Announcement

**phamminhtuan** · 21-05-2010, 01:46 AM

Chào bạn,

Với ASA bạn chú ý các điểm sau:

1. Mỗi interface trên ASA đều có mức bảo mật(security level).
2. Từ mức bảo mật cao -> bảo mật thấp => Không cần ACL (ngoại trừ gói ICMP echo-reply).
Từ mức bảo mất thấp -> bảo mật cao => Cần được cho phép bởi ACL.
3. Mỗi ASA đều mặc định có câu lệnh nat-control, vì thế từ Interface này muốn qua Interface kia ngoài dùng ACL, bạn phải dùng thêm NAT. Còn Lab ảo thì có thể tính năng này được tắt cho bạn dễ cấu hình.

Vì thế, làm lab ảo bạn có thể bị một số nhầm lẫn khi chuyển qua làm trên thiết bị thật.

**namthanhvu** · 21-05-2010, 10:08 AM

Thank loginmevietnam, về những chú ý rất bổ ích!mình làm trên lab ảo bằng vmware (như hướng dẫn trong Thread "hướng dẫn giả lập asa và asdm"). Vậy khi security-level bằng nhau thì có cần ACL không? (ví dụ như inside và management mình đều để security-level 100, và từ inside muốn được phép TCP-telnet vào management).
Còn vấn đề về inbound và outbound ACL nữa. Ví dụ như ở Router,người ta thường chú ý Standart ACL áp dụng ở đích, còn Extended ACL áp dụng ở nguồn. Vậy trong ASA thì sao hả bạn?

**hoadqtk4** · 21-05-2010, 02:19 PM

Originally posted by namthanhvu View Post

Thank loginmevietnam, về những chú ý rất bổ ích!mình làm trên lab ảo bằng vmware (như hướng dẫn trong Thread "hướng dẫn giả lập asa và asdm"). Vậy khi security-level bằng nhau thì có cần ACL không? (ví dụ như inside và management mình đều để security-level 100, và từ inside muốn được phép TCP-telnet vào management).
Còn vấn đề về inbound và outbound ACL nữa. Ví dụ như ở Router,người ta thường chú ý Standart ACL áp dụng ở đích, còn Extended ACL áp dụng ở nguồn. Vậy trong ASA thì sao hả bạn?

Hi bạn,
Việc muốn các site có Security-level bằng nhau có thể truy cập được vào nhau hay không, trên ASA sẽ có một option cho phép bạn làm việc đó.
Ex :

hostname(config)# same-security-traffic permit inter-interface

Việc Cisco recommend bạn về việc đặt ACLs ở nguồn hay ở đích tùy theo Standard hay Extended vẫn áp dụng chuẩn trong ASA. Đây là khuyến cáo "bất di bất dịch", bạn tìm hiểu kĩ trong tài liệu.

Chúc vui vẻ

**thanhnam0707** · 21-05-2010, 04:52 PM

Hay lên vnpro học SNAF đi bạn,hi,

**namthanhvu** · 21-05-2010, 11:24 PM

Originally posted by thanhnam0707 View Post

Hay lên vnpro học SNAF đi bạn,hi,

Sr, tớ ở tận ngoài HN :(

**namthanhvu** · 21-05-2010, 11:27 PM

Originally posted by hoadqtk4 View Post

Hi bạn,
Việc muốn các site có Security-level bằng nhau có thể truy cập được vào nhau hay không, trên ASA sẽ có một option cho phép bạn làm việc đó.
Ex :

hostname(config)# same-security-traffic permit inter-interface

Việc Cisco recommend bạn về việc đặt ACLs ở nguồn hay ở đích tùy theo Standard hay Extended vẫn áp dụng chuẩn trong ASA. Đây là khuyến cáo "bất di bất dịch", bạn tìm hiểu kĩ trong tài liệu.

Chúc vui vẻ

Thank!Vậy với các tình huống như trên (a,b,c,d) bạn có thể đưa ra lời khuyên nên đặt các ACL như thế nào thì hợp lí được không?

