Bài giảng Xây dựng hệ thống Firewall - Bài 2: Bảo mật mạng sử dụng Cisco IOS Firewall

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
MÔN HỌC: XÂY DỰNG HỆ THỐNG 
FIREWALL
1
Trường Cao đẳng Nghề CNTT iSPACE
Khoa Mạng Và An Ninh Thông Tin
fit@ispace.edu.vn
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Bài 1: CÁC NGUYÊN TẮC BẢO MẬT MẠNG. 
Bài 2: BẢO MẬT MẠNG SỬ DỤNG CISCO IOS FIREWALL 
Bài 3: BẢO MẬT MẠNG SỬ DỤNG CISCO IPS
Bài 4: BẢO MẬT LAYER 2
Bài 5: TRIỂN KHAI HỆ THỐNG VPN TRÊN CISCO IOS
MÔN HỌC: XÂY DỰNG HỆ THỐNG 
FIREWALL
2
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
BÀI 2: BẢO MẬT MẠNG SỬ DỤNG 
CISCO IOS FIREWALL
Giới thiệu Cisco IOS Firewall 
Cấu hình Cisco IOS Firewall
Câu hỏi bài tập
Giới thiệu và cấu hình Cisco IOS Firewall
3
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
MỤC TIÊU BÀI HỌC
Trình bày được đặc điểm của Cisco IOS Firewall. 
Giải thích được chiến lược phòng thủ theo từng tầng.
Trình bày được các kỹ thuật Firewall. 
Cấu hình được Cisco IOS Firewall. 
Triển khai được hệ thống firewall cho doanh nghiệp dựa trên 
Cisco IOS Firewall. 
4
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Giới thiệu Cisco IOS Firewall
Tổng quan về Cisco IOS Firewall
DMZ:
Vùng DMZ được xây dựng giữa các vùng bảo mật. 
DMZ là vùng mạng đệm giữa vùng Inside và Outside.
Cisco IOS Firewall là loại Firewall dựa trên router sử dụng IOS hỗ trợ tính
năng Firewall 
5
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Giới thiệu Cisco IOS Firewall
Chiến lược phòng thủ theo từng tầng
Layered Defense Features
Multiple DMZs
Modern DMZ Design
6
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Giới thiệu Cisco IOS Firewall
Chiến lược phòng thủ theo từng tầng
Layered Defense Features
Access control được áp đặt trên traffic ra vào vùng mạng đệm đến các
vùng bảo mật bằng cách dùng:
o Classic router.
o Thiết bị Firewall. 
7
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Giới thiệu Cisco IOS Firewall
Chiến lược phòng thủ theo từng tầng
DMZ/Multiple DMZ :
Publish những dịch vụ dùng chung ở trong vùng đệm để cho phép
vùng ngoài truy cập.
DMZ có thể host 1 cổng ứng dụng cho kết nối ra ngoài.
Hạn chế những mối nguy hại và giữ chân kẻ tấn công nếu 1 dịch vụ
nào đó bị sự cố do tấn công.
8
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Giới thiệu Cisco IOS Firewall
Chiến lược phòng thủ theo từng tầng
Multiple DMZ
Multiple DMZs tạo sự phân chia và quản lý truy cập tốt hơn:
o Mỗi dịch vụ có thể được lưu trữ ở 1 vùng DMZ riêng biệt.
o Hạn chế những mối nguy hại và giữ chân kẻ tấn công nếu 1 dịch
vụ nào đó bị sự cố do tấn công.
Three Separate DMZs
9
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Giới thiệu Cisco IOS Firewall
Chiến lược phòng thủ theo từng tầng
Redundancy DMZ Design
Những hệ thống khác nhau (1 bộ lọc gói dạng stateful hay 1 proxy 
server) đều có thể lọc traffic.
Thiết bị bộ lọc có cấu hình thích hợp là cách thức phòng thủ hữu hiệu.
