Tường lửa Phần này đưa ra cách giải thích về một tường lửa Theo cách định nghĩa thông thường thì tường lửa là một phần tạo nên vật liệu chống cháy, được thiết kế để ngăn cản sự lan rộng
Trang 3Tường lửa
Phần này đưa ra cách giải thích về một tường lửa
Theo cách định nghĩa thông thường thì tường lửa là một phần tạo nên vật liệu chống cháy, được thiết kế để ngăn cản sự lan rộng của lửa từ một phần đến phần khác Nó cũng có thể được sử dụng để cách ly một phần với phần khác
Khi áp dụng thuật ngữ tường lửa cho mạng máy tính, một tường lửa là một hệ thống hoặc một nhóm hệ thống yêu cầu một chính sách điều khiển việc truy cập giữa hai hoặc nhiều hơn hai mạng
Trang 4Tường lửa hoạt động dựa trên ba kỹ thuật sau:
Packet filtering – Giới hạn thông tin truyền sang một mạng dựa trên thông tin header của gói tin tĩnh
Proxy Server – Yêu cầu sự kết nối chuyển tiếp giữa một client bên trong của tường lửa và mạng Internet
Stateful packet filtering – Kết hợp tốt nhất hai kỹ thuật packet filtering và
proxy server
Trang 5Một tường lửa có thể sử dụng packet filtering để giới hạn thông tin đi vào một
mạng hoặc thông tin di chuyển từ một đoạn mạng này sang một đoạn mạng khác
Packet filtering sử dụng danh sách điều khiển truy cập (ACLs), nó cho phép một
tường lửa xác nhận hay phủ nhận việc truy cập dựa trên kiểu của gói tin và các biến khác
Phương pháp này có hiệu quả khi một mạng được bảo vệ nhận gói tin từ một mạng không được bảo vệ khác Bất kỳ gói tin nào được gửi đến một mạng đã được bảo vệ và không đúng với các tiêu chuẩn được định nghĩa bởi ACLs đều bị hủy
Những có một số vấn đề với packet filtering
Các gói tin bất kỳ có thể được gửi đi mà nó phù hợp với các tiêu chuẩn của ACL thì sẽ đi qua được bộ lọc
Các gói tin có thể đi qua được bộ lọc theo từng đoạn
ACL phức tạp là rất khó thực thi và duy trì một cách đúng đắn
Một số dịch vụ không thể lọc
Trang 6Một Proxy server là một thiết bị tường lửa mà nó quyết định một gói tin tại lớp cao hơn của mô hình OSI Thiết bị này có giá trị ẩn dữ liệu bằng cách yêu cầu người sử dụng giao tiếp với một hệ thống bảo mật có nghĩa là một proxy Người
sử dụng dành quyền truy cập đến một mạng bằng cách đi qua một tiến trình, tiến trình đó sẽ thiết lập một trạng thái phiên, chứng thực người dùng và chính sách cấp quyền Điều này có nghĩa là người sử dụng kết nối đến các dịch vụ bên ngoài thông qua chương trình ứng dụng (proxies) đang chạy trên cổng dùng để kết nối đến vùng không được bảo vệ phía ngoài
Tuy nhiên cũng có những vấn đề với Proxy server bởi bì nó:
Tạo một cùng lỗi chung, nó có nghĩa là nếu cổng vào mạng bị sập thì sau
đó toàn bộ mạng cũng bị sập theo
Nó rất khó để thêm các dịch vụ mới vào tường lửa
Thực thi các ứng suất chậm
Trang 7Stateful packet filtering là một phương pháp được sử dụng bởi thiết bị tường lửa
PIX của Cisco Kỹ thuật này duy trì trạng thái phiên đầy đủ Mỗi khi một kết nối TCP/UDP được thiết lập cho các kết nối vào hoặc ra Thông tin này được tập hợp
trong Stateful session flow table
Stateful session flow table chứa địa chỉ nguồn và đích, số cổng, thông tin số thứ
tự TCP và thêm thông các cờ cho mỗi kết nốiTCP/UDP kết hợp với các phiên đó Thông tin này tạo nên các đối tượng kết nối và do đó các gói tin vào và ra được
so sánh với lưu lượng phiên trong Stateful session flow table Dữ liệu được phép
qua tường lửa chỉ khi nếu một kết nối thích hợp tồn tại đánh giá tính hợp pháp đi qua của dữ liệu đó
Phương pháp này có hiệu quả bởi vì:
Nó làm việc trên các gói tin và các kết nối
Nó hoạt động ở mức cao hơn so với packet filtering hoặc sử dụng proxy
Nó ghi dữ liệu trong một bảng cho mỗi kết nối Bảng này như là một điểm tham chiếu để xác địng gói tin có thuộc về một kết nối đang tồn tại hay không hoặc là từ một nguồn trái phép
Trang 8Tổng quan về PIX Firewall
Phần này sẽ thảo luận về các khái niệm cơ bản của PIX Firewall
PIX firewall là một yếu tố chính trong toàn bộ giải pháp an ninh end-to-end của
Cisco PIX Firewall là một giải pháp an ninh phần cứng và phần mềm chuyên dụng và mức độ bảo mật cao hơn mà không ảnh hưởng đến sự thực thi của hệ thống mạng Nó là một hệ thống được lai ghép bởi vì nó sử dụng cả hai kỹ thuật
packet filtering và proxy server
Không giống như các CPU tập trung thông thường, các server proxy full-time thực hiện xử lý mở rộng trên mỗi gói dữ liệu tại tầng ứng dụng; PIX Firewall sử dụng hệ điều hành thích hợp, nó đảm bảo sự bảo mật, là hệ điều hành thời gian thực, là hệ thống dạng nhúng
PIX Firewall cung cấp các đặc tính và các chứ năng sau:
Không giống như UNIX, đảm bảo sự bảo mật, là hệ điều hành thời gian thực, là hệ thống nhúng – Không như các CPU, những server proxy tập trung thông thường thực thi xử lý mở rộng trên mỗi gói dữ liệu, PIX Firewall là hệ thống thời gian thực, dạng nhúng nên nó tăng cường an ninh cho mạng
Trang 9 Apdaptive Security Algorithm (ASA) – thực hiện việc điều khiển các kết
nối stateful thông qua PIX Firewall
Cut – through proxy – Một người sử dụng phải dựa trên phương pháp chứng thực của các kết nối vào và ra cung cấp một hiệu suất cải thiện khi
so sánh nó với proxy server
Stateful failover – PIX Firewall cho phép bạn cấu hình hai đơn vị PIX Firewall trong một topo mà có đủ sự dư thừa
Stateful packet filtering – Một phương pháp bảo mật phân tích các gói dữ liệu mà thông tin nằm trải rộng sang một bảng Để một phiên được thiết lập thông tin về các kết nối phải kết hợp được với thông tin trong bảng PIX Firewall có thể vận hành và mở rộng cấp độ được với các ISPes, các ISPec bao gồm một lưới an ninh và các giao thức chứng thực như là Internet Key Exchange (IKE) và Public Key Infrastructure (PKI) Các máy clients ở xa có thể truy cập một cách an toàn đến mạng của công ty thông qua các ISPs của họ
Trang 10Cisco PIX firewall họ 500 có khả năng đáp ứng hàng loạt các yêu cầu và kích thước mạng và hiện tại bao gồm 5 kiểu: PIX Firewall 501, 506, 515, 525 và 535 Dòng 500 hỗ trợ một dải rộng các card mạng (NIC) Dòng 501 tích hợp 1 cổng 10BaseT và 4 cổng 10/100 switch Dòng 506 tích hợp 2 cổng 10BaseT Dòng
515 hỗ trợ 4 cổng 10/100 Ehthernet và bộ gia tốc VPN PIX Firewall 525 hỗ trợ
1 cổng đơn hoặc 4 cổng 10/100 Fast Ethernet, Gigabit Ethernet và bộ gia tốc VPN Dòng 535 hỗ trợ Fast Ethernet, Gigabit Ethernet và bộ gia tốc VPN
PIX Firewall vẫn được đảm bảo khi không nằm trong hộp Cài đặt mặc định cảu PIX Firewall là cho phép tất cả các kết nối từ cổng bên trong truy cập ra các cổng bên ngoài và khóa tất cả các kết nối từ các cổng bên ngoài vào bên trong Sau một vài thủ tục cài đặt và cấu hình khởi tạo của 6 lệnh cấu hình thông thường, PIX Firwall của bạn có thể hoạt động và bảo vệ hệ thống mạng cho bạn
Trang 11Cisco PIX 501 Firewall kích thước chỉ 10 x 6.25 x5.5 inch và nặng 0.75 pounds
Nó dùng cho các văn phòng nhỏ và các lao động từ xa Lý tưởng cho sự bảo mật tốc độ cao, môi trường băng thông rộng luôn được bật, Cisco PIX 501 Firewall cung cấp các đặc tính, sức mạnh cho mạng của các văn phòng nhỏ, có khả năng quản lý các thiết bị từ xa trong cùng một quy tắc, giải pháp tất cả trong một Cisco PIX 501 Firewall cung cấp một cách thức thuận tiện cho nhiều máy tính cùng chia sẻ một kết nối băng rộng Được thêm cổng console RS-32 (RJ-45)
9600 baud, nó còn được tích hợp cổng 10BaseT cho cổng ra, nó mô tả một nét
nổi bật là một auto –sening (khả năng tự động phán đoán) được tích hợp,
auto-MDIX 4 cổng 10/100 switch cho cổng vào Nhờ auto-auto-MDIX đã loại bỏ việc cần
thiết phải sử dụng cáp crossover với các thiết bị kết nối đến switch
Cisco PIX 501 Firewall cũng có thể đảm bảo an ninh cho tất cả các truyền thông mạng từ các văn phòng từ xa đến mạng của công ty thông qua Internet sử dụng các chuẩn của nó dựa trên Internet Key Exchange (IKE)/IP security (Ipsec) và khả năng của VPN Người sử dụng cũng có thể có được các mạng plug-and-play
Trang 12PIX Firewall DHCP server tự động gán địa chỉ mạng đến các máy tính khi chúng được bật nguồn
Cisco PIX 501 Firewall với một dịch vụ an ninh tích hợp đã khóa các lỗ hổng hoàn thiện hơn cho an ninh mức vật lý và chứa 8MB bộ nhớ Flash
PIX Firewall 506 được thiết kế cho các công ty dử dụng Internet dành lợi thế về giá cả và cho phép các công nhân làm việc từ xa Nó đưa ra cơ chế bảo vệ tường lửa toàn diện, còn bổ sung thêm khả năng của car mạng riêng ảo (VPN) PIX Firewall 506 có thể kết nối lên đến 25 mạng VPN ngang hàng cùng một lúc và cung cấp cho người sử dụng sự bổ sung đầy đủ chuẩn Ipsec Nó có 8MB bộn nhớ flash và tích hợp 2 cổng 10Base-T, có kích thước 8 x 12 x 1.7 inch và sử dụng
TFTP để cập nhật và download image
Trang 13PIX Firewall 515 được thiết kế cho các doanh nghiệp có kích thước vừa và nhỏ,
nó cung cấp một cơ chế bảo vệ toàn diện, còn bổ sung thêm cả khả năng của VPN IPsec với sự bổ sung đầy đủ chuẩn Ipsec Bạn có thể tạo và kết thúc một đường hầm VPN giữa hai PIX Firewall, giữa một PIX Firewall và bất cứ một router của Cisco có hỗ trợ VPN nào khác và giữa một PIX Firewall và Cisco Virtual Private Networks (CVPN) client PIX Firewall 515 cũng lý tưởng cho địa điểm từ xa mà chỉ yêu cầu hai cách truyền thông với mạng của công ty chúng PIX Firewall 515 hỗ trợ lên đến sáu cổng 10/100 Ethernet, còn bổ sung cả card gia tốc VPN Điều này cho phép cấu hình lưu lượng mạnh mẽ hơn như là thiết lập một DMZ bảo vệ hosting một website hoặc thực hiện lọc URL và phát hiện virus PIX Firewall 515 có thể được lắp đặt một cách linh động, nó có 16MB bộ
nhớ flash và sử dụng TFTP để download và cập nhật image
Trang 14PIX Firewall 520 dành cho các doanh nghiệp có cơ cấu tổ chức lớn và phức tạp,
có lưu lượng truyền thông lớn Nó cũng đưa ra cơ chế bảo mật đầy đủ, nó còn cung cấp thêm tính năng VPN IPsec cùng với sự thực thi đầy đủ của chuẩn Ipsec PIX Firewall 520 có một thiết kế khung dành cho doanh nghiệp, rất linh động, sử
dụng ổ đĩa mềm 3.5 inch để tải và cập nhật image Nó có 16Mb bộ nhớ Flash,
chạy phần mềm phiên bản 5.2 hoặc cao hơn
Chú ý: PIX Firewall 520 vì nó không sẵn có nên rất khó mua Thông tin đưa ra trong khóa học này chỉ là sự trợ giúp đối với khách hàng Người ta khuyến cáo nên thay thế sản phẩm này bằng PIX Firewall 525
Trang 15PIX Firewall 525 dành cho các doanh nghiệp và các nhà cung cấp dịch vụ sử
dụng Lý tưởng cho việc bảo vệ Headquarter’s perimeter của doanh nghiệp PIX
Firewall 525 cũng cung cấp cơ chế bảo mật toàn diện, còn cung thêm cả tính năng VPN IPsec
PIX Firewall 525 hỗ trợ các card mạng đa dạng Các chuẩn card bao gồm các cổng đơn hoặc 4 cổng 10/100 Fast Ethernet và Gigabit Ethernet (với UR license)
Với restriced licenes nó hỗ trợ 6 interface, với unrestriced licenes (UR) hỗ trợ 8
Trang 16PIX Firewall 535 dành cho các doanh nghiệp và các nhà cung cấp dịch vụ sử dụng Nó có thông lượng là 1.7 Gbps và có khả năng quản lý đồng thời 500,000 kết nối, hỗ trợ cả hai dạng ứng dụng VPN là site-to-site và remote access thông qua 56-bit DES hoặc 168-bit 3DES Các chức năng VPN được tích hợp trong PIX Firewall 535 có thể được thực thi với một card gia tốc VPN, nó cung cấp thông lượng là 96Mbps đối với 3DES và 2000 đối với đường hầm IPSec
PIX Firewall 535 hỗ trợ Fast Ethernet, Gigabit Ethernet và giao diện bộ gia tốc VPN Một PIX Firewall 535 chỉ được cấu hình với giao diện Gigabit Ethernet sẽ
không có khả năng nây cấp một Activation key Nâng cấp Activation key yêu cầu
kiểm tra kiểu cho tất cả hệ thống không dùng ổ đĩa mềm Việc kiểm tra kiểu không hỗ trợ giao diện Gigabit Ethernet Một giao diện Fast Ethernet cần được cài đặt để sử dụng kiểm tra kiểu Nếu một PIX Firewall 535 chỉ có giao diện Gigabit Ethernet, thêm một giao diện Fast Ethernet cùng với các đơn vị sẵn có vì
thế mà Activation key có thể được nâng cấp
Chú ý: Nếu sau khi cấu hình PIX Firewall cho card Gigabit Ethernet, bạn thay thế card này bằng card 10/100 Ethernet thì thứ tự của card trong cấu hình sẽ bị thay đổi so với cấu hình ban đầu Ví dụ, nếu bạn cấu hình ethernet0 cho card Gigabit Ethernet được gán cho giao diện bên trong và thay thế card này bằng card 10/100 Ethernet, khi đó card 10/100 Ethernet có thể cũng không xuất hiện như là ethernet0
PIX Firewall 535 có 16MB bộ nhớ Flash và hỗ trợ các phần mềm tường lửa PIX
Trang 17Các hệ điều hành thuộc bản quyển của Cisco nó không như UNIX hay Window
NT, nó giống như hệ điều hành IOS (hệ điều hành mạng) Nó khéo léo loại trừ các rủi ro kết hợp với hệ điều hành đa năng Nó cho phép PIX Firewall đưa ra hiệu suất nổi bật với 500,000 kết nối đồng thời, lớn hơn bất kỳ một tường lửa dựa trên nền UNIX nào
Trang 18Cái cốt lõi của PIX Firewall đó chính là Adaptive Security Algorithm (ASA –
thuật toán an ninh thích ứng) ASA sẽ duy trì an ninh vành đai giữa các mạng được điều khiển bởi PIX Firewall Thiết kế stateful, connection-oriented (kết nối
được định hướng) ASA tạo ra các session flows (lưu lượng phiên) dựa trên địa
chỉ nguồn và đích Chỉ số cổng, số thứ tự TCP được đánh một cách ngẫu nhiên
và các cờ TCP được thêm vào trước khi hoàn thành kết nối Chức năng này luôn được hoạt động, kiểm tra các gói tin quay trở lại để chắc chắn chúng không bị lỗi
và nó cho phép một đường kết nối (inside to outside) mà không được cấu hình một cách rõ ràng cho mỗi một hệ thống bên trong và ứng dụng Việc đánh số một cách ngẫu nhiên số thứ tự gói tin TCP nhằm cực tiểu hóa rủi ro của việc tấn công vào chỉ số thứ tự TCP
Stateful packet filtering là một phương pháp bảo mật phân tích gói dữ liệu mà
thông tin của nó nằm rải rộng ở nhiều vị trí về gói dữ liệu sang một bảng Vào mỗi lúc một kết nối TCP được thiết lập cho kết nối vào và ra thông qua PIX
Firewall, thông tin về kết nối là thành phần trong bảng stateful session flow Mỗi
một phiên được thiết lập, thông tin về kết nối cần phải được kết hợp với thông tin
lưu trữ trong bảng đó Với hê phương pháp này, stateful filter làm việc trên kết
nối chứ không làm việc trên gói tin, làm cho nó có độ bảo mật cao hơn, các session của nó không bị tấn công
Trang 19 Đạt được các chỉ số nhận dạng phiên, địa chỉ IP và các cổng cho mỗi một kết nối TCP
Logs the data in a stateful session flow table and creates a session object
So sánh gói tin vào ra dựa trên session flow trong bảng kết nối
Chỉ cho phép gói dữ liệu đi qua PIX Firewall nếu một kết nối thích hợp tồn tại để xác nhận tính hợp lệ của việc chuyển qua nó
Tạm thời thiết lập một đối tượng kết nối cho đến khi kết nối kết thúc
Cut-through proxy là một phương pháp kiểm tra trong suốt ID của người sử dụng
tại firewall, nó cho phép hoặc không cho phép truy cập đến bất kỳ TCP hoặc UDP nào dựa trên ứng dụng Điều này cũng được biết như người sử dụng dựa trên việc chứng thực các kết nối vào ra Nó không giống như proxy server phân tích tất cả các gói tin tại lớp ứng dụng trong mô hình OSI PIX Firewall đầu tiên
là chặn người sử dụng ở tầng ứng dụng Sau đó người sử dụng được chứng thực
và các chính sách an ninh được kiểm tra PIX Firewall chuyển session flow đến
lớp thấp hơn trong mô hình OSI tạo ra hiệu suất nhanh lên đáng kể Điều này cho
