Post on 30-Nov-2015
ĐÀO TẠO VÀ CHUYỂN GIAOHỆ THỐNG BẢO MẬT THÔNG TIN
CTY TNHH TH &TT MINH TRÚCĐT: 08 62966066
Fax: 08 62966060Email: mtc@mtcsys.com.vnWeb: www.mtcsys.com.vn
Trần Hải Minh
Email: minhth@mtcsys.com.vnDĐ: 091 8397 226
Nội dung– Astaro Security Gateway
• Mô hình triển khai• Giới thiệu và cấu hình cơ bản• Cấu hình các thông số mạng• Quản trị
– CISCO VLAN, VTP, STP • Giới thiệu và mô hình triển khai• Hướng dẫn cấu hình cơ bản • Quản trị
Astaro Security Gateway
Mô hình triển khaiSecuring central offices, branch offices and mobile workers
GIỚI THIỆU VÀ TÍNH NĂNGAstaro Security Gateway
Kiến trúc Astaro Security Gateway
Central, browser-basedmanagement & reporting
of all applications
VPN & wirelessextensions
Software Appliance
Flexible Deployment
Virtual Appliance
Integration of complete email, web& network protection
Networking features for high availability and load balancing
Endpoint Security& Mobile Control
Astaro - Thiết bị tất cả trong 1/ Sim
Complete protection for your network
• Wireless Controller forAstaro Access Points
• Multi-Zone (SSID) support
Wireless Security
optional
• URL Filter• Antivirus & Antispyware• Application Control
Web Security
optionaloptional
• Reverse Proxy• Web Application Firewall• Antivirus
Web Application Security
• Intrusion Prevention• IPSec/SSL VPN• Branch Office Security
Network Security
optional
• Anti Spam & Phishing• Dual Virus Protection• Email Encryption
Mail Security
optional
• Stateful Firewall• Network Address Translation• PPTP/L2TP Remote Access
Essential Firewall
Các dòng sản phẩm Astaro
HardwareAppliance
110/120 220 320 425 525 625Multiple + RED
Environment Small network
Medium network
Medium network
Large network
Large network
Large network
Large networks
+ branches
Network Ports 4 8 8 6 & 2 SFP 10 & 4 SFP 10 & 8 SFP Multiple
Max. recommended FW users
10/80 300 800 1500 3500 5000 10000+
Max. recommended UTM users
10/35 75 200 600 1300 2000 5000
Software Appliance * Runs on Intel-compatible PCs and servers
VirtualAppliance *
VMware Ready & Citrix Ready certified Runs in Hyper-V, KVM, and other virtual environments
12 BƯỚC CẤU HÌNH ASGAstaro Security Gateway
Bước 1 – Khởi động
3. Cấp nguồn và Khởi động thiết bị
Default IP: Astaro hardware: https://192.168.0.1:4444
4. Đặt IP máy tính ở lớp mạng 192.168.0.x Dùng web browser vào webadmin
1. Kết nối port eth0 vào switch nội bộ
2. Kết nối port eth1 vào modem ADSL
Lưu ý chấp nhận Certificate khi browser báo lỗi
Bước 2 – Thiết lập tên tổ chức
Hostname: tên của thiết bị trong domain
Company: tên tổ chức
City: thành phố
Country: Vietnam
User admin password: xxx
Email của admin
Bước 3 – Đăng nhập• Refresh và vào trang đăng nhập. Nhập user admin,
password vừa mới đặt để vào quản trị
Bước 4: Cài đặt theo Winzard
Click Next để tiếp tục
Bước 5: Đặt IP LAN
Đặt IP port LAN
Bật DHCP để cấp IP cho máy tính
Bước 6 – Cài đặt cổng WAN
Chọn interface: eth1Chọn type: DSL – PPPoEUsername: do nhà cung cấp ADSL cấpPassword: do nhà cung cấp ADSL cấp
Bước 7 – Thiết lập Firewall
Cho phép những dịch vụ người dùng bên trong có thể ra ngoài
Bước 8 – Chống xâm nhập
Bật hệ thống chống xâm nhập
Bước 9 – IM / P2P
Chặn IM chattingChặn P2P download(tùy chọn)
Bước 10 – Web proxy
Thiết lập Web proxy(tùy chọn)
Bước 11 – Thiết lập Mail Proxy
Thiết lập Mail proxy(tùy chọn)
Bước 12 - Tổng kết các thông số
Bấm finish để hoàn thành cài đặt
WEBADMIN
