slide dhtn asa vietnam

40
Đ Đ À À O T O T O O B B o o m m t t - - Cisco Firewall Cisco Firewall L L ch ch h h c c Ni Dung Mc Tiêu Lch Hc: Trong 5 ngày Sáng t9h-11h30 Chiut14h-16h30 Sáng 8h30-11h30 Lý thuyết Chiu 14h-17h00 Thc hành Ngày 1 Ngày 2 Ngày 3 Bài 1 : Tng quan vCisco Firewall Bài 2: Các bước đầu làm quen và cu hình thiếtbbo mtca Cisco Bài 1 :Thiếtlp console đến thiếtbfirewall Bài 2: Thc hinmtscâu lnh cơ bn Bài 3: Cu hình các interface Bài 2: Các bước đầu làm quen và cu hình thiếtbbomtca Cisco (continue) Bài 3: Qun lý thiếtbbomt cisco ASA Bài 4: Access Control Lists Bài 4: Cu hình NAT và cu hình Định tuyến Bài 5: Kim tra kếtniti các cng Inside, Outside, và DMZ Bài 6 :Cu hình Access-lists (ACLs) trên firewall Bài 5: Cisco Adaptive Security Device Manager Bài 6: Firewall Switch Modules (FWSM) Bài 7: Qun trCisco firewall Gi Gi i i thi thi u u Người trình bày: 1. HTên 2. Vtrí công tác 3. Kinh nghim Hc viên gii thiu 1. Htên 2. Vtrí công tác 3. Nhng kinh nghimvbomtmng… B B à à i i 1 1 T T ng ng quan quan v v Cisco Firewall Cisco Firewall

Upload: tuansanleo

Post on 27-Oct-2015

207 views

Category:

Documents


4 download

DESCRIPTION

Đào tạo bảo mật CISCO firewall

TRANSCRIPT

Page 1: Slide Dhtn Asa Vietnam

ĐĐÀÀO TO TẠẠOOBBảảoo mmậậtt -- Cisco FirewallCisco Firewall

LL ịịchch hhọọcc

Nội Dung

Mục TiêuLịch Học: Trong 5 ngàySáng từ 9h-11h30

Chiều từ 14h-16h30

Sáng

8h30-11h30Lý thuyết

Chiều14h-17h00Thực hành

Ngày 1 Ngày 2 Ngày 3

Bài 1 : Tổng quan về Cisco Firewall

Bài 2: Các bước đầu làm quenvà cấu hình thiết bị bảomật của Cisco

Bài 1 :Thiết lập console đến thiết bị firewall

Bài 2: Thực hiện một sốcâu lệnh cơ bản

Bài 3: Cấu hình cácinterface

Bài 2: Các bước đầu làm quen vàcấu hình thiết bị bảo mật củaCisco (continue)

Bài 3:Quản lý thiết bị bảo mậtcisco ASA

Bài 4:Access Control Lists

Bài 4: Cấu hình NAT và cấuhình Định tuyến

Bài 5: Kiểm tra kết nối tớicác cổng Inside, Outside, và DMZ

Bài 6 :Cấu hình Access-lists (ACLs) trên firewall

Bài 5:Cisco Adaptive Security Device Manager

Bài 6: Firewall Switch Modules

(FWSM)

Bài 7: Quản trị Cisco firewall

GiGiớớii thithi ệệuu

� Người trình bày:

1. Họ Tên2. Vị trí công tác3. Kinh nghiệm

� Học viên giới thiệu

1. Họ tên2. Vị trí công tác3. Những kinh nghiệm về bảo mật mạng…

BBààii 11TTổổngng quanquan vvềề Cisco Firewall Cisco Firewall

Page 2: Slide Dhtn Asa Vietnam

Firewall Firewall llàà ggìì ??

Outside

Vùng mạng

DMZ

Vùng mạng

Inside

Vùng mạng

Internet

Firewall là một hệ thống hoặc một nhóm các hệ thống Kiểmsoát quyền truy cập giữa hai hoặc nhiều vùng mạng.

.

CCáácc côngcôngnghnghệệ vvềề FirewallFirewall

Firewall hoạt động được dựa trên một trong ba công nghệ :

� Packet filtering� Proxy server� Stateful packet filtering

Data A B

Data A C

DMZ:Server B

Inside:Server C

Host A

AB-YesAC-No

Internet

Việc Kiểm soát truy nhập thông tin dựa vào địa chỉ nguồn

Và địa chỉ đích của gói tin gửi đến

Packet FilteringPacket Filtering Proxy ServerProxy Server

Outside Network

ProxyServer

Inside

Network

Internet

Các kết nối từ được thông qua một máy chủ đại diệntrung gian.

Page 3: Slide Dhtn Asa Vietnam

StatefulStateful Packet FilteringPacket Filtering

172.16.0.50

10.0.0.11

1026

80

49091

Syn

172.16.0.50

192.168.0.20

49769

Syn

1026

80

Source portDestination address

Source address

Initial sequence no.Destination port

FlagAck

State Table

DMZ:Server B

Inside:Server C

Host A

Internet

Việc Kiểm soát truy nhập thông tin khôngchỉ dựa vào địa chỉ nguồn Và địa chỉ đíchcủa gói tin gửi đến mà còn dựa vào bảng

trạng thái (state table)

Data HTTP A B

HHệệ ththốốngng bbảảoo mmậậtt ccủủaa Cisco Cisco

Hệ thống bảo mật của cisco cung cấp giải pháp an ninh , bảo mật hướngtới các đối tượng khách hàng. Một số tính năng của thiết bị an ning bảomật của cisco như sau:

� Hệ điều hành riêng biệt

� Stateful packet inspection� Xác thực người dùng� Theo dõi, giám sát các ứng dụng và giao thức

� Modular policy framework� Mạng riêng ảo (VPN)� Các ngữ cảnh bảo mật (các firewall ảo)

� Stateful failover� Transparent firewalls� Quản trị dựa trên giao diện web

HHệệ điđiềềuu hhàànhnh riêngriêng bibiệệtt

Việc sử dụng hệ điều hành riêng biệt loạitrừ được các nguy cơ bảo mật khi sử dụngchung với các hệ điều hành khác

StatefulStateful Packet InspectionPacket Inspection

� Giải thuật kiểm tra gói tin -statefull packet inspection cung cấp cáckết nối bảo mật .

� Mặc định, giải thuật này cho phép kết nối từ máy vùng trong (cấpđộ bảo mật cao hơn) sang các vùng có cấp độ bảo mật thấp hơn

� Mặc định, giải thuật này chặn các kết nối từ máy vùng ngoài (cấpđộ bảo mật thấp hơn ) sang các vùng có cấp độ bảo cao hơn

� Giải thuật này hỗ trợ xác thực, ủy quyền và theo dõi.

Page 4: Slide Dhtn Asa Vietnam

NhNhậậnn didiệệnn ứứngng ddụụngng

FTPServer Client

ControlPort2008

DataPort2010

DataPort20

ControlPort21

Data - Port 2010

Port 2010 OK

Data

� Cá giao thưc như FTP, HTTP, H.323, and SQL*Net cần các kết nối từ

Nhiều port khác nhau để truyền dữ liệu qua firewall .

� Thiết bị bảo mật sẽ theo dõi quá trình kết nối này.

� Các port cần cho kết nối sẽ được mở một cách an toàn theo từng ứng dụng.

HeadquartersSystem Engineer

Site B

Executives

Site C

T1

Internet

SEexec

S2S S2S

Internet

Modular PolicyModular Policy

Class MapTraffic Flow

DefaultInternet

Systems EngineerExecutivesSite to Site

Policy MapServicesInspect

IPSPolicePriority

Service PolicyInterface/Global

GlobalOutside

MM ạạngng riêngriêng ảảoo (VPN)(VPN)

B A N K

Site to Site

Remote Access

IPsec VPNSSL VPN

Internet

�B A N K

Headquarters

CCáácc ngngữữ ccảảnhnh bbảảoo mmậậtt

4 thiết bị firewall thật1 thiết bị firewall thật4 thiết bị firewall ảo

InternetInternet

Cung cấp khả năng tạo nhiều firewall ảo trên một thiết bị firewall thật

Page 5: Slide Dhtn Asa Vietnam

KhKhảả năngnăng Failover : Active/Standby, Failover : Active/Standby, Active/Active, Active/Active, vvàà StatefulStateful FailoverFailover

Primary:Failed Firewall

Secondary: Active Firewall

Internet

Failover: Active/Standby

Primary: Failed/Standby

Failover: Active/Active

Secondary: Active/Active

Internet

Contexts

� Khả năng dự phòng (Failover) đảm bảo kết nối mạng được thông suốt khi một thiết bị hỏng..

