root
Well-Known Member
- Joined
- Dec 31, 2012
- Messages
- 1,153
- Reaction score
- 71
- Points
- 48
1. Packet Filtering và Packet classification
- Nhiệm vụ của ACL bao gồm: Packet filtering và Packet Classification
- Packet filtering:
- Ưu điểm của Firewall so với Router
- Mặc định trong firewall
- Cấu hình 1 ACl cho phép outside truy cập HTTP và SMTP còn các traffic khác bị deny.
- Bước 1: thiết lập 1 ACL
- Bước 2: Áp ACl lên interface theo chiều nào
3. To the box traffic Filtering
- Tương tự như access-class bên Router. Nó dùng để filter các traffic liên quan đến việc management như telnet, ssh…
- Với access-class trên Router
- Trên Firewall thì Access-class được gọi là “to the bõ traffic filtering”
4. Advance ACL - Object group
- Ý tưởng: nhóm các đối tượng lại và sau đó liên kết các đối tượng lai với nhau.
- Ưu điểm:
- Nesting (lồng) 2 object-group nghĩa là đưa nhóm TCP-UDP vào trong nhóm IP-PROTOCOL. Lúc này trong nhóm IP-PROTOCOL sẽ có 3 thành viên: tcp,udp và gre
- Tạo nhóm Server
- Tạo nhóm Network
- Ví dụ: viết ACl chỉ cho phép các traffic HTTP và SMTP từ outside vào inside còn các traffic khác sẽ bị deny.
5. Time Base ACls:
Chia làm 2 loại:
- Absolute:
- Periodic: ACL có tính chu kì. Ví dụ: định kì mỗi ngày 8h sang permit cho user đi internet
- Để sử dụng Time Base ACLs các bạn cần có NTP
- ACL áp cho từng user riêng biệt
- Nhiệm vụ của ACL bao gồm: Packet filtering và Packet Classification
- Packet filtering:
- Dùng ACl để lọc gói lệnh permit hay deny có ý nghĩa là cho phép hay từ chối
- Dùng ACL để phân loại gói thì chữ permit or deny không có ý nghĩa là cho phép hay từ chối mà nó có ý nghĩa là chia làm 2 nhóm
- Việc từ chối hay cho phép thì do 1 công cụ khác thực hiện
- Layer 2: Header layer 2
- Layer 3: ICMP, UDP, TCP
- Layer 3: Source IP, Des IP
- Layer 4: header Source, Des TCP hoặc UDP port
- Ưu điểm của Firewall so với Router
- Với Router thì nó kiểm tra từng gói
- Với Firewall nó chỉ cần kiểm tra 1 gói đầu tiền còn các gói sau nó cho qua mà không cần kiểm trả lại vì trên Firewall có cơ chế Inspection. Các gói tin có cùng Session thì nó chỉ kiểm tra gói đầu tiên, còn các gói sau cùng 1 session thì nó cho qua luôn.
- Mặc định trong firewall
- Interface outside (Security level 0 ) có 1 ACL deny any .
- Interface inside (security-level 100) thì ACL permit any
- Traffic được khởi tạo từ inside ra outside thì traffic từ outside sẽ đi ngược vào inside được vì trên Firewall đã có lưu Session của traffic
- Standard ACL: Chỉ mô tả được Source IP.
- Extended ACL: Mô tả được Source IP, Des IP, Source Port, Des Port
- IPv6 ACL
- EtherType ACL: Mô tả thông tin trong layer 2
- Webtype ACL: Dùng riêng cho web VPN (SSL).
- Cấu hình 1 ACl cho phép outside truy cập HTTP và SMTP còn các traffic khác bị deny.
- Bước 1: thiết lập 1 ACL
//remark: dùng để mô tả ACL
- trong ACL luôn có 1 câu deny any any, nên câu dưới này không cần thiết. Mục đích của câu dưới để giúp admin biết được các packet bị deny được ghi lại log.
Code:
ASA(config)#access-list OUTSIDE-INSIDE remark this is ther interface ACL to block inbound traffic except HTTP and SMTP
ASA(config)#access-list OUTSIDE-INSIDE extended permit tcp host 209.165.201.1 host 209.165.202.131 eq http
ASA(config)#access-list OUTSIDE-INSIDE extended permit tcp host 209.165.201.2 host 209.165.202.131 eq http
ASA(config)#access-list OUTSIDE-INSIDE extended permit tcp host 209.165.201.1 host 209.165.202.131 eq smtp
ASA(config)#access-list OUTSIDE-INSIDE extended permit tcp host 209.165.201.2 host 209.165.202.131 eq smtp
Code:
ASA(config)#access-list OUTSIDE-INSIDE extended deny ip any any logASA(config)#access-group OUTSIDE-INSIDE in interface outside[/TD]
3. To the box traffic Filtering
- Tương tự như access-class bên Router. Nó dùng để filter các traffic liên quan đến việc management như telnet, ssh…
- Với access-class trên Router
Code:
Router(config)#access-list 1 deny 192.168.1.0
Router(config)#line vty 0 4
Router(config-line)#access-class 1 in
Code:
ASA(config)#access-list TRAFFIC-MANAGEMENT remark Block all Management traffic on outside interface
ASA(config)#access-list TRAFFIC-MANAGEMENT extended deny ip any any
ASA(config)#access-group TRAFFIC-MANAGEMENT in interface outside control-plane4. Advance ACL - Object group
- Ý tưởng: nhóm các đối tượng lại và sau đó liên kết các đối tượng lai với nhau.
