nghiên cứu tưởng lửa ASA 5515

31 133 0
  • Loading ...
1/31 trang

Thông tin tài liệu

Ngày đăng: 30/04/2018, 16:25

TRƯỜNG ĐẠI HỌC KỸ THUẬT – HẬU CẦN CAND KHOA CÔNG NGHỆ THÔNG TIN BÁO CÁO CHUYÊN ĐỀ Nghiên cứu thiết bị tường lửa ASA 5515 ứng dụng xây dựng lab thực hành khoa CNTT Học phần: An toàn hạ tầng mạng GIÁO VIÊN HƯỚNG DẪN: Thượng úy Nguyễn Văn Thơng Nhóm học viên: Nguyễn Phi Hùng Trần Hưng Nguyễn Thị Hương Lan Đoàn Thị Thúy Liễu Bắc Ninh, tháng 12 năm 2017 MỤC LỤC CHƯƠNG TỔNG QUAN VỀ FIREWALL 1.1 Sơ lược Firewall 1.2 Phân loại Firewall 1.2.1 Firewall cứng 1.2.2 Firewall mềm 1.3 Kiến trúc Firewall 1.3.1 Kiến trúc Dual – homed Host 1.3.2 Kiến trúc Screened Host 11 1.3.3 Kiến trúc Screened Subnet Host 12 1.3.4 Sử dụng nhiều Bastion Host 13 1.3.5 Kiến trúc ghép chung Router Router 15 1.3.6 Kiến trúc ghép chung Bastion Host Router (Exterior Router) 16 1.4 Các thành phần chế hoạt động 16 1.4.1 Bộ lọc paket (Paket filtering router) 16 1.4.2 Cổng ứng dụng (application-level getway) 18 1.4.3 Cổng vòng (circuit -Level Gateway) 20 CHƯƠNG TÌM HIỀU FIREWALL ASA 5515 22 2.1 Giới thiệu sơ lược ASA 5515 22 2.2 Các tính 23 CHƯƠNG TRIỂN KHAI CÁC CHÍNH SÁCH TRÊN FIREWALL ASA 5515-X 27 3.1 Bài toán 27 3.1.1 Các bước cấu hình 27 3.2 Bài toán 28 3.2.1 Các bước cấu hình 29 CHƯƠNG KẾT LUẬN 30 TÀI LIỆU THAM KHẢO 31 DANH MỤC HÌNH ẢNH Hình 1.1 Mơ hình Firewall Hình 1.2 Zone Alarm Hình 1.3 Mơ hình Firewall mềm Hình 1.4 Windows Firewall Hình 1.5 Sơ đồ kiến trúc Dual-homed Host Hình 1.6 Sơ đồ kiến trúc Screened Host 11 Hình 1.7 Sơ đồ kiến trúc sử dụng Bastion Host 14 Hình 1.8 Sơ đồ kiến trúc ghép chung Router Router ngồi 15 Hình 1.9 Sơ đồ kiến trúc ghép chung Bastion Host Router 16 Hình 1.10 Bộ lọc gói tin Firewall 17 Hình 1.11 Kết nối qua cổng vòng 20 Hình 2.1 Cisco Firewall ASA 5515-X 22 Hình 2.2 Thông số ASA 5515-X 22 Hình 3.1 Mơ hình thực 27 Hình 3.2 Mơ hình thực 28 CHƯƠNG TỔNG QUAN VỀ FIREWALL 1.1 Sơ lược Firewall - Firewall thiết bị – hay hệ thống – điều khiển truy cập mạng, phần cứng phần mềm kết hợp hai - Firewall thường đặt mạng vành đai để đóng vai trò cổng nối (gateway) bảo mật mạng tin cậy mạng khơng tin cậy, Internet Internet mạng doanh nghiệp chủ với mạng đối tác Một số ưu điểm Firewall Firewall thiết kế để ngăn chặn tất lưu lượng không phép cho phép lưu lượng phép qua nó, bảo vệ tài nguyên - Sừ dụng quy tắc kiểm soát truy cập Kiêm tra trạng thái gói tin - Dùng application proxies Ghi nhận báo cáo kiện mạng: ta nghi nhận kiện Firewall nhiều cách nhừng hầu hết Firewall sử dụng hai phương pháp syslog proprietaly logging formamt Chức Firewall kiểm sốt luồng thơng tin từ Internet Internet, Thiết lập chế điều khiển dòng thơng tin mạng bên (Internet) mạng Internet :là việc