10
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Giới thiệu Cisco IOS Firewall
Chiến lược phòng thủ theo từng tầng
Modern DMZ Design
Traffic flows on private 
VLANs:
•RED and YELLOW can 
communicate with 
BLUE
•RED and YELLOW
cannot communicate 
with each other Secondary 
VLANs Primary 
VLANs
11
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Giới thiệu Cisco IOS Firewall
Chiến lược phòng thủ theo từng tầng
Modern DMZ Design
Promiscuous Port
Promiscuous Port
Secondary VLAN 
Ports
Host 1 
(FTP)
Host 2 
(HTTP)
Host 3 
(Admin)
12
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Giới thiệu Cisco IOS Firewall
Firewall Technologies:
Firewall sử dụng 3 kỹ thuật:
Packet filtering
Application layer gateway (ALG)
Stateful packet filtering
13
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Giới thiệu Cisco IOS Firewall
Firewall Technologies
Packet Filtering
Packet filtering giúp hạn chế traffic trong mạng dựa vào các thông tin 
như: địa chỉ nguồn và đích, port, flag và được đưa vào trong ACL.
14
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Giới thiệu Cisco IOS Firewall
Firewall Technologies
Ví dụ Packet Filtering 
Router(config)# access-list 100 permit tcp any 16.1.1.0 
0.0.0.255 established
Router(config)# access-list 100 deny ip any any log
Router(config)# interface Serial0/0
Router(config-if)# ip access-group 100 in
Router(config-if)# end
15
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Giới thiệu Cisco IOS Firewall
Firewall Technologies
Application Layer Gateway
The ALG phân chia và thiết lập kết nối đến Internet thay cho client.
16
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Giới thiệu Cisco IOS Firewall
Firewall Technologies
ALG Firewall Device
17
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Giới thiệu Cisco IOS Firewall
Firewall Technologies
Stateful Packet Filtering
Stateless ACLs lọc traffic dựa trên địa chỉ IP nguồn và đích, các port 
TCP and UDP, TCP flag, và loại ICMP và mã code. 
Stateful kiểm tra và ghi nhớ chính xác các chi tiết, hay trạng thái của 
các yêu cầu. 
18
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Giới thiệu Cisco IOS Firewall
Firewall Technologies
Stateful Packet Filtering
Stateful packet filter còn gọi là stateful firewall hay application-aware 
packet filter.
Stateful firewall có 2 cải tiến mới:
o Duy trì 1 bảng session (state table) để ghi nhận tất cả kết nối.
o Nhận dạng các ứng dụng động và biết loại kết nối thêm nào sẽ 
được thiết lập giữa các điểm đầu cuối.
Stateful firewall kiểm tra mỗi packet, so sánh packet dựa vào bảng 
state table, và có thể kiểm tra gói tin trong quá trình thương thuyết 
của các protocol.
Stateful firewall hoạt động chính ở tầng 4 (TCP and UDP).
19
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Giới thiệu Cisco IOS Firewall
Firewall Technologies
Stateful Packet Filtering Example
20
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Giới thiệu Cisco IOS Firewall
Stateful Firewall Operation
Stateful Packet Filter và cách xử lý các loại giao thức
TCP Session – Dễ dàng ghi nhận kết nối TCP (kiểm tra field 
flow information TCP sequence number dựa 
vào entry trong state table).
UDP Connection – Không có field flag hay sequence number 
nên khó ghi nhận chi tiết.
– Chỉ kiểm tra dựa trên field flow information, 
field timeout được sử dụng để xóa các 
entry trong state table.
Các dịch vụ 
Connectionless khác 
(GRE, IPsec)
– Xử lý như 1 stateless packet filter.
Dynamic Application – Được xử lý tự động bằng cách tìm trên các 
kênh đàm phán ứng dụng.
