Tìm hiểu Cisco ASA 5506-X, hướng dẫn cấu hình Firewall Cisco ASA 5506-X với 2 mô hình thực tế

Tiếp theo sự thành công Cisco ASA 5505. Cisco đã cho ra dòng Model thay thế là ASA 5506-X mới.

Thông số kỹ thuật và tính năng của Cisco Firewall ASA 5506-X

Các thông số kỹ thuật và tính năng quan trọng:

• Nó có hai mẫu chính: 5506-X bình thường và 5506W-X có điểm truy cập không dây tích hợp (băng tần a / b / g / n).
• Nó có hai giấy phép phần mềm, Giấy phép Cơ sở (Base License) và Giấy phép Security Plus.
• 8x1GE Network Interfaces (đây là các cổng định tuyến, không phải cổng chuyển mạch như model 5505 trước đây).
• 1 Giao diện Quản lý (dành cho mô-đun FirePOWER).
• Thông lượng hiệu suất thay đổi tùy theo dịch vụ nào được kích hoạt. 300 Mbps cho chỉ các dịch vụ tường lửa, 250 Mbps cho Kiểm soát và Hiển thị ứng dụng (AVC), 125 Mbps cho Kiểm soát Ứng dụng (AVC) và IPS / NGIPS, 100 Mbps cho thông lượng VPN.
• Tối đa 20.000 phiên đồng thời với Giấy phép cơ sở hoặc 50.000 phiên với Giấy phép Sec.Plus.
• 5 VLAN với Giấy phép Cơ sở và 30 VLAN với Giấy phép Security Plus.
• 10 IPSEC VPN Site-to-Site (Giấy phép Cơ sở) và 50 VPN với Sec Plus.
• Máy nội bộ không giới hạn (ngay cả với Giấy phép cơ sở).
• Khả năng hoạt động Active/Standby (chỉ với Giấy phép Security Plus).
• Đi kèm với Dịch vụ FirePOWER (Khả năng hiển thị và Kiểm soát ứng dụng - AVC) hỗ trợ hơn 3000 kiểm soát lớp ứng dụng và dựa trên rủi ro.
• Với chi phí đăng ký bổ sung, bạn cũng có thể có IPS thế hệ tiếp theo, Bảo vệ chống phần mềm độc hại nâng cao và lọc URL.

Cách kết nối ASA 5506-X vào mạng và cấu hình ban đầu

ASA 5506-X, có các giao diện mạng 8x1G và một giao diện Quản lý (Management 1/1) thuộc về mô-đun FirePOWER. Bắt đầu cấu hình ban đầu, hãy kết nối thiết bị như sau:

​

Lưu ý:

• Giao diện Management 1/1 thuộc về mô-đun FirePOWER riêng biệt và KHÔNG thuộc về ASA.

• KHÔNG cấu hình địa chỉ IP cho giao diện Quản lý 1/1 bên trong cấu hình ASA.

• Địa chỉ IP “bên trong” mặc định để quản lý ASA là 192.168.1.1 (giao diện GE1 / 2).

• Bạn phải cấu hình địa chỉ IP cho Management1 / 1 trong mạng con 192.168.1.x (ví dụ: 192.168.1.2) bên trong mô-đun FirePOWER (hoặc thông qua ASDM GUI như chúng ta sẽ thấy bên dưới).

• Bạn phải kết nối cả hai giao diện GE1 / 2 (bên trong) và Management1 / 1 trên cùng một Switch LAN Layer2.

• Giao diện bên ngoài (GE1 / 1) phải được kết nối với thiết bị WAN (ISP) và sẽ nhận địa chỉ IP động theo mặc định (thông qua DHCP).

• Cách nhanh nhất để quản lý thiết bị ban đầu là sử dụng ASDM. Khởi chạy trình duyệt web trên PC quản lý của bạn và truy cập https://192.168.1.1/admin. Chọn “Startup Wizard”, để trống trường tên người dùng / mật khẩu và nhấn OK.

• Khi trình hướng dẫn đưa bạn đến cài đặt mạng FirePOWER, hãy nhập địa chỉ IP 192.168.1.2, Mask 255.255.255.0 và Gateway 192.168.1.1 (xem bên dưới).

​

Sau khi bạn hoàn thành những việc trên, hãy thoát khỏi ứng dụng ASDM và sau đó khởi chạy lại nó. Lần này, bạn sẽ thấy các tab FirePOWER mới trên trang chủ GUI, có nghĩa là bây giờ bạn cũng có thể cấu hình cài đặt FirePOWER ngoài cài đặt ASA.

Tiếp theo chúng ta sẽ tìm hiểu và cấu hình 2 sơ đồ mạng thực tếvà thường gặp

 

Hướng dẫn cấu hình cơ bản Firewall Cisco ASA 5506-X

Trong phần này, sẽ mô tả cách thay đổi cấu hình mặc định này cho phù hợp với cấu trúc mạng.
ASA 5506-X có cấu hình mặc định sẵn có. Cấu hình mặc định này có các đặc điểm sau:

• Mạng LAN nội bộ: 192.168.1.0/24
• Mạng LAN nội bộ có thể truy cập Internet.
• Giao diện WAN (outside) (GE1 / 1) được cấu hình để nhận địa chỉ IP từ DHCP.
• Giao diện LAN (inside) (GE1 / 2) có địa chỉ IP 192.168.1.1
• DHCP được kích hoạt để cung cấp địa chỉ IP cho các máy chủ nội bộ.

Ta sẽ kết nối vào ASA 5506-X và thay đổi cấu hình mặc định theo sơ đồ mạng cho cho cấu hình cơ bản như sau:

​

• Internal user LAN: 10.1.1.0/24
• ASA inside IP: 10.1.1.1
• ASA outside IP (static): 50.1.1.1
• NAT: Dynamic overload (PAT) using the outside interface.

Bước 1: Cấu hình giao diện LAN nội bộ (Configure the Internal LAN interface)

interface GigabitEthernet1/2
description LAN
nameif inside
security-level 100 <-- Mức độ bảo mật 100 có nghĩa là đây là giao diện đáng tin cậy nhất
ip address 10.1.1.1 255.255.255.0
no shut

Bước 2: Cấu hình giao diện WAN bên ngoài (Configure the Outside WAN interface)

interface GigabitEthernet1/1
description WAN
nameif outside
security-level 0 <- Mức độ bảo mật 0 có nghĩa là đây là giao diện kém tin cậy nhất
ip address 50.1.1.1 255.255.255.0 <- Giả sử chúng ta có một IP công cộng tĩnh từ ISP
no shut

Ghi chú:
Trong trường hợp giao diện bên ngoài sẽ nhận địa chỉ IP động qua DHCP, hãy sử dụng lệnh này:
ip address dhcp setroute

Bước 3: Cấu hình PAT bằng giao diện bên ngoài (Configure PAT using the outside interface)

nat (inside,outside) source dynamic any interface <- Đối với lưu lượng đi từ bên trong ra bên ngoài, hãy sử dụng NAT động trên giao diện (các IP nguồn sẽ được thay thế bằng IP giao diện bên ngoài)

Bước 4: Định cấu hình tuyến đường mặc định tới ISP (Configure default route towards the ISP)

route outside 0.0.0.0 0.0.0.0 50.1.1.2

Các bước tùy Chọn

Bước 5: Gán địa chỉ IP qua DHCP cho các máy nội bộ (Assign IP addresses via DHCP to internal hosts)

Cấu hình ASA để hoạt động như máy chủ DHCP và chỉ định địa chỉ IP động cho các máy nội bộ.

dhcpd address 10.1.1.10-10.1.1.100 inside <- ASA sẽ chỉ định các IP từ 10.1.1.10-100
dhcpd dns 208.67.220.220 208.67.222.222 <- ASA sẽ gán địa chỉ DNS servers
dhcpd enable inside

Bước 6: Bật quyền truy cập SSH để quản lý (Enable SSH access for management)

hostname ASA5506
crypto key generate rsa modulus 1024
ssh 10.1.1.5 255.255.255.255 inside <- Chỉ cho phép truy cập SSH từ bên trong máy chủ 10.1.1.5
aaa authentication ssh console LOCAL <- Bật xác thực cục bộ cho SSH
username admin password [STRONGPASS] privilege 15
enable password Gh4w7$-s39fg#(!

Bước 7: Áp dụng ACL trên giao diện bên ngoài (Apply ACL on outside)

Áp dụng ACL sau trên giao diện bên ngoài. Nó có hai mục đích: Đầu tiên là cho phép các gói trả lời ICMP quay trở lại (khi ping từ trong ra ngoài) và mục đích thứ hai là ghi lại bất kỳ gói nào bị từ chối xâm nhập vào tường lửa từ bên ngoài (cho mục đích cảnh báo và bảo mật).

access-list OUTSIDE-IN extended permit icmp any any echo-reply
access-list OUTSIDE-IN extended deny ip any any log
access-group OUTSIDE-IN in interface outside

Tới đây chúng ta đã hoàn thành cấu hình cơ bản của Firewall Cisco ASA 5506-X.

 

Cấu hình Firewall Cisco ASA 5506-X với 2 mạng DMZ (DMZ1, DMZ2)

Đây cũng là một kịch bản phổ biến được tìm thấy trong nhiều mạng công ty. Chúng ta có hai phân đoạn DMZ (DMZ1 và DMZ2) chứa Máy chủ web (DMZ1) và Điểm truy cập WiFi khách (DMZ2).

Hãy xem sơ đồ mạng dưới đây.

​

Yêu cầu mạng:

• Mạng LAN có thể truy cập Internet, DMZ1 và DMZ2.
• DMZ1 có thể truy cập Internet nhưng không thể truy cập vào khu vực bên trong.
• DMZ2 có thể truy cập Internet nhưng không thể truy cập vào vùng bên trong.
• Điểm truy cập WiFi khách sẽ được chỉ định IP trong dải 192.168.20.0/24 và cung cấp quyền truy cập Internet cho các máy khách này.
• Máy chủ Web (192.168.10.10) có thể truy cập được từ Internet tại cổng 80.
• Giả sử rằng có 1 địa chỉ IP Public được chỉ định từ ISP (IP tĩnh). Đây là địa chỉ IP được cấu hình trên giao diện bên ngoài ASA (50.1.1.1). Do đó, Máy chủ Web sẽ có thể truy cập được bằng cách sử dụng IP công cộng tĩnh này bằng cách sử dụng “port redirection”. Lưu lượng truy cập từ Internet vào IP giao diện bên ngoài (50.1.1.1) trên cổng 80 sẽ được chuyển hướng đến IP Private của Máy chủ Web 192.168.10.10

Cấu hình (Configuration)

Bây giờ chúng ta hãy xem cấu hình cho sơ đồ ở trên:

Bước 1: Cấu hình các giao diện (Configure the Interfaces)

interface GigabitEthernet1/2
description LAN
nameif inside
security-level 100 <- Mức độ bảo mật 100 có nghĩa là giao diện đáng tin cậy nhất
ip address 10.1.1.1 255.255.255.0
no shut

interface GigabitEthernet1/1
description WAN
nameif outside
security-level 0 <- Mức độ bảo mật 0 có nghĩa là giao diện kém tin cậy nhất
ip address 50.1.1.1 255.255.255.0
no shut

interface GigabitEthernet1/3
description Web Server DMZ1
nameif DMZ1
security-level 50 <- Chọn Mức độ bảo mật trong khoảng 1-99
ip address 192.168.10.1 255.255.255.0
no shut

interface GigabitEthernet1/4
description WiFi DMZ2
nameif DMZ2
security-level 40 <- Choose Security level between 1-99
ip address 192.168.20.1 255.255.255.0
no shut

Bước 2: Cấu hình NAT Overload (Configure NAT Overload)

nat (inside,outside) after-auto source dynamic any interface
nat (inside,DMZ1) after-auto source dynamic any interface
nat (inside,DMZ2) after-auto source dynamic any interface
nat (DMZ1,outside) after-auto source dynamic any interface
nat (DMZ2,outside) after-auto source dynamic any interface

Ở trên cấu hình NAT (PAT) để có luồng lưu lượng từ mức bảo mật cao hơn đến mức bảo mật thấp hơn.

Điều này có nghĩa là mạng “bên trong” sẽ có quyền truy cập vào tất cả các mạng khác (DMZ1, DMZ2, bên ngoài). Ngoài ra, DMZ1 (cấp độ bảo mật 50) sẽ có quyền truy cập vào “bên ngoài” và đến DMZ2 (cấp độ bảo mật 40). Cuối cùng, DMZ2 sẽ chỉ có quyền truy cập vào “bên ngoài”.

Bước 3: Cấu hình NAT tĩnh (chuyển hướng cổng) và ACL để truy cập Máy chủ Web (Configure static NAT (port redirection) and ACL to access Web Server)

object network WEB_SRV <- Xem lưu ý 1
host 192.168.10.10
nat (DMZ1,outside) static interface service tcp www www

Lưu ý 1:
Mọi lưu lượng truy cập vào giao diện bên ngoài (50.1.1.1) trên cổng 80 sẽ được chuyển hướng đến 192.168.10.10 trên cổng 80.
Nếu bạn có một IP tĩnh dành riêng cho Máy chủ Web (giả sử 50.1.1.3 dành riêng cho Máy chủ Web), NAT tĩnh sẽ là:

object network WEB_SRV
host 192.168.10.10
nat (DMZ1,outside) static 50.1.1.3 service tcp www www

access-list OUT_IN extended permit tcp any host 192.168.10.10 eq www <- Xem lưu ý 2
access-group OUT_IN in interface outside

Lưu ý 2:
NAT tĩnh được cấu hình trước đó không đủ để cho phép truy cập vào Máy chủ Web. Một ACL cũng cần thiết trên giao diện bên ngoài. ACL ở trên cho phép cổng TCP 80 từ nguồn “bất kỳ” truy cập vào IP của Máy chủ Web (192.168.10.10).

Bước 4: Cấu hình tuyến đường mặc định tới ISP (Configure default route towards the ISP)

route outside 0.0.0.0 0.0.0.0 50.1.1.2

Chúc các bạn thành công!