Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Help cấu hình ASA

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Help cấu hình ASA

    Nhờ ace giúp đỡ, em đang cấu hình con ASA 5525-x chạy ASA 8.6, muốn các host trong dmz và inside giao tiếp qua lại với nhau, ví dụ như: RDP mà hiện giờ vẫn chưa thực hiện được. ACE nào check giúp em phần config được không ạ?



    : Saved
    :
    ASA Version 8.6(1)2
    !
    hostname ASA
    enable password FJBSRjaNrck2SEKT encrypted
    passwd 2KFQnbNIdI.2KYOU encrypted
    names
    !
    interface GigabitEthernet0/0
    nameif outside
    security-level 0
    ip address IP_public 255.255.255.192
    !
    interface GigabitEthernet0/1
    shutdown
    no nameif
    no security-level
    no ip address
    !
    interface GigabitEthernet0/2
    nameif dmz
    security-level 50
    ip address 10.9.8.1 255.255.255.24
    !
    interface GigabitEthernet0/3
    nameif inside
    security-level 100
    ip address 10.9.9.1 255.255.255.240
    !
    interface GigabitEthernet0/4
    shutdown
    no nameif
    no security-level
    no ip address
    !
    interface GigabitEthernet0/5
    shutdown
    no nameif
    no security-level
    no ip address
    !
    interface GigabitEthernet0/6
    shutdown
    no nameif
    no security-level
    no ip address
    !
    interface GigabitEthernet0/7
    shutdown
    no nameif
    no security-level
    no ip address
    !
    interface Management0/0
    nameif management
    security-level 100
    ip address 192.168.1.1 255.255.255.0
    management-only
    !
    ftp mode passive
    object network IP_LOCAL_WEBSERVER
    host 10.9.8.2
    object network IP_GLOBAL_WEBSERVER
    host ip_web_global
    object network IP_subnet_inside
    subnet 10.9.9.0 255.255.255.240
    object network IP_subnet_dmz
    subnet 10.9.8.0 255.255.255.240
    access-list outside-in extended permit tcp any object IP_LOCAL_WEBSERVER eq www

    access-list dmz-in extended permit tcp object IP_LOCAL_WEBSERVER object IP_subne
    t_inside eq www
    access-list dmz-in extended permit tcp object IP_LOCAL_WEBSERVER object IP_subne
    t_inside eq 1433
    access-list inside-in extended permit tcp object IP_subnet_inside object IP_LOCA
    L_WEBSERVER eq 3839
    access-list dmz-i extended permit tcp host 10.9.8.2 host 10.9.9.4 eq telnet
    access-list dmz-i extended permit icmp host 10.9.8.2 host 10.9.9.4 echo
    access-list dmz-i extended permit icmp host 10.9.8.2 host 10.9.9.4 echo-reply
    pager lines 24
    logging asdm informational
    mtu management 1500
    mtu outside 1500
    mtu dmz 1500
    mtu inside 1500
    no failover
    icmp unreachable rate-limit 1 burst-size 1
    no asdm history enable
    arp timeout 14400
    nat (inside,dmz) source static IP_subnet_inside IP_subnet_inside destination sta
    tic IP_subnet_dmz IP_subnet_dmz
    !
    object network IP_LOCAL_WEBSERVER
    nat (dmz,outside) static IP_GLOBAL_WEBSERVER service tcp www www
    object network IP_subnet_dmz
    nat (dmz,outside) dynamic interface
    access-group outside-in in interface outside
    access-group dmz-in in interface dmz
    access-group inside-in in interface inside
    route outside 0.0.0.0 0.0.0.0 ip_gateway 1
    timeout xlate 3:00:00
    timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
    timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
    timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
    timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
    timeout tcp-proxy-reassembly 0:01:00
    timeout floating-conn 0:00:00
    dynamic-access-policy-record DfltAccessPolicy
    http server enable
    http 192.168.1.0 255.255.255.
    no snmp-server location
    no snmp-server contact
    snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart

    telnet timeout 5
    ssh timeout 5
    console timeout 0
    dhcpd address 192.168.1.2-192.168.1.254 management
    dhcpd enable management
    !
    threat-detection basic-threat
    threat-detection statistics access-list
    no threat-detection statistics tcp-intercept
    webvpn
    !
    class-map inspection_default
    match default-inspection-traffic
    !
    !
    policy-map type inspect dns preset_dns_map
    parameters
    message-length maxim
    message-length maximum 512
    policy-map global_policy
    class inspection_default
    inspect dns preset_dns_map
    inspect ftp
    inspect h323 h225
    inspect h323 ras
    inspect rsh
    inspect rtsp
    inspect esmtp
    inspect sqlnet
    inspect skinny
    inspect sunrpc
    inspect xdmcp
    inspect sip
    inspect netbios
    inspect tftp
    inspect ip-options
    !
    service-policy global_policy global
    prompt hostname context
    Cryptochecksum:464185c7e3d68ec48afb2f180b2a11c8
    : end