– Active/standby: một thiết bị sẽ chạy chính, một thiết bị sẽ dự phòng.

– Active/Active: Cả hai thiết bị đều chạy , chia tải và dự phòng lẫn nhau.

� Stateful failover: duy trì trạng thái kết nối khi một thiết bị kết nối chính hỏng.

2121

Transparent FirewallTransparent Firewall

192.168.1.2

192.168.1.5

Internet

� Có khả năng triển khai thiết bị bảo mật ở layer 2

� Cho phép bảo mật từ layer 2 đến layer 7 và hoạt động như một thiết bị layer 2

GiGiảảii phpháápp ququảảnn trtr ịị ddùùngng webweb

AdaptiveSecurityDevice

Manager(ASDM)

Các loại firewall của cisco và tính năng

Page 6: Slide Dhtn Asa Vietnam

CCáácc dòngdòng ssảảnn phphẩẩmm ASA 5500ASA 5500

DN nhỏ

Giá

Chức năng

Gigabit Ethernet

Doanh nghiệp lớnROO SP

ASA 5520

ASA 5540

ASA 5510

ASA 5550

ASA 5505

SP = service provider ( nhà cung cấp dịch vụ)

Các văn phòng

CCáácc dòngdòng ssảảnn phphẩẩmm PIX 500PIX 500

DN nhỏ

Giá

Chức năng

Gigabit Ethernet

Doanh nghiệp lớn

PIX 515E

PIX 525

PIX 535

SOHO

PIX 501

PIX 506E

SPROBOCác văn phòng

ThiThi ếếtt bbịị bbảảoo mmậậtt Cisco ASA 5510Cisco ASA 5510

� Nâng cao an ninh và cung cấp dịch vụ mạng, bao gồm cả các dịch vụ VPN, cho cácdoanh nghiệp nhỏ.

� Cung cấp lên tới 130,000 kết nối đồng thời.� Thông lượng có thể đáp ứng tới 300-Mbps� Các interface được hỗ trợ:

• Lên tới 5 cổng 10/100 Fast Ethernet • Lên tới 25 VLANs• Lên tới 5 ngữ cảnh (contexts)

� Hỗ trợ failover• Active/standby

� Hỗ trợ VPNs• Site to site (250 peers)• Remote access• WebVPN

� Hỗ trợ thêm các module SSMs (Cisco ASA AIP SSM, Cisco ASA CSC SSM, vàGigabit Ethernet SSM loại 4 port)

ThiThi ếếtt bbịị bbảảoo mmậậtt Cisco ASA 5520Cisco ASA 5520

� Cung cấp các dịch vụ bảo mật , kể cả vpn cho các doanh nghiệp cỡ vừa.� Cung cấp lên tới 280,000 kết nối đồng thời.� Thông lượng có thể đáp ứng 450-Mbps� Các interface được hỗ trợ:

• 4 10/100/1000 Gigabit Ethernet interfaces• 1 10/100 Fast Ethernet interface• Lên tới 100 VLANs• Lên tới 20 contexts

� Hỗ trợ failover• Active/standby• Active/active

� Hỗ trợ VPNs• Site to site (750 peers)• Remote access• WebVPN

� Hỗ trợ thêm các module SSMs (Cisco ASA AIP SSM, Cisco ASA CSC SSM, vàGigabit Ethernet SSM loại 4 port)

Page 7: Slide Dhtn Asa Vietnam

ThiThi ếếtt bbịị bbảảoo mmậậtt Cisco ASA 5540Cisco ASA 5540

� Cung cấp các dịch vụ cần hiệu quả cao, các loại dịch vụ bảo mật , kể cả vpn cho cácdoanh nghiệp lớn và các nhà cung cấp dịch vụ.

� Cung cấp lên tới 400,000 kết nối đồng thời� Thông lượng đáp ứng 650-Mbps� Các interface hỗ trợ:

• 4 10/100/1000 Gigabit Ethernet interfaces• 1 10/100 Fast Ethernet interface• Lên tới 200 VLANs• Lên tới 50 contexts

� Hỗ trợ failover• Active/standby• Active/active

� Hỗ trợ VPNs• Site to site (5,000 peers)• Remote access • WebVPN

� Hỗ trợ thêm cá module SSMs (Cisco ASA AIP SSM, Cisco ASA CSC SSM, and four-portGigabit Ethernet SSM)

CCáácc thithi ếếtt bbịị bbảảoo mmậậtt ASA 5510, 5520, ASA 5510, 5520, vvàà 5540 5540 mmặặtt phphííaa trưtrướớcc

Power

Status

Active

Flash

VPN

CSI1

Slide 26

CSI1 note from graphics: the callout info does not match the photoCisco Systems, Inc., 27-Mar-07

CCáácc thithi ếếtt bbịị bbảảoo mmậậtt ASA 5510, 5520, ASA 5510, 5520, vvàà 5540 5540 mmặặtt phphííaa sausau

Các module SSMs

Các interface cố định

Bộ nhớ flash

Page 8: Slide Dhtn Asa Vietnam

CCáácc thithi ếếtt bbịị bbảảoo mmậậtt ASA 5510, 5520, ASA 5510, 5520, vvàà 5540 5540 ccổổngng kkếếtt nnốốii

4 cổng 10/100/1000Gigabit Ethernet

Cổng quản trịoutband

Cổng AUX

Bộ nhớ Flash

2 cổng USB 2.0

Nguồn điện(AC hoặc DC)

CổngConsole

*Với thiệt bị bảo mật ASA 5510 hỗ trợ cổng 10/100

Cisco ASA Security Services ModuleCisco ASA Security Services Module

� Module cung cấp các dịch vụ

mở rộng cho thiết bị bảo mật

� Sử dụng bộ nhớ flash

để tăng cường độ tin cậy

� Có cổng Gigabit ethernet

cho phép quản trị outband

CCáácc kiki ểểuu module SSMmodule SSM

power Status

Speed

Link andactivity

SSM-10

� Bộ xử lý 2.0-GHz

� 1.0 GB RAM

SSM-20

� Bộ xử lý 2.4-GHz

� 2.0 GB RAM

SSM SSM loloạạii 4 port Gigabit 4 port Gigabit ethernetethernet

RJ-45 linkLED

RJ-45speedLED

SFP linkLED

SFPspeedLED

RJ-45ports

PowerLED

StatusLED SFP

ports

Page 9: Slide Dhtn Asa Vietnam

TTóómm ttắắtt

� Firewall là thiết bị kiểm soát truy nhập từ vùng mạng này sang vùng mạngkhách

� Statefull firewall là thiết bị hoạt động hiệu quả nhất.� Thiết bị bảo mật của cisco bao gồm PIX và ASA .

� Các thiết bị bảo mật ASA 5510, 5520 nhắm tới thị trường các doanhnghiệp vừa và nhỏ.

� Các chức năng của thiết bị bảo mật có thể được mở rộng nhờ vào SSMs.

BBààii 22

Các bước đầu làm quen và cấuhình thiết bị bảo mật của Cisco

Giao diện người sử dụng

ci scoasa>

ci scoasa#

ci scoasa( conf i g) #

moni t or >

Thiết bị bảo mật Cisco có 4 chế độ truynhập như sau :

UnprivilegedPrivilegedConfiguration

Monitor

CCáácc chchếế đđộộ truytruy nhnhậậpp

Page 10: Slide Dhtn Asa Vietnam

ciscoasa> enable

password:

ciscoasa#

enable [ priv_level]

ciscoasa>

Lệnh này để cho phép truy nhập vào chế độ Priviledged

ChChếế đđộộ PrivilegedPrivileged

Internet

ChChếế đđộộ Configuration : Configuration : câucâu llệệnhnhconfigure terminal configure terminal

configure terminal

ciscoasa#

Dùng lệnh này để đăng nhập vào chế độ Configuation

ciscoasa> enable

password:

ciscoasa# configure terminal

ciscoasa(config)# exit

ciscoasa# exit

ciscoasa>

exit

ciscoasa#

Lệnh exit dùng để thoát khoải chế độ hiện tại, trở về chế độ trước đó

ciscoasa > help ?

enable Turn on privileged commands

exit Exit the current command mode

login Log in as a particular user

logout Exit from current user profile to unprivil eged mode

perfmon Change or view performance monitoring option s

ping Test connectivity from specified interface to an IP address

quit Exit the current command mode

ciscoasa > help enable

USAGE:

enable [<priv_level>]

LL ệệnhnh help help

Quản lý và lưu trữ các File cấu hình

Page 11: Slide Dhtn Asa Vietnam

Các lệnh dưới đây chophép xem cấu hình:

• show running-config• show startup-config

Các lệnh dưới đây chophép lưu cấu hình

� copy run start� write memory

Để lưu lại cấu hình thay đổi, dùng lệnh:copy run start

running-config

startup-

config(saved)

Cấu hình

thay đổi

XemXem vvàà lưulưu llạạii ccấấuu hhììnhnhXXóóaa ccấấuu hhììnhnh đangđang chchạạyy

runningrunning --configconfig

ciscoasa(config)#

clear configure all

Xóa cấu hình đang chạy

ciscoasa(config)# clear config all

Xóa cấu hình đang chạy :clear config all

running-

config(default)

startup-config

XXóóaa ccấấuu hhììnhnh llúúcc khkhởởii đđộộngngstartupstartup--configconfig

ciscoasa#

write erase

Xóa cấu hình lúc khởi động

ciscoasa# write erase

Xóa cấu hình lúc khởi động :write erase

running-

config

startup-config

(default)

KhKhởởii đđộộngng llạạii thithi ếếtt bbịị : : llệệnhnh reloadreload

Khởi động lại , thiết bị sẽ tự động lấy lại cấu hình startup-configcopy vào running-config để chạy.

ciscoasa# reload

Proceed with reload?[confirm] y

Rebooting...

reload [at hh: mm [ month day | day month]] [cancel] [in [ hh:] mm] [max-hold-time [ hh:] mm] [noconfirm] [quick] [reason text] [save-config]

ciscoasa#

Page 12: Slide Dhtn Asa Vietnam

File File hhệệ ththốốngng

Release 7.0and later

� Software image

� Configuration file� Private data� ASDM image

� Backup image*� Backup

configuration file*

HiHi ểểnn thth ịị ccáácc file file lưulưu trtr ữữ : file : file hhệệ ththốốngngvvàà file file ccấấuu hhììnhnh

Hiển thị nội dung của ổ đĩa .

ciscoasa#

PIXflash:

ASAdisk0:disk1:

ciscoasa# dir

Directory of disk0:/

8 -rw- 8202240 13:37:33 Jul 28 2006 asa721 -k8.bin

1264 -rw- 5539756 13:21:13 Jul 28 2006 asdm-5 21.bin

62947328 bytes total (49152000 bytes free)

dir [/all] [/recursive] [all-filesystems] [disk0: | disk1: | flash: | system:]

Internet

CCáácc mmứứcc bbảảoo mmậậtt (security levels)(security levels)

Vùng Outside

GigabitEthernet0/0Security level 0

Interface name = outside

Vùng DMZ

GigabitEthernet0/2Security level 50

Interface name = DMZ

Vùng Inside

GigabitEthernet0/1Security level 100

Interface name = inside

g0/0

g0/2

g0/1Internet

Kiểm tra trạng thái của thiết bị bảo mật

Page 13: Slide Dhtn Asa Vietnam

asa1# show interfaceInterface GigabitEthernet0/0 "outside", is up, line protocol is up

Detected: Speed 1000 Mbps, Full-duplexRequested: AutoMAC address 000b.fcf8.c538, MTU 1500IP address 192.168.1.2, subnet mask 255.255.255.00 packets input, 0 bytes, 0 no bufferReceived 0 broadcasts, 0 runts, 0 giants0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignore d, 0 abort0 packets output, 0 bytes, 0 underrunsinput queue (curr/max blocks): hardware (0/0) softw are (0/0)output queue (curr/max blocks): hardware (0/0) soft ware (0/0)

Received 0 VLAN untagged packets, 0 bytesTransmitted 0 VLAN untagged packets, 0 bytesDropped 0 VLAN untagged packets

CâuCâu llệệnhnh showshow

asa1# show run interface. . .interface GigabitEthernet0/0

speed 1000duplex fullnameif outsidesecurity-level 0ip address 192.168.1.2 255.255.255.0

!interface GigabitEthernet0/1

speed 1000duplex fullnameif insidesecurity-level 100ip address 10.0.1.1 255.255.255.0 . . .

show run interface

show interface

asa1# show memory

Free memory: 468962336 bytes (87%)

Used memory: 67908576 bytes (13%)

------------- ----------------

Total memory: 536870912 bytes (100%)

LL ệệnhnh show memoryshow memory

ciscoasa#

show memory

asa1# show cpu usage

CPU utilization for 5 seconds = 0%; 1 minute: 0%; 5 minutes: 0%

LL ệệnhnh show show cpucpu usageusage

ciscoasa#

show cpu usage

10.0.1.11

10.0.1.4

Internet

LL ệệnhnh show versionshow versionasa1# show versionCisco Adaptive Security Appliance Software Version 7.2(1)

Device Manager Version 5.2(1)

Compiled on Wed 31-May-06 14:45 by rootSystem image file is "disk0:/asa721-k8.bin"

Config file at boot was "startup-config"

ciscoasa up 2 mins 51 secs

Hardware: ASA5520, 512 MB RAM, CPU Pentium 4 Cele ron 2000 MHzInternal ATA Compact Flash, 64MB

BIOS Flash AT49LW080 @ 0xffe00000, 1024KB

. . .

Page 14: Slide Dhtn Asa Vietnam

asa1# show ip address

System IP Addresses:

Interface Name IP address Subnet mask Method

GigabitEthernet0/0 outside 192.168.1.2 25 5.255.255.0 CONFIG

GigabitEthernet0/1 inside 10.0.1.1 2 55.255.255.0 CONFIG

GigabitEthernet0/2 dmz 172.16.1.1 255.255.255 .0 CONFIG

Current IP Addresses:

Interface Name IP address Subnet mask Method

GigabitEthernet0/0 outside 192.168.1.2 255.255.255.0 CONFIG

GigabitEthernet0/1 inside 10.0.1.1 255.255.255.0 CONFIG

GigabitEthernet0/2 dmz 172.16.1.1 255.255. 255.0 CONFIG

LL ệệnhnh show show ipip addressaddress

Internet192.168.1.0 10.0.1.0 10.1.1.0

172.16.1.0

.2

.1

.1 .1

asa1# show interfaceInterface GigabitEthernet0/0 "outside", is up, line protocol is up

Hardware is i82546GB rev03, BW 1000 MbpsFull-Duplex(Full-duplex), 100 Mbps(100 Mbps)MAC address 0013.c482.2e4c, MTU 1500IP address 192.168.1.2, subnet mask 255.255.255.08 packets input, 1078 bytes, 0 no bufferReceived 8 broadcasts, 0 runts, 0 giants0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignore d, 0 abort0 L2 decode drops0 packets output, 0 bytes, 0 underruns0 output errors, 0 collisions0 late collisions, 0 deferredinput queue (curr/max blocks): hardware (8/0) softw are (0/0)output queue (curr/max blocks): hardware (0/0) soft ware (0/0)

Traffic Statistics for "outside":8 packets input, 934 bytes0 packets output, 0 bytes8 packets dropped

1 minute input rate 0 pkts/sec, 0 bytes/sec1 minute output rate 0 pkts/sec, 0 bytes/sec1 minute drop rate, 0 pkts/sec5 minute input rate 0 pkts/sec, 0 bytes/sec5 minute output rate 0 pkts/sec, 0 bytes/sec5 minute drop rate, 0 pkts/sec

LL ệệnhnh show interfaceshow interface

LL ệệnhnh show show nameifnameif

asa1# show nameif

Interface Name Security

GigabitEthernet0/0 outside 0

GigabitEthernet0/1 inside 1 00

GigabitEthernet0/2 dmz 50

GigabitEthernet0/0Interface name = outsideSecurity level = 0

GigabitEthernet0/2Interface name = dmzSecurity level = 50

GigabitEthernet0/1Interface name = inside Security level = 100

g0/0

g0/2

g0/1Internet

LL ệệnhnh show run show run natnat

asa1# show run nat

nat (inside) 1 10.0.1.0 255.255.255.0 0 0

Hiển thị host hoặc cả một giải địa chỉ được NAT

ciscoasa#

show run nat

10.0.1.11

10.0.1.4

10.0.1.XX.X.X.X

NAT

Internet

Page 15: Slide Dhtn Asa Vietnam

LL ệệnhnh show run globalshow run global

asa1# show run global

global (outside) 1 192.168.1.20-192.168.1.254 netmask 255.255.255.0

Hiển thị giải địa chỉ sẽ được map cho các host bên trong

ciscoasa#

show run global

Mapped Pool192.168.1.20-192.168.1.254

10.0.1.11

10.0.1.4

10.0.1.X

Internet

LL ệệnhnh show show xlatexlate

asa1# show xlate

1 in use, 1 most used

Global 192.168.1.20 Local 10.0.1.11

Displays the contents of the translation slots

ciscoasa#

show xlate

192.168.1.2010.0.1.11

10.0.1.4

10.0.1.11

Inside

local

Outside

mapped pool

10.0.1.11192.168.1.20Xlate Table

Internet

LL ệệnhnh show routeshow route

asa1(config)# show route

S 0.0.0.0 0.0.0.0 [1/0] via 192.168.1.1, outside

C 10.0.1.0 255.255.255.0 is directly connected, inside

C* 127.0.0.0 255.255.0.0 is directly connected, cplane

C 172.16.1.0 255.255.255.0 is directly connected , dmz

C 192.168.1.0 255.255.255.0 is directly connecte d, outside

g0/0

g0/2

g0/1Internet

10.0.1.0192.168.1.0

.1

172.16.1.0

Hiển thị bảng thông tin định tuyến

ciscoasa#

show route [ interface_name [ ip_address [ netmask [static]]]]

LL ệệnhnh pingping

Kiểm tra sự tồn tại của một host trên mạng

asa1# ping 10.0.1.11

Sending 5, 100-byte ICMP Echos to 10.0.1.11, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/a vg/max = 10/12/20 ms

ping [ if_name] host [data pattern] [repeat count] [size bytes] [timeout seconds] [validate]

ciscoasa#

10.0.1.11

10.0.1.4

Internet

Page 16: Slide Dhtn Asa Vietnam

LL ệệnhnh traceroutetraceroute

asa1#traceroute 172.26.26.20

traceroute { destination_ip | hostname} [source source_ip | source-interface] [numeric] [timeout timeout_value] [probe probe_num] [ttlmin_ttl max_ttl] [port port_value] [use-icmp]

ciscoasa#

Kiểm tra đường đi của gói tin đến đích

Internet

example.com

Cấu hình cơ bản thiết bị Cisco firewall

CCấấuu hhììnhnh dòngdòng llệệnhnh cơcơ bbảảnn

� hostname� interface

• nameif• ip address• security-level• speed• duplex• no shutdown

� nat-control� nat� global� route

g0/0

g0/2

g0/1Internet

ThayThay đđổổii têntên (hostname)(hostname)

ciscoasa(config)#

Thay đổi hostname sử dụng dòng lệnh.

ciscoasa(config)# hostname asa1asa1(config)#

hostname newname

New York ( asa1)

Server

Boston

(asa2)

Server

Server

Dallas

(asa3)

Internet

Page 17: Slide Dhtn Asa Vietnam

interface { physical_interface[. subinterface] | mapped_name}

ciscoasa(config)#

asa1(config)# interface GigabitEthernet0/0

asa1(config-if)#

CCáácc llệệnhnh vvớớii interfaceinterface

Vào chế độ cấu hình riêng của từng interface

GigabitEthernet0/0

GigabitEthernet0/2

GigabitEthernet0/1

g0/0

g0/2

g0/1Internet

nameif if_name

ciscoasa(config-if)#

asa1(config)# interface GigabitEthernet0/0

asa1(config-if)# nameif outside

GGáánn têntên chocho interface:interface:llệệnhnh nameifnameif

Gán tên cho interface là outside.

GigabitEthernet0/2Interface name = dmz

GigabitEthernet0/0

Interface name = outside

GigabitEthernet0/1

Interface name = inside

g0/0

g0/2

g0/1Internet

ip address ip_address [ mask] [standby ip_address]

ciscoasa(config-if)#

GGáánn đđịịaa chchỉỉ IP IP chocho interface: interface: LL ệệnhnh ipip addressaddress

Gán địa chỉ IP cho từng interface

asa1(config)# interface GigabitEthernet0/0

asa1(config-if)# nameif outside

asa1(config-if)# ip address 192.168.1.2 255.255.255. 0

GigabitEthernet0/0Interface name = outsideIP address = 192.168.1.2

g0/0

g0/2

g0/1Internet

NhNhậậnn đđịịaa chchỉỉ IP IP đđộộngng (DHCP)(DHCP)

asa1(config)# interface GigabitEthernet0/0

asa1(config-if)# nameif outside

asa1(config-if)# ip address dhcp

ciscoasa(config-if)#

ip address dhcp [setroute]

Cho phép nhận địa chỉ động ở interface outside

GigabitEthernet0/0

Interface name = outsideIP address = dhcp

g0/0

NhậnDHCP

Internet

Page 18: Slide Dhtn Asa Vietnam

security-level number

ciscoasa(config-if)#

GGáánn mmứứcc bbảảoo mmậậtt ::llệệnhnh securitysecurity--levellevel

Gán mức bảo mật cho interface

asa1(config)# interface GigabitEthernet0/0

asa1(config-if)# nameif outside

asa1(config-if)# ip address 192.168.1.2

asa1(config-if)# security-level 0

GigabitEthernet0/0Interface name = outsideIP address = 192.168.1.2Security level = 0

g0/0

g0/2

g0/1Internet

Cho phép dữ liệu giữa các interface cùng mức bảo mật hoặc trên chính interface đó.

ciscoasa(config)#

asa1(config)# same-security-traffic permit inter-in terface

same-security-traffic permit {inter-interface | int ra-interface}

DMZ NetworkGigabitEthernet0/2Security level 100Interface name = dmz

g0/0

g0/2

g0/1Internet

Inside NetworkGigabitEthernet0/1Security level 100Interface name = inside

ChoCho phphéépp ccáácc interface interface ccùùngng mmứứcc bbảảoommậậtt :: llệệnhnh samesame--securitysecurity--traffictraffic

speed {10 | 100 | 1000 | auto | nonegotiate}

duplex {auto | full | half}

ThiThi ếếtt llậậpp ttốốcc đđộộ vvàà duplex : duplex : llệệnhnh speed speed vvàà duplexduplex

