Network Security and The Cisco PIX Firewall P3

Theo cách định nghĩa thông thường thì tường lửa là một phần tạo nên vật liệuchống cháy, được thiết kế để ngăn cản sự lan rộng của lửa từ một phần đến phầnkhác. Nó cũng có thể được sử dụng để cách ly một phần với phần khác.Khi áp dụng thuật ngữ tường lửa cho mạng máy tính, một tường lửa là một hệthống hoặc một nhóm hệ thống yêu cầu một chính sách điều khiển việc truy cậpgiữa hai hoặc nhiều hơn hai mạng....
Nội dung trích xuất từ tài liệu:
Network Security and The Cisco PIX Firewall P3Chapter 3: cisco pix firewall models and features Chương 3 ĐẶC TÍNH VÀ CÁC KIỂU TƯỞNG LỬA PIX CISCO Tổng quan Chương này bao gồm những nội dung sau:  Mục đích  Tường lửa  Tổng quan về PIX Firewall  Tóm tắt 1Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTNChapter 3: cisco pix firewall models and features 2Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTNChapter 3: cisco pix firewall models and features Tường lửa Phần này đưa ra cách giải thích về một tường lửa Theo cách định nghĩa thông thường thì tường lửa là một phần tạo nên vật liệu chống cháy, được thiết kế để ngăn cản sự lan rộng của lửa từ một phần đến phần khác. Nó cũng có thể được sử dụng để cách ly một phần với phần khác. Khi áp dụng thuật ngữ tường lửa cho mạng máy tính, một tường lửa là một hệ thống hoặc một nhóm hệ thống yêu cầu một chính sách điều khiển việc truy cập giữa hai hoặc nhiều hơn hai mạng. 3Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTNChapter 3: cisco pix firewall models and features Tường lửa hoạt động dựa trên ba kỹ thuật sau:  Packet filtering – Giới hạn thông tin truyền sang một mạng dựa trên thông tin header của gói tin tĩnh.  Proxy Server – Yêu cầu sự kết nối chuyển tiếp giữa một client bên trong của tường lửa và mạng Internet  Stateful packet filtering – Kết hợp tốt nhất hai kỹ thuật packet filtering và proxy server 4Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTNChapter 3: cisco pix firewall models and features Một tường lửa có thể sử dụng packet filtering để giới hạn thông tin đi vào một mạng hoặc thông tin di chuyển từ một đoạn mạng này sang một đoạn mạng khác. Packet filtering sử dụng danh sách điều khiển truy cập (ACLs), nó cho phép một tường lửa xác nhận hay phủ nhận việc truy cập dựa trên kiểu của gói tin và các biến khác. Phương pháp này có hiệu quả khi một mạng được bảo vệ nhận gói tin từ một mạng không được bảo vệ khác. Bất kỳ gói tin nào được gửi đến một mạng đã được bảo vệ và không đúng với các tiêu chuẩn được định nghĩa bởi ACLs đều bị hủy. Những có một số vấn đề với packet filtering  Các gói tin bất kỳ có thể được gửi đi mà nó phù hợp với các tiêu chuẩn của ACL thì sẽ đi qua được bộ lọc  Các gói tin có thể đi qua được bộ lọc theo từng đoạn  ACL phức tạp là rất khó thực thi và duy trì một cách đúng đắn  Một số dịch vụ không thể lọc 5Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTNChapter 3: cisco pix firewall models and features Một Proxy server là một thiết bị tường lửa mà nó quyết định một gói tin tại lớp cao hơn của mô hình OSI. Thiết bị này có giá trị ẩn dữ liệu bằng cách yêu cầu người sử dụng giao tiếp với một hệ thống bảo mật có nghĩa là một proxy. Người sử dụng dành quyền truy cập đến một mạng bằng cách đi qua một tiến trình, tiến trình đó sẽ thiết lập một trạng thái phiên, chứng thực người dùng và chính sách cấp quyền. Điều này có nghĩa là người sử dụng kết nối đến các dịch vụ bên ngoài thông qua chương trình ứng dụng (proxies) đang chạy trên cổng dùng để kết nối đến vùng không được bảo vệ phía ngoài Tuy nhiên cũng có những vấn đề với Proxy server bởi bì nó:  Tạo một cùng lỗi chung, nó có nghĩa là nếu cổng vào mạng bị sập thì sau đó toàn bộ mạng cũng bị sập theo  Nó rất khó để thêm các dịch vụ mới vào tường lửa  Thực thi các ứng suất chậm 6Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTNChapter 3: cisco pix firewall models and features Stateful packet filtering là một phương pháp được sử dụng bởi thiết bị tường lửa PIX của Cisco. Kỹ thuật này duy trì trạng thái phiên đầy đủ. Mỗi khi một kết nối TCP/UDP được thiết lập cho các kết nối vào hoặc ra. Thông tin này được tập hợp trong Stateful session flow table. Stateful session flow table chứa địa chỉ nguồn và đích, số cổng, thông tin số thứ tự TCP và thêm thông các cờ cho mỗi kết nốiTCP/UDP kết hợp với các phiên đó. Thông tin này tạo nên các đối tượng kết nối và do đó các gói tin vào và ra được so sánh với lưu lượng phiên trong Stateful session flow table. Dữ liệu được phép qua tường lửa chỉ khi nếu một kết nối thích hợp tồn tại đánh giá tính hợp pháp đi qua của dữ liệu đó Phương pháp này có hiệu quả bởi vì:  Nó làm việc trên các gói tin và các kết nối  Nó hoạt động ở mức cao hơn so với packet filtering hoặc sử dụng proxy  Nó ghi dữ liệu trong một bảng cho mỗi kết nối. Bảng này như là một điểm tham chiếu để xác địng gói tin có thuộc về một kết nối đang tồn tại hay không hoặc là từ một nguồn trái phép 7Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTNChapter 3: cisco pix firewall models and features Tổng quan về PIX Firewall Phần này sẽ thảo luận về các khái niệm cơ bản của PIX Firewall PIX firewall là một yếu tố chính trong toàn bộ giải pháp an ninh end-to-end của Cisco. PIX Firewall là một giải pháp an ninh phần cứng và phần mềm chuyên dụng và mức ...