1. Trang chủ
  2. » Công Nghệ Thông Tin

tìm hiểu và cấu hình tính năng của firewall trên ASA(dùng GNS3)

37 1,2K 17

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 37
Dung lượng 346,5 KB

Các công cụ chuyển đổi và chỉnh sửa cho tài liệu này

Nội dung

Phần I : Tổng Quan 4 1.1. Tổng quan về đề tài 4 1.2. Tổng quan về an ninh mạng 5 1.3. Các chính sách an ninh mạng 9 Phần II : ASA 17 2.1. Lịch sử ra đời. 17 2.2. Các sản phẩm tường lửa của Cisco 17 2.3. Điều khiển truy cập mạng (NAC) 18 2.4. Lọc gói (Packet Filtering) 18 2.5. Lọc nội dung và URL (Content and URL Filtering) 21 2.5.1. Content Filtering 21 2.5.2. ActiveX Filtering 22 2.6. Chuyển đổi địa chỉ. 22 2.6.1. Network Address Translation (NAT) 22 2.6.2. Port Address Translation (PAT). 23 2.7. Giao thức AAA và dịch vụ hỗ trợ của Cisco ASA. 24 2.7.1. Remote Authentication DialIn User Service (Radius). 26 4.2. Terminal Access Controller AccessControl System (Tacacs+) 28 2.8. Định dạng TACACS và các giá trị tiêu đề 29 2.9. Kiểm tra ứng dụng 30 2.10. Khả năng chịu lỗi và dự phòng (failover and redundancy) 31 2.10.1 Kiến trúc chịu lỗi 31 2.10.2. Điều kiện kích hoạt khả năng chịu lỗi 32 2.11. Chất lượng dịch vụ (QoS) 33 2.11.1 Traffic Policing 34 2.11.2. Traffic Prioritization 35 2.12. Phát hiện xâm nhập (IDS) 35 2.12.1. Networkbased intrusion detection systems (NIDS) 35 2.12.2. Hostbased intrusion detection systems (HIDS) 38 Tài liệu tham khảo: 39 Tổng quan về đề tài Mục tiêu của việc nghiên cứu về Firewall ASA + Việc nghiên cứu giúp cho khả năng tự học ,tìm hiểu và nghiên cứu độc lập ngày càng tốt hơn + Nghiên cứu về hệ thống firewall ASA. + Triển khai hệ thống phất hiện, ngăn chặn các lưu lượng ra vào của hệ thống là sự cần thiết cho các doanh nghiệp có nhu cầu về sự an toàn của hệ thống trước những hành vi xâm nhập trái phép. Trước sự phát triển của internet và sự hiểu biết của ngày càng sâu của con người thì việc truy cập và phá hoại hệ thống mạng của một doanh nghiệp ,công ty nào đó củng theo đà phát triển của internet mà tăng lên rất nhiều. + Việc nghiên cứu này đáp ứng cho lãnh vực bảo mật và an ninh của hệ thống. + ASA(Adaptive Security Appliance) là một thiết bị tường lửa mạnh tất cả trong một và được ưa chuộng nhất hiện nay của Cisco.Chính vì vậy mục tiêu của đề tài này là nhằm nghiên cứu và tìm hiểu cách thức hoạt động,phương pháp cấu hình và ứng dụng của nó trong việc bảo mật hệ thống mạng.Ket quả đạt được qua việc nghiên cứu thiết bị này là hiểu được cách thức hoạt động và có khả năng triển khai thiết bị này vào trong một số hệ thống mạng bất kỳ. +Nghiên cứu về AAA server. +Nghiên cứu về cách tổ chức giám sát hoạt động của người dừng cuối như thời gian bắt đầu hay kết thúc của người dùng (accounting).Bảo mật là vấn đề rất quan trọng.Yới mức độ điều khiển, thật dễ dàng để cài đặt bảo mật và quản trị mạng, có thể định nghĩa các vai trò (role) đưa ra cho user những lệnh mà họ cần để hoàn thành nhiệm vụ của họ và theo dõi những thay đổi trong mạng. Với khả năng log lại các sự kiện, ta có thể có những sự điều chỉnh thích hợp với từng yêu cầu đặt ra. Tất cả những thành phần này là cần thiết để duy trì tính an toàn, bảo mật cho mạng. Với thông tin thu thập được, có thể tiên đoán việc cập nhật cần thiết theo thời gian. Yêu cầu bảo mật dữ liệu, gia tăng băng thông, giám sát các vấn đề trên mạng thông AAA server. 1.2. Tổng quan về an ninh mạng 1. Mục tiêu an ninh mạng Việc phát triển ngày càng tăng của mạng internet do sự thuận tiện mà nó đem lại cho con người tuy nhiên cũng kéo theo nhiều mối nguy hiểm rình rập của những hacker mạng. Đảm bảo cho người dùng được an toàn khi làm việc trên mạng là mục tiêu hàng đầu của an ninh mạng: > Bảo đảm mạng nội bộ không bị xâm nhập trái phép. > Các tài liệu và thông tin quan trọng không bị rò ri và bị mất. > Các dịch vụ được thực hiện nhanh chóng không bị trì trệ hoặc không được thực hiện. > Các cuộc mua bán trên mạng diễn ra đứng với yêu cầu người dùng. > Người dừng làm việc trên mạng không bị mạo danh, lừa đảo. 2. Các phương thức tấn công > Virus > Worm > Trojan > Từ chối dịch vụ > Phân phối từ chối dịch vụ > Zombies > Spyware > Phishing > Dựa vào yếu tố con người • Virus Một virus máy tính được thiết kế để tấn công một máy tính và thường phá các máy tính khác và các thiết bị mạng. Một virus thường có thể là một tập tin đính kèm trong email, và chọn các tập tin đính kèm có thể gây ra các mã thực thi để chạy và tái tạo virus. Một virus phải được thực hiện hoặc chạy trong bộ nhớ để chạy và tìm kiếm các chương trình khác hoặc máy chủ để lây nhiễm và nhân rộng. Như tên của nó, virus cần một máy chủ như là một bảng tính hoặc email để đính kèm, lây nhiễm, và nhân rộng. Có một số hiệu ứng chung của vi rút. Một số viras lành tính, và chỉ cần thông báo cho nạn nhân của họ rằng họ đã bị nhiễm bệnh. Các virus ác tính tạo ra sự hủy hoại bằng cách xóa các tập tin và nếu không thì gây ra lỗi cho các máy tính bị nhiễm có chứa tài sản kỹ thuật số, chẳng hạn như hình ảnh, tài liệu, mật khẩu, và các bản báo cáo tài chính. • Worm Worm là một chương trình phá hoại quét các điểm yếu hoặc lỗ hổng bảo mật trên các máy tính khác để khai thác các điểm yếu và nhân rộng. Worm có thể tái tạo độc lập và rất nhanh chóng. Worm khác với virus trong hai cách chính: Virus cần một máy chủ để đính kèm và thực hiện, và sâu không yêu cầu một máy chủ. Virus và sâu thường gây ra các loại khác nhau của sự hủy diệt. Virus, một khi chúng đang cư trú trong bộ nhớ, thường xóa và sửa đổi các tập tin quan trọng trên máy tính bị nhiễm bệnh. Tuy nhiên, Worms có xu hướng mạng trung tâm hơn so với máy tính trung tầm. Worms có thể