ĐÀO TẠO VÀ CHUYỂN GIAO HỆ THỐNG BẢO MẬT THÔNG TIN
Trần Hải Minh
Email:
[email protected] DĐ: 091 8397 226
CTY TNHH TH &TT MINH TRÚC ĐT: 08 62966066 Fax: 08 62966060 Email:
[email protected] Web: www.mtcsys.com.vn
Nội dung
– Astaro Security Gateway
• • • • Mô hình triển khai Giới thiệu và cấu hình cơ bản Cấu hình các thông số mạng Quản trị
– CISCO VLAN, VTP, STP
• Giới thiệu và mô hình triển khai • Hướng dẫn cấu hình cơ bản • Quản trị
Astaro Security Gateway
Mô hình triển khai
Securing central offices, branch offices and mobile workers
Astaro Security Gateway
GIỚI THIỆU VÀ TÍNH NĂNG
Kiến trúc Astaro Security Gateway
Endpoint Security & Mobile Control Networking features for high availability and load balancing
Integration of complete email, web & network protection
Flexible Deployment VPN & wireless extensions Software Appliance Central, browser-based management & reporting of all applications
Virtual Appliance
Astaro - Thiết bị tất cả trong 1/ Sim
Complete protection for your network
Wireless Security
Network Security Essential Firewall
• Wireless Controller for Astaro Access Points • Multi-Zone (SSID) support
• Stateful Firewall • Network Address Translation • PPTP/L2TP Remote Access
• Intrusion Prevention • IPSec/SSL VPN • Branch Office Security
Web Application Security
Web Security
optional • Reverse Proxy • Web Application Firewall • Antivirus
Mail Security
• URL Filter • Antivirus & Antispyware • Application Control
• Anti Spam & Phishing • Dual Virus Protection • Email Encryption
Các dòng sản phẩm Astaro
Hardware Appliance 110/120 220 320 425 525 625 Multiple + RED
Environment
Small network 4 10/80
Medium network 8 300
Medium network 8 800
Large network 6 & 2 SFP 1500
Large network 10 & 4 SFP 3500
Large network 10 & 8 SFP 5000
Large networks + branches Multiple 10000+
Network Ports Max. recommended FW users Max. recommended UTM users
10/35
75
200
600
1300
2000
5000
Software Appliance * Virtual Appliance *
Runs on Intel-compatible PCs and servers VMware Ready & Citrix Ready certified Runs in Hyper-V, KVM, and other virtual environments
Astaro Security Gateway
12 BƯỚC CẤU HÌNH ASG
Bước 1 – Khởi động
1. Kết nối port eth0 vào switch nội bộ
2. Kết nối port eth1 vào modem ADSL
3. Cấp nguồn và Khởi động thiết bị 4. Đặt IP máy tính ở lớp mạng 192.168.0.x Dùng web browser vào webadmin Default IP: Astaro hardware: https://192.168.0.1:4444 Lưu ý chấp nhận Certificate khi browser báo lỗi
Bước 2 – Thiết lập tên tổ chức
Hostname: tên của thiết bị trong domain Company: tên tổ chức City: thành phố Country: Vietnam User admin password: xxx Email của admin
Bước 3 – Đăng nhập
• Refresh và vào trang đăng nhập. Nhập user admin, password vừa mới đặt để vào quản trị
Bước 4: Cài đặt theo Winzard
Click Next để tiếp tục
Bước 5: Đặt IP LAN
Đặt IP port LAN Bật DHCP để cấp IP cho máy tính
Bước 6 – Cài đặt cổng WAN
Chọn interface: eth1 Chọn type: DSL – PPPoE Username: do nhà cung cấp ADSL cấp Password: do nhà cung cấp ADSL cấp
Bước 7 – Thiết lập Firewall
Cho phép những dịch vụ người dùng bên trong có thể ra ngoài
Bước 8 – Chống xâm nhập
Bật hệ thống chống xâm nhập
Bước 9 – IM / P2P
Chặn IM chatting Chặn P2P download (tùy chọn)
Bước 10 – Web proxy
Thiết lập Web proxy (tùy chọn)
Bước 11 – Thiết lập Mail Proxy
Thiết lập Mail proxy (tùy chọn)
Bước 12 - Tổng kết các thông số
Bấm finish để hoàn thành cài đặt
WEBADMIN
Giao diện WebAdmin
