Tải bản đầy đủ (.ppt) (156 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật

Đào tạo Bảo mật - Cisco Firewall ASA

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (3.17 MB, 156 trang )

ĐÀO TẠO
ĐÀO TẠO
Bảo mật - Cisco Firewall
Bảo mật - Cisco Firewall
Lịch học
Lịch học
Nội Dung
Mục Tiêu
Lịch Học: Trong 5 ngày
Sáng từ 9h-11h30
Chiều từ 14h-16h30
Sáng
8h30-11h30
Lý thuyết
Chiều
14h-17h00
Thực hành
Ngày 1 Ngày 2 Ngày 3
Bài 1 :
Tổng quan về Cisco
Firewall
Bài 2:
Các bước đầu làm quen
và cấu hình thiết bị bảo
mật của Cisco
Bài 1 :Thiết lập console
đến thiết bị firewall
Bài 2: Thực hiện một số
câu lệnh cơ bản
Bài 3: Cấu hình các
interface


Bài 2:
Các bước đầu làm quen và
cấu hình thiết bị bảo mật
của Cisco (continue)
Bài 3:
Quản lý thiết bị bảo mật
cisco ASA
Bài 4:
Access Control Lists
Bài 4: Cấu hình NAT và cấu
hình Định tuyến
Bài 5: Kiểm tra kết nối tới
các cổng Inside, Outside,
và DMZ
Bài 6 :Cấu hình Access-lists
(ACLs) trên firewall
Bài 5:
Cisco Adaptive Security
Device Manager
Bài 6:
Firewall Switch Modules
(FWSM)
Bài 7: Quản trị Cisco
firewall
Giới thiệu
Giới thiệu

Người trình bày:
1. Họ Tên
2. Vị trí công tác

3. Kinh nghiệm

Học viên giới thiệu
1. Họ tên
2. Vị trí công tác
3. Những kinh nghiệm về bảo mật mạng…
Bài 1
Bài 1
Tổng quan về Cisco Firewall
Tổng quan về Cisco Firewall
Firewall là gì ?
Firewall là gì ?
Outside
Vùng mạng
DMZ
Vùng mạng
Inside
Vùng mạng
Internet
Firewall là một hệ thống hoặc một nhóm các hệ thống Kiểm
soát quyền truy cập giữa hai hoặc nhiều vùng mạng.
.
Các công nghệ về Firewall
Các công nghệ về Firewall
Firewall hoạt động được dựa trên một trong ba
công nghệ :

Packet filtering

Proxy server


Stateful packet filtering
Data A B
Data A C
DMZ:
Server B
Inside:
Server C
Host A
AB-Yes
AC-No
Internet
Việc Kiểm soát truy nhập thông tin dựa vào địa chỉ nguồn
Và địa chỉ đích của gói tin gửi đến
Packet Filtering
Packet Filtering
Proxy Server
Proxy Server
Outside
Network
Proxy
Server
Inside
Network
Internet
Các kết nối từ được thông qua một máy chủ đại diện
trung gian.
Stateful Packet Filtering
Stateful Packet Filtering
172.16.0.50

10.0.0.11
1026
80
49091
Syn
172.16.0.50
192.168.0.20
49769
Syn
1026
80
Source port
Destination address
Source address
Initial sequence no.
Destination port
Flag
Ack
State Table
DMZ:
Server B
Inside:
Server C
Host A
Internet
Việc Kiểm soát truy nhập thông tin không
chỉ dựa vào địa chỉ nguồn Và địa chỉ đích
của gói tin gửi đến mà còn dựa vào bảng
trạng thái (state table)
Data HTTP A B

Hệ thống bảo mật của Cisco
Hệ thống bảo mật của Cisco
Hệ thống bảo mật của cisco cung cấp giải pháp an ninh , bảo mật
hướng tới các đối tượng khách hàng. Một số tính năng của thiết bị
an ning bảo mật của cisco như sau:

Hệ điều hành riêng biệt

Stateful packet inspection

Xác thực người dùng

Theo dõi, giám sát các ứng dụng và giao thức

Modular policy framework

Mạng riêng ảo (VPN)

Các ngữ cảnh bảo mật (các firewall ảo)

Stateful failover

Transparent firewalls

Quản trị dựa trên giao diện web
Hệ điều hành riêng biệt
Hệ điều hành riêng biệt
Việc sử dụng hệ điều hành riêng biệt loại trừ
được các nguy cơ bảo mật khi sử dụng chung
với các hệ điều hành khác

Stateful Packet Inspection
Stateful Packet Inspection

Giải thuật kiểm tra gói tin -statefull packet inspection cung cấp các
kết nối bảo mật .

Mặc định, giải thuật này cho phép kết nối từ máy vùng trong (cấp
độ bảo mật cao hơn) sang các vùng có cấp độ bảo mật thấp hơn

Mặc định, giải thuật này chặn các kết nối từ máy vùng ngoài (cấp
độ bảo mật thấp hơn ) sang các vùng có cấp độ bảo cao hơn

Giải thuật này hỗ trợ xác thực, ủy quyền và theo dõi.
Nhận diện ứng dụng
Nhận diện ứng dụng
FTP
Server
Client
Control
Port
2008
Data
Port
2010
Data
Port
20
Control
Port
21

Data - Port 2010
Port 2010 OK
Data

Cá giao thưc như FTP, HTTP, H.323, and SQL*Net cần các kết nối từ
Nhiều port khác nhau để truyền dữ liệu qua firewall .

Thiết bị bảo mật sẽ theo dõi quá trình kết nối này.

