ĐÀO TẠO Bảo mật - Cisco Firewall

ĐÀO TẠOBảomật - Cisco Firewall

Lịchhọc Ngày 1 Ngày 2 Ngày 3 Nội Dung Mục Tiêu Lịch Học: Trong 5 ngày Sáng từ 9h-11h30 Chiều từ 14h-16h30 Bài 2: Các bước đầu làm quen và cấu hình thiết bị bảo mật của Cisco (continue) Bài 3: Quản lý thiết bị bảo mật cisco ASA Bài 4: Access Control Lists Bài 1 : Tổng quan về Cisco Firewall Bài 2: Các bước đầu làm quen và cấu hình thiết bị bảo mật của Cisco Bài 5: Cisco Adaptive Security Device Manager Bài 6: Firewall Switch Modules (FWSM) Sáng 8h30-11h30 Lý thuyết Bài 1 :Thiết lập console đến thiết bị firewall Bài 2: Thực hiện một số câu lệnh cơ bản Bài 3: Cấu hình các interface Bài 4: Cấu hình NAT và cấu hình Định tuyến Bài 5: Kiểm tra kết nối tới các cổng Inside, Outside, và DMZ Bài 6 :Cấu hình Access-lists (ACLs) trên firewall Chiều 14h-17h00 Thực hành Bài 7: Quản trị Cisco firewall

Giớithiệu • Người trình bày: • Họ Tên • Vị trí công tác • Kinh nghiệm • Học viên giới thiệu • Họ tên • Vị trí công tác • Những kinh nghiệm về bảo mật mạng…

Bài 1Tổngquanvề Cisco Firewall

Firewall làgì ? DMZ Vùng mạng Internet Outside Vùng mạng Inside Vùng mạng Firewall là một hệ thống hoặc một nhóm các hệ thống Kiểm soát quyền truy cập giữa hai hoặc nhiều vùng mạng. .

Cáccôngnghệvề Firewall Firewall hoạt động được dựa trên một trong ba công nghệ : • Packet filtering • Proxy server • Stateful packet filtering

Packet Filtering DMZ: Server B Inside: Server C DataA B Host A Internet Data A C AB-Yes AC-No Việc Kiểm soát truy nhập thông tin dựa vào địa chỉ nguồn Và địa chỉ đích của gói tin gửi đến

Proxy Server Proxy Server Internet Inside Network Outside Network Các kết nối từ được thông qua một máy chủ đại diện trung gian.

Stateful Packet Filtering DMZ: Server B Inside: Server C Data HTTP A B Host A Internet Việc Kiểm soát truy nhập thông tin không chỉ dựa vào địa chỉ nguồn Và địa chỉ đích của gói tin gửi đến mà còn dựa vào bảng trạng thái (state table) State Table Source address 10.0.0.11 192.168.0.20 Destination address 172.16.0.50 172.16.0.50 Source port 1026 1026 Destination port 80 80 Initial sequence no. 49091 49769 Ack Flag Syn Syn

Hệthốngbảomậtcủa Cisco Hệthốngbảomậtcủaciscocungcấpgiảipháp an ninh , bảomậthướngtớicácđốitượngkháchhàng. Mộtsốtínhnăngcủathiếtbị an ningbảomậtcủacisconhưsau: • Hệđiềuhànhriêngbiệt • Stateful packet inspection • Xácthựcngườidùng • Theo dõi, giámsátcácứngdụngvàgiaothức • Modular policy framework • Mạngriêngảo (VPN) • Cácngữcảnhbảomật (các firewall ảo) • Stateful failover • Transparent firewalls • Quảntrịdựatrêngiaodiện web

Hệđiềuhànhriêngbiệt Việc sử dụng hệ điều hành riêng biệt loại trừ được các nguy cơ bảo mật khi sử dụng chung với các hệ điều hành khác

Stateful Packet Inspection • Giải thuật kiểm tra gói tin -statefull packet inspection cung cấp các kết nối bảo mật . • Mặc định, giải thuật này cho phép kết nối từ máy vùng trong (cấp độ bảo mật cao hơn) sang các vùng có cấp độ bảo mật thấp hơn • Mặc định, giải thuật này chặn các kết nối từ máy vùng ngoài (cấp độ bảo mật thấp hơn ) sang các vùng có cấp độ bảo cao hơn • Giải thuật này hỗ trợ xác thực, ủy quyền và theo dõi.

Nhậndiệnứngdụng FTP Server Client Data Port20 Control Port 21 Control Port 2008 Data Port 2010 Data - Port 2010 Port 2010 OK Data • Cá giao thưc như FTP, HTTP, H.323, and SQL*Net cần các kết nối từ Nhiều port khác nhau để truyền dữ liệu qua firewall . • Thiết bị bảo mật sẽ theo dõi quá trình kết nối này. • Các port cần cho kết nối sẽ được mở một cách an toàn theo từng ứng dụng.

Modular Policy Internet System Engineer Headquarters T1 SE exec Internet Executives S2S S2S Site C Site B Class Map Traffic Flow Default Internet Systems Engineer Executives Site to Site Policy Map Services Inspect IPS Police Priority Service Policy Interface/Global Global Outside

B A N K • B A N K Mạngriêngảo (VPN) Site to Site Internet IPsec VPN SSL VPN Headquarters Remote Access

Cácngữcảnhbảomật 1 thiết bị firewall thật 4 thiết bị firewall ảo 4 thiết bị firewall thật Internet Internet Cung cấp khả năng tạo nhiều firewall ảo trên một thiết bị firewall thật

Khảnăng Failover : Active/Standby, Active/Active, vàStateful Failover Failover: Active/Standby Failover: Active/Active Contexts 2 2 1 1 Primary: Failed Firewall Secondary: Active Firewall Primary: Failed/Standby Secondary: Active/Active Internet Internet • Khả năng dự phòng (Failover) đảm bảo kết nối mạng được thông suốt khi một thiết bị hỏng.. • Active/standby: một thiết bị sẽ chạy chính, một thiết bị sẽ dự phòng. • Active/Active: Cả hai thiết bị đều chạy , chia tải và dự phòng lẫn nhau. • Stateful failover: duy trì trạng thái kết nối khi một thiết bị kết nối chính hỏng.

Transparent Firewall 192.168.1.5 192.168.1.2 Internet • Có khả năng triển khai thiết bị bảo mật ở layer 2 • Cho phép bảo mật từ layer 2 đến layer 7 và hoạt động như một thiết bị layer 2

Giảiphápquảntrịdùng web Adaptive Security Device Manager (ASDM)

Các loại firewall của cisco và tính năng

Các dòng sản phẩm ASA 5500 ASA 5550 ASA 5540 ASA 5520 Giá ASA 5510 ASA 5505 Gigabit Ethernet Các văn phòng SP ROO DN nhỏ Doanh nghiệp lớn Chức năng SP = service provider ( nhà cung cấp dịch vụ)

Các dòng sản phẩm PIX 500 PIX 535 PIX 525 PIX 515E Giá PIX 506E PIX 501 Gigabit Ethernet DN nhỏ Các văn phòng SOHO SP Doanh nghiệp lớn ROBO Chức năng

Thiết bị bảo mật Cisco ASA 5510 • Nâng cao an ninh và cung cấp dịch vụ mạng, bao gồm cả các dịch vụ VPN, cho các doanh nghiệp nhỏ. • Cung cấp lên tới 130,000 kết nối đồng thời. • Thông lượng có thể đáp ứng tới 300-Mbps • Các interface được hỗ trợ: • Lên tới 5 cổng 10/100 Fast Ethernet • Lên tới 25 VLANs • Lên tới 5 ngữ cảnh (contexts) • Hỗ trợ failover • Active/standby • Hỗ trợ VPNs • Site to site (250 peers) • Remote access • WebVPN • Hỗ trợ thêm các module SSMs (Cisco ASA AIP SSM, Cisco ASA CSC SSM, và Gigabit Ethernet SSM loại 4 port)

Thiếtbịbảomật Cisco ASA 5520 • Cung cấp các dịch vụ bảo mật , kể cả vpn cho các doanh nghiệp cỡ vừa. • Cung cấp lên tới 280,000 kết nối đồng thời. • Thông lượng có thể đáp ứng 450-Mbps • Các interface được hỗ trợ: • 4 10/100/1000 Gigabit Ethernet interfaces • 1 10/100 Fast Ethernet interface • Lên tới 100 VLANs • Lên tới 20 contexts • Hỗ trợ failover • Active/standby • Active/active • Hỗ trợ VPNs • Site to site (750 peers) • Remote access • WebVPN • Hỗ trợ thêm các module SSMs (Cisco ASA AIP SSM, Cisco ASA CSC SSM, và Gigabit Ethernet SSM loại 4 port)

