Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Cùng học Firewall 642-618

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Cùng học Firewall 642-618

    Bài 1: ASA CƠ BẢN
    1. Giới thiệu câu lệnh cơ bản:
    - ASA có 2 cách cấu hình: CLI và ASDM
    - Ban đầu khi khởi động xong ASA, ta sẽ thấy dòng lệnh user mode là:
    ciscoasa>
    “ciscoasa” là tên mặc định của thiết bị ASA.
    - Ta có thể dùng dấu “ ? “ để xem những từ khóa gợi ý.

    - Để xem các thông tin cần thiết trên thiết bị ta dung từ khóa “ show ? “



    - Muốn vào privileged mode ta dung từ khóa “enable” với password mặc định là trống.

    - Để cấu hình cho thiết bị ta phải vào mode config với câu lệnh như sau:

    - Lưu cấu hình tương tự như router.
    - Đặt password console và enable tương tự như router.
    - Có thể dùng phím “Tab” để hiện đầy đủ câu lệnh.
    - Xóa cấu hình:
    ciscoasa# write erase

    2. Cấu hình các interface:

    - Thiết bị ASA có các cổng console, cổng Ethernet và cổng management (cổng để quản lý có chức năng giống cổng console).
    - Như router, thiết bị ASA muốn cấu hình ip, speed hay duplex ta đều phải vào cổng với các câu lệnh giống với router.

    ciscoasa# configure terminal
    ciscoasa(config)# interface [ethernet0/1 | management0/0]
    ciscoasa(config-if)#

    - Để dễ nhớ hơn nếu ta không nhớ tên cổng vật lý của ASA thì ta có thể dung tên luận lý thay cho tên cổng vật lý với từ khóa là “nameif”
    ciscoasa(config-if)# nameif tên

    - Câu lệnh đặt cho cổng interface hoàn toàn tương tự như router.
    - Đặc điểm mới của ASA khác với router đó là Security Level , viết tắt là sec-lvl (mức độ bảo mật trên cổng). Sec-lvl có giá trị từ 0 – 100 với 100 là mức bảo mật cao nhất, và mặc định có giá trị là 0.
    - Trường hợp ta tạo sub-interface cho ASA thì bắt buộc ta phải khai báo VLAN kèm theo tương ứng với VLAN trên Switch mà cổng của ASA cắm vào.

    Ví dụ ta có sơ đồ và được cấu hình như sau:
    ciscoasa>
    ciscoasa> enable
    Password:
    ciscoasa#
    ciscoasa# configure terminal
    ciscoasa(config)# hostname ASA1
    ASA1(config)# interface Mamagement0/0
    ASA1(config-if)# nameif mgmt
    ASA1(config-if)# security-level 100
    ASA1(config-if)# ip address 192.168.1.11 255.255.255.0
    ASA1(config-if)# no shutdown
    ASA1(config)# interface Ethernet0/1
    ASA1(config-if)# no shutdown
    ASA1(config)# interface Ethernet0/1.1201
    ASA1(config-if)# vlan 1201
    ASA1(config-if)# nameif fw1
    ASA1(config-if)# security-level 50
    ASA1(config-if)# ip address 172.16.61.1 255.255.255.0
    ASA1(config)# interface Ethernet0/1.1212
    ASA1(config-if)# vlan 1212
    ASA1(config-if)# description *** Welcome to the VnPro ***
    ASA1(config-if)# nameif svcs
    ASA1(config-if)# security-level 99
    ASA1(config-if)# ip address 172.16.62.171 255.255.255.240
    ASA1(config-if)# end
    ASA1#
    - Xem lại toàn bộ cấu hình:

    - Xem tên đại diện và ip của cổng

    - Tiến hành ping kiểm tra kết nối:

    - Một tính năng đặc biệt nữa là cổng vật lý của ASA 5505 có tính năng như cổng của thiết bị switch. Có nghĩa là trên cổng của ASA, ta có thể cấu hình trunking, tạo vlan, gán cổng vào vlan.

    Ví dụ như sơ đồ sau đây:
    ciscoasa>
    ciscoasa> enable
    Password:
    ciscoasa#
    ciscoasa# configure terminal
    ciscoasa(config)# hostname ASA5505
    ASA5505(config)# interface Ethernet0/5
    ASA5505(config-if)# switchport access vlan 100
    ASA5505(config-if)# no shutdown
    ASA5505(config)# interface Ethernet0/3
    ASA5505(config-if)# switchport trunk allow vlan 100, 201
    ASA5505(config-if)# switchport mode trunk
    ASA5505(config-if)# no shutdown
    ASA5505(config)# interface vlan 100
    ASA5505(config-vlan)# description *** Management Interface ***
    ASA5505(config-vlan)# nameif mgmt
    ASA5505(config-vlan)# security-level 100
    ASA5505(config-vlan)# ip address 192.168.1.2 255.255.255.0
    ASA5505(config-vlan)# no shutdown
    ASA5505(config)# interface vlan 201
    ASA5505(config-vlan)# description *** DMZ Network ***
    ASA5505(config-vlan)# nameif dmz
    ASA5505(config-vlan)# security-level 50
    ASA5505(config-vlan)# ip address 172.16.201.2 255.255.255.0
    ASA5505(config-vlan)# no shutdown
    - Xem lại toàn bộ cấu hình:

    - Xem thông tin các cổng được gán cho vlan nào:
    3. Telnet:
    - Đối với ASA thì chỉ chấp nhận gói tin telnet với ip nguồn là mạng 192.168.1.0/24 và với username mặc định là “admin”.
    - Telnet sử dụng cơ sở dữ liệu là “LOCAL”, đây là từ khóa mặc định cho các dòng ASA.
    - Các bước cấu hình

    Bước 1: Tạo username và password
    ciscoasa(config)# username admin password tênpass privileged 15
    Bước 2: Bật xác thực telnet trên ASA
    ciscoasa(config)# aaa authentication telnet console LOCAL

    4. SSH:

    - Đối với ASA thì chỉ chấp nhận gói tin ssh với ip nguồn là mạng 192.168.1.0/24 và với username mặc định là “admin”.
    - Cấu hình SSH trên ASA cũng tương tự như trên router. Chỉ một điểm khác là ta bật SSH lên bằng câu “aaa …”
    - Các bước cấu hình

    Bước 1: Tạo username và password
    ciscoasa(config)# username admin password tênpass privileged 15
    Bước 2: Bật tính năng AAA
    ciscoasa(config)# aaa new-model
    Bước 3: Tạo domain cho quá trình SSH
    ciscoasa(config)# ip domain-name tên
    Bước 4: Tạo key
    ciscoasa(config)# crypto key generate rsa
    How many bits in the modulus [512]: 1024
    Bước 5: Chọn version cho SSH
    ciscoasa(config)# ip ssh version 2
    Bước 6: Kích hoạt tính năng SSH và áp vào VTY
    ciscoasa(config)# aaa authentication login TERMINAL-LINES local
    ciscoasa(config)# line vty 0 4
    ciscoasa(config-line)# login authentication TERMINAL-LINES
    5. Cho phép cấu hình ASA bằng ASDM
    - Đối với ASA thì chỉ chấp nhận cấu hình bằng ASDM với ip nguồn là mạng 192.168.1.0/24 và với username mặc định là “admin”.
    - ASDM phải được cài đặt trực tiếp lên Flash.
    - Các bước cấu hình:

    Bước 1:
    Tạo username và password
    ciscoasa(config)# username admin password tênpass privileged 15
    Bước 2: Định nghĩa ip cho phép cấu hình và xác thực với cơ sở dữ liệu của ASA
    ciscoasa(config)# http 192.168.1.0 255.255.255.0 mgmt
    ciscoasa(config)# aaa authentication http console LOCAL
    Bước 3: Bật tính năng HTTP Server
    ciscoasa(config)# http server enable
    Bước 4: Định nghĩa vị trí lưu ASDM
    ciscoasa(config)# asdm image disk0:/asdm-621.bin

    6. Quản lý license:

    - Câu lệnh xem license của ASA
    ciscoasa# show version
    - Thay đổi license:
    ciscoasa(config)# activation-key key-id
    Giảng Viên Hồ Vũ Anh Tuấn – VnPro
    Last edited by lamvantu; 20-10-2012, 07:37 AM.
    Lâm Văn Tú
    Email :
    cntt08520610@gmail.com
    Viet Professionals Co. Ltd. (VnPro)
    149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
    Tel: (08) 35124257 (5 lines)
    Fax (08) 35124314
    Tập tành bước đi....