Các port cần cho kết nối sẽ được mở một cách an toàn theo từng ứng dụng.
Headquarters
System Engineer
Site B
Executives
Site C
T1
Internet
SE
exec
S2S
S2S
Internet
Modular Policy
Modular Policy
Class Map
Traffic Flow
Default
Internet
Systems Engineer
Executives

Site to Site
Policy Map
Services
Inspect
IPS
Police
Priority
Service Policy
Interface/Global
Global
Outside
Mạng riêng ảo (VPN)
Mạng riêng ảo (VPN)
B

A

N

K
Site to Site
Remote Access
IPsec VPN
SSL VPN
Internet

B

A


N

K
Headquarters
Các ngữ cảnh bảo mật
Các ngữ cảnh bảo mật
4 thiết bị firewall thật
1 thiết bị firewall thật
4 thiết bị firewall ảo
Internet
Internet
Cung cấp khả năng tạo nhiều firewall ảo trên một thiết bị firewall thật
Khả năng Failover : Active/Standby,
Khả năng Failover : Active/Standby,
Active/Active, và Stateful Failover
Active/Active, và Stateful Failover
Primary:
Failed Firewall
Secondary:
Active Firewall
Internet
Failover: Active/Standby
Primary:
Failed/Standby
Failover: Active/Active
Secondary:
Active/Active
Internet
Contexts


Khả năng dự phòng (Failover) đảm bảo kết nối mạng được thông suốt khi một thiết bị hỏng

Active/standby: một thiết bị sẽ chạy chính, một thiết bị sẽ dự phòng.

Active/Active: Cả hai thiết bị đều chạy , chia tải và dự phòng lẫn nhau.

Stateful failover: duy trì trạng thái kết nối khi một thiết bị kết nối chính hỏng.
2
1
2
1
Transparent Firewall
Transparent Firewall
192.168.1.2
192.168.1.5
Internet

Có khả năng triển khai thiết bị bảo mật ở layer 2

Cho phép bảo mật từ layer 2 đến layer 7 và hoạt động như một thiết bị layer 2
Giải pháp quản trị dùng web
Giải pháp quản trị dùng web
Adaptive
Security
Device
Manager
(ASDM)
Các loại firewall của cisco và tính năng
Các dòng sản phẩm ASA 5500
Các dòng sản phẩm ASA 5500

DN nhỏ
Giá
Chức năng
Gigabit Ethernet
Doanh nghiệp lớn
ROO
SP
ASA 5520
ASA 5540
ASA 5510
ASA 5550
ASA 5505
SP = service provider ( nhà cung cấp dịch vụ)
Các văn phòng
Các dòng sản phẩm PIX 500
Các dòng sản phẩm PIX 500
DN nhỏ
Giá
Chức năng
Gigabit Ethernet
Doanh nghiệp lớn
PIX 515E
PIX 525
PIX 535
SOHO
PIX 501
PIX 506E
SP
ROBO
Các văn phòng

Thiết bị bảo mật Cisco ASA 5510
Thiết bị bảo mật Cisco ASA 5510

Nâng cao an ninh và cung cấp dịch vụ mạng, bao gồm cả các dịch vụ VPN, cho các
doanh nghiệp nhỏ.

Cung cấp lên tới 130,000 kết nối đồng thời.

Thông lượng có thể đáp ứng tới 300-Mbps

Các interface được hỗ trợ:

Lên tới 5 cổng 10/100 Fast Ethernet

Lên tới 25 VLANs

Lên tới 5 ngữ cảnh (contexts)

Hỗ trợ failover

Active/standby

Hỗ trợ VPNs

Site to site (250 peers)

Remote access

WebVPN


Hỗ trợ thêm các module SSMs (Cisco ASA AIP SSM, Cisco ASA CSC SSM, và
Gigabit Ethernet SSM loại 4 port)
Thiết bị bảo mật Cisco ASA 5520
Thiết bị bảo mật Cisco ASA 5520

Cung cấp các dịch vụ bảo mật , kể cả vpn cho các doanh nghiệp cỡ vừa.

Cung cấp lên tới 280,000 kết nối đồng thời.

Thông lượng có thể đáp ứng 450-Mbps

Các interface được hỗ trợ:

4 10/100/1000 Gigabit Ethernet interfaces

1 10/100 Fast Ethernet interface

Lên tới 100 VLANs

Lên tới 20 contexts

Hỗ trợ failover

Active/standby

Active/active

Hỗ trợ VPNs

Site to site (750 peers)


Remote access

WebVPN

Hỗ trợ thêm các module SSMs (Cisco ASA AIP SSM, Cisco ASA CSC SSM, và
Gigabit Ethernet SSM loại 4 port)
Thiết bị bảo mật Cisco ASA 5540
Thiết bị bảo mật Cisco ASA 5540

Cung cấp các dịch vụ cần hiệu quả cao, các loại dịch vụ bảo mật , kể cả vpn cho các
doanh nghiệp lớn và các nhà cung cấp dịch vụ.

Cung cấp lên tới 400,000 kết nối đồng thời

Thông lượng đáp ứng 650-Mbps

Các interface hỗ trợ:

4 10/100/1000 Gigabit Ethernet interfaces

1 10/100 Fast Ethernet interface

Lên tới 200 VLANs

Lên tới 50 contexts

Hỗ trợ failover

Active/standby


Active/active

Hỗ trợ VPNs

Site to site (5,000 peers)

Remote access

WebVPN

Hỗ trợ thêm cá module SSMs (Cisco ASA AIP SSM, Cisco ASA CSC SSM, and four-port
Gigabit Ethernet SSM)

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×