đâu tiên mà tất firewall có quản lý kiểm soát luồng dũa liệu mạng, firewall kiểm tra gói tin giám sát kết nối thực sau lọc kết nối dựa kêt kiểm tra gói tin kết nối giám sát, kiêm tra gói tin dựa thông tin sau: - IP nguồn - Port nguồn - IP đích - Port đích - Giao thức IP - Thông tin header Xác thực quyền truy cập: Firewall co thể xác định quyền truy cập nhiều cấu khác nhau: - Thư firewall có có quyền yêu cầu username password người dùng người dùng truy cập - Thứ hai firewall xác thực người dùng certificates public key - Thứ ba firewall dùng pre-shared keys (PSKs) để xác thực người dùng Những hạn chế Firewall Tuy firewall co ưu điểm tồn số hạn chế sau - Firewall không bảo vệ chống lại công bỏ qua tường lửa vd hệ thống bên có khả dial-out kết nối với ISP hoạc mạng LAN bên cung cấp modem pool có khả dial-in cho nhân viên di động hay kiểu công dạng social engineering nhằm đếm đối tượng người dùng mạng - Firewall không bảo vệ chống lại mối đe dọa nội bộ, vd nhân vihường, số giới hạn ứng dụng cho dịch vụ Telnet, DNS, FTP, SMTP xác thực user cài đặt bastion host - Bastion host yêu cầu nhiều mức độ xác thực khác nhau, ví dụ user password hay smart card - Mỗi proxy trì - Mỗi proxy đặt cấu hình phép truy nhập sồ máy chủ định Điều có nghĩa lệnh đặc điểm thiết lập cho proxy với số máy chủ toàn hệ thống - Nhật ký ghi chép lại tồn chi tiết giao thơng qua nó, kết nối, khoảng thời gian kết nối Nhật ký có ích việc tìm theo dấu vết hay ngăn chặn kẻ phá hoại - Mỗi proxy độc lập với proxy khác bastion host Điều cho phép dễ dàng trình cài đặt proxy mới, hay tháo gỡ môt proxy có vấn để Ưu điểm - Cho phép người quản trị mạng hoàn toàn điều khiển dịch vụ mạng, ứng dụng proxy hạn chế lệnh định máy chủ truy nhập dịch vụ - Cho phép người quản trị mạng hoàn toàn điều khiển dịch vụ cho phép, vắng mặt proxy cho dịch vụ tương ứng có nghĩa dịch vụ bị khoá - Cổng ứng dụng cho phép kiểm tra độ xác thực tốt, có nhật ký ghi chép lại thơng tin truy nhập hệ thống - Luật lệ lọc filltering cho cổng ứng dụng dễ dàng cấu hình kiểm tra so với lọc packet Hạn chế Yêu cầu user thay đổi thao tác, thay đổi phần mềm cài đặt máy client cho truy nhập vào dịch vụ proxy Chẳng hạn, Telnet truy nhập qua cổng ứng dụng đòi hỏi hai bước để nối với máy chủ bước thơi Tuy nhiên, có số phần mềm client cho phép ứng dụng cổng ứng dụng suốt, cách cho phép user máy đích khơng phải cổng ứng dụng lệnh Telnet 1.4.3 Cổng vòng (circuit -Level Gateway) Cổng vòng chức đặc biệt thực cổng ứng dụng Cổng vòng đơn giản chuyển tiếp (relay) kết nối TCP mà không thực hành động xử lý hay lọc packet Hình minh hoạ hành động sử dụng nối telnet qua cổng vòng Cổng vòng đơn giản chuyển tiếp kết nối telnet qua firewall mà không thực kiểm tra, lọc