Hướng dẫn cấu hình cơ bản Firewall Cisco ASA

Hướng dẫn cấu hình cơ bản Firewall Cisco ASA

Truy cập Global Configuration Mode

Về cơ bản Firewall Cisco ciscoasa cũng bao gồm các mode giống như trên các dòng switch hay router của Cisco, bao gồm: User EXEC mode, Privileged EXEC mode, Global configuration mode và Sub-configuration mode. Các bạn đăng nhập vào ciscoasa với password để trống:

Hướng dẫn thực hành cấu hình Cisco ASA

Mô hình bài lab:

Đầu tiên ta cấu hình địa chỉ IP cho Router Internet:

Router>

Router>en

Router#conf t

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#int g0/1

Router(config-if)#ip add 8.8.8.1 255.255.255.0

Router(config-if)#hostname Internet

Internet(config)#int g0/1

Internet(config-if)#no shut

Internet(config-if)#

%LINK-5-CHANGED: Interface GigabitEthernet0/1, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/1, changed state to up

Internet(config-if)#int g0/0

Internet(config-if)#ip add 10.1.1.2 255.255.255.252

Internet(config-if)#no shut

Internet(config-if)#

%LINK-5-CHANGED: Interface GigabitEthernet0/0, changed state to up

Cấu hình IP, nameif và security level cho tường lửa ciscoasa. nameif là tên của interface còn security-level là mức độ bảo mật (nhỏ nhất là 0, lớn nhất là 100). Interface inside là interface kết nối với mạng nội bộ nên yêu cầu về bảo mật phải rất lớn, do đó ta cấu hình security-level bằng 100.

ciscoasa#

ciscoasa#conf t

ciscoasa(config)#int g1/2

ciscoasa(config-if)#ip add 192.168.1.1 255.255.255.0

ciscoasa(config-if)#nameif inside

ciscoasa(config-if)#security-level 100

ciscoasa(config-if)#no shut

Ngược lại ở đây interface outside là interface đi ra internet, mà mạng Internet rất không an toàn, do đó mức độ bảo mật bằng 0.

ciscoasa(config)#int g1/1

ciscoasa(config-if)#ip add 10.1.1.1 255.255.255.252

ciscoasa(config-if)#nameif outside

ciscoasa(config-if)#security-level 0

ciscoasa(config-if)#no shut

Kiểm tra bằng lệnh #show int ip brief

Tiếp theo ta sẽ cấu hình dịch vụ DHCP trên tường lửa ciscoasa:

ciscoasa#conf ciscoasa(config)#dhcp address 192.168.1.10-192.168.1.20 inside

ciscoasa(config)#dhcp dns 8.8.8.8

ciscoasa(config)#dhcpd option 3 ip 192.168.1.1

ciscoasa(config)#dhcpd enable inside

Sau khi cấu hình, ở PC-A và PC-B nhận được IP:

Cấu hình default route trên ciscoasa:

      ciscoasa(config)#route outside 0.0.0.0 0.0.0.0 10.1.1.2

Cấu hình NAT trên ciscoasa để PC có thể thấy Server. Đầu tiên ta tạo một network object cho mạng 192.168.1.0/24 đặt tên là INSIDE-NAT. Sau đó tiến hành NAT từ inside ra outside.

ciscoasa(config)#object network INSIDE-NET

ciscoasa(config-network-object)#subnet 192.168.1.0 255.255.255.0

ciscoasa(config-network-object)#nat (inside,outside) dynamic interface

ciscoasa(config-network-object)#exit

Tới đây vẫn chưa ping được vì chưa mở rule trên ciscoasa. Mặc định ciscoasa sẽ block ICMP. Cần cấu hình Cisco ciscoasa bằng cách tạo class-map:

ciscoasa(config)#class-map inspection_default

ciscoasa(config-cmap)#match default-inspection-traffic

ciscoasa(config-cmap)#exit

ciscoasa(config)#policy-map global_policy

ciscoasa(config-pmap)#class inspection_default

ciscoasa(config-pmap-c)#inspect icmp

ciscoasa(config-pmap-c)#inspect http

Chúc bạn thực hiện thành công. Nếu bạn có bất kỳ câu hỏi hoặc gặp khó khăn, đừng ngần ngại liên hệ với chúng tôi theo thông tin dưới đây để được hỗ trợ thêm.

CÔNG TY CỔ PHẦN DỊCH VỤ CÔNG NGHỆ DATECH

• Địa chỉ: Số 23E4 KĐT Cầu Diễn, Tổ 7, Phú Diễn, Bắc Từ Liêm, Hà Nội

• Điện thoại: 02432012368

• Hotline: 098 115 6699

• Email: info@datech.vn

• Website: https://datech.vn