Thiết lập tốc độ và duplex cho interface

ciscoasa(config-if)#

GigabitEthernet0/0Speed =1000Duplex = full

g0/0

g0/2

g0/1Internet

asa1(config)# interface GigabitEthernet0/0

asa1(config-if)# nameif outside

asa1(config-if)# ip address 192.168.1.2

asa1(config-if)# security-level 0

asa1(config-if)# speed 1000

asa1(config-if)# duplex full

management-only

ciscoasa(config-if)#

Interface Interface ququảảnn trtr ịị ccủủaa ASAASA

Disables management-only mode (for ASA 5520, 5540 and 5550)asa1(config)# interface management0/0

asa1(config-if)# no management-only

no management-only

Cấu hình interface chỉ chấp nhận dữ liệu quản trị

Tắt chức năng chỉ chấp nhận dữ liệu quản trị

Management0/0

Management only = no

g0/0

g0/2

g0/1Internet

m0/0

Page 19: Slide Dhtn Asa Vietnam

Disables management-only mode (for ASA 5520, 5540 and 5550)asa1(config)# interface GigabitEthernet0/0

asa1(config-if)# no shutdown

shutdown

Lệnh shutdown sẽ tắt (disabled) interface

Lệnh no shutdown = bật (enabled) interface

ciscoasa(config-if)#

GigabitEthernet0/0Enabled

g0/0

g0/2

g0/1Internet

BBậậtt hohoặặcc ttắắtt Interfaces: Interfaces: llệệnhnh shutdown shutdown Network Address Translation (NAT) Network Address Translation (NAT)

Inside

Local

Outside

Mapped Pool

10.0.0.11192.168.0.20

10.0.0.11

10.0.0.4Bảng dịch chuyển địa chỉ

10.0.0.11192.168.0.20

192.168.10 .11

NAT

Internet

BBậậtt chchứứcc năngnăng kiki ểểmm sosoáátt NATNAT

asa1(config)# nat-control

bật chức năng kiểm soát NAT

Inside

Local

Outside

Mapped Pool

10.0.0.11192.168.0.20

10.0.0.11

10.0.0.4Translation Table

10.0.0.11192.168.0.20

200.200.200.11

NAT

Internet

nat ( if_name) nat_id address [ netmask] [dns]

ciscoasa(config)#

CâuCâu llệệnhnh natnat

Cho phép NAT giải địa chỉ

asa1(config)# nat (inside) 1 0.0.0.0 0.0.0.0

10.0.1.11

10.0.1.4

10.0.1.11X.X.X.X

NAT

Internet

Page 20: Slide Dhtn Asa Vietnam

CâuCâu llệệnhnh globalglobal

Câu lênh này kết hợp với câu lênh nat để gán một giải địa chỉ public IPmap cho các máy vùng inside , ví dụ, 192.168.0.20-192.168.0.254

asa1(config)# nat (inside) 1 0.0.0.0 0.0.0.0

asa1(config)# global (outside) 1 192.168.1.20-192.168.1.254

global( if_name) nat_id { mapped_ip[ -mapped_ip][netmask mapped_mask]} | interface

ciscoasa(config)#

10.0.1.11

10.0.1.4

10.0.1.11192.168.1.20

NAT

Internet

route if_name ip_address netmask gateway_ip[ metric]

ciscoasa(config)#

CCấấuu hhììnhnh Route Route tt ĩĩnhnh: : llệệnhnh routeroute

Cấu hình route tĩnh, default route cho một interface

asa1(config)# route outside 0.0.0.0 0.0.0.0192.168.1.1 1

asa1(config)# route inside 10.1.1.0 255.255.255.0 10.0.1.102 1

192.168.1.110.1.1.11

10.1.1.4

Default Route

10.0.1.102

Route tĩnh

Internet

asa1(config)# names

asa1(config)# name 172.16.1.2 bastionhost

asa1(config)# name 10.0.1.11 insidehost

CCấấuu hhììnhnh map hostnamemap hostname-- IP: IP: câucâu llệệnhnh namename

Cấu hình các địa chỉ IP của server tương ứng với các tên

name ip_address name

ciscoasa(config)#

.2

.1

10.0.1.0

.1Internet

“bastionhost”172.16.1.2

172.16.1.0

.11

“insidehost”10.0.1.11

CCấấuu hhììnhnh mmẫẫuu

asa1(config)# write terminal

. . .

interface GigabitEthernet0/0

speed 1000

duplex full

nameif outside

security-level 0

ip address 192.168.1.2 255.255.255.0

interface GigabitEthernet0/1

speed 1000

duplex full

nameif inside

security-level 100

ip address 10.0.1.1 255.255.255.0 . . .

GigabitEthernet0/0Interface name = outsideSecurity level = 0IP address = 192.168.1.2

GigabitEthernet0/1Interface name = inside Security level = 100IP address = 10.0.1.1

172.16.1.0.1

10.0.1.0

.1192.168.1.0

.2

10.1.1.0

.1Internet

Page 21: Slide Dhtn Asa Vietnam

CCấấuu hhììnhnh mmẫẫuu ((titi ếếpp.).)

interface GigabitEthernet0/2

nameif dmz

security-level 50

speed 1000

duplex full

ip address 172.16.1.1 255.255.255.0

passwd 2KFQnbNIdI.2KYOU encrypted

hostname asa1

names

name 172.16.1.2 bastionhost

name 10.1.1.11 insidehost

172.16.1.0.1

10.0.1.0

.1

192.168.1.0

.2

10.1.1.0

.1

GigabitEthernet0/2Interface name = dmzSecurity level = 50IP address = 172.16.1.1

“insidehost”10.1.1.11

“bastionhost”172.16.1.2

Internet

CCấấuu hhììnhnh mmẫẫuu ((TiTi ếếpp.).)

nat-control

nat (inside) 1 0.0.0.0 0.0.0.0 0 0

global (outside) 1 192.168.1.20-192.168.1.254

route outside 0.0.0.0 0.0.0.0 192.168.1.1 1

route inside 10.1.1.0 255.255.255.0 10.0.1.102 1

10.0.0.0Mapped Pool

192.168.1.20 - 254

172.16.1.0 .2

.1

.102

“insidehost”10.1.1.11

“bastionhost”172.16.1.2

10.0.1.0

.1

192.168.1.0

.2.1

10.1.1.0

.1

Default Route Route tĩnh

Internet

TTóómm ttắắtt

� Thiết bị bảo mật cisco asa có 4 chế độ quản trị chính là : unprivileged, privileged, configuration, và monitor.

� Có hai bộ nhớ dùng để lưu cấu hình bao gồm : running configuration vàstartup configuration.

� Lệnh show running-config hiển thị cấu hình đang lưu ở bộ nhớ RAM lênmàn hình

� Sử dụng lệnh copy run start hoặc write memory để lưu cấu hình . � Interface với mức bảo mật cao hơn có thể truy nhập interface với mức bảo

mật thấp hơn, nhưng ngược lại thì không được, trừ khi có cấu hìnhaccess-list cho phép.

� Lệnh show giúp hiện thị các tham số để quản lý thiết bị.

� Các lệnh cơ bản đều cấu hình cisco firewall bao gồm : interface , nat , global , và route .

� Lệnh nat và global hoạt động đồng thời để dịch chuyển địa chỉ IP.

BBààii 33

Quản lý thiết bị bảo mật cisco ASA

Page 22: Slide Dhtn Asa Vietnam

Cấu hình quản lý truy cập từ xa

telnet {{ hostname | IP_address mask interface_name} | { IPv6_address interface_name} | {timeout number}}

ciscoasa(config)#

asa1(config)# telnet 10.0.0.11 255.255.255.255 insi de

asa1(config)# telnet timeout 15

asa1(config)# passwd telnetpass

Cho phép ta cấu hình những host được phép telnet tới cisco firewall

Cấu hình mật khẩu dùng cho việc telnet tới cisco firewall

passwd password [encrypted]ciscoasa(config)#

10.0.0.11Telnet

Internet

CCấấuu hhììnhnh telnettelnet

XemXem vvàà xxóóaa ccấấuu hhììnhnh TelnetTelnet

kill telnet_id

ciscoasa#

Kick một phiên telnet

Cho phép xem user nào đang có phiên telnet tới thiết bị

who [ local_ip]

ciscoasa#

Xóa cấu hình telnet

clear configure telnet

ciscoasa(config)#

Hiển thị cấu hình các máy được cho phép telnet

show running-config telnet [timeout]

ciscoasa#

CCấấuu hhììnhnh chocho phphéépp truytruy nhnhậậpp SSHSSH

Kết nối SSH tới cisco firewall:� Cung cấp giải pháp truy nhập từ xa an toàn, bảo mật� Xác thực và mã hóa mạnh� Đòi hỏi cặp khóa RSA trên firewall� Yêu cầu khóa kich hoạt 3DES/AES hoặc DES � Cho phép 5 phiên SSH kết nối cùng lúc.� Sử dụng mật khẩu của telnet cho việc truy nhập