tái tạo một cách nhanh chóng bằng cách bắt đầu kết nối mạng để nhân rộng và gửi số lượng lớn dữ liệu. Worms cũng có thể chứa một hành khách mang theo, hoặc trọng tải dữ liệu, mà có thể giao một máy tính mục tiêu cho các trạng thái của một zombie. Zombie là một máy tính có bị xâm phạm và hiện đang được kiểm soát bởi những kẻ tấn công mạng. Zombies thường được sử dụng để khởi động các cuộc tấn công mạng khác. Một bộ sưu tập lớn các zombie dưới sự điều khiển của kẻ tấn công được gọi là một botnet. Botnets có thể phát triển được khá lớn. Botnet được xác định đã lớn hơn 100.000 máy tính zombie. • Trojan horse Một con ngựa Trojan, hoặc Trojan, là phần mềm nguy hại tìm cách ngụy trang chính nó như là một ứng dụng đáng tin cậy như là một trò chơi hoặc trình bảo vệ màn hình. Một khi người dùng tin cậy cố gắng để truy cập những gì có vẻ là một trò chơi vô thưởng vô phạt hoặc trình bảo vệ màn hình, các Trojan có thể bắt đầu các hoạt động gây tổn hại như xóa các tập tin hoặc định dạng lại một ổ đĩa cứng. Trojan thường không tự sao chép .Những kẻ tấn công mạng cố gắng sử dụng các ứng dụng phổ biến, chẳng hạn như iTunes của Apple, để triển khai một Trojan. Ví dụ, một cuộc tấn công mạng sẽ gửi một email với một liên kết có mục đích để tải về một bài hát iTunes miễn phí. Trojan này sau đó sẽ bắt đầu một kết nối đến một máy chủ web bên ngoài và bắt đầu một cuộc tấn công một khi người dùng cố gắng để tải về các bài hát miễn phí rõ ràng. • Từ chối dịch vụ. Một cuộc tấn công từ chối dịch vụ (DoS) là một cuộc tấn công mạng có kết quả trong việc từ chối dịch vụ bằng một ứng dụng yêu cầu như là một máy chủ web. Có một vài cơ chế để tạo ra một cuộc tấn công DoS. Các phương pháp đơn giản nhất là tạo ra một lượng lớn những gì xuất hiện để được giao thông mạng họrp lệ. Đây là loại tấn công DoS mạng cố gắng để làm nghẽn các ống dẫn lưu lượng truy cập mạng để sử dụng hợp lệ không thể có được thông qua kết nối mạng. Tuy nhiên, loại DoS thông thường cần phải được phân phối bởi vì nó thường đòi hỏi nhiều hơn một nguồn để tạo ra các cuộc tấn công.Một cuộc tấn công DoS lợi dụng thực tế là hệ thống mục tiêu như các máy chủ phải duy trì thông tin trạng thái và có thể có kích thước bộ đệm và dự kiến nội dung gói tin mạng cho các ứng dụng cụ thể. Một cuộc tấn công DoS có thể khai thác lỗ hổng này bằng cách gửi các gói có giá trị kích cỡ và dữ liệu mà không như mong đợi của các ứng dụng nhận được.Một số loại tấn công DoS tồn tại, bao gồm các cuộc tấn công Teardrop và Ping of Death, mà gửi các gói thủ công mạng khác nhau từ những ứng dụng dự kiến và có thể gây ra sụp đổ các ứng dụng và máy chủ. Những cuộc tấn công DoS trên một máy chủ không được bảo vệ, chẳng hạn như một máy chủ thương mại điện tử, có thể gây ra các máy chủ bị lỗi và ngăn chặn người dùng bổ sung thêm hàng vào giỏ mua sắm của họ. • Distributed DenialofService DDoS tương tự như trong ý định của cuộc tấn công DoS, ngoại trừ cuộc tấn công DDoS tạo ra nhiều nguồn tấn công. Ngoài ra để tăng lượng truy cập mạng từ nhiều kẻ tấn công phân phối, một cuộc tấn công DDoS cũng đưa ra những thách thức của yêu cầu bảo vệ mạng để xác định và ngăn chặn mỗi kẻ tấn công phân phối. • Spyware Spyware là một lớp các ứng dụng phần mềm có thể tham gia vào một cuộc tấn công mạng. Spyware là một ứng dụng cài đặt và vẫn còn để ẩn trên máy tính hoặc máy tính xách tay mục tiêu. Một khi các ứng dụng phần mềm gián điệp đã được bí mật cài đặt, phần mềm gián điệp bắt thông tin về những gì người dừng đang làm với máy tính của họ. Một số thông tin bị bắt bao gồm các trang web truy cập, email gửi đi, và mật khẩu sử dụng. Những kẻ tấn công có thể sử dụng các mật khẩu và thông tin bắt được để đi vào được mạng để khởi động một cuộc tấn công mạng. Ngoài việc được sử dụng để trực tiếp tham gia vào một cuộc tấn công mạng, phần mềm gián điệp cũng có thể được sử dụng để thu thập thông tin có thể được bán một cách bí mật Thông tin này, một lần mua, có thể được sử dụng bởi một kẻ tấn công khác đó là khai thác dữ liệu để sử dụng trong việc lập kế hoạch cho một cuộc tấn công mạng khác. • Phishing Phishing là một kiểu tấn công mạng thường bắt đầu bằng cách gửi email để người dùng không nghi ngờ. Các email lừa đảo cố gắng để trông giống như một thư điện tử hợp pháp từ một tổ chức được biết đến và đáng tin cậy như là một trang web ngân hàng, thương mại điện tử. Email giả này cố gắng thuyết phục người dùng rằng một việc gì đó đã xảy ra, chẳng hạn như hoạt động đáng ngờ về tài khoản của họ, và người sử dụng phải thực hiện theo các liên kết trong email và đăng nhập vào trang web để xem thông tin người dừng của họ. Các liên kết trong email này thường là một bản sao giả của ngân hàng hoặc trang web thương mại điện tử thực sự và các tính năng tương tự nhìnvàcảm nhận các trang web thực sự. Các cuộc tấn công lừa đảo được thiết kế để lừa người dùng cung cấp thông tin có giá trị như tên người dùng và mật khẩu của họ. • Dựa vào yểu tố con người Kẻ tấn công có thể liên lạc với một người quản trị hệ thống, giả làm một người sử dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập của mình đối với hệ thống, hoặc thậm chí thay đổi một số cấu hình của hệ thống để thực hiện các phương pháp tấn công khác.Với kiểu tấn công này không một thiết bị nào có thể ngăn chặn một cách hữu hiệu, và chỉ có một cách giáo dục người sử dụng mạng nội bộ về những yêu cầu bảo mật để đề cao cảnh giác với những hiện tượng đáng nghi.Nói chung yếu tố con người là một điểm yếu trong bất kỳ một hệ thống bảo vệ nào, và chỉ có sự giáo dục cộng với tinh thần hợp tác từ phía người sử dụng có thể nâng cao được độ an toàn của hệ thống bảo vệ

Trang 1

Mục lục

Mở đầu

ta cái nhìn sâu hơn về khái niệm, cũng như chức năng, cách thức bảo mật cụthể của Firewall Trong thực tế hiện nay bảo mật thông tin đang đóng một vai trò thiếtyếu chứ không còn là “thứ yếu” trong mọi hoạt động liên quan đến việc ứng dụngcông nghệ thông tin Tôi muốn nói đến vai trò to lớn của việc ứng dụng CNTT đã vàđang diễn ra sôi động, không chỉ thuần túy là những công cụ (Hardware, software),

mà thực sự đã được xem như là giải pháp cho nhiều vấn đề Khởi động từ những nămđầu thập niên 90,với một số ít chuyên gia về CNTT, những hiểu biết còn hạn chế vàđưa CNTT ứng dụngtrong các hoạt động sản xuất, giao dịch, quản lý còn khá khiêmtốn và chỉ dừng lại ở mức công cụ, và đôi khi tôi còn nhận thấy những công cụ “đắttiền” này còn gây một số cản trở, không đem lại những hiệu quả thiết thực cho những

Tổ chức sử dụng nó Internet cho phép chúng ta truy cập tới mọi nơi trên thế giớithông qua một số dịch vụ Ngồi trước máy tính của mình bạn có thể biết được thôngtin trên toàn cầu,nhưng cũng chính vì thế mà hệ thống máy tính của bạn có thể bị xâmnhập vào bất kỳ lúc nào mà bạn không hề được biết trước Do vậy việc bảo vệ hệthống là một vấn đề chúngta đáng phải quan tâm Người ta đã đưa ra khái niệmFireWall để giải quyết vấn đề này.Cũng có rất nhiều kiểu, và loại firewall nhưng Ciscođưa ra công nghệ bảo mật vớifirewall rất hữu hiệu Để làm rõ các vấn đề này thì bàitập lớn “Tìm hiểu và cấu hình tính năm firewall trên ASA( dùng GNS3)” sẽ cho chúng

Trang 2

Phần I : Tổng Quan

1.1 Tổng quan về đề tài

Mục tiêu của việc nghiên cứu về Firewall ASA

+ Việc nghiên cứu giúp cho khả năng tự học ,tìm hiểu và nghiên cứu độc lậpngày càng tốt hơn

+ Nghiên cứu về hệ thống firewall ASA

+ Triển khai hệ thống phất hiện, ngăn chặn các lưu lượng ra vào của hệ thống là

sự cần thiết cho các doanh nghiệp có nhu cầu về sự an toàn của hệ thống trước nhữnghành vi xâm nhập trái phép Trước sự phát triển của internet và sự hiểu biết của ngàycàng sâu của con người thì việc truy cập và phá hoại hệ thống mạng của một doanhnghiệp ,công ty nào đó củng theo đà phát triển của internet mà tăng lên rất nhiều

+ Việc nghiên cứu này đáp ứng cho lãnh vực bảo mật và an ninh của hệ thống.+ ASA(Adaptive Security Appliance) là một thiết bị tường lửa mạnh tất cảtrong một và được ưa chuộng nhất hiện nay của Cisco.Chính vì vậy mục tiêu của đềtài này là nhằm nghiên cứu và tìm hiểu cách thức hoạt động,phương pháp cấu hình vàứng dụng của nó trong việc bảo mật hệ thống mạng.Ket quả đạt được qua việc nghiêncứu thiết bị này là hiểu được cách thức hoạt động và có khả năng triển khai thiết bịnày vào trong một số hệ thống mạng bất kỳ

+Nghiên cứu về AAA server

+Nghiên cứu về cách tổ chức giám sát hoạt động của người dừng cuối như thờigian bắt đầu hay kết thúc của người dùng (accounting).Bảo mật là vấn đề rất quantrọng.Yới mức độ điều khiển, thật dễ dàng để cài đặt bảo mật và quản trị mạng, có thểđịnh nghĩa các vai trò (role) đưa ra cho user những lệnh mà họ cần để hoàn thànhnhiệm vụ của họ và theo dõi những thay đổi trong mạng Với khả năng log lại các sựkiện, ta có thể có những sự điều chỉnh thích hợp với từng yêu cầu đặt ra Tất cả nhữngthành phần này là cần thiết để duy trì tính an toàn, bảo mật cho mạng Với thông tin

Trang 3

thu thập được, có thể tiên đoán việc cập nhật cần thiết theo thời gian Yêu cầu bảo mật

dữ liệu, gia tăng băng thông, giám sát các vấn đề trên mạng thông AAA server

1.2 Tổng quan về an ninh mạng

1 Mục tiêu an ninh mạng

Việc phát triển ngày càng tăng của mạng internet do sự thuận tiện mà nó đemlại cho con người tuy nhiên cũng kéo theo nhiều mối nguy hiểm rình rập của nhữnghacker mạng Đảm bảo cho người dùng được an toàn khi làm việc trên mạng là mụctiêu hàng đầu của an ninh mạng:

