170 likes | 261 Views
Utilização do PIX Firewall no CDTN. Características da rede e do firewall. Aproximadamente 500 máquinas nas redes internas, espalhadas por diversos prédios Segmentação dos endereços (plano de endereçamento com uma sub-rede por prédio) Firewall Cisco PIX 515:
E N D
Características da rede e do firewall • Aproximadamente 500 máquinas nas redes internas, espalhadas por diversos prédios • Segmentação dos endereços (plano de endereçamento com uma sub-rede por prédio) • Firewall Cisco PIX 515: • 64 MB RAM, 16 MB flash, Pentium 200 MHz, 6 interfaces ethernet • Licença VPN DES • Capacidade de tráfego de 146 Mbps • OS versão 6.22
Configuração do roteador como firewall (situação até início de 2002)
Planejamento da instalação do firewall • Processo do instalação em passos para minimizar o tempo de parada da rede e reduzir riscos (04 passos) • Plano de numeração IP utilizando endereçamento com IPs privativos (RFC1918) e NAT para acesso externo • NAT n-1 com um endereço de NAT por sub-rede • Teste da configuração do PIX em laboratório
Passo 1: Introdução dos endereços privativos fazendo NAT no roteador
Passo 2: Instalação do PIX mantendo a topologia original
Passo 3: Implementação da rede CPD
Passo 4: Segmentação das redes 1 e 2 com um switch-router
Facilidades básicas utilizadas • Filtros de pacotes com estado • NAT estático • NAT dinâmico • Anti-spoofing • Interface gráfica via browser • Backup de configuração via TFTP • LOGs
Facilidades adicionais utilizadas • Gateways de aplicação • Acesso através de SSH • Sincronização de relógio via NTP • Monitoração via SNMP
Outras facilidades que poderão ser utilizadas • VPNs (IPSec) • Função de IDS básico • Autenticação via TACACS/RADIUS • Multicast • Filtragem de URLs • Failover (redundância)
Avaliação - dificuldades • Falta de treinamento • Configuração inicial trabalhosa • Interface gráfica precisa ser melhorada • Problemas com xdmcp
Avaliação – pontos positivos • Integração hardware/software • Confiabilidade • Linha de comando semelhante à dos roteadores • Gateways de aplicação (smtp, http, ftp, etc.) • Interface gráfica via browser com SSL (ajuda muito nas listas de acesso) • Facilidade/custo de atualização do sistema operacional
Obrigado ! Dênio Teixeira Silva (31) 3499-3329 dts@cdtn.br