Network Security and The Cisco PIX Firewall P7

PIX Firewall hỗ trợ tới 8 interface vành đai cho các nền tảng có khả năng mở rộngvà yêu cầu về chính sách an ninh trên các dịch vụ có khả năng truy cập một cáchcông cộng. Nhiều interface vành đai cho phép PIX Firewall bảo vệ các dịch vụ nhưweb, mail, DNS server trên miền DMZ. Web-base và các ứng dụng Electronic DataInterchange (EDI) liên kết các nhà phát triển và các khách hàng cũng đảm bảo anninh hơn và khả năng mở rộng khi sử dụng mạng vật lý riêng biệt...
Nội dung trích xuất từ tài liệu:
Network Security and The Cisco PIX Firewall P7CHAPTER 7:CONFIGURING MULTIPLE INTERFACE Chương 7 Cấu hình đa giao diện (Configuration multiple Interface) Tổng quan Chương này bao gồm các topic sau:  Mục tiêu  Cấu hình thêm các interface  Tổng hợp  Lab exercise 1Trần Giáo_Khoa CNTT_ĐH Thái NguyênCHAPTER 7:CONFIGURING MULTIPLE INTERFACE Mục tiêu 2Trần Giáo_Khoa CNTT_ĐH Thái NguyênCHAPTER 7:CONFIGURING MULTIPLE INTERFACE Cấu hình thêm các interface Phần này mô tả cách cấu hình nhiều interface trên Cisco Secure PIX Firewall PIX Firewall hỗ trợ tới 8 interface vành đai cho các nền tảng có khả năng mở rộng và yêu cầu về chính sách an ninh trên các dịch vụ có khả năng truy cập một cách công cộng. Nhiều interface vành đai cho phép PIX Firewall bảo vệ các dịch vụ như web, mail, DNS server trên miền DMZ. Web-base và các ứng dụng Electronic Data Interchange (EDI) liên kết các nhà phát triển và các khách hàng cũng đảm bảo an ninh hơn và khả năng mở rộng khi sử dụng mạng vật lý riêng biệt. Khi mà xu hướng xây dựng mạng intranet ngày càng nhiều thì PIX Firewall đã chuẩn bị sẵn sảng đáp ứng các yêu cầu đó 3Trần Giáo_Khoa CNTT_ĐH Thái NguyênCHAPTER 7:CONFIGURING MULTIPLE INTERFACE Khi cấu hình nhiều interface, hãy nhớ rằng mức an ninh được thiết kế cho một interface là inside (tin cậy) hoặc outside (không tin cậy) liên quan tới interface khác. Một interface được xem như là inside trong mối quan hệ với interface nếu mức an ninh của nó cao hơn mức an ninh của interface kia. Và được xem là outside trong mối quan hệ với một interface khác nếu mức an ninh của nó thấp hơn mức an ninh của interface kia. (Nói một cách nôm na theo kiểu người Việt Nam chúng ta, nó là thế này: thuật ngữ inside, outside là tùy từng trường hợp. Với 2 interface thì cái nào có mức an ninh thấp hơn là outside, cao hơn là inside. Vì vậy mà 1 interface có thể là inside đối với interface này nhưng là outside đối với interface khác.) Một quy tắc cơ bản cho mức an ninh đó là một interface có mức an ninh cao hơn có thể truy cập tới một interface có mức an ninh thấp hơn. Lệnh nat và global làm việc cùng nhau để cho phép mạng sử dụng bất kỳ lược đồ địa chỉ IP nào để duy trì tính ẩn trước mạng bên ngoài Một interface với mức an ninh thấp không thể truy cập một interface có mức an ninh cao hơn trừ khi là bạn chỉ định cho phép nó bằng cách thực hiện cặp lệnh static và conduit hoặc static và access-list 4Trần Giáo_Khoa CNTT_ĐH Thái NguyênCHAPTER 7:CONFIGURING MULTIPLE INTERFACE Một giao diện thứ 3 được cấu hình như hình vẽ. Khi PIX Firewall là thiết bị với 3 hoặc nhiều hơn các interface, sử dụng nguyên tắc sau để cấu hình cho nó khi sử dụng NAT:  Outside interface không thể đổi tên hoặc thay đổi mức an ninh khác đi  Một interface luôn luôn là “outside” đối với interface khác mà có mức an ninh cao hơn. Gói tin không thể đi qua giữa các interface mà có cùng mức an ninh  Sử dụng một khai báo đường mặc định đơn chỉ đến outside interface. Thiết lập tuyến đường mặc định với lệnh route  Sử dụng lệnh nat cho phép người sử dụng trên interface tương ứng bắt đầu một outbound connection (kết nối ra ngoài). Kết hợp nat_id với global_id trong lệnh global. Số id có thể là một số bất kỳ, hỗ trợ lên đến 2 tỷ  Sau khi bạn hoàn thành cấu hình thêm, thay đổi, gỡ bỏ khai báo global, ghi lại cấu hình và nhập lệnh clear xlate vì vậy mà địa chỉ IP sẽ được cập nhật trong translation table (bảng dịch).  Để cho phép truy cập đến server trên các mạng được bảo vệ, sử dụng lệnh static và conduit 5Trần Giáo_Khoa CNTT_ĐH Thái NguyênCHAPTER 7:CONFIGURING MULTIPLE INTERFACE Trong hình vẽ phía trên PIX Firewall có 4 interface, người sử dụng trên tất cả các interface có thể truy cập đến các server và host (inside, outside, DMZ và partnernet). Cấu hình 4 interface yêu cầu phải chú ý nhiều hơn đến những khía cạnh nhỏ nhưng nói chung là chúng được cấu hình với các lệnh PIX Firewall chuẩn. Để cho phép một người sử dụng trên interface có mức an ninh cao hơn truy cập đến các ...