Chapter 3: cisco pix firewall models and features
Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
1
Chương 3
ĐẶC TÍNH VÀ CÁC KIỂU TƯỞNG LỬA
PIX CISCO
Tổng quan
Chương này bao gồm những nội dung sau:
Mục đích
Tường lửa
Tổng quan về PIX Firewall
Tóm tắt
Chapter 3: cisco pix firewall models and features
Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
2
Chapter 3: cisco pix firewall models and features
Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
3
Tường lửa
Phần này đưa ra cách giải thích về một tường lửa
Theo cách định nghĩa thông thường thì tường lửa là một phần tạo nên vật liệu
chống cháy, được thiết kế để ngăn cản sự lan rộng của lửa từ một phần đến phần
khác. Nó cũng có thể được sử dụng để cách ly một phần với phần khác.
Khi áp dụng thuật ngữ tường lửa cho mạng máy tính, một tường lửa là một hệ
thống hoặc một nhóm hệ thống yêu cầu một chính sách điều khiển việc truy cập
giữa hai hoặc nhiều hơn hai mạng.
Chapter 3: cisco pix firewall models and features
Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
4
Tường lửa hoạt động dựa trên ba kỹ thuật sau:
Packet filtering – Giới hạn thông tin truyền sang một mạng dựa trên thông
tin header của gói tin tĩnh.
Proxy Server – Yêu cầu sự kết nối chuyển tiếp giữa một client bên trong
của tường lửa và mạng Internet
Stateful packet filtering – Kết hợp tốt nhất hai kỹ thuật packet filtering và
proxy server
Chapter 3: cisco pix firewall models and features
Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
5
Một tường lửa có thể sử dụng packet filtering để giới hạn thông tin đi vào một
mạng hoặc thông tin di chuyển từ một đoạn mạng này sang một đoạn mạng khác.
Packet filtering sử dụng danh sách điều khiển truy cập (ACLs), nó cho phép một
tường lửa xác nhận hay phủ nhận việc truy cập dựa trên kiểu của gói tin và các
biến khác.
Phương pháp này có hiệu quả khi một mạng được bảo vệ nhận gói tin từ một
mạng không được bảo vệ khác. Bất kỳ gói tin nào được gửi đến một mạng đã
được bảo vệ và không đúng với các tiêu chuẩn được định nghĩa bởi ACLs đều bị
hủy.
Những có một số vấn đề với packet filtering
Các gói tin bất kỳ có thể được gửi đi mà nó phù hợp với các tiêu chuẩn
của ACL thì sẽ đi qua được bộ lọc
Các gói tin có thể đi qua được bộ lọc theo từng đoạn
ACL phức tạp là rất khó thực thi và duy trì một cách đúng đắn
Một số dịch vụ không thể lọc
Chapter 3: cisco pix firewall models and features
Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
6
Một Proxy server là một thiết bị tường lửa mà nó quyết định một gói tin tại lớp
cao hơn của mô hình OSI. Thiết bị này có giá trị ẩn dữ liệu bằng cách yêu cầu
người sử dụng giao tiếp với một hệ thống bảo mật có nghĩa là một proxy. Người
sử dụng dành quyền truy cập đến một mạng bằng cách đi qua một tiến trình, tiến
trình đó sẽ thiết lập một trạng thái phiên, chứng thực người dùng và chính sách
cấp quyền. Điều này có nghĩa là người sử dụng kết nối đến các dịch vụ bên ngoài
thông qua chương trình ứng dụng (proxies) đang chạy trên cổng dùng để kết nối
đến vùng không được bảo vệ phía ngoài
Tuy nhiên cũng có những vấn đề với Proxy server bởi bì nó:
Tạo một cùng lỗi chung, nó có nghĩa là nếu cổng vào mạng bị sập thì sau
đó toàn bộ mạng cũng bị sập theo
Nó rất khó để thêm các dịch vụ mới vào tường lửa
Thực thi các ứng suất chậm
Chapter 3: cisco pix firewall models and features
Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
7
Stateful packet filtering là một phương pháp được sử dụng bởi thiết bị tường lửa
PIX của Cisco. Kỹ thuật này duy trì trạng thái phiên đầy đủ. Mỗi khi một kết nối
TCP/UDP được thiết lập cho các kết nối vào hoặc ra. Thông tin này được tập hợp
trong Stateful session flow table.
Stateful session flow table chứa địa chỉ nguồn và đích, số cổng, thông tin số thứ
tự TCP và thêm thông các cờ cho mỗi kết nốiTCP/UDP kết hợp với các phiên đó.
Thông tin này tạo nên các đối tượng kết nối và do đó các gói tin vào và ra được
so sánh với lưu lượng phiên trong Stateful session flow table. Dữ liệu được phép
qua tường lửa chỉ khi nếu một kết nối thích hợp tồn tại đánh giá tính hợp pháp đi
qua của dữ liệu đó
Phương pháp này có hiệu quả bởi vì:
Nó làm việc trên các gói tin và các kết nối
Nó hoạt động ở mức cao hơn so với packet filtering hoặc sử dụng proxy
Nó ghi dữ liệu trong một bảng cho mỗi kết nối. Bảng này như là một điểm
tham chiếu để xác địng gói tin có thuộc về một kết nối đang tồn tại hay
không hoặc là từ một nguồn trái phép
Chapter 3: cisco pix firewall models and features
Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
8
Tổng quan về PIX Firewall
Phần này sẽ thảo luận về các khái niệm cơ bản của PIX Firewall
PIX firewall là một yếu tố chính trong toàn bộ giải pháp an ninh end-to-end của
Cisco. PIX Firewall là một giải pháp an ninh phần cứng và phần mềm chuyên
dụng và mức độ bảo mật cao hơn mà không ảnh hưởng đến sự thực thi của hệ
thống mạng. Nó là một hệ thống được lai ghép bởi vì nó sử dụng cả hai kỹ thuật
packet filtering và proxy server
Không giống như các CPU tập trung thông thường, các server proxy full-time
thực hiện xử lý mở rộng trên mỗi gói dữ liệu tại tầng ứng dụng; PIX Firewall sử
dụng hệ điều hành thích hợp, nó đảm bảo sự bảo mật, là hệ điều hành thời gian
thực, là hệ thống dạng nhúng.
PIX Firewall cung cấp các đặc tính và các chứ năng sau:
Không giống như UNIX, đảm bảo sự bảo mật, là hệ điều hành thời gian
thực, là hệ thống nhúng – Không như các CPU, những server proxy tập
trung thông thường thực thi xử lý mở rộng trên mỗi gói dữ liệu, PIX
Firewall là hệ thống thời gian thực, dạng nhúng nên nó tăng cường an
ninh cho mạng