Cho phép lưu lượng truy cập từ bên trong ra bên ngoài trong Firewall Cisco ASA

Trong Firewall Cisco ASA, để lưu lượng truy cập đi qua các giao diện, một số điều kiện phải được đáp ứng. Vì chúng ta đang nói ở đây cho các giao diện bên trong(inside) và bên ngoài(outside), điều này có nghĩa là từ cấp độ bảo mật cao hơn (bên trong) đến cấp độ bảo mật thấp hơn (bên ngoài). Các điều kiện quan trọng nhất để kiểm tra ở đây là NAT (nếu được sử dụng) và danh sách kiểm soát truy cập(ACL). Hãy xem thêm chi tiết bên dưới:

Lưu lượng truy cập từ bên trong ra bên ngoài bằng NAT (Traffic from inside to outside using NAT)

Đây là kịch bản phổ biến nhất. NAT thường được sử dụng nhất trong các mạng thực để ẩn mạng nội bộ và dịch các địa chỉ riêng(IP Private) không định tuyến được (mạng nội bộ) sang các địa chỉ IP có thể định tuyến công khai ở bên ngoài (IP Public).

Chúng ta có thể có hai loại NAT:

1. Dynamic NAT (NAT động) với PAT (Port Address Translation)
2. Static NAT (NAT tĩnh)

Ở đây chúng ta sẽ xem xét kịch bản phổ biến nhất là PAT. Đây là bản dịch many-to-one cho phép dịch tất cả các địa chỉ IP nội bộ qua một địa chỉ IP Public duy nhất được ISP gán và tồn tại ở mặt ngoài ASA.

Để ASA theo dõi tất cả các bản dịch many-to-one này, nó sử dụng số cổng. Mỗi port khác nhau được gán cho một địa chỉ IP nội bộ khác.

Hãy xem cấu hình cho phép tất cả lưu lượng truy cập từ bên trong ra bên ngoài bằng PAT:

Giả sử như sau:

Inside LAN range (phạm vi mạng LAN): 192.168.1.0/24
Public IP addresses available (địa chỉ IP công cộng có sẵn): 100.100.100.1 – 100.100.100.32
ASA outside interface IP address (Địa chỉ IP mặt ngoài ASA): 100.100.100.1

Option1 (tùy chọn 1):

Sử dụng IP giao diện ASA (100.100.100.1) để dịch tất cả các địa chỉ nội bộ:

Các lệnh cho ASA phiên bản thấp hơn 8.3:

ciscoasa-tgm(config)# nat (inside) 1 192.168.1.0 255.255.255.0
ciscoasa-tgm(config)# global (outside) 1 interface

Các lệnh cho ASA phiên bản 8.3 và mới hơn:

ciscoasa-tgm(config)# object network internal_lan
ciscoasa-tgm(config-network-object)# subnet 192.168.1.0 255.255.255.0
ciscoasa-tgm(config-network-object)# nat (inside,outside) dynamic interface

Option2 (tùy chọn 2):

Sử dụng một trong các địa chỉ IP công cộng có sẵn khác để dịch:

Các lệnh cho ASA phiên bản thấp hơn 8.3:

ciscoasa-tgm(config)# nat (inside) 1 192.168.1.0 255.255.255.0
ciscoasa-tgm(config)# global (outside) 1 100.100.100.2 netmask 255.255.255.255

Các lệnh cho ASA phiên bản 8.3 và mới hơn:

ciscoasa-tgm(config)# object network internal_lan
ciscoasa-tgm(config-network-object)# subnet 192.168.1.0 255.255.255.0
ciscoasa-tgm(config-network-object)# nat (inside,outside) dynamic 100.100.100.2

Giờ chúng ta cần xem các lệnh trong danh sách truy cập (ACL) của mình. Theo mặc định, nếu bạn không áp dụng danh sách truy cập trên giao diện bên trong, thì tất cả lưu lượng truy cập đều được phép đi qua vì bên trong là cấp bảo mật cao nhất (100).

Tuy nhiên, nếu bạn áp dụng danh sách truy cập cho giao diện bên trong, thì bạn phải cho phép rõ ràng tất cả lưu lượng IP đi qua bằng ACL.

ciscoasa-tgm(config)#access-list INSIDE_IN extended permit ip any any
ciscoasa-tgm(config)# access-group INSIDE_IN in interface inside

Lưu lượng truy cập từ bên trong ra bên ngoài mà không cần NAT (Traffic from inside to outside without NAT)

Có một số trường hợp chúng ta không muốn NAT từ trong ra ngoài. Trong trường hợp này, Firewall Cisco ASA hoạt động giống như một bộ định tuyến nhưng nó vẫn áp dụng kiểm tra tường lửa cho lưu lượng truy cập. Tất cả những gì bạn phải làm ở đây là vô hiệu hóa NAT và sau đó cho phép lưu lượng truy cập bằng ACL:

ciscoasa-tgm(config)#no nat-control
ciscoasa-tgm(config)#access-list INSIDE_IN extended permit ip any any
ciscoasa-tgm(config)# access-group INSIDE_IN in interface inside

Chúc các bạn thành công!