hay điều khiển thủ tục Telnet nào.Cổng vòng làm việc sợi dây,sao chép byte kết nối bên (inside connection) kết nối bên (outside connection) Tuy nhiên, kết nối xuất từ hệ thống firewall, che dấu thơng tin mạng nội Hình 1.11 Kết nối qua cổng vòng Cổng vòng thường sử dụng cho kết nối ngoài, nơi mà quản trị mạng thật tin tưởng người dùng bên Ưu điểm lớn bastion host cấu hỗn hợp cung cấp Cổng ứng dụng cho kết nối đến cổng vòng cho kết nối Điều làm cho hệ thống tường lửa dễ dàng sử dụng cho người mạng nội muốn trực tiếp truy nhập tới dịch vụ Internet, cung cấp chức tường lửa để bảo vệ mạng nội từ cơng bên ngồi CHƯƠNG TÌM HIỀU FIREWALL ASA 5515 2.1 Giới thiệu sơ lược ASA 5515 Hình 2.1 Cisco Firewall ASA 5515-X Thông số bản: - RAM: 8Gb - Chuẩn Ethernet: 10/100/1000 Base-T - Giá thành: Khoảng 3000$ Hình 2.2 Thơng số ASA 5515-X 2.2 Các tính Stateful Inspection Throughput (Maximum) 1.2 Gbps Stateful Inspection Throughput (Multiprotocol) 600 Mbps IPS Throughput 400 Mpbs (Extra hardware not required) Next-Generation Throughput(Multiprotocol) 350 Mbps 3DES/AES VPN Throughput 250 Mbps Users/Nodes Unlimited IPsec VPN Peers 250 Cisco Cloud Web Security Users 250 Premium AnyConnect VPN 2/250 Peers(Included/Maximum) Concurrent Connections 250,000 New Connections/Second 15,000 Virtual Interfaces (VLANs) 100 Security Contexts (Included/Maximum)6 2,5 High Availability Active/Active and Active/Standby Expansion Slot interface card User-Accessible Flash Slot No USB 2.0 Ports Integrated I/O GE Copper Expansion I/O GE Copper or GE SFP Serial Ports RJ-45 console Solid State Drive slot, 120 GB MLC SED Memory GB Minimum System Flash GB System Bus Multibus architecture Temperature 23 to 104°F (-5 to 40°C) Relative Humidity 10 to 90 percent noncondensing Altitude Designed and tested for to 15,000 ft (4572m) Shock 70G, 4.22 m/sec Vibration 0.41 Grms2 (3 to 500 Hz) random input Acoustic Noise 64.2 dBa max Temperature -13 to 158ºF (-25 to 70ºC) Relative Humidity 10 to 90 percent noncondensing Altitude Designed and tested for to 15,000 ft (4570m) Shock 70G, 4.22 m/sec TÀI LIỆU THAM KHẢO [1] Mạng máy tính hệ thống mở – Nguyễn Thúc Hải (NXB Giáo Dục) [2] An toàn bảo mật tin tức mạng – Học viện Cơng nghệ Bưu Viễn thông (NXB Bưu Điện) [3] Bức tường lửa Internet An ninh mạng – NXB Bưu Điện [4] Quangtrimang.com, mywep.pro.vn, hocwep.com.vn Internet [5] Sơ lượt Firewall (http://open.ptit.edu.vn/clbsv/showthread.php?t=4716) Tiếng anh: [6] Cisco ASA series Firewall CLI Configuration Guide [7] Cisco ASA Series Command Reference
- Xem thêm -

Xem thêm: nghiên cứu tưởng lửa ASA 5515, nghiên cứu tưởng lửa ASA 5515

Gợi ý tài liệu liên quan cho bạn

Nhận lời giải ngay chưa đến 10 phút Đăng bài tập ngay