21
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Giới thiệu Cisco IOS Firewall
Giới thiệu Cisco IOS Firewall Feature Set
Cisco IOS Firewall
Cisco IOS Firewall Authentication Proxy
Cisco IOS Firewall IPS
Cisco IPS Signature Actions
Cisco IOS ACLs Revisited
22
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Giới thiệu Cisco IOS Firewall
Giới thiệu Cisco IOS Firewall Feature Set
Cisco IOS Firewall
Các gói tin sẽ được Cisco IOS Firewall kiểm tra nếu gói tin không bị 
ngăn cấm bởi ACL.
Cisco IOS Firewall cho phép hay ngăn cấm traffic TCP hay UDP xác 
định đi qua.
Cisco IOS Firewall xây dựng bảng state table để duy trì thông tin 
session.
ACL được tạo hay xóa một cách linh hoạt.
Cisco IOS Firewall ngăn chặn kiểu tấn công DoS.
23
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Giới thiệu Cisco IOS Firewall
Giới thiệu Cisco IOS Firewall Feature Set
Cisco IOS Firewall Authentication Proxy
Chứng thực HTTP, HTTPS, FTP, và Telnet.
Cung cấp cơ chế chứng thực linh hoạt, chứng thực user và xác thực 
qua các giao thức TACACS+ và RADIUS.
24
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Giới thiệu Cisco IOS Firewall
Giới thiệu Cisco IOS Firewall Feature Set
Cisco IOS Firewall IPS
Là 1 bộ tìm kiếm và ngăn chặn xâm nhập.
Khi kẻ tấn công được phát hiện, bộ tìm kiếm có thể thực thi những 
hành động sau:
o Alarm: gửi 1 cảnh báo đến SDM hoặc syslog server.
o Drop: hủy bỏ gói tin.
o Reset: gửi tín hiệu TCP reset để kết thúc session.
o Block: khóa IP kẻ tấn công hoặc session trong thời gian xác định.
Nhận biết hơn 700 kiểu tấn công phổ biến.
25
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Giới thiệu Cisco IOS Firewall
Giới thiệu Cisco IOS Firewall Feature Set
Cisco IPS Signature Actions
Action Description
Alarm Đưa ra cảnh báo và có thể ghi nhận vào file 
log trong logging destination hoặc qua Security 
Device Event Exchange (SDEE)
Drop Hủy bỏ the packet
Reset Thiết lập lại kết nốiTCP bằng cách gửi gói tin 
TCP RST đến cả bên gửi và bên nhận.
Block attacker Khóa tất cả truyền thông từ địa chỉ IP của kẻ 
tấn công trong thời gian xác định.
Block connection Khóa sessionTCP hoặcUDP của kẻ tấn công 
trong thời gian xác định
26
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Giới thiệu Cisco IOS Firewall
Giới thiệu Cisco IOS Firewall Feature Set
Cisco IOS ACLs Revisited
ACL cung cấp bộ lọc traffic theo những tiêu chuẩn sau:
o Theo địa chỉ IP nguồn và đích.
o Theo port nguồn và đích.
ACL có thể được sử dụng để triển khai 1 bộ lọc firewall, tuy nhiên sẽ có 1 
số hạn chế sau:
Các port phải được mở cố định để cho phép traffic, tạo ra 1 cơ hội để
tấn công.
Các ACL không hoạt động với những ứng dụng có quá trình thương 
thuyết port linh động.
Cisco IOS Firewall sẽ khắc phục những hạn chế của các ACL.
27
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Giới thiệu Cisco IOS Firewall
Cisco IOS Firewall Functions
Cisco IOS Firewall TCP Handling
Cisco IOS Firewall UDP Handling
28
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Giới thiệu Cisco IOS Firewall
Cisco IOS Firewall Functions
Cisco IOS Firewall TCP Handling
29
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Giới thiệu Cisco IOS Firewall
Cisco IOS Firewall Functions
Cisco IOS Firewall UDP Handling
30
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Giới thiệu Cisco IOS Firewall
Cisco IOS Firewall Process
Cách thức hoạt động của Cisco IOS Firewall
31
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Giới thiệu Cisco IOS Firewall
Cisco IOS Firewall Process
Cách thức hoạt động của Cisco IOS Firewall
32
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Giới thiệu Cisco IOS Firewall
Cisco IOS Firewall Process
Timeout and Threshold Value
Value Description
Timeout values for 
TCP and UDP sessions
• Giúp ngăn chặn kiểu tấn công DoS bằng cách giải 
phóng tài nguyên hệ thống. Timeout có thể được thiết lập 
riêng cho TCP và UDP.
