CHAPTER 6: CISCO PIX FIREWALL TRANSLATUONS


Trần Giáo_Lớp K3D_Khoa CNTT_ĐH Thái Nguyên
1
CHƯƠNG 6
CISCO PIX FIREWALL TRANSLATION
Tổng quan:
Chương này bao gồm các topic sau:
 Mục đích
 Các giao thức vận chuyển
 Việc dịch trong PIX Firewall
 Truy cập qua PIX Firewall
 Các cách khác qua PIX Firewall
 Tổng hợp
 Lab exercise
CHAPTER 6: CISCO PIX FIREWALL TRANSLATUONS


Trần Giáo_Lớp K3D_Khoa CNTT_ĐH Thái Nguyên
2
Mục đích




CHAPTER 6: CISCO PIX FIREWALL TRANSLATUONS


Trần Giáo_Lớp K3D_Khoa CNTT_ĐH Thái Nguyên
3

Các giao thức vận chuyển
Để thu được những hiểu biết sâu sắc về tiến trình truyền ra/vào của PIX Firewall,
xem lại một cách sơ lược hai giao thức vận chuyển chính


Việc hiểu các giao thức lớp vận chuyển TCP và UDP là rất quan trọng để hiểu cách
thức hoạt động của PIX Firewall. Phần này sẽ giúp bạn hiểu về các giao thức TCP
và UDP
Một phiên thực hiện trên 2 giao thức lớp vận chuyển:
 TCP – dễ kiểm tra
 UDP – Khó khăn để kiểm tra một cách đúng đắn
Note: Trong ngữ cảnh này thì thuật ngữa outbound có nghĩa là những kết nối từ
side tin cậy nhiều hơn của PIX Firewall đến side có tính tin cậy ít hơn của PIX
Firewall. Thuật ngữ inbound có nghĩa là những kết nối từ side có tính tin cậy ít hơn
đến side có tính tin cậy nhiều hơn của PIX Firewall
CHAPTER 6: CISCO PIX FIREWALL TRANSLATUONS


Trần Giáo_Lớp K3D_Khoa CNTT_ĐH Thái Nguyên
4


TCP là một giao thức kết nối có hướng. Khi một phiên từ một host thuộc side an
ninh hơn của PIX Firewall được bắt đầu, PIX Firewall sẽ tạo một log (bản ghi)
trong session state filter (bộ lọc trạng thái phiên). PIX Firewall cho phép trích các
phiên từ các lưu lượng mạng và kích hoạt kiểm tra tính hợp thức của chúng trong
thời gian thực. Stateful filter duy trì các tham số (hoặc trạng thái) cho mỗi kết nối
mạng và kiểm tra các đơn vị giao thức tiếp theo. Khi TCP khởi tạo một phiên với
PIX Firewall, PIX Firewall ghi lại các lưu lượng mạng và xem phản hồi từ thiết bị
mà nó đã cố gắng truyền thông. PIX Firewall sau đó cho phép lưu lượng đi qua giữa

các kết nối dựa trên quá trình bắt tay 3 bước
CHAPTER 6: CISCO PIX FIREWALL TRANSLATUONS


Trần Giáo_Lớp K3D_Khoa CNTT_ĐH Thái Nguyên
5


Khi một phiên TCP được thiết lập trên PIX Firewall sẽ xảy ra những điều dưới đây:
1. Gói tin IP đầu tiên từ host inside là nguyên nhân phát sinh ra một khe dịch
(translation slot). Thông tin TCP được nhúng sau đó được sử dụng để tạo
một khe kết nối trong PIX Firewall
2. Khe kết nối được đánh dấu là embryonic (chưa thiết lâp)
3. PIX Firewall ngẫu nhiên khởi tạo số thứ tự của kết nối, lưu trữ giá trị delta và
đẩy gói tin đến giao diện ra
4. Bây giờ PIX Firewall trông đợi gói tin SYN/ACK từ host đích. Sau đó PIX
Firewall kết hợp với gói tin nhận được dựa trên khe kết nối. Tính toán thông
tin về thứ tự sắp xếp và đẩy gói tin ngược trở lại đến host inside
CHAPTER 6: CISCO PIX FIREWALL TRANSLATUONS


