CHAPTER 5: BASIC CONFIGURATION OF THE CISCO PIX FIREWALL
Trần Giáo_Khoa CNTT_ĐH Thái Nguyên
1
Chương 5
CẤU HÌNH CƠ BẢN PIX FIREWALL
Tổng quan:
Chương này bao gốm các nội dung sau:
Mục tiêu
Các lệnh duy trì thông thường
Cấp độ an ninh ASA
6 lệnh chính
Tóm tắt
Bài tập thực hành trên phòng Lab
Mục tiêu
CHAPTER 5: BASIC CONFIGURATION OF THE CISCO PIX FIREWALL
Trần Giáo_Khoa CNTT_ĐH Thái Nguyên
2
Các lệnh duy trì thông thường của PIX Firewall
Phần này sẽ đưa ra các kiểu truy cập và các lệnh kết hợp với hoạt động của PIX
Firewall
PIX Firewall chứa tập các lệnh dựa trên hệ điều hành Cisco IOS và cung cấp 4 chế
độ truy cập:
Unprivileged mode (chế độ truy cập không đặc quyền) – Chế độ này sẽ sẵn
có khi bạn lần đầu tiên truy cập vào PIX Firewall. Từ dấu nhắc > được hiển
thị, chế độ này cho phép bạn xem các thiết lập một cách hạn chế.
Privileged mode (chế độ đặc quyền) – Chế độ này hiển thị dấu nhắc # và cho
phép bạn thay đổi cài đặt hiện tại. Bất kỳ lệnh trong chế độ không đặc quyền
nào đều có thể làm việc trong chế độ đặc quyền.
Configuration mode (chế độ cấu hình) – Chế độ này hiển thị dấu nhắc
(config)# và cho phép bạn thay đổi cấu hình hệ thống. Tất cả các lệnh đặc
quyền, không đặc quyền và lệnh cấu hình đều làm việc ở chế độ này.
Monitor mode (chế độ theo dõi kiểm tra) – Đây là một chế độ đặc biệt nó cho
phép bạn cập nhật image trên mạng. Trong chế độ này bạn có thể nhập các
lệnh chỉ định vị trí của TFTP server và image nhị phân để download.
CHAPTER 5: BASIC CONFIGURATION OF THE CISCO PIX FIREWALL
Trần Giáo_Khoa CNTT_ĐH Thái Nguyên
3
Trong mỗi một kiểu truy cập, bạn có thể rút gọn một cách tối đa câu lệnh xuống chỉ
còn một vài ký tự riêng biệt của câu lệnh đó. Ví dụ bạn có thể nhập write t để xem
cấu hình thay vì phải nhập câu lệnh đầy đủ write terminal. Bạn có thể nhập en thay
cho enable để bắt đầu chế độ đặc quyền, co t thay cho configuration terminal để
bắt đầu chế độ cấu hình.
Thông tin trợ giúp luôn sẵn có trong dòng lệnh của PIX Firewall bằng cách nhập
help hoặc ? để liệt kê tất cả các lệnh. Nếu bạn nhập help hoặc ? sau một lệnh (ví dụ
router), thì cú pháp lệnh router sẽ được liệt kê ra. Số các lệnh được liệt kê ra khi
bạn dùng dấu hỏi hoặc từ khóa help là khác nhau ở các chế độ truy cập vì vậy mà
chế độ không đặc quyền sẽ đưa ra các lệnh ít nhất và chế độ cấu hình sẽ đưa ra số
lệnh nhiều nhất. Hơn nữa bạn có thể nhập bất cứ một lệnh nào (chính nó)ở trên
dòng lệnh và sau đó ấn phím Enter để xem cú pháp lệnh
Chú ý: bạn có thể tạo một cấu hình của riêng mình trên một trình soạn thảo văn bản
sau đó cut và paste nó sang phần cấu hình. Bạn có thể paste cấu hình đó một dòng
một lần hoặc toàn bộ một lần. Nhớ là phải luôn kiểm tra cấu hình của bạn sau khi
paste một khối lớn văn bản để chắc chắn là mọi thứ đã được copy
CHAPTER 5: BASIC CONFIGURATION OF THE CISCO PIX FIREWALL
Trần Giáo_Khoa CNTT_ĐH Thái Nguyên
4
Có một số lệnh duy trì thông thường của PIX Firewall:
Lệnh Enable, enable password và passwd – Được sử dụng để truy cập vào
phần mềm PIX Firewall để thay đổi mật khẩu.
