Cấu hình ảo hóa Firewal Cisco ASA (Cisco ASA Virtual Firewall Configuration)

Ảo hóa thiết bị là một trong những chủ đề phổ biến nhất trong ngành CNTT ngày nay và Cisco đã và đang hỗ trợ khái niệm này trong phần lớn các thiết bị mạng của mình.

Trong bài này chúng ta sẽ nói về ảo hóa Cisco ASA, có nghĩa là nhiều tường lửa ảo trên cùng một thiết bị ASA vật lý. ASA ảo còn được gọi là “Security Context”.

Để cho phép tạo virtual contexts trên thiết bị ASA, chúng ta phải chuyển sang chế độ Nhiều ngữ cảnh (Multiple Context mode). Trong chế độ này, một số tính năng không khả dụng, chẳng hạn như Định tuyến động, IPSEC và SSL VPN, Multicast và Phát hiện mối đe dọa. Chúng ta hãy thảo luận một chút về chế độ nhiều ngữ cảnh (multiple context mode) được khuyến khích và khi nào thì không.

Khi nào bạn muốn sử dụng nhiều ngữ cảnh bảo mật (multiple security contexts)?

● Nếu bạn muốn sử dụng tính năng chuyển đổi dự phòng active/active. Hãy nhớ rằng với chuyển đổi dự phòng active/active, bạn không nên sử dụng hơn một nửa băng thông khả dụng.

● Nếu bạn là ISP và cần cung cấp bối cảnh bảo mật khác nhau cho từng khách hàng.

● Nếu bạn cần cung cấp các chính sách bảo mật khác nhau cho các phòng ban, người dùng hoặc nhà cung cấp khác nhau và cần tạo ngữ cảnh riêng cho từng bộ phận.

● Nếu bạn muốn giảm yêu cầu phần cứng bằng cách kết hợp chức năng của nhiều tường lửa thành một.

Khi nào bạn không nên sử dụng nhiều ngữ cảnh bảo mật (multiple security contexts)?

● Nếu bạn cần cung cấp các dịch vụ VPN như truy cập từ xa hoặc đường hầm VPN giữa các trang.

● Nếu bạn cần sử dụng các giao thức định tuyến động. Với nhiều chế độ ngữ cảnh, bạn chỉ có thể sử dụng các tuyến tĩnh.

● Nếu bạn cần sử dụng QoS.

● Nếu bạn cần hỗ trợ định tuyến đa hướng.

● Nếu bạn cần cung cấp tính năng Phát hiện mối đe dọa.

Bây giờ chúng ta hãy xem xét một ví dụ về cách các Contexts được định cấu hình. Trong tình huống trong cấu trúc liên kết như bên dưới, chúng ta có một thiết bị tường lửa Firewall Cisco ASA và hãy tạo hai ngữ cảnh cho hai khách hàng và một ngữ cảnh quản trị để quản lý thiết bị ASA.

Cấu hình ảo hóa Cisco ASA (Khung cảnh bảo mật)

Physical Topology Diagram:

​

Logical Topology Diagram:

​

Thiết bị được sử dụng trong LAB này: ASA 5520 – Catalyst 2960

Trước khi bắt đầu cấu hình, hãy kiểm tra xem nó hoạt động ở chế độ Single context mode hay multiple context mode. Như đã nêu, thiết bị Firewal Cisco ASA phải ở chế độ multiple context mode để tạo Ảo hóa.

! Xác minh chế độ vận hành ASA.

asa # show mode
Security context mode: single

! bật nhiều chế độ, để chuyển sang Chế độ này, cần khởi động lại.

asa(config)#mode multiple

Sau đó, ASA sẽ khởi động lại

WARNING: This command will change the behavior of the device
WARNING: This command will initiate a Reboot
Proceed with change mode? [confirm] Convert the system configuration?[confirm] !
The old running configuration file will be written to flash
The admin context configuration will be written to flash
The new running configuration file was written to flash
Security context mode: multiple
***
*** — SHUTDOWN NOW —
***
*** Message to all terminals:
***
*** change mode

Rebooting….
Booting system, please wait…

! Sau khi khởi động lại xác minh Chế độ hoạt động ASA

asa# show mode
Security context mode: multiple

Sau khi khởi động lại, hãy bắt đầu cấu hình Contexts. Đầu tiên hãy định cấu hình ngữ cảnh quản trị.

! Định cấu hình ngữ cảnh quản trị viên
asa(config)# admin-context admin
asa(config)# context admin
asa(config-ctx)# allocate-interface Management0/0
asa(config-ctx)# config-url disk0:/admin.cfg

! Định cấu hình các giao diện phụ cho Customer1

interface GigabitEthernet0/1.11
vlan 11
interface GigabitEthernet0/0.21
vlan 21

! Định cấu hình các giao diện phụ cho Customer2
interface GigabitEthernet0/1.12
vlan 12
interface GigabitEthernet0/0.22
vlan 22

Bây giờ chúng ta bắt đầu tạo bối cảnh cho Khách hàng-1 và Khách hàng-2 và phân bổ các giao diện.

! Định cấu hình bối cảnh Customer1 được hiển thị dưới dạng C1 trong sơ đồ.
asa(config)# context c1
asa(config-ctx)# allocate-interface gigabitethernet0/0.21
asa(config-ctx)# allocate-interface gigabitethernet0/1.11
asa(config-ctx)# config-url disk0:/c1.cfg

! Định cấu hình ngữ cảnh Customer2 được hiển thị dưới dạng C2 trong sơ đồ.
asa(config)# context c2
asa(config-ctx)# allocate-interface gigabitethernet0/0.22
asa(config-ctx)# allocate-interface gigabitethernet0/1.12
asa(config-ctx)# config-url disk0:/c2.cfg

Hãy xem xét việc chuyển đổi giữa các Contexts. Chúng ta có thể chuyển sang bất kỳ ngữ cảnh nào từ ngữ cảnh quản trị, nhưng chúng tôi không thể chuyển từ ngữ cảnh Khách hàng sang bất kỳ đâu.

! Hãy đăng nhập vào ngữ cảnh của Customer1. Cú pháp của lệnh như sau:
changeto context <context name>

asa#changeto context c1

! Hãy chuyển sang chế độ cấu hình hệ thống. Chuyển sang chế độ này chỉ khả dụng từ Ngữ cảnh quản trị. Trong chế độ cấu hình hệ thống Các khung cảnh được tạo và tài nguyên được phân bổ.

asa#changeto system

Chúc các bạn thành công!