The“Throbber”
Giao diện WebAdmin
Main-MenuSubmenus appear when clicked
Release Information
Login Information
Context-HelpRefresh
The Dashboard
Cấu trúc menu
Chọn menu chính xuất hiện các menu bên dưới
Mỗi menu có nhiều “Tab“
Tìm menu theo
keywords
Định nghĩa đối tượng: Definitions
Định nghĩa các đối tượng
Sử dụng tên thay vì IP addresses
Dễ dàng thay đổi và troubleshooting
Có thể kéo thả đối tượng dễ dàng, nhanh chóng “Drag&Drop (DnD)“
Các loại đối tượng thuộc NetworkHostDNS HostDNS GroupNetworkMulticast groupNetwork groupAvailability Group
Network Interfaces
– Thiết lập kết nối WAN cho thiết bị• Type: DSL• Hardware: eth1• Username/pass ADSL• MTU• Default route
Network Settings- Static Routing• Định nghĩa làm sao để đến một lớp mạng nào
đó• 3 loại routing:
– Interface route• Packets được gửi đến trực tiếp port
LAN• Sử dụng dynamic interfaces (PPP), lúc
này không biết chính xác gateway– Gateway route
• Packages được gửi đến 1 router, IP : „the next hop“.
– Blackhole route• Packets sẽ bỏ qua, không routing.
• .• Default route được thiết lập ở Interface.
Network Services - DNS– Global:
• Cho phép nhận request từ ALLOWED Networks
– Forwarders• Chuyển DSN requests đến DNS
servers bên ngoài hoặc bên trong.
– Static Entries• Mappings of hostnames to IP
addresses.
Network Services - DHCP Server– DHPC in ASG can be used to assign basic network parameters to
client hosts. – DHCP service can run on multiple interfaces, with each interface
having its own configuration set. – Make the following settings:• Interface
– The NIC from which the IP addresses should be assigned to the clients.
• Range start/end – IP range to be used as an address pool on that interface.
– Range must be inside the network attached to the interface.
• DNS Server 1/2: – IP addresses of the DNS servers.
• Default gateway• Domain name• Time after the IP addresses have to be refreshed (lease)• Choose if you want have the DHCP server assign IP addresses only to
clients that have an entry on the Static MAC/IP Mappings tab.• WINS node type
– Depending on WINS node type selection, the WINS Server text box appears where you must enter the IP address of the WINS server. The following WINS node types are available: B-, P-, M-, H-Nodes.
• WINS server– The IP address of the WINS server (depending on the selected WINS node type).
Network Services – DHCP – Static Mapping– Có thể gán IP cố định cho
một MAC Address– Sử dụng packet filter rules để
thiết lập chính sách lọc gói tin cho IP được gán.
– IP gán tĩnh nên nằm ngoài vùng cấp của DHCP Pool để tránh trùng IP.
– Xem bảng Lease Table để thấy các IP đã cấp và ngày bắt đầu, ngày hết hạn.
CHÍNH SÁCH BẢO MẬT MẠNGAstaro Security Gateway – Phần 2
Packet Filter TableDefault View Packet Filter Table
Edit
Delete
Clone
Group name
Order
Source Destination
Actionand
Service
Description(optional)
Activate/Deactivate
Packet Filter – Thông số– Packet filter engine của ASG được lọc bởi
• Source IP• Protocol/Service• Target IP
– Cấu hình Rules sử dụng các Definition.
– Các rule trong bảng được sắp xếp thứ tự ưu tiên từ trên xuống dưới..
– Các chính sách có thể thiết lập:• Allow : cho phép• Drop : từ chối và không thông báo• Reject : từ chối và thông báo gói tin bị từ chối
– Bất kì hành động cho phép đề có tùy chọn “logging” – ghi traffic vào log• Nếu không có rule nào match đúng với gói tin thì gói tin sẽ bị từ chối và
ghi nhận lại.