**hoadqtk4** · 22-05-2010, 08:18 AM

a. Người dùng từ bên ngoài outside được cho phép (ví dụ như TCP-http, ICMP-ping...) vào Dmz
b. Tất cả các miền đều có thể truy cập vào Dmz (như TCP-http, ICMP-ping...)
c. Miền outside không thể truy cập vào miền inside và management (như TCP-telnet)
d. Chỉ có miền inside mới được truy cập vào management (như TCP-telnet)

a. Việc user outside được phép vào DMZ, thực tế bạn sẽ phải PAT các server trong DMZ ra ngoài interface outside của ASA.(Việc này còn gọi là Public servers) Sau đó user sẽ truy cập vào IP address của interface outside, việc này không cần thiết sử dụng ACLs.
b. Ex : DMZ của bạn có Sec-level là 50, vậy bạn sẽ cần ACLs cho phép các traffic từ DMZ quay ngược trở lại inside (inside có sec-lev = 100).Ngoài ra vẫn phải NAT(overload) từ inside vào DMZ. Việc outside truy cập, bạn làm tương tự (a)
c. Mặc định thì outside không thể truy cập inside (default trên ASA) nên bạn không cần sử dụng ACLs
d. Để management thiết bị từ inside hay bất kì vùng nào khác, bạn sử dụng Command trên ASA như sau:
ciscoasa(config)# aaa authentication telnet console LOCAL
ciscoasa(config)# telnet 0 0 inside
ciscoasa(config)# username cisco password cisco priviledge 15
............
trên đây chỉ là 1 ví dụ, bạn có thể sử dụng authen method khác, service khác...

Chúc bạn vui vẻ.

**ManInBlackX** · 24-06-2010, 10:21 AM

không biết VNPRO có khóa riêng dành cho ADSM không ta.

**hoanbq** · 24-06-2010, 11:08 AM

Originally posted by ManInBlackX View Post

không biết VNPRO có khóa riêng dành cho ADSM không ta.

Nếu tập hợp đủ số lượng tối thiểu (7 người) thì chắc là sẽ có lớp thôi. Nhưng mà theo mình thì cố gắng học hiểu command line sẽ dễ trouble shoot hơn. Còn ASDM thì trong sách SNAF cũng hướng dẫn khá kỹ.

**samson79** · 24-06-2010, 10:29 PM

Sao bạn ko mua quyển SNAF ở Vnpro về để nghiên cứu nhỉ, chắc là sẽ có cái bạn cần đó. Mình cũng đang nghiên cứu quyển này.

**hoanbq** · 25-06-2010, 09:37 AM

Originally posted by samson79 View Post

Sao bạn ko mua quyển SNAF ở Vnpro về để nghiên cứu nhỉ, chắc là sẽ có cái bạn cần đó. Mình cũng đang nghiên cứu quyển này.

Đó là sách LAB mà, không học lý thuyết sao hiểu nổi. Còn cứ nhìn y chang đó mà gõ vô thì đến lúc bị lỗi lại không biết troubleshoot chỗ nào. Tốt nhất là đăng ký 1 khóa học tại VnPro, còn không thì phải kiếm sách đọc trước, khi nào hòm hòm rồi thì mới quay lại đọc sách LAB, chứ không là dễ tẩu hỏa nhập ma lắm.

**phanthong** · 25-06-2010, 11:24 PM

chảng hiểu các ông đang nói gì nữa nhưng tôi củng đang quan tâm đến ACL cua con ASA đấy có tài liệu j thi chia sẽ nhé

**samson79** · 25-06-2010, 11:56 PM

Originally posted by phanthong View Post

chảng hiểu các ông đang nói gì nữa nhưng tôi củng đang quan tâm đến ACL cua con ASA đấy có tài liệu j thi chia sẽ nhé

Không hiểu thì lo mà nghiên cứu đi.

Announcement

ACL trong Cisco ASA

ACL trong Cisco ASA

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment