Cấu hình Firewall Cisco ASA cơ bản

Yêu cầu:

1. Kết nối và cấu hình địa chỉ IP thiết bị theo mô hình
2. Cấu hình định tuyến trên FW và router Core, đảm bảo người dùng trong vùng Inside có thể giao tiếp được với các Server vùng DMZ.
3. Cấu hình FW chỉ cho phép PC với IP 192.168.2.10 được phép SSH vào FW.
4. Cấu hình Static NAT trên FW sao cho người dùng ngoài Internet chỉ có thể truy cập được dịch vụ Remote Desktop của Server 192.168.10.10.
5. Cấu hình PAT trên FW sao cho người dùng từ vùng Inside có thể truy cập được các dịch vụ ngoài Internet.

>> Xem thêm các sản phẩm: Firewall Cisco​
Hướng dẫn: 

1.  Cấu hình thông tin trên các cổng của FW:

Cổng Inside

interface GigabitEthernet0/0 nameif inside security-level 100 ip address 192.168.0.1 255.255.255.0

Cổng DMZ

interface GigabitEthernet0/1 nameif DMZ security-level 50 ip address 192.168.10.1 255.255.255.0

 
Cổng Outside

interface GigabitEthernet0/2 nameif outside security-level 0 ip address dhcp setroute //Tự động chèn route default vào bảng định tuyến sau khi nhận được địa chỉ IP

 

2. Cấu hình định tuyến:
Cấu hình default-route trên router Core. Cấu hình static route trên FW với câu lệnh:
 

route inside 192.168.2.0 255.255.255.0 192.168.0.254

Cấu hình hoàn thành bước này bạn có thể truy cập thành công dịch vụ DMZ từ vùng Inside.
 
Lưu ý: Mặc định ASA không cho phép ICMP qua giữa các vùng, để kiểm tra Ping từ vùng Inside bạn cần cấu hình thêm:
 

ciscoasa(config)# policy-map global_policy  ciscoasa(config-pmap)# class inspection_default  ciscoasa(config-pmap-c)# inspect icmp

3.  Cấu hình SSH trên Firewall ASA:
 

ciscoasa(config)# username waren password waren  ciscoasa(config)# crypto key generate rsa general-keys WARNING: You have a RSA keypair already defined named . Do you really want to replace them? [yes/no]: y Keypair generation process begin. Please wait... ciscoasa(config)# ssh 192.168.2.10 255.255.255.255 inside  ciscoasa(config)# ssh version 2 ciscoasa(config)# aaa authentication ssh console LOCAL

Sau khi hoàn thành bước này bạn có thể truy cập SSH từ PC (192.168.1.10): 4.  Cấu hình Staic NAT và ACL để cho từ bên ngoài có thể truy cập dịch vụ remote desktop vùng DMZ:
B1: Cấu hình Object Network:

object network DMZ_10.10 host 192.168.10.10

B2: Cấu hình Object Service:

object service RDP service tcp source eq 3389

B3: Cấu hình NAT:

nat (inside,outside) source static DMZ_10.10 interface service RDP RDP

B4: Cấu hình ACL để cho phép truy cập từ outside vào DMZ:

access-list POLICY extended permit tcp any host 192.168.10.10 eq 3389 access-group POLICY in interface outside

Sau khi cấu hình hoàn thành bước này bạn sẽ có thể truy cập được dịch vụ Remote Desktop từ vùng Outside (lưu ý: 192.168.1.67 là địa chỉ của cổng outside trong trường hợp này):

5. Cấu hình PAT để cho phép người dùng từ Inside có thể truy cập được Internet: 
B1: Cấu hình Object:

object network USER subnet 192.168.2.0 255.255.255.0

B2. Cấu hình PAT:

nat (inside,outside) source dynamic USER interface // Địa chỉ của người dùng được NAT ra địa chỉ của interface outside.

​Sau khi cấu hình hoàn thành bước này bạn sẽ có thể truy cập được Internet: Nếu như bạn cần hỗ trợ về sản phẩm, bạn có thể liên hệ với Netsystem theo thông tin

✅ Lựa chọn thiết bị tường lửa Firewall cứng Cisco ASA và Cisco Firepower

Firewall Cisco ASA
ASA5506-K9	ASA5508-K9
ASA5516-FPWR-K9	ASA5555-K9
ASA5525-FPWR-K9	ASA5525-K9
ASA5545-FPWR-K9	ASA5545-K9
FPR1010-NGFW-K9	FPR1010-ASA-K9
FPR1120-NGFW-K9	FPR1120-ASA-K9
FPR1140-NGFW-K9	FPR1140-ASA-K9
FPR2110-NGFW-K9	FPR2110-ASA-K9
FPR2120-NGFW-K9	FPR2120-ASA-K9
FPR2130-NGFW-K9	FPR2130-ASA-K9
FPR2140-NGFW-K9	FPR2140-ASA-K9
FPR4110-NGFW-K9	FPR4110-ASA-K9
FPR4115-NGFW-K9	FPR4120-NGFW-K9
FPR4150-NGFW-K9	ASA5506-SEC-BUN-K9

Bài viết về Firewall Cisco có thể bạn quan tâm:

Cấu hình Firewall Cisco ASA cơ bản
Cách tăng cường bảo vệ an ninh của Bạn với tường lửa Cisco ASA 5500-X