Thiếtbịbảomật Cisco ASA 5540 • Cung cấp các dịch vụ cần hiệu quả cao, các loại dịch vụ bảo mật , kể cả vpn cho các doanh nghiệp lớn và các nhà cung cấp dịch vụ. • Cung cấp lên tới 400,000 kết nối đồng thời • Thông lượng đáp ứng 650-Mbps • Các interface hỗ trợ: • 4 10/100/1000 Gigabit Ethernet interfaces • 1 10/100 Fast Ethernet interface • Lên tới 200 VLANs • Lên tới 50 contexts • Hỗ trợ failover • Active/standby • Active/active • Hỗ trợ VPNs • Site to site (5,000 peers) • Remote access • WebVPN • Hỗ trợ thêm cá module SSMs (Cisco ASA AIP SSM, Cisco ASA CSC SSM, and four-portGigabit Ethernet SSM)

Các thiết bị bảo mật ASA 5510, 5520, và 5540 mặt phía trước Flash Status Active Power VPN

Các thiết bị bảo mật ASA 5510, 5520, và 5540 mặt phía sau Bộ nhớ flash Các interface cố định Các module SSMs

Các thiết bị bảo mật ASA 5510, 5520, và 5540 cổng kết nối Bộ nhớ Flash Cổng Console Nguồn điện (AC hoặc DC) Cổng quản trị outband 4 cổng 10/100/1000 Gigabit Ethernet Cổng AUX 2 cổng USB 2.0 *Với thiệt bị bảo mật ASA 5510 hỗ trợ cổng 10/100

Cisco ASA Security Services Module • Module cung cấp các dịch vụ mở rộng cho thiết bị bảo mật • Sử dụng bộ nhớ flash để tăng cường độ tin cậy • Có cổng Gigabit ethernet cho phép quản trị outband

Các kiểu module SSM SSM-10 • Bộ xử lý 2.0-GHz • 1.0 GB RAM SSM-20 • Bộ xử lý 2.4-GHz • 2.0 GB RAM Speed Link andactivity power Status

SSM loại 4 port Gigabit ethernet RJ-45 link LED SFP link LED SFP speed LED RJ-45 speed LED Status LED SFP ports RJ-45 ports Power LED

Tóm tắt • Firewall là thiết bị kiểm soát truy nhập từ vùng mạng này sang vùng mạng khách • Statefull firewall là thiết bị hoạt động hiệu quả nhất. • Thiết bị bảo mật của cisco bao gồm PIX và ASA . • Các thiết bị bảo mật ASA 5510, 5520 nhắm tới thị trường các doanh nghiệp vừa và nhỏ. • Các chức năng của thiết bị bảo mật có thể được mở rộng nhờ vào SSMs.

Bài 2 Các bước đầu làm quen và cấu hình thiết bị bảo mật của Cisco

Giao diện người sử dụng

ciscoasa> ciscoasa# ciscoasa(config)# monitor> Các chế độ truy nhập Thiết bị bảo mật Cisco có 4 chế độ truy nhập như sau : Unprivileged Privileged Configuration Monitor

Chế độ Privileged Lệnh này để cho phép truy nhập vào chế độ Priviledged Internet ciscoasa> enable [priv_level] ciscoasa> enable password: ciscoasa#

Chế độ Configuration : câu lệnh configure terminal ciscoasa# configure terminal Dùng lệnh này để đăng nhập vào chế độ Configuation ciscoasa# exit Lệnh exit dùng để thoát khoải chế độ hiện tại, trở về chế độ trước đó ciscoasa> enable password: ciscoasa# configure terminal ciscoasa(config)# exit ciscoasa# exit ciscoasa>

Lệnh help ciscoasa > help ? enable Turn on privileged commands exit Exit the current command mode login Log in as a particular user logout Exit from current user profile to unprivileged mode perfmon Change or view performance monitoring options ping Test connectivity from specified interface to an IP address quit Exit the current command mode ciscoasa > help enable USAGE: enable [<priv_level>]

Quản lý và lưu trữ các File cấu hình

Xem và lưu lại cấu hình Cáclệnhdướiđâychophépxemcấuhình: • show running-config • show startup-config Cáclệnhdướiđâychophéplưucấuhình • copy run start • write memory Để lưu lại cấu hình thay đổi, dùng lệnh: copy run start startup- config (saved) running- config Cấu hình thay đổi