  • #2
    Bài 2: Cấu Hình Cơ Bản Cisco ASA

    Bài 2: Cấu Hình Cơ Bản Cisco ASA

    Các chế độ cấu hình trong Cisco IOS:

    Ciscoasa> User mode
    Ciscoasa# Privileged mode (hoặc Enable mode)
    Ciscoasa(config)# Chế độ Global Configuration
    Ciscoasa(config-if)# Chế độ Interface Configuration
    Ciscoasa(config-subif)# Chế độ Subinterface Configuration
    Ciscoasa(config-line)# Chế độ cấu hình Line

    Câu lệnh Mô tả
    Ciscoasa> enable
    hoặc
    Ciscoasa> ena
    Từ User mode vào Privileged mode.
    Ciscoasa# configure terminal
    hoặc
    Ciscoasa# conf t
    Vào Configuration mode.
    Ciscoasa# show running-config
    hoặc
    Ciscoasa# show run
    Hiển thị cấu hình đang chạy trên RAM.
    Ciscoasa# show startup-config Hiển thị file cấu hình startup được lưu trong NVRAM.
    Ciscoasa# copy running-config startup-config
    hoặc
    Ciscoasa# write
    hoặc
    Ciscoasa# wr
    Lưu file cấu hình đang chạy trên RAM (file running-config) vào NVRAM.
    Ciscoasa# show ? Hiển thị tấc cả các câu lệnh show có khả năng thực thi.
    Ciscoasa# show clock Hiển thị giờ đã cấu hình
    Ciscoasa# show version Hiển thị các thông tin về Cisco IOS hiện tại.
    Ciscoasa# show flash Hiển thị các thông tin về bộ nhớ flash.
    Ciscoasa(config)# hostname name Đặt tên cho Ciscoasa.
    Ciscoasa(config)# enable password password Đặt password cho Enable và tự mã hóa password.
    Ciscoasa(config)# banner motd # messenger # Hiển thị thông điệp khi người dùng truy cập vào thiết bị.
    Ciscoasa(config-if)# description messenger Cấu hình mô tả cho interface.
    Ciscoasa(config-if)# nameif name Đặt tên cho cổng vật lý chính
    Ciscoasa# show interface ip brief Hiển thị thông tin tổng quát của tất cả interface, bao gồm: trạng thái cổng (up, down, administrative down), địa chỉ ip, tên cổng.
    Ciscoasa# show interface {interface_number} Xem thông tin chi tiết cổng (địa chỉ MAC, speed, bandwidth, v.v…).
    Ciscoasa# show route Hiển thị bảng định tuyến của Ciscoasa.
    Ciscoasa# erase startup-config Xóa toàn bộ cấu trên ciscoasa.
    Ciscoasa# reload Khởi động lại thiết bị.



    Lưu ý:
    - Các bạn có thể dùng câu lệnh show tại bất kỳ mode nào.
    - Có thể xóa câu lệnh thực thi vừa nhập bằng cách dùng từ “no” trước câu lệnh.
    - Cisco IOS có tính năng gợi ý từ khóa tiếp theo trong câu lệnh với dấu “?”.
    - Một số phím tắt nên nhớ:
    + Quay lại đầu dòng: Ctrl-A
    + Xuống cuối dòng: Ctrl-E
    + Xóa 1 dòng: Ctrl-X
    + Xóa 1 từ: Ctrl-W
    + Gọi lệnh vừa nhập trước đó trong bộ nhớ đệm (tương đương phía mũi tên up): Ctrl-P
    + Trở về câu lệnh vừa thực thi trước đó (tương đương phím mũi tên down): Ctrl-N
    Giảng Viên Hồ Vũ Anh Tuấn – VnPro
    Last edited by lamvantu; 20-10-2012, 07:38 AM.
    Lâm Văn Tú
    Email :
    cntt08520610@gmail.com
    Viet Professionals Co. Ltd. (VnPro)
    149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
    Tel: (08) 35124257 (5 lines)
    Fax (08) 35124314
    Tập tành bước đi....


    Comment


    • #3
      thanks bạn nhiều , tài liệu rất thiết thực
      LOVE CISCO
      AE thích trao đổi pm né . Skyper : anhkhanhnd

      Comment


      • #4
        Bạn lamvantu có thể đưa một list các vấn đề cần nắm về ASA lên đc ko? Dựa vào đó mọi người có thể tự tìm hiểu và chủ động hơn trong việc thảo luận.
        Cám ơn bạn.

        Comment


        • #5
          Hi Cuong_nv Các vấn đề cần nắm trên cisco ASA bao gồm các vấn đề sau:
          1. Tổng quan về hoạt động và cấu hình cơ bản trên Cisco ASA: thực hiện được các vấn đề về NAT,PAT, NAT&PAT theo chính sách, NAT,PAT tĩnh,NAT 0...rồi Object-group...
          2. Cut-throught, routing & switching, MPF, Inspection (biết thế nào là cut-throught, cơ chế làm việc, định tuyến và vlan trong cisco ASA, IP SLA in ASA, QoS đơn giản theo mô hình MQC, hiểu cơ chế inspection-->lab).
          3. VPN (Ipsec VPN: S2S, RA, VPN kết hợp radius, ldap, cisco ACS, CA server....HSRP; web-vpn : cơ chế làm việc, cấu hình webvpn clientless, cấu hình webvpn với port forwarding, biết imporrt các plug-in)
          4. Transparent Firewall, context và failover.
          Lâm Văn Tú
          Email :
          cntt08520610@gmail.com
          Viet Professionals Co. Ltd. (VnPro)
          149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
          Tel: (08) 35124257 (5 lines)
          Fax (08) 35124314
          Tập tành bước đi....


          Comment


          • #6
            giám sát log trên FW ASA

            Hi bạn lamvantu,
            Mình đang có 1 bài toán thế này, mong Tu giúp đỡ:), thks trước nhé
            Mình định xây dựng 1 giải pháp sẽ phân tích log của ASA cụ thể như ( tình trạng interface, memory, CPU, các kết nối có vấn đề, attack...), bằng cách mình sẽ thực hiện các script cho phép đọc logfile, hoặc kết quả các câu lệnh tùy theo nhu cầu của mình.
            Sau đó, sẽ phân tích các logfile cũng như kết quả các câu lệnh và sẽ sendlog về syslog nếu kết quả phân tích có vấn đề. Kết quả này có thể cảnh báo qua mail.. cho người quản trị.
            Minh đang định dùng giải pháp HP NA để tự động kết nối đến asa, và viết các script để thực hiện lệnh đọc logfile hoặc kết quả câu lệnh.
            Tuy nhiên,mình đang thiếu cái phân tích kết quả, ví dụ như: xem cái gì để biết kết nối có vấn đề, hoặc thiết bị bị tấn công, hoặc virus....,
            Tú có thể tư vấn giúp mình, hoặc link tài liệu nào bàn về việc quản trị logfile,cũng như việc giám sát ASA.
            Thks nhiều:)
            ndphuitc



            Originally posted by lamvantu View Post
            Hi Cuong_nv Các vấn đề cần nắm trên cisco ASA bao gồm các vấn đề sau:
            1. Tổng quan về hoạt động và cấu hình cơ bản trên Cisco ASA: thực hiện được các vấn đề về NAT,PAT, NAT&PAT theo chính sách, NAT,PAT tĩnh,NAT 0...rồi Object-group...
            2. Cut-throught, routing & switching, MPF, Inspection (biết thế nào là cut-throught, cơ chế làm việc, định tuyến và vlan trong cisco ASA, IP SLA in ASA, QoS đơn giản theo mô hình MQC, hiểu cơ chế inspection-->lab).
            3. VPN (Ipsec VPN: S2S, RA, VPN kết hợp radius, ldap, cisco ACS, CA server....HSRP; web-vpn : cơ chế làm việc, cấu hình webvpn clientless, cấu hình webvpn với port forwarding, biết imporrt các plug-in)
            4. Transparent Firewall, context và failover.

