoài có thể là một nguồn hoặc một client ở cổng có mức bảo mật cao hơn nơi nhận hoặc server. Cổng có mức bảo mật cao nhất là inside với giá trị là 100, cổng có mức bảo mật thấp nhất là outside với giá trị là 0. Bất kỳ cổng nào khác cũng có thể có mức bảo mật nhận giá trị từ 1 đến 99.
• Cấm các kết nối vào bên trong, ngoại trừ những kết nối được phép. Một kết nối vào bên trong là một nguồn hoặc client ở cổng hay mạng có mức bảo mật thấp hơn nơi nhận hoặc server.
• Tất cả các gói ICMP đều bị cấm, trừ những gói được phép
• Mọi sự thử nghiệm nhằm phá vỡ các quy tắc trên đều bị hủy bỏ
Trên mỗi cổng của PIX có các mức độ bảo mật (Security-level), xác định một giao tiếp (interface) là tin cậy, được bảo vệ hay không tin cậy, được bảo vệ ít và tương quan với các giao tiếp khác như thế nào. Một giao tiếp được xem là tin cậy trong mối quan hệ với các giao tiếp khác nếu nó có mức độ bảo mật cao hơn.
Quy tắc cơ bản về mức độ bảo mật là: Dữ liệu có thể đi vào PIX thông qua một interface với Security level cao hơn, đi qua PIX và đi ra ngoài thông qua
interface có Security level thấp hơn. Ngược lại, dữ liệu đi vào interface có Security level thấp hơn không thể đi qua PIX và đi ra ngoài thông qua interface có Security level cao hơn nếu trên PIX không có cấu hình conduit hoặc access- list để cho phép nó thực hiện điều này. Các mức bảo mật đánh số từ 0 đến 100.
• Mức 0: Là mức thấp nhất, thiết lập mặc định cho outside interface (cổng ra ) của PIX, thường dành cho cổng kết nối ra Internet. Vì 0 là mức bảo mật ít an toàn nhất nên các untrusted network thường ở sau interface này. Các thiết bị ở outside chỉ được phép truy nhập vào PIX khi nó được cấu hình để làm điều đó.
• Mức 100: Là mức cao nhất cho một interface. Nó được sử dụng cho inside interface (cổng vào) của PIX, là cấu hình mặc định cho PIX và không thể thay đổi. Vì vậy mạng của tổ chức thường ở sau interface này, không ai có thể truy nhập vào mạng này trừ khi được phép thực hiện điều đó. Việc cho phép đó phải được cấu hình trên PIX; các thiết bị trong mạng này có thể truy nhập ra mạng outside.
• Mức từ 1 đến 99: Được dành cho những mạng xung quanh kết nối tới PIX, đăng ký dựa trên kiểu của truy nhập của mỗi thiết bị, thông thường là kết nối đến một mạng hoạt động như là Demilitarized zone ( DMZ ). Khi có nhiều kết nối giữa PIX và các thiết bị xung quanh thì:
• Dữ liệu đi từ interface có Security level cao hơn đến interface có Security level thấp hơn: Cần phải có một translation (static hay dynamic) để cho phép giao thông từ interface có Security level cao hơn đến interface có Security level thấp hơn. Khi đã có translation này, giao thông bắt đầu từ inside interface đến outside interface sẽ được phép, trừ khi nó bị chặn bởi access-list, authentication hay authorization.
• Dữ liệu đi từ interface có Security level thấp hơn đến interface có Security