Page 23: Slide Dhtn Asa Vietnam

crypto key zeroize {rsa | dsa} [label key-pair-label] [default] [noconfirm]

CCấấuu hhììnhnh SSHSSH

Gỡ bỏ cặp khóa RSA đã có

ciscoasa(config)#

Lưu lại cấu hình

write memory

ciscoasa(config)#

Cấu hình domain-name

domain-name name

ciscoasa(config)#

Tạo cặp khóa RSA mới

crypto key generate rsa[usage-keys | general-keys] [label key-pair-label] [modulus size] [noconfirm]

ciscoasa(config)#

Cho phép những host chỉ định được phép kếtnối ssh tới.

ssh {ip_address mask | ipv6_address/prefix} interface

ciscoasa(config)#

Lượng thời gian idle trước khi kết nối bị ngắt

ssh timeout number

ciscoasa(config)#

asa1(config)# crypto key zeroize rsa

asa1(config)# write memory

asa1(config)# domain-name cisco.com

asa1(config)# crypto key generate rsa modulus 1024

asa1(config)# write memory

asa1(config)# ssh 172.26.26.50 255.255.255.255 outsi de

asa1(config)# ssh timeout 30

172.26.26.50

SSH

username: pix

password: telnetpassword

Internet

CCấấuu hhììnhnh mmẫẫuu

Quản lý phần mềm, cấu hình, license

XemXem ccấấuu trtr úúcc thưthư mmụụcc

Hiển thị nội dung của thư mục hay ổ đĩa cần xem

dir [/all] [/recursive] [all-filesystems | [disk0: | disk1: | flash: | system:] path]

ciscoasa#

asa1# dir

Directory of disk0:/

4346 -rw- 8202240 15:01:10 Oct 19 2006 asa721-k8.bi n

6349 -rw- 5539756 15:30:39 Oct 19 2006 asdm521.bin

7705 -rw- 3334 07:03:57 Oct 22 2006 old_running. cfg

62947328 bytes total (29495296 bytes free)

10.0.0.3

10.0.0.11

192.168.0.0

dirInternet

Có thể sử dụng lệnh pwd để xem đường dẫn của thư mục hiện thời.

Page 24: Slide Dhtn Asa Vietnam

Copy filesCopy files

Copy file từ thư mục này sang thư mục khác

copy [/noconfirm | /pcap] { url | running-config | startup-config} {running-config | startup-config | url}

ciscoasa#

asa1# copy disk0:MYCONTEXT.cfg startup-config

10.0.0.3

10.0.0.11

192.168.0.0

copyInternet

Copy file MYCONTEXT.cfg từ disk0 vào startup configuration

ciscoasa#

ciscoasa#

Backup & restore file Backup & restore file ccấấuu hhììnhnh

Copy file cấu hình từ ftp server

copy ftp: startup-config

Copy file cấu hình sang FTP server

copy running-config ftp:

10.0.0.3

10.0.0.11

192.168.0.0

FTP server

configInternet

Nâng cấp hệ điều hành

XemXem thôngthông tin tin vvềề phiênphiên bbảảnn

asa1# show version

Cisco Adaptive Security Appliance Software Version 7.2(1)

Device Manager Version 5.2(1)

Compiled on Wed 31-May-06 14:45 by root

System image file is “disk0:/asa721-k8.bin”

Config file at boot was “startup-config”

asa1 up 17 hours 40 mins . . .

show version

ciscoasa#

Hiển thị thông tin về phiên bản, cấu hìnhphaanfð cứng, license key, và thời gian thiết bị chạy.

10.0.0.3

10.0.0.11version?

Internet

Page 25: Slide Dhtn Asa Vietnam

NângNâng ccấấpp phiênphiên bbảảnn

asa1# copy tftp://10.0.0.3/asa721-k8.bin flash

copy tftp:// server[ /path] /filename flash:/ filename

ciscoasa#

Copy file image để nâng cấp từ tftp server

TFTP server địa chỉ 10.0.0.3 khi nhận được yêu cầu download của cisco asasẽ tự động tải image xuống flash của cisco asa

10.0.0.3

10.0.0.11

TFTPInternet

SummarySummary

� SSH cung cấp kết nối quản trị từ xa một cách an toàn, bảo mật.

� TFTP được sử dụng để nâng cấp image cho cisco firewall.. � telnet có thể được cấu hình trên tất cả các interface của cisco firewall.

BBààii 44

Access Control Lists (ACLs)

CCấấuu hhììnhnh ACLsACLs trêntrên ciscociscofirewallfirewall

Outside Inside

ACL forInbound Access

ACL forOutbound Access

ACL trên interface chặn hoặc cho phép các gói tin đến hoặc đi khỏi interface đó.

Một ACL chỉ cần mô tả được gói tin khởi tạo của ứng dúng, chiều trả về không cầnthiết phải có trong ACL.

Nếu không có ACLs nào được cấu hình trên interface thì :

Mặc định gói tin từ inside � outside được cho qua (outbound).

Mặc định gói tin từ outside � inside bị chặn (inbound)

Internet

Page 26: Slide Dhtn Asa Vietnam

DDữữ lili ệệuu Inbound Inbound ttớớii DMZ Web ServerDMZ Web Server

Không có ACL, mặc định dữ liệu inbound sẽ bị chặn. Để cho phép dữ liệu inbound, làm theo như sau:

Cấu hình NAT tĩnh cho Web serverCấu hình inbound ACL

Gán ACL cho interface Outside

192.168.1.0

10.0.1.0

Public Web Server

DMZ

Inside

Outside.2.1

InboundX

Internet 192.168.1.0

10.0.1.0

Public Web Server

DMZ

Inside

Outside.2.1

192.168.1.9

172.16.1.2

Ánh xạ một địa chỉ trong vùng inside 172.16.1.2 tương ứng với một địa chỉ public 192.168.1.9.

asa1(config)# static (DMZ,outside) 192.168.1.9 172. 16.1.2 0 0

CCấấuu hhììnhnh NAT NAT tt ĩĩnhnh chocho web serverweb server

Internet

CâuCâu llệệnhnh: access: access--list list

Cho phép từ bên ngoài được truy nhập web server ở DMZ server

asa1(config)# access-list ACLOUT permit tcp any host 192.168.1.9 eq www

ciscoasa(config)#

access-list id [line line-number] [extended] {deny | permit} { protocol| object-group protocol_obj_grp_id}{host sip | sip smask | interface ifc_name | object-group network_obj_grp_id | any} [ operator port[ port] | object-group service_obj_grp_id] {host dip | dip dmask | interface ifc_name | object-group network_obj_grp_id | any} [ operator port [ port] | object-group service_obj_grp_id | object-group icmp_type_obj_group_id] [log [[ level] [interval secs] | disable | default]] [inactive | time-range time_range_name]

192.168.1.0

10.0.1.0

Public Web Server

DMZ

Inside

Outside.2.1

192.168.1.9

172.16.1.2Cho phép dữ liệu

Inbound

HTTP

Internet

CâuCâu llệệnhnh: access: access--groupgroup

192.168.1.0

10.0.1.0

Public Web Server

DMZ

Inside

Outside.2.1

Gán ACL cho interface

asa1(config)# access-group ACLOUT in interface outside

Gán ACL chointerface

ciscoasa(config)#

access-group access-list {in | out} interface interface_name [per-user-override]