Trần Giáo_Lớp K3D_Khoa CNTT_ĐH Thái Nguyên
6


5. host inside hoàn thành cài đặt kết nối (bắt tay ba bước) với một ACK
6. Khe kết nối trên PIX Firewall được đánh dấu là đã kết nối (active-established)
và dữ liệu được truyền. Bộ đếm embryonic sau đó được reste lại cho kết nối
này
CHAPTER 6: CISCO PIX FIREWALL TRANSLATUONS



Trần Giáo_Lớp K3D_Khoa CNTT_ĐH Thái Nguyên
7


UDP là một giao thức kết nối không có hướng. PIX Firewall cần giữ một phương
pháp để đảm bảo tính an ninh của nó. Các ứng dụng sử dụng UDP là khó để đảm
bảo tính an ninh bởi vì nó không có quá trình bắt tay hoặc sự xắp xếp thứ tự. Nó
khó để xác định trạng thái hiện tại của một giao dịch UDP (đang mở, đã thiết lập, và
đóng). Nó cũng khó khăn để duy trì trạng thái của một phiên như là nó không clear
beginning (xóa về từ đầu), trạng thái luông…. Tuy nhiên PIX Firewall tạo một khe
kết nối UDP khi một gói tin UDP được gửi từ một giao diện có mức an ninh cao
hơn đến giao diện có mức an ninh thấp hơn. Tất cả những gói tin UDP tiếp theo kết
hợp với khe kết nối đẩy ra mạng inside
CHAPTER 6: CISCO PIX FIREWALL TRANSLATUONS


Trần Giáo_Lớp K3D_Khoa CNTT_ĐH Thái Nguyên
8


Khi một khe kết nối UDP ở trạng thái nhàn rỗi mà lâu hơn thời gian nhàn rỗi cho
phép đã được cấu hình nó sẽ bị xóa từ bảng kết nối. Dưới đây là một số đặc trưng
của UDP:
 UDP là một giao thức vận chuyển không tin cậy nhưng hiệu quả
 Sự giả mạo gói tin UDP là rất dễ (không có quá trình bắt tay 3 bước hoặc
không có thứ tự). Khi mà không có trạng thái máy thì phần khởi tạo của giao
dịch hoặc trạng thái hiện tại thường không thể xác định được
 UDP không phân phối đảm bảo

 UDP không quản lý tắc nghẽn hoặc tránh tắc nghẽn
Các dịch vụ sử dụng UDP có thể chia thành 2 loại:
 Các dịch vụ Request – reply (ping – pong) (DNS)
 Flow services (video, VoIP, NFS)
CHAPTER 6: CISCO PIX FIREWALL TRANSLATUONS


Trần Giáo_Lớp K3D_Khoa CNTT_ĐH Thái Nguyên
9
PIX Firewall Translations
Phần này sẽ mô tả về tiến trình dịch trong PIX Firewall. Có 2 kiểu dịch đó là Tĩnh
và động

Sử dụng dịch tĩnh khi bạn muốn một host inside luôn luôn xuất hiện với một địa chỉ
cố định trên mạng global của PIX Firewall. Dịch tĩnh được sử dụng để ánh xạ một
địa chỉ host inside đến một outside, địa chỉ global:

CHAPTER 6: CISCO PIX FIREWALL TRANSLATUONS


Trần Giáo_Lớp K3D_Khoa CNTT_ĐH Thái Nguyên
10


 Sử dụng lệnh static cho các kết nối bên ngoài để đảm bảo gói tin đi ra khỏi
một host inside luôn luôn được ánh xạ đến một địa chỉ IP global cụ thể ( ví
dụ: một host inside DNS, SMTP)
 Sử dụng riêng lệnh static cho các kết nối bên ngoài mà cần ánh xạ đến cùng
một địa chỉ IP global
Những thông tin dưới đây có thể giúp bạn xác định khi nào thì sử dụng dịch tĩnh

trong PIX Firewall:
 Không tạo statics với chỉ IP tĩnh chồng chéo. Mỗi địa chỉ IP cần duy nhất
 Statics cần đảm bảo thứ tự trên cặp lệnh nat và global
 Nếu một địa chỉ IP global được swer dụng cho cho dịch địa chỉ cổng (PAT),
không sử dụng cùng địa chỉ IP global cho dịch tĩnh

