• If this is your first visit, be sure to check out the FAQ by clicking the link above. You may have to register before you can post: click the register link above to proceed. To start viewing messages, select the forum that you want to visit from the selection below.
Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Firewall trên CISCO Router

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Firewall trên CISCO Router

    Học nhiều ngu nhiều là thế.
    Có người hỏi em là đã từng triển khai firewall trên router cisco chưa?hic hic.....im luôn 5',ko nói được gì luôn.
    Xin hỏi mọi người....triển khai FW như thế nào ? nó bao gồm cái gì gì (có fai là policy access list ko ).
    Thực sự là em mù mờ cái này lắm.Nhờ mọi người chỉ bảo giùm.
    Còn cái vụ này nữa : Có ai làm bên tư vấn giải pháp thì càng tốt....ý là mình tham gia đấu thầu triển khai một hệ thống mạng cho một cty nào đó.Vậy các bước cơ bản để tham gia trước và sau đấu thầu là gì vậy.
    Theo em có fai là :
    1- Khảo sát mặt bằng,vị trí phòng ban....
    2- Tim hiểu nhu cầu sư dụng :
    Nhu cầu dich vụ;lưu lượng traffic;độ an toàn,chính sách phòng ban...
    mở rộng quy mô trong tương lai....
    3- Phương án + thiết bị kèm theo
    4 - Chi phí
    5- Hơp đồng,kí kết

    Có ai chỉ giùm ít kinh nghiệm đi.....Thân chào .

  • #2
    hi bạn netchuastar

    bạn có thể tham khảo thêm chương về IOS Firewall trong giáo trình ISCW.

    có thể tóm tắt sơ bộ như sau:

    để triển khai fw dùng các giải pháp Cisco, có hai nhóm sản phẩm cho bạn chọn lựa:

    1/ Dùng thiết bị phần cứng chuyên dụng làm fw:PIX, ASA.
    2/ Dùng router Cisco với hệ điều hành Cisco IOS làm chức năng FW. Lúc này router của bạn phải có IOS hỗ trợ tính năng fw, gọi là IOS Firewall Feature Set.

    Ưu điểm của giải pháp 2 là bạn có thể sử dụng các thiết bị router hiện có như ISR 2800/3800 để làm FW. nhược điểm dễ thấy là thiết bị của bạn phải thực hiện nhiều chức năng như routing, vpn, fw....

    Nếu netchuastar quan tâm tiếp về IOS Firewall Feature set thì hỏi tiếp ở đây nhé.

    Happy holiday.
    Đặng Quang Minh, CCIEx2#11897 (Enterprise Infrastructure, Wireless), DEVNET, CCSI#31417

    Email : dangquangminh@vnpro.org
    https://www.facebook.com/groups/vietprofessional/

    Comment


    • #3
      Hi Mr.Minh
      Vậy em vẫn chưa hình dung ra được cơ chế hoạt động FW (IOS Firewall Feature set) như thế nào ?
      Theo em được biết có thể dùng FW để quản lí inbound ,outbound traffic.Khi gói tin đến thiết bị FW thì FW làm thế nào để biết được gói tin đó có kèm theo virus hay ko có virus,FW kiểm soát được Layers nào ?Vai trò của FW trong hệ thống mạng ntn?
      Đối với ISA của Microsoft thì cấu hình Deny/permit giống như access-list của cisco vậy Fw và Access-list,2 thằng này khác nhau nhiều ko anh ?
      IOS Firewall Feature set sử dụng IOS vậy có nói là FW mền ko ạ.
      Có nhiều người hỏi em ..mà em chưa nắm rõ lắm vì chưa hóc đến ISCW,mới học BSCI thôi à.

      Vậy mong mọi ngừơi bàn luận chia sẻ thêm thông tin.Cảm ơn.

      Comment


      • #4
        Hi

        IOS firewall sẽ có nhiều chức năng. Ví dụ như lọc gói tin (packet filter giống như ACL thông thường, stateful inspection, và chức năng proxy.

        ACL thông thường chỉ thực hiện việc lọc các gói tin đi qua router hoặc dùng để giới hạn việc truy cập đến các dịch vụ của router. Các gói tin không được đi qua router được gọi là bị deny.

        Các hạn chế của ACL là:
        - Không chống được kiểu tấn công ip spoofing. Một gói tin nào đó có thể vượt qua hết của tiêu chí của ACL vì đi qua router.
        - Không lọc được các gói tin bị phân mảnh (fragmented packet).
        - Một vài dịch vụ sử dụng port động cũng không thể bị lọc.

