17 一月 2013

Cisco PIX/ASA防火牆最新功能及技術(下)

Cisco PIX/ASA 整合性防火牆的最新功能及技術(下) 文◎奇科電腦資深網路技術顧問 – Ben 哥

technum_02前言

在九月以及十一月份的期刊中,Ben老師已經介紹了以下的相關議題:

  1. 何謂狀態性(Stateful)以及非狀態性(Stateless)防火牆。
  2. 何謂虛擬防火牆 (Security context or Virtual firewall)。
  3. 何謂通透式防火牆 (Transparent or Layer firewall)。
  4. 如何設定以及啟動Cisco ASA/PIX的整合性防火牆的功能。
  5. 虛擬防火牆的應用。
  6. 通透式防火牆的應用。

  如果各位讀者手邊沒有該期的網管人,也可以在奇科電腦的網站上線上閱讀。

網路安全實為未來IT資訊產業的必然趨勢,其市場之大非為一般消費者可以預測,Ben老師在思科服務期間,是思科系統亞太區的主要兩個資深網路安全顧問的其中之一,服務於思科系統將近九個年頭,對於未來網路安全的走向可說有全面性的概念,以網路市場龍頭思科系統為例,相關網路安全產品的世界銷售量,以年成長100%的速度進行,並且非常積極地併購極具潛力的中小型網路安全相關公司,以鞏固其未來的市佔率,並完整的提出一套全方位網路安全的解決方案。

也因為如此,Ben老師時常教誨學生們,如果想在IT資訊產業中,佔有一席不動的地位,網路安全的證照絕對是一個保險的投資;我也建議各位學生可以朝Cisco Systems所提供的國際專業證照邁進,例如,CCNP、CCSP、以及CCIE、CCIE Security等。

本技術文件實驗所需的設備清單如下:
  1. Cisco PIX防火牆或是ASA (Adaptive Security Appliance) 網路安全整合防禦設備。

Cisco-security-firewall-ips-asa5500-series

本技術文件實驗所需的軟體及核心清單如下:
  1. Cisco PIX或是ASA 5500系列,韌體版本7.21,管理軟體 ASDM 5.21。
  2. Cisco 3524 交換器。
本技術文件讀者所需基本知識如下:
  1. VLAN協定802.1Q。
  2. 路由以及防火牆的基礎知識。
  3. Cisco IOS 基礎操作技術。

technum_02使用ADSM設定及管理ASA/PIX

在本專欄的上集以及中集,我們已經建立了六個虛擬通透式防火牆,分別是命名為admin、geego1、geego2、geego3、geego4、geego5等六個Security Contexts,如下圖所示。

Cisco-pix-asa-console-show-context

現在,Ben老師要使用Cisco ASA/PIX專用的用戶端管理應用程式ADSM,管理所有的Security Contexts,因此,首先要做的就是設定名為admin的虛擬防火牆(Security Context)。

要在不同的Seurity Context中互相切換,或是由System Context中切換到Security Contexts,必須使用指令『 changeto context 』,進入某個Security Context後,命令提示字元將會改變成『主機名稱/Security Context名稱』,以下圖為例,Ben老師進入名為admin的Security Context。

Cisco-pix-asa-console-changeto

進入Security Context之後,就如同進入一個防火牆一樣,因為我們所設定的防火牆為虛擬通透式(Transparent Security Context),因為通透式並不能在網路介面上設定IP位址,因此,Ben老師會進行下列幾個步驟,達到的管理的目的。

1.設定網路介面的安全等級,網路介面的防火牆屬性,例如inside、outside、DMZ以及Security Level等。

首先進入admin context,先對每個網路介面設定名稱以及安全等級,在Cisco的防火牆設備中,把對外的網路介面卡取名為outside,對內的網路介面卡則命名為inside,安全等級從0到100,數字越小所代表的安全等級越低,安全等級低的無法建立連線到安全等級高的,必須要額外的設定才行,因此,預設行為是從outside介面,無法建立連線到inside介面。

Cisco-pix-asa-console-context-nameif-inside-outside

2.設定管理用的IP位址。
所謂的通透式防火牆,就是在防火牆所分開的兩個區域網路,以IP的觀點來看必須在同一網段中,以區域網路的角度來看,則必須是不同的VLAN,因此,交換器的使用是不可避免的;以admin context為例,Ben老師分配了兩個網路介面給它,分別為 Ethernet 0/3.6以及Ethernet 0/3.66,這兩個介面必須連接到不同的VLAN,Ben老師為了統一起見,設定了VLAN ID 6以及 66,並分別把Ethernet 0/3.6接到VLAN ID 6,Ethernet 0/3.66接到VLAN ID 66。

因此,防火牆的管理IP位址也必須設在相同的區域網路中,為了方便觀察以及設定起見,所有的區域網路皆以192.168..0/24來做設定,例如,context admin的inside介面VLAN ID為6,admin context所在的區域網段則為192.168.6.0/24,防火牆的管理IP位址則為192.168.6.100。

Cisco-pix-asa-console-context-assign-ip-address

3.啟動內部的網頁伺服器
在ASA/PIX的設定中,我們必須啟動其內部的網頁伺服器,然後經由IE瀏覽器連接管理,所需要的指令需在config模式中下達,指令則為http,下圖為http指令的相關選項以及Ben老師的設定方式。

Cisco-pix-asa-console-activate-http-device-manager

4.以ADSM連線到ASA/PIX管理。
皆下來啟動IE瀏覽器,以https的連線方式連接到防火牆的管理IP位址192.168.6.100,就會出現下圖,Ben老師選擇安裝ASDM於電腦中,以便日後方便管理。

