III. TRIỂN KHAI CÁC TÍNH NĂNG ASA TRÊN GNS3
B.CẤU HÌNH TRÊN ASA
a. Định tuyến
Trong mô hình triển khai, ASA firewall có nhiệm vụ định tuyến cho tất cả các mạng nội bộ đi ra ngoài Internet. Việc định tuyến có thể tùy thuộc vào như cầu mà ta có thể sử dụng định tuyến tĩnh (static route và default-route) hoặc định tuyến động (RIP, EIGRP, OSPF). Tuy nhiên, với các thiết bị định tuyến ở các công ty quy mô không lớn, đinh tuyến tĩnh được ưu tiên sử dụng. Trong mô hình này ta sử dụng định tuyến mặc định (default-route) để cho mạng nội bộ đi đến ISP bên ngoài.
ciscoasa(config)# route outside 0.0.0.0 0.0.0.0 203.162.4.2
ii. Acess Control List
Mặc định, ASA chỉ cho phép các traffic đi từ nơi có security-level cao đến nơi có security-level thấp. Để tiện cho việc xử lý sự cố mạng được thuận lợi hơn, ta cho phép các traffic ICMP được đi từ vùng DMZ (security-level 50) vào vùng inside (security-level 100).
access-list DMZ_access_in extended permit icmp any any
Tương tự cũng có access list trên interface outside để cho phép các gói tin ICMP đươc đi qua
access-list 101 extended permit icmp any any
Trong sơ đồ trên, công ty sẽ xây dựng hệ thống web server và FTP server để hỗ trợ cho hoạt động của công ty. Ở đây, ta sẽ xây dựng Web server IIS và FTP server trong vùng DMZ có địa chỉ 10.0.0.2 và được NAT ra bên ngoài ra địa chỉ 203.162.4.100 cho phép tất cả các máy tính ngoài Internet truy cập được Web server của công ty. Để các máy bên ngoài truy cập được, ta sẽ tạo ra access control list để cho phép http và ftp vào địa chỉ 203.162.4.100.
access-list 101 extended permit tcp any host 203.162.4.100 eq www access-list 101 extended permit tcp any host 203.162.4.100 eq ftp access-list 101 extended permit tcp any host 203.162.4.100 eq ftp-data
iii. NAT
Như mô hình được áp dụng phổ biến hiện nay trong hệ thống mạng của các các công ty, tất cả các traffic đi từ mạng ở bên trong ra bên ngoài đều sử dụng cơ chế chuyển dịch địa chỉ (PAT). Tất cả các mạng trong mô hình gồm 192.168.10.0/24 và 10.0.0.0/24 đều được PAT ra địa chỉ interface outside 203.162.4.1. Đều này giúp tang tính bảo mật của hệ thống mạng.
nat (inside) 1 192.168.10.0 255.255.255.0 nat (DMZ) 1 10.10.10.0 255.255.255.0 global (outside) 1 interface
global (backup) 1 interface
Ngoài ra, việc public các web server và ftp server nội bộ ra bên ngoài cũng cần NAT tĩnh. Ở đây, web server và ftp server có địa chỉ 10.0.0.2 được public ra bên ngoài với địa chỉ 203.162.4.100
static (DMZ,outside) tcp 203.162.4.100 ftp-data 10.10.10.2 ftp-data netmask 255. 255.255.255
static (DMZ,outside) tcp 203.162.4.100 ftp 10.10.10.2 ftp netmask 255.255.255.25 5
static (DMZ,outside) tcp 203.162.4.100 www 10.10.10.2 www netmask 255.255.255.255
iv. Giám sát đường truyền
Việc đứt kết nối trên đường truyền thường xuyên xảy ra. Đối với các sự cố phía trong mạng nội bộ, việc xử lí sự cố đối với các nhà quản trị được thực hiện chủ động. Tuy nhiên, các sự cố xảy ra mà nguyên nhân ở phía các ISP thì chúng ta không kiểm soát được. Vì vậy, để đảm bảo cho hệ thống thông tin được sẵn sang bất cứ lúc nào, người ta thường thuê thêm một đường truyền mạng dự phòng để chuyển sang sử dụng khi đường mạng chính xảy ra sự cố. ASA hỗ trợ cơ chế giám sát đường truyền mạng và chuyển sang đường dự phòng ngay lập tức. Điều này được thực hiện thông qua việc ASA lien tục ping đến địa chỉ ISP, nếu trong khoảng thời gian mặc định mà nó không nhận được câu trả lời từ ISP thì nó coi như đường truyền đến ISP đó gặp sự cố và ngay lập tức chuyển sang đường dự phòng. Trong thời gian chạy đường dự phòng, nó vẫn lien tục ping đến Primary ISP, nếu nó nhận được câu trả lời từ Primary bất cứ lúc nào, nó sẽ chuyển sang dùng đường truyền đến Primary ISP đó.
sla monitor 100
type echo protocol ipIcmpEcho 203.162.4.2 interface outside timeout 3000
frequency 5
sla monitor schedule 100 life forever start-time now track 10 rtr 100 reachability
route outside 0.0.0.0 0.0.0.0 203.162.4.2 1 track 10 route backup 0.0.0.0 0.0.0.0 123.0.0.2 254
v. DHCP
Ta xây dựng DHCP server ngay trên ASA để nó cấp IP cho mạng ở bên trong
dhcpd address 192.168.10.50-192.168.10.100 inside dhcpd dns 8.8.8.8 interface inside
PHỤ LỤC
Cấu hình của ASA
ciscoasa# show run : Saved (adsbygoogle = window.adsbygoogle || []).push({});
:
ASA Version 8.0(2) !
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface Ethernet0/0 nameif inside security-level 100 ip address 192.168.10.1 255.255.255.0 ! interface Ethernet0/1 nameif DMZ security-level 50 ip address 10.10.10.1 255.255.255.0 ! interface Ethernet0/2 nameif outside security-level 0 ip address 203.162.4.1 255.255.255.0 ! interface Ethernet0/3 nameif backup security-level 100 ip address 123.0.0.1 255.255.255.0 ! interface Ethernet0/4 shutdown
no nameif no security-level no ip address ! interface Ethernet0/5 shutdown no nameif no security-level no ip address !
passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive
access-list icmp-in extended permit icmp any any
access-list 101 extended permit tcp any host 203.162.4.100 eq www access-list 101 extended permit tcp any host 203.162.4.100 eq ftp access-list 101 extended permit icmp any any
access-list 101 extended permit tcp any host 203.162.4.100 eq ftp-data
access-list NO_NAT extended permit ip 192.168.10.0 255.255.255.0 10.10.10.0 255. 255.255.0
access-list DMZ_access_in extended permit icmp any any pager lines 24 mtu inside 1500 mtu DMZ 1500 mtu outside 1500 mtu backup 1500 no failover
icmp unreachable rate-limit 1 burst-size 1 asdm image disk0:/asdm-602.bin
no asdm history enable arp timeout 14400 nat-control
global (outside) 1 interface global (backup) 1 interface
nat (inside) 1 192.168.10.0 255.255.255.0 nat (DMZ) 1 10.10.10.0 255.255.255.0
static (DMZ,outside) tcp 203.162.4.100 ftp-data 10.10.10.2 ftp-data netmask 255. 255.255.255
static (DMZ,outside) tcp 203.162.4.100 ftp 10.10.10.2 ftp netmask 255.255.255.25 5
static (DMZ,outside) tcp 203.162.4.100 www 10.10.10.2 www netmask 255.255.255.25 5
access-group DMZ_access_in in interface DMZ access-group 101 in interface outside
route outside 0.0.0.0 0.0.0.0 203.162.4.2 1 track 10 route backup 0.0.0.0 0.0.0.0 123.0.0.2 254