CCNP 筆記本

2009 年 02 月 09 日

CCNP-ISCW Module 06 Cisco IOS Threat Defense Features(1)

Filed under: CCNP-ISCW Module 06 — nkongkimo @ 08:03:39

DMZ 的概念

*DMZ:非軍事區

基本型DMZ設計
image
image

image

Firewall

image

Packet Filtering的種類

Packet filtering

*傳統的firewall設計為stateless的架構,ACL去的方向和回來的方向都要自己定義。

*在TCP連線中可以用”established”(接受內對外的連線)指令去設定一達到stateful的功能,但較繁雜。

*在UDP連線中無法達到stateful的功能

image

Stateful packet Filtering

*自動判斷連進來的session
*只有特定的Protocol有Proxy(Http、mail、Ftp)
*安全性較佳
*缺點為支援程度較差
*目前的FW都是stateful的作法

image

Cisoc IOS firewell的功能&資安防護流程

1.Firewall

(第1步)

一般的Firewall

Layer 3 (IP)

Layer 4 (port)

*達到政策上的管制

*可預防DoS的攻擊

*自動建立stateful filtering

2.Authentication Proxy

(第2步)

認證Proxy

 

*提供使用者身份/權限認證的功能

*支援http https telnet ftp ssh …

3.IPS/IDS

(第3步)

入侵防禦/偵測系統

Layer 7

*可做封包檢核的功能

*需要考慮bypass模組

*IPD可對攻擊做出警示、丟棄或阻擋的功能

*在RAM會建立資料庫建立攻擊或病毒特徵碼

4.PAM

(Port to Application Mapping)

    *port對應Application的功能

TCP & UDP 封包檢查

TCP Session檢查的方式
*Session table裡面的資料:

1.Source IP
2.Source Port
3.Destination IP
4.Destination Port
5.Sequence Number

image

UDP Session檢查的方式
*Session table裡面的資料

1.Source IP
2.Source Port
3.Destination IP
4.Destination Port
5.UDP Responses
6.Within a Timeout

image

IOS Firewell設定的方法

1

Audit Trails configuartion(告警的設定)

image

2

把Audit Trails 套用在介面上

image

image

image

image

image

Firewell for SDM 設定步驟

1.Basic Firewell的方式*預設套用在外部的介面

image

1.選擇Basic的方式
image
2.選擇Outside & Inside的介面
image
3.完成設定並顯示設定指令
image
4.查看Inspection設定
image
5.查看由反方向進來的資料流
image

2.Advanced Firewell的設定方式

1.選擇Advanced的方式
image
2.增加DMZ區及選擇Trust及Untrust區域
image
3.新增ACL的Rule
image
image
4.建立policy或使用cisco內建的policy
image
5.針對application阻擋
image
image
6.設定是否需要做告警及稽核的紀錄
image
7.完成並建立名稱
image

3.查看Firewell Logging的紀錄及設定方式

1.設定logging的logging Level及buffer
image
2.查看logging Message
image
廣告

發表迴響 »

仍無迴響。

RSS feed for comments on this post. TrackBack URI

發表迴響

Please log in using one of these methods to post your comment:

WordPress.com 標誌

您的留言將使用 WordPress.com 帳號。 登出 /  變更 )

Google photo

您的留言將使用 Google 帳號。 登出 /  變更 )

Twitter picture

您的留言將使用 Twitter 帳號。 登出 /  變更 )

Facebook照片

您的留言將使用 Facebook 帳號。 登出 /  變更 )

連結到 %s

在WordPress.com寫網誌.

%d 位部落客按了讚: