Lịch họcNội Dung Mục Tiêu Lịch Học: Trong 5 ngày Sáng từ 9h-11h30 Bài 2: Các bước đầu làm quen và cấu hình thiết bị bảo mật của Cisco Bài 1 :Thiết lập console đến thiết bị firewall Bài
Trang 1ĐÀO TẠO Bảo mật - Cisco Firewall
Trang 2Lịch học
Nội Dung Mục Tiêu Lịch Học: Trong 5 ngày Sáng từ 9h-11h30
Bài 2:
Các bước đầu làm quen
và cấu hình thiết bị bảo mật của Cisco
Bài 1 :Thiết lập console đến thiết bị firewall
Bài 2: Thực hiện một số câu lệnh cơ bản
Bài 3: Cấu hình các interface
Bài 2:
Các bước đầu làm quen và cấu hình thiết bị bảo mật của Cisco (continue) Bài 3:
Quản lý thiết bị bảo mật cisco ASA
Bài 4:
Access Control Lists
Bài 4: Cấu hình NAT và cấu hình Định tuyến
Bài 5: Kiểm tra kết nối tới các cổng Inside, Outside,
Trang 4Bài 1 Tổng quan về Cisco Firewall
Trang 5Firewall là gì ?
Outside Vùng mạng
DMZ Vùng mạng
Inside Vùng mạng
Internet
Firewall là một hệ thống hoặc một nhóm các hệ thống Kiểm
soát quyền truy cập giữa hai hoặc nhiều vùng mạng.
.
Trang 7AB- Yes
AC- No
Internet
Việc Kiểm soát truy nhập thông tin dựa vào địa chỉ nguồn
Và địa chỉ đích của gói tin gửi đến
Packet Filtering
Trang 8Proxy Server
Outside Network
ProxyServer
Inside Network
Internet
Các kết nối từ được thông qua một máy chủ đại diện
trung gian.
Trang 9Stateful Packet Filtering
172.16.0.50 10.0.0.11
1026 80 49091 Syn
172.16.0.50 192.168.0.20
49769 Syn
1026 80
Source port Destination address Source address
Initial sequence no.
Destination port
Flag Ack
Internet
Việc Kiểm soát truy nhập thông tin không
chỉ dựa vào địa chỉ nguồn Và địa chỉ đích
của gói tin gửi đến mà còn dựa vào bảng
trạng thái (state table)
Data HTTP A B
Trang 10Hệ thống bảo mật của Cisco
Hệ thống bảo mật của cisco cung cấp giải pháp an ninh , bảo mật hướng tới các đối tượng khách hàng Một số tính năng của thiết bị
an ning bảo mật của cisco như sau:
Hệ điều hành riêng biệt
Stateful packet inspection
Xác thực người dùng
Theo dõi, giám sát các ứng dụng và giao thức
Modular policy framework
Trang 11Hệ điều hành riêng biệt
Việc sử dụng hệ điều hành riêng biệt loại trừ được các nguy cơ bảo mật khi sử dụng chung với các hệ điều hành khác
Trang 12Stateful Packet Inspection
Giải thuật kiểm tra gói tin -statefull packet inspection cung cấp các kết nối bảo mật
Mặc định, giải thuật này cho phép kết nối từ máy vùng trong (cấp
độ bảo mật cao hơn) sang các vùng có cấp độ bảo mật thấp hơn
Mặc định, giải thuật này chặn các kết nối từ máy vùng ngoài (cấp
độ bảo mật thấp hơn ) sang các vùng có cấp độ bảo cao hơn
Giải thuật này hỗ trợ xác thực, ủy quyền và theo dõi.
Trang 13Nhận diện ứng dụng
FTP
Control Port 2008
Data Port 2010
Data Port 20
Control Port 21
Data - Port 2010 Port 2010 OK
Data
Cá giao thưc như FTP, HTTP, H.323, and SQL*Net cần các kết nối từ
Nhiều port khác nhau để truyền dữ liệu qua firewall
Thiết bị bảo mật sẽ theo dõi quá trình kết nối này.
