Tài liệu Chương I-Giới thiệu về PIX pptx
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (331.94 KB, 21 trang )
Bài Viết Về PIX FIREWALL
Tác giả: Nguyễn Thị Băng Tâm
Chương 1 : GIỚI THIỆU VỀ PIX FIREWALL
PIX ( Private Internet Exchange) firewall là thành phần chính trong giải pháp
bảo mật end-to-end của Cisco . PIX firewall là giải pháp bảo mật về phần
cứng và phần mềm , đáp ứng bảo mật mạng mức độ cao mà không ảnh hưởng
đến hoạt động của mạng . Pix là một thiết bị hybrid vì nó kết hợp các đặc điểm
của công nghệ packet filtering và proxy server .
1. PIX hardware :
Pix có nhiều model khác nhau , thích hợp với nhiều môi trường mạng
khác nhau ,
ví dụ như mạng SOHO thì khác với mạng của service provider .
PIX có các loại models sau : 501 , 506 , 506E , 515 , 515E , 520 , 525E , và
535 .
Theo hình sau :
Hình 1 : PIX firewall family
Đặc điểm của từng loại thiết bị PIX :
a. PIX 501 :
501 là model cơ bản của PIX và có cấu hình cố định . Nó có một
switch 4
port cho kết nối bên trong và một interface 10Mbps cho kết nối đến
thiết
bị bên ngoài (như cable modem hay router DSL ) . Pix 501 dành
3Mbps cho
kết nối 3DES Ipsec ( vượt quá cả yêu cầu của user trong mạng
SOHO ) .
Đặc điểm của PIX 501 là :
- bộ xử lí 133MHz AMD SC520
- RAM 16MB , flash 8MB
- 1 port console
- 1 port half-duplex RJ45 10BaseT cho outside
- 1 switch tích hợp , autosensing , auto-MDIX 4 port RJ45 10/100
cho inside
b. Pix 506
Pix 506 là thiết bị được thiết kế cho các công ty thuộc remote office/
branch
office . Là thiết bị có :
- Một port console
- Hai port RJ45 10BaseT autonegotiate , một cho inside , một cho
outside
- Hardware : 200MHz Intel Pentium MMX , trong đó RAM là
32Mbps ,
flash là 8Mbps
- Sử dụng TFTP cho download image và upgrade image .
- Pix 506 cung cấp VPN , có thể kết nối đến 4 VPN peer đồng thời .
PIX 506E là thiết bị được cải tiến từ PIX 506 , có CPU là 300MHz
Intel
Celeron . Clear-text throughput lên đến 20Mbps , 3DES throughput
tăng lên
16Mbps .
c. PIX 515
PIX 515 thường được dùng trong các doanh nghiệp nhỏ , trung bình .
Pix có một slot để có thể gắn thêm một single-port , hoặc là four-port
Fast
Ethernet interface , cho phép inside , outside và có thể cung cấp thêm 4
mạng
dịch vụ khác .
Pix 515 có RAM 32MB , Flash 8MB , licensing linh động do đó các
doanh
nghiệp có thể trả tiền những cái họ cần . Restricted license giới hạn 3
interface ,
nhưng unrestricted license cho phép tăng bộ nhớ RAM từ 32MB đến
64MB
và tăng đến 6 interface cộng với failover .
d. PIX 520
PIX 520 được thiết kế dành cho các doanh nghiệp lớn và môi trường
tốc
độ cao , phức tạp . Mặc dù các sản phẩm mới hơn có Flash đến 16MB
nhưng đối với PIX 520 đời cũ Flash chỉ có 2MB . Để chạy những
software
có version từ 5.2 trở lên thì Flash cần phải được nâng cấp lên 16MB .
