Chương 10: Triển khai thiết bị bảo mật thích ứng của Cisco (ASA)

 Định cấu hình ASA để cung cấp các dịch vụ tường lửa cơ bản bằng ASDM.. Đinh Hữu Hoàng_Nguyễn Thị Thu Cúc ASA là một thiết bị tường lửa độc lập là thành phần chính của kiến trúc CiscoS

Chương 10: Triển khai thiết bị bảo mật thích ứng của Cisco (ASA)Mục tiêu

Trong chương này, bạn sẽ:

 Giải thích ASA là một tường lửa trạng thái nâng cao

 Mô tả các loại tường lửa

 Mô tả cấu hình mặc định của ASA 5505

 Triển khai cấu hình tường lửa ASA

 Định cấu hình ASA để cung cấp các dịch vụ tường lửa cơ bản bằng ASDM

 Giải thích và cấu hình các danh sách truy cập và các nhóm đối tượng trên mộtASA

 Cấu hình ASA để cung cấp các dịch vụ NAT

 Cấu hình điều khiển truy cập bằng cách sử dụng cơ sở dữ liệu cục bộ và máy chủAAA

 Mô tả cấu hình của Khung chính sách mô-đun (MPF) trên ASA

 Triển khai một VPN SSL AnyConnect và một VPN SSL không có client trên mộtASA

Tổng quan về ASA

 Loại nhánh nào thích hợp cho giải pháp tường lửa của IOS?

 Nhược điểm của giải pháp tường lửa IOS là gì?

Đinh Hữu Hoàng_Nguyễn Thị Thu Cúc

 ASA là một thiết bị tường lửa độc lập là thành phần chính của kiến trúc CiscoSecureX

 Tất cả sáu mô hình ASA cung cấp các tính năng tường lửa trạng thái tiên tiến vàchức năng VPN

 Sự khác biệt lớn nhất giữa các mô hình là lưu lượng truy cập tối đa được xử lý bởimỗi thông lượng lưu lượng truy cập tối đa của mô hình được xử lý bởi mỗi môhình và số lượng và loại giao diện

 Việc lựa chọn mô hình ASA sẽ phụ thuộc vào các yêu cầu của tổ chức, chẳng hạnnhư thông lượng tối đa, kết nối tối đa mỗi giây và ngân sách

 Phần mềm ASA kết hợp tường lửa, bộ tập trung VPN và chức năng ngăn chặn xâmnhập vào một hình ảnh phần mềm

 Trước đây, các chức năng này có sẵn trong ba thiết bị riêng biệt, mỗi thiết bị cóphần mềm và phần cứng riêng

1 PIX

2 VPN concentrator

3 IDS6

Các tính năng nâng cao khác của ASA bao gồm:

1 ASA ảo hóa

2 Sẵn sàng cao với chuyển đổi dự phòng

3 Identity firewall

4 Điều khiển kiểm soát và ngăn chặn dịch vụ

Tất cả các mô hình ASA có thể được cấu hình và quản lý bằng giao diện dòng lệnh hoặcTrình quản lý thiết bị bảo mật thích ứng (ASDM)

 Theo mặc định, ASA xử lý một giao diện bên trong được xác định là mạng tin cậy

và mọi giao diện bên ngoài được xác định là các mạng không đáng tin cậy

 Mỗi giao diện có một mức độ bảo mật liên quan

 Một ASA cung cấp giống như các tính năng ZPF / CBAC nhưng cấu hình khác rõràng từ cấu hình router ZPF của IOS

Đinh Hữu Hoàng_Nguyễn Thị Thu Cúc

 Tất cả lưu lượng được chuyển tiếp thông qua ASA được kiểm tra bằng Thuật toánbảo mật thích ứng và được phép đi qua hoặc bị loại bỏ.

 Đường dẫn quản lý phiên?

 Đường dẫn điều khiển plane?

 Kiểm tra lớp 7?

 Đường dẫn nhanh?

Đinh Hữu Hoàng_Nguyễn Thị Thu Cúc

 Hầu hết các thiết bị ASA được cài sẵn với giấy phép Cơ sở hoặc giấy phép Anninh Plus

 Để cung cấp các tính năng bổ sung cho ASA, bạn có thể mua thêm giấy phép theothời gian hoặc tùy chọn

 Việc kết hợp các giấy phép bổ sung này với các giấy phép được cài đặt sẵn sẽ tạomột giấy phép vĩnh viễn Giấy phép vĩnh viễn tạo giấy phép vĩnh viễn Giấy phépvĩnh viễn sau đó được kích hoạt bằng cách cài đặt khóa kích hoạt vĩnh viễn bằnglệnh kích hoạt

 Chỉ có thể cài đặt một khóa cấp phép vĩnh viễn và sau khi nó được cài đặt, nóđược gọi là giấy phép đang chạy

 Để xác minh thông tin giấy phép trên thiết bị ASA, hãy sử dụng phiên bản hiển thịhoặc lệnh phím kích hoạt chương trình

Các tính năng của ASA 5505

 Cisco ASA 5505 là thiết bị bảo mật đầy đủ tính năng dành cho các doanh nghiệpnhỏ, văn phòng chi nhánh và môi trường làm việc từ xa của doanh nghiệp

 Nó cung cấp một tường lửa hiệu suất cao, SSL VPN, IPsec VPN và các dịch vụmạng phong phú trong một thiết bị mô-đun, plug-and-play

Đinh Hữu Hoàng_Nguyễn Thị Thu Cúc

Cấp độ bảo mật

 Mức độ bảo mật xác định mức độ tin cậy của một giao diện Cấp độ càng cao, giaodiện càng đáng tin cậy hơn Số cấp độ bảo mật nằm trong khoảng từ 0 (khôngđáng tin cậy) đến 100 (rất đáng tin cậy)

 Mỗi giao diện hoạt động phải có tên và mức bảo mật từ 0 (thấp nhất) đến 100 (caonhất) được chỉ định

Cấp độ bảo mật giúp kiểm soát:

Triển khai ASA 5505

ASA 5505 thường được sử dụng như một thiết bị bảo mật cạnh kết nối một doanh nghiệpnhỏ với thiết bị ISP, chẳng hạn như DSL hoặc modem cáp, để truy cập Internet

Các tính năng của ASA 5510

Đinh Hữu Hoàng_Nguyễn Thị Thu Cúc

Cấu hình mặc định của ASA 5510 trở lên

Chế độ truy cập ASA

Chế độ EXEC người dùng -ciscoasa> en

Chế độ EXEC đặc quyền -ciscoasa# config t

Chế độ cấu hình chung -ciscoasa(config)#

Các chế độ cấu hình phụ khác nhau, ví dụ - ciscoasa(config-if)#

Chế độ ROMMON -ROMMON>

ASA Access Modes

IOS and ASA Commands

Không giống như ISR, ASA thực hiện như sau:

1 Thực hiện bất kỳ lệnh ASA CLI bất kể lời nhắc chế độ cấu hình hiện tại Tàiliệu IOS không được yêu cầu công nhận

2 Cung cấp một mô tả ngắn gọn và cú pháp lệnh khi trợ giúp được nhập theo saubởi lệnh

3 Ngắt hiển thị đầu ra lệnh bằng Q IOS yêu cầu sử dụng Ctrl + C (^ C)

Đinh Hữu Hoàng_Nguyễn Thị Thu Cúc

Xóa cấu hình và khởi động lại

 Cấu hình khởi động ASA có thể được xóa bằng cách sử dụng lệnh xóa và viết lại

 Lưu ý: Không giống như router IOS, ASA không nhận ra lệnh xóa cấu hình khởiđộng

 Sau khi khởi động lại, ASA sẽ hiển thị lời nhắc sau "Đặt cấu hình tường lửa ngaybây giờ thông qua các lời nhắc tương tác [có]?"

Configuration Management Settings and Services

 Configure Basic Settings

 Configure the Interfaces

Đinh Hữu Hoàng_Nguyễn Thị Thu Cúc

 Cấu hình Default Route

 Chú ý: Không giống như ISR, ASA thực hiện bất kỳ lệnh ASA CLI nào bất kể lờinhắc chế độ cấu hình hiện tại Lệnh IOS làm không cần thiết hoặc được côngnhận

 Configure Telnet Access

 Configure NTP Services

 Configure DHCP Services

Đinh Hữu Hoàng_Nguyễn Thị Thu Cúc

Giới thiệu về ASDM

 Giao diện quản lý phụ thuộc vào mô hình của ASA:

- Cisco ASA 5505 - Cổng chuyển đổi quản lý có thể là bất kỳ cổng nào, ngoạitrừ Ethernet 0/0.

- Cisco ASA 5510 trở lên - Giao diện kết nối là Management 0/0

- Lưu ý: Để loại bỏ và vô hiệu hóa dịch vụ máy chủ ASA HTTP, sử dụng lệnhcấu hình toàn cục xóa cấu hình http

ASDM Wizards

Đinh Hữu Hoàng_Nguyễn Thị Thu Cúc

Nhóm đối tượng

 Ưu điểm là khi một đối tượng được sửa đổi, thay đổi sẽ tự động được áp dụng chotất cả các quy tắc sử dụng đối tượng được chỉ định Do đó, các đối tượng giúp dễdàng duy trì cấu hình

 ASA ACL khác với IOS ACL ở chỗ chúng sử dụng mặt nạ mạng (ví dụ:255.255.255.0) thay vì mặt nạ ký tự đại diện (ví dụ: 0.0.0.255) Ngoài ra, hầu hếtASA ACL được đặt tên thay vì đánh số

Dịch vụ NAT trên ASA

 ASA hỗ trợ NAT và PAT và các địa chỉ này cũng có thể được cung cấp tĩnh hoặcđộng

Access Control on an ASA

Đinh Hữu Hoàng_Nguyễn Thị Thu Cúc

 ASA có thể xác thực tất cả các kết nối quản trị với ASA, bao gồm Telnet, SSH,giao diện điều khiển, ASDM sử dụng HTTPS và EXEC đặc quyền

 ASA có thể ủy quyền cho các mục sau:

ASA Remote-Access VPN Options

 Người dùng doanh nghiệp đang yêu cầu hỗ trợ cho thiết bị di động của họ baogồm điện thoại thông minh, máy tính bảng, máy tính xách tay và nhiều nhà sảnxuất và hệ điều hành máy tính xách tay hơn

 Cisco AnyConnect có sẵn cho các nền tảng sau:

- IOS devices (iPhone, iPad, and iPod Touch)

- Android OS (select models)

- BlackBerry–Windows Mobile 6.1

- HP webOS –HP webOS

- Nokia Symbian

Đinh Hữu Hoàng_Nguyễn Thị Thu Cúc

Clientless SSL VPN

Configuring Clientless SSL VPN

AnyConnect SSL VPN

Configuring AnyConnect SSL VPN

Đinh Hữu Hoàng_Nguyễn Thị Thu Cúc