  • #2
    Chúng ta có thể triển khai các tường lửa ở chế độ sẵn sàng cao (failover) hoặc trong một cụm kiểu song hành clustering. Bài này hôm nay chỉ bàn với các bạn về kiểu thứ nhất failover. Nếu bạn muốn “triển chiêu” mô hình này, đương nhiên bạn phải có hai thiết bị Firewall giống nhau được kết nối với nhau qua một liên kết failover chuyên dụng. Bạn cũng phải cấu hình một đường kết nối khác giữa cặp thiết bị này để 2 con FW này gửi cho nhau thông tin trạng thái. (Đồng bộ thông tin giữa 2 con theo thời gian thực)
    Trong hình, bạn FTD dự phòng (FTD 2) không truyền lưu lượng một cách chủ động; tuy nhiên, nó vẫn đồng bộ cấu hình và các thông tin trạng thái khác từ thiết bị đang thi đấu (active) hoạt động qua kết nối linkstate. Khi xảy ra failover (có biến xảy ra), thiết bị FTD đang hoạt động (FTD 1) chuyển sang thiết bị chế độ dự phòng. FTD 2 sau đó thiết bị này trở thành active.
    Các kết nối failover và liên kết trạng thái là các kết nối chuyên dụng giữa hai thiết bị, KHÔNG DÙNG để truyền dữ liệu của users. Bạn cũng được khuyến cáo sử dụng cùng một giao diện trên cả hai thiết bị trong liên kết failover hoặc liên kết trạng thái. Ví dụ, nếu Gigabit Ethernet 1 được sử dụng cho liên kết failover trên thiết bị đầu tiên, thì bạn nên sử dụng cùng giao diện này (Gigabit Ethernet 1) trên thiết bị thứ hai. Điều tương tự áp dụng cho liên kết trạng thái. Nếu bạn sử dụng Gigabit Ethernet 2 cho liên kết trạng thái, bạn nên sử dụng cùng giao diện này trên thiết bị Firewall thứ hai (Gigabit Ethernet 2 trên FTD 2).
    Cặp thiết bị sẽ liên tục giao tiếp qua liên kết failover để xác định trạng thái hoạt động của mỗi thiết bị. Trong cấu hình failover, sức khỏe của thiết bị hoạt động (lỗi phần cứng, giao diện, phần mềm, v.v.) được con FW kia theo dõi để xác định xem các điều kiện failover cụ thể có được đáp ứng hay không, và sau đó, failover xảy ra.
    Liên kết failover trạng thái (còn gọi là liên kết trạng thái) được sử dụng để truyền thông tin trạng thái kết nối. Bảng kết nối trạng thái được sao chép sang thiết bị dự phòng trong thời gian thực. Để truyền nhanh nhất các thông tin hệ thống này thì yêu cầu độ trễ dưới 10 mili giây.
    Dưới đây là các loại thông tin hệ thống được hai đồng chí FW trao đổi qua liên kết failover:
    • Trạng thái tường lửa (hoạt động hoặc dự phòng)
    • Tin nhắn Hello (giữ kết nối)
    • Trạng thái liên kết mạng (các connection hiện đang chạy trong mạng)
    • Trao đổi địa chỉ MAC (cập nhật tất cả địa chỉ MAC – cũng ghê nhỉ)
    • Sao chép và đồng bộ hóa cấu hình
    Dưới đây là các yêu cầu cho cấu hình failover:
    • Hai thiết bị tham gia phải được cấu hình ở cùng chế độ tường lửa (ví dụ: routed hoặc transparent).
    • Hai thiết bị tham gia phải chạy cùng phiên bản phần mềm.
    • Hai thiết bị tham gia phải có cùng cấu hình NTP. Thời gian phải được đồng bộ.
    • Các thiết bị tham gia failover phải được triển khai hoàn toàn mà không có thay đổi chưa được cam kết trong Cisco FMC.
    • DHCP hoặc PPPoE không được cấu hình trên bất kỳ giao diện nào của chúng.
    • Các thiết bị Cisco Secure Firewall được cấu hình cho failover phải có cùng loại licese.
    TIPS: Bạn có thể đấu nối liên kết failover theo hai cách. Cách thứ nhất là sử dụng một switch mà không có thiết bị nào khác trên cùng VLAN. Cách thứ hai là sử dụng cáp Ethernet để kết nối trực tiếp cả hai thiết bị Cisco Secure Firewall (mà không cần switch bên ngoài). Nếu bạn không sử dụng switch, khi đường dây cáp bị rớt, liên kết sẽ bị ngắt trên cả hai thiết bị. Điều này có thể gây khó khăn khi khắc phục sự cố vì bạn không thể dễ dàng xác định thiết bị nào có interface. Ý nói là, có thêm con switch ở giữa thì phải tốn thêm công sức để troubleshooting.

    Click image for larger version

Name:	FirewallActiveStandby.jpg
Views:	4
Size:	454.3 KB
ID:	429727
    Đặng Quang Minh, CCIEx2#11897 (Enterprise Infrastructure, Wireless), DEVNET, CCSI#31417

    Email : dangquangminh@vnpro.org
    https://www.facebook.com/groups/vietprofessional/

    Comment

    Working...
    X