- Văn bản
- Lịch sử
■ In Scenario 2, the packet with so
■ In Scenario 2, the packet with source address S also arrives on Int1. But in this latter
case, the firewall’s forwarding table states that this address should be reachable via
Int2. This inconsistency between the interface of arrival and the known reverse path
to the source IP means that the uRPF check failed, and the packet is dropped.
Note The topic of antispoofing is thoroughly analyzed in Chapter 11.
Note uRPF antispoofing is a stateless feature that adds value to the work of both stateful
firewalls and packet filters.
Virtual Firewalls and Network Segmentation
The word virtualization has been historically employed almost as a synonym of partitioning server resources. Nevertheless, security and networking devices may also have
various features virtualized, therefore significantly contributing to improve the utilization
levels of various classes of IT assets.
By carefully combining virtualized features and devices, an end-to-end architecture for
virtualization becomes possible. The main building blocks for this architecture follow:
■ Virtual LANs (VLAN): The classic deployment of VLANs is port-based, which
means that specific physical ports of a LAN switch become part of a given VLAN.
Down from [www.wowebook.com]
ptg
18 Cisco Firewalls
■ VRFs: A Virtual Routing and Forwarding (VRF) instance is a container of segmented
routing information within Layer 3 devices. The basic components of a VRF follow:
■ An IP routing table.
■ A forwarding table, derived from the IP routing table.
■ A set of interfaces over which the L3 device exchanges routing information and
forwards the packets whose destinations are reachable through the VRF.
■ Device Contexts: These correspond to multiple logical elements running on a single
physical device, therefore representing one step further toward complete device virtualization. Within Cisco Firewalls such as ASA appliances and the FWSM, each
context owns a set of interfaces, security policies (ACLs, NAT rules, and inspection
policies), a routing table, and management settings (configuration files, admin users
and so on).
Figure 1-14 shows a classic scenario in which virtualization has been used to achieve network segmentation. In this environment, users belonging to User Group1 (UG1) willing to
access their departmental servers use a sequence of virtual elements (user-side VLANs, a
dedicated VRF, a virtual firewall and, finally, a server-side VLAN). This approach facilitates segmentation of network-based resources in the complete path from source to destination. One immediate consequence is that an eventual problem on a given logical segment does not impact other segments. (A similar analysis applies to the other user groups
represented in the figure.)
What Type of Stateful Firewall?
This section examines the typical implementation options for stateful firewalls: dedicated
appliances, router-based firewalls, or switch-based firewalls.
Firewall Appliances
These are purpose-built appliances (consisting of customized hardware and software), in
which a stateful firewall is the main functionality.
The majority of modern appliances such as the Cisco Adaptive Security Appliances
(ASA) are multifunctional, including features such as VPN and intrusion prevention.
However, on environments such as the headquarters of large companies, it is common (for
performance reasons) to dedicate these appliances to firewall or VPN services.
Router-Based Firewalls
Places in the network, such as remote branches, have a stronger appeal for flexibility and
integration capabilities (rather than throughput), and normally are much more subject to
budget constraints. Cisco IOS router-based firewalls fit well in these scenarios as part of
Down from [www.wowebook.com]
ptg
Chapter 1: Firewalls and Network Security 19
UG1 UG2 UG3
VRF UG1
UG1
UG1
UG2
UG2
UG3
UG3
Virtual Firewalls
(Security Contexts)
Virtual
Routing
Tables
Virtual LANs
Clients
Servers
Virtual LANs VLAN S1 VLAN S2 VLAN S3
VLAN C1 VLAN C2 VLAN C3
VRF UG2 VRF UG3
Figure 1-14 Sample Network Segmentation Scenario
■ Stateful inspection with a high level of application awareness: From the Classic
IOS Firewall to the modern option known as the Zone-based Policy Firewall (ZFW),
full stateful firewall functionality is provided.
■ Identity services: Authentication-proxy functionality, user-based firewall features,
and Network Admission Control (NAC) are some of the services in this category.
■ Wide spectrum of secure connectivity models: From the classic IPsec service to
advanced VPN options such as Group Encrypted Transport (GET VPN), Cisco IOS
offers a wide spectrum of secure connectivity solutions.
■ Integrated intrusion prevention: Cisco IOS IPS is a natural companion to the integrated stateful firewall functionality in Cisco IOS routers.
the all-in-one solution provided by Cisco Integrated Services Routers (ISR). Among the
services available in the ISR platforms, some are briefly described here:
■ Multiprotocol routing: This is the original service tha
case, the firewall’s forwarding table states that this address should be reachable via
Int2. This inconsistency between the interface of arrival and the known reverse path
to the source IP means that the uRPF check failed, and the packet is dropped.
Note The topic of antispoofing is thoroughly analyzed in Chapter 11.
Note uRPF antispoofing is a stateless feature that adds value to the work of both stateful
firewalls and packet filters.
Virtual Firewalls and Network Segmentation
The word virtualization has been historically employed almost as a synonym of partitioning server resources. Nevertheless, security and networking devices may also have
various features virtualized, therefore significantly contributing to improve the utilization
levels of various classes of IT assets.
By carefully combining virtualized features and devices, an end-to-end architecture for
virtualization becomes possible. The main building blocks for this architecture follow:
■ Virtual LANs (VLAN): The classic deployment of VLANs is port-based, which
means that specific physical ports of a LAN switch become part of a given VLAN.
Down from [www.wowebook.com]
ptg
18 Cisco Firewalls
■ VRFs: A Virtual Routing and Forwarding (VRF) instance is a container of segmented
routing information within Layer 3 devices. The basic components of a VRF follow:
■ An IP routing table.
■ A forwarding table, derived from the IP routing table.
■ A set of interfaces over which the L3 device exchanges routing information and
forwards the packets whose destinations are reachable through the VRF.
■ Device Contexts: These correspond to multiple logical elements running on a single
physical device, therefore representing one step further toward complete device virtualization. Within Cisco Firewalls such as ASA appliances and the FWSM, each
context owns a set of interfaces, security policies (ACLs, NAT rules, and inspection
policies), a routing table, and management settings (configuration files, admin users
and so on).
Figure 1-14 shows a classic scenario in which virtualization has been used to achieve network segmentation. In this environment, users belonging to User Group1 (UG1) willing to
access their departmental servers use a sequence of virtual elements (user-side VLANs, a
dedicated VRF, a virtual firewall and, finally, a server-side VLAN). This approach facilitates segmentation of network-based resources in the complete path from source to destination. One immediate consequence is that an eventual problem on a given logical segment does not impact other segments. (A similar analysis applies to the other user groups
represented in the figure.)
What Type of Stateful Firewall?
This section examines the typical implementation options for stateful firewalls: dedicated
appliances, router-based firewalls, or switch-based firewalls.
Firewall Appliances
These are purpose-built appliances (consisting of customized hardware and software), in
which a stateful firewall is the main functionality.
The majority of modern appliances such as the Cisco Adaptive Security Appliances
(ASA) are multifunctional, including features such as VPN and intrusion prevention.
However, on environments such as the headquarters of large companies, it is common (for
performance reasons) to dedicate these appliances to firewall or VPN services.
Router-Based Firewalls
Places in the network, such as remote branches, have a stronger appeal for flexibility and
integration capabilities (rather than throughput), and normally are much more subject to
budget constraints. Cisco IOS router-based firewalls fit well in these scenarios as part of
Down from [www.wowebook.com]
ptg
Chapter 1: Firewalls and Network Security 19
UG1 UG2 UG3
VRF UG1
UG1
UG1
UG2
UG2
UG3
UG3
Virtual Firewalls
(Security Contexts)
Virtual
Routing
Tables
Virtual LANs
Clients
Servers
Virtual LANs VLAN S1 VLAN S2 VLAN S3
VLAN C1 VLAN C2 VLAN C3
VRF UG2 VRF UG3
Figure 1-14 Sample Network Segmentation Scenario
■ Stateful inspection with a high level of application awareness: From the Classic
IOS Firewall to the modern option known as the Zone-based Policy Firewall (ZFW),
full stateful firewall functionality is provided.
■ Identity services: Authentication-proxy functionality, user-based firewall features,
and Network Admission Control (NAC) are some of the services in this category.
■ Wide spectrum of secure connectivity models: From the classic IPsec service to
advanced VPN options such as Group Encrypted Transport (GET VPN), Cisco IOS
offers a wide spectrum of secure connectivity solutions.