Threshold values for 
TCP sessions
• Giúp ngăn chặn tấn công DoS bằng cách quản lý số 
session đóng hờ (half-open) và giới hạn số lượng tài 
nguyên hệ thống sử dụng cho session đóng hờ đó. 
• Khi 1 session bị hủy, firewall sẽ gửi 1 thông điệp reset 
đến tất cả thiết bị tại các điểm đầu cuối của session.
• Khi hệ thống đang bị tấn công nhận được lệnh reset thì 
các tài nguyên, tiến trình của hệ thống sẽ được giải 
phóng. 
• Thresholds chỉ có thể cấu hình cho TCP.
33
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Giới thiệu Cisco IOS Firewall
Cisco IOS Firewall Process
Supported Protocol
Ngoại trừ các giao thức tầng ứng dụng, Cisco IOS Firewall sẽ kiểm tra:
o Tất cả TCP session
o Tất cả UDP connection.
Sự kiểm tra thông tin trạng thái nâng cao của các giao thức lớp ứng 
dụng.
X
Yêu cầu truy cập từ 
Internet đi vào bị khóa.
Yêu cầu đến Internet và hồi đáp từ 
Internet được cho phép
34
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Giới thiệu Cisco IOS Firewall
Cisco IOS Firewall Process
Alerts và Audit Trails
Cisco IOS Firewall đưa ra các cảnh báo thời gian thực và giám sát các 
dấu vết.
Tính năng Audit trail sử dụng syslog để ghi nhận tất cả nhật ký mạng.
Với các luật kiểm tra trong Cisco IOS Firewall, bạn có thể cấu hình các 
thông tin cảnh báo và giám sát dấu vết trên 1 giao thức ứng dụng cơ
bản.
35
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Cisco IOS Firewall
Tổng quan cấu hình IOS Firewall
Cấu hình Cisco IOS Firewall sử dụng command line
Cách sử dụng Basic và Advanced Firewall Configuration Wizard 
trong SDM
Cách cấu hình Basic Firewall sử dụng SDM
Cấu hình một DMZ trên Advanced Firewall
Cấu hình inspection rules
Theo dõi hoạt động và các thiết lập của Firewall.
Giới thiệu cấu hình Cisco IOS dùng CLI và SDM
36
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Cisco IOS Firewall
Cấu hình Cisco IOS Firewall bằng CLI
Các bước cấu hình Cisco IOS Firewall bằng CLI
Bước 1: Xác định interface: internal và external
Bước 2: Cấu hình IP ACLs trên Interface
Bước 3: Định nghĩa inspection rule
Bước 4: Áp dụng inspection rule và ACLs lên Interface
Bước 5: Kiểm tra kết quả
37
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Router(config)#logging on
Router(config)#logging host 10.0.0.3
Router(config)#ip inspect audit-trail
Router(config)#no ip inspect alert-off
• Cho phép chuyển thông điệp audit trail sử dụng syslog
• Cho phép real-time alert
no ip inspect alert-off
Router(config)# 
ip inspect audit-trail
Router(config)# 
Cấu hình Cisco IOS Firewall bằng CLI
Thiết lập Audit Trails và Alerts
Cấu hình Cisco IOS Firewall
38
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
ip inspect name inspection-name protocol [alert 
{on|off}] [audit-trail {on|off}] [timeout seconds]
• Xác định giao thức ứng dụng để kiểm tra:
• Những thông tin được áp đặt trên 1 interface:
– Các giao thức có giá trị như tcp, udp, icmp, smtp, esmtp, cuseeme, 
ftp, ftps, http, h323, netshow, rcmd, realaudio, rpc, rtsp, sip, skinny,
sqlnet, tftp, vdolive
– Alert, audit-trail, và timeout là những giao thức có thể cấu hình tùy 
chọn.