Internet

Page 27: Slide Dhtn Asa Vietnam

CâuCâu llệệnhnh: show: show accessaccess--listlist

asa1(config)# show access-list

access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096)

alert-interval 300

access-list ACLOUT; 4 elements

access-list ACLOUT line 1 extended permit tcp 192.168.6.0 255.255.255.0 host 192.168.1.11 eq www (hitcnt=4)0x984ebd70

access-list ACLOUT line 2 extended permit tcp host 192.168.6.10 host 192.168.1 .11 eqftp (hitcnt=1) 0x53490ecd

access-list ACLOUT line 3 extended permit tcp any host 192.168.1.9 eq www (hitc nt=8) 0x83af39ca

access-list ACLOUT line 4 extended deny ip any any (hitcnt=4) 0x2ca30385

access-list ICMPDMZ; 1 elements

access-list ICMPDMZ line 1 extended permit icmp host bastionhost any echo-reply

ICMPDMZ

ACLINACLOUT

192.168.1.0192.168.6.10

Internet

CâuCâu llệệnhnh: clear access: clear access--list counterslist counters

asa1(config)# clear access-list ACLOUT counters

asa1(config)# show access-list

access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096)

alert-interval 300

access-list ACLOUT; 4 elements

access-list ACLOUT line 1 extended permit tcp 192.16 8.6.0 255.255.255.0 host 192.168.1.11 eq www ( hitcnt=0 ) 0x984ebd70

access-list ACLOUT line 2 extended permit tcp host 1 92.168.6.10 host 192.168.1.11 eqftp ( hitcnt=0 ) 0x53490ecd

access-list ACLOUT line 3 extended permit tcp any ho st 192.168.1.9 eq www ( hitcnt=0 ) 0x83af39ca

access-list ACLOUT line 4 extended deny ip any any ( hitcnt=0 ) 0x2ca30385

Internet

192.168.6.10

Web Server172.16.1.2

192.168.1.9ACLIN

ACLOUT

ACL LoggingACL Logging

Cho phép log lại các gói tin icmp tới 192.168.1.11

asa1(config)# access-list OUTSIDE-ACL permit icmp an y host 192.168.1.11 log 7 interval 600

ciscoasa(config)#

ACL SyslogMessages

access-list id [line line-number] [extended] {deny | permit} { protocol | object-group protocol_obj_grp_id}{host sip | sip smask | interface ifc_name | object-group network_obj_grp_id | any} [ operator port [ port] | object-group service_obj_grp_id] {host dip | dip dmask | interface ifc_name | object-group network_obj_grp_id | any} [ operator port [ port] | object-group service_obj_grp_id | object-group icmp_type_obj_group_id] [log [[ level] [interval secs] | disable | default]] [inactive | time-range time_range_name]

Internet

SyslogServer

ChChúú ththííchch chocho ACLACL

asa1(config)# access-list ACLOUT line 2 remark WebMailA access-list

Chén vào lời chú thích cho access-list

ciscoasa(config)#

access-list id [line line-number] remark text

asa1(config)# show access-list

access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096) alert-interval 300

access-list ACLOUT; 6 elements

access-list ACLOUT line 1 extended permit tcp any ho st 192.168.1.7 eq www (hitcnt=0) 0x3df6ed1e

access-list ACLOUT line 2 remark WebMailA access-list

access-list ACLOUT line 3 extended permit tcp any ho st 192.168.1.8 eq www (hitcnt=0) 0xd5383eba

access-list ACLOUT line 4 extended permit tcp any ho st 192.168.1.9 eq www (hitcnt=0)0x2c4288ad

access-list ACLOUT line 5 extended permit tcp any ho st 192.168.1.10 eq www (hitcnt=0) 0xb70c935b

access-list ACLOUT line 6 extended permit tcp any ho st 192.168.1.11 eq www (hitcnt=0) 0x8b43382e

former line 2

Page 28: Slide Dhtn Asa Vietnam

CCấấuu hhììnhnh ACL ACL chocho inbound httpinbound http

Cho phép từ bên ngoài truy nhập vào trang web của DMZ server.

asa1(config)# static (DMZ,outside) 192.168.1.9 172.16.1.2 0 0

asa1(config)# access-list ACLOUT permit tcp any host 192.168.1.9 eq www

asa1(config)# access-group ACLOUT in interface outs ide

192.168.1.0

10.0.1.0

Public Web Server

DMZ

Inside

Outside.2.1

192.168.1.9

172.16.1.2

Inbound

Internet

CâuCâu llệệnhnh : : icmpicmp

Cho phép hoặc không cho phép ping đến interface

asa1(config)# icmp permit any outside

ciscoasa(config)#

icmp {permit | deny} {host s ip | sip smask | any} [ icmp-type] if_name

Outside Inside

ICMP

Cho phép ping từ bên ngoài vào interface

Internet

TTóómm ttắắtt

� ACLs cho phép hệ thống xác định kết nối nào sẽ đượcphép đi qua.

� Với ICM ACLs , ta có thể giúp cho hệ thống không bịphát hiện .

BBààii 5 5

Cisco Adaptive Security Device

Manager (ASDM)

Page 29: Slide Dhtn Asa Vietnam

Tổng quan về ASDM

ASDM ASDM llàà ggìì ??

ASDM là một công cụ cấu hình, quản lý thiết bị bảo mật củacisco, được dựa trên giao diện web.

Internet

SSL Secure Tunnel

CCáácc ttíínhnh năngnăng ccủủaa ASDMASDM

� Chạy đa nền

� Hoạt động dựa trên máy ảo java� Sử dụng SSL để đảm bảo kết nối an toàn, bảo mật� Được tải trước vào bộ nhớ flash với các dòng cisco ASA và Cisco PIX

version 7.2 và mới hơn.� Phiên kết nối ASDM

• 5 phiên kết nối ASDM đối với một thiết bị (single mode)• 32 phiên nối nếu ở chế độ multiple mode

� Hoạt động trên các thiết bị bảo mật : PIX 515E, 525, và 535*� Hoạt động trên các thiết bị bảo mật :Cisco ASA 5505, 5510, 5520, 5540,

và 5550

CCáácc yêuyêu ccầầuu đđốốii vvớớii ciscociscofirewall firewall chchạạyyASDMASDM

* ASDM phiên bản 5.2 đỏi hỏi thiết bị bảo mật chạy hệ điều hành phiên bản 7.2.

Thiết bị bảo mật của Cisco cần đáp ứng các yêucầu sau để chạy ASDM:

� Khóa kích hoạt DES hoặc 3DES� Hỗ trợ java-plugin� Hệ điều hành của firewall phải tương thích với ASDM

sẽ cài đặt.� Phần cứng tương thích.

Page 30: Slide Dhtn Asa Vietnam

YêuYêu ccầầuu vvềề trtr ììnhnh duyduyệệtt web web vvớớii ASDMASDM

Để trình duyệt web có thể chạy được ASDM, cần những yêu cầu sau :

� JavaScript và Java được cho phép chạy trongtrình duyệt.

� SSL được cho phép chạy trong trình duyệt.

Popup blockers có thể chặn ASDM khi chạy.

PhPhầầnn ccứứngng hhỗỗ trtr ợợ

� Windows� Sun Solaris� Linux

ChChạạyy ASDMASDM

Chạy ASDM dưới dạng:� Cài ASDM lên máy tính� Java applet

Chạy

Startup Wizard

CCấấuu hhììnhnh ciscociscofirewall firewall đđểể chchạạyy ASDMASDM

Để sử dụng được ASDM ,trên cisco firewall cần có các thông sốnhư sau :

� Thời gian� Địa chỉ IP bên interface inside và subnet mask� Host name� Domain name� Mở dịch vụ http server � Cho phép một địa chỉ máy chỉ định được truy nhập vào ASDM

Page 31: Slide Dhtn Asa Vietnam

CCấấuu hhììnhnh khkhởởii ttạạoo qua consolequa console

Pre-configure Firewall now through interactive prom pts [yes]? <Enter>

Firewall Mode [Routed]:

Enable Password [<use current password>]: cisco123

Allow password recovery [yes] ?

Clock (UTC)

Year [2006]: <Enter>

Month [Sep]: <Enter>

Day [2]: <Enter>

Time [10:21:49]: <Enter>

Inside IP address: 10.0.1.1

Inside network mask: 255.255.255.0

Host name: asa1

Domain name: ciscoasa.com

IP address of host running Device Manager: 10.0.1.1 1

Use this configuration and write to flash? Y

Giao diện quản trị của ASDM

ASDM Home WindowASDM Home Window

Main toolbar

Thông tin

thiết bị

License

Trạng thái

VPN

Tài nguyen

Hệ thống

Trạng thái

Interface

Trạng thái

dữ liệu

Menu bar

Thông điệpĐược log

ASDM Home Window (ASDM Home Window (titi ếếpp.).)

