CHAPTER 6: CISCO PIX FIREWALL TRANSLATUONS Trần Giáo_Lớp K3D_Khoa CNTT_ĐH Thái Nguyên
1
CHƯƠNG 6
CISCO PIX FIREWALL TRANSLATION
Tổng quan:
Chương này bao gồm các topic sau:
 Mục đích
 Các giao thức vận chuyển
 Việc dịch trong PIX Firewall
 Truy cập qua PIX Firewall
 Các cách khác qua PIX Firewall
 Tổng hợp
 Lab exercise
CHAPTER 6: CISCO PIX FIREWALL TRANSLATUONS Trần Giáo_Lớp K3D_Khoa CNTT_ĐH Thái Nguyên
2
Mục đích

CHAPTER 6: CISCO PIX FIREWALL TRANSLATUONS Trần Giáo_Lớp K3D_Khoa CNTT_ĐH Thái Nguyên
3

các kết nối dựa trên quá trình bắt tay 3 bước
CHAPTER 6: CISCO PIX FIREWALL TRANSLATUONS Trần Giáo_Lớp K3D_Khoa CNTT_ĐH Thái Nguyên
5Khi một phiên TCP được thiết lập trên PIX Firewall sẽ xảy ra những điều dưới đây:
1. Gói tin IP đầu tiên từ host inside là nguyên nhân phát sinh ra một khe dịch
(translation slot). Thông tin TCP được nhúng sau đó được sử dụng để tạo
một khe kết nối trong PIX Firewall
2. Khe kết nối được đánh dấu là embryonic (chưa thiết lâp)
3. PIX Firewall ngẫu nhiên khởi tạo số thứ tự của kết nối, lưu trữ giá trị delta và
đẩy gói tin đến giao diện ra
4. Bây giờ PIX Firewall trông đợi gói tin SYN/ACK từ host đích. Sau đó PIX
Firewall kết hợp với gói tin nhận được dựa trên khe kết nối. Tính toán thông
tin về thứ tự sắp xếp và đẩy gói tin ngược trở lại đến host inside
CHAPTER 6: CISCO PIX FIREWALL TRANSLATUONS Trần Giáo_Lớp K3D_Khoa CNTT_ĐH Thái Nguyên
65. host inside hoàn thành cài đặt kết nối (bắt tay ba bước) với một ACK
6. Khe kết nối trên PIX Firewall được đánh dấu là đã kết nối (active-established)
và dữ liệu được truyền. Bộ đếm embryonic sau đó được reste lại cho kết nối
này
CHAPTER 6: CISCO PIX FIREWALL TRANSLATUONS

 UDP không quản lý tắc nghẽn hoặc tránh tắc nghẽn
Các dịch vụ sử dụng UDP có thể chia thành 2 loại:
 Các dịch vụ Request – reply (ping – pong) (DNS)
 Flow services (video, VoIP, NFS)
CHAPTER 6: CISCO PIX FIREWALL TRANSLATUONS Trần Giáo_Lớp K3D_Khoa CNTT_ĐH Thái Nguyên
9
PIX Firewall Translations
Phần này sẽ mô tả về tiến trình dịch trong PIX Firewall. Có 2 kiểu dịch đó là Tĩnh
và động

Sử dụng dịch tĩnh khi bạn muốn một host inside luôn luôn xuất hiện với một địa chỉ
cố định trên mạng global của PIX Firewall. Dịch tĩnh được sử dụng để ánh xạ một
địa chỉ host inside đến một outside, địa chỉ global:

CHAPTER 6: CISCO PIX FIREWALL TRANSLATUONS Trần Giáo_Lớp K3D_Khoa CNTT_ĐH Thái Nguyên
10 Sử dụng lệnh static cho các kết nối bên ngoài để đảm bảo gói tin đi ra khỏi
một host inside luôn luôn được ánh xạ đến một địa chỉ IP global cụ thể ( ví
dụ: một host inside DNS, SMTP)
 Sử dụng riêng lệnh static cho các kết nối bên ngoài mà cần ánh xạ đến cùng
một địa chỉ IP global
Những thông tin dưới đây có thể giúp bạn xác định khi nào thì sử dụng dịch tĩnh

Bạn có thể chỉ định tới 256 global pool địa chỉ IP. Tối đã là một địa chỉ mạng lớp B
hoặc 255 dịa chỉ lớp C – là 65.535 địa chỉ
CHAPTER 6: CISCO PIX FIREWALL TRANSLATUONS Trần Giáo_Lớp K3D_Khoa CNTT_ĐH Thái Nguyên
13Lệnh xlate cho phép bạn hiển thị hoặc xóa nội dung của các translation slot
translation slot vẫn có thể còn mập mờ sau những thay đổi vừa mới tạo. Luôn luôn
sử dụng lệnh clear xlate hoặc reload lại sau khi thêm, thay đổi hoặc gỡ bỏ các lệnh
alias, global, nat, route, static trong cấu hình
Cú pháp lệnh xlate như sau
clear xlate [global_ip [local_ip]]
show xlate [global_ip [local_ip]]
Global_ip
Địa chỉ IP đã được đăng ký để sử dụng từ global pool
Local_ip
Địa chỉ IP cục bộ từ mạng inside

CHAPTER 6: CISCO PIX FIREWALL TRANSLATUONS Trần Giáo_Lớp K3D_Khoa CNTT_ĐH Thái Nguyên
14
Truy cập thông qua PIX Firewall Chỉ có 2 cách cho phép truy cập thông qua PIX Firewall :