Router(config)# 
Router(config)#ip inspect name FWRULE smtp alert on audit-trail on timeout 300
Router(config)#ip inspect name FWRULE ftp alert on audit-trail on timeout 300
Cấu hình Cisco IOS Firewall bằng CLI
Inspection Rules cho các giao thức tầng ứng dụng
Cấu hình Cisco IOS Firewall
39
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Cisco IOS Firewall
Cấu hình Cisco IOS Firewall bằng CLI
Inspection Rules cho các giao thức tầng ứng dụng
40
Parameter Description
inspection-
name
Tên thiết lập của luật kiểm tra. Nếu không muốn thêm giao thức 
vào luật đã có, ta sử dụng cùng inspection name cho luật đó.
protocol Giao thức để kiểm tra.
alert {on | off} (Tủy chọn) Với mỗi giao thức được kiểm tra, thông điệp alert có 
thể được thiết  ... ule
in Áp đặt inspection rule cho traffic đi vào
out Áp đặt inspection rule cho traffic đi ra
Trên interface có traffic đi qua:
o Áp đặt ACL cho traffic được phép theo hướng vào trong.
o Áp đặt rule cho traffic được phép theo hướng vào trong.
Trên các interface còn lại, áp đặt ACL cho traffic ngăn cấm theo hướng vào
trong.
ip inspect inspection-name {in | out}
• Đặt tên inspection rule cho interface
Router(config-if)# 
Cấu hình Cisco IOS Firewall
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Cisco IOS Firewall
Cấu hình Cisco IOS Firewall bằng CLI
Ví dụ: Two-Interface Firewall
ip inspect name OUTBOUND tcp 
ip inspect name OUTBOUND udp
ip inspect name OUTBOUND icmp
!
interface FastEthernet0/0
ip access-group OUTSIDEACL in
!
interface FastEthernet0/1
ip inspect OUTBOUND in
ip access-group INSIDEACL in
!
ip access-list extended OUTSIDEACL
permit icmp any any packet-too-big
deny ip any any log
!
ip access-list extended INSIDEACL
permit tcp any any
permit udp any any
permit icmp any any
43
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Cisco IOS Firewall
Cấu hình Cisco IOS Firewall bằng CLI
Ví dụ: Three-Interface Firewall
interface FastEthernet0/0
ip inspect OUTSIDE in
ip access-group OUTSIDEACL in
!
interface FastEthernet0/1
ip inspect INSIDE in
ip access-group INSIDEACL in
! 
interface FastEthernet0/2
ip access-group DMZACL in
!
ip inspect name INSIDE tcp 
ip inspect name OUTSIDE tcp
!
ip access-list extended OUTSIDEACL
permit tcp any host 200.1.2.1 eq 25
permit tcp any host 200.1.2.2 eq 80
permit icmp any any packet-too-big
deny ip any any log
!
ip access-list extended INSIDEACL
permit tcp any any eq 80
permit icmp any any packet-too-big
deny ip any any log
!
ip access-list extended DMZACL
permit icmp any any packet-too-big
deny ip any any log
44
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
show ip inspect name inspection-name
show ip inspect config
show ip inspect interfaces
show ip inspect session [detail]
show ip inspect statistics
show ip inspect all
• Hiển thị inspection, cấu hình interface, sessions, and statistics
Router#show ip inspect session
Established Sessions
Session 6155930C (10.0.0.3:35009)=>(172.30.0.50:34233) tcp SIS_OPEN
Session 6156F0CC (10.0.0.3:35011)=>(172.30.0.50:34234) tcp SIS_OPEN
Session 6156AF74 (10.0.0.3:35010)=>(172.30.0.50:5002) tcp SIS_OPEN
Router#
Cấu hình Cisco IOS Firewall bằng CLI
Kiểm tra Cisco IOS Firewall
Cấu hình Cisco IOS Firewall
45
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
debug ip inspect function-trace
debug ip inspect object-creation
debug ip inspect object-deletion
debug ip inspect events
debug ip inspect timers
debug ip inspect detail
• General debug commands
debug ip inspect protocol
• Protocol-specific debug
Router# 
Router# 
Cấu hình Cisco IOS Firewall bằng CLI
Khắc phục lỗi Cisco IOS Firewall
Cấu hình Cisco IOS Firewall
46
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Cisco IOS Firewall
Basic and Advanced Firewall Wizards
Có 2 loại cấu hình wizard:
Basic Firewall Configuration wizard:
o Hỗ trợ 2 loại interface (inside and 
outside)
o Áp dụng rule có sẵn
Advanced Firewall Configuration 
wizard:
o Hỗ trợ nhiều interface hơn 
(Inside, Outside, and DMZ)
o Áp dụng rule có sẵn và rule tạo 
mới
47
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Cisco IOS Firewall
Cấu hình Basic Firewall
Cấu hình Basic Firewall Interface
Triển khai cấu hình Basic Firewall 
Reviewing the Basic Firewall for the Originating Traffic
Reviewing the Basic Firewall for the Returning Traffic
Kiểm tra kết quả cấu hình Basic Firewall Inspection Rule
Kiểm tra kết quả cấu hình Basic Firewall ACL 
Kiểm tra kết quả cấu hình Basic Firewall Interface
48
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Cisco IOS Firewall
Cấu hình Basic Firewall
Cấu hình Basic Firewall Interface
1
2
3
4
49
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Cisco IOS Firewall
Cấu hình Basic Firewall
Triển khai cấu hình Basic Firewall 
50
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Cisco IOS Firewall
Cấu hình Basic Firewall
Triển khai cấu hình Basic Firewall 
51
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Cisco IOS Firewall
Cấu hình Basic Firewall
Reviewing the Basic Firewall for the Originating Traffic
52
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Cisco IOS Firewall
Cấu hình Basic Firewall
Reviewing the Basic Firewall for the Returning Traffic
53
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Cisco IOS Firewall
Cấu hình Basic Firewall
Kiểm tra kết quả cấu hình Basic Firewall Inspection Rule
Router#show running-config | include ip inspect name
ip inspect name SDM_LOW cuseeme
ip inspect name SDM_LOW dns
ip inspect name SDM_LOW ftp
ip inspect name SDM_LOW h323
ip inspect name SDM_LOW https
ip inspect name SDM_LOW icmp
ip inspect name SDM_LOW imap
ip inspect name SDM_LOW pop3
ip inspect name SDM_LOW netshow
ip inspect name SDM_LOW rcmd
ip inspect name SDM_LOW realaudio
ip inspect name SDM_LOW rtsp
ip inspect name SDM_LOW esmtp
ip inspect name SDM_LOW sqlnet
ip inspect name SDM_LOW streamworks
ip inspect name SDM_LOW tftp
ip inspect name SDM_LOW tcp
ip inspect name SDM_LOW udp
ip inspect name SDM_LOW vdolive 
54
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Cisco IOS Firewall
Cấu hình Basic Firewall
Kiểm tra kết quả cấu hình Basic Firewall ACL 
Router#show running-config | include access-list
access-list 100 remark autogenerated by SDM firewall configuration
access-list 100 remark SDM_ACL Category=1
access-list 100 deny ip 200.0.0.0 0.0.0.3 any
access-list 100 deny ip host 255.255.255.255 any
access-list 100 deny ip 127.0.0.0 0.255.255.255 any
access-list 100 permit ip any any
access-list 101 remark autogenerated by SDM firewall configuration
access-list 101 remark SDM_ACL Category=1
access-list 101 deny ip 10.1.1.0 0.0.0.255 any
access-list 101 permit icmp any host 200.0.0.1 echo-reply
access-list 101 permit icmp any host 200.0.0.1 time-exceeded
access-list 101 permit icmp any host 200.0.0.1 unreachable
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 127.0.0.0 0.255.255.255 any
access-list 101 deny ip host 255.255.255.255 any
access-list 101 deny ip host 0.0.0.0 any
access-list 101 deny ip any any log
55
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Cisco IOS Firewall
Cấu hình Basic Firewall
Kiểm tra kết quả cấu hình Basic Firewall Interface
Router#show running-config | begin interface
interface FastEthernet0/0
description $FW_INSIDE$
ip address 10.1.1.1 255.255.255.0
ip access-group 100 in
!