Packet Filter – Các cấu hình khác
Rules:
Nơi lưu trữ bảng packet filter rule.
ICMP:
Điều khiển các hành vi của giao thức
ICMP.
Advanced:
Các tùy chọn khác về IP
Stack và các thiết lập nâng
cao.
Ngăn theo địa lý:
Trên nền tảng thông tin của GeoIP các
packet có thể bị chặn theo từng vị trí địa lý,
vùng miền.
Packet Filter – Thêm/sửa rule
– Gán vào một group Name
– Tên của rule– Chuyển rule đến một vị trí trên bảng rule
– The sources: IP or Group– The service: TCP/UDP/IP– The destinations: IP or Group– What to do: Action: Allow, Drop or Reject– When to do: The time– Log Packets: Yes or No– Comment: Whatever helps
Thêm rule mới
Sửa rule
Network Address Translation / Khái niệm về NAT
Astaro Security Gateway cung cấp 3 loại NAT khác nhau:
– Masquerading: Bật khả năng sử dụng IP private đi ra ngoài
Internet. Nhiều người dùng chung 1 IP public.
– DNAT: Chuyển traffic đến từ bên ngoài vào máy chủ bên trong hệ
thống nội bộ.
– SNAT: Đổi IP nguồn của packet. Trường hợp có nhiều IP public.
Email server đi 1 IP, Web Server đi 1 IP khác.
RFC 1918-IP172.16.65.0/24
Official IP 209.97.208.100
INTRUSION PREVENTION SYSTEM
Astaro Security Gateway
Thiết lập chống xâm nhập
Lớp mạng được bảo vệ
Bật / tắt IPS
Xem live log
Thiết lập chống xâm nhập (tt)
Bật/Tắt chống Port Scan từ bên ngoài internet
QUẢN TRỊAstaro Security Gateway
Kiểm tra Log
Xem LOG
Xem LOG Thời gian thực
Xóa LOG
Tìm kiếm trong LOG
Xem log trong trong thời gian trước
Xem báo cáo
Ngày, tuần, tháng, năm
HardwareNetworkWebMailRemote
Tự động gửi báo cáo định kỳ
Gửi report hàng ngày về người quản trị
Sao lưu và phục hồi cấu hình
Tạo backup
Upload backup
Tải về backup
Phục hồi backup
Tự động sao lưu cấu hình theo ngày, tuần…
Tự động sao lưu cấu hìnhTự động sao lưu cấu
hình theo ngày, tuần…
Gửi bản sao lưu qua email
Định kỳ theo tuần
Cập nhật firmware
Tự động cập nhật và cài đặt mẫu tấn công mới
Tự động kiểm tra bản cập nhật mới
Click cài đặt khi có bản cập nhật mới
Phục hồi cấu hình về mặc định
Phục hồi cấu hình về mặc định bằng LCD trên hardware - 1. Nhấn Enter - 2. Nhấn nút mũi tên xuống 2 lần. Dòng chữ Factory Reset xuất hiện - 3. Nhấn Enter. LCD hiện dòng chữ No. - 4. Nhất nút mũi tên xuống để đồng ý (Yes) - 5. Nhấn Enter, quá trình reset bắt đầu - 6. Thiết bị tự động tắt nguồn, cần bật nguồn lại
Phục hồi cấu hình về mặc định (tt)
Phục hồi cấu hình mặc định
Reset password
HƯỚNG DẪN CẤU HÌNH VTP, VLANS, STP TRÊN CISCO
SWITCH
Giới thiệu mô hình triển khai
THÔNG TIN• - TẠO KẾT NỐI RING• - CẤU HÌNH CÁC VTP• - CẤU HÌNH TRUNK• - CẤU HÌNH VLANS• - CẤU HÌNH STP CHO RING
KẾT NỐI RING • - TẠO KẾT NỐI RING•
CẤU HÌNH VTPTrường ĐHBK TP.HCM - Khoa Khoa học & Ky thuật máy
tính 2008
53
Computer Network 2
• - S1_3750(config)#vtp mode server • Device mode already VTP SERVER. • - S1_3750(config)#vtp domain hvhq• Changing VTP domain name from NULL to hvhq• - S1_3750(config)#vtp password cisco Setting
device VLAN database password to cisco • - S2_3560(config)#vtp mode client Setting device
to VTP CLIENT mode. • - S2(config)#vtp domain hvhq• Domain name already set to lab4.
