Write erase, wirte memory và write team – Được sử dụng để hiển thị cấu hình hệ thống và lưu trữ cấu hình dữ liệu mới Show interface, show ip address, show memory, show version và sh
Trang 2Các lệnh duy trì thông thường của PIX Firewall
Phần này sẽ đưa ra các kiểu truy cập và các lệnh kết hợp với hoạt động của PIX Firewall
PIX Firewall chứa tập các lệnh dựa trên hệ điều hành Cisco IOS và cung cấp 4 chế
độ truy cập:
Unprivileged mode (chế độ truy cập không đặc quyền) – Chế độ này sẽ sẵn
có khi bạn lần đầu tiên truy cập vào PIX Firewall Từ dấu nhắc > được hiển
thị, chế độ này cho phép bạn xem các thiết lập một cách hạn chế
Privileged mode (chế độ đặc quyền) – Chế độ này hiển thị dấu nhắc # và cho
phép bạn thay đổi cài đặt hiện tại Bất kỳ lệnh trong chế độ không đặc quyền nào đều có thể làm việc trong chế độ đặc quyền
Configuration mode (chế độ cấu hình) – Chế độ này hiển thị dấu nhắc
(config)# và cho phép bạn thay đổi cấu hình hệ thống Tất cả các lệnh đặc
quyền, không đặc quyền và lệnh cấu hình đều làm việc ở chế độ này
Monitor mode (chế độ theo dõi kiểm tra) – Đây là một chế độ đặc biệt nó cho
phép bạn cập nhật image trên mạng Trong chế độ này bạn có thể nhập các lệnh chỉ định vị trí của TFTP server và image nhị phân để download
Trang 3Trong mỗi một kiểu truy cập, bạn có thể rút gọn một cách tối đa câu lệnh xuống chỉ
còn một vài ký tự riêng biệt của câu lệnh đó Ví dụ bạn có thể nhập write t để xem cấu hình thay vì phải nhập câu lệnh đầy đủ write terminal Bạn có thể nhập en thay cho enable để bắt đầu chế độ đặc quyền, co t thay cho configuration terminal để
bắt đầu chế độ cấu hình
Thông tin trợ giúp luôn sẵn có trong dòng lệnh của PIX Firewall bằng cách nhập
help hoặc ? để liệt kê tất cả các lệnh Nếu bạn nhập help hoặc ? sau một lệnh (ví dụ router), thì cú pháp lệnh router sẽ được liệt kê ra Số các lệnh được liệt kê ra khi
bạn dùng dấu hỏi hoặc từ khóa help là khác nhau ở các chế độ truy cập vì vậy mà chế độ không đặc quyền sẽ đưa ra các lệnh ít nhất và chế độ cấu hình sẽ đưa ra số lệnh nhiều nhất Hơn nữa bạn có thể nhập bất cứ một lệnh nào (chính nó)ở trên dòng lệnh và sau đó ấn phím Enter để xem cú pháp lệnh
Chú ý: bạn có thể tạo một cấu hình của riêng mình trên một trình soạn thảo văn bản
sau đó cut và paste nó sang phần cấu hình Bạn có thể paste cấu hình đó một dòng
một lần hoặc toàn bộ một lần Nhớ là phải luôn kiểm tra cấu hình của bạn sau khi
paste một khối lớn văn bản để chắc chắn là mọi thứ đã được copy
Trang 4Có một số lệnh duy trì thông thường của PIX Firewall:
Lệnh Enable, enable password và passwd – Được sử dụng để truy cập vào
phần mềm PIX Firewall để thay đổi mật khẩu
Write erase, wirte memory và write team – Được sử dụng để hiển thị cấu
hình hệ thống và lưu trữ cấu hình dữ liệu mới
Show interface, show ip address, show memory, show version và show xlate – Được sử dụng để kiểm tra cấu hình hệ thống và thông tin thích hợp
khác
Exit và reload – Được sử dụng để thoát một chế độ truy cập, tải lại một cấu
hình và khởi động lại hệ thống
Hostname, ping và telnet – Được sử dụng để xác định nếu một địa chỉ IP
khác tồn tại, thay đổi hostname, chỉ định host cục bộ cho PIX Firewall và giành quyền truy cập console
Trang 5Lệnh enable cho phép bạn vào chế độ truy cập đặc quyền, sau khi bạn nhập enable,
PIX Firewall sẽ nhắc bạn mật khẩu để truy cập vào chế độ đặc quyền Mặc định thì mật khẩu này không yêu cầu vì thế mà bạn ấn phím Enter, sau khi bạn vào chế độ
đặc quyền hãy để ý dấu nhắc sẽ thay đổi sang ký hiệu # Khi bạn gõ configure terminal nó sẽ đưa bạn vào chế độ cấu hình và dấu nhắc thay đổi sang (config)#
Để thoát và quay trở về chế độ trước đó, sử dụng lệnh disable, exit hoặc quit
Trang 6Lệnh enable password thiết lập mật khẩu truy cập vào chế độ đặc quyền Bạn sẽ được nhắc mật khẩu này sau khi nhập lệnh enable (Khi PIX Firewall khởi động và
bạn nhập vào chế độ đặc quyền thì sẽ xuất hiện dấu nhắc để nhập mật khẩu)
Không có mật khẩu mặc định do đó bạn có thể ấn phím enter tại dấu nhắc mật khẩu
hoặc bạn có thể tạo ra mật khẩu do bạn chọn Mật khẩu phân biệt chữ hoa và chữ thường, hỗ trợ độ dài lên đến 16 ký tự chữ số Bất kỳ ký tự nào cũng có thể được sử dụng lọai trừ dấu chấm hỏi, dấu cách và dấu hai chấm
Nếu bạn thay đổi mật khẩu, bạn nên ghi lại va lưu trữ nó ở một nơi thích hợp Sau khi bạn thay đổi mật khẩu thì bạn không thể xem lại nó bởi vì nó đã được mã hóa
Lệnh show enable password chỉ đưa ra dạng mật khẩu đã được mã hóa Sau khi
mật khẩu đã bị mã hóa chúng không thể đảo ngược lại dạng văn bản thông thường
Lệnh passwd cho phép bạn thiết lập mật khẩu Telnet truy cập vào PIX Firewall Mặc định giá trị này là Cisco
Chú ý: Bất kỳ một mật khẩu rỗng nào cũng được thay đổi thành một xâu mã hóa
Trang 7Lệnh write cho phép bạn ghi (lữ trữ) cấu hình hệ thống vào bộ nhớ, hiển thị cấu hình hệ thống và xóa các cấu hình hiện tại Dưới đây là các lệnh write:
write net – Lưu trữ cấu hình hệ thống thành một file trên TFTP server hoặc
trong mạng
write earse – Xóa cấu hình bộ nhớ flash
write floppy – Lữ trữ cấu hình hiện tại vào đĩa mềm (PIX Firewall 520 và
các model trước đó có ổ đĩa mềm 3.5-inch)
Chú ý: Nếu bạn định dạng ổ đĩa mềm từ hệ điều hành Window, chọn kiểu định dạng full-format và không được chọn quick-format Ổ đĩa mềm bạn tạo có thể chỉ được
đọc hoặc ghi bởi PIX Firewall Nếu bạn sử dụng lệnh write floppy với một đĩa mềm
mà nó không phải là đĩa khởi động của PIX Firewall, không được để nó ở trong ổ đĩa bởi vì nó sẽ ngăn cản quá trình khởi động lại của PIX khi xảy ra lỗi ở nguồn hoặc hệ thống load lại Chỉ một bản copy của cấu hình có thể được lưu trữ trên đĩa mềm
write memory – Ghi cấu hình đang chạy (hiện tại) vào bộ nhớ Flash
Trang 8 write standby – Ghi cấu hình được lưu trong Ram trên active failover PIX
Firewall, vào RAM trên standby PIX Firewall Khi PIX Firewall hoạt động (active PIX Firewall) khởi động ghi cấu hình vào PIX dự phòng Sử dụng lệnh này để ghi cấu hình của active PIX Firewall sang standby PIX Firewall
Write teminal – Hiển thị cấu hình hiện tại trên thiết bị đầu cuối
Dưới đây là các lệnh Telnet khác:
telnet – Cho phép bạn chỉ định host có thể truy cập đến PIX Firewall thông
qua Telnet Bạn có thể chỉ định một host trên một mạng bên trong bất kỳ nhưng bạn không thể chỉ định host trên mạng phía ngoài Hỗ trợ lên đến 16 host hoặc mạng cho phép truy cập đồng hời đến PIX Firewall thông qua Telnet
Show telnet – Hiển thị danh sách các địa chỉ IP hiện tại được phép truy cập
vào PIX Firewall thông qua telnet
Trang 9 Clear telnet and no telnet – Di chuyển đến phiên telnet truy cập từ một địa
chỉ IP trước đó
Telnet timeout – Thiết lập thời gian cực đại một phiên telnet có thể không
được sử dụng trước khi nó bị kết thúc bởi PIX Firewall
Kill – Kết thúc một phiên telnet Khi bạn kết thúc một phiên telnet, PIX
Firewall sẽ ngăn chặn mọi lệnh kích hoạt và sau đó hủy kết nối mà không cảnh báo người sử dụng
Who – Cho phép bạn hiển thị địa chỉ IP hiện tại đang truy cập vào PIX
Firewall thông qua telnet Dưới đây là cú pháp của các lệnh này:
telnet ip_address [netmask] [if_name]
clear telnet [ip_address [netmask] [if_name]]
no telnet [ip_address [netmask] [if_name]]
telnet timeout minutes
kill telnet_id
who local_ip
Ip_address Một địa chỉ IP của một host hoặc mạng mà có thể Telnet đến
PIX Firewall Nếu không đưa ra tên giao diện (if_name) thì mặc định sẽ là giao diện phía trong (mạng bên trong) PIX Firewall tự động kiểm tra địa chỉ IP dựa trên địa chỉ IP được
nhập bởi lệnh ip address để đảm bảo rằng địa chỉ bạn đưa ra
thuộc về mạng bên trong Nếu tên giao diện được đưa ra thì PIX Firewall chỉ kiểm tra host dựa trên giao diện bạn chỉ định
Netmask Mặt nạ mạng của địa chỉ IP Để giới hạn truy cập đến một địa
chỉ IP đơn thì sử dụng 255 cho mỗi octet( ví dụ,
Trang 10là 255.255.255.255 đối với lớp local_ip (ip cục bộ) Không sử dụng mặt nạ mạng con của mạng bên trong Mặt nạ mạng chỉ là
một bit mask cho địa chỉ IP trong ip address If_name Nếu Ipsec đang hoạt động, PIX Firewall cho phép bạn đưa ra
một tên giao diện không đảm bảo Thông thường là mạng phía
ngoài Tối thiểu thì lệnh cryto map cần được cấu hình để đưa
ra tên một giao diện với lệnh Telnet
Minutes Số phút mà phiên telnet có thể không sử dụng đến trước khi bị
đóng bởi PIX Firewall Mặc định là 5 phút Hỗ trợ từ 1-60 phút
telnet_id Định danh phiên telnet
local_ip Một tùy chọn địa chỉ ip bên trong để giới hạn danh sách đến
một địa chỉ ip hoặc một địa chỉ mạng
Trang 11
Các lệnh http cho phép bạn kích hoạt PIX Firewall HTTP server và chỉ định các
client được phép truy cập đến nó HTTP server cần được kích hoạt để cấu hình và kiểm tra PIX Firewall thông qua trình quản lý thiết bị PIX (PDM ~ PIX Device Manager) PDM được thảo luận trong chương 16
Sử dụng lệnh http server enable để kích hoạt PIX Firewall’s HTTP server Chỉ định các client được phép truy cập đến nó với lệnh http ip_address Cả 2 lệnh này đều có thể được vô hiệu hóa bằng cách sử dụng lệnh no của chúng Lệnh clear http
sẽ gỡ bỏ tất cả các host HTTP và vô hiệu hóa server
Dưới đây là cú pháp các lệnh http
http ip_address [netmask] [if_name]
http server enable