Context-Help Login Information Refresh
Main-Menu
The “Throbber”
Submenus appear when clicked
The Dashboard
Release Information
Cấu trúc menu
Mỗi menu có nhiều “Tab“
Chọn menu chính xuất hiện các menu bên dưới
Tìm menu theo keywords
Định nghĩa đối tượng: Definitions
Định nghĩa các đối tượng
Sử dụng tên thay vì IP addresses Dễ dàng thay đổi và troubleshooting Có thể kéo thả đối tượng dễ dàng, nhanh chóng “Drag&Drop (DnD)“ Các loại đối tượng thuộc Network
Host DNS Host DNS Group Network Multicast group Network group Availability Group
Network Interfaces
– Thiết lập kết nối WAN cho thiết bị • Type: DSL • Hardware: eth1 • Username/pass ADSL • MTU • Default route
Network Settings- Static Routing
• • Định nghĩa làm sao để đến một lớp mạng nào đó 3 loại routing: – Interface route • Packets được gửi đến trực tiếp port LAN • Sử dụng dynamic interfaces (PPP), lúc này không biết chính xác gateway – Gateway route • Packages được gửi đến 1 router, IP : „the next hop“. – Blackhole route • Packets sẽ bỏ qua, không routing. . Default route được thiết lập ở Interface.
• •
Network Services - DNS
– Global:
• Cho phép nhận request từ ALLOWED Networks
– Forwarders
• Chuyển DSN requests đến DNS servers bên ngoài hoặc bên trong.
– Static Entries
• Mappings of hostnames to IP addresses.
Network Services - DHCP Server
– – DHPC in ASG can be used to assign basic network parameters to client hosts. DHCP service can run on multiple interfaces, with each interface having its own configuration set.
–
Make the following settings:
– The NIC from which the IP addresses should be assigned to the clients.
• Interface • Range start/end
– IP range to be used as an address pool on that interface. – Range must be inside the network attached to the interface.
• DNS Server 1/2:
– IP addresses of the DNS servers.
• Default gateway • Domain name • Time after the IP addresses have to be refreshed (lease) • Choose if you want have the DHCP server assign IP addresses only to clients that have an entry on the Static MAC/IP Mappings tab. • WINS node type
– Depending on WINS node type selection, the WINS Server text box appears where you must enter the IP address of the WINS server. The following WINS node types are available: B-, P-, M-, H-Nodes.
• WINS server
– The IP address of the WINS server (depending on the selected WINS node type).
Network Services – DHCP – Static Mapping
– Có thể gán IP cố định cho một MAC Address – Sử dụng packet filter rules để thiết lập chính sách lọc gói tin cho IP được gán. – IP gán tĩnh nên nằm ngoài vùng cấp của DHCP Pool để tránh trùng IP.
– Xem bảng Lease Table để thấy các IP đã cấp và ngày bắt đầu, ngày hết hạn.
Astaro Security Gateway – Phần 2
CHÍNH SÁCH BẢO MẬT MẠNG
Packet Filter Table
Default View Packet Filter Table Source Action and Service
Destination
Activate/Deactivate
Description (optional) Order Group name Edit Delete Clone
Packet Filter – Thông số
– Packet filter engine của ASG được lọc bởi
• Source IP • Protocol/Service • Target IP
– Cấu hình Rules sử dụng các Definition. – Các rule trong bảng được sắp xếp thứ tự ưu tiên từ trên xuống dưới.. – Các chính sách có thể thiết lập:
• Allow : cho phép • Drop : từ chối và không thông báo • Reject : từ chối và thông báo gói tin bị từ chối
– Bất kì hành động cho phép đề có tùy chọn “logging” – ghi traffic vào log
• Nếu không có rule nào match đúng với gói tin thì gói tin sẽ bị từ chối và ghi nhận lại.