        Tính năng stateful firewall sẽ cải tiến các hạn chế trên. Một stateful firewall không chỉ kiểm tra các thông tin tcp header, udp, port...mà nó còn có khả năng nhớ các chi tiết, các trạng thái của các yêu cầu đó. Chức năng stateful fw không chỉ kiểm tra header mà còn kiểm tra nội dung của gói tin, lên đến tận lớp application.

        Ví dụ, mỗi khi có một kết nối TCP/UDP được thiết lập theo chiều ra/ vào, thông tin về trạng thái kết nối được đưa vào bảng stateful trong router. Khi hệ thống bên ngoài trả lời lại các yêu cầu, fw sẽ kiểm tra gói tin nhận được với bảng trạng thái đã lưu giữ để xác định gói tin đó có được phép đi vào mạng hay không.

        Như vậy, chức năng này hiệu quả vì các nguyên nhân sau:

        - Hoạt động trên cả gói tin và trên kết nối (connection).
        - Có hiệu suất cao hơn chức năng acl thông thường hay chức năng authen proxy.
        - Lưu trữ thông tin cho mọi phiên giao dịch trong một bảng. Bảng này sẽ giúp xác định một gói tin có thuộc về một kết nối hợp lệ hay là từ một nguồn bất hợp lệ.

        Nếu bạn quan tâm chi tiết đến tính năng này (stateful fw - CBAC) thì hỏi tiếp nhé.

        Chúc vui vẻ
        Đặng Quang Minh, CCIEx2#11897 (Enterprise Infrastructure, Wireless), DEVNET, CCSI#31417

        Email : dangquangminh@vnpro.org
        https://www.facebook.com/groups/vietprofessional/

        Comment


        • #5
          Cảm ơn anh,mấy hôm trước em có nhận được Đĩa CCIE của trung tâm...ko biết có file nào nói về FW này ko anh ?

          Comment


          • #6
            Hi Mr.Minh!
            Khi Router với chức năng Firewall và giả sử có 02 FE + 01 Serial thì mình có thể set "security level" cho 03 interface này để làm các chức năng Outside(serial với level 0), inside(FE1 với level 100), DMZ(FE2 với 0<x<100) được không?
            Nếu vậy thì có thể tiết kiệm được chi phí mua thiết bị chuyên dụng như PIX và ASA.
            Cam on!

            Comment


            • #7
              Hi pvtuyen

              Dĩ nhiên là nếu bạn có một ISR (Integrated Service Router) có ba cổng như trên thì bạn có thể gán một cổng làm DMZ. Việc cấu hình chức năng firewall của Cisco IOS có DMZ cũng rất dễ dàng thông qua giao diện SDM.

              Một vấn đề mà có thể bạn sẽ đề cập đến là việc so sánh trong hai cách dùng IOS FW hay dùng PIX ÂSA. Trước khi nói đến vấn đề đó, tôi post dưới đây cơ chế hoạt động của CBAC, là một trong những tính năng chủ yếu của Cisco IOS FW. Những chức năng còn lại là Authentication Proxy, ACL truyền thống...
              Đặng Quang Minh, CCIEx2#11897 (Enterprise Infrastructure, Wireless), DEVNET, CCSI#31417

              Email : dangquangminh@vnpro.org
              https://www.facebook.com/groups/vietprofessional/

              Comment


              • #8
                CBAC

                Đặc tính CBAC (Context Based Access Control) cung các điều khiển truy nhập cho từng ứng dụng trên biên giới mạng của hệ thống. CBAC giúp router quản lý được trạng thái cố định, dựa trên thông tin của các packet được xem xét, và ra quyết định traffic nào nên được cho phép hay từ chối. CBAC là trọng điểm của các đặc tính trong Cisco IOS firewall, có các đặc điểm sau:

                - Nhận dạng và ngăn chặn các tấn công theo kiểu từ chối dịch vụ (DoS)
                - Tạo ra được các cảnh báo thời gian thực và các dấu vết kiểm tra
                - Cung cấp việc điều khiển truy nhập cho từng ứng dụng
                - Cung cấp việc chặn trên các gói TCP và UDP thông thường

                CBAC có thể được dùng cho intranet, extranet và Internet bởi khả năng chắt lọc các gói TCP và UDP dựa trên các thông tin trong các giao thức ứng dụng. Không giống như access-list chỉ giới hạn việc xem xét packet ở mức độ cơ bản ở tầng network, CBAC có khả năng xem xét không những ở tầng network và transport mà còn các thông tin giao thức của ở tầng ứng dụng để biết về các trạng thái của các kết nối TCP và UDP. Việc giám sát mở rộng này cho phép hỗ trợ các giao thức liên quan đến các kênh tạo ra trên các kênh điều khiển của ứng dụng ví dụ như FTP, Remote Procedure Call và SQL.