Write erase, wirte memory và write team – Được sử dụng để hiển thị cấu
hình hệ thống và lưu trữ cấu hình dữ liệu mới
Show interface, show ip address, show memory, show version và show
xlate – Được sử dụng để kiểm tra cấu hình hệ thống và thông tin thích hợp
khác
Exit và reload – Được sử dụng để thoát một chế độ truy cập, tải lại một cấu
hình và khởi động lại hệ thống
Hostname, ping và telnet – Được sử dụng để xác định nếu một địa chỉ IP
khác tồn tại, thay đổi hostname, chỉ định host cục bộ cho PIX Firewall và
giành quyền truy cập console
CHAPTER 5: BASIC CONFIGURATION OF THE CISCO PIX FIREWALL
Trần Giáo_Khoa CNTT_ĐH Thái Nguyên
5
Lệnh enable cho phép bạn vào chế độ truy cập đặc quyền, sau khi bạn nhập enable,
PIX Firewall sẽ nhắc bạn mật khẩu để truy cập vào chế độ đặc quyền. Mặc định thì
mật khẩu này không yêu cầu vì thế mà bạn ấn phím Enter, sau khi bạn vào chế độ
đặc quyền hãy để ý dấu nhắc sẽ thay đổi sang ký hiệu #. Khi bạn gõ configure
terminal nó sẽ đưa bạn vào chế độ cấu hình và dấu nhắc thay đổi sang (config)#.
Để thoát và quay trở về chế độ trước đó, sử dụng lệnh disable, exit hoặc quit
CHAPTER 5: BASIC CONFIGURATION OF THE CISCO PIX FIREWALL
Trần Giáo_Khoa CNTT_ĐH Thái Nguyên
6
Lệnh enable password thiết lập mật khẩu truy cập vào chế độ đặc quyền. Bạn sẽ
được nhắc mật khẩu này sau khi nhập lệnh enable (Khi PIX Firewall khởi động và
bạn nhập vào chế độ đặc quyền thì sẽ xuất hiện dấu nhắc để nhập mật khẩu)
Không có mật khẩu mặc định do đó bạn có thể ấn phím enter tại dấu nhắc mật khẩu
hoặc bạn có thể tạo ra mật khẩu do bạn chọn. Mật khẩu phân biệt chữ hoa và chữ
thường, hỗ trợ độ dài lên đến 16 ký tự chữ số. Bất kỳ ký tự nào cũng có thể được sử
dụng lọai trừ dấu chấm hỏi, dấu cách và dấu hai chấm.
Nếu bạn thay đổi mật khẩu, bạn nên ghi lại va lưu trữ nó ở một nơi thích hợp. Sau
khi bạn thay đổi mật khẩu thì bạn không thể xem lại nó bởi vì nó đã được mã hóa.
Lệnh show enable password chỉ đưa ra dạng mật khẩu đã được mã hóa. Sau khi
mật khẩu đã bị mã hóa chúng không thể đảo ngược lại dạng văn bản thông thường
Lệnh passwd cho phép bạn thiết lập mật khẩu Telnet truy cập vào PIX Firewall.
Mặc định giá trị này là Cisco.
Chú ý: Bất kỳ một mật khẩu rỗng nào cũng được thay đổi thành một xâu mã hóa
CHAPTER 5: BASIC CONFIGURATION OF THE CISCO PIX FIREWALL
Trần Giáo_Khoa CNTT_ĐH Thái Nguyên
7
Lệnh write cho phép bạn ghi (lữ trữ) cấu hình hệ thống vào bộ nhớ, hiển thị cấu
hình hệ thống và xóa các cấu hình hiện tại. Dưới đây là các lệnh write:
write net – Lưu trữ cấu hình hệ thống thành một file trên TFTP server hoặc
trong mạng.
