Hướng dẫn cấu hình cơ bản ASA 5506-X theo sơ đồ mạng

Thảo luận trong 'Mua bán, quảng cáo khác' bắt đầu bởi anhtu98, 21/1/21.

  1. anhtu98

    anhtu98 Member

    Trong phần này, sẽ mô tả cách thay đổi cấu hình mặc định này cho phù hợp với cấu trúc mạng.
    ASA 5506-X có cấu hình mặc định sẵn có. Cấu hình mặc định này có các đặc điểm sau:
    • Mạng LAN nội bộ: 192.168.1.0/24
    • Mạng LAN nội bộ có thể truy cập Internet.
    • Giao diện WAN (outside) (GE1 / 1) được cấu hình để nhận địa chỉ IP từ DHCP.
    • Giao diện LAN (inside) (GE1 / 2) có địa chỉ IP 192.168.1.1
    • DHCP được kích hoạt để cung cấp địa chỉ IP cho các máy chủ nội bộ.
    Ta sẽ kết nối vào ASA 5506-X và thay đổi cấu hình mặc định theo sơ đồ mạng cho cho cấu hình cơ bản như sau:

    [​IMG]
    • Internal user LAN: 10.1.1.0/24
    • ASA inside IP: 10.1.1.1
    • ASA outside IP (static): 50.1.1.1
    • NAT: Dynamic overload (PAT) using the outside interface.
    Bước 1: Cấu hình giao diện LAN nội bộ (Configure the Internal LAN interface)

    interface GigabitEthernet1/2
    description LAN
    nameif inside
    security-level 100         <-- Mức độ bảo mật 100 có nghĩa là đây là giao diện đáng tin cậy nhất
    ip address 10.1.1.1 255.255.255.0
    no shut

    Bước 2: Cấu hình giao diện WAN bên ngoài (Configure the Outside WAN interface)

    interface GigabitEthernet1/1
    description WAN
    nameif outside
    security-level 0         <- Mức độ bảo mật 0 có nghĩa là đây là giao diện kém tin cậy nhất
    ip address 50.1.1.1 255.255.255.0 <- Giả sử chúng ta có một IP công cộng tĩnh từ ISP
    no shut

    Ghi chú:
    Trong trường hợp giao diện bên ngoài sẽ nhận địa chỉ IP động qua DHCP, hãy sử dụng lệnh này:
    ip address dhcp setroute

    Bước 3: Cấu hình PAT bằng giao diện bên ngoài (Configure PAT using the outside interface)

    nat (inside,outside) source dynamic any interface <- Đối với lưu lượng đi từ bên trong ra bên ngoài, hãy sử dụng NAT động trên giao diện (các IP nguồn sẽ được thay thế bằng IP giao diện bên ngoài)

    Bước 4: Định cấu hình tuyến đường mặc định tới ISP (Configure default route towards the ISP)

    route outside 0.0.0.0 0.0.0.0 50.1.1.2

    Các bước tùy Chọn

    Bước 5: Gán địa chỉ IP qua DHCP cho các máy nội bộ (Assign IP addresses via DHCP to internal hosts)

    Cấu hình ASA để hoạt động như máy chủ DHCP và chỉ định địa chỉ IP động cho các máy nội bộ.

    dhcpd address 10.1.1.10-10.1.1.100 inside <- ASA sẽ chỉ định các IP từ 10.1.1.10-100
    dhcpd dns 208.67.220.220 208.67.222.222 <- ASA sẽ gán địa chỉ DNS servers
    dhcpd enable inside

    Bước 6: Bật quyền truy cập SSH để quản lý (Enable SSH access for management)

    hostname ASA5506
    crypto key generate rsa modulus 1024
    ssh 10.1.1.5 255.255.255.255 inside         <- Chỉ cho phép truy cập SSH từ bên trong máy chủ 10.1.1.5
    aaa authentication ssh console LOCAL <- Bật xác thực cục bộ cho SSH
    username admin password [STRONGPASS] privilege 15
    enable password Gh4w7$-s39fg#(!

    Bước 7: Áp dụng ACL trên giao diện bên ngoài (Apply ACL on outside)

    Áp dụng ACL sau trên giao diện bên ngoài. Nó có hai mục đích: Đầu tiên là cho phép các gói trả lời ICMP quay trở lại (khi ping từ trong ra ngoài) và mục đích thứ hai là ghi lại bất kỳ gói nào bị từ chối xâm nhập vào tường lửa từ bên ngoài (cho mục đích cảnh báo và bảo mật).

    access-list OUTSIDE-IN extended permit icmp any any echo-reply
    access-list OUTSIDE-IN extended deny ip any any log
    access-group OUTSIDE-IN in interface outside

    Tới đây chúng ta đã hoàn thành cấu hình cơ bản của Firewall Cisco ASA 5506-X.

    Chi tiết xem tại:
    - Tìm hiểu Cisco ASA 5506-X, cấu hình Firewall Cisco ASA 5506-X với mô hình thực tế
     
    anhtu98, 21/1/21
    #1

trang này