> Bảo đảm mạng nội bộ không bị xâm nhập trái phép

> Các tài liệu và thông tin quan trọng không bị rò ri và bị mất

> Các dịch vụ được thực hiện nhanh chóng không bị trì trệ hoặc không đượcthực hiện

> Các cuộc mua bán trên mạng diễn ra đứng với yêu cầu người dùng

> Người dừng làm việc trên mạng không bị mạo danh, lừa đảo

Trang 4

• Virus

Một virus máy tính được thiết kế để tấn công một máy tính và thường phá cácmáy tính khác và các thiết bị mạng Một virus thường có thể là một tập tin đính kèmtrong e-mail, và chọn các tập tin đính kèm có thể gây ra các mã thực thi để chạy và táitạo virus Một virus phải được thực hiện hoặc chạy trong bộ nhớ để chạy và tìm kiếmcác

chương trình khác hoặc máy chủ để lây nhiễm và nhân rộng Như tên của nó,virus cần một máy chủ như là một bảng tính hoặc e-mail để đính kèm, lây nhiễm, vànhân rộng Có một số hiệu ứng chung của vi rút Một số viras lành tính, và chỉ cầnthông báo cho nạn nhân của họ rằng họ đã bị nhiễm bệnh Các virus ác tính tạo ra sựhủy hoại bằng cách xóa các tập tin và nếu không thì gây ra lỗi cho các máy tính bịnhiễm có chứa tài sản kỹ thuật số, chẳng hạn như hình ảnh, tài liệu, mật khẩu, và cácbản báo cáo tài chính

• Worm

Worm là một chương trình phá hoại quét các điểm yếu hoặc lỗ hổng bảo mậttrên các máy tính khác để khai thác các điểm yếu và nhân rộng Worm có thể tái tạođộc lập và rất nhanh chóng

Worm khác với virus trong hai cách chính:

Virus cần một máy chủ để đính kèm và thực hiện, và sâu không yêu cầu mộtmáy chủ Virus và sâu thường gây ra các loại khác nhau của sự hủy diệt

Virus, một khi chúng đang cư trú trong bộ nhớ, thường xóa và sửa đổi các tậptin quan trọng trên máy tính bị nhiễm bệnh Tuy nhiên, Worms có xu hướng mạngtrung tâm hơn so với máy tính trung tầm Worms có thể tái tạo một cách nhanh chóngbằng cách bắt đầu kết nối mạng để nhân rộng và gửi số lượng lớn dữ liệu Wormscũng có thể chứa một hành khách mang theo, hoặc trọng tải dữ liệu, mà có thể giaomột máy tính mục tiêu cho các trạng thái của một zombie Zombie là một máy tính có

bị xâm phạm và hiện đang được kiểm soát bởi những kẻ tấn công mạng Zombiesthường được sử dụng để khởi động các cuộc tấn công mạng khác Một bộ sưu tập lớn

Trang 5

các zombie dưới sự điều khiển của kẻ tấn công được gọi là một "botnet" Botnets cóthể phát triển được khá lớn Botnet được xác định đã lớn hơn 100.000 máy tínhzombie.

• Trojan horse

Một con ngựa Trojan, hoặc Trojan, là phần mềm nguy hại tìm cách ngụy trangchính nó như là một ứng dụng đáng tin cậy như là một trò chơi hoặc trình bảo vệ mànhình Một khi người dùng tin cậy cố gắng để truy cập những gì có vẻ là một trò chơi

vô thưởng vô phạt hoặc trình bảo vệ màn hình, các Trojan có thể bắt đầu các hoạtđộng gây tổn hại như xóa các tập tin hoặc định dạng lại một ổ đĩa cứng Trojan thườngkhông tự sao chép Những kẻ tấn công mạng cố gắng sử dụng các ứng dụng phổ biến,chẳng hạn như iTunes của Apple, để triển khai một Trojan Ví dụ, một cuộc tấn côngmạng sẽ gửi một e-mail với một liên kết có mục đích để tải về một bài hát iTunesmiễn phí Trojan này sau đó sẽ bắt đầu một kết nối đến một máy chủ web bên ngoài vàbắt đầu một cuộc tấn công một khi người dùng cố gắng để tải về các bài hát miễn phí

rõ ràng

• Từ chối dịch vụ

Một cuộc tấn công từ chối dịch vụ (DoS) là một cuộc tấn công mạng có kết quảtrong việc từ chối dịch vụ bằng một ứng dụng yêu cầu như là một máy chủ web Cómột vài cơ chế để tạo ra một cuộc tấn công DoS Các phương pháp đơn giản nhất làtạo ra một lượng lớn những gì xuất hiện để được giao thông mạng họrp lệ Đây là loạitấn công DoS mạng cố gắng để làm nghẽn các ống dẫn lưu lượng truy cập mạng để sửdụng hợp lệ không thể có được thông qua kết nối mạng Tuy nhiên, loại DoS thôngthường cần phải được phân phối bởi vì nó thường đòi hỏi nhiều hơn một nguồn để tạo

ra các cuộc tấn công.Một cuộc tấn công DoS lợi dụng thực tế là hệ thống mục tiêu nhưcác máy chủ phải duy trì thông tin trạng thái và có thể có kích thước bộ đệm và dựkiến nội dung gói tin mạng cho các ứng dụng cụ thể Một cuộc tấn công DoS có thểkhai thác lỗ hổng này bằng cách gửi các gói có giá trị kích cỡ và dữ liệu mà khôngnhư mong đợi của các ứng dụng nhận được.Một số loại tấn công DoS tồn tại, bao gồmcác cuộc tấn công Teardrop và Ping of Death, mà gửi các gói thủ công mạng khác

Trang 6

nhau từ những ứng dụng dự kiến và có thể gây ra sụp đổ các ứng dụng và máy chủ.Những cuộc tấn công DoS trên một máy chủ không được bảo vệ, chẳng hạn như mộtmáy chủ thương mại điện tử, có thể gây ra các máy chủ bị lỗi và ngăn chặn ngườidùng bổ sung thêm hàng vào giỏ mua sắm của họ.