Ip_address Chỉ định host hoặc là mạng có quyền
khởi tạo một kết nối đến PIX Firewall
Trang 12ip_address Nếu bạn không đưa ra mặt
nạ mạng thì mặc địng sẽ là 255.255.255.255 đối với lớp địa chỉ ip
If_name tên giao diện PIX Firewall trên host
hoặc mạng khởi tạo vùng kết nối HTTP Mặc định if_name là inside
Lệnh hostname thay đổi nhãn trên dấu nhắc hostname có thể hỗ trợ lên tới 16 ký
tự alpha và chữ hoa, chữ thường mặc định thì hostname là pixfirewall
Trang 13Lệnh ping được sử dụng nếu PIX Firewall đã được kết nối hoặc nếu tồn tại một
host (được nhận diện bởi PIX Firewall ) trên mạng Nếu host tồn tại trên mạng thì lệnh ping nhận được còn nếu không thì sẽ có thông báo “NO response received”
(lúc này bạn sử dụng lệnh show interface để đảm bảo rằng PIX Firewall đã được được kết nối đến mạng và đã thông lưu lượng) Mặc định lênh ping sẽ cố gắng ping
đến host đích 3 lần
Nếu bạn muốn các host bên trong có thể ping ra các host bên ngoài, bạn cần tạo ống dẫn ICMP cho thông tin phản hồi Điều này sẽ được thảo luận trong một chương khác
Nếu bạn ping thông qua một PIX Firewall giữa 2 host hoặc router và lệnh ping là
không thành công, sử dụng lệnh degug icmp trace để kiểm tra sự thành công của
lệnh ping
Sau khi PIX Firewall được cấu hình và hoạt động, bạn sẽ không thể ping đến giao diện bên trong (mạng bên trong) của PIX Firewall từ mạng bên ngoài hoặc từ giao diện bên ngoài (outside interface) của PIX Firewall Nếu bạn có thể ping những mạng bên trong từ giao diện bên trong và nếu bạn có thể ping những mạng bên ngoài từ giao diện bên ngoài thì PIX Firewall đã thực hiện được đúng chức năng thông thường của nó
Trang 14Lệnh show cho phép bạn hiển thị các thông tin lệnh Lệnh này thường kết hợp với các lệnh khác để hiển thị thông tin hệ thống của lệnh đó Bạn có thể nhập show cùng với ? để xem tên của các lệnh hiển thị và mô tả về chúng Dưới đây là ví dụ
của các lệnh show khác nhau
Show history – hiển thị các dòng lệnh trước đó
Show memory – hiển thị tổng quan bộ nhớ vật lý tối đa và bộ nhớ hiện tại
còn trống của PIX Firewall
Show vesion – cho phép bạn hiển thị phiên bản phần mềm của PIX Firewall,
thời gian hoạt động tính từ lần khởi động lại gần đây nhất, kiểu bộ vi xử lý, kiểu bộ nhớ flash, giao diện bảng mạch và số serial (BISO ID)
Note: số serial được liệt kê với lệnh show version trong phiên bản 5.2 và các phiên bản
sau là bộ nhớ flash BIOS Số này khác với số serial ở trên khung của PIX Firewall Khi
bạn nâng cấp phần mềm, bạn sẽ cần đến số xuất hiện trong lệnh show version chứ không
phải là số ghi trên khung của PIX
Trang 15 Show xlate – hiển thị thông tin khe dịch
Show cpu usage – hiển thị CPU được sử dụng Lệnh này sử dụng ở chế độ
cấu hình hoặc chế độ đặc quyền
Trong ví dụ đưa ra dưới đây của lệnh show cpu usage, p1 là phần trăm của CPU
được sử dụng cho 5 giây, p2 là phần trăm trung bình của CPU trong 1 phút, và p3 là phần trăm CPU trung bình khởi tạo trong 5 phút
CPU utilization for 5 seconds: p1%; 1 minute: p2%; 5 minutes: p3%
Phần trăm sử dụng hiển thị là NA (not available) nếu CPU không sử dụng vào bất
cứ khoảng thời gian nào Điều này có thể xảy ra nếu người sử dụng yêu cầu thông tin sử dụng CPU trước khoảng thời gian khởi tạo 5 giây, 1 phút, hoặc 5 phút
Trang 16Lệnh show interface cho phép bạn hiển thị thông tin giao diện mạng đây là lệnh
đầu tiên mà bạn sẽ sử dụng khi thử thiết lập một kết nối
Dưới đây là những giải thích về thông tin được hiển thị khi nhập lệnh show interface:
Ethernet – cho thấy bạn có sử dụng lệnh interface để cấu hình interface
Trạng thái cho thấy interface là inside hay outside và đang “up” hay “down”
Line protocol up – một cáp đang hoạt động đã được cắm vào giao diện mạng
Line protocol down – Một trong 2 cáp được cắm vào giao diện mạng không đúng hoặc là chưa được cắm vào đầu nối giao diện
Network interface type – nhận dạng giao diện mạng
Interrup vector – nó có thể chấp nhận card giao diện có cùng ngắt, bởi vì PIX Firewall sử dụng ngắt để lấy thông tin của Token Ring, nhưng nó cũng lấy thông tin của cả Ethernet cards
MAC address – những card intel bắt đầu bằng chữ “I” và card 3Com bắt đầu với “3c”
MTU (maximum transmission unit) – kích thước tính bằng bytes mà dữ liệu
có thể truyền tốt nhất trên mạng
Packet input – cho biết các gói tin đang được nhận trong PIX Firewall
Packet output - cho biết các gói tin đang được gửi từ PIX Firewall
Line duplex status – cho biết PIX Firewall đang chạy ở chế độ song công hoàn toàn hay bán song công
Line speed – 10baseT được liệt kê là 10000Kbit 100baseT là 100000Kbit
Dưới đây là phần giải thích của lệnh show interface mà nó có thể chỉ ra các vấn đề
về interface
No buffer – Cho thấy PIX Firewall thiếu bộ nhớ hoặc bị chậm xuống do băng thông quá tải và không thể theo kịp với việc nhận dữ liệu
Runts – Các gói tin với thông tin ít hơn mong đợi
Gaints - Các gói tin với thông tin nhiều hơn mong đợi
CRC (cyclic redundancy check) – các gói tin chứa dữ liệu bị hỏng (checksum error)
Trang 17 Frame error – chỉ ra các frame bị lỗi
Ignored and aborted error – Thông tin này được cung cấp cho việc sử dụng trong tương lai, hiện tại không được kiểm tra, PIX Firewall không bỏ qua hoặc hủy bỏ frames
Underruns – xảy ra khi PIX Firewall tràn ngập và không thể nhận dữ liệu đủ nhanh cho card giao diện mạng
Overruns – xảy ra khi card giao diện mạng bị tràn ngập và không thể nhận thông tin vào bộ đệm trước khi nó được gửi đi
Unicast rpf drops – Xảy ra khi gói tin được gửi đến một mạng đích đơn sử dụng đường dẫn ngược lại sẽ bị hủy
Output error – (Maximum collisions) – số các frame không được truyền bởi
vì được cấu hình số lượng tối đa miền đụng độ bị vượt giới hạn Bộ đếm này chỉ tăng khi mà lưu lượng mạng lớn
Collisions – (Single and multiple collision) Số lượng các thông điệp được truyền lại do đụng độ Điều này thường xảy ra trên các LAN mở rộng khi Ethernet hoặc cáp của thiết bị thu phát quá dài, tại đó có nhiều hơn 2 repeater giữa các trạm, hoặc thiết bị thu phá có nhiều cổng xếp tầng nhau Một gói tin bị xung đột chỉ được đếm một lần bởi các gói đầu ra
Interface resets – Lượng thời gian một giao diện bị reset Nếu mộ giao diện không thể truyền được trong 3 giây, PIX Firewall sẽ reste giao diện đó để khởi động lại việc truyền Trong suốt khoảng thời gian này trạng thái kết nối được duy trì Một giao diện được reset cũng có thể xảy ra khi một giao diện được lặp trở lại hoặc bị shutdown
Late collisions – Số lượng các frame không được truyền bởi vì một đụng độ
đã xảy ra bên ngoài cửa sổ đụng độ thông thường Một đụng độ trễ (late collisions) kaf một đụng độ mà được phát hiện trễ trong việc truyền các gói tin Thông thường điều này sẽ không bao giờ xảy ra Khi 2 host Ethernet cố gắng giao tiếp cùng lúc, chúng sẽ sớm đụng độ và cả 2 truyền lại hoặc host
thứ 2 sẽ xem như host thứ nhất đang truyền và chờ
Nếu bạn nhận được một đụng độ trễ, một thiết bị là jummping và cố gắng gửi
Trang 18không gửi lại gói tin bởi vì nó có thể có bộ đệm trống giữ phần đầu của gói tin
Deferred – Số các frame bị hoãn lại trước khi truyền do hoạt động trên các liên kết
Lost carrier – Thời gian tín hiệu mang bị mất trong khi truyền
Input queue – Đây là hàng đợi vào (nhận) của phần cứng và phần mềm
Output queue - Đây là hàng đợi ra (truyền) của phần cứng và phần mềm
Trang 19Lệnh Show ip address cho phép bạn xem địa chỉ IP được gán đến giao diện mạng
Địa chỉ IP hiện tại giống như là địa chỉ IP hệ thống trên failover active (PIX active) Khi active unit bị lỗi, địa chỉ IP hiện tại trở thành đơn vị chuẩn (địa chỉ IP hệ thống)
Trang 20Sử dụng lệnh Name cho phép bạn cấu hình một danh sách các ánh xạ tên đến địa
chỉ IP trên PIX Firewall Điều này cho phéo sử dụng tên trong cấu hình thay cho địa chỉ IP Bạn có thể chỉ định tên sử dụng cú pháp dưới đây:
name ip_address name
đặt tên với các ký tự từ a-z, A-Z, 0-9, dấu gạch và dấu gạch dưới Tên không thể bắt đầu bằng số Nếu một tên trên
16 ký tự thì lệnh sẽ lỗi
Cho phép đặt tên với các ký tự từ a-z, A-Z, 0-9, dấu gạch và dấu gạch dưới Tên không thể bắt đầu bằng số Nếu một tên trên 16 ký tự thì lệnh sẽ lỗi Sau khi tên được định nghĩa nó có thể được sử dụng trong bất kỳ lệnh PIX Firewall nào tham
chiếu đến một địa chỉ IP Lệnh names cho phép sử dụng lệnh name Lệnh clear names và no names là giống nhau Lệnh show name lieetk kê các trạng thái lệnh name trong cấu hình
Trang 21Mức độ an ninh ASA ( ASA Security Levels)
Phần này sẽ thảo luận về Adaptive Security Algorith (ASA) và ASA security levels
ASA là một cách tiếp cận an ninh toàn diện Mọi gói tin bên trong đều được kiểm tra dựa trên ASA và dựa trên thông tin trạng thái kết nối trong bộ nhớ PIX Firewall Tri thức của ASA là cơ sở để thực hiện an ninh truy cập mạng bởi vì nó thực hiện các nhiệm vụ sau:
Thực hiện điều khiển kết nối toàn diện thông qua PIX Firewall
Cho phép một đường kết nối (từ inside đến outside) không thể hiện cấu hình của mỗi ứng dụng hệ thống bên trong
Kiểm tra các gói tin quay trở lại để đảm bảo rằng chúng không bị lỗi