Các port cần cho kết nối sẽ được mở một cách an toàn theo từng ứng dụng.
Trang 14Headquarters System Engineer
Service Policy
Interface/Global Global Outside
Trang 15
B A N K
Headquarters
Trang 16Các ngữ cảnh bảo mật
4 thiết bị firewall thật 1 thiết bị firewall thật
4 thiết bị firewall ảo
Internet Internet
Cung cấp khả năng tạo nhiều firewall ảo trên một thiết bị firewall thật
Trang 17Khả năng Failover : Active/Standby, Active/Active, và Stateful Failover
Khả năng dự phòng (Failover) đảm bảo kết nối mạng được thông suốt khi một thiết bị hỏng
– Active/standby: một thiết bị sẽ chạy chính, một thiết bị sẽ dự phòng.
– Active/Active: Cả hai thiết bị đều chạy , chia tải và dự phòng lẫn nhau.
Stateful failover: duy trì trạng thái kết nối khi một thiết bị kết nối chính hỏng.
2 1
2 1
Trang 18Transparent Firewall
192.168.1.2 192.168.1.5
Internet
Có khả năng triển khai thiết bị bảo mật ở layer 2
Cho phép bảo mật từ layer 2 đến layer 7 và hoạt động như một thiết bị layer 2
Trang 19Giải pháp quản trị dùng web
Adaptive Security Device Manager (ASDM)
Trang 20Các loại firewall của cisco và tính năng
Trang 22Các văn phòng
Trang 23Thiết bị bảo mật Cisco ASA 5510
Nâng cao an ninh và cung cấp dịch vụ mạng, bao gồm cả các dịch vụ VPN, cho các doanh nghiệp nhỏ.
Cung cấp lên tới 130,000 kết nối đồng thời.
Thông lượng có thể đáp ứng tới 300-Mbps
Các interface được hỗ trợ:
• Lên tới 5 cổng 10/100 Fast Ethernet
• Lên tới 25 VLANs
• Lên tới 5 ngữ cảnh (contexts)
Hỗ trợ thêm các module SSMs (Cisco ASA AIP SSM, Cisco ASA CSC SSM, và
Gigabit Ethernet SSM loại 4 port)
Trang 24Thiết bị bảo mật Cisco ASA 5520
Cung cấp các dịch vụ bảo mật , kể cả vpn cho các doanh nghiệp cỡ vừa.
Cung cấp lên tới 280,000 kết nối đồng thời.
Thông lượng có thể đáp ứng 450-Mbps
Các interface được hỗ trợ:
• 4 10/100/1000 Gigabit Ethernet interfaces
• 1 10/100 Fast Ethernet interface
• Lên tới 100 VLANs
• Lên tới 20 contexts
Trang 25Thiết bị bảo mật Cisco ASA 5540
Cung cấp các dịch vụ cần hiệu quả cao, các loại dịch vụ bảo mật , kể cả vpn cho các doanh nghiệp lớn và các nhà cung cấp dịch vụ.
Cung cấp lên tới 400,000 kết nối đồng thời
Thông lượng đáp ứng 650-Mbps
Các interface hỗ trợ:
• 4 10/100/1000 Gigabit Ethernet interfaces
• 1 10/100 Fast Ethernet interface
• Lên tới 200 VLANs
• Lên tới 50 contexts
Trang 26Các thiết bị bảo mật ASA 5510, 5520,
Trang 27Các thiết bị bảo mật ASA 5510, 5520,
Trang 28Các thiết bị bảo mật ASA 5510, 5520,
và 5540 cổng kết nối
4 cổng 10/100/1000 Gigabit Ethernet
Cổng quản trị outband
Cổng AUX
Bộ nhớ Flash
2 cổng USB 2.0
Nguồn điện (AC hoặc DC)
Cổng Console
*Với thiệt bị bảo mật ASA 5510 hỗ trợ cổng 10/100
Trang 29Cisco ASA Security Services Module
Trang 30Các kiểu module SSM
Speed
Link and activity
Trang 31SSM loại 4 port Gigabit ethernet
RJ-45 link
LED
RJ-45 speed LED
SFP link LED SFP speed LED
Trang 32Tóm tắt
Firewall là thiết bị kiểm soát truy nhập từ vùng mạng này sang vùng mạng khách
Statefull firewall là thiết bị hoạt động hiệu quả nhất
Thiết bị bảo mật của cisco bao gồm PIX và ASA
Các thiết bị bảo mật ASA 5510, 5520 nhắm tới thị trường các doanh
nghiệp vừa và nhỏ
Các chức năng của thiết bị bảo mật có thể được mở rộng nhờ vào SSMs.