            Comment


            • #7
              Chào bạn,

              Không biết bạn đã sử dụng qua ASDM hay chưa? Nếu được bạn tham khảo qua tool quản trị ASA này để biết thêm 1 số thứ về quản lý log nhé. Link down sách và tài liệu tham khảo:

              http://up.4share.vn/f/61535655585553...20one.pdf.file

              Cisco Adaptive Security Device Manager - Some links below may open a new browser window to display the document you selected.
              Lâm Văn Tú
              Email :
              cntt08520610@gmail.com
              Viet Professionals Co. Ltd. (VnPro)
              149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
              Tel: (08) 35124257 (5 lines)
              Fax (08) 35124314
              Tập tành bước đi....


              Comment


              • #8
                vlan trên asa 5510

                Cho mình hỏi tí nha:
                Mình chia vlan trân cổng interface 0/1 asa gồm 5 vlan: vlan 26-30
                Trên con switch 2950 minh cũng chia vlan giong nhu vậy nhu sau mình gắm vào port 0/1 trên switch thì nó khộng nhận được 5 vlan cấu hình trên asa5510
                xin anh em và thầy chỉ dẫn dùm mình . thanks nhiều. port 0/1 switch có cần cấu hình gì không ?





                Originally posted by lamvantu View Post
                Hi Cuong_nv Các vấn đề cần nắm trên cisco ASA bao gồm các vấn đề sau:

                1. Tổng quan về hoạt động và cấu hình cơ bản trên Cisco ASA: thực hiện được các vấn đề về NAT,PAT, NAT&PAT theo chính sách, NAT,PAT tĩnh,NAT 0...rồi Object-group...
                2. Cut-throught, routing & switching, MPF, Inspection (biết thế nào là cut-throught, cơ chế làm việc, định tuyến và vlan trong cisco ASA, IP SLA in ASA, QoS đơn giản theo mô hình MQC, hiểu cơ chế inspection-->lab).
                3. VPN (Ipsec VPN: S2S, RA, VPN kết hợp radius, ldap, cisco ACS, CA server....HSRP; web-vpn : cơ chế làm việc, cấu hình webvpn clientless, cấu hình webvpn với port forwarding, biết imporrt các plug-in)
                4. Transparent Firewall, context và failover.

                Comment


                • #9
                  cho mình hỏi về vlan trong asa

                  Cho mình hỏi tí nha:
                  Mình chia vlan trân cổng interface 0/1 asa gồm 5 vlan: vlan 26-30
                  Trên con switch 2950 minh cũng chia vlan giong nhu vậy nhu sau mình gắm vào port 0/1 trên switch thì nó khộng nhận được 5 vlan cấu hình trên asa5510
                  xin anh em và thầy chỉ dẫn dùm mình . thanks nhiều. port 0/1 switch có cần cấu hình gì không ?

                  Originally posted by anhkhanhnd View Post
                  thanks bạn nhiều , tài liệu rất thiết thực

                  Comment


                  • #10
                    cho minh hoi ti ve vlan

                    Cho mình hỏi tí nha:
                    Mình chia vlan trân cổng interface 0/1 asa gồm 5 vlan: vlan 26-30
                    Trên con switch 2950 minh cũng chia vlan giong nhu vậy nhu sau mình gắm vào port 0/1 trên switch thì nó khộng nhận được 5 vlan cấu hình trên asa5510
                    xin anh em và thầy chỉ dẫn dùm mình . thanks nhiều. port 0/1 switch có cần cấu hình gì không ?