License tab

Page 32: Slide Dhtn Asa Vietnam

Startup WizardStartup Wizard

Startup Wizard� Interfaces� NAT và PAT

� Hostname � Domain name � Enable

password

VPN WizardVPN Wizard

VPN Wizard� Site-to-Site� Remote

Access

Chú ý : chọn Configuration > VPN để chỉnh sửa các kết nối VPN

High Availability and Scalability High Availability and Scalability WizardWizard

High Availability and Scalability Wizard� Active/Active

Failover

� Active/Standby Failover

� VPN Cluster Load Balancing

Configuration WindowConfiguration Window

Configuration

� Interface

� Security Policy

� NAT� VPN

� IPS

� CSD Manager

� Routing

� Global Objects

� Properties

Page 33: Slide Dhtn Asa Vietnam

InterfacesInterfaces

� IP address

– Static

– DHCP

� Same security level

CCáácc chchíínhnh ssááchch bbảảoo mmậậtt(Security Policy)(Security Policy)

� Access Rules

� AAA Rules� Filter Rules� Service Policy

Rules

CCấấuu hhììnhnh NATNAT

Các cấu hình NAT

• NAT

• Policy NAT

• NAT exemption• Maximum

connections

NAT0

VPNVPN

Chỉnh sửa cáckết nối VPN (edit VPN)

� General� IKE

� IPsec� IP Address

Management� Load Balancing� NAC� WebVPN� E-Mail Proxy

Chú ý: sử dụng Remote Access hoặc Site-to-Site VPN Wizard Để tạo kết nối VPN mới.

Page 34: Slide Dhtn Asa Vietnam

CCấấuu hhììnhnh đđịịnhnh tuytuyếếnn

� Route Tĩnh

� Định tuyến động

– OSPF

– RIP

� Multicast

– IGMP

– MRoute

– PIM

� Proxy ARPs

Global ObjectsGlobal Objects

� Network Object Groups

� IP Names

� Service Groups� Class Maps

� Inspect Maps

� Regular Expressions

� TCP Maps

� Time Ranges

CCáácc llựựaa chchọọnn trongtrong mmụụcc Monitoring Monitoring

� Interfaces

� VPN

� IPS or Trend Micro Content Security

� Routing

� Properties

� Logging

Biểu đồ này cho phéptheo dõi trạng thái

(byte, load,..) của cácinterface

BiBiểểuu đđồồ trtr ạạngng ththááii interfaceinterface

Page 35: Slide Dhtn Asa Vietnam

Packet TracerPacket Tracer

Interface

Source IPSource port

Destination IP

Destination port

Flow lookup

Route lookup

Access list

Options > PreferencesOptions > Preferences

Options

CCáácc côngcôngccụụ

Tools

� Command Line Interface

� Packet Tracer

� Ping

� Traceroute� File

Management

� UgradeSoftware

� Upload ASDM Assistant Guide

� System Reload

� ASDM Java Console

PhPhầầnn gigiúúpp đđỡỡ (Help) (Help)

Help

� Help Topics

� Help for Current Screen

� Release Notes

� Getting Started

� VPN 3000 Migration Guide

� Glossary

� ….

Page 36: Slide Dhtn Asa Vietnam

GiGiúúpp đđỡỡ trtr ựựcc tuytuyếếnn (online Help)(online Help) SummarySummary

� ASDM là một công cụ để cấu hình thiết bị bảo mật của cisco dựa trêngiao diện web.

� Giảm thiếu các cấu hình cần thiết để có thể chạy ASDM.� ASDM chứa nhiều công cụ hỗ trợ giúp cấu hình thiết bị bảo mật.� ASDM có một số wizard sẵn có để đơn giản hóa việc cấu hình:

• Startup Wizard: Hướng dẫn từng bước để ta có thể cấu hình khởitạo .

• VPN Wizard: Hướng dẫn từng bước để ta cấu hình site-to-steVPN hoặc remote access VPN.

• High Availability and Scalability Wizard: Hướng dẫn từng bướcđể cấu hình active/active failover, active/standby failover, vàVPN cluster load balancing

BBààii 66

Firewall Switch Modules (FWSM)

TTổổngng quanquan vvềề FWSMFWSM

� FWSM (Cisco Firewall Services Module) được dựa trêncông nghệ của Cisco PiX, vì thế nó cho cùng mức bảo mậtvà độ tin cậy.

� FWSM là slot mở rộng trên Cisco switch 6500, router 7600

Page 37: Slide Dhtn Asa Vietnam

CCáácc ttíínhnh năngnăng chchíínhnh ccủủaa FWSMFWSM

• Cho phép Switch và Firewall trên cùng m ột nền tảng ph ần cứng.• Dựa trên công ngh ệ của cisco PIX.• Hỗ trợ chế độ tranparent ho ặc ch ế độ routed.• Lên tới 100 Ngữ cảnh an ninh (security contexts)– Lên tới 256 VLANs v ới mỗi ngữ cảnh– lên tới 1000 VLANs v ới tất cả ngữ cảnh• Thông lượng 5-Gbps• Cho phép M ột tri ệu kết nối đồng th ời• Cho phép 100,000 k ết nối trong m ột giây• Cho phép nhi ều firewall trong m ột thi ết b ị phần cứng (tối đa 4)• Định tuy ến động với RIP v1 , v2 và OSPF• Cấu hình d ự phòng

<#>

So So ssáánhnh ttíínhnh năngnăng ccủủaa FWSM FWSM vvàà PIXPIX

<#>

MôMô hhììnhnh kkếếtt nnốốii

<#>

VV ịị trtr ịị đđặặtt MSFCMSFC

<#>

Page 38: Slide Dhtn Asa Vietnam

BBắắtt đâuđâu llààmm quenquen ccấấuu hhììnhnh FWSMFWSM

Trước khi c ấu hình FWSM c ần thực hi ện cácbước cơ bản sau :

• Kiểm tra vi ệc cài đặt FWSM.• Kiểm tra c ấu hình VLANs trên switch.

• Cấu hình VLANs cho FWSM .

<#>

KiKi ểểmm tratra viviệệcc ccààii đđặặtt FWSMFWSM

<#>

KiKi ểểmm tratra ccấấuu hhììnhnh VLANsVLANs trêntrên switchswitch

<#>

Tạo Vlan

Định ngh ĩa một VLAN qu ản tr ị trên MSFC. Gán m ột địa ch ỉ IP .

Firewall VLANFirewall VLAN --GroupGroup

Gán các Vlan-group cho các firewall t ương ứng với slot c ắm vào

Tạo một nhóm Vlan-group để nhóm các VLAN c ần kiểm soát

Page 39: Slide Dhtn Asa Vietnam

CCấấuu hhììnhnh ccáácc Interfaces Interfaces ccủủaa FWSMFWSM

<#>

Cấu hình phiên console t ới FWSMthông số về Processor luôn là 1

CCấấuu hhììnhnh Default RouteDefault Route

<#>

• Default route.

CCấấuu hhììnhnh FWSM AccessFWSM Access--ListList

<#>

FWSM1(config)# access-list 200 permit ip 10.1.1.0 25 5.255.255.0 anyFWSM1(config)# access-group 200 in interface inside

� Mặc định, m ọi dữ liệu không truy ền qua được FWSM �Dữ liệu được cho phép trên m ột interface, có th ể được phépđi qua các interface khác.

KhKhởởii đđộộngng llạạii FWSMFWSM

<#>

�Khởi động lại FWSM

Page 40: Slide Dhtn Asa Vietnam

SummarySummary

• FWSM (Cisco Firewall Services Module) được dựa trêncông nghệ của Cisco PiX, vì thế nó cho cùng mức bảo mậtvà độ tin cậy.

• FWSM là slot mở rộng trên Cisco switch 6500, router 7600• Hỗ trợ chế độ tranparent hoặc chế độ routed.• Câu lệnh của FWSM tương tự như cisco asa hay cisco

PIX.

<#>