- Ưu điểm:
- Dễ quản lý. Khi bạn muốn thêm hoặc bớt 1 đối tượng
- Với mô hình phức tạp thì Object-Group hiệu quả hơn rất nhiều so với ACl kiểu extended
- Protocol: Mô tả TCP, UDP, ICMP, gre…
- Network: Mô tả IP, host, subnet …
- Service: Mô tả các server như HTTP, SMTP, FTP…
- ICMP type: Mô tả cấu trúc của ICMP (type, code…)
Code:
ASA(config)#object-group protocol TCP-UDP
ASA(config-protocol)#protocol-object tcp
ASA(config-protocol)#protocol-object udp
Code:
ASA(config)#object-group protocol IP-PROTOCOL
ASA(config-protocol)#protocol-object gre
ASA(config-protocol)#group-object TCP-UDP
Code:
ASA(config)#object-group service ALL-SERVICE
ASA(config-protocol)#service-object gre
ASA(config-protocol)#service-object icmp echo
ASA(config-protocol)#service-object tcp eq http
ASA(config-protocol)#service-object udp eq domain
Code:
ASA(config)#object-group network INSIDE
ASA(config-protocol)#network-object host 192.168.10.1- Ví dụ: viết ACl chỉ cho phép các traffic HTTP và SMTP từ outside vào inside còn các traffic khác sẽ bị deny.
- Tạo group mô tả protocol tcp
Code:
ASA(config)#object-group protocol TCP
ASA(config-protocol)#protocol-object tcp- Tạo group mô tả các host vùng outside
Code:
ASA(config)#object-group network OUTSIDE
ASA(config-protocol)#network-object host 209.165.202.131
ASA(config-protocol)#network-object host 209.165.202.132- Tạo group chứa các host vùng inside
Code:
ASA(config)#object-group network INTSIDE
ASA(config-protocol)#network-object host 209.165.201.131
ASA(config-protocol)#network-object host 209.165.201.132- Tạo group mô tả service http và smtp
Code:
ASA(config)#object-group service HTTP-SMTP tcp
ASA(config-protocol)#port-object eq www
ASA(config-protocol)#port-object eq smtp- Tạo access-list chứa các object-group đã mô tả ở trên theo thứ tự goup: protocol -> network(outside và intside) -> service
Code:
ASA(config)#access-list OUTSIDE-INSIDE extended permit object-group TCP object-group OUTSIDE object-group HTTP-SMTP- Áp ACl lên interface outside theo chiều in
Code:
ASA(config)#access-group OUTSIDE-INSIDE in interface outsideChia làm 2 loại:
- Absolute:
- ACL có giá trị trong khoảng thời gian nào.
- Ví dụ: vào 8h sáng hôm nay cho nhân viên bên ngoài ra internet. Mang tính thời vụ
- ACL có tác dụng trong vòng 1h.
- start: Nếu không có từ khóa thì ACL có tác dụng ngay bây giờ
- end: Nếu không có end từ ACL sẽ không có kết thúc
Code:
ASA(config)#time-range CONSULTANT_HOURS
ASA(config-time-range)#absolute start 08:00 01 June 2014 end 09:00 01 June 2014- Áp access-list ở trên vào interface
Code:
ASA(config)#access-list INSIDE_SERVER extended permit tcp any host 209.165.202.131 eq 80 time-range CONSULANT_HOURS
ASA(config)#access-group INSIDE_SERVER in interface outside- ACL có tác dụng từ 8h - 17h hàng ngày, trừ chủ nhật làm 1/2 ngày 8h - 12h
Code:
ASA(config)#time-range BUSINESS_HOURS
ASA(config-time-range)#periodic weekdays 08:00 to 17:00
ASA(config-time-range)#periodic Saturday 08:00 to 12:00- Áp access-list ở trên vào interface
Code:
ASA(config)#access-list INSIDE_SERVER extended permit tcp any host 209.165.202.131 eq 80 time-range BUSINESS_HOURS
ASA(config)#access-group INSIDE_SERVER in interface outside- Ntp master: dùng làm đồng hồ chính
- Ntp server : các con khác sẽ đồng bộ thời gian từ con NTP master
- ACL áp cho từng user riêng biệt
- Bước 1: Host A truy cập internet đụng Firewall
- Bước 2: Firewall yêu cầu chứng thực “username/password”
- Bước 3: Host A trả lời User/pass
- Bước 4: Firewall forward user/pass của host A cho 1 Radius server(ACS server)
- Bước 5: chứng thực thành công ACS cho phép user truy cập internet và nó kèm theo 1 ACL cho host A. Ví dụ: Cho phép user ra internet nhưng không cho phép xem hình
Last edited:
. Nếu bạn có thắc mắc hoặc có lab thì cứ đưa lên mình cũng muốn được học hỏi từ mọi người
thanks bạn đã quan tâm !