interface Serial0/0/0
description $FW_OUTSIDE$
ip address 200.0.0.1 255.255.255.252
ip access-group 101 in
ip verify unicast reverse-path
ip inspect SDM_LOW out
!
56
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Cisco IOS Firewall
Cấu hình Interfaces trên Advanced Firewall
Cấu hình Advanced Firewall Interface
2
3
4
1
57
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Cisco IOS Firewall
Cấu hình vùng DMZ trên Advanced Firewall
58
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Cisco IOS Firewall
Cấu hình vùng DMZ trên Advanced Firewall
59
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Cisco IOS Firewall
Cấu hình vùng DMZ trên Advanced Firewall
Advanced Firewall DMZ Service Configuration: TCP
60
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Cisco IOS Firewall
Cấu hình vùng DMZ trên Advanced Firewall
Advanced Firewall DMZ Service Configuration: UDP
61
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Cisco IOS Firewall
Cấu hình tính năng bảo mật trên Advanced Firewall
Advanced Firewall Protocols và Applications
Advanced Firewall Inspection Parameters
Lựa chọn Advanced Firewall Security Policy 
62
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Cisco IOS Firewall
Cấu hình tính năng bảo mật trên Advanced Firewall
Advanced Firewall Protocols và Applications
63
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Cisco IOS Firewall
Cấu hình tính năng bảo mật trên Advanced Firewall
Advanced Firewall Protocols và Applications
64
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Cisco IOS Firewall
Cấu hình tính năng bảo mật trên Advanced Firewall
Advanced Firewall Protocols và Applications
65
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Cisco IOS Firewall
Cấu hình tính năng bảo mật trên Advanced Firewall
Advanced Firewall Inspection Parameters
66
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Cisco IOS Firewall
Cấu hình tính năng bảo mật trên Advanced Firewall
Lựa chọn Advanced Firewall Security Policy 
67
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Cisco IOS Firewall
Cấu hình tính năng bảo mật trên Advanced Firewall
Lựa chọn Advanced Firewall Security Policy 
68
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Cisco IOS Firewall
Hoàn tất cấu hình Advanced Firewall
Kiểm tra kết quả cấu hình Advanced Firewall Inspection Rule 
Kiểm tra kết quả cấu hình Advanced Firewall ACL 
Kiểm tra kết quả cấu hình Advanced Firewall Interface
69
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Cisco IOS Firewall
Hoàn tất cấu hình Advanced Firewall
Kiểm tra kết quả cấu hình Advanced Firewall Inspection Rule 
Router#show running-config | include ip inspect name
ip inspect name appfw_100 tcp audit-trail on
ip inspect name appfw_100 udp
ip inspect name appfw_100 ftp
ip inspect name dmzinspect tcp
ip inspect name dmzinspect udp
70
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Cisco IOS Firewall
Hoàn tất cấu hình Advanced Firewall
Kiểm tra kết quả cấu hình Advanced Firewall ACL 
Router#show running-config | include access-list
access-list 100 remark autogenerated by SDM firewall configuration
access-list 100 remark SDM_ACL Category=1
access-list 100 deny ip 200.0.0.0 0.0.0.3 any
access-list 100 deny ip 192.168.0.0 0.0.0.255 any
access-list 100 deny ip host 255.255.255.255 any
access-list 100 deny ip 127.0.0.0 0.255.255.255 any
access-list 100 permit ip any any
access-list 101 remark autogenerated by SDM firewall configuration
access-list 101 remark SDM_ACL Category=1
access-list 101 deny ip any any log
