CÁC LỆNH CẤU HÌNH CƠ BẢN

Có 6 lệnh cấu hình cơ bản cho ASA/PIX Firewall:

Nameif – Gán tên đến mỗi giao diện mạng vành đai và chỉ định mức an ninh cho nó Interface – Cấu hình kiểu và khả năng của mỗi giao diện vành đai

Ip address – gán một địa chỉ ip cho mỗi cổng

Nat – che dấu địa chỉ trên mạng inside từ mạng outside

Global – Che dấu địa chỉ IP trên mạng inside từ mạng outside sử dụng một pool (một dải địa chỉ public) của địa chỉ IP

Route – định nghĩa một tuyến đường tĩnh hoặc tuyến đường mặc định cho một interface.

3.2.1. Lệnh nameif

Lệnh nameif gán một tên đến mỗi giao diện vành đai trên ASA/PIX Firewall và chỉ định mức an ninh cho nó (ngoại trừ giao diện inside và outside vì nó được mặc định). Cú pháp của lệnh nameif như dưới đây:

nameif hardware_id if_name security_level

Harware_id Chỉ định một giao diện vành đai và vị trí khe

của nó ở trên PIX Firewall.

Có 3 giao diện mà bạn có thể nhập ở đây: Ethernet, FDDI hoặc Token Ring. Mỗi giao diện được mô tả bởi một định danh vừa có chữ vừa có số dựa trên giao diện của nó là gì và định danh là số mà bạn chọn cho nó. Ví dụ, một giao diện Ethernet được mô tả như là e1, e2, e3….; một FDDI được mô tả như là fddi1, fddi2, fddi3….; một giao diện Token Ring được mô tả như là token-ring1, token-ring2, token-ring3….

If_name Mô tả giao diện vành đai. Tên này được bạn

gán và cần sử dụng trong tất cả cấu hình tương lai tham chiếu đến giao diện vành đai

Security_lever Chỉ ra mức an ninh cho giao diện vành đai,

nhập mức an ninh từ 1-99

Lệnh interface nhận dạng phần cứng, thiết lập tốc độ phần cứng và kích hoạt giao diện. Khi một card Ethernet được thêm vào nó sẽ được cài đặt trên ASA/PIX Firewall, ASA/PIX Firewall tự động nhận dạng và thêm card

Cú pháp cho lệnh interface như dưới đây:

interface hardware_id hardware_speed [shutdown]

Hardware_id

Chỉ định một giao diện và vị trí khe trên PIX Firewall. Cái này giống như biến số được sử dụng trong lệnh nameif

Hardware_speed

Xác định tốc độ kết nối. Giá trị Ethernet có thể như sau:

10baset – thiết lập giao tiếp bán song công 10Mbps 10full – Thiết lập giao tiếp Ethernet song công hoàn toàn tốc độ 10Mbps

100basetx – Thiết lập giao tiếp Ethernet bán song công tốc độ 100 Mbps

100full - Thiết lập giao tiếp Ethernet song công hoàn toàn tốc độ 100 Mbps

1000sxfull - Thiết lập giao tiếpGigabit Ethernet song công hoàn toàn tốc độ 1000 Mbps

1000basesx – thiết lập giao tiếp gigabit Ethernet bán song công tốc độ 1000 Mbps

1000auto – Thiết lập giao tiếp gigabit Ethernet tốc độ 100 Mbps, tự động điều chỉnh bán song công hoặc song công hoàn toàn. Khuyến cáo là bạn không nên sử dụng tùy chọn này để suy trig tính tương thích với switchs và các thiết bị khác trong mạng

Aui – thiết lập giao tiếp Ethernet bán song công tốc độ 10 Mbps với một giao diện cáp AUI

Auto – thiết lập tốc độ Ethernet tự động. Từ khóa tự động chỉ có thể sử dụng với card mạng Intel tốc độ 10/100

Bnc - thiết lập giao tiếp Ethernet bán song công tốc độ 10 Mbps với một giao diện cáp BNC

3.2.3. Lệnh ip address

Mỗi một giao diện trên PIX Firewall cần được cấu hình với một địa chỉ IP, cú pháp cho lệnh ip address như dưới đây:

ip address if_name ip_address [netmask]

Ip_name ^{Mô tả giao diện. Tên này do bạn gán và bạn cần}

sử dụng trong tất cả các cấu hình trong tương lai

Ip_address Địa chỉ Ip của giao diện

Netmask ^{Nếu không đưa ra một mặt nạ mạng, sẽ sử dụng}

mặt nạ mạng mặc định

Sau khi cấu hình địa chỉ IP và mặt nạ mạng, sử dụng lệnh show ip để hiển thị địa chỉ được gán cho giao diện mạng.

3.2.4. Lệnh nat

Dịch địa chỉ mạng (NAT) cho phép bạn giữ địa chỉ IP bên trong – những địa chỉ phía sau của ASA/PIX Firewall – không được biết đối với những mạng phía ngoài. NAT thực hiện điều này bằng cách dịch địa chỉ IP bên trong, địa chỉ mà không phải là duy nhất sang địa chỉ IP duy nhất trước khia gói tin được đẩy ra mạng bên ngoài

nat [(if_name)] nat_id local_ip [netmask]

If_name ^{Mô tả tên giao diện mạng bên trong, nơi mà bạn sẽ sử dụng} địa chỉ public

Nat_id Định danh global pool và kết hợp nó với lệnh nat tương ứng Local_ip Địa chỉ IP được gán cho giao diện trên mạng inside

Netmask

Mặt nạ mạng cho địa chỉ IP cục bộ. Bạn có thể sử dụng 0.0.0.0 để cho phép tất cả các kết nối ra bên ngoài dịch với địa chỉ IP từ global pool

Khi chúng ta khởi tạo cấu hình ASA/PIX Firewall, ta có thể cho phép tất cả host inside truy cập ra kết nối bên ngoài với lệnh nat 1.0.0.0 0.0.0.0. Lệnh nat 1.0.0.0 0.0.0.0 kích hoạt NAT và cho phép tất cả các host inside truy cập ra kết nối bên ngoài. Lệnh nat có thể chỉ định một host đơn hoặc một dải các host để tạo nhiều hơn sự lựa chọn truy cập.

Khi một gói tin IP truyền ra mà được gửi từ một thiết bị trên mạng inside đến ASA/PIX Firewall, địa chỉ nguồn được trích ra để so sánh với bảng dịch đang tồn tại. Nếu địa chỉ của thiết bị không tồn tại trong bảng thì sau đó nó sẽ được dịch và mục mới được tạo cho thiết bị đó, nó được gán địa chỉ IP public từ dải địa chỉ IP public. Sau khi việc dịch này xảy ra thì bảng được cập nhật và dịch IP của gói tin đẩy ra ngoài.. Sau khi người sử dụng cấu hình timeout period (hoặc giá trị mặc định là 2 phút), sau khoảng thời gian đó mà không có việc dịch gói tin cho địa chỉ IP cụ thể thì địa chỉ public đó sẽ được giải phóng để sử dụng cho một thiết bị inside khác

Cú pháp của lệnh global như dưới đây:

global [(if_name)] nat_id global_ip [-global_ip] [netmask global_mask] a| interface

If_name ^{Mô tả tên giao diện mạng bên ngoài mà bạn sẽ}

sử dụng địa chỉ global

Nat_id ^{Định danh global pool và kết hợp nó với lệnh}

nat tương ứng với nó

Global_ip ^{Một địa chỉ IP đơn hoặc một dãy các địa chỉ IP}

public

global_ip Một dãy các địa chỉ Ip public

Netmask global_mask

Mặt nạ mạng cho địa chỉ global_ip. Nếu có mạng con thì sử dụng mặt nạ mạng con (ví dụ, 255.255.255.128). Nếu bạn chỉ định một dãy địa chỉ mà chồng chéo lên mạng con với lệnh netmask, lệnh này sẽ không sử dụng địa chỉ mạng hoặc địa chỉ broadcast trong dải địa chỉ public. Ví dụ, nếu bạn sử dụng dải địa chỉ 192.150.50.20 – 192.150.50.140, địa chỉ mạng 192.150.50.128 và địa chỉ broadcast 192.150.50.127 sẽ không bao gồm trong dải địa chỉ public

interface Chỉ định PAT sử dụng địa chỉ IP tại giao diện

Nếu lệnh nat được sử dụng, thì lệnh đi cùng với nó là lệnh global cần được cấu hình để định nghĩa một dải địa chỉ IP được dịch.

ASA/PIX Firewall sẽ gán địa chỉ từ dải địa chỉ bắt đầu từ địa chỉ thấp nhất tới địa chỉ cao nhất trong dải địa chỉ được chỉ định bởi lệnh global

ASA/PIX Firewall sử dụng địa chỉ public để gán một địa chỉ ảo đến địa chỉ NAT bên trong. Sau khi thêm, thay đổi hoặc gỡ bỏ một trạng thái global, sử dụng lệnh clear xlate để tạo các địa chỉ IP có sẵn trong bảng dịch (translation table)

3.2.6. Lệnh route

Lệnh route định nghĩa một tuyến đường tĩnh hoặc tuyến đường mặc định cho một interface

Cú pháp của lệnh route như dưới đây

route if_name ip_address netmask gateway_ip [metric]

0.0.0.0 có thể viết tắt là 0

Netmask Chỉ định mặt nạ mạng để áp dụng cho địa chỉ ip_address. Sử dụng 0.0.0.0 để chỉ định tuyến đường mặc định. Mặt nạ mạng 0.0.0.0 có thể viết tắt là 0

Gateway_ip Chỉ định địa chỉ ip của router gateway (địa chỉ next hop cho tuyến đường này)

metric Chỉ định số lượng hop đến gateway_ip. Nếu bạn không chắc chắn thì nhập 1. Người quản trị WAN của bạn có thể hỗ trợ thông tin này hoặc bạn có thể sử dụng lệnh traceroute để có được số lượng hop. Mặc định là 1 nếu một metric không được đưa ra

3.3. Cấu hình một số dịch vụ trên Firewall Cisco ASA 5520 3.3.1. Publich website qua tường lửa Cisco

Hình 3.5: Mô hình demo NAT và PAT

Mô tả:

− Cho phép người dùng ngoài internet có thể truy nhập vào website của công ty và quản trị viên có thể dùng Remote Desktop vào Webserver để quản lý.

− Cho phép người dùng trong vùng INSIDE có thể truy nhập Webserver và sử dụng các dịch vụ trên đó.

− Máy chủ cài Windows Server 2003 và xây dựng một website.

− Các thiết bị được cấu hình địa chỉ như hình vẽ. Cấu hình trên ASA:

Định nghĩa thông tin cổng inside

ASA(config)# interface e0/0

ASA(config-if)# ip address 203.200.2.1 255.255.255.0 ASA(config-if)# nameif outside

ASA(config-if)# no shut

Định nghĩa thông tin cổng outsde

ASA(config)# interface e0/1

ASA(config-if)# ip address 10.10.10.1 255.255.255.0 ASA(config-if)# nameif inside

ASA(config-if)# no shut

Định nghĩa thông tin cổng dmz

ASA(config)# interface e0/2

ASA(config-if)# ip address 172.16.1.2 255.255.255.0 ASA(config-if)# nameif dmz

ASA(config-if)# no shut

Thực hiện Nat tĩnh

ASA(config)# static (dmz,outside) tcp 203.200.2.10 80 172.16.1.1 80

ASA(config)# static (dmz,outside) tcp 203.200.2.10 3389 172.16.1.1 3389

Tạo ACL cho phép truy cập dịch vụ trong DMZ

ASA(config)# access-list AL_WEB permit tcp any host 203.200.2.10 eq 80

ASA(config)# access-list AL_WEB permit tcp any host 203.200.2.10 eq 3389 ASA(config)# access-group AL_WEB in interface outside

Cho phép vùng INSIDE truy nhập vào Webserver không cần NAT

ASA(config)# access-list IN_DMZ permit ip 10.10.10.0 255.255.255.0 host 172.16.1.1

Kiểm tra từ máy trong vùng INSIDE:

Hình 3.6: Truy nhập Web từ máy tính trong vùng INSIDE

Kiểm tra từ máy ngoài vùng INTERNET:

3.3.2. Cấu hình PAT cho phép vùng INSIDE ra ngoài INTERNET

Mô tả:

− Cho phép người dung trong vùng INSIDE có thể sử dụng các dịch vụ ngoài vùng INTERNET và được ánh xạ ngay tại địa chỉ cổng của ASA.

Cấu hình trên ASA:

Định nghĩa tuyến mặc định

ASA(config)# route outside 0 0 203.200.2.2

Xác định mạng được NAT hoặc PAT

ASA(config)# nat (inside) 1 10.10.10.0 255.255.255.0

Xác định NAT hoặc PAT trên cổng outside

ASA(config)# global (outside) 1 interface

INFO: outside interface address added to PAT pool

Mặc dù có thể truy phần lớn những dịch vị cần thiết ngoài Internet như http, pop3, smtp, ftp... Nhưng với icmp thì ASA không cho phép gói echo-reply được trả về. Để giải quyết trường hợp này cần tạo chính sách cho echo-reply được trả về:

ASA(config)# access-list PING permit icmp any any echo-reply ASA(config)# access-group PING in interface outside

Kiểm tra từ máy trong vùng INSIDE:

Kết quả là từ máy tính trong vùng INSIDE đã ping thành công ra ngoài vùng OUTSIDE.

Kiểm tra bảng PAT t

Hình 3.11: Bảng ánh xạ địa chỉ PAT

Khi thực hiện Ping thành công, địa chỉ máy trong vùng INSIDE 10.10.10.2 đã được ánh xạ sang địa chỉ vùng OUTSIDE.

3.3.3. Cấu hình dự phòng Failover Active/Stanby

Hình 3.12: Mô hình Failover Active/Standby

Mô tả : Với tính năng Failover sẽ cho phép hệ thống có tính dự phòng, khi thiết bị chính (Primary)

có vấn đề thì thiết bị phụ đóng vai trò là Secondary sẽ từ chế độ chờ (Standby) chuyển sang chế độ hoạt động (Active) để đảm nhiệm thay vai trò của Primary. Và khi Primary hoạt động trở lại thì nó lại chuyển về đúng vai trò như ban đầu.

Cấu hình :

Trên ASA đóng vai trò làm PRIMARY

Định nghĩa thông tin cổng OUTSIDE và cổng dự phòng cho cổng này.

ASA(config)# int Ethernet 0/0 ASA(config)# no shutdown

ASA(config)# ip add 203.200.2.1 255.255.255.0 standby 203.200.2.2 ASA(config)# nameif outside

Định nghĩa thong tin cổng INSIDE và cổng dự phòng cho cổng này.

ASA(config)# int Ethernet 0/1 ASA(config)# no shutdown

ASA(config)# ip add 10.10.10.1 255.255.255.0 standby 10.10.10.2 ASA(config)# nameif inside

Active cổng đóng vai trò làm Failover link

ASA(config)# int Ethernet 0/3 ASA(config)# no shutdown

Kích hoạt tính năng failover trên Primay

ASA(config)# failover

ASA(config)# failover lan unit primary

ASA(config)# failover lan interface lolink Ethernet0/3 ASA(config)# failover polltime unit msec 500

ASA(config)# failover link lolink Ethernet0/3

ASA(config)# failover interface ip lolink 192.168.0.1 255.255.255.252 standby 192.168.0.2

ASA(config)# failover

Trên ASA đóng vai trò làm SECONDARY

Active cổng đóng vai trò làm Failover link

ASA(config)# int Ethernet 0/3 ASA(config)# no shutdown

Kích hoạt tính năng failover trên Secondary

ASA(config)# failover

ASA(config)# failover lan unit secondary

ASA(config)# failover lan interface lolink Ethernet0/3 ASA(config)# failover link lolink Ethernet0/3

ASA(config)# failover interface ip lolink 192.168.0.1 255.255.255.252 standby 192.168.0.2

ASA(config)# failover

Kiểm tra tính năng Failover trên Primary

PRIMARY# show failover Failover On

Failover unit Primary

Failover LAN Interface: lolink Ethernet0/3 (up)

Unit Poll frequency 500 milliseconds, holdtime 2 seconds Interface Poll frequency 5 seconds, holdtime 25 seconds Interface Policy 1

Monitored Interfaces 2 of 250 maximum Version: Ours 8.0(2), Mate 8.0(2)

This host: Primary - Active

Active time: 690 (sec)

slot 0: empty

Active time: 0 (sec)

slot 0: empty

Interface outside (203.200.2.2): Normal

Interface inside (10.10.10.2): Normal

slot 1: empty

Stateful Failover Logical Update Statistics Link : lolink Ethernet0/3 (up)

PRIMARY#

Kiểm tra tính năng Failover trên Secondary

PRIMARY# show failover Failover On

Failover unit Secondary

Failover LAN Interface: lolink Ethernet0/3 (up)

Unit Poll frequency 500 milliseconds, holdtime 2 seconds Interface Poll frequency 5 seconds, holdtime 25 seconds Interface Policy 1

Monitored Interfaces 2 of 250 maximum Version: Ours 8.0(2), Mate 8.0(2)

This host: Secondary - Standby Ready

Active time: 0 (sec)

slot 0: empty

Interface outside (203.200.2.2): Normal Interface inside (10.10.10.2): Normal

slot 1: empty

Other host: Primary - Active

Active time: 768 (sec)

slot 0: empty

Interface outside (203.200.2.1): Normal

Interface inside (10.10.10.1): Normal

slot 1: empty

Stateful Failover Logical Update Statistics Link : lolink Ethernet0/3 (up)

PRIMARY#

3.4. Nhận xét và đánh giá sản phẩm

Từ trước tới nay, các sản phẩm của hãng Cisco luôn được đánh giá cao về hiệu năng và độ ổn định. Chúng ta biết tới Cisco về công nghệ đinh tuyến và chuyển mạnh gần như là tốt nhất hiện nay trên thế giới và Cisco chiếm lĩnh đa phần thị trường mạng tại Việt Nam. Với dòng sản phẩm Cisco ASA 5500 Series, Cisco cũng đã khẳng định mình trên lĩnh vực bảo mật.

Dòng sản phẩm đa dạng phù hợp với mọi nhu cầu người dùng từ tầm trung đến lớn. Sản phẩm Firewall Cisco ASA 5520 đã đáp ứng tốt các yêu cầu, cung cấp các tính năng cao cấp dành cho các doành nhiệp cỡ nhỏ và vừa. Dòng sản phẩm Firewall Cisco ASA 5500 Series và đặc biệt là Firewall Cisco ASA 5520 đã thể hiện được sự tối ưu về công nghệ của các sản phẩm do hãng Cisco sản suất:

• Tùy biến: Có nhiều sự lựa chọn phù hợp với nhu cầu và mục đích đối với hệ thống

• Tính linh hoạt: với khả năng tùy biến cao và có nhiều sự lựa chọn, tích hợp các giải pháp cũng như các thành phần mở rộng , khiến cho việc sử dụng dễ dàng và phù hợp

• Công nghệ tiên tiến: Các công nghệ tiến tiến đều được tích hợp và hỗ trợ đầy đủ từ Cisco. Đem lại sự ổn định, an toàn cao cho hệ thống và hiệu năng xử lý cao, đáp ứng được xu thế phát triển.

• Tính đơn giản: Với giải pháp quản lý qua giao diện web phần nào đen lại sự đơn giản hóa cho người quản trị khi chưa thực sự thành thạo câu lệnh. Với một hệ thống đồng bộ, Cisco cũng đã đưa hệ thống giám sát toàn bộ hệ thống mạng một cách đồng nhất.

• Kết nối mạng tiên tiến: Hỗ trợ công nghệ VPN tiến tiến như SSLVPN, WEBVPN nhưng vẫn đảm bảo được sự an toàn cho thông tin thông qua hệ thống máy chủ xác thực : Radius, TACACS+ …

Nói tóm lại dòng sản phẩm đã đem lại sự phòng vệ cho hệ thống một cách tối ưu và an toàn.

Tuy nhiên bên cạnh đó còn một số hạn chế như:

• Việc triển khai hệ thống dự trên giao diện dòng lệnh là hơi phức tạp, trong khi giao diện đồ họa không cung cấp đủ.

• Việc mở rộng, thay đổi, nâng cấp hệ thống là khó khăn về mặt chi phí.

Hiện nay cũng có khá nhiều các sản phẩm tưởng lửa tích hợp đầy đủ các công