Hướng dẫn cấu hình cơ bản tường lửa Firewall Cisco ASA

Thảo luận trong 'Firewall Cisco' bắt đầu bởi huongvstar, 27/3/18.

Tags:
  1. huongvstar

    huongvstar Member

    Hướng dẫn cấu hình cơ bản Firewall Cisco ASA 5505

    Cisco ASA 5505 Firewall là mô hình nhỏ nhất trong loạt thiết bị phần cứng 5500 mới của Cisco. Mặc dù mô hình này phù hợp cho các doanh nghiệp nhỏ, văn phòng chi nhánh, khả năng bảo mật tường lửa của nó cũng giống như các mô hình lớn nhất (5515, 5525, 5545, v.v.).

    Công nghệ Bảo mật thích ứng của tường lửa ASA cung cấp khả năng bảo vệ tường lửa vững chắc và đáng tin cậy, bảo mật nhận biết ứng dụng nâng cao, bảo vệ chống tấn công từ chối dịch vụ và hơn thế nữa.

    Hơn nữa, hiệu suất của thiết bị ASA 5505 hỗ trợ thông lượng tường lửa 150Mbps và 4000 kết nối tường lửa mỗi giây.

    Trong bài viết sẽ giải thích các bước cấu hình cơ bản cần thiết để thiết lập tường lửa Cisco 5505 ASA để kết nối một mạng nhỏ với Internet.

    Giả định rằng ISP đã chỉ định một địa chỉ IP công cộng tĩnh (ví dụ: 200.200.200.1) và phạm vi mạng nội bộ là 192.168.1.0/24.

    Chúng ta sẽ sử dụng dịch địa chỉ cổng (PAT) để dịch các địa chỉ IP nội bộ sang địa chỉ công cộng của giao diện bên ngoài.

    Sự khác biệt của mô hình 5505 so với các mô hình ASA lớn hơn là nó có bộ chuyển mạch 8 cổng 10/100 chỉ hoạt động như Lớp 2.

    Có nghĩa là, bạn không thể cấu hình các cổng vật lý như các cổng Lớp 3, thay vào đó bạn phải tạo các Vlan giao diện và gán các giao diện Lớp 2 trong mỗi VLAN.

    Theo mặc định, giao diện Ethernet0 / 0 được gán cho VLAN 2 và giao diện bên ngoài của nó (giao diện kết nối với Internet) và 7 giao diện khác (Ethernet0 / 1 đến 0/7) được gán mặc định cho VLAN 1 và được được sử dụng để kết nối với mạng nội bộ.

    Hãy xem thiết lập cấu hình cơ bản của các bước quan trọng nhất mà bạn cần định cấu hình theo Sơ đồ dưới đây.

    [​IMG]
    Lưu ý: theo sơ đồ rằng cổng Ethernet0 / 0 kết nối với Internet và cổng Ethernet0 / 1 đến 7 kết nối với máy chủ nội bộ (máy tính PC, v.v.).

    Bước 1: Định cấu hình giao diện nội bộ vlan

    ASA5505-TGM(config)# interface Vlan 1
    ASA5505-TGM(config-if)# nameif inside
    ASA5505-TGM(config-if)# security-level 100
    ASA5505-TGM(config-if)# ip address 192.168.1.1 255.255.255.0
    ASA5505-TGM(config-if)# no shut

    Bước 2: Định cấu hình vlan giao diện bên ngoài (kết nối với Internet)

    ASA5505-TGM(config)# interface Vlan 2
    ASA5505-TGM(config-if)# nameif outside
    ASA5505-TGM(config-if)# security-level 0
    ASA5505-TGM(config-if)# ip address 200.200.200.1 255.255.255.0
    ASA5505-TGM(config-if)# no shut

    Bước 3: Gán Ethernet 0/0 cho Vlan 2

    ASA5505-TGM(config)# interface Ethernet0/0
    ASA5505-TGM(config-if)# switchport access vlan 2
    ASA5505-TGM(config-if)# no shut

    Bước 4: Bật các giao diện với lệnh no shut

    ASA5505-TGM(config)# interface Ethernet0/1
    ASA5505-TGM(config-if)# no shut
    ...
    ASA5505-TGM(config)# interface Ethernet0/7
    ASA5505-TGM(config-if)# no shut

    Note: Làm tương tự cho Ethernet0/1 đến Ethernet0/7.

    Bước 5: Định cấu hình PAT trên giao diện bên ngoài

    ASA5505-TGM(config)# global (outside) 1 interface
    ASA5505-TGM(config)# nat (inside) 1 0.0.0.0 0.0.0.0

    Với Cisco ASA phiên bản 8.3 trở lên. Lệnh "global" không còn được hỗ trợ. NAT (tĩnh và động) và PAT được cấu hình dưới các đối tượng mạng. Cấu hình PAT bên dưới dành cho ASA 8.3 trở lên:

    ASA5505-TGM(config)#object network obj_any
    ASA5505-TGM(config)#subnet 0.0.0.0 0.0.0.0
    ASA5505-TGM(config)#nat (inside,outside) dynamic interface

    Bước 6: Định cấu hình tuyến đường mặc định tới ISP (giả sử cổng mặc định là 200.200.200.2)

    ASA5505-TGM(config)#(config)# route outside 0.0.0.0 0.0.0.0 200.200.200.2 1

    Các bước trên là các bước hoàn toàn cần thiết bạn cần cấu hình để thiết bị ASA5505 hoạt động. Tất nhiên, có nhiều chi tiết cấu hình hơn mà bạn cần triển khai để nâng cao tính bảo mật và chức năng của thiết bị, chẳng hạn như Danh sách kiểm soát truy cập (ACL), NAT tĩnh, DHCP, vùng DMZ, xác thực, v.v.

