Tweet
Hướng dẫn cấu hình cơ bản trên Firewall ASA
Yêu cầu:
- Khảo sát các chế độ dòng lệnh trên Firewall ASA.
- Đặt hostname cho Firewall ASA.
- Đặt IP và các tham số cơ bản trên các cổng giao tiếp của Firewall ASA.
- Cho phép lưu lượng ICMP được phép gửi nhận giữa các cổng giao tiếp trên Firewall ASA.
- Cấu hình DHCP Server trên Firewall ASA cấp IP cho các PC thuộc Inside Zone.
- Cấu hình DHCP Client trên Firewall ASA xin IP động từ nhà cung cấp ISP.
- Cấu hình NAT Overload trên Firewall ASA cho phép các PC thuộc Inside Zone truy cập được Internet.
- Lưu lại cấu hình trên Firewall ASA.
- Xóa cấu hình và khởi động lại Firewall ASA.
Các bước thực hiện:
Yêu cầu 1. Khảo sát các chế độ dòng lệnh trên Firewall ASA.
Chế độ User Exec mode.
- Đây là chế độ đầu tiên ngay sau khi kết nối Console thành công tới Firewall ASA bằng phần mềm Putty hoặc SecureCRT.
- Ở chế độ này ta có thể kiểm tra thông tin cấu hình của Firewall ASA như kiểm tra version, ping hoặc traceroute
| ciscoasa> |
- Muốn vào chế độ đặc quyền Privilege Exec mode ta thực hiện lệnh enable ở chế độ User Exec mode.
- Nếu Firewall ASA đang khởi động với cấu hình trắng thì password enable sẽ là rỗng, ta chỉ việc nhấn Enter là ngay lập tức có thể vào chế độ đặc quyền Privilege Exec mode. Ở chế độ này, ta có thể kiểm tra thông tin cấu hình của Firewall ASA như show bảng định tuyến, lưu lại cấu hình của thiết bị cũng như có thể khởi động lại Firewall ASA.
| ciscoasa> enable Password: ciscoasa# |
- Từ chế độ đặc quyền Privilege Exec mode ta có thể quay trở về chế độ User Exec mode bằng lệnh disable.
| ciscoasa# disable ciscoasa> |
- Từ chế độ đặc quyền Privilege Exec mode muốn vào chế độ Global Configuration mode ta thực hiện lệnh “configure terminal”. Ở chế độ này, ta có thể tiến hành cấu hình Firewall ASA như đặt hostname, cấu hình password console, password enable.
| ciscoasa# configure terminal ciscoasa(config)# ***************************** NOTICE ***************************** Help to improve the ASA platform by enabling anonymous reporting, which allows Cisco to securely receive minimal error and health information from the device. To learn more about this feature, please visit: http://www.cisco.com/go/smartcall Would you like to enable anonymous error reporting to help improve the product? [Y]es, [N]o, [A]sk later: A You will be reminded again in 7 days. If you would like to enable this feature, issue the command "call-home reporting anonymous". Please remember to save your configuration. ciscoasa(config)# |
- Từ chế độ Global Configuration mode ta muốn quay trở về chế độ đặc quyền Privilege Exec mode ta có thể thực hiện lệnh “exit” hoặc lệnh “end”.
| ciscoasa(config)# exit ciscoasa# |
| ciscoasa(config)# end ciscoasa# |
- Đứng ở chế độ Global Configuration, ta có thể đặt hostname cho Firewall ASA bằng lệnh “hostname”.
| ciscoasa(config)# hostname Firewall Firewall(config)# |
Kiểm tra các cổng giao tiếp hiện có trên thiết bị.
- Management0/0: Cổng giao tiếp management cho phép máy tính của người quản trị admin có thể kết nối tới Firewall ASA bằng công nghệ Telnet, SSH hoặc HTTP thông qua phần mền ASDM được cài đặt trên máy tính của người quản trị. Mặc định, cổng giao tiếp này sẽ không cho phép lưu lượng của người dùng được phép gửi nhận trên cổng giao tiếp này.
- Ta có thể biến cổng giao tiếp management trở thành cổng giao tiếp thông thường bằng lệnh “no management-only”. Lúc này, cổng giao tiếp management sẽ cho phép lưu lượng của người dung có thể gửi nhận trên cổng giao tiếp này. Một số dòng Firewall ASA không cho phép thực hiện tác vụ này.
| Firewall(config)# interface management 0/0 Firewall(config-if)# no management-only Firewall(config-if)# |
- security-level: Cho phép đánh giá nhanh mức độ bảo mật trên từ cổng giao tiếp, cổng giao tiếp này được thiết lập giá trị security-level càng cao thì phân vùng mạng đó càng bảo mật. Giá trị security-level có thể dao động từ 0 đến 100.
- nameif: Cho phép đặt tên trực quan cho các cổng giao tiếp và các thiết lập NAT, ACL, VPN sau này sẽ sử dụng tên của các cổng giao tiếp trong suốt quá trình cấu hình.
- Kiểm tra trạng thái của các cổng giao tiếp sau khi cấu hình.
- Lúc này, PC1 đã có thể ping được tới IP 192.168.1.1 của Firewall ASA.
| PC1> ping 192.168.1.1 |
- Kiểm tra nameif và security-level của các cổng giao tiếp.
Yêu cầu 4. Cho phép lưu lượng ICMP được phép gửi nhận giữa các cổng giao tiếp trên Firewall ASA.
Tính năng Inspect cho phép Firewall ASA đọc được dữ liệu thuộc lớp Application Layer của các bản tin đi ngang qua thiết bị nhưng không phải lưu lượng nào cũng được giám sát “inspect”. Mặc định thì lưu lượng xuất phát từ cổng giao tiếp có security-level cao hơn có thể gửi qua cổng giao tiếp có security-level thấp hơn và lưu lượng này sẽ được “inspect”. Firewall ASA sẽ chỉ cho phép lưu lượng hồi đáp từ cổng có security-level thấp hơn được quyền hồi đáp về cho cổng có security-level cao hơn. Lưu lượng xuất phát từ cổng có security-level thấp hơn mặc định không thể gửi được qua cổng có security-level cao hơn.
Kiểm tra các loại lưu lượng mặc định được inspect.
| ciscoasa# show running-config … class-map inspection_default match default-inspection-traffic ! policy-map type inspect dns preset_dns_map parameters message-length maximum client auto message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp inspect ip-options ! service-policy global_policy global ciscoasa# |
- class-map: Là công cụ dùng để phân loại lưu lượng dựa vào giao thức hoặc ACL.
- policy-map: Cho phép áp dụng chính sách Policy tương ứng với từng class-map mà trước đó đã định nghĩa.
- inspect icmp: Cho phép Firewall ASA giám sát lưu lượng ping, lúc này PC1 đã có thể ping được tới Server.
- service-policy global_policy global: Cho phép áp dụng chính sách policy-map lên cổng giao tiếp cụ thể hay trên tất cả các cổng giao tiếp global.
Attached Files