Cấu hình ASA 5506-X với vùng DMZ (DMZ1, DMZ2)

Cấu hình ASA 5506-X với 2 mạng DMZ (DMZ1, DMZ2)

Đây cũng là một kịch bản phổ biến được tìm thấy trong nhiều mạng công ty. Chúng ta có hai phân đoạn DMZ (DMZ1 và DMZ2) chứa Máy chủ web (DMZ1) và Điểm truy cập WiFi khách (DMZ2).

Hãy xem sơ đồ mạng dưới đây.


Yêu cầu mạng:

• Mạng LAN có thể truy cập Internet, DMZ1 và DMZ2.
• DMZ1 có thể truy cập Internet nhưng không thể truy cập vào khu vực bên trong.
• DMZ2 có thể truy cập Internet nhưng không thể truy cập vào vùng bên trong.
• Điểm truy cập WiFi khách sẽ được chỉ định IP trong dải 192.168.20.0/24 và cung cấp quyền truy cập Internet cho các máy khách này.
• Máy chủ Web (192.168.10.10) có thể truy cập được từ Internet tại cổng 80.
• Giả sử rằng có 1 địa chỉ IP Public được chỉ định từ ISP (IP tĩnh). Đây là địa chỉ IP được cấu hình trên giao diện bên ngoài ASA (50.1.1.1). Do đó, Máy chủ Web sẽ có thể truy cập được bằng cách sử dụng IP công cộng tĩnh này bằng cách sử dụng “port redirection”. Lưu lượng truy cập từ Internet vào IP giao diện bên ngoài (50.1.1.1) trên cổng 80 sẽ được chuyển hướng đến IP Private của Máy chủ Web 192.168.10.10

Cấu hình (Configuration)

Bây giờ chúng ta hãy xem cấu hình cho sơ đồ ở trên:

Bước 1: Cấu hình các giao diện (Configure the Interfaces)

interface GigabitEthernet1/2
description LAN
nameif inside
security-level 100 <- Mức độ bảo mật 100 có nghĩa là giao diện đáng tin cậy nhất
ip address 10.1.1.1 255.255.255.0
no shut

interface GigabitEthernet1/1
description WAN
nameif outside
security-level 0 <- Mức độ bảo mật 0 có nghĩa là giao diện kém tin cậy nhất
ip address 50.1.1.1 255.255.255.0
no shut

interface GigabitEthernet1/3
description Web Server DMZ1
nameif DMZ1
security-level 50 <- Chọn Mức độ bảo mật trong khoảng 1-99
ip address 192.168.10.1 255.255.255.0
no shut

interface GigabitEthernet1/4
description WiFi DMZ2
nameif DMZ2
security-level 40 <- Choose Security level between 1-99
ip address 192.168.20.1 255.255.255.0
no shut

Bước 2: Cấu hình NAT Overload (Configure NAT Overload)

nat (inside,outside) after-auto source dynamic any interface
nat (inside,DMZ1) after-auto source dynamic any interface
nat (inside,DMZ2) after-auto source dynamic any interface
nat (DMZ1,outside) after-auto source dynamic any interface
nat (DMZ2,outside) after-auto source dynamic any interface

Ở trên cấu hình NAT (PAT) để có luồng lưu lượng từ mức bảo mật cao hơn đến mức bảo mật thấp hơn.

Điều này có nghĩa là mạng “bên trong” sẽ có quyền truy cập vào tất cả các mạng khác (DMZ1, DMZ2, bên ngoài). Ngoài ra, DMZ1 (cấp độ bảo mật 50) sẽ có quyền truy cập vào “bên ngoài” và đến DMZ2 (cấp độ bảo mật 40). Cuối cùng, DMZ2 sẽ chỉ có quyền truy cập vào “bên ngoài”.

Bước 3: Cấu hình NAT tĩnh (chuyển hướng cổng) và ACL để truy cập Máy chủ Web (Configure static NAT (port redirection) and ACL to access Web Server)

object network WEB_SRV <- Xem lưu ý 1
host 192.168.10.10
nat (DMZ1,outside) static interface service tcp www www

Lưu ý 1:
Mọi lưu lượng truy cập vào giao diện bên ngoài (50.1.1.1) trên cổng 80 sẽ được chuyển hướng đến 192.168.10.10 trên cổng 80.
Nếu bạn có một IP tĩnh dành riêng cho Máy chủ Web (giả sử 50.1.1.3 dành riêng cho Máy chủ Web), NAT tĩnh sẽ là:

object network WEB_SRV
host 192.168.10.10
nat (DMZ1,outside) static 50.1.1.3 service tcp www www

access-list OUT_IN extended permit tcp any host 192.168.10.10 eq www <- Xem lưu ý 2
access-group OUT_IN in interface outside

Lưu ý 2:
NAT tĩnh được cấu hình trước đó không đủ để cho phép truy cập vào Máy chủ Web. Một ACL cũng cần thiết trên giao diện bên ngoài. ACL ở trên cho phép cổng TCP 80 từ nguồn “bất kỳ” truy cập vào IP của Máy chủ Web (192.168.10.10).

Bước 4: Cấu hình tuyến đường mặc định tới ISP (Configure default route towards the ISP)

route outside 0.0.0.0 0.0.0.0 50.1.1.2

Chúc các bạn thành công!

Chi tiết xem tại:
- Tìm hiểu Cisco ASA 5506-X, cấu hình Firewall Cisco ASA 5506-X với mô hình thực tế