                Khi NAT được áp dụng cho các traffic đi qua một router mà có sử dụng CBAC, firewall sẽ thực hiện các giám sát theo kiểu CBAC và che giấu các thông tin bên trong. Quá trình này cung cấp việc bảo vệ thêm cho các giao thức mà CBAC không hỗ trợ.

                CBAC cũng hỗ trợ việc chặn JAVA, lọc các trafic HTTP. Java Applet có thể bị chặn dựa trên địa chỉ IP của server. CBAC cũng có khả năng chặn quyền truy nhập các Java applet không được nhúng vào file nén hoặc các file lưu trữ hoặc có thể chỉ cho phép người dùng download các applet này từ các nguồn đáng tin cậy.

                Chức năng nhận dạng và bảo vệ hệ thống với các tấn công từ chối dịch vụ của CBAC

                CBAC kiểm tra traffic đi qua firewall, khám phá và quản lý các thông tin trạng thái cho các kết nối TCP và UDP. Thông tin trạng thái này được dùng để tạo ra những trạng thái mở tạm thời trong các access-list của firewall cho phép traffic trả về và các kết nối dữ liệu có thể đi được.

                Việc giám sát các packet tại tầng ứng dụng và quản lý các thông tin session TCP và UDP cung cấp CBAC khả năng nhận dạng và ngăn chặn một số tấn công trong mạng, chẳng hạn như SYN flooding. Các thông điệp SYN được gửi đến các server từ client đóng vai trò là bước đầu tiên trong 3 bước bắt tay thiết lập kết nối TCP.

                Trạng thái flood gói SYN xảy ra khi có hàng trăm hoặc hàng ngàn thông điệp SYN của TCP được gửi đến server nhưng không bao giờ hoàn tất các kết nối này. Kết quả là số lượng lớn các kết nối chưa hoàn tất (half-open session) có thể làm cho server bị quá tải, và sẽ từ chối các yêu cầu hợp lệ. Đây là một dạng của kiểu tấn công từ chối dịch vụ.

                CBAC giúp bảo vệ hệ thống từ các tấn công từ chối dịch vụ theo một số cách khác nhau. CBAC xem xét các số sequence của các packet trong các kết nối TCP để xem các số sequence này có nằm trong phạm vi tương ứng hay không. CBAC cũng có khả năng loại bỏ các kết nối không hoàn tất (half-open connection), nhận dạng số lượng kết nối tăng đột ngột vào hệ thống và tạo ra các cảnh báo cho người quản trị.

                Chức năng tạo ra các cảnh báo thời gian thực và các dấu vết kiểm tra

                CBAC có khả năng tạo ra được các cảnh báo thời gian thực và các dấu vết kiểm tra. Các đặc điểm lưu các dấu vết kiểm tra cao cấp sử dụng syslog theo dõi tất cả các thông tin trao đổi cùng với thời gian tương ứng, địa chỉ máy nguồn, máy đích, port sử dụng và tổng số lượng byte dữ liệu truyền đi cho các báo cáo dựa trên các session. Các cảnh báo thời gian thực gửi các thông điệp lỗi syslog đến các thiết bị quản lý trung tâm khi nhận dạng các thao tác có dấu hiệu nghi ngờ. Sử dụng các luật kiểm tra CBAC, bạn có thể cấu hình các cảnh báo và lưu các dấu vết kiểm tra trên cơ sở từng ứng dụng. Nếu bạn muốn tạo các thông tin cho việc lưu các dấu vết kiểm soát thông tin cho traffic HTTP, bạn có thể đặc tả các luật liên quan đến việc giám sát traffic HTTP.

                CBAC thông thường sẵn sàng chỉ cho traffic của IP. Chỉ có các packet của TCP và UDP được giám sát. Bắt đầu từ phiên bản 12.2(15)T, CBAC hỗ trợ giám sát các loại thông điệp phổ biến nhất của giao thức ICMP. Bảng sau minh họa các loại ICMP hỗ trợ bởi CBAC.

                Những traffic nào không thể lọc được bằng CBAC thì nên dùng extended IP ACL để lọc.

                Chú ý:
                CBAC không thể bảo vệ hệ thống từ những tấn công xuất phát nội bộ từ mạng bên trong. CBAC chỉ có thể nhận dạng và bảo vệ hệ thống từ những tấn công đi qua thiết bị Cisco IOS Firewall.
                Đặng Quang Minh, CCIEx2#11897 (Enterprise Infrastructure, Wireless), DEVNET, CCSI#31417

                Email : dangquangminh@vnpro.org
                https://www.facebook.com/groups/vietprofessional/

                Comment


                • #9
                  Cảm ơn Thầy!
                  Như vậy các tính năng firewall tương đương thiết bị chuyên dụng và do đó về chi phí thiết bị bảo mật có thể giảm xuống nhưng làm tăng khả năng chiếm dụng tài nguyên xử lý.
                  Vậy có khuyến cáo nào khác khi sử dụng ISR không Thầy!

                  Comment


                  • #10
                    Cau hinh IOS Firewall

                    Chao Thay,
                    Em cam on Thay da huong dan chi tiet ve chu de nay.
                    Thay chi them giup em cach cau hinh CBAC.

                    Comment


                    • #11
                      bạn xem một ví dụ về cách cấu hình CBAC ở đây:

                      Đặng Quang Minh, CCIEx2#11897 (Enterprise Infrastructure, Wireless), DEVNET, CCSI#31417

                      Email : dangquangminh@vnpro.org
                      https://www.facebook.com/groups/vietprofessional/

                      Comment


                      • #12
                        Originally posted by dangquangminh View Post
                        Hi

                        Tính năng stateful firewall sẽ cải tiến các hạn chế trên. Một stateful firewall không chỉ kiểm tra các thông tin tcp header, udp, port...mà nó còn có khả năng nhớ các chi tiết, các trạng thái của các yêu cầu đó. Chức năng stateful fw không chỉ kiểm tra header mà còn kiểm tra nội dung của gói tin, lên đến tận lớp application.

                        Ví dụ, mỗi khi có một kết nối TCP/UDP được thiết lập theo chiều ra/ vào, thông tin về trạng thái kết nối được đưa vào bảng stateful trong router. Khi hệ thống bên ngoài trả lời lại các yêu cầu, fw sẽ kiểm tra gói tin nhận được với bảng trạng thái đã lưu giữ để xác định gói tin đó có được phép đi vào mạng hay không.

                        Như vậy, chức năng này hiệu quả vì các nguyên nhân sau:

                        - Hoạt động trên cả gói tin và trên kết nối (connection).
                        - Có hiệu suất cao hơn chức năng acl thông thường hay chức năng authen proxy.
                        - Lưu trữ thông tin cho mọi phiên giao dịch trong một bảng. Bảng này sẽ giúp xác định một gói tin có thuộc về một kết nối hợp lệ hay là từ một nguồn bất hợp lệ.

                        Nếu bạn quan tâm chi tiết đến tính năng này (stateful fw - CBAC) thì hỏi tiếp nhé.

                        Chúc vui vẻ
                        cái này còn gọi là dynamic accesslist đúng ko anh Minh. Bảng đó là lưu thông tin của session để so sánh với thông tin gói tin trả lời. Nó deny hầu hết các half open connect? có kiểu kết nối half open trong UDP ko anh?
                        phang tường thuật trực tiếp kết quả sồ số kiến thiết 3 miền
                        kimkim chát free cho mobile (có chế độ chát tiếng việt, chát nhóm...)

                        soạn tin DOWN P gửi 8217 | DOWN KK gửi 8217

                        Comment


                        • #13
                          Chào Thầy cùng tất cả mọi người!

                          Mình thật sự thấy bàn về chủ đề này rất hay. Thật sự mình cũng gặp một ít câu hỏi về firewall của Router, IOS và PIX, ASA. có một số khách hàng hỏi tại sao Router,RSA,firewall của IOS cũng làm firewall mà sao những công ty không tiết kiệm tiền mà vẫn đầu tư PIX và ASA . Ban đầu mình cũng chỉ giải thích như dùng Router,RSA,firewall IOS cũng được nhưng cùng một lúc thực hiện nhiều tính năng khác thì hiệu suất không hiệu quả, còn dùng PIX và ASA thì là thiết bị chuyên dụng nên khả năng và hiệu suất rất cao. Hình như mình thấy cách giải thích này chưa làm rõ hết sự khác nhau giữa chúng và làm vừa lòng khách hàng nhất là làm bên mảng tư vấn giải pháp wirewall.

                          Giống như đi ngược lại, PIX và ASA cũng làm routing , VPN được nhưng tại sao người ta ít và không dùng.

                          Comment


                          • #14
                            Chào thầy em có vấn đề này nhưng chưa hiểu lắm: giả sử như em cấu hình VPN giữa 2 Router IRS 2800/3800 có hỗ trợ chức năng Firewall thì vấn đề Firewall em sẽ triển khai như thế nào ah ? VPN thì em đã triển khai được rồi chỉ còn vấn đề firewall là em chưa triển khai được và nếu giả sử như firewall đã được triển khai bởi 1 ai đó trên Router rồi thì làm sao mình biết được Router đó đã được triển khai firewall ah ? Mong thầy chỉ giúp

                            Comment

                            Working...
                            X