    Chúc các bạn thực hiện thành công!
     
    huongvstar, 27/3/18
    #1
  2. hainguyen

    hainguyen Member

    Hướng dẫn cấu hình cơ bản tường lửa Firewall Cisco ASA 5510

    Bài viết cung cấp cho bạn hướng dẫn cấu hình cơ bản cho thiết bị bảo mật Cisco ASA 5510 nhưng cấu hình cũng áp dụng cho các kiểu ASA khác.

    Thiết bị ASA5510 là một trong số thiết bị thuộc dòng trong dòng ASA5500 Series khá phổ biến và nó được dành cho các doanh nghiệp vừa và nhỏ.

    ASA 5510 đi kèm với hai tùy chọn giấy phép: Giấy phép cơ sở (Base license) và giấy phép Security Plus.

    Security Plus (bảo mật cộng) cung cấp một số cải tiến về hiệu suất và phần cứng so với giấy phép cơ sở (Base license), chẳng hạn như kết nối tối đa 130.000 (thay vì 50.000), 100 VLAN tối đa (thay vì 50), Failover Redundancy, v.v.

    Ngoài ra, giấy phép Security Plus cho phép hai trong số năm cổng mạng tường lửa hoạt động dưới dạng 10/100/1000 thay vì chỉ 10/100.

    Tiếp theo, chúng ta sẽ tìm hiểu các bước cơ bản cần thiết để thiết lập ASA 5510.

    Giả sử rằng có một địa chỉ IP public tĩnh 100.100.100.1 từ ISP gán tới mặt ngoài Firewall Cisco ASA. Ngoài ra, mạng LAN nội bộ thuộc mạng con 192.168.10.0/24.

    Giao diện Ethernet0 / 0 sẽ được kết nối với bên ngoài (về phía ISP) và Ethernet0 / 1 sẽ được kết nối với Inside LAN. Tham khảo sơ đồ bên dưới.
    [​IMG]
    Tường lửa sẽ được cấu hình để cung cấp địa chỉ IP động (sử dụng DHCP) cho các máy nội bộ. Tất cả các giao tiếp ra bên ngoài (từ bên trong ra bên ngoài) sẽ được dịch bằng cách sử dụng Dịch địa chỉ cổng (PAT) trên giao diện cổng bên ngoài. Các bước cấu hình cơ bản:

    Bước 1: Cấu hình mật khẩu cấp đặc quyền (enable password)

    Theo mặc định, không có mật khẩu để truy cập tường lửa ASA, vì vậy bước đầu tiên trước là định cấu hình mật khẩu cấp đặc quyền, mật khẩu này sẽ cần thiết để cho phép truy cập tiếp theo vào thiết bị. Cấu hình trong chế độ Configuration Mode:

    ASA-TGM(config)# enable password mysecretpassword

    Bước 2: Cấu hình giao diện Public bên ngoài (Configure the public outside interface)

    ASA-TGM(config)# interface Ethernet0/0
    ASA-TGM(config-if)# nameif outside
    ASA-TGM(config-if)# security-level 0
    ASA-TGM(config-if)# ip address 100.100.100.1 255.255.255.252
    ASA-TGM(config-if)# no shut

    Bước 3: Cấu hình giao diện nội bộ đáng tin cậy (Configure the trusted internal interface)

    ASA-TGM(config)# interface Ethernet0/1
    ASA-TGM(config-if)# nameif inside
    ASA-TGM(config-if)# security-level 100
    ASA-TGM(config-if)# ip address 192.168.10.1 255.255.255.0
    ASA-TGM(config-if)# no shut

    Bước 4: Định cấu hình PAT trên giao diện bên ngoài (Configure PAT on the outside interface)

    ASA-TGM(config)# global (outside) 1 interface
    ASA-TGM(config)# nat (inside) 1 0.0.0.0 0.0.0.0

    Với Cisco ASA phiên bản 8.3 trở lên. Lệnh "global" không còn được hỗ trợ. NAT (tĩnh và động) và PAT được cấu hình dưới dạng đối tượng mạng. Cấu hình PAT bên dưới dành cho ASA 8.3 trở lên:

    ASA-TGM(config)#object network obj_any
    ASA-TGM(config)#subnet 0.0.0.0 0.0.0.0
    ASA-TGM(config)#nat (inside,outside) dynamic interface

    Bước 5: Cấu hình định tuyến mặc định (default route) tới ISP (giả sử cổng mặc định là 100.100.100.2)

    ASA-TGM(config)# route outside 0.0.0.0 0.0.0.0 100.100.100.2 1

    Bước 6: Cấu hình DHCP trên tường lửa để cấp IP cho các hosts trong mạng

    ASA-TGM(config)# dhcpd dns 200.200.200.10
    ASA-TGM(config)# dhcpd address 192.168.10.10-192.168.10.200 inside
    ASA-TGM(config)# dhcpd enable inside

    Cấu hình cơ bản trên chỉ là bước khởi đầu để thiết bị tường lửa Firewall Cisco ASA hoạt động. Có nhiều tính năng cấu hình khác mà bạn cần triển khai để tăng tính bảo mật cho mạng của mình, chẳng hạn như NAT tĩnh và động, Danh sách kiểm soát truy cập để kiểm soát luồng lưu lượng(ACLs), vùng DMZ, VPN, v.v.

    Chúc các bạn thực hiện thành công!
     
    hainguyen, 2/6/21
    #2

trang này