CHAPTER 6: CISCO PIX FIREWALL TRANSLATUONS


Trần Giáo_Lớp K3D_Khoa CNTT_ĐH Thái Nguyên
11

Dịch động được sử dụng cho host cục bộ và các kết nối bên ngoài của chúng và địa
chỉ host được ẩn trước Internet. Với dịch động, trước tiên bạn cần phải định nghĩa
host thích hợp cho việc dịch với lệnh nat và sau đó định nghĩa địa chỉ pool với lệnh
global. Việc cấp dải địa chỉ được chọn trên outgoing interface dựa trên nat_id đã
được chọn với lệnh nat.
Lệnh nat làm việc với lệnh global để kích hoạt NAT. Lệnh nat kết hợp với một
mạng với dải địa chỉ IP. Nó cho phép bạn chỉ định danh sách các host inside có thể
sử dụng PIX Firewall cho việc dịch
Trong hình vẽ trên thì địa chỉ global pool được gán bởi lệnh global là từ
192.168.0.20 đến 192.168.0.254, cho phép lên tới 235 địa chỉ IP riêng biệt
CHAPTER 6: CISCO PIX FIREWALL TRANSLATUONS


Trần Giáo_Lớp K3D_Khoa CNTT_ĐH Thái Nguyên
12

Việc dịch tại lớp Ip và tiếp tục tại lớp vận chuyển. Các kết nối là các tập hợp con
của translation. Bạn có thể có nhiều kết nối mở dưới một translation.

Bạn có thể chỉ định tới 256 global pool địa chỉ IP. Tối đã là một địa chỉ mạng lớp B
hoặc 255 dịa chỉ lớp C – là 65.535 địa chỉ
CHAPTER 6: CISCO PIX FIREWALL TRANSLATUONS


Trần Giáo_Lớp K3D_Khoa CNTT_ĐH Thái Nguyên
13


Lệnh xlate cho phép bạn hiển thị hoặc xóa nội dung của các translation slot
translation slot vẫn có thể còn mập mờ sau những thay đổi vừa mới tạo. Luôn luôn
sử dụng lệnh clear xlate hoặc reload lại sau khi thêm, thay đổi hoặc gỡ bỏ các lệnh
alias, global, nat, route, static trong cấu hình
Cú pháp lệnh xlate như sau
clear xlate [global_ip [local_ip]]
show xlate [global_ip [local_ip]]
Global_ip
Địa chỉ IP đã được đăng ký để sử dụng từ global pool
Local_ip
Địa chỉ IP cục bộ từ mạng inside

CHAPTER 6: CISCO PIX FIREWALL TRANSLATUONS


Trần Giáo_Lớp K3D_Khoa CNTT_ĐH Thái Nguyên
14
Truy cập thông qua PIX Firewall


Chỉ có 2 cách cho phép truy cập thông qua PIX Firewall :

 Valid user request – tất cả các phiên từ inside đến outside. Khi một server
outside đáp ứng yêu cầu, PIX Firewall kiểm tra bảng translation để xem
translation slot có tồn tại cho yêu cầu cụ thể hay không? Nếu nó tồn tại thì
PIX Firewall cho phép phiên được tiếp tục. Sau khi phiên kết thúc,
translation slot sẽ bị xóa
Sau khi một phiên được thiết lập cho yêu cầu UDP, một cấu hình timer được
thiết lập. Phiên kết thúc dựa trên thời gian được phép cho phiên UDP và sau
đó đóng translation slot
 Predefined statics and conduits – sử dụng trong truyền thông từ ouside đến
inside. Định nghĩa trước một static translation sử dụng một hoặc một dải các
địa chỉ từ global pool. Một conduit được nhập để định nghĩa địa chỉ, nhóm
địa chỉ, cổng TCP/UDP hoặc dải các cổng và ai, ứng dụng gì được phép qua
PIX Firewall.