Làm ngẫu nhiên số thứ tự TCP để giảm thiểu hóa nguy cơ tấn công ASA duy trì an ninh vành đai giữa các mạng được điều khiển bởi PIX Firewall Stateful connection-oriented ASA được thiết kết để tạo ra các session flows dựa trên địa chỉ nguồn và đích ASA làm ngẫu nhiên trình tự số TCP, số cổng và cở TCP trước khi hoàn thành kết nối Chức năng này luôn luôn chạy, kiểm tra các gói tin quay trở lại để đảm bảo chúng không bị lỗi
Trang 22Mức độ an ninh chỉ định một giao diện là inside (tin cậy) hoặc outside (không tin cậy) liên quan đến một giao diện khác Một giao diện được quyết định là inside trong quan hệ với giao diện khác nếu nó có mức độ an ninh cao hơn mức độ an ninh của giao diện khác đó và ngược lại thì nó là outside
Nhiệm vụ chính của mức độ an ninh đó là: với một giao diện có mức độ an ninh cao hơn có thể truy cập đến giao diện có mức độ an ninh thấp hơn Ngược lại một giao diện có mức độ an ninh thấp hơn thì không thể truy cập đến giao diện có mức độ an
ninh cao hơn mà không conduit (được thảo luận ở chương sau) Dải mức độ an
ninh là từ 0 đến 100 và dưới đây là những nhiệm vụ cụ thể hơn của các mức độ an ninh này:
Mức độ an ninh 100 – Đây là mức độ an ninh cao nhất cho giao diện inside của PIX Firewall Đây là thiết lập mặc định cho PIX Firewall và không thể thay đổi Bởi vì 100 là mức độ an ninh giao diện tin cậy nhất, mạng của công
ty sẽ được thiết lập ở phía sau nó Vì vậy mà không có cái nào có thể truy cập được nó trừ khi nó được phép Và vì vậy mà các thiết bị phía sau giao diện này có thể truy cập ra ngoài
Mức an ninh 0 – Đây là mức an ninh thấp nhất cho giao diện outside của PIX Firewall Đây là thiết lập mặc định của PIX Firewall và không thể thay
Trang 23lập mạng không tin cậy nhất phía sau giao diện này Vì vậy mà nó không có
sự truy cập đến các giao diện khác trù khi nó được cho phép Giao diện này thường được dùng cho các kết nối Internet
Mức an ninh từ 1-99 – Đây là mức an ninh mà bạn có thể gán cho các giao diện vành đai kết nối đến PIX Firewall Bạn gán mức an ninh dựa trên kiểu truy cập bạn muốn cho mỗi thiết bị
Dưới đây là ví dụ các giao diện khác nhau kết nối giữa PIX Firewall và các thiết bị vành đai khác
More secure interface (mức an ninh cao hơn) đến giao diện mức an ninh thấp hơn – Lưu lượng từ giao diện inside của PIX Firewall với mức an ninh 100 đến giao diện outside của PIX Firewall với mức an ninh 0, quy tắc: cho phép tất cả các lưu lượng trừ khi chúng bị ngăn chặn bởi access list (danh sách truy cập), authentication (chứng thực) hoặc authorization (cấp phép)
Less secure interface (mức an ninh thấp hơn) đến một giao diện mức an ninh cao hơn – lưu lượng từ giao diện outside của PIX Firewall với mức an ninh 0 đến giao diện inside của PIX Firewall với mức an ninh 100, quy tắc: hủy tất
cả gói tin trù khi nó được chỉ định là được phép bởi lệnh conduit Sự ngăn
chặn hơn nữa nếu sử dụng chứng thực và cấp phép
Lưu lượng đến một giao diện có mức an ninh bằng nhau – không có lưu lượng giữa 2 giao diện có mức an ninh như nhau
Dưới đây là bảng giải thích cho sơ đồ trong hình vẽ trước
Note: PIX Firewall có thể có tới 6 mạng vành đai trong tổng số 8 giao diện