• Distributed Denial-of-Service

DDoS tương tự như trong ý định của cuộc tấn công DoS, ngoại trừ cuộc tấncông DDoS tạo ra nhiều nguồn tấn công Ngoài ra để tăng lượng truy cập mạng từnhiều kẻ tấn công phân phối, một cuộc tấn công DDoS cũng đưa ra những thách thứccủa yêu cầu bảo vệ mạng để xác định và ngăn chặn mỗi kẻ tấn công phân phối

• Spyware

Spyware là một lớp các ứng dụng phần mềm có thể tham gia vào một cuộc tấncông mạng Spyware là một ứng dụng cài đặt và vẫn còn để ẩn trên máy tính hoặcmáy tính xách tay mục tiêu Một khi các ứng dụng phần mềm gián điệp đã được bímật cài đặt, phần mềm gián điệp bắt thông tin về những gì người dừng đang làm vớimáy tính của họ Một số thông tin bị bắt bao gồm các trang web truy cập, e-mail gửi

đi, và mật khẩu sử dụng Những kẻ tấn công có thể sử dụng các mật khẩu và thông tinbắt được để đi vào được mạng để khởi động một cuộc tấn công mạng

Ngoài việc được sử dụng để trực tiếp tham gia vào một cuộc tấn công mạng,phần mềm gián điệp cũng có thể được sử dụng để thu thập thông tin có thể được bánmột cách bí mật Thông tin này, một lần mua, có thể được sử dụng bởi một kẻ tấn côngkhác đó là "khai thác dữ liệu" để sử dụng trong việc lập kế hoạch cho một cuộc tấncông mạng khác

• Phishing

Phishing là một kiểu tấn công mạng thường bắt đầu bằng cách gửi e-mail đểngười dùng không nghi ngờ Các e-mail lừa đảo cố gắng để trông giống như một thưđiện tử hợp pháp từ một tổ chức được biết đến và đáng tin cậy như là một trang webngân hàng, thương mại điện tử E-mail giả này cố gắng thuyết phục người dùng rằngmột việc gì đó đã xảy ra, chẳng hạn như hoạt động đáng ngờ về tài khoản của họ, và

Trang 7

người sử dụng phải thực hiện theo các liên kết trong e-mail và đăng nhập vào trangweb để xem thông tin người dừng của họ Các liên kết trong e-mail này thường là mộtbản sao giả của ngân hàng hoặc trang web thương mại điện tử thực sự và các tínhnăng tương tự nhìn-và-cảm nhận các trang web thực sự Các cuộc tấn công lừa đảođược thiết kế để lừa người dùng cung cấp thông tin có giá trị như tên người dùng vàmật khẩu của họ.

• Dựa vào yểu tố con người

Kẻ tấn công có thể liên lạc với một người quản trị hệ thống, giả làm một người

sử dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập của mình đối với hệthống, hoặc thậm chí thay đổi một số cấu hình của hệ thống để thực hiện các phươngpháp tấn công khác.Với kiểu tấn công này không một thiết bị nào có thể ngăn chặnmột cách hữu hiệu, và chỉ có một cách giáo dục người sử dụng mạng nội bộ về nhữngyêu cầu bảo mật để đề cao cảnh giác với những hiện tượng đáng nghi.Nói chung yếu

tố con người là một điểm yếu trong bất kỳ một hệ thống bảo vệ nào, và chỉ có sự giáodục cộng với tinh thần hợp tác từ phía người sử dụng có thể nâng cao được độ an toàncủa hệ thống bảo vệ

1.3 Các chính sách an ninh mạng

Hai hình thức chính sách bảo mật có liên quan đến bức tường lửa:

Các chính sách an ninh văn bản (đôi khi được gọi là các chính sách an ninhthông tin) để xác định những mục tiêu an ninh cho các tổ chức (bao gồm cả tường lửacủa họ)

Các chính sách quản lý và lọc nguồn và đích (đôi khi được gọi là chính sáchtường lửa hoặc thiết lập quy tắc tường lửa) để xác định cấu hình thực tế của thiết bị

• Các chính sách an ninh văn bản

Chính sách an ninh văn bản tồn tại để cung cấp một lộ trình cấp cao về những

gì cần phải được thực hiện để đảm bảo rằng tổ chức này có một chiến lược an ninhđược xác định tốt và ngoài sức tưởng tượng Đó là một quan niệm sai lầm phổ biến

mà một tổ chức có một chính sách an ninh Trong thực tế, chính sách bảo mật tổng thể

Trang 8

của một tổ chức thường bao gồm nhiều chính sách bảo mật cá nhân, mà được ghi vàođịa chỉ mục tiêu cụ thể, thiết bị, hoặc các sản phẩm. 

Mục tiêu của một chính sách an ninh là xác định những gì cần phải được bảo

vệ, những người có trách nhiệm bảo vệ, và tong một số trường hợp như thế nào bảo vệ

sẽ xảy ra Chức năng này cuối cùng thường tách ra thành một tài liệu thủ tục độc lậpnhư lọc nguồn, lọc đích, hoặc quản lý truy Tóm lại, các chính sách bảo mật đơn giản

và chính xác nên vạch ra những yêu cầu cụ thể, quy tắc, và mục tiêu đó phải được đápứng, để cung cấp một phương pháp đo lường của đặc điểm an ninh được chứng thựccủa tổ chức

của tường lửa trong điều khoản của các lớp bảo mật, với mỗi lớp có một lĩnhvực cụ thể của hoạt động Hình 1-1 minh họa các lớp của tường lửa Như hình bêndưới cho thấy, các bức tường lửa được chia thành bốn thành phần riêng biệt

Hình 1: Các lớp bảo mật tường lửa

Tại trung tâm là các lớp toàn vẹn vật lý của tường lửa, mà chủ yếu là liên quantới các quyền truy cập vật lý vào tường lửa, để đảm bảo quyền truy cập vật lý vào thiết

bị, chẳng hạn như thông qua một kết nối cứng là cổng console

Lớp tiếp theo là cấu hình tường lửa tĩnh, mà chủ yếu là liên quan tới truy cậpvào các phần mềm tường lửa được cấu hình tĩnh đang chạy (ví dụ, các hệ điều hànhPIX và cấu hình khởi động) Tại lớp này, chính sách bảo mật cần tập trung vào việcxác định

Trang 9

các hạn chế sẽ được yêu cầu để hạn chế truy cập quản trị, bao gồm cả bản cậpnhật phần mềm thực hiện và cấu hình tường lửa.