                    Originally posted by lamvantu View Post
                    Bài 2: Cấu Hình Cơ Bản Cisco ASA

                    Các chế độ cấu hình trong Cisco IOS:



                    Câu lệnh Mô tả
                    Ciscoasa> enable
                    hoặc
                    Ciscoasa> ena
                    Từ User mode vào Privileged mode.
                    Ciscoasa# configure terminal
                    hoặc
                    Ciscoasa# conf t
                    Vào Configuration mode.
                    Ciscoasa# show running-config
                    hoặc
                    Ciscoasa# show run
                    Hiển thị cấu hình đang chạy trên RAM.
                    Ciscoasa# show startup-config Hiển thị file cấu hình startup được lưu trong NVRAM.
                    Ciscoasa# copy running-config startup-config
                    hoặc
                    Ciscoasa# write
                    hoặc
                    Ciscoasa# wr
                    Lưu file cấu hình đang chạy trên RAM (file running-config) vào NVRAM.
                    Ciscoasa# show ? Hiển thị tấc cả các câu lệnh show có khả năng thực thi.
                    Ciscoasa# show clock Hiển thị giờ đã cấu hình
                    Ciscoasa# show version Hiển thị các thông tin về Cisco IOS hiện tại.
                    Ciscoasa# show flash Hiển thị các thông tin về bộ nhớ flash.
                    Ciscoasa(config)# hostname name Đặt tên cho Ciscoasa.
                    Ciscoasa(config)# enable password password Đặt password cho Enable và tự mã hóa password.
                    Ciscoasa(config)# banner motd # messenger # Hiển thị thông điệp khi người dùng truy cập vào thiết bị.
                    Ciscoasa(config-if)# description messenger Cấu hình mô tả cho interface.
                    Ciscoasa(config-if)# nameif name Đặt tên cho cổng vật lý chính
                    Ciscoasa# show interface ip brief Hiển thị thông tin tổng quát của tất cả interface, bao gồm: trạng thái cổng (up, down, administrative down), địa chỉ ip, tên cổng.
                    Ciscoasa# show interface {interface_number} Xem thông tin chi tiết cổng (địa chỉ MAC, speed, bandwidth, v.v…).
                    Ciscoasa# show route Hiển thị bảng định tuyến của Ciscoasa.
                    Ciscoasa# erase startup-config Xóa toàn bộ cấu trên ciscoasa.
                    Ciscoasa# reload Khởi động lại thiết bị.



                    Lưu ý:
                    - Các bạn có thể dùng câu lệnh show tại bất kỳ mode nào.
                    - Có thể xóa câu lệnh thực thi vừa nhập bằng cách dùng từ “no” trước câu lệnh.
                    - Cisco IOS có tính năng gợi ý từ khóa tiếp theo trong câu lệnh với dấu “?”.
                    - Một số phím tắt nên nhớ:
                    + Quay lại đầu dòng: Ctrl-A
                    + Xuống cuối dòng: Ctrl-E
                    + Xóa 1 dòng: Ctrl-X
                    + Xóa 1 từ: Ctrl-W
                    + Gọi lệnh vừa nhập trước đó trong bộ nhớ đệm (tương đương phía mũi tên up): Ctrl-P
                    + Trở về câu lệnh vừa thực thi trước đó (tương đương phím mũi tên down): Ctrl-N
                    Giảng Viên Hồ Vũ Anh Tuấn – VnPro

                    Comment


                    • #11
                      Bạn hướng dẫn mình cấu hình Web Filtering được ko ? Thấy tài liệu toàn hướng dẫn về port ko à ? Còn chặn web thì có vẻ khó cấu hình.

                      Comment


                      • #13
                        khó hiểu quá :(

                        Comment


                        • #14
                          Bài này em thấy rất hay sẳn em có bài láp nhờ a chỉ dùm:Click image for larger version

Name:	asa.jpg
Views:	1
Size:	20.9 KB
ID:	206603
                          (máy server 192.168.1.2/24 nối router Firewall g0 192.168.1.1/24 và cổng g1 10.0.0.1/24 nối 10.0.0.2/24 là máy Client)
                          2 máy server và client chạy trên VMware làm sao có thế cấu hình cho 2 máy này ping nhau dc.
                          ai biết cấu hình chỉ giùm em nhé tks nhiều.
                          gmail: email03021995@gmail.com

                          Comment


                          • #15
                            Cung h c Firewall 642 618

                            firewall on router will protect inbound . if you are opening any port for web server etc. you will be fine.
                            http://itqueries.com/

                            Comment

                            Working...
                            X