Mỗi thiết bị NetScreen đều có một bảng mạch Application Specific Integrated Circuit (ASIC). Những ASIC này là những con chip được thiết kế đặc biệt phục vụ cho việc tăng tốc tường lửa, mã hóa, xác thực và quá trình PKI. Bằng việc thực hiện các công việc tính toán chuyên sâu trong chất silicon, NetScreen đã vượt trội hơn hẳn về hiệu năng so với các phần mềm tường lửa. Thực tế là các thiết bị NetScreen được thiết kế đều có những con chip ASIC, nâng cao hiệu quả hơn.
Trong quá trình tích hợp giữa phần cứng và phần mềm, NetScreen cung cấp kiến trúc high-speed multibus đính kèm mỗi ASIC với mỗi bộ vi xử lý RISC, SDRAN và các giao diện Ethernet. Không giống các tường lửa triển khai trên
phần cứng PC, NetScreen platform là các hệ thống tích hợp được thiết kế với hiệu năng cao, trong môi trường high-availability. Từ NetScreen-5 dual- 10BaseT đến NetScreen-1000 Gigabit, các thiết bị NetScreen đã có sự mở rộng rất lơn về hiệu năng và có chi phí tốt nhất.
Hình 3.14 Tường lửa NetScreen trong hệ thống mạng
NetScreen firewall là các firewall ngăn chặn chiều sâu cho phép bảo vệ lớp ứng dụng. Trong khi tường lửa Cisco chỉ có thể cấu hình stateless và statefull firewall hỗ trợ bảo mật lớp mạng và lớp giao vận.
NetScreen firewall là thiết bị bảo vệ trạng thái và lớp chiều sâu gói tin nó căn cứ vào tất cả các kiểm tra của nó và quyết định được tạo ra bằng đường song song khác, bao gồm địa chỉ nguồn, địa chỉ đích, cổng nguồn, cổng đích, dữ liệu được kiểm tra sự phù hợp giao thức.
Thiết bị NetScreen bảo trì bảng phiên dựa vào địa chỉ nguồn, địa chỉ đích, cổng nguồn, cổng đích, và các tác động phiên.
Topo tổng thể hệ thống:
Hình 3.15: Hệ thống mạng với ASA 5520
Tổng quan hệ thống:
− Hệ thống bao gồm các thành phần:
o Vùng Internet sử dụng hai đường truyền ra ngoài nhằm đảm bảo tính sẵn sàng cao có thể đáp ứng 24/24 các yêu cầu của người dùng bên trong cũng như các người dùng ở xa truy nhập vào hệ thống của học viện. Với topo đề xuất trên em chủ yếu thiết kế dựa trên các công nghệ ưu việt của hãng Cisco. Với hệ thống hai đường truyền internet cùng với tính năng Failover được triển khai trên hai thiết bị ASA 5520 sẽ cung cấp cho hệ thống độ an toàn cao và khả năng dự phòng linh hoạt. Hệ thống firewall hỗ trợ bảo mật, mã hóa, antivirus, lọc web, IPS/IDS …
o Vùng DMZ Zone chứa máy chủ hỗ trợ các dịch vụ mail, web, ftp .. có thể public ra ngoài cho người dùng ở ngoài và cả người dùng bên trong.
o Vùng Ineternal Zone, với hai Switch layer 3 đảm nhiệm luôn vai trò vừa là Core layer và Distribution layer nhằm tiết kiệm chi phí cũng như việc cấu hình và vận hành hệ thống. Lớp Core chịu trách nhiệm vận chuyể khối lượng lớn dữ liệu mà vẫn đảm bảo độ tin cậy và sự sẵn sàng cao. Trên hai Switch lớp Core này ta có thể cấu hình tính năng cluster switch hay High Availability.
Các giải pháp ứng dụng để xây dựng hệ thống :
− Tính năng Failover : Ở đây ta sẽ sử dụng tính năng Failover theo mô hình Actvie/Active để tang hiệu năng xử lý cũng như tận dụng tối đa hoạt động của thiết bị. Ở chế độ Active/Active thì hai thiết bị ASA/PIX hoạt động cùng lúc và theo kịch bản mà người quản trị định trước.
− Công nghệ Etherchannel là công nghệ của Cisco cho phép kết hợp các kết nối Ethernet thành mộ bó (bundle) để tăng băng thong. Môi bundle có thể bao gồm từ hai đến tám kết nội FastEthernet hay Gigabit Ethernet tạo thành mội kết nối logic gọi là FastEthernetChannel hay Gigabit Ethernet Channel. Kết nối này cung cấp băng thong lên đến 1600Mbps (16Gbps).
− Áp dụng công nghệ Etherchannel trên giao tiếp giữa các máy chủ và switch để tăng băng thông . Trên các máy chủ sử dụng card mạng hỗ trợ công nghệ Etherchannel và sử dụng phần mềm đi kèm theo máy chủ, như HP Auto Port Aggregation ..
Triển khai :
Cấu hình Failover Active/Active trên hệ thống
Hình 3. 16: Mô hình triển khai Failover Active/Active
STT Loại TB Tên
Port
Chức năng IP Address Subnetmask
1 PRIMARY E0 Outside(admin ) 192.168.0.1 /29 E1 Outside(ctx1) 192.168.0.10 /29 E2 Folink 172.16.1.1 /30 E3 Inside(ctx1) 10.10.20.2 /24 E4 Inside(admin) 10.10.10.1 /24 2 SECONDARY E0 Outside(ctx1) 192.168.0.9 /29 E1 Outside(admin ) 192.168.0.2 /29 E2 Folink 172.16.1.2 /30
E3 Inside(admin) 10.10.10.2 /24
E4 Inside(ctx1) 10.10.20.1 /24
3 R1 Fa0/0 192.168.0.3 /29
4 R2 Fa0/0 192.168.0.11 /29
Bảng 1: Bảng phân chia địa chỉ
Cấu hình : (adsbygoogle = window.adsbygoogle || []).push({});
Trên ASA đóng vai trò làm Primary Tại ngữ cảnh system:
Active cổng đóng vai trò làm Failover link
PRIMARY(config)# int Ethernet 0/2 PRIMARY (config-if)# no shutdown
Kích hoạt tính năng failover trên Primay
PRIMARY (config)# failover
PRIMARY (config)# failover lan unit primary
PRIMARY(config)# failover lan interface folink Ethernet0/2 PRIMARY(config)# failover polltime unit msec 500
PRIMARY(config)# failover link folink Ethernet0/2
PRIMARY(config)#failover interface ip folink 172.16.1.1 255.255.255.252 standby 172.16.1.2
PRIMARY(config)# failover
Khởi tạo Group và thiết lập các ngữ cảnh (context)
PRIMARY(config)# failover group 1
PRIMARY(config-fover-group)# primary
PRIMARY(config-fover-group)# preempt 60
PRIMARY(config)# failover group 2
PRIMARY (config-fover-group)# secondary
PRIMARY (config-fover-group)# preempt 60
PRIMARY (config)# admin-context admin PRIMARY (config)# context admin
PRIMARY (config-ctx)# description admin
PRIMARY (config-ctx)# allocate-interface ethernet0/0
PRIMARY (config-ctx)# allocate-interface ethernet0/4
PRIMARY (config-ctx)# config-url flash:/admin.cfg
PRIMARY (config-ctx)# join-failover-group 1
PRIMARY (config)# context ctx1
PRIMARY (config-ctx)# description context 1
PRIMARY (config-ctx)# allocate-interface ethernet0/0 PRIMARY (config-ctx)# allocate-interface ethernet0/4
Vào ngữ cảnh admin
PRIMARY (config)# change context admin PRIMARY/admin (config)#
PRIMARY/admin (config)# interface e0/0 PRIMARY/admin (config-if)# nameif outside
PRIMARY/admin (config-if)# ip add 192.168.0.1 255.255.255.248 standby 192.168.0.2 (adsbygoogle = window.adsbygoogle || []).push({});
PRIMARY/admin (config)# no shutdown PRIMARY/admin (config)# interface e0/4 PRIMARY/admin (config-if)# nameif inside
PRIMARY/admin (config-if)# ip add 10.10.10.1 255.255.255.0 standby 10.10.10.2
PRIMARY/admin (config-if# no shutdown
PRIMARY/admin (config)# monitor-interface outside PRIMARY/admin (config)# monitor-interface inside PRIMARY/admin (config)# route outside 0 0 192.168.0.3
Thiết lập nội dung cho ngữ cảnh ctx1 Vào ngữ cảnh ctx1
PRIMARY (config)# change context ctx1 PRIMARY/ctx1(config)#
PRIMARY ctx1 (config)# interface e0/0 PRIMARY/ctx1(config-if)# nameif outside
PRIMARY/ctx1(config-if)# ip add 192.168.0.9 255.255.255.248 standby 192.168.0.10
PRIMARY/ctx1(config)# no shutdown PRIMARY/ctx1(config)# interface e0/4 PRIMARY/ctx1(config-if)# nameif inside
PRIMARY/ctx1(config-if)# ip add 10.10.20.1 255.255.255.0 standby 10.10.20.2
PRIMARY/ctx1(config-if# no shutdown
PRIMARY/ctx1(config)# monitor-interface outside PRIMARY/ctx1(config)# monitor-interface inside
PRIMARY/ctx1(config)# route outside 0 0 192.168.0.11
Trên ASA đóng vai trò làm Secondary
SECONDARY (config)# failover
SECONDARY (config)# failover lan unit primary
SECONDARY (config)# failover lan interface folink Ethernet0/2 SECONDARY Y(config)# failover polltime unit msec 500
SECONDARY (config)# failover link folink Ethernet0/2
SECONDARY (config)#failover interface ip folink 172.16.1.1 255.255.255.252 standby 172.16.1.2
Như vậy với việc triển khai thực nghiệm các tính năng trên phần nào giúp chúng ta hiểu xâu hơn về hoạt động của Firewall nói chung và sản phẩm ASA 5520 nói riêng. Chúng ta có kỹ năng tổng thể hơn về việc cấu hình các dịch vụ mạng, biết cách xây dựng một webserver và hiểu được cách thức hoạt động của dịch vụ dịch chuyển địa chỉ NAT và PAT. Bên cạnh đó chúng ta biết được cách thức cấu hình tính năng cao cấp của dòng sản phầm ASA 5520 là khả năng dự phòng Failover. Thêm vào là việc ứng dụng sản phẩm ASA 5520 để xây dựng hệ thống mạng trung tâm cho học viện, đáp ứng được tính sẵn sàng và độ bảo mật cao.
KẾT LUẬN
Hiện nay internet đang bùng nổ và phát triển mạnh, dường như tất cả mọi hoạt động của con người đều diễn ra trên đó. Do vậy việc bảo mật thông tin là vô cùng quan trọng. Tìm hiểu về tưởng lửa, khai thác sản phẩm và các phương thức đảm bảo an toàn cho hệ thống mạng là một đề tài có tính chất thực tế đối với sinh viên.
Đề tài tập trung nghiên cứu, tìm hiểu những vấn đề cơ bản nhất của tưởng lửa như:
• Khái niệm về tưởng lửa.
• Kỹ thuật và công nghệ tường lửa.
• Kiến trúc của hệ thống tường lửa
Và đặc biệt là tìm hiểu về công nghệ tưởng lửa của Cisco – một giải pháp an ninh phần cứng của Cisco và áp dụng vào xây dựng mô hình mạng an toàn.
Sau quá trình tìm hiểu và nghiên cứu đề tài, em đã thu được một số kết quả sau:
• Hiểu được tổng quan, các khái niệm và công nghệ cũng như kiến trúc xây dựng hệ thống firewall.
• Ứng dụng, triển khai các tính năng của Cisco Firewall. (adsbygoogle = window.adsbygoogle || []).push({});
• Đưa ra đề xuất giải pháp mô hình mạng sử dụng firewall ASA 5520 có tính bảo mật, sẵn sàng và độ dự phòng cao.
Hướng phát triển:
• Sức mạnh bảo mật của tưởng lửa Cisco mang lại cho hệ thống mạng là rất lớn. Tuy nhiên do lượng thời gian có hạn nên việc tiếp cận một công nghệ firewall cao cấp sẽ khó tránh khỏi những hạn chế em mong các thầy, cô chỉ bảo giúp đỡ để đề tài này được hoàn thiện hơn.
• Với kiến thức thu được và những kết quả thực nghiệm ban đầu thành công, em muốn phát triển đề tài mang tính ứng dụng thực
tiễn cao hơn đó là xây dựng hệ thống mạng với tính năng bảo mật, độ sẵn sàng cao cho học viện.
Cuối cùng, Em có được thành công như ngày hôm này là nhờ công sức lớn lao của các thầy cô và toàn thể cán bộ trong học viện. Suốt 5 năm qua, em rất vinh hạnh được là sinh viên của một học viện giàu truyền thống và có nhiều thành tích về đào tạo. Với những tri thức mà các thầy cô truyền đạt, em tin ra sau khi ra trường em sẽ có đủ trình độ và năng lực làm việc.
Một lần nữa cho em xin gửi lời cám ơn tới toàn thể thầy cô trong học viện đã tận tình dìu dắt em trong suốt 5 năm qua. Chúc các thầy cô, toàn thể cán bộ công nhân viên trong học viện và gia đình mạnh khỏe và thành công trong cuộc sống.
TÀI LIỆU THAM KHẢO
[1] Giáo trình bức tường lửa – Học viện kỹ thuật Mật Mã.
[2] Cisco Security Appliance Command Line Configuration Guide, V8.0 [3] www.cisco.com