Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.
X
Collapse
 
  • Page of 1
  • Filter
  • Time
  • Show
Clear All
new posts
Previous template Next
  • #1

    Object trong FTD

    Cisco Secure Firewall Threat Defense Objects


    Management Center sử dụng object (đối tượng) ở nhiều khu vực khác nhau trong hệ thống. Trước khi cấu hình các chính sách, bạn có thể định nghĩa các đối tượng để gán nhãn cho một biến (hoặc nhiều biến) cùng loại. Các đối tượng này sẽ được tham chiếu lại trong quá trình triển khai. Chúng được dùng xuyên suốt hệ thống, phổ biến nhất là trong Access Control Policy (ACP).

    Object là các container được dùng trong cấu hình. Bạn cần xây dựng chúng dựa trên mục đích sử dụng trong các chính sách khác nhau (ACP, NAT, v.v.). Một object là cấu hình có thể tái sử dụng, gắn một giá trị cụ thể với một tên gọi. Khi muốn dùng lại giá trị đó, bạn chỉ cần gọi tên object thay vì nhập trực tiếp.
    Các loại Object có thể tạo
    • Network-based objects: đại diện cho địa chỉ IP, mạng, cặp port/protocol, VLAN tag, security zone, hoặc quốc gia nguồn/đích (geolocation).
    • Reputation-based objects: đại diện cho security intelligence feeds, danh sách, bộ lọc ứng dụng theo category và reputation, danh sách file.
    • Non-reputation objects: ví dụ các URL category.
    • Intrusion policy variable sets: tập hợp biến gắn với intrusion policy.
    • Objects cho traffic mã hóa: bao gồm cipher suites, chứng chỉ public key và private key, Distinguished Name (DN) của chứng chỉ.
    Định nghĩa Object


    Bạn có thể sử dụng các object ở nhiều nơi trong giao diện web của hệ thống: ACP, network analysis policies, intrusion policies/rules, network discovery rules, tìm kiếm sự kiện, báo cáo, dashboard, v.v.
    • Object có thể được tạo từ Object Manager trong GUI hoặc tạo trực tiếp trong policy (ví dụ: ACP).
    • Khi chỉnh sửa object đang được dùng trong ACP, bạn phải reapply policy.
    • Object đang dùng trong policy thì không thể xóa.

    Ví dụ:
    • Network object:
      • DMZ_SERVER với địa chỉ host 172.16.1.20
      • INSIDE_NETWORK với subnet 10.10.2.0/24
    • Port object:
      • FTP: tcp/21
      • HTTP: tcp/80
      • SSH: tcp/22
    Object Groups


    Nhóm object cho phép bạn tham chiếu nhiều object chỉ bằng một cấu hình duy nhất.
    • Có thể nhóm: network, port, VLAN tag, URL, PKI objects.
    • Object và Object Group có thể dùng thay thế cho nhau trong giao diện.
    • Xóa group không xóa các object bên trong, chỉ xóa mối liên kết.
    • Không thể xóa group nếu nó đang được dùng trong policy.

    Ví dụ: nhóm các port object thành port object group DMZ_SERVICE:
    • FTP (tcp/21)
    • HTTP (tcp/80)
    • SSH (tcp/22)
    • HTTPS (tcp/443)
    Tình huống sử dụng Objects và Object Groups


    Giả sử bạn cần cấu hình một ACP rule cho phép FTP, HTTP, SSH từ mạng bên trong đi ra DMZ Server:
    • Source: INSIDE_NETWORK (10.10.2.0/24)
    • Destination: DMZ_SERVER (172.16.1.20)
    • Destination port: DMZ_SERVICE (FTP, HTTP, SSH)

    So với việc viết trực tiếp IP và port, sử dụng object giúp rule dễ hiểu, dễ quản lý và phân tích hơn.
    Câu hỏi ôn tập


    Nếu bạn muốn tạo một rule trong ACP để chặn ứng dụng Facebook chat, bạn nên tạo và tái sử dụng loại object nào?
    • Application filter
    • Variable set
    • URL
    • Network
    Attached Files
    Đặng Quang Minh, CCIE#11897 (Enterprise Infrastructure, Wireless, Automation, AI), CCSI#31417

    Email : dangquangminh@vnpro.org
    https://www.facebook.com/groups/vietprofessional/
    Tags: None
Previous template Next
Working...
X