■ Integrated intrusion prevention: Cisco IOS IPS is a natural companion to the integrated stateful firewall functionality in Cisco IOS routers.
the all-in-one solution provided by Cisco Integrated Services Routers (ISR). Among the
services available in the ISR platforms, some are briefly described here:
■ Multiprotocol routing: This is the original service tha
0/5000
■ Trong kịch bản 2, gói với nguồn địa chỉ S cũng đến Int1. Nhưng trong này sau nàytrường hợp, các bức tường lửa của chuyển tiếp kỳ bảng địa chỉ này nên được thể truy cập thông quaInt2. Này mâu thuẫn giữa giao diện đến và đường dẫn được biết đến đảo ngượcnguồn IP có nghĩa là rằng phòng uRPF không thành công, và gói tin sẽ bị ngắt.Lưu ý chủ đề của antispoofing được phân tích kỹ lưỡng trong chương 11.Lưu ý uRPF antispoofing là một tính năng không quốc tịch thêm giá trị cho việc duyệt cả haibức tường lửa và bộ lọc gói.Tường lửa ảo và mạng lưới phân khúcẢo hóa từ đã được lịch sử làm việc gần như là đồng nghĩa của phân vùng tài nguyên máy chủ. Tuy nhiên, bảo mật và mạng thiết bị cũng có thểtính năng khác nhau vọt, do đó đóng góp đáng kể để cải thiện việc sử dụngmức độ của các lớp học khác nhau của CNTT tài sản.Cẩn thận kết hợp HĐH tính năng và thiết bị, một kiến trúc end-to-end choảo hóa trở thành có thể. Các khối xây dựng chính cho kiến trúc này làm theo:■ Virtual LANs (VLAN): việc triển khai cổ điển của VLAN là port-dựa, màcó nghĩa là cụ thể các cổng vật lý của một chuyển đổi mạng LAN trở thành một phần của một VLAN nhất định.Xuống từ [www.wowebook.com]PTG18 cisco tường lửa■ VRFs: một ví dụ ảo định tuyến và chuyển tiếp (VRF) là một container của phân đoạnthông tin định tuyến trong lớp 3 thiết bị. Các thành phần cơ bản của một VRF làm theo:■ An IP bảng định tuyến.■ A chuyển tiếp bảng, có nguồn gốc từ bảng định tuyến IP.■ A tập các interface mà thiết bị L3 trao đổi thông tin định tuyến vàchuyển tiếp các gói dữ liệu điểm đến mà có thể truy cập thông qua VRF.■ thiết bị bối cảnh: đây tương ứng với nhiều yếu tố hợp lý chạy trên một đĩa đơnthiết bị vật lý, do đó đại diện cho một bước xa hơn về hướng thiết bị hoàn thành ảo hóa. Trong Cisco tường lửa như ASA thiết bị gia dụng và FWSM, mỗibối cảnh sở hữu một tập các interface, chính sách bảo mật (ACLs, quy tắc NAT, và kiểm trachính sách), một bảng định tuyến, và quản lý cài đặt (tập tin cấu hình, người sử dụng admin"và như vậy).Hình 1-14 cho thấy một trường hợp cổ điển trong đó ảo hóa đã được sử dụng để đạt được các phân đoạn mạng. Trong môi trường này, người dùng thuộc về người sử dụng Group1 (UG1) sẵn sàngtruy cập của họ sử dụng máy chủ khoa một chuỗi các yếu tố ảo (người dùng-side VLAN, mộtchuyên dụng VRF, tường lửa ảo, và cuối cùng, một VLAN phía máy chủ). Cách tiếp cận này tạo điều kiện cho các phân đoạn mạng dựa trên nguồn tài nguyên trong đường dẫn đầy đủ từ nguồn đến đích. Một hệ quả ngay lập tức là một vấn đề cuối cùng vào một phân đoạn nhất định hợp lý không tác động đến các phân đoạn khác. (Một phân tích tương tự áp dụng cho các nhóm người dùng khácđại diện trong hình.)Loại trạng thái tường lửa?Phần này sẽ kiểm tra các tùy chọn thực hiện đặc trưng cho trạng thái tường lửa: chuyên dụngMáy móc gia dụng, bộ định tuyến dựa trên tường lửa hoặc tường lửa dựa trên chuyển đổi.Máy móc gia dụng tường lửaĐây là những thiết