Hướng dẫn cấu hình cơ bản tường lửa Firewall Cisco ASA 5510 bằng CLI

Hướng dẫn cấu hình cơ bản tường lửa Firewall Cisco ASA 5510

Bài viết cung cấp cho bạn hướng dẫn cấu hình cơ bản cho thiết bị bảo mật Cisco ASA 5510 nhưng cấu hình cũng áp dụng cho các kiểu ASA khác.

Thiết bị ASA5510 là một trong số thiết bị thuộc dòng trong dòng ASA5500 Series khá phổ biến và nó được dành cho các doanh nghiệp vừa và nhỏ.

ASA 5510 đi kèm với hai tùy chọn giấy phép: Giấy phép cơ sở (Base license) và giấy phép Security Plus.

Security Plus (bảo mật cộng) cung cấp một số cải tiến về hiệu suất và phần cứng so với giấy phép cơ sở (Base license), chẳng hạn như kết nối tối đa 130.000 (thay vì 50.000), 100 VLAN tối đa (thay vì 50), Failover Redundancy, v.v.

Ngoài ra, giấy phép Security Plus cho phép hai trong số năm cổng mạng tường lửa hoạt động dưới dạng 10/100/1000 thay vì chỉ 10/100.

Tiếp theo, chúng ta sẽ tìm hiểu các bước cơ bản cần thiết để thiết lập ASA 5510.

Giả sử rằng có một địa chỉ IP public tĩnh 100.100.100.1 từ ISP gán tới mặt ngoài Firewall Cisco ASA. Ngoài ra, mạng LAN nội bộ thuộc mạng con 192.168.10.0/24.

Giao diện Ethernet0 / 0 sẽ được kết nối với bên ngoài (về phía ISP) và Ethernet0 / 1 sẽ được kết nối với Inside LAN. Tham khảo sơ đồ bên dưới.

Tường lửa sẽ được cấu hình để cung cấp địa chỉ IP động (sử dụng DHCP) cho các máy nội bộ. Tất cả các giao tiếp ra bên ngoài (từ bên trong ra bên ngoài) sẽ được dịch bằng cách sử dụng Dịch địa chỉ cổng (PAT) trên giao diện cổng bên ngoài. Các bước cấu hình cơ bản:

Bước 1: Cấu hình mật khẩu cấp đặc quyền (enable password)

Theo mặc định, không có mật khẩu để truy cập tường lửa ASA, vì vậy bước đầu tiên trước là định cấu hình mật khẩu cấp đặc quyền, mật khẩu này sẽ cần thiết để cho phép truy cập tiếp theo vào thiết bị. Cấu hình trong chế độ Configuration Mode:

ASA-TGM(config)# enable password mysecretpassword

Bước 2: Cấu hình giao diện Public bên ngoài (Configure the public outside interface)

ASA-TGM(config)# interface Ethernet0/0
ASA-TGM(config-if)# nameif outside
ASA-TGM(config-if)# security-level 0
ASA-TGM(config-if)# ip address 100.100.100.1 255.255.255.252
ASA-TGM(config-if)# no shut

Bước 3: Cấu hình giao diện nội bộ đáng tin cậy (Configure the trusted internal interface)

ASA-TGM(config)# interface Ethernet0/1
ASA-TGM(config-if)# nameif inside
ASA-TGM(config-if)# security-level 100
ASA-TGM(config-if)# ip address 192.168.10.1 255.255.255.0
ASA-TGM(config-if)# no shut

Bước 4: Định cấu hình PAT trên giao diện bên ngoài (Configure PAT on the outside interface)

ASA-TGM(config)# global (outside) 1 interface
ASA-TGM(config)# nat (inside) 1 0.0.0.0 0.0.0.0

Với Cisco ASA phiên bản 8.3 trở lên. Lệnh "global" không còn được hỗ trợ. NAT (tĩnh và động) và PAT được cấu hình dưới dạng đối tượng mạng. Cấu hình PAT bên dưới dành cho ASA 8.3 trở lên:

ASA-TGM(config)#object network obj_any
ASA-TGM(config)#subnet 0.0.0.0 0.0.0.0
ASA-TGM(config)#nat (inside,outside) dynamic interface

Bước 5: Cấu hình định tuyến mặc định (default route) tới ISP (giả sử cổng mặc định là 100.100.100.2)

ASA-TGM(config)# route outside 0.0.0.0 0.0.0.0 100.100.100.2 1

Bước 6: Cấu hình DHCP trên tường lửa để cấp IP cho các hosts trong mạng

ASA-TGM(config)# dhcpd dns 200.200.200.10
ASA-TGM(config)# dhcpd address 192.168.10.10-192.168.10.200 inside
ASA-TGM(config)# dhcpd enable inside

Cấu hình cơ bản trên chỉ là bước khởi đầu để thiết bị tường lửa Firewall Cisco ASA hoạt động. Có nhiều tính năng cấu hình khác mà bạn cần triển khai để tăng tính bảo mật cho mạng của mình, chẳng hạn như NAT tĩnh và động, Danh sách kiểm soát truy cập để kiểm soát luồng lưu lượng(ACLs), vùng DMZ, VPN, v.v.

Chúc các bạn thực hiện thành công!

Bài viết liên quan:

- Hướng dẫn cấu hình cơ bản tường lửa Firewall Cisco ASA