access-list 102 remark autogenerated by SDM firewall configuration
access-list 102 remark SDM_ACL Category=1
access-list 102 deny ip 192.168.0.0 0.0.0.255 any
access-list 102 deny ip 10.1.1.0 0.0.0.255 any
access-list 102 permit icmp any host 200.0.0.1echo-reply
access-list 102 permit icmp any host 200.0.0.1 time-exceeded
access-list 102 permit icmp any host 200.0.0.1 unreachable
access-list 102 permit tcp any host 192.168.0.2 eq www
access-list 102 permit udp any host 192.168.0.3 eq isakmp
access-list 102 deny ip 10.0.0.0 0.255.255.255 any
access-list 102 deny ip 172.16.0.0 0.15.255.255 any
access-list 102 deny ip 192.168.0.0 0.0.255.255 any
access-list 102 deny ip 127.0.0.0 0.255.255.255 any
access-list 102 deny ip host 255.255.255.255 any
access-list 102 deny ip host 0.0.0.0 any
access-list 102 deny ip any any log
71
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Cisco IOS Firewall
Hoàn tất cấu hình Advanced Firewall
Kiểm tra kết quả cấu hình Advanced Firewall Interface
Router#show running-config | begin interface
interface FastEthernet0/0
description $FW_INSIDE$
ip address 10.1.1.1 255.255.255.0
ip access-group 100 in
ip inspect appfw_100 in
! 
interface FastEthernet0/1
description $FW_DMZ$
ip address 192.168.0.1 255.255.255.0
ip access-group 101 in
ip inspect dmzinspect out
!
interface Serial0/0/0
description $FW_OUTSIDE$
ip address 200.0.0.1 255.255.255.252
ip access-group 102 in
ip verify unicast reverse-path
!
72
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Cisco IOS Firewall
Xem xét hoạt động của Firewall
Xem Firewall Log
73
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Cisco IOS Firewall
Xem xét hoạt động của Firewall
Xem Firewall Log
1
2
74
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Câu hỏi bài tập
Trình bày đặc điểm của Cisco IOS Firewall. 
Giải thích chiến lược phòng thủ theo từng tầng.
Trình bày các kỹ thuật Firewall. 
Các cách cấu hình Cisco IOS Firewall. 
Triển khai hệ thống firewall cho doanh nghiệp dựa trên 
Cisco IOS Firewall. 
75
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
TÓM LƯỢC BÀI HỌC
Kỹ thuật bảo mật phòng thủ theo từng tầng.
Triển khai tính năng CBAC.
Triển khai Firewall với Cisco IOS Firewall
Kết luận:
Bài học này rất hay giúp SV hình dung được cách xây dựng hệ thống 
phòng thủ theo từng tầng.
Ứng dụng bài học vào thực tiễn xây dựng hệ thống Firewall với Cisco 
IOS Firewall bảo mật cho hệ thống mạng DN.
76
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
HỎI - ĐÁP
77
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Mở rộng.
Các loại Firewall.
78
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Mở rộng.
Các loại Firewall.
79
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Mở rộng.
Các loại Firewall.
80
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Mở rộng.
Các loại Firewall.
81
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Mở rộng.
Các loại Firewall.
82
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Mở rộng.
Các loại Firewall.
83
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Mở rộng.
Các loại Firewall.
84
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Mở rộng.
Các loại Firewall.
85
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Mở rộng.
Các loại Firewall.
86
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Mở rộng.
Các loại Firewall.
87
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Mở rộng.
Các loại Firewall.
88
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Mở rộng.
Các loại Firewall.
89