Tưởng lửa Netscreen

Một phần của tài liệu tìm hiểu firewall cisco asa5520 (Trang 64 - 74)

V. ỨỐLP 1ÙL 7CỸ ỨỦẶ ỨPỤC 7CÔL ẬÌÔ ỨCOLN

3.4.2.Tưởng lửa Netscreen

T rín ASA đóng vai trò lăm SECONDARY

3.4.2.Tưởng lửa Netscreen

Mỗi thiết bị NetScreen đều có một bảng mạch Application Specific Integrated Circuit (ASIC). Những ASIC năy lă những con chip được thiết kế đặc biệt phục vụ cho việc tăng tốc tường lửa, mê hóa, xâc thực vă quâ trình PKI. Bằng việc thực hiện câc công việc tính toân chuyín sđu trong chất silicon, NetScreen đê vượt trội hơn hẳn về hiệu năng so với câc phần mềm tường lửa. Thực tế lă câc thiết bị NetScreen được thiết kế đều có những con chip ASIC, nđng cao hiệu quả hơn.

Trong quâ trình tích hợp giữa phần cứng vă phần mềm, NetScreen cung cấp kiến trúc high-speed multibus đính kỉm mỗi ASIC với mỗi bộ vi xử lý RISC, SDRAN vă câc giao diện Ethernet. Không giống câc tường lửa triển khai trín

Đinh Hoăng Thâi - 64 -

Đồ ân tốt nghiệp Tìm hiểu Firewall Cisco ASA5520

phần cứng PC, NetScreen platform lă câc hệ thống tích hợp được thiết kế với hiệu năng cao, trong môi trường high-availability. Từ NetScreen-5 dual- 10BaseT đến NetScreen-1000 Gigabit, câc thiết bị NetScreen đê có sự mở rộng rất lơn về hiệu năng vă có chi phí tốt nhất.

Hình 3.14 Tường lửa NetScreen trong hệ thống mạng

NetScreen firewall lă câc firewall ngăn chặn chiều sđu cho phĩp bảo vệ lớp ứng dụng. Trong khi tường lửa Cisco chỉ có thể cấu hình stateless vă statefull firewall hỗ trợ bảo mật lớp mạng vă lớp giao vận.

NetScreen firewall lă thiết bị bảo vệ trạng thâi vă lớp chiều sđu gói tin nó căn cứ văo tất cả câc kiểm tra của nó vă quyết định được tạo ra bằng đường song song khâc, bao gồm địa chỉ nguồn, địa chỉ đích, cổng nguồn, cổng đích, dữ liệu được kiểm tra sự phù hợp giao thức.

Thiết bị NetScreen bảo trì bảng phiín dựa văo địa chỉ nguồn, địa chỉ đích, cổng nguồn, cổng đích, vă câc tâc động phiín.

3.5. Đề xuất giải phâp thiết kế hệ thống mạng với tính dự phòng vă tính sẵn săng cao với Firewall

Cisco ASA5520

Đinh Hoăng Thâi - 65 -

Đồ ân tốt nghiệp Tìm hiểu Firewall Cisco ASA5520

Topo tổng thể hệ thống:

Hình 3.15: Hệ thống mạng với ASA 5520

Tổng quan hệ thống:

− Hệ thống bao gồm câc thănh phần:

o Vùng Internet sử dụng hai đường truyền ra ngoăi nhằm đảm bảo tính sẵn săng cao có thể đâp ứng 24/24 câc yíu cầu của người dùng bín trong cũng như câc người dùng ở xa truy nhập văo hệ thống của học viện. Với topo đề xuất trín em chủ yếu thiết kế dựa trín câc công nghệ ưu việt của hêng Cisco. Với hệ thống hai đường truyền internet cùng với tính năng Failover được triển khai trín hai thiết bị ASA 5520 sẽ cung cấp cho hệ thống độ an toăn cao vă khả năng dự phòng linh hoạt. Hệ thống firewall hỗ trợ bảo mật, mê hóa, antivirus, lọc web, IPS/IDS …

Đinh Hoăng Thâi - 66 -

Đồ ân tốt nghiệp Tìm hiểu Firewall Cisco ASA5520

o Vùng DMZ Zone chứa mây chủ hỗ trợ câc dịch vụ mail, web, ftp .. có thể public ra ngoăi cho người dùng ở ngoăi vă cả người dùng bín trong.

o Vùng Ineternal Zone, với hai Switch layer 3 đảm nhiệm luôn vai trò vừa lă Core layer vă Distribution layer nhằm tiết kiệm chi phí cũng như việc cấu hình vă vận hănh hệ thống. Lớp Core chịu trâch nhiệm vận chuyể khối lượng lớn dữ liệu mă vẫn đảm bảo độ tin cậy vă sự sẵn săng cao. Trín hai Switch lớp Core năy ta có thể cấu hình tính năng cluster switch hay High Availability.

Câc giải phâp ứng dụng để xđy dựng hệ thống :

− Tính năng Failover : Ở đđy ta sẽ sử dụng tính năng Failover theo mô hình Actvie/Active để tang hiệu năng xử lý cũng như tận dụng tối đa hoạt động của thiết bị. Ở chế độ Active/Active thì hai thiết bị ASA/PIX hoạt động cùng lúc vă theo kịch bản mă người quản trị định trước.

− Công nghệ Etherchannel lă công nghệ của Cisco cho phĩp kết hợp câc kết nối Ethernet thănh mộ bó (bundle) để tăng băng thong. Môi bundle có thể bao gồm từ hai đến tâm kết nội FastEthernet hay Gigabit Ethernet tạo thănh mội kết nối logic gọi lă FastEthernetChannel hay Gigabit Ethernet Channel. Kết nối năy cung cấp băng thong lín đến 1600Mbps (16Gbps).

− Âp dụng công nghệ Etherchannel trín giao tiếp giữa câc mây chủ vă switch để tăng băng thông . Trín câc mây chủ sử dụng card mạng hỗ trợ công nghệ Etherchannel vă sử dụng phần mềm đi kỉm theo mây chủ, như HP Auto Port Aggregation ..

Đinh Hoăng Thâi - 67 -

Đồ ân tốt nghiệp Tìm hiểu Firewall Cisco ASA5520

Triển khai :

Cấu hình Failover Active/Active trín hệ thống

Hình 3. 16: Mô hình triển khai Failover Active/Active (adsbygoogle = window.adsbygoogle || []).push({});

STT Loại TB Tín

Port

Chức năng IP Address Subnetmask

1 PRIMARY E0 Outside(admin ) 192.168.0.1 /29 E1 Outside(ctx1) 192.168.0.10 /29 E2 Folink 172.16.1.1 /30 E3 Inside(ctx1) 10.10.20.2 /24 E4 Inside(admin) 10.10.10.1 /24 2 SECONDARY E0 Outside(ctx1) 192.168.0.9 /29 E1 Outside(admin ) 192.168.0.2 /29 E2 Folink 172.16.1.2 /30

Đinh Hoăng Thâi - 68 -

Đồ ân tốt nghiệp Tìm hiểu Firewall Cisco ASA5520 E3 Inside(admin) 10.10.10.2 /24 E4 Inside(ctx1) 10.10.20.1 /24 3 R1 Fa0/0 192.168.0.3 /29 4 R2 Fa0/0 192.168.0.11 /29 Bảng 1: Bảng phđn chia địa chỉ Cấu hình :

Trín ASA đóng vai trò lăm Primary Tại ngữ cảnh system:

Active cổng đóng vai trò lăm Failover link

PRIMARY(config)# int Ethernet 0/2 PRIMARY (config-if)# no shutdown

Kích hoạt tính năng failover trín Primay

PRIMARY (config)# failover

PRIMARY (config)# failover lan unit primary

PRIMARY(config)# failover lan interface folink Ethernet0/2 PRIMARY(config)# failover polltime unit msec 500

PRIMARY(config)# failover link folink Ethernet0/2

PRIMARY(config)#failover interface ip folink 172.16.1.1 255.255.255.252 standby 172.16.1.2

PRIMARY(config)# failover

Khởi tạo Group vă thiết lập câc ngữ cảnh (context)

PRIMARY(config)# failover group 1

PRIMARY(config-fover-group)# primary PRIMARY(config-fover-group)# preempt 60 PRIMARY(config)# failover group 2

PRIMARY (config-fover-group)# secondary PRIMARY (config-fover-group)# preempt 60 PRIMARY (config)# admin-context admin

PRIMARY (config)# context admin

PRIMARY (config-ctx)# description admin

PRIMARY (config-ctx)# allocate-interface ethernet0/0 PRIMARY (config-ctx)# allocate-interface ethernet0/4 PRIMARY (config-ctx)# config-url flash:/admin.cfg PRIMARY (config-ctx)# join-failover-group 1 PRIMARY (config)# context ctx1

PRIMARY (config-ctx)# description context 1

PRIMARY (config-ctx)# allocate-interface ethernet0/0 PRIMARY (config-ctx)# allocate-interface ethernet0/4 PRIMARY (config-ctx)# config-url flash:/ctx1.cfg PRIMARY (config-ctx)# join-failover-group 2

Thiết lập nội dung cho ngữ cảnh admin (admin context)

Đinh Hoăng Thâi - 69 -

Đồ ân tốt nghiệp Tìm hiểu Firewall Cisco ASA5520

Văo ngữ cảnh admin

PRIMARY (config)# change context admin PRIMARY/admin (config)# (adsbygoogle = window.adsbygoogle || []).push({});

PRIMARY/admin (config)# interface e0/0 PRIMARY/admin (config-if)# nameif outside

PRIMARY/admin (config-if)# ip add 192.168.0.1 255.255.255.248 standby 192.168.0.2

PRIMARY/admin (config)# no shutdown PRIMARY/admin (config)# interface e0/4 PRIMARY/admin (config-if)# nameif inside

PRIMARY/admin (config-if)# ip add 10.10.10.1 255.255.255.0 standby 10.10.10.2

PRIMARY/admin (config-if# no shutdown

PRIMARY/admin (config)# monitor-interface outside PRIMARY/admin (config)# monitor-interface inside PRIMARY/admin (config)# route outside 0 0 192.168.0.3

Thiết lập nội dung cho ngữ cảnh ctx1 Văo ngữ cảnh ctx1

PRIMARY (config)# change context ctx1 PRIMARY/ctx1(config)#

PRIMARY ctx1 (config)# interface e0/0 PRIMARY/ctx1(config-if)# nameif outside

PRIMARY/ctx1(config-if)# ip add 192.168.0.9 255.255.255.248 standby 192.168.0.10

PRIMARY/ctx1(config)# no shutdown PRIMARY/ctx1(config)# interface e0/4 PRIMARY/ctx1(config-if)# nameif inside

PRIMARY/ctx1(config-if)# ip add 10.10.20.1 255.255.255.0 standby 10.10.20.2

PRIMARY/ctx1(config-if# no shutdown

PRIMARY/ctx1(config)# monitor-interface outside PRIMARY/ctx1(config)# monitor-interface inside

PRIMARY/ctx1(config)# route outside 0 0 192.168.0.11

Trín ASA đóng vai trò lăm Secondary

SECONDARY (config)# failover

SECONDARY (config)# failover lan unit primary

SECONDARY (config)# failover lan interface folink Ethernet0/2 SECONDARY Y(config)# failover polltime unit msec 500

SECONDARY (config)# failover link folink Ethernet0/2

SECONDARY (config)#failover interface ip folink 172.16.1.1 255.255.255.252 standby 172.16.1.2

SECONDARY (config)# failover

Đinh Hoăng Thâi - 70 -

Đồ ân tốt nghiệp Tìm hiểu Firewall Cisco ASA5520

Như vậy với việc triển khai thực nghiệm câc tính năng trín phần năo giúp chúng ta hiểu xđu hơn về hoạt động của Firewall nói chung vă sản phẩm ASA 5520 nói riíng. Chúng ta có kỹ năng tổng thể hơn về việc cấu hình câc dịch vụ mạng, biết câch xđy dựng một webserver vă hiểu được câch thức hoạt động của dịch vụ dịch chuyển địa chỉ NAT vă PAT. Bín cạnh đó chúng ta biết được câch thức cấu hình tính năng cao cấp của dòng sản phầm ASA 5520 lă khả năng dự phòng Failover. Thím văo lă việc ứng dụng sản phẩm ASA 5520 để xđy dựng hệ thống mạng trung tđm cho học viện, đâp ứng được tính sẵn săng vă độ bảo mật cao.

Đinh Hoăng Thâi - 71 -

Đồ ân tốt nghiệp Tìm hiểu Firewall Cisco ASA5520

KẾT LUẬN

Hiện nay internet đang bùng nổ vă phât triển mạnh, dường như tất cả mọi hoạt động của con người đều diễn ra trín đó. Do vậy việc bảo mật thông tin lă vô cùng quan trọng. Tìm hiểu về tưởng lửa, khai thâc sản phẩm vă câc phương thức đảm bảo an toăn cho hệ thống mạng lă một đề tăi có tính chất thực tế đối với sinh viín.

Đề tăi tập trung nghiín cứu, tìm hiểu những vấn đề cơ bản nhất của tưởng lửa như: (adsbygoogle = window.adsbygoogle || []).push({});

• Khâi niệm về tưởng lửa.

• Kỹ thuật vă công nghệ tường lửa.

• Kiến trúc của hệ thống tường lửa

Vă đặc biệt lă tìm hiểu về công nghệ tưởng lửa của Cisco – một giải phâp an ninh phần cứng của Cisco vă âp dụng văo xđy dựng mô hình mạng an toăn.

Sau quâ trình tìm hiểu vă nghiín cứu đề tăi, em đê thu được một số kết quả sau:

• Hiểu được tổng quan, câc khâi niệm vă công nghệ cũng như kiến trúc xđy dựng hệ thống firewall.

• Ứng dụng, triển khai câc tính năng của Cisco Firewall.

• Đưa ra đề xuất giải phâp mô hình mạng sử dụng firewall ASA 5520 có tính bảo mật, sẵn săng vă độ dự phòng cao.

Hướng phât triển:

• Sức mạnh bảo mật của tưởng lửa Cisco mang lại cho hệ thống mạng lă rất lớn. Tuy nhiín do lượng thời gian có hạn nín việc tiếp cận một công nghệ firewall cao cấp sẽ khó trânh khỏi những hạn chế em mong câc thầy, cô chỉ bảo giúp đỡ để đề tăi năy được hoăn thiện hơn.

• Với kiến thức thu được vă những kết quả thực nghiệm ban đầu thănh công, em muốn phât triển đề tăi mang tính ứng dụng thực

Đinh Hoăng Thâi - 72 -

Đồ ân tốt nghiệp Tìm hiểu Firewall Cisco ASA5520

tiễn cao hơn đó lă xđy dựng hệ thống mạng với tính năng bảo mật, độ sẵn săng cao cho học viện.

Cuối cùng, Em có được thănh công như ngăy hôm năy lă nhờ công sức lớn lao của câc thầy cô vă toăn thể cân bộ trong học viện. Suốt 5 năm qua, em rất vinh hạnh được lă sinh viín của một học viện giău truyền thống vă có nhiều thănh tích về đăo tạo. Với những tri thức mă câc thầy cô truyền đạt, em tin ra sau khi ra trường em sẽ có đủ trình độ vă năng lực lăm việc.

Một lần nữa cho em xin gửi lời câm ơn tới toăn thể thầy cô trong học viện đê tận tình dìu dắt em trong suốt 5 năm qua. Chúc câc thầy cô, toăn thể cân bộ công nhđn viín trong học viện vă gia đình mạnh khỏe vă thănh công trong cuộc sống.

Đinh Hoăng Thâi - 73 -

Đồ ân tốt nghiệp Tìm hiểu Firewall Cisco ASA5520

Một phần của tài liệu tìm hiểu firewall cisco asa5520 (Trang 64 - 74)

(74 trang)