Minh co the hinh dung nhu sau:
- Cac PC "LAN" nam trong mien Inside (security_level 100)
- Cac DBserver nam mien DMZ (set security_level 50)
- Interface ket noi ra Router duoc set mien Outside voi sec_level 0.

*Policy:
- Mot so PC trong mien Inside, duoc truy cap bat ky. tam goi nhom A
- Mot so PC thi chi duoc truy cap web( nhung ko xem duoc truc tuyen, ko chat qua web). tam goi nhom B.
- Mot so PC chi ket noi voi Server o DMZ voi cac port MS-SQL, Nhom C.

* Thực hiện:
1. Thuc hien NAT cho các PC nhom A va B ra ngoai de truy cap internet. No_Nat cho nhom C ra mien DMZ.

2. Co the dung Object-group de nhóm các PC trên, và nhóm các dịch vụ cần truy cập.

3. Access-list/group tren interface inside de gioi han truy cap cho cac nhóm trên.

4. Cau hinh Inspection cho ung dung Web de cấm xem phim truc tuyen va chat qua web.
- Ban can cau hinh "class-map type inspection http ???" voi "match request header content-type xxxxx" tuong ung voi cac loai ung dung truc tuyen, va sau do ap dung vao "policy-map type", cuoi cung la ap dung vao policy-map mac dinh.
- Bạn dùng Ethereal de capture xem ung dung truc tuyen tuong ung voi content-type la gi.
vi du:
+ Trang web chat: http://meebo.com voi content-type la "application/octec-stream"
+ Trang 24h.com.vn voi cac doan videoclip voi content-type là application/x-shockwave-flash.
- Boi vi, "class-map type" va "policy-map type" chi co "match all", nen ban chiu kho tao ra nhieu "class-map type" va sau do gan vao "policy-map type" voi nhieu class tuong ung. Va trong policy-map type nay, ban co nhung action tuong ung: co the reset hoac drop connection.
- Ngoài ra, ios 7.x cua ASA chi ho tro vai "content-type", nen ban cung chiu kho tao "class-map type regex xxxx " de gán "xxxx" vao "match request header content-type xxxx" .

* O tren la nhung y tuong de ban tham khao, con nhieu cach khac nua. Chuc ban thanh cong.

bạn thử xem quyển handbook về pix và asa trong file đính kèm. Quyển sách này là mới nhất trong loạt sách về firewall của Cisco Press.

cám ơn đã giúp đỡ để mình làm thử coi

Dear bạn Sakura!
Nếu chỉ là nhu cầu filter thông thườn theo port service thì vấn đề chỉ đơn giản là cú pháp của từng dòng sp Firewall thui. Cisco ASA tuy có hơi rườm rà khi dùng CLI, nhưng đó chính là nền tảng của tất cả các dòng sp UTM Firewall dùng WebUI hiện nay đó.

Theo bạn nói, bạn muốn chặn chat qua cổng 80 và các service chia xẻ P2P. Mình nghĩ cái này k0 chỉ đơn thuần dùng Ext ACL để chặn được đâu, vì mỗi session nó dùng 1 port khác nhau, bit đường nào mà chặn hả bạn?Cái này phải dùng đến engine đc nhúng sẵn trong database của sp thui. Cisco ASA hình như k0 làm được, Fortigate và 1 số dòng sp UTM khác hiện đang hỗ trợ chức năng này.

Mong được trao đổi và học hỏi thêm từ bạn
Thân mến

hi cvo15303,
ASA lam rat tot, co che inspection co the giup ban lam dieu nay. Van de la ban chiu kho capture ung dung va xem xet nen inspection cai gi.
Neu ban co PIX series 525 tro len va upgrade IOS v7.x, thi cung co the ap dung co che inspection nay.
Nhung khong phai cai gi ASA cung lam duoc, ma quan trong ban biet phoi hop nhuyen nhuyen nhung gi ma ASA ho tro.
Than,

Chào anh Minh, anh có thể gửi cho em quyển này được không: em không thấy tài liệu đính kèm đâu hết.
Cisco.Press.Cisco.ASA.PIX.and.FWSM.Handbook.2nd.Ed ition
Thansk anh nhiều.

ban tham khao phan Command References ở day nhe,



Thanks,