Cấu hình cơ bản tường lửa Firewall Cisco ASA bằng dòng lệnh (CLI)

Hướng dẫn cấu hình cơ bản Firewall Cisco ASA 5506-X bằng dòng lệnh Command-Line Interface (CLI)

Cisco ASA 5506 Firewall là mô hình nhỏ nhất trong loạt thiết bị phần cứng 5500 mới của Cisco. Mặc dù mô hình này phù hợp cho các doanh nghiệp nhỏ, văn phòng chi nhánh, khả năng bảo mật tường lửa của nó cũng giống như các mô hình lớn nhất (5515, 5525, 5545, v.v.).

Công nghệ Bảo mật thích ứng của tường lửa ASA cung cấp khả năng bảo vệ tường lửa vững chắc và đáng tin cậy, bảo mật nhận biết ứng dụng nâng cao, bảo vệ chống tấn công từ chối dịch vụ và hơn thế nữa.

Hơn nữa, hiệu suất của thiết bị ASA 5506 hỗ trợ thông lượng tường lửa 150Mbps và 4000 kết nối tường lửa mỗi giây.

Trong bài viết sẽ giải thích các bước cấu hình cơ bản cần thiết để thiết lập tường lửa Cisco 5505 ASA để kết nối một mạng nhỏ với Internet.

Giả định rằng ISP đã chỉ định một địa chỉ IP công cộng tĩnh (ví dụ: 200.200.200.1) và phạm vi mạng nội bộ là 192.168.1.0/24.

Chúng ta sẽ sử dụng dịch địa chỉ cổng (PAT) để dịch các địa chỉ IP nội bộ sang địa chỉ công cộng của giao diện bên ngoài.

Sự khác biệt của mô hình 5506 so với các mô hình ASA lớn hơn là nó có bộ chuyển mạch 8 cổng 10/100 chỉ hoạt động như Lớp 2.

Có nghĩa là, bạn không thể cấu hình các cổng vật lý như các cổng Lớp 3, thay vào đó bạn phải tạo các Vlan giao diện và gán các giao diện Lớp 2 trong mỗi VLAN.

Theo mặc định, giao diện Ethernet0 / 0 được gán cho VLAN 2 và giao diện bên ngoài của nó (giao diện kết nối với Internet) và 7 giao diện khác (Ethernet0 / 1 đến 0/7) được gán mặc định cho VLAN 1 và được được sử dụng để kết nối với mạng nội bộ.

Hãy xem thiết lập cấu hình cơ bản của các bước quan trọng nhất mà bạn cần định cấu hình theo Sơ đồ dưới đây.


Lưu ý: theo sơ đồ rằng cổng Ethernet0 / 0 kết nối với Internet và cổng Ethernet0 / 1 đến 7 kết nối với máy chủ nội bộ (máy tính PC, v.v.).

Bước 1: Định cấu hình giao diện nội bộ vlan

ASA5506-TGM(config)# interface Vlan 1
ASA5506-TGM(config-if)# nameif inside
ASA5506-TGM(config-if)# security-level 100
ASA5506-TGM(config-if)# ip address 192.168.1.1 255.255.255.0
ASA5506-TGM(config-if)# no shut

Bước 2: Định cấu hình vlan giao diện bên ngoài (kết nối với Internet)

ASA5506-TGM(config)# interface Vlan 2
ASA5506-TGM(config-if)# nameif outside
ASA5506-TGM(config-if)# security-level 0
ASA5506-TGM(config-if)# ip address 200.200.200.1 255.255.255.0
ASA5506-TGM(config-if)# no shut

Bước 3: Gán Ethernet 0/0 cho Vlan 2

ASA5506-TGM(config)# interface Ethernet0/0
ASA5506-TGM(config-if)# switchport access vlan 2
ASA5506-TGM(config-if)# no shut

Bước 4: Bật các giao diện với lệnh no shut

ASA5506-TGM(config)# interface Ethernet0/1
ASA5506-TGM(config-if)# no shut
...
ASA5506-TGM(config)# interface Ethernet0/7
ASA5506-TGM(config-if)# no shut

Note: Làm tương tự cho Ethernet0/1 đến Ethernet0/7.

Bước 5: Định cấu hình PAT trên giao diện bên ngoài

ASA5506-TGM(config)# global (outside) 1 interface
ASA5506-TGM(config)# nat (inside) 1 0.0.0.0 0.0.0.0

Với Cisco ASA phiên bản 8.3 trở lên. Lệnh "global" không còn được hỗ trợ. NAT (tĩnh và động) và PAT được cấu hình dưới các đối tượng mạng. Cấu hình PAT bên dưới dành cho ASA 8.3 trở lên:

ASA5506-TGM(config)#object network obj_any
ASA5506-TGM(config)#subnet 0.0.0.0 0.0.0.0
ASA5506-TGM(config)#nat (inside,outside) dynamic interface

Bước 6: Định cấu hình tuyến đường mặc định tới ISP (giả sử cổng mặc định là 200.200.200.2)

ASA5506-TGM(config)#(config)# route outside 0.0.0.0 0.0.0.0 200.200.200.2 1

Các bước trên là các bước hoàn toàn cần thiết bạn cần cấu hình để thiết bị ASA5506-X hoạt động. Tất nhiên, có nhiều chi tiết cấu hình hơn mà bạn cần triển khai để nâng cao tính bảo mật và chức năng của thiết bị, chẳng hạn như Danh sách kiểm soát truy cập (ACL), NAT tĩnh, DHCP, vùng DMZ, xác thực, v.v.

Chúc các bạn thực hiện thành công!

Chi tiết xem thêm tại:

- Hướng dẫn cấu hình cơ bản tường lửa Firewall Cisco ASA