Lớp thứ ba là cấu hình tường lửa động, trong đó bổ sung các cấu hình tĩnh bằngviệc có liên quan tới cấu hình động của tường lửa thông qua việc sử dụng các côngnghệ như giao thức định tuyến, lệnh ARP, giao diện và tình trạng thiết bị, kiểm toán,nhật ký, và các lệnh tránh Mục tiêu của chính sách an ninh tại điểm này là để xácđịnh các yêu cầu xung quanh những gì các loại cấu hình động sẽ được cho phép

Cuối cùng là lưu lượng mạng qua tường lửa, mà là thực sự những gì mà tườnglửa tồn tại để bảo vệ tài nguyên Lớp này là có liên quan tới chức năng như ACL vàthông tin dịch vụ proxy Các chính sách an ninh ở lớp này có trách nhiệm xác địnhcác yêu cầu như chứng liên quan đến lưu lượng đi qua tường lửa

Định dạng chính sách an ninh:

Đe thực hiện các mục tiêu được xác định trước đó, hầu hết các chính sách bảomật tuân theo một định dạng hoặc bố trí cụ thể và các chia sẻ yếu tố thông thường.Nói chung, hầu hết các chính sách an ninh chia sẻ bảy phần:

• Tổng quan: Phần tổng quan cung cấp một giải thích ngắn gọn về nhữngđịa chỉ chính sách

• Mục đích: phần mục đích giải thích tại sao chính sách là cần thiết

• Phạm vi: Phần phạm vi xác định chính sách áp dụng cho những gì vàxác định người chịu trách nhiệm về chính sách

Trang 10

Mỗi tổ chức có yêu cầu an ninh riêng biệt và do đó có chính sách bảo mật riêngđộc

đáo của họ Tuy nhiên, hầu hết không phải tất cả các môi trường đòi hỏi một sốchính

sách an ninh chung, bao gồm:

như đó người dừng có thể kết nối với tường lửa và có quyền truy cập để thựchiện những tác vụ

Ngoài ra, các chính sách quản lý truy cập cần xác định các yêu cầu đối với cácgiao thức quản lý như Network Time Protocol (NTP), syslog, TFTP, FTP, SimpleNetwork Management Protocol (SNMP), và bat kỳ giao thức khác có thể được sửdụng để quản lý và duy trì thiết bị

• Chính sách lọc:

Trang 11

Thay vì định nghĩa bộ quy tắc thực tế tường lửa sẽ sử dụng, các chính sách lọccần phải chỉ và xác định chính xác các loại lọc mà phải được sử dụng và nơi lọc được

áp dụng Chính sách này có xu hướng để giải quyết cấu hình tường lửa tĩnh và chi tiếttrong lớp lưu lượng mạng qua tường lửa Ví dụ, một chính sách lọc tốt cần phải yêucầu cả hai lối vào và đi ra bộ lọc được thực hiện với các bức tường lửa Các chínhsách lọc cũng cần xác định các yêu cầu chung trong việc kết nối mạng cấp độ bảo mật

và nguồn khác nhau Ví dụ, với một DMZ, tùy thuộc vào hướng của lưu lượng, cácyêu cầu lọc khác nhau có thể cần thiết, và nó là vai trò của các chính sách lọc để xácđịnh những yêu cầu

• Chính sách định tuyến:

Các chính sách định tuyến thường không phải là một tài liệu tường lửa trungtâm Tuy nhiên, với thiết kế chu vi phức tạp hơn cũng như sử dụng ngày càng tăng củacác bức tường lửa trong mạng nội bộ, tường lửa có thể dễ dàng trở thành một phần của

cơ sở hạ tầng định tuyến Các chính sách định tuyến cần phải có một phần có quy định

cụ thể bao gồm một tường lửa trong các cơ sở hạ tầng định tuyến và định nghĩa cácphương thức trong đó các định tuyến sẽ xảy ra Chính sách này có xu hướng để giảiquyết các lớp cấu hình tường ữnh lửa và cấu hình động tường lửa Trong hầu hếttrường hợp, các chính sách định tuyến nên ngăn cam firewall một cách rõ ràng từ việcchia sẻ bảng định tuyến mạng nội bộ với bất kỳ nguồn bên ngoài Tương tự như vậy,các chính sách định tuyến cần xác định các trường họrp trong đó các giao thức địnhtuyến động và tuyến đường ữnh là phù hợp Các chính sách cũng nên xác định bất kỳ

cơ chế bảo mật giao thức cụ thể cần phải được cấu hình, (ví dụ, việc sử dụng thuậttoán băm để đảm bảo chỉ các nút được chứng thực có thể vượt qua dữ liệu địnhtuyến)

Trang 12

Trong nhiều trường hợp, các chính sách VPN kết hợp với chính sách mã hóa của tổchức xác định phương pháp VPN tổng thể sẽ được sử dụng Chính sách này có xuhướng để giải quyết các lớp cấu hình tường lửa tĩnh và lưu lượng mạng qua tường lửa.

Các chính sách remote-access/VPN cũng cần xác định các giao thức sẽ được sửdụng: IP Security ỢPsec), Layer 2 Tunneling Protocol (L2TP), hoặc Point-to-Point

Tunneling Protocol (PPTP) Trong hầu hết trường họrp, IPsec được sử dụngriêng biệt

Giả sử IPsec, chính sách remote-access/VPN cần phải yêu cầu sử dụng của cácpreshared keys, chứng thực mở rộng, với việc sử dụng giấy chứng nhận, mậtkhẩu một

lần, và Public Key Infrastructure (PKI) cho môi trường an toàn nhất Tương tựnhư

vậy, các chính sách remote-access/VPN nên xác định những khách hàng sẽđược sử dụng (có nghĩa là, trong xây dựng- Microsoft VPN Client, Cisco Secure VPNClient, w)

Cuối cùng, các chính sách remote-access/VPN cần xác định các loại truy cập

và các nguồn lực sẽ được cung cấp để kết nối từ xa và các loại kết nối từ xa sẽ đượccho phép

• Chính sách giám sát/ghi nhận:

Một trong những yếu tố quan trọng nhất đảm bảo rằng một tường lửa cung cấpmức bảo mật được mong đợi là thực hiện một hệ thống giám sát tường lửa Chínhsách giám sát / ghi nhận xác định các phương pháp và mức độ giám sát sẽ được thựchiện Tối thiểu, các chính sách giám sát / ghi nhận cần cung cấp một cơ chế để theodõi hiệu suất của tường lửa cũng như sự xuất hiện của tất cả các sự kiện liên quan đến

an ninh và các mục đăng nhập Chính sách này có xu hướng để giải quyết các lớp cấuhình tường lửa tĩnh

Trang 13

Chính sách giám sát / ghi nhận cũng nên xác định cách các thông tin phải đượcthu thập, duy trì, và báo cáo Trong nhiều trường hợp, thông tin này có thể được sửdụng để xác định các yêu cầu quản lý của bên thứ ba và các ứng dụng theo dõi nhưCiscoWorks, NetíQ Security Manager, hoặc Kiwi Syslog Daemon.

Do sự phức tạp của môi trường DMZ điển hình, các chính sách DMZ là có khảnăng sẽ là một tài liệu lớn nhiều trang Đe giúp đảm bảo rằng các chính sách DMZthiết thực và hiệu quả, điển hình là ba tiêu chuẩn cần được xác định rộng rãi cho tất cảcác thiết bị liên quan đến DMZ, kết nối, và lưu lượng giao thông:

• Trách nhiệm quyền sở hữu

• Yêu cầu cấu hình an toàn

• Yêu cầu hoạt động và kiểm soát thay đổi

• Chính sách có thể áp dụng thông thường:

Ngoài các chính sách tường lửa cụ thể, có nhiều chính sách có thể áp dụngthông thường, mặc dù không phải là tường lửa cụ thể (đã ứng dụng trên nhiều thiết bị,không chỉ là tường lửa) dù sao cũng nên được áp dụng đối với tường lửa Chứng baogồm những điều sau đây:

Chính sách mật khẩu: chính sách mật khẩu của công ty nên được để cập đếnkhông chỉ xác định truy cập quản trị tường lửa, mà còn để sử dụng trong việc tạo rapreshared secrets, bảng băm, và các chuỗi cộng đồng

Chính sách mã hóa: chính sách mã hóa của công ty nên được đề cập đến để xácđịnh tất cả các hình thức truy cập mã hóa, bao gồm Hypertext Transfer Protocol,

Trang 14

Secure (HTTPS), Secure Sockets Layer (SSL), Secure Shell (SSH), và truy cập IPsec /VPN.

Chính sách kiểm định: chính sách kiểm định của công ty phải được đề cập đểxác định các yêu cầu kiểm định của tường lửa

Chính sách đánh giá rủi ro: chính sách đánh giá rủi ro của công ty cần được đềcập để xác định phương pháp sẽ được sử dụng để xác định các rủi ro liên quan với hệthống tất cả thêm, di chuyển, và thay đổi vì nó liên quan đến tường lửa và chu vi mạngtrong toàn thể

Dưới đây là một số công việc cần thiết cho người quản trị mạng:

• Ghi nhận và xem lại nhật ký tường lửa thường xuyên

• Tạo ACL đi vào thật chi tiết, cụ thể

• Bảo vệ vùng DMZ về nhiều phía

• Thận trọng với lưu lượng ICMP

• Giữ mọi lưu lượng quản lý firewall được bảo mật

• Xem lại các quy tắc tường lửa định kỳ

Phần II : ASA

2.1 Lịch sử ra đời

Thiết bị phần cứng đảm nhận vai trò bảo vệ hạ tầng mạng bên trong, trước đâythương hiệu PIX Firewall của hãng Cisco Systems đã giành được một trong những vịtrí hàng đầu của lĩnh vực này Tuy nhiên, theo đà phát triển của công nghệ và xuhướng tích hợp đa chức năng trên các kiến trúc phần cứng hiện nay (gọi là Appliance)hãng Cisco Systems cũng đã nhanh chóng tung ra dòng sản phẩm bảo mật đa năngCisco ASA (Adaptive Security Appliance) Dòng thiết bị này ngoài việc thừa hưởngcác tính năng ưu điểm của công nghệ dùng trên Cisco PIX Firewall, Cisco IPS 4200

và Cisco VPN 3000 Concentrator, còn được tích họrp đồng thời 3 nhóm chức năngchính cho một hạ tầng bảo vệ là Firewall, IPS và VPN Thông qua việc tích hợpnhững tính năng như trên, Cisco ASA sẽ chuyển giao một giải pháp hiệu quả trong

Trang 15

việc bảo mật hoá các giao tiếp kết nối mạng,nhằm có thể chủ động đối phó trên diệnrộng đối với các hình thức tấn công qua mạng hoặc các hiểm họa mà tổ chức,doanhnghiệp thường phải đương đầu.

Đặc tính nổi bật của thiết bị ASA là:

+ Đầy đủ các đặc điểm của Firewall, IPS, anti-X và công nghệ VPN IPSec/SSL

+ Có kha năng mở rộng thích nghi nhận dạng và kiến trúc Mitigation Services.+ Giảm thiểu chi phí vận hành và phát triển

2.2 Các sản phẩm tường lửa của Cisco

Cisco PIX Firewalls đã luôn luôn đóng vai trò quan trọng trong chiến lược bảomật của Cisco Các mô hình tường lửa khác nhau của Cisco cung cấp các giải phápbảo mật cho các doanh nghiệp vừa và nhỏ

Các sản phẩm tường lửa trước đây của Cisco bao gồm:

+ Cisco PIX Firewalls

+ Cisco FWSM(Firewall Service Module)

+ Cisco IOS Firewall

2.3 Điều khiển truy cập mạng (NAC)

Cisco Adaptive Security Appliances (ASA) có thể giúp bảo vệ một hoặc nhiềumạng từ những kẻ xâm nhập và tấn công Ket nối giữa các mạng này có thể được kiểmsoát và theo dõi bằng cách sử dụng các tính năng mạnh mẽ mà Cisco ASA cung cấp.cóthể đảm bảo rằng tất cả lưu lượng truy cập từ các mạng tin cậy cho dến mạng khôngtin cậy(và ngược lại) đi qua các tường lửa dựa trên chính sách an ninh của tổ chức.2.4 Lọc gói (Packet Filtering)

Cisco ASA có thể bảo vệ mạng bên trong(inside), các khu phi quân sự (DMZs)

và mạng bên ngoài(outside) bằng cách kiểm tra tất cả lưu lượng đi qua nó Có thể xácđịnh chính sách và quy tắc cho những lưu lượng được cho phép hoặc không cho phép

Trang 16

lượng truy cập không mong muốn hoặc không biết khi nó cố gắng để vào mạng đángtin cậy Một ACL là danh sách các quy tắc an ninh, chính sách nhóm lại với nhau chophép hoặc từ chối các gói tin sau khi nhìn vào các tiêu đề gói(packet headers) và cácthuộc tính khác Mỗi phát biểu cho phép hoặc từ chối trong ACL được gọi là mộtaccess control entry (ACE) Các ACE có thể phân loại các gói dữ liệu bằng cách kiểmtra ở layer 2, layer 3 và Layer 4 trong mô hình OSI bao gồm:

