Cấu hình tường lửa Firewall Cisco ASA để cho phép truy cập từ xa (RDP) từ Internet

Một kịch bản rất phổ biến cho các mạng nhỏ là có Cisco ASA làm tường lửa biên kết nối mạng LAN với Internet.

Quản trị viên yêu cầu cho phép truy cập Máy tính Từ xa - Remote Desktop (RDP) từ Internet đến máy chủ Windows nội bộ (Bên ngoài đến Bên trong).

Điều này có thể rất hữu ích cho những người dùng muốn làm việc tại nhà (nhưng không nên khuyến khích). Nếu bạn phải thực hiện một tình huống như vậy, bạn nên đặt máy chủ từ xa trong một DMZ chứ không phải trực tiếp trong mạng nội bộ.

Sơ đồ mạng:

​

Lưu ý: Một lần nữa, không nên sử dụng sơ đồ hiển thị ở trên. Các máy Remote Desktop rất dễ bị tấn công, đặc biệt là các cuộc tấn công bằng mật khẩu brute-force.

Trong trường hợp đặc biệt, nếu bạn bị "buộc" phải thực hiện một tình huống như vậy, dưới đây là cấu hình:

Giả sử rằng ASA nhận địa chỉ IP động từ ISP (thông qua giao thức DHCP). Vì vậy IP bên ngoài của ASA không cố định.

Do đó, chúng ta sẽ cấu hình NAT tĩnh với chuyển hướng cổng (ports) bằng giao diện bên ngoài.

Cấu hình để cho phép RDP từ bên ngoài trên Cisco ASA

Sau đây là cấu hình cho các phiên bản ASA trước 8.3 và cả ASA 8.3.

Phiên bản ASA trước 8.3 (cũ)

ciscoasa-tgm(config)# static (inside , outside) tcp interface 3389 192.168.1.10 3389 netmask 255.255.255.255
ciscoasa-tgm(config)# access-list OUTSIDE-IN extended permit tcp any any eq 3389
ciscoasa-tgm(config)# access-group OUTSIDE-IN in interface outside

ASA phiên bản 8.3 trở lên (mới)

ciscoasa-tgm(config)# object network RDP_static
ciscoasa-tgm(config-network-object)# host 192.168.1.10
ciscoasa-tgm(config-network-object)# nat (inside , outside) static interface service tcp 3389 3389
ciscoasa-tgm(config)# access-list OUTSIDE-IN extended permit tcp any host 192.168.1.10 eq 3389
ciscoasa-tgm(config)# access-group OUTSIDE-IN in interface outside

Chúc các bạn thành công!