Packet Filter – Các cấu hình khác
Rules: Nơi lưu trữ bảng packet filter rule.
Ngăn theo địa lý:
ICMP: Điều khiển các hành vi của giao thức ICMP.
Advanced: Các tùy chọn khác về IP Stack và các thiết lập nâng cao.
Trên nền tảng thông tin của GeoIP các packet có thể bị chặn theo từng vị trí địa lý, vùng miền.
Packet Filter – Thêm/sửa rule
Thêm rule mới Sửa rule
– Gán vào một group Name – Tên của rule – Chuyển rule đến một vị trí trên bảng rule – – – – – – – The sources: The service: The destinations: What to do: When to do: Log Packets: Comment: IP or Group TCP/UDP/IP IP or Group Action: Allow, Drop or Reject The time Yes or No Whatever helps
Network Address Translation / Khái niệm về NAT
Astaro Security Gateway cung cấp 3 loại NAT khác nhau: – Masquerading: Bật khả năng sử dụng IP private đi ra ngoài Internet. Nhiều người dùng chung 1 IP public. – DNAT: Chuyển traffic đến từ bên ngoài vào máy chủ bên trong hệ thống nội bộ. – SNAT: Đổi IP nguồn của packet. Trường hợp có nhiều IP public. Email server đi 1 IP, Web Server đi 1 IP khác.
RFC 1918-IP 172.16.65.0/24
Official IP 209.97.208.100
Astaro Security Gateway
INTRUSION PREVENTION SYSTEM
Thiết lập chống xâm nhập
Bật / tắt IPS Lớp mạng được bảo vệ
Xem live log
Thiết lập chống xâm nhập (tt)
Bật/Tắt chống Port Scan từ bên ngoài internet
Astaro Security Gateway
QUẢN TRỊ
Kiểm tra Log
Tìm kiếm trong LOG
Xem LOG
Xem log trong trong thời gian trước
Xem LOG Thời gian thực
Xóa LOG
Xem báo cáo
Ngày, tuần, tháng, năm
Hardware Network Web Mail Remote
Tự động gửi báo cáo định kỳ
Gửi report hàng ngày về người quản trị
Sao lưu và phục hồi cấu hình
Tự động sao lưu cấu hình theo ngày, tuần… Phục hồi backup Tải về backup
Tạo backup
Upload backup
Tự động sao lưu cấu hình
Tự động sao lưu cấu hình theo ngày, tuần…
Định kỳ theo tuần
Gửi bản sao lưu qua email
Cập nhật firmware
Tự động kiểm tra bản cập nhật mới Click cài đặt khi có bản cập nhật mới
Tự động cập nhật và cài đặt mẫu tấn công mới
Phục hồi cấu hình về mặc định
Phục hồi cấu hình về mặc định bằng LCD trên hardware - 1. Nhấn Enter - 2. Nhấn nút mũi tên xuống 2 lần. Dòng chữ Factory Reset xuất hiện - 3. Nhấn Enter. LCD hiện dòng chữ No. - 4. Nhất nút mũi tên xuống để đồng ý (Yes) - 5. Nhấn Enter, quá trình reset bắt đầu - 6. Thiết bị tự động tắt nguồn, cần bật nguồn lại
Phục hồi cấu hình về mặc định (tt)
Reset password
Phục hồi cấu hình mặc định
HƯỚNG DẪN CẤU HÌNH VTP, VLANS, STP TRÊN CISCO SWITCH
Giới thiệu mô hình triển khai
THÔNG TIN
• • • • • - TẠO KẾT NỐI RING - CẤU HÌNH CÁC VTP - CẤU HÌNH TRUNK - CẤU HÌNH VLANS - CẤU HÌNH STP CHO RING
KẾT NỐI RING
• - TẠO KẾT NỐI RING •
53
Computer Network 2
CẤU HÌNH VTP
• • • • •
Trường ĐHBK TP.HCM - Khoa Khoa học & Kỹ thuật máy tính 2008
- S1_3750(config)#vtp mode server Device mode already VTP SERVER. - S1_3750(config)#vtp domain hvhq Changing VTP domain name from NULL to hvhq - S1_3750(config)#vtp password cisco Setting device VLAN database password to cisco • - S2_3560(config)#vtp mode client Setting device to VTP CLIENT mode. • - S2(config)#vtp domain hvhq • Domain name already set to lab4.
Cấu hình VTP
• • • • • • - S2_3560(config)#vtp password cisco Setting device VLAN database password to cisco - S3_3560(config)#vtp mode client Setting device to VTP CLIENT mode. - S3_3560(config)#vtp domain hvhq Changing VTP domain name from NULL to lab4 S3_3560(config)#vtp password cisco • Setting device VLAN database password to cisco
Cấu hình TRUNK
• • • • • - S1_3750(config)#interface range gi0/1-2 - S1_3750(config-if-range)#switchport mode trunk - S1_3750(config-if-range)#switchport trunk encap dot1.q - S1_3750(config-if-range)#no shutdown - S1_3750(config-if-range)#end
Cấu hình TRUNK
• • • • • - S3_3560 (config)#interface range gi0/1-2 - S3_3560 (config-if-range)#switchport mode trunk - S3_3560 (config-if-range)#switchport trunk encap dot1.q - S3_3560 (config-if-range)#no shutdown - S3_3560 (config-if-range)#end
Cấu hình TRUNK
• • • • • - S2_3560 (config)#interface range gi0/1-2 - S2_3560 (config-if-range)#switchport mode trunk - S2_3560 (config-if-range)#switchport trunk encap dot1.q - S2_3560 (config-if-range)#no shutdown - S2_3560 (config-if-range)#end
Cấu hình các VLAN
• • • • • • • • • • • • - CẤU HÌNH VLAN TRÊN SWITCH VTP SERVER S1_3750 (config)#vlan 20 S1_3750 (config-vlan)#name daotao S1_3750 (config-vlan)#vlan 30 S1_3750 (config-vlan)#name thuvien S1_3750 (config-vlan)#vlan 40 S1_3750 (config-vlan)#name BGD S1_3750 (config-vlan)#vlan 50 S1_3750 (config-vlan)#name vanthutacchien S1_3750 (config-vlan)#vlan 60 S1_3750 (config-vlan)#name hocvien
Cấu hình các VLAN
• - CẤU HÌNH IP ADD CHO CÁC VLAN
• • • • • • • • • • S1_3750 (config)#interface vlan 20 S1_3750 (config)#ip address 192.168.20.254 255.255.255.0 S1_3750 (config)#interface vlan 30 S1_3750 (config)#ip address 192.170.182.253 255.255.255.0 S1_3750 (config)#interface vlan 40 S1_3750 (config)#ip address 192.168.40.254 255.255.255.0 S1_3750 (config)#interface vlan 50 S1_3750 (config)#ip address 192.168.50.254 255.255.255.0 S1_3750 (config)#interface vlan 60 S1_3750 (config)#ip address 192.168.60.254 255.255.255.0
Cấu hình STP
• - CẤU HÌNH STP TRÊN CÁC VLAN ĐẢM BẢO KHÔNG BỊ LOOP • S1_3750(config )#spanning-tree vlan 20 priority 4096 S1_3750(config )#spanning-tree vlan 30 priority 4096 S1_3750(config )#spanning-tree vlan 40 priority 4096 • S1_3750(config )#spanning-tree vlan 50 priority 4096 S1_3750(config )#spanning-tree vlan 60 priority 4096
Cấu hình gán port cho VLAN
• - CẤU HÌNH GÁN PORTS CHO CÁC VLAN TRÊN CÁC SWITCH MÌNH CẦN GÁN • + Cấu trúc lệnh như sau: • S1_3750 (config)#interface range giga 0/5-10 • S1_3750 (config-if-range)#switchport access vlan 30 S1_3750 (config-if-range)#interface range giga0/11-17 S1_3750 (config-if-range)#switchport access vlan 40 • Tương tự trên các switch khác cần gán port cho từng VLAN.
GIẢI ĐÁP
• THANKS