kế chuyên dụng thiết bị gia dụng (bao gồm tùy chỉnh phần cứng và phần mềm), trongtường lửa trạng thái là các chức năng chính.Phần lớn các thiết bị hiện đại như các thiết bị bảo mật Cisco thích nghi(ASA) được đa chức năng, bao gồm các tính năng như công tác phòng chống VPN và xâm nhập.Tuy nhiên, trên môi trường như tổng hành dinh của công ty lớn, nó là phổ biến (chohiệu suất lý do) để dành những thiết bị tường lửa hoặc dịch vụ VPN.Bộ định tuyến dựa trên tường lửaVị trí trong mạng, chẳng hạn như chi nhánh từ xa, có một kháng cáo mạnh mẽ hơn cho tính linh hoạt vàtích hợp khả năng (chứ không phải thông qua), và thường nhiều hơn nữa tùy thuộc vàoràng buộc ngân sách. Tường lửa dựa trên bộ định tuyến Cisco IOS phù hợp tốt trong những tình huống như một phần củaXuống từ [www.wowebook.com]PTGChương 1: Tường lửa và bảo mật mạng 19UG1 UG2 UG3VRF UG1UG1UG1UG2UG2UG3UG3Tường lửa ảo(An ninh bối cảnh)ẢoĐịnh tuyếnBảngLANs ảoKhách hàngMáy chủVirtual LANs VLAN VLAN S1 S2 VLAN S3VLAN VLAN C1 C2 VLAN C3VRF UG2 VRF UG3Hình 1-14 mẫu mạng phân đoạn kịch bản■ kiểm tra trạng thái với một mức độ cao nhận thức ứng dụng: từ the ClassicIOS tường lửa để các tùy chọn hiện đại, được biết đến như là những vùng dựa trên chính sách tường lửa (ZFW),tường lửa trạng thái đầy đủ chức năng được cung cấp.■ nhận dạng dịch vụ: chức năng xác thực ủy quyền, tính năng tường lửa dựa trên người sử dụng,và mạng nhập học kiểm soát (NAC) là một số các dịch vụ trong thể loại này.■ phổ rộng của mô hình kết nối an toàn: từ dịch vụ IPsec cổ điển đểtùy chọn chuyên sâu VPN như nhóm mã hóa giao thông vận tải (GET VPN), Cisco IOScung cấp một phổ rộng của giải pháp kết nối an toàn.■ công tác phòng chống xâm nhập tích hợp: Cisco IOS IP là người bạn đồng tự nhiên cho các chức năng tường lửa trạng thái tích hợp trong các router Cisco IOS.All-in-one giải pháp được cung cấp bởi Cisco tích hợp dịch vụ định tuyến (ISR). Trong số cácDịch vụ có sẵn trong nền tảng ISR, một số được một thời gian ngắn mô tả dưới đây:■ Multiprotocol định tuyến: đây là tha dịch vụ ban đầu
đang được dịch, vui lòng đợi..
■ Trong phương án 2, các gói tin với địa chỉ nguồn S cũng đến trên INT1. Nhưng trong sau này
trường hợp, bảng chuyển tiếp của tường lửa nói rằng địa chỉ này phải được truy cập thông qua
Int2. Này không thống nhất giữa các giao diện đến và con đường ngược lại được biết đến
với nguồn IP có nghĩa là kiểm tra uRPF thất bại, và các gói tin bị loại bỏ.
Chú ý chủ đề của antispoofing được phân tích kỹ lưỡng trong Chương 11.
Lưu ý uRPF antispoofing là một tính năng không quốc tịch cho biết thêm rằng giá trị cho công việc của cả hai stateful
firewall và bộ lọc gói tin.
Firewalls ảo và mạng phân khúc
The ảo hóa từ đã được sử dụng trong lịch sử gần như là một từ đồng nghĩa của phân vùng tài nguyên máy chủ. Tuy nhiên, các thiết bị an ninh mạng và cũng có thể có
tính năng khác nhau được ảo hóa, do đó góp phần đáng kể vào việc cải thiện việc sử dụng
các cấp lớp khác nhau của các tài sản CNTT.
By cẩn thận kết hợp các tính năng ảo hóa và các thiết bị, một kiến trúc end-to-end cho
ảo hóa trở thành có thể. Các khối xây dựng chính cho kiến trúc này theo:
■ mạng LAN ảo (VLAN): Việc triển khai cổ điển của VLAN là cổng cơ sở, trong đó
có nghĩa là cổng vật lý cụ thể của một switch LAN trở thành một phần của một VLAN được.
Down từ [www.wowebook. com]
PTG
18 Cisco Firewall
■ VRFs: Một Routing ảo và Forwarding (VRF) ví dụ là một thùng chứa của phân đoạn
thông tin định tuyến trong 3 thiết bị Layer. Các thành phần cơ bản của một theo VRF:
■ Một bảng định tuyến IP.
■ Một bảng chuyển tiếp, có nguồn gốc từ các bảng định tuyến IP.
■ Một tập hợp các giao diện mà qua đó trao đổi thiết bị L3 thông tin định tuyến và
chuyển tiếp các gói tin có địa điểm có thể truy cập thông qua các VRF .
■ bối cảnh thiết bị: Những tương ứng với nhiều yếu tố hợp lý chạy trên một đơn
thiết bị vật lý, do đó đại diện cho một bước tiến xa hơn tới hoàn ảo hóa thiết bị. Trong Cisco Firewall chẳng hạn như các thiết bị ASA và FWSM, mỗi
bối cảnh sở hữu một bộ giao diện, các chính sách an ninh (ACLs, quy tắc NAT, và kiểm tra
chính sách), một bảng định tuyến, và các thiết lập quản lý (các tập tin cấu hình, người sử dụng quản trị
và vv).
Hình 1-14 cho thấy một kịch bản kinh điển trong đó ảo hóa đã được sử dụng để đạt được phân đoạn mạng. Trong môi trường này, người sử dụng thuộc tài Group1 (UG1) sẵn sàng để
truy cập vào máy chủ phòng ban của họ sử dụng một chuỗi các yếu tố ảo (VLAN sử dụng phụ, một
VRF chuyên dụng, một tường lửa ảo và, cuối cùng, một VLAN server-side). Cách tiếp cận này tạo điều kiện cho phân khúc của các nguồn tài nguyên mạng có trụ sở tại đường dẫn đầy đủ từ nguồn đến đích. Một hậu quả trước mắt là một vấn đề cuối cùng trên một đoạn logic nhất định không ảnh hưởng đến các phân khúc khác. (Phân tích tương tự áp dụng cho các nhóm người dùng khác
đại diện trong hình.)
Loại gì của Stateful Firewall?
Phần này xem xét các tùy chọn triển khai điển hình cho tường lửa stateful: dành
riêng. Thiết bị, tường lửa định tuyến dựa trên, hoặc chuyển đổi dựa trên tường lửa
Firewall dụng
Những là các thiết bị mục đích xây dựng (bao gồm phần cứng tùy chỉnh và phần mềm), trong
đó một tường lửa là các chức năng chính.
Phần lớn các thiết bị hiện đại như các Thiết bị an ninh thích ứng Cisco
(ASA) là đa chức năng, bao gồm các tính năng như VPN và phòng chống xâm nhập .
Tuy nhiên, trên các môi trường như các trụ sở của các công ty lớn, nó là phổ biến (cho
lý do hiệu suất) dành những thiết bị với tường lửa hoặc các dịch vụ VPN.
Router-Based Firewalls
Places trong mạng, như các chi nhánh từ xa, có một sức hấp dẫn mạnh mẽ hơn cho linh hoạt và
tích hợp khả năng (chứ không phải là thông lượng), và thường là nhiều hơn tùy thuộc vào
ngân sách hạn chế. Cisco IOS firewall router-dựa phù hợp tốt trong các kịch bản như một phần của
Down từ [www.wowebook.com]
PTG
Chương 1: Bức tường lửa và bảo mật mạng 19
UG1 UG2 UG3
VRF UG1
UG1
UG1
UG2
UG2
UG3
UG3
Firewalls ảo
(Security bối cảnh)
ảo
Routing
Bàn
ảo LAN
Clients
Servers
ảo LAN VLAN VLAN S1 S2 S3 VLAN
VLAN VLAN C1 C2 C3 VLAN
VRF UG2 VRF UG3
Hình 1-14 mẫu Mạng Segmentation Scenario
■ Stateful kiểm tra với một mức độ cao về nhận thức áp dụng: Từ cổ điển
IOS Firewall với tùy chọn hiện đại gọi là Firewall Policy Zone-based
(ZFW),. đầy đủ chức năng tường lửa được cung cấp
■ dịch vụ nhận dạng: Xác thực-proxy chức năng, tính năng tường lửa dựa trên người dùng,
và Network Admission Control (NAC) là một số dịch vụ trong này . category
■ phổ rộng các mô hình kết nối an toàn: Từ các dịch vụ IPsec cổ điển để
lựa chọn VPN tiên tiến như Nhóm Encrypted Giao thông vận tải (GET VPN), Cisco IOS
cung cấp một phổ rộng các giải pháp kết nối an toàn.
phòng chống xâm nhập tích hợp: Cisco IOS IPS là một đồng hành tự nhiên với các chức năng tường lửa tích hợp trong các router Cisco IOS.
một tất cả-trong-giải pháp cung cấp bởi Cisco Integrated Services Router (ISR). Trong số các
dịch vụ có sẵn trong nền tảng ISR, một số được mô tả ngắn gọn ở đây:
■ Multiprotocol định tuyến: Đây là dịch vụ tha gốc
trường hợp, bảng chuyển tiếp của tường lửa nói rằng địa chỉ này phải được truy cập thông qua
Int2. Này không thống nhất giữa các giao diện đến và con đường ngược lại được biết đến
với nguồn IP có nghĩa là kiểm tra uRPF thất bại, và các gói tin bị loại bỏ.
Chú ý chủ đề của antispoofing được phân tích kỹ lưỡng trong Chương 11.
Lưu ý uRPF antispoofing là một tính năng không quốc tịch cho biết thêm rằng giá trị cho công việc của cả hai stateful
firewall và bộ lọc gói tin.
Firewalls ảo và mạng phân khúc
The ảo hóa từ đã được sử dụng trong lịch sử gần như là một từ đồng nghĩa của phân vùng tài nguyên máy chủ. Tuy nhiên, các thiết bị an ninh mạng và cũng có thể có
tính năng khác nhau được ảo hóa, do đó góp phần đáng kể vào việc cải thiện việc sử dụng
các cấp lớp khác nhau của các tài sản CNTT.
By cẩn thận kết hợp các tính năng ảo hóa và các thiết bị, một kiến trúc end-to-end cho
ảo hóa trở thành có thể. Các khối xây dựng chính cho kiến trúc này theo:
■ mạng LAN ảo (VLAN): Việc triển khai cổ điển của VLAN là cổng cơ sở, trong đó
có nghĩa là cổng vật lý cụ thể của một switch LAN trở thành một phần của một VLAN được.
Down từ [www.wowebook. com]
PTG
18 Cisco Firewall
■ VRFs: Một Routing ảo và Forwarding (VRF) ví dụ là một thùng chứa của phân đoạn
thông tin định tuyến trong 3 thiết bị Layer. Các thành phần cơ bản của một theo VRF:
■ Một bảng định tuyến IP.
■ Một bảng chuyển tiếp, có nguồn gốc từ các bảng định tuyến IP.
■ Một tập hợp các giao diện mà qua đó trao đổi thiết bị L3 thông tin định tuyến và
chuyển tiếp các gói tin có địa điểm có thể truy cập thông qua các VRF .
■ bối cảnh thiết bị: Những tương ứng với nhiều yếu tố hợp lý chạy trên một đơn
thiết bị vật lý, do đó đại diện cho một bước tiến xa hơn tới hoàn ảo hóa thiết bị. Trong Cisco Firewall chẳng hạn như các thiết bị ASA và FWSM, mỗi
bối cảnh sở hữu một bộ giao diện, các chính sách an ninh (ACLs, quy tắc NAT, và kiểm tra
chính sách), một bảng định tuyến, và các thiết lập quản lý (các tập tin cấu hình, người sử dụng quản trị
và vv).
Hình 1-14 cho thấy một kịch bản kinh điển trong đó ảo hóa đã được sử dụng để đạt được phân đoạn mạng. Trong môi trường này, người sử dụng thuộc tài Group1 (UG1) sẵn sàng để
truy cập vào máy chủ phòng ban của họ sử dụng một chuỗi các yếu tố ảo (VLAN sử dụng phụ, một
VRF chuyên dụng, một tường lửa ảo và, cuối cùng, một VLAN server-side). Cách tiếp cận này tạo điều kiện cho phân khúc của các nguồn tài nguyên mạng có trụ sở tại đường dẫn đầy đủ từ nguồn đến đích. Một hậu quả trước mắt là một vấn đề cuối cùng trên một đoạn logic nhất định không ảnh hưởng đến các phân khúc khác. (Phân tích tương tự áp dụng cho các nhóm người dùng khác
đại diện trong hình.)
Loại gì của Stateful Firewall?
Phần này xem xét các tùy chọn triển khai điển hình cho tường lửa stateful: dành
riêng. Thiết bị, tường lửa định tuyến dựa trên, hoặc chuyển đổi dựa trên tường lửa
Firewall dụng
Những là các thiết bị mục đích xây dựng (bao gồm phần cứng tùy chỉnh và phần mềm), trong
đó một tường lửa là các chức năng chính.
Phần lớn các thiết bị hiện đại như các Thiết bị an ninh thích ứng Cisco
(ASA) là đa chức năng, bao gồm các tính năng như VPN và phòng chống xâm nhập .
Tuy nhiên, trên các môi trường như các trụ sở của các công ty lớn, nó là phổ biến (cho
lý do hiệu suất) dành những thiết bị với tường lửa hoặc các dịch vụ VPN.
Router-Based Firewalls
Places trong mạng, như các chi nhánh từ xa, có một sức hấp dẫn mạnh mẽ hơn cho linh hoạt và
tích hợp khả năng (chứ không phải là thông lượng), và thường là nhiều hơn tùy thuộc vào
ngân sách hạn chế. Cisco IOS firewall router-dựa phù hợp tốt trong các kịch bản như một phần của
Down từ [www.wowebook.com]
PTG
Chương 1: Bức tường lửa và bảo mật mạng 19
UG1 UG2 UG3
VRF UG1
UG1
UG1
UG2
UG2
UG3
UG3
Firewalls ảo
(Security bối cảnh)
ảo
Routing
Bàn
ảo LAN
Clients
Servers
ảo LAN VLAN VLAN S1 S2 S3 VLAN
VLAN VLAN C1 C2 C3 VLAN
VRF UG2 VRF UG3
Hình 1-14 mẫu Mạng Segmentation Scenario
■ Stateful kiểm tra với một mức độ cao về nhận thức áp dụng: Từ cổ điển
IOS Firewall với tùy chọn hiện đại gọi là Firewall Policy Zone-based
(ZFW),. đầy đủ chức năng tường lửa được cung cấp
■ dịch vụ nhận dạng: Xác thực-proxy chức năng, tính năng tường lửa dựa trên người dùng,
và Network Admission Control (NAC) là một số dịch vụ trong này . category
■ phổ rộng các mô hình kết nối an toàn: Từ các dịch vụ IPsec cổ điển để
lựa chọn VPN tiên tiến như Nhóm Encrypted Giao thông vận tải (GET VPN), Cisco IOS
cung cấp một phổ rộng các giải pháp kết nối an toàn.
phòng chống xâm nhập tích hợp: Cisco IOS IPS là một đồng hành tự nhiên với các chức năng tường lửa tích hợp trong các router Cisco IOS.
một tất cả-trong-giải pháp cung cấp bởi Cisco Integrated Services Router (ISR). Trong số các
dịch vụ có sẵn trong nền tảng ISR, một số được mô tả ngắn gọn ở đây:
■ Multiprotocol định tuyến: Đây là dịch vụ tha gốc
đang được dịch, vui lòng đợi..
Các ngôn ngữ khác
Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.
- Firewalls and Domains of TrustBefore sta
- Bạn đâu rồi?
- where I'm at without snow
- If we're with each other
- where I live haven't snow
- Liste !Iect•rale ~~JHTINa M~nsieur le C
- This chapter covers the following topics
- thật may mắn :)
- burglaries are not rare as vietnam remai
- khu bảo tồn
- ông nội anh ta từng sống du mục
- Fortunately:)
- accountants are responsible for reportin
- núi cao
- I respect you
- When you would be like that I would visi
- a transiting linking the great depressio
- phải khó khăn lắm
- I do. You just don't see or under or see
- nếu chúng ta có duyên với nhau
- I do. You just don't see or under or see
- könten sie mir Beratung geben
- nơi tôi đang ở không có tuyết
- burglaties are not rare as vietnam remai