PIX 520 có kiểu thiết kế khung , là rack-mountable , sử dụng đĩa mềm
3.5inch để load và nâng cấp image .
e. PIX 525
PIX 525 được thiết kế dành cho các Enterprise và Service Provider sử
dụng ,
đáp ứng môi trường bảo mật lí tưởng . PIX 525 cung cấp một dãy
nhiều
network interface card . Standard card bao gồm single-port hay four-
port
10/100 Fast Ethernet , Gigabit Ethernet (với UR license) , 4/16 Token
Ring
và dual-attached multimode FDDI card . Với restricted license , Pix
525 cung
cấp 6 interface . Với unrestricted license (UR) Pix 525 cung cấp đến 8
interface .
f. PIX 535
PIX 535 được thiết kế cho các Enterprise và Service Provider sử dụng .
Nó có công suất 1.0Gpbs với khả năng thực hiện cùng một lúc 500,000
kết nối . Đáp ứng cả site-to-site và remote access VPN với 56-bit DES
và 168-bit 3DES , chức năng tích hợp của PIX firewall 535 có thể thực
hiện
với VPN Accelerator card để phân phối 10Mbps throughput và 2000
IPSEC
tunnel .
PIX firewall 535 cung cấp Fast Ethernet , Gigabit Ethernet và VPN
Accelerator
interface . Flash là 16MB và sử dụng software có version từ 5.3 trở về
sau .
2. Console port :
Cơ chế chính để giao tiếp với PIX là thông qua console port . Một vài
thiết bị
sử dụng DB9 connector , một vài thiết bị mới hơn sử dụng Cisco
standard RJ45
connector . Nếu ta đang sử dụng Windows , thì dùng chương trình
Hyperterm
để giao tiếp với PIX . Giao diện phải tuân theo hình vẽ sau :
Và các tham số phải được thiết lập như sau :
Lúc này kết nối đến PIX đã thành công . Nếu cấp nguồn thì lúc này
PIX sẽ
diễn ra quá trình boot .
Đây là một đoạn ví dụ của quá trình boot :
Reading 1921536 bytes of image from
flash.########################
#########################################################
#########################
32MB RAM
mcwa i82559 Ethernet at irq 11 MAC: 000f.23ac.53f7
mcwa i82559 Ethernet at irq 10 MAC: 000f.23ac.53f6
System Flash=E28F640J3 @ 0xfff00000
BIOS Flash=am29f400b @ 0xd8000
-----------------------------------------------------------------------
|| ||
|| ||
|||| ||||
..:||||||:..:||||||:..
c i s c o S y s t e m s
Private Internet eXchange
-----------------------------------------------------------------------
Cisco PIX Firewall
Cisco PIX Firewall Version 6.3(1)
Licensed Features:
Failover: Disabled
VPN-DES: Enabled
VPN-3DES-AES: Enabled
Maximum Interfaces: 2
Cut-through Proxy: Enabled
Guards: Enabled
URL-filtering: Enabled
Inside Hosts: Unlimited
Throughput: Unlimited
IKE peers: Unlimited
This PIX has a Restricted (R) license.
……
Cryptochecksum(changed): d41d8cd9 8f00b204 e9800998 ecf8427e
Cannot select private key
Pre-configure PIX Firewall now through interactive prompts [yes]?
n
=> sử dụng n để vào tiến vào CLI .
3. Software Licensing :
Để có được một sản phẩm linh động , PIX sử dụng software licensing
để
enable hay disable các đặc điểm trong PIX OS . Mặc dù hardware có
thể
giống nhau về platform giữa các thiết bị , nhưng sử dụng software nào
cho
PIX còn phụ thuộc vào RAM và Flash của PIX đó . Ví dụ như OS yêu
cầu cho PIX model 506 là từ 5.1x trở lên , cho PIX model 525 là từ
5.2x
trở lên … Các đặc điểm của software khác nhau còn phụ thuộc vào
activation key .
Activation key là license key của PIX OS , cho phép ta upgrade các đặc
điểm mới của OS mà không cần phải có software mới , mặc dù quá
trình
thực hiện là tương tự nhau . Activation key là do cisco đưa ra và tính
toán ,
phụ thuộc vào số serial mà ta có và phụ thuộc vào ta yêu cầu những