Cisco-pix-asa-asdm

出現ADSM Launcher之後,我們把防火牆的管理IP位址輸入到Device IP Address/Name的欄位中,再按OK鍵就逕行連接到防火牆的ASDM。

Cisco-pix-asa-asdm-launcher

連結完成後就出現ASDM的管理介面,皆下來的所有設定就都以ASDM進行,而且在admin context中,我們可以自由的切換到其他contexts做額外的設定,但是如果連結到admin context以外的contexts的話,則只能看到該context的設定,並不能做切換的動作;有了這個功能,在中大型的企業中,MIS人員便可以釋放防火牆管理的權限到每個部門的MIS工程師。

Cisco-pix-asa-asdm-dashboard

舉例來說,奇科電腦有五個部門,分別為人事部、工程部、研發部、財務部、以及總管理部,每個部門都有其獨立的MIS工程師,目前的設定有五個通透式防火牆,因此我們可以讓每部門擁有一個獨立的通透式防火牆;讓各個部門有其獨立訂定安全政策的彈性;接下來的實驗,Ben老師就把security context – geego1分配給研發部,讓其進行所有設定。

technum_03防火牆結合IPS入侵防禦系統

Cisco的ASA 5510以上系列的整合防禦系統,皆有配備一個模組插槽,以供額外的安全性整合功能,其模組的名稱為SSM (Security Service Module),目前有兩款模組,個別所提供的功能有:
1.全功能的入侵防禦系統,跟Cisco IPS 4200系列一模一樣。
2.趨勢科技所提供的Anti-virus,Anti-spyware, Anti-spam, Anti-phishing,URL filtering/blocking等全方為的Anti-X科技。

另外,ASA本身則已經具有Cisco VPN Concentrator 3000系列的VPN全部功能,SSLVPN,以及PIX防火牆的全系列功能;可說是集合Cisco內部的四大產品於一身。

如下圖所示:
Cisco-asa-firewall-5500-series

Ben老師所使用的將會是ASA5510加上AIP-SSM (Advanced Inspection and Prevention Security Services Module),AIP-SSM就是一個完整的Cisco IPS 4200系列的入侵偵測系統。

在ASDM的管理介面中,左手邊有一個IPS的圖示,稍做網路位址的設定後,便可以在ASDM中啟動AIP-SSM的管理介面了。

Cisco-pix-asa-asdm-configuratioin-network

事實上,所有Cisco IPS 4200系列產品皆為通透式,也因此,AIP-SSM本身的運作模式也是通透式, AIP-SSM與ASA的流量連接是由一個內部的Gigabit Ethernet所連結的,因此,Ben老師需要下一個ACL把ASA的資料流量導入AIP-SSM,所需的ACL的設定如下圖所示:

Cisco-pix-asa-asdm-configuration-security-policy

設定完成之後,所有進入ASA的資料流量,會經果防火牆的檢視後,沒有被過濾掉的封包,就會被直接導入至AIP-SSM中,進行入侵防禦的功能,而達到UTM網路安全整合防禦管理的目的。

technum_04企業環境實做

奇科電腦的研發部門被總部分配到一個通透式的虛擬防火牆,該管理的IP位址為192.168.10.100,因此,研發部MIS工程師就可以藉由ADSM Launcher連接到ADSM進行圖形介面的管理;連到該透式虛擬防火牆,跟admin context很明顯的差異就是不能自由的切換到其它context,如下圖所示:

Cisco-pix-asa-asdm-home-dashboard

接下來,請根據本文所述如何將ASA的資料流量導到AIP-SSM,設定於geego1 context中,然後在被保護的區域網路內(VLAN 10),啟動MSN Messenger,即可在AIP-SSM的IDM(IPS Device Manager)中觀察到所有的MSN Messenger的連線狀況。

Cisco-pix-asa-asdm-event-viewer

藉由點選每一個偵測到的項目,亦可以清楚的看到傳輸訊息的內容,可供MIS工程師參考;因此,研發部的MIS工程師可以根據該部門所訂定安全政策,在ASA中使用PIX防火牆,以及IPS入侵防禦系統的所有功能,來實施資料流量的處理,不僅如此,也可以由ASA建立site-to-site IPSec或者是SSL VPN連線到其他的部門,確保資料的完整性以及安全性,這正是UTM所要達到的理想目標。

technum_05結論

就一般的網路安全部署而言,防火牆會部署侵防禦系統之前,原因是防火牆的效能遠較入侵防禦系統好很多,以OSI七層的角度來看,封包經過每個網路設備,都需經過解封裝(Decapsulation)以及封裝(Encapsulation)的過程,例如交換器必需拆解封包至OSI的第二層,也就是Data Link Layer,才能知道MAC位址,然後再封裝封包後送出;路由器則必須拆解到OSI的第三層,也就是Network Layer,瞭解到IP位址後,在進行封裝送出;這樣拆解封裝再進行封裝是非常浪費硬體資源的,因此一般來說,同樣的硬體設備,如果只做交換器的功能,效能會是當路由器的二十幾倍。

因此,防火牆(Firewall)大部分會應用到OSI的第四層,也就是Transport Layer;但是入侵防禦系統(IPS)大部分都是看到第七層,也就是Application Layer,因此,IPS的效能遠不如防火牆;因此,Ben老師的網路安全部署會使用Firewall過濾到大部分的不良封包,接下來再由IPS做細部的檢視;Cisco對於ASA整合性的網路安全設備,不也就是這樣的設計嗎?就Ben老師在業界對於Cisco競爭對手的瞭解,沒有一個產品可以多元”並且”全面化的整合所有資訊安全的科技,只有Cisco的ASA能達到此項目的。

feebackbtn