write earse – Xóa cấu hình bộ nhớ flash
write floppy – Lữ trữ cấu hình hiện tại vào đĩa mềm (PIX Firewall 520 và
các model trước đó có ổ đĩa mềm 3.5-inch)
Chú ý: Nếu bạn định dạng ổ đĩa mềm từ hệ điều hành Window, chọn kiểu định dạng
full-format và không được chọn quick-format. Ổ đĩa mềm bạn tạo có thể chỉ được
đọc hoặc ghi bởi PIX Firewall. Nếu bạn sử dụng lệnh write floppy với một đĩa mềm
mà nó không phải là đĩa khởi động của PIX Firewall, không được để nó ở trong ổ
đĩa bởi vì nó sẽ ngăn cản quá trình khởi động lại của PIX khi xảy ra lỗi ở nguồn
hoặc hệ thống load lại. Chỉ một bản copy của cấu hình có thể được lưu trữ trên đĩa
mềm.
write memory – Ghi cấu hình đang chạy (hiện tại) vào bộ nhớ Flash
CHAPTER 5: BASIC CONFIGURATION OF THE CISCO PIX FIREWALL
Trần Giáo_Khoa CNTT_ĐH Thái Nguyên
8
write standby – Ghi cấu hình được lưu trong Ram trên active failover PIX
Firewall, vào RAM trên standby PIX Firewall. Khi PIX Firewall hoạt động
(active PIX Firewall) khởi động ghi cấu hình vào PIX dự phòng.. Sử dụng
lệnh này để ghi cấu hình của active PIX Firewall sang standby PIX Firewall.
Write teminal – Hiển thị cấu hình hiện tại trên thiết bị đầu cuối
Dưới đây là các lệnh Telnet khác:
telnet – Cho phép bạn chỉ định host có thể truy cập đến PIX Firewall thông
qua Telnet. Bạn có thể chỉ định một host trên một mạng bên trong bất kỳ
nhưng bạn không thể chỉ định host trên mạng phía ngoài. Hỗ trợ lên đến 16
host hoặc mạng cho phép truy cập đồng hời đến PIX Firewall thông qua
Telnet
Show telnet – Hiển thị danh sách các địa chỉ IP hiện tại được phép truy cập
vào PIX Firewall thông qua telnet
CHAPTER 5: BASIC CONFIGURATION OF THE CISCO PIX FIREWALL
Trần Giáo_Khoa CNTT_ĐH Thái Nguyên
9
Clear telnet and no telnet – Di chuyển đến phiên telnet truy cập từ một địa
chỉ IP trước đó
Telnet timeout – Thiết lập thời gian cực đại một phiên telnet có thể không
được sử dụng trước khi nó bị kết thúc bởi PIX Firewall.
Kill – Kết thúc một phiên telnet. Khi bạn kết thúc một phiên telnet, PIX
Firewall sẽ ngăn chặn mọi lệnh kích hoạt và sau đó hủy kết nối mà không
cảnh báo người sử dụng.
Who – Cho phép bạn hiển thị địa chỉ IP hiện tại đang truy cập vào PIX
Firewall thông qua telnet
Dưới đây là cú pháp của các lệnh này:
telnet ip_address [netmask] [if_name]
clear telnet [ip_address [netmask] [if_name]]
no telnet [ip_address [netmask] [if_name]]
telnet timeout minutes
kill telnet_id
who local_ip
Ip_address
Một địa chỉ IP của một host hoặc mạng mà có thể Telnet đến
PIX Firewall . Nếu không đưa ra tên giao diện (if_name) thì
mặc định sẽ là giao diện phía trong (mạng bên trong). PIX
Firewall tự động kiểm tra địa chỉ IP dựa trên địa chỉ IP được
nhập bởi lệnh ip address để đảm bảo rằng địa chỉ bạn đưa ra
thuộc về mạng bên trong. Nếu tên giao diện được đưa ra thì
PIX Firewall chỉ kiểm tra host dựa trên giao diện bạn chỉ định
Netmask
Mặt nạ mạng của địa chỉ IP. Để giới hạn truy cập đến một địa
chỉ IP đơn thì sử dụng 255 cho mỗi octet( ví dụ,
255.255.255.255). Nếu bạn không đưa ra netmask thì mặc định
CHAPTER 5: BASIC CONFIGURATION OF THE CISCO PIX FIREWALL
Trần Giáo_Khoa CNTT_ĐH Thái Nguyên
10
là 255.255.255.255 đối với lớp local_ip (ip cục bộ). Không sử
dụng mặt nạ mạng con của mạng bên trong. Mặt nạ mạng chỉ là
một bit mask cho địa chỉ IP trong ip address
If_name
Nếu Ipsec đang hoạt động, PIX Firewall cho phép bạn đưa ra
một tên giao diện không đảm bảo. Thông thường là mạng phía
ngoài. Tối thiểu thì lệnh cryto map cần được cấu hình để đưa
ra tên một giao diện với lệnh Telnet
Minutes
Số phút mà phiên telnet có thể không sử dụng đến trước khi bị
đóng bởi PIX Firewall. Mặc định là 5 phút. Hỗ trợ từ 1-60 phút
telnet_id
Định danh phiên telnet
local_ip
Một tùy chọn địa chỉ ip bên trong để giới hạn danh sách đến
một địa chỉ ip hoặc một địa chỉ mạng
CHAPTER 5: BASIC CONFIGURATION OF THE CISCO PIX FIREWALL
Trần Giáo_Khoa CNTT_ĐH Thái Nguyên
11
Các lệnh http cho phép bạn kích hoạt PIX Firewall HTTP server và chỉ định các
client được phép truy cập đến nó. HTTP server cần được kích hoạt để cấu hình và
kiểm tra PIX Firewall thông qua trình quản lý thiết bị PIX (PDM ~ PIX Device
Manager). PDM được thảo luận trong chương 16
Sử dụng lệnh http server enable để kích hoạt PIX Firewall’s HTTP server. Chỉ
định các client được phép truy cập đến nó với lệnh http ip_address. Cả 2 lệnh này
đều có thể được vô hiệu hóa bằng cách sử dụng lệnh no của chúng. Lệnh clear http
sẽ gỡ bỏ tất cả các host HTTP và vô hiệu hóa server
Dưới đây là cú pháp các lệnh http
http ip_address [netmask] [if_name]
http server enable
Ip_address
Chỉ định host hoặc là mạng có quyền
khởi tạo một kết nối đến PIX Firewall
Netmask
Chỉ định mặt nạ mạng cho địa chỉ
CHAPTER 5: BASIC CONFIGURATION OF THE CISCO PIX FIREWALL
Trần Giáo_Khoa CNTT_ĐH Thái Nguyên
12
ip_address. Nếu bạn không đưa ra mặt
nạ mạng thì mặc địng sẽ là
255.255.255.255 đối với lớp địa chỉ ip
If_name
tên giao diện PIX Firewall trên host
hoặc mạng khởi tạo vùng kết nối
HTTP. Mặc định if_name là inside
Lệnh hostname thay đổi nhãn trên dấu nhắc. hostname có thể hỗ trợ lên tới 16 ký
tự alpha và chữ hoa, chữ thường. mặc định thì hostname là pixfirewall.
CHAPTER 5: BASIC CONFIGURATION OF THE CISCO PIX FIREWALL
Trần Giáo_Khoa CNTT_ĐH Thái Nguyên
13
Lệnh ping được sử dụng nếu PIX Firewall đã được kết nối hoặc nếu tồn tại một
host (được nhận diện bởi PIX Firewall ) trên mạng. Nếu host tồn tại trên mạng thì
lệnh ping nhận được còn nếu không thì sẽ có thông báo “NO response received”.
(lúc này bạn sử dụng lệnh show interface để đảm bảo rằng PIX Firewall đã được
được kết nối đến mạng và đã thông lưu lượng). Mặc định lênh ping sẽ cố gắng ping
đến host đích 3 lần.
Nếu bạn muốn các host bên trong có thể ping ra các host bên ngoài, bạn cần tạo ống
dẫn ICMP cho thông tin phản hồi. Điều này sẽ được thảo luận trong một chương
khác
Nếu bạn ping thông qua một PIX Firewall giữa 2 host hoặc router và lệnh ping là
không thành công, sử dụng lệnh degug icmp trace để kiểm tra sự thành công của
lệnh ping
Sau khi PIX Firewall được cấu hình và hoạt động, bạn sẽ không thể ping đến giao
diện bên trong (mạng bên trong) của PIX Firewall từ mạng bên ngoài hoặc từ giao
diện bên ngoài (outside interface) của PIX Firewall. Nếu bạn có thể ping những
mạng bên trong từ giao diện bên trong và nếu bạn có thể ping những mạng bên
ngoài từ giao diện bên ngoài thì PIX Firewall đã thực hiện được đúng chức năng
thông thường của nó.
CHAPTER 5: BASIC CONFIGURATION OF THE CISCO PIX FIREWALL
Trần Giáo_Khoa CNTT_ĐH Thái Nguyên
14
Lệnh show cho phép bạn hiển thị các thông tin lệnh. Lệnh này thường kết hợp với
các lệnh khác để hiển thị thông tin hệ thống của lệnh đó. Bạn có thể nhập show
cùng với ? để xem tên của các lệnh hiển thị và mô tả về chúng. Dưới đây là ví dụ
của các lệnh show khác nhau
Show history – hiển thị các dòng lệnh trước đó
Show memory – hiển thị tổng quan bộ nhớ vật lý tối đa và bộ nhớ hiện tại
còn trống của PIX Firewall
Show vesion – cho phép bạn hiển thị phiên bản phần mềm của PIX Firewall,
thời gian hoạt động tính từ lần khởi động lại gần đây nhất, kiểu bộ vi xử lý,
kiểu bộ nhớ flash, giao diện bảng mạch và số serial (BISO ID)
Note: số serial được liệt kê với lệnh show version trong phiên bản 5.2 và các phiên bản
sau là bộ nhớ flash BIOS. Số này khác với số serial ở trên khung của PIX Firewall. Khi
bạn nâng cấp phần mềm, bạn sẽ cần đến số xuất hiện trong lệnh show version chứ không
phải là số ghi trên khung của PIX
CHAPTER 5: BASIC CONFIGURATION OF THE CISCO PIX FIREWALL
Trần Giáo_Khoa CNTT_ĐH Thái Nguyên
15
Show xlate – hiển thị thông tin khe dịch
Show cpu usage – hiển thị CPU được sử dụng. Lệnh này sử dụng ở chế độ
cấu hình hoặc chế độ đặc quyền
Trong ví dụ đưa ra dưới đây của lệnh show cpu usage, p1 là phần trăm của CPU
được sử dụng cho 5 giây, p2 là phần trăm trung bình của CPU trong 1 phút, và p3 là
phần trăm CPU trung bình khởi tạo trong 5 phút
CPU utilization for 5 seconds: p1%; 1 minute: p2%; 5 minutes: p3%
Phần trăm sử dụng hiển thị là NA (not available) nếu CPU không sử dụng vào bất
cứ khoảng thời gian nào. Điều này có thể xảy ra nếu người sử dụng yêu cầu thông
tin sử dụng CPU trước khoảng thời gian khởi tạo 5 giây, 1 phút, hoặc 5 phút
CHAPTER 5: BASIC CONFIGURATION OF THE CISCO PIX FIREWALL
Trần Giáo_Khoa CNTT_ĐH Thái Nguyên
16
Lệnh show interface cho phép bạn hiển thị thông tin giao diện mạng. đây là lệnh
đầu tiên mà bạn sẽ sử dụng khi thử thiết lập một kết nối.
Dưới đây là những giải thích về thông tin được hiển thị khi nhập lệnh show
interface:
Ethernet – cho thấy bạn có sử dụng lệnh interface để cấu hình interface.
Trạng thái cho thấy interface là inside hay outside và đang “up” hay “down”
Line protocol up – một cáp đang hoạt động đã được cắm vào giao diện mạng
Line protocol down – Một trong 2 cáp được cắm vào giao diện mạng không
đúng hoặc là chưa được cắm vào đầu nối giao diện
Network interface type – nhận dạng giao diện mạng
Interrup vector – nó có thể chấp nhận card giao diện có cùng ngắt, bởi vì PIX
Firewall sử dụng ngắt để lấy thông tin của Token Ring, nhưng nó cũng
lấy thông tin của cả Ethernet cards
MAC address – những card intel bắt đầu bằng chữ “I” và card 3Com bắt đầu
với “3c”
MTU (maximum transmission unit) – kích thước tính bằng bytes mà dữ liệu
có thể truyền tốt nhất trên mạng
Packet input – cho biết các gói tin đang được nhận trong PIX Firewall
Packet output - cho biết các gói tin đang được gửi từ PIX Firewall
Line duplex status – cho biết PIX Firewall đang chạy ở chế độ song công
hoàn toàn hay bán song công
Line speed – 10baseT được liệt kê là 10000Kbit. 100baseT là 100000Kbit
Dưới đây là phần giải thích của lệnh show interface mà nó có thể chỉ ra các vấn đề
về interface
No buffer – Cho thấy PIX Firewall thiếu bộ nhớ hoặc bị chậm xuống do
băng thông quá tải và không thể theo kịp với việc nhận dữ liệu
Runts – Các gói tin với thông tin ít hơn mong đợi
Gaints - Các gói tin với thông tin nhiều hơn mong đợi
CRC (cyclic redundancy check) – các gói tin chứa dữ liệu bị hỏng
(checksum error)
CHAPTER 5: BASIC CONFIGURATION OF THE CISCO PIX FIREWALL
Trần Giáo_Khoa CNTT_ĐH Thái Nguyên
17
Frame error – chỉ ra các frame bị lỗi
Ignored and aborted error – Thông tin này được cung cấp cho việc sử dụng
trong tương lai, hiện tại không được kiểm tra, PIX Firewall không bỏ qua
hoặc hủy bỏ frames
Underruns – xảy ra khi PIX Firewall tràn ngập và không thể nhận dữ liệu đủ
nhanh cho card giao diện mạng
Overruns – xảy ra khi card giao diện mạng bị tràn ngập và không thể nhận
thông tin vào bộ đệm trước khi nó được gửi đi
Unicast rpf drops – Xảy ra khi gói tin được gửi đến một mạng đích đơn sử
dụng đường dẫn ngược lại sẽ bị hủy
Output error – (Maximum collisions) – số các frame không được truyền bởi
vì được cấu hình số lượng tối đa miền đụng độ bị vượt giới hạn. Bộ đếm này
chỉ tăng khi mà lưu lượng mạng lớn.
Collisions – (Single and multiple collision). Số lượng các thông điệp được
truyền lại do đụng độ. Điều này thường xảy ra trên các LAN mở rộng khi
Ethernet hoặc cáp của thiết bị thu phát quá dài, tại đó có nhiều hơn 2 repeater
giữa các trạm, hoặc thiết bị thu phá có nhiều cổng xếp tầng nhau. Một gói
tin bị xung đột chỉ được đếm một lần bởi các gói đầu ra
Interface resets – Lượng thời gian một giao diện bị reset. Nếu mộ giao diện
không thể truyền được trong 3 giây, PIX Firewall sẽ reste giao diện đó để
khởi động lại việc truyền. Trong suốt khoảng thời gian này trạng thái kết nối
được duy trì. Một giao diện được reset cũng có thể xảy ra khi một giao diện
được lặp trở lại hoặc bị shutdown
Late collisions – Số lượng các frame không được truyền bởi vì một đụng độ
đã xảy ra bên ngoài cửa sổ đụng độ thông thường. Một đụng độ trễ (late
collisions) kaf một đụng độ mà được phát hiện trễ trong việc truyền các gói
tin. Thông thường điều này sẽ không bao giờ xảy ra. Khi 2 host Ethernet cố
gắng giao tiếp cùng lúc, chúng sẽ sớm đụng độ và cả 2 truyền lại hoặc host
thứ 2 sẽ xem như host thứ nhất đang truyền và chờ.
Nếu bạn nhận được một đụng độ trễ, một thiết bị là jummping và cố gắng gửi
trên Ethernet trong khi PIX Firewall là phần cuối gửi gói tin. PIX Firewall sẽ
CHAPTER 5: BASIC CONFIGURATION OF THE CISCO PIX FIREWALL
Trần Giáo_Khoa CNTT_ĐH Thái Nguyên
18
không gửi lại gói tin bởi vì nó có thể có bộ đệm trống giữ phần đầu của gói
tin.
Deferred – Số các frame bị hoãn lại trước khi truyền do hoạt động trên các
liên kết
Lost carrier – Thời gian tín hiệu mang bị mất trong khi truyền
Input queue – Đây là hàng đợi vào (nhận) của phần cứng và phần mềm
Output queue - Đây là hàng đợi ra (truyền) của phần cứng và phần mềm