Hướng dẫn cấu hình cơ bản Firewall Cisco ASA

Mục lục nội dung

Truy cập Global Configuration Mode Trên Cisco ASA
Cấu hình Hostname, Banner Motd, Password Trên Cisco ASA
- 2.1 Cấu hình hostname, domain name, enable password, banner mode
- 2.2 Cấu hình AES mã hóa Password
Cấu hình VLAN Trên Cisco ASA
- 3.1 Cấu hình Interfaces VLAN
- 3.2 Gán Layer 2 Ports vào VLAN
Cấu hình Default Static Route trên Cisco ASA
Cấu hình Telnet, SSH trên Cisco ASA
- 5.1 Cấu hình Telnet
- 5.2 Cấu hình SSH
Cấu hình NTP trên Cisco ASA
Cấu hình DHCP Server trên Cisco ASA

Truy cập Global Configuration Mode

Về cơ bản Firewall Cisco ASA cũng bao gồm các mode giống như trên các dòng switch hay router của Cisco, bao gồm: User EXEC mode, Privileged EXEC mode, Global configuration mode và Sub-configuration mode. Các bạn đăng nhập vào ASA với password để trống:

Configuration Mode trên firewall cisco ASA

Cấu hình Hostname, Banner Motd, Password

Cấu hình hostname, domain name, enable password, banner mode:

ciscoasa(config)# hostname CNTTSHOP-FW
CNTTSHOP-FW(config)# domain-name cnttshop.vn
CNTTSHOP-FW(config)# enable password cnttshop@123
CNTTSHOP-FW(config)# banner motd ------------------------------------------
CNTTSHOP-FW(config)# banner motd Ban dang truy cap vao firewall cua cty CNTTSHOP
CNTTSHOP-FW(config)# banner motd ------------------------------------------
CNTTSHOP-FW(config)# banner motd
CNTTSHOP-FW(config)# exit
CNTTSHOP-FW# exit

Logoff

--------------------------------------------
Ban dang truy cap vao firewall cua cty CNTTSHOP
--------------------------------------------

Type help or '?' for a list of available commands.
CNTTSHOP-FW>

Cấu hình AES mã hóa Password:

CNTTSHOP-FW(config)# show password encryption
Password Encryption: Disabled
Master key hash: Not set(saved)
CNTTSHOP-FW(config)# key config-key password-encryption cisco123
CNTTSHOP-FW(config)# password encryption aes
CNTTSHOP-FW(config)# show password encryption
Password Encryption: Enabled
Master key hash: 0x45ebef8e 0x77a0f287 0x90247f80 0x2a184246 0xe85cbcc4(not saved)
CNTTSHOP-FW(config)#

Cấu hình VLAN

Trên firewall Cisco ASA, các luồng traffic được chia theo các zone, thông thường là 3 zone: outside (vùng kết nối ra internet), inside (vùng mạng LAN nội bộ), DMZ (vùng chưa các máy chủ dịch vụ public ra internet) và được đặt theo nameif với các mức bảo mật (security level) khác nhau.

Mô hình mạng cơ bản sử dụng firewall Cisco ASA 5506 5508

Cấu hình Interfaces VLAN:

CNTTSHOP-FW(config)# interface vlan 1
CNTTSHOP-FW(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default
CNTTSHOP-FW(config-if)# security-level 100
CNTTSHOP-FW(config-if)# ip address 192.168.1.1 255.255.255.0
CNTTSHOP-FW(config-if)# exit
CNTTSHOP-FW(config)# interface vlan 2
CNTTSHOP-FW(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default
CNTTSHOP-FW(config-if)# security-level 0
CNTTSHOP-FW(config-if)# ip address 100.0.0.100 255.255.255.0
CNTTSHOP-FW(config-if)# exit
CNTTSHOP-FW(config)# interface vlan 3
CNTTSHOP-FW(config-if)# nameif dmz
INFO: Security level for "dmz" set to 50 by default
CNTTSHOP-FW(config-if)# security-level 50
CNTTSHOP-FW(config-if)# ip address 10.0.0.1 255.255.255.128
CNTTSHOP-FW(config-if)# exit

Gán Layer 2 Ports vào VLAN

Gán Cổng layer 2 vào vlan:

CNTTSHOP-FW(config)# interface e0/0
CNTTSHOP-FW(config-if)# switchport access vlan 2
CNTTSHOP-FW(config-if)# no shutdown
CNTTSHOP-FW(config-if)# exit
CNTTSHOP-FW(config)# interface e0/1
CNTTSHOP-FW(config-if)# switchport access vlan 3
CNTTSHOP-FW(config-if)# no shutdown
CNTTSHOP-FW(config-if)# exit
CNTTSHOP-FW(config)# interface range e0/2-7
CNTTSHOP-FW(config-if-range)# switchport access vlan 1
CNTTSHOP-FW(config-if-range)# no shutdown
CNTTSHOP-FW(config-if-range)# exit

Kiểm tra các port đã được gán vào VLAN

CNTTSHOP-FW#show switch vlan
VLAN ------ 1 2 3	Name ---------------------------------- inside outside dmz	Status ------ up up up	Ports --------------------------------- Et0/2, Et0/3, Et0/4, Et0/5, Et0/6, Et0/7 Et0/0 Et0/1
CNTTSHOP-FW#

Kiểm tra IP

CNTTSHOP-FW#show interface ip brief
Interface Ethernet0/0 Ethernet0/1 Ethernet0/2 Ethernet0/3 Ethernet0/4 Ethernet0/5 Ethernet0/6 Ethernet0/7 Internal-Data0/0 Internal-Data0/1 Vlan1 Vlan2 Vlan3 Virtual0	IP-Address unassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned 192.168.1.1 100.0.0.100 10.0.0.1 127.1.0.1	OK? YES YES YES YES YES YES YES YES YES YES YES YES YES YES	Method unset unset unset unset unset unset unset unset unset unset manual manual manual unset	Status up up up up up up up up up up up up up up	Protocol up up up up up up up up up up up up up up

Cấu hình Default Static Route trên Cisco ASA

CNTTSHOP-FW(config)# route outside 0.0.0.0 0.0.0.0 100.0.0.1
CNTTSHOP-FW(config)# show route | begin Gateway
Gateway of last resort is 100.0.0.1 to network 0.0.0.0

S* 0.0.