Góc tư vấn Cisco

Cấu hình Firewall Cisco ASA cơ bản

06/11/2018

Từ nay việc cấu hình Cisco ASA sẽ thật đơn giản. Bài viết này chúng tôi muốn chia sẻ với các bạn từ những kinh nghiệm đã đúc kết và nhu cầu cấu hình Tường lửa Firewall Cisco ASA mà chúng tôi có được.

Yêu cầu:
  1. Kết nối và cấu hình địa chỉ IP thiết bị theo mô hình
  2. Cấu hình định tuyến trên FW và router Core, đảm bảo người dùng trong vùng Inside có thể giao tiếp được với các Server vùng DMZ.
  3. Cấu hình FW chỉ cho phép PC với IP 192.168.2.10 được phép SSH vào FW.
  4. Cấu hình Static NAT trên FW sao cho người dùng ngoài Internet chỉ có thể truy cập được dịch vụ Remote Desktop của Server 192.168.10.10.
  5. Cấu hình PAT trên FW sao cho người dùng từ vùng Inside có thể truy cập được các dịch vụ ngoài Internet.
cau-hinh-cisco-asa

Hướng dẫn: 

1.  
Cấu hình thông tin trên các cổng của FW:

Cổng Inside
interface GigabitEthernet0/0 nameif inside
security-level 100
ip address 192.168.0.1 255.255.255.0

Cổng DMZ
interface GigabitEthernet0/1 nameif DMZ
security-level 50
ip address 192.168.10.1 255.255.255.0
 
Cổng Outside
interface GigabitEthernet0/2 nameif outside
security-level 0
ip address dhcp setroute //Tự động chèn route default vào bảng định tuyến sau khi nhận được địa chỉ IP
 

2. Cấu hình định tuyến:
Cấu hình default-route trên router Core. Cấu hình static route trên FW với câu lệnh:
 
route inside 192.168.2.0 255.255.255.0 192.168.0.254

Cấu hình hoàn thành bước này bạn có thể truy cập thành công dịch vụ DMZ từ vùng Inside.
 
Lưu ý: Mặc định ASA không cho phép ICMP qua giữa các vùng, để kiểm tra Ping từ vùng Inside bạn cần cấu hình thêm:
 
ciscoasa(config)# policy-map global_policy 
ciscoasa(config-pmap)# class inspection_default 
ciscoasa(config-pmap-c)# inspect icmp


3.  Cấu hình SSH trên Firewall ASA:
 
ciscoasa(config)# username waren password waren 
ciscoasa(config)# crypto key generate rsa general-keys
WARNING: You have a RSA keypair already defined named .
Do you really want to replace them? [yes/no]: y Keypair generation process begin. Please wait...
ciscoasa(config)# ssh 192.168.2.10 255.255.255.255 inside 
ciscoasa(config)# ssh version 2
ciscoasa(config)# aaa authentication ssh console LOCAL

Sau khi hoàn thành bước này bạn có thể truy cập SSH từ PC (192.168.1.10):
config-cisco-asa
 
4.  Cấu hình Staic NAT và ACL để cho từ bên ngoài có thể truy cập dịch vụ remote desktop vùng DMZ:
B1: Cấu hình Object Network:
object network DMZ_10.10 host 192.168.10.10

B2: Cấu hình Object Service:
object service RDP
service tcp source eq 3389

B3: Cấu hình NAT:
nat (inside,outside) source static DMZ_10.10 interface service RDP RDP

B4: Cấu hình ACL để cho phép truy cập từ outside vào DMZ:
access-list POLICY extended permit tcp any host 192.168.10.10 eq 3389 access-group POLICY in interface outside

Sau khi cấu hình hoàn thành bước này bạn sẽ có thể truy cập được dịch vụ Remote Desktop từ vùng Outside (lưu ý: 192.168.1.67 là địa chỉ của cổng outside trong trường hợp này):

5. Cấu hình PAT để cho phép người dùng từ Inside có thể truy cập được Internet: 
firewall-cisco-asa

B1: Cấu hình Object:
object network USER
subnet 192.168.2.0 255.255.255.0


B2. Cấu hình PAT:
nat (inside,outside) source dynamic USER interface // Địa chỉ của người dùng được NAT ra địa chỉ của interface outside.

​Sau khi cấu hình hoàn thành bước này bạn sẽ có thể truy cập được Internet:
Hy vong qua bài viết ở trên , các bạn có thể nắm bắt sơ bộ và làm chủ được Firewall Cisco ASA, 
Nếu như bạn cần hỗ trợ về sản phẩm, bạn có thể liên hệ với Netsystem theo thông tin
Các tin bài khác