Xóa cấu hình đang chạy running-config Xóa cấu hình đang chạy : clear config all startup- config running- config (default) ciscoasa(config)# clear configure all Xóa cấu hình đang chạy ciscoasa(config)# clear config all

Xóa cấu hình lúc khởi độngstartup-config Xóa cấu hình lúc khởi động : write erase startup- config (default) running- config ciscoasa# write erase Xóa cấu hình lúc khởi động ciscoasa# write erase

Khởi động lại thiết bị : lệnh reload ciscoasa# Khởi động lại , thiết bị sẽ tự động lấy lại cấu hình startup-config copy vào running-config để chạy. reload [at hh:mm [month day | day month]] [cancel] [in [hh:]mm] [max-hold-time [hh:]mm] [noconfirm] [quick] [reason text] [save-config] ciscoasa# reload Proceed with reload?[confirm] y Rebooting...

File hệ thống Release 7.0 and later • Software image • Configuration file • Private data • ASDM image • Backup image* • Backup configuration file*

Hiển thị các file lưu trữ : file hệ thống và file cấu hình Hiển thị nội dung của ổ đĩa . Internet ASA disk0: disk1: PIX flash: ciscoasa# dir [/all] [/recursive] [all-filesystems] [disk0: | disk1: | flash: | system:] ciscoasa# dir Directory of disk0:/ 8 -rw- 8202240 13:37:33 Jul 28 2006 asa721-k8.bin 1264 -rw- 5539756 13:21:13 Jul 28 2006 asdm-521.bin 62947328 bytes total (49152000 bytes free)

Vùng Outside GigabitEthernet0/0 Security level 0 Interface name = outside Internet Vùng Inside Vùng DMZ GigabitEthernet0/1 Security level 100 Interface name = inside GigabitEthernet0/2 Security level 50 Interface name = DMZ Các mức bảo mật (security levels) g0/2 g0/1 g0/0

Kiểm tra trạng thái của thiết bị bảo mật

Câu lệnh show asa1# show run interface . . . interface GigabitEthernet0/0 speed 1000 duplex full nameif outside security-level 0 ip address 192.168.1.2 255.255.255.0 ! interface GigabitEthernet0/1 speed 1000 duplex full nameif inside security-level 100 ip address 10.0.1.1 255.255.255.0 . . . show run interface asa1# show interface Interface GigabitEthernet0/0 "outside", is up, line protocol is up Detected: Speed 1000 Mbps, Full-duplex Requested: Auto MAC address 000b.fcf8.c538, MTU 1500 IP address 192.168.1.2, subnet mask 255.255.255.0 0 packets input, 0 bytes, 0 no buffer Received 0 broadcasts, 0 runts, 0 giants 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 0 packets output, 0 bytes, 0 underruns input queue (curr/max blocks): hardware (0/0) software (0/0) output queue (curr/max blocks): hardware (0/0) software (0/0) Received 0 VLAN untagged packets, 0 bytes Transmitted 0 VLAN untagged packets, 0 bytes Dropped 0 VLAN untagged packets show interface

Lệnh show memory ciscoasa# show memory asa1# show memory Free memory: 468962336 bytes (87%) Used memory: 67908576 bytes (13%) ------------- ---------------- Total memory: 536870912 bytes (100%)

Internet Lệnh show cpu usage 10.0.1.11 10.0.1.4 ciscoasa# show cpu usage asa1# show cpu usage CPU utilization for 5 seconds = 0%; 1 minute: 0%; 5 minutes: 0%

ĐÀO TẠO Bảo mật - Cisco Firewall

ĐÀO TẠO Bảo mật - Cisco Firewall

Presentation Transcript

Cisco Nexus 1010

Chapter5 Firewall

Top 5 Reasons to choose Cisco ASA 5500 Series Firewall

Top 5 Reasons to choose Cisco ASA 5500 Series Firewall

How to secure the Network Definitely with Cisco ASA

Cisco Self Defending Networks Rozwiązanie bezpieczeństwa - Cisco ASA

FIREWALL

Firewall Configuration Strategies

Firewall

Personal Firewall

IOS Firewall

OfficeConnect Internet Firewall

pass4sureOfficial

Cisco IOS Threat Defense Features

The Science of Firewall Analysis

Firewall

Firewalls

SEGURANÇA NA NET

Firewall Planning and Design

What is a Firewall Anyway?

Security - Cisco Firewall TRAINING

Chapter 9 Cisco IOS Firewall