> Kiểm tra thông tin giao thức layer 2:

> Kiểm tra thông tin giao thức layer 3:ICMP, TCP, or UDP, kiểm tra địachỉ IP nguồn và đích

> Kiểm tra thông tin giao thức layer 4: port TCP/UDP nguồn và đích Khi một ACL đã được cấu hình đúng, có thể áp dụng vào interface để lọc lưulượng Các thiết bị an ninh có thể lọc các gói tin theo hướng đi vào(inbound) và đira(outbound) từ interface Khi một ACL được áp dụng đi vào interface, các thiết bị anninh kiểm tra các gói chống lại các ACE sau khi nhận được hoặc trước khi truyền đi.Neu một gói được cho phép đi vào, các thiết bị an ninh tiếp tục quá trình này bằngcách gửi nó qua các cấu hình khác Neu một gói tin bị từ chối bởi các ACL, các thiết

bị an ninh loại bỏ các gói dữ liệu và tạo ra một thông điệp syslog chỉ ra rằng như một

sự kiện đã xảy ra Trong hình 3-1, người quản trị thiết bị an ninh đã được áp dụng chooutside interface một inbound ACL chỉ cho phép lưu lượng

HTTP tới 20.0.0.1 Tất cả các lưu lượng khác sẽ bị bỏ tại interface của các thiết

bị an ninh

Hình 2: Mô tả quá trình lọc gói của tường lửa

Trang 17

Nếu một outbound ACL được áp dụng trên một interface, các thiết bị an ninh

xử lý các gói dữ liệu bằng cách gửi các packet thông qua các quá trình khác nhau(NAT,

QoS, và VPN) và sau đó áp dụng các cấu hình ACE trước khi truyền các gói dữliệu này Các thiết bị an ninh truyền các gói dữ liệu chỉ khi chúng được phép đi rangoài

Neu các gói dữ liệu bị từ chối bởi một trong các ACE, các thiết bị an ninh loại

bỏ các gói dữ liệu và tạo ra một thông điệp syslog chỉ ra rằng như một sự kiện đã xảyra

Trong hình 2, người quản trị thiết bị an ninh đã được áp dụng outbound ACLcho inside interface chỉ cho phép lưu lượng HTTP tới 20.0.0.1.Tất cả các lưu lượngkhác sẽ bị bỏ tại interface của các thiết bị an ninh

Các loại Access Control List:

Có năm loại ACL khác nhau đã cung cấp một cách linh hoạt và khả năng mởrộng để lọc các gói trái phép bao gồm:

Trang 18

Extended ACL: Chuẩn Extended là một chuẩn phổ biết nhất,có thể phân loạicác gói dữ liệu dựa trên các đặc tính sau:

> Địa chỉ nguồn và địa chỉ đích

> Giao thức lớp 3

> Địa chỉ nguồn hoặc địa chỉ của cổng TCP và UDP

> Điểm đến ICMP dành cho các gói ICMP

> Một chuẩn ACL mở rộng có thể được sử dụng cho quá trình lọcgói,phân loại các gói QoS,nhận dạng các gói cho cơ chế NAT và mã hóa VPN

> IPV6 ACL:Một IPV6 ACL có chức năng tương tự như chuẩn ExtendedACL.Tuy nhiên chỉ nhận biết các lưu lượng là địa chỉ IPV6 lưu thông qua thiết bị bảomật ở chế độ định tuyến

Ethertype ACL: Chuẩn Ethertype có thể được sử dụng để lọc IP hoặc lọc gói tinbằng cách kiểm tra đoạn mã trong trường Ethernet ở phần đầu lớp 2.MỘÍ EứiertypeACL chỉ có thể được cấu hình chỉ khi các thiết bị bảo mật đang chạy ở chế độ trongsuốt ( transparent ) Lưu ý rang ở chuẩn này các thiết bị bảo mật không cho phép dạngIPV6 lưu thông qua,ngay cả khi được phép đi qua IPV6 Ethertype ACL

Web VPN ACL: Một Web VPN ACL cho phép người quản trị hệ thống hạn chếlưu lượng truy cập đến từ luồng WebVPN.Trong trường hợp có một ACL WebVPNđược xác định nhưng không phù hợp một gói tin nào đó,mặc định gói tin đó sẽ bị loạibỏ.Mặc khác,nếu không có ACL xác định,các thiết bị bảo mật sẽ cho phép lưu thôngqua nó.ACL xác định lưu lượng truy cập bằng cách cho phép hoặc loại bỏ gói tin khi

nó cố gắng đi qua thiết bị bảo mậtMột ACE đơn giản là cho phép tất cả các địa chỉ IPtruy cập từ một mạng này đến mạng khác,phức tạp hơn là nó cho phép lưu thông từmột địa chỉ IP cụ thể ở một cổng riêng biệt đến một cổng khác ở địa chỉ đích.MộtACE được thiết kế bằng cách sử dụng các lệnh điều khiển truy cập để thiết lập chothiết bị bảo mật

Ngày đăng: 27/10/2017, 18:22

Xem thêm

HÌNH ẢNH LIÊN QUAN

Hình 1: Các lớp bảo mật tường lửa - tìm hiểu và cấu hình tính năng của firewall trên ASA(dùng GNS3)
Hình 1 Các lớp bảo mật tường lửa (Trang 8)
Hình 3: Mô tả kiến trúc cơ bản cho NAS/Radius/Tacacs+/AAA - tìm hiểu và cấu hình tính năng của firewall trên ASA(dùng GNS3)
Hình 3 Mô tả kiến trúc cơ bản cho NAS/Radius/Tacacs+/AAA (Trang 23)
Hình 4. Minh họa kiến trúc chịu lỗi - tìm hiểu và cấu hình tính năng của firewall trên ASA(dùng GNS3)
Hình 4. Minh họa kiến trúc chịu lỗi (Trang 29)
Hình 5: Minh họa cách một gói được xử lý trong các thiết bị an ninh khi đi qua các công cụ QoS. - tìm hiểu và cấu hình tính năng của firewall trên ASA(dùng GNS3)
Hình 5 Minh họa cách một gói được xử lý trong các thiết bị an ninh khi đi qua các công cụ QoS (Trang 32)

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w