TRƯỜNG CAO ĐẲNG CAO THẮNG CHƯƠNG 7: FIREWALL ASA GV: LƯƠNG MINH HUẤN NỘI DUNG I Giới thiệu firewall – firewall ASA II Chức firewall – firewall ASA III Các mơ hình triển khai ASA IV.Cấu hình ASA V Định tuyến ASA VI.ACL ASA VII.NAT ASA VIII.Một số dịch vụ ASA I GIỚI THIỆU FIREWALL – ASA ➢Firewall gì? ➢FireWall kỹ thuật tích hợp vào hệ thống mạng để chống lại truy cập trái phép nhằm bảo vệ nguồn thông tin nội hạn chế xâm nhập vào hệ thông số thông tin khác không mong muốn ➢Internet FireWall tập hợp thiết bị (bao gồm phần cứng phần mềm) mạng tổ chức, công ty, hay quốc gia (Intranet) Internet I GIỚI THIỆU FIREWALL – ASA ➢FireWall định dịch vụ từ bên phép truy cập từ bên ngoài, người từ bên phép truy cập đến dịch vụ bên trong, dịch vụ bên phép truy cập người bên I GIỚI THIỆU FIREWALL – ASA ➢FireWall bảo vệ chống lại cơng từ bên ngồi ▪ Tấn công trực tiếp ▪ Nghe trộm ▪ Giả mạo địa IP ▪ Vơ hiệu hố chức hệ thống (deny service) I GIỚI THIỆU FIREWALL – ASA I GIỚI THIỆU FIREWALL – ASA ➢Firewall ASA Cisco ASA viết tắt Adaptive Security Appliance ➢Firewall Cisco ASA thiết bị bảo mật kết hợp tường lửa, chống virus, phòng chống xâm nhập khả mạng riêng ảo (VPN) Nó cung cấp khả phòng thủ đe dọa chủ động ngăn chặn công trước chúng lây lan qua mạng I GIỚI THIỆU FIREWALL – ASA ➢ ASA có giá trị linh hoạt chỗ sử dụng giải pháp bảo mật cho mạng nhỏ lớn ➢ Ngoài việc tường lửa, Cisco ASA thực điều sau nữa: ▪ Chống vi-rút ▪ Chống thư rác ▪ Công cụ IDS / IPS ▪ Thiết bị VPN ▪ Thiết bị SSL ▪ Kiểm tra nội dung I GIỚI THIỆU FIREWALL – ASA ➢Các dòng Cisco ASA ➢ASA 5505: model nhỏ dòng sản phẩm ASA, kích thước vật lý hiệu suất Nó thiết kết dành cho văn phịng nhỏ văn phịng gia đình Đối với doanh nghiệp lớn hơn, ASA 5505 thường sử dụng để hỗ trợ cho nhân viên làm việc từ xa Có cổng FastEthernet ASA 5505, tất kết nối đến switch nội I GIỚI THIỆU FIREWALL – ASA VII NAT ASA VIII MỘT SỐ DỊCH VỤ TRÊN ASA ➢Telnet ➢SSH ➢DHCP VIII.1 TELNET ➢Telnet chương trình cho phép kết nối đăng nhập vào máy tính xa (trong LAN, internet) ➢Khi kết nối thành cơng, máy tính thực chức trạm trung gian để gửi u cầu đến máy tính xa ➢Có thể dùng máy tính để truy cập thơng tin, thực thi chương trình sử dụng số tài nguyên khác máy tính xa VIII.1 TELNET ➢Để thực cấu hình cho phép Client Telnet đến ASA ta thực câu lệnh ▪ Trong đó: IP: 192.168.1.0: địa đường Client quyền telnet, 255.255.255.255: subnet mask, ▪ Inside: Các máy thuộc Zone Inside có quyền thực Telnet.pas ▪ Telnet Timeout 1: Cấu hình khoảng thời gian Timeout cho Telnet phút ▪ passwd : Cấu hình Password telnet ▪ enable password: Cấu hình enable Password VIII.1 TELNET ➢Để thực telnet, Client mở CMD thực thi CLI: telnet 192.168.1.1 ➢Thực nhập Password Enable Password VIII.1 TELNET ➢Để kiểm tra máy tinh thực telnet vào máy tinh, dùng lệnh “who” ➢Để ngắt kết nối phiên telnet ngày lập tức, dùng command “kill” VIII.2 SSH ➢SSH chương trình tương tác máy chủ máy khách có sử dụng chế mã hoá đủ mạnh nhằm ngăn chặn tượng nghe trộm, đánh cắp thông tin đường truyền ▪ Yêu cầu 1: tạo rsa key cho thiết bị asa ▪ Yêu cầu 2: máy ssh tới asa phải cài đặt chương trình hỗ trợ ssh VIII.2 SSH ➢B1: Tạo khóa RSA với độ dài 1024 bit: ▪ Tiếp theo kiểm tra key rsa sinh ra: VIII.2 SSH ➢B2: Cấu hình Username, Password đăng nhập sử dụng SSH ➢B3: Như trên, cấu hình cho phép IP miền Inside phép SSH VIII.2 SSH ➢B4: Cấu hình xác thực SSH sử dụng Username, Password local ➢B5: Cấu hình SSHv2: VIII.2 SSH ➢Để thực SSH đến Firewall ta sử dụng phần mềm Putty, SecureCRT ➢Kiểm tra: VIII.3 DHCP ➢Bước 1: Khai báo dãy ip cần cấp ➢Bước 2: khai báo DNS server ➢Bước 3: khai báo WIN server (nếu có) VIII.3 DHCP ➢Bước 4: Khai báo thời gian hết hạn sử dụng địa IP từ đến 1,048,575 Mặc định 3600 giây ➢Bước 5: Khai báo domain name ➢Bước 6: Khai báo default gateway VIII.3 DHCP ➢Bước 7: Bật dịch vụ dhcpd VIII.3 DHCP ➢DHCP RELAY AGENT ➢Bước 1: khai báo địa DHCP server ➢Bước 2: enable chức dhcpreplay ➢Bước 3: ... giá trị linh hoạt chỗ sử dụng giải pháp bảo mật cho mạng nhỏ lớn ➢ Ngồi việc tường lửa, Cisco ASA thực điều sau nữa: ▪ Chống vi-rút ▪ Chống thư rác ▪ Công cụ IDS / IPS ▪ Thiết bị VPN ▪ Thiết bị. .. thống mạng để chống lại truy cập trái phép nhằm bảo vệ nguồn thông tin nội hạn chế xâm nhập vào hệ thông số thông tin khác không mong muốn ➢Internet FireWall tập hợp thiết bị (bao gồm phần cứng phần. .. thống mạng cục ta Nếu không cấu định tuyến động tốt có khả thơng tin quảng bá mạng cục bên - mạng không tin tưởng V ĐỊNH TUYẾN ASA ➢Tuy nhiên có vài trường hợp mà định tuyến tĩnh cần thiết ➢Như