Cấu hình VTP• - S2_3560(config)#vtp password cisco• Setting device VLAN database password to cisco • - S3_3560(config)#vtp mode client • Setting device to VTP CLIENT mode. • - S3_3560(config)#vtp domain hvhq• Changing VTP domain name from NULL to lab4
S3_3560(config)#vtp password cisco• Setting device VLAN database password to cisco
Cấu hình TRUNK• - S1_3750(config)#interface range gi0/1-2• - S1_3750(config-if-range)#switchport mode trunk• - S1_3750(config-if-range)#switchport trunk encap dot1.q• - S1_3750(config-if-range)#no shutdown• - S1_3750(config-if-range)#end
Cấu hình TRUNK• - S3_3560 (config)#interface range gi0/1-2• - S3_3560 (config-if-range)#switchport mode trunk• - S3_3560 (config-if-range)#switchport trunk encap dot1.q• - S3_3560 (config-if-range)#no shutdown• - S3_3560 (config-if-range)#end
Cấu hình TRUNK• - S2_3560 (config)#interface range gi0/1-2• - S2_3560 (config-if-range)#switchport mode trunk• - S2_3560 (config-if-range)#switchport trunk encap dot1.q• - S2_3560 (config-if-range)#no shutdown• - S2_3560 (config-if-range)#end
Cấu hình các VLAN• - CẤU HÌNH VLAN TRÊN SWITCH VTP SERVER• S1_3750 (config)#vlan 20• S1_3750 (config-vlan)#name daotao• S1_3750 (config-vlan)#vlan 30• S1_3750 (config-vlan)#name thuvien• S1_3750 (config-vlan)#vlan 40• S1_3750 (config-vlan)#name BGD• S1_3750 (config-vlan)#vlan 50• S1_3750 (config-vlan)#name vanthutacchien• S1_3750 (config-vlan)#vlan 60• S1_3750 (config-vlan)#name hocvien•
Cấu hình các VLAN• - CẤU HÌNH IP ADD CHO CÁC VLAN
• S1_3750 (config)#interface vlan 20 • S1_3750 (config)#ip address 192.168.20.254 255.255.255.0• S1_3750 (config)#interface vlan 30 • S1_3750 (config)#ip address 192.170.182.253 255.255.255.0• S1_3750 (config)#interface vlan 40 • S1_3750 (config)#ip address 192.168.40.254 255.255.255.0• S1_3750 (config)#interface vlan 50 • S1_3750 (config)#ip address 192.168.50.254 255.255.255.0• S1_3750 (config)#interface vlan 60 • S1_3750 (config)#ip address 192.168.60.254 255.255.255.0
Cấu hình STP • - CẤU HÌNH STP TRÊN CÁC VLAN ĐẢM BẢO KHÔNG BỊ
LOOP
• S1_3750(config )#spanning-tree vlan 20 priority 4096 S1_3750(config )#spanning-tree vlan 30 priority 4096 S1_3750(config )#spanning-tree vlan 40 priority 4096
• S1_3750(config )#spanning-tree vlan 50 priority 4096 S1_3750(config )#spanning-tree vlan 60 priority 4096
Cấu hình gán port cho VLAN• - CẤU HÌNH GÁN PORTS CHO CÁC VLAN TRÊN CÁC
SWITCH MÌNH CẦN GÁN• + Cấu trúc lệnh như sau:
• S1_3750 (config)#interface range giga 0/5-10• S1_3750 (config-if-range)#switchport access vlan 30
S1_3750 (config-if-range)#interface range giga0/11-17 S1_3750 (config-if-range)#switchport access vlan 40
• Tương tự trên các switch khác cần gán port cho từng VLAN.
GIẢI ĐÁP
• THANKS