Trang 33Bài 2
Các bước đầu làm quen và cấu hình thiết bị bảo mật của Cisco
Trang 34Giao diện người sử dụng
Trang 35ciscoasa#
ciscoasa(config)# monitor>
Thiết bị bảo mật Cisco có 4 chế độ truy
Trang 38ciscoasa > help ?
enable Turn on privileged commands
exit Exit the current command mode
login Log in as a particular user
logout Exit from current user profile to unprivileged mode perfmon Change or view performance monitoring options
ping Test connectivity from specified interface to an IP
address quit Exit the current command mode
ciscoasa > help enable
USAGE:
enable [<priv_level>]
Lệnh help
Trang 39Quản lý và lưu trữ các File cấu hình
Trang 40Các lệnh dưới đây cho
Để lưu lại cấu hình thay đổi, dùng lệnh:
copy run start
config
running- config (saved)
startup-Cấu hình thay đổi
Xem và lưu lại cấu hình
Trang 41Xóa cấu hình đang chạy
running-config
ciscoasa(config)#
clear configure all
Xóa cấu hình đang chạy
ciscoasa(config)# clear config all
Xóa cấu hình đang chạy :
clear config all
config(default)startup-
running-config
Trang 42Xóa cấu hình lúc khởi động
startup-config
ciscoasa#
write erase
Xóa cấu hình lúc khởi động
ciscoasa# write erase
Xóa cấu hình lúc khởi động :
write erase
config
running-config(default)
Trang 43startup-Khởi động lại thiết bị : lệnh reload
Khởi động lại , thiết bị sẽ tự động lấy lại cấu hình startup-config
copy vào running-config để chạy
ciscoasa# reload
Proceed with reload?[confirm] y
Rebooting
reload [at hh:mm [month day | day month]]
[cancel] [in [hh:]mm] [max-hold-time [hh:]mm]
[noconfirm] [quick] [reason text] [save-config]
ciscoasa#
Trang 45Hiển thị các file lưu trữ : file hệ thống
và file cấu hình
Hiển thị nội dung của ổ đĩa
ciscoasa#
PIXflash:
ASAdisk0:
62947328 bytes total (49152000 bytes free)
dir [/all] [/recursive] [all-filesystems] [disk0: | disk1: |
flash: | system:]
Internet
Trang 46Các mức bảo mật (security levels)
Vùng Outside
GigabitEthernet0/0 Security level 0
Interface name = outside
Vùng DMZ
GigabitEthernet0/2 Security level 50
Interface name = DMZ
Vùng Inside
GigabitEthernet0/1 Security level 100
Interface name = inside
g0/0
g0/2
g0/1
Internet
Trang 47Kiểm tra trạng thái của thiết bị bảo mật
Trang 48asa1# show interface Interface GigabitEthernet0/0 "outside", is up, line protocol is up Detected: Speed 1000 Mbps, Full-duplex
Requested: Auto MAC address 000b.fcf8.c538, MTU 1500
IP address 192.168.1.2, subnet mask 255.255.255.0
0 packets input, 0 bytes, 0 no buffer Received 0 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 packets output, 0 bytes, 0 underruns input queue (curr/max blocks): hardware (0/0) software (0/0) output queue (curr/max blocks): hardware (0/0) software (0/0) Received 0 VLAN untagged packets, 0 bytes
Transmitted 0 VLAN untagged packets, 0 bytes Dropped 0 VLAN untagged packets
Trang 49asa1# show memory
Free memory: 468962336 bytes (87%) Used memory: 67908576 bytes (13%) - -
Total memory: 536870912 bytes (100%)
Lệnh show memory
ciscoasa#
show memory
Trang 50asa1# show cpu usage
CPU utilization for 5 seconds = 0%; 1 minute: 0%; 5 minutes: 0%
Lệnh show cpu usage
Trang 51Lệnh show version
asa1# show version
Cisco Adaptive Security Appliance Software Version 7.2(1) Device Manager Version 5.2(1)
Compiled on Wed 31-May-06 14:45 by root
System image file is "disk0:/asa721-k8.bin"
Config file at boot was "startup-config"
ciscoasa up 2 mins 51 secs
Hardware: ASA5520, 512 MB RAM, CPU Pentium 4 Celeron 2000 MHz
Internal ATA Compact Flash, 64MB
BIOS Flash AT49LW080 @ 0xffe00000, 1024KB
.
Trang 52asa1# show ip address
System IP Addresses:
Interface Name IP address Subnet mask Method GigabitEthernet0/0 outside 192.168.1.2 255.255.255.0 CONFIG GigabitEthernet0/1 inside 10.0.1.1 255.255.255.0 CONFIG GigabitEthernet0/2 dmz 172.16.1.1 255.255.255.0 CONFIG
Current IP Addresses:
Interface Name IP address Subnet mask Method GigabitEthernet0/0 outside 192.168.1.2 255.255.255.0 CONFIG GigabitEthernet0/1 inside 10.0.1.1 255.255.255.0 CONFIG GigabitEthernet0/2 dmz 172.16.1.1 255.255.255.0 CONFIG
Trang 53asa1# show interface
Interface GigabitEthernet0/0 "outside", is up, line protocol is up
Hardware is i82546GB rev03, BW 1000 Mbps
Full-Duplex(Full-duplex), 100 Mbps(100 Mbps)
MAC address 0013.c482.2e4c, MTU 1500
IP address 192.168.1.2, subnet mask 255.255.255.0
8 packets input, 1078 bytes, 0 no buffer
Received 8 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 L2 decode drops
0 packets output, 0 bytes, 0 underruns
0 output errors, 0 collisions
0 late collisions, 0 deferred
input queue (curr/max blocks): hardware (8/0) software (0/0)
output queue (curr/max blocks): hardware (0/0) software (0/0)
Traffic Statistics for "outside":
8 packets input, 934 bytes
0 packets output, 0 bytes
8 packets dropped
1 minute input rate 0 pkts/sec, 0 bytes/sec
1 minute output rate 0 pkts/sec, 0 bytes/sec
1 minute drop rate, 0 pkts/sec
5 minute input rate 0 pkts/sec, 0 bytes/sec
5 minute output rate 0 pkts/sec, 0 bytes/sec
5 minute drop rate, 0 pkts/sec
Lệnh show interface
Trang 54Lệnh show nameif
asa1# show nameif
Interface Name Security GigabitEthernet0/0 outside 0
GigabitEthernet0/1 inside 100
GigabitEthernet0/2 dmz 50
GigabitEthernet0/0 Interface name = outside Security level = 0
GigabitEthernet0/2 Interface name = dmz Security level = 50
GigabitEthernet0/1 Interface name = inside Security level = 100
g0/0
g0/2g0/1
Internet
Trang 55Lệnh show run nat
asa1# show run nat
NAT
Internet
Trang 56Lệnh show run global
asa1# show run global
global (outside) 1 192.168.1.20-192.168.1.254 netmask 255.255.255.0
Hiển thị giải địa chỉ sẽ được map cho các host bên trong
ciscoasa#
show run global
Mapped Pool 192.168.1.20-192.168.1.254
10.0.1.11
10.0.1.4
10.0.1.X Internet
Trang 57Lệnh show xlate
asa1# show xlate
1 in use, 1 most used
Outside mapped pool
10.0.1.11 192.168.1.20
Xlate Table Internet
Trang 58Lệnh show route
asa1(config)# show route
S 0.0.0.0 0.0.0.0 [1/0] via 192.168.1.1, outside
C 10.0.1.0 255.255.255.0 is directly connected, inside
C* 127.0.0.0 255.255.0.0 is directly connected, cplane
C 172.16.1.0 255.255.255.0 is directly connected, dmz
C 192.168.1.0 255.255.255.0 is directly connected, outside
g0/0
g0/2 g0/1
Trang 59Success rate is 100 percent (5/5), round-trip min/avg/max = 10/12/20 ms
ping [if_name] host [data pattern] [repeat count] [size bytes]
[timeout seconds] [validate]
ciscoasa#
10.0.1.11
10.0.1.4
Internet
Trang 60Lệnh traceroute
asa1#traceroute 172.26.26.20
traceroute {destination_ip | hostname} [source source_ip |
source-interface] [numeric] [timeout timeout_value] [probe probe_num] [ttl min_ttl max_ttl] [port port_value] [use-icmp]
ciscoasa#
Kiểm tra đường đi của gói tin đến đích
Internet
example.com
Trang 61Cấu hình cơ bản thiết bị Cisco firewall
Trang 63Thay đổi tên (hostname)
ciscoasa(config)#
Thay đổi hostname sử dụng dòng lệnh
ciscoasa(config)# hostname asa1
asa1(config)#
hostname newname
New York ( asa1)
Server
Boston (asa2)
Server
Server
Dallas (asa3)
Internet
Trang 64interface {physical_interface[.subinterface] | mapped_name}
Internet
Trang 65nameif if_name
ciscoasa(config-if)#
asa1(config)# interface GigabitEthernet0/0
asa1(config-if)# nameif outside
Gán tên cho interface:
lệnh nameif
Gán tên cho interface là outside
GigabitEthernet0/2 Interface name = dmz
GigabitEthernet0/0 Interface name = outside
GigabitEthernet0/1 Interface name = inside
g0/0
g0/2g0/1
Internet
Trang 66ip address ip_address [mask] [standby ip_address]
ciscoasa(config-if)#
Gán địa chỉ IP cho interface:
Lệnh ip address
Gán địa chỉ IP cho từng interface
asa1(config)# interface GigabitEthernet0/0
asa1(config-if)# nameif outside
asa1(config-if)# ip address 192.168.1.2 255.255.255.0
GigabitEthernet0/0 Interface name = outside
IP address = 192.168.1.2
g0/0
g0/2g0/1
Internet
Trang 67Nhận địa chỉ IP động (DHCP)
asa1(config)# interface GigabitEthernet0/0
asa1(config-if)# nameif outside
IP address = dhcp
g0/0
NhậnDHCP
Internet
Trang 68security-level number
ciscoasa(config-if)#
Gán mức bảo mật:
lệnh security-level
Gán mức bảo mật cho interface
asa1(config)# interface GigabitEthernet0/0
asa1(config-if)# nameif outside
asa1(config-if)# ip address 192.168.1.2
asa1(config-if)# security-level 0
GigabitEthernet0/0 Interface name = outside
IP address = 192.168.1.2 Security level = 0
g0/0
g0/2g0/1
Internet
Trang 69Cho phép dữ liệu giữa các interface cùng mức bảo mật hoặc trên chính interface đó.
ciscoasa(config)#
asa1(config)# same-security-traffic permit inter-interface
same-security-traffic permit {inter-interface | intra-interface}
DMZ Network
GigabitEthernet0/2 Security level 100
Interface name = inside
Cho phép các interface cùng mức bảo
mật :lệnh same-security-traffic
Trang 70speed {10 | 100 | 1000 | auto | nonegotiate}
duplex {auto | full | half}
g0/0
g0/2 g0/1 Internet
asa1(config)# interface GigabitEthernet0/0
asa1(config-if)# nameif outside
Trang 71ciscoasa(config-if)#
Interface quản trị của ASA
Disables management-only mode (for ASA 5520, 5540 and 5550)
asa1(config)# interface management0/0
asa1(config-if)# no management-only
no management-only
Cấu hình interface chỉ chấp nhận dữ liệu quản trị
Tắt chức năng chỉ chấp nhận dữ liệu quản trị
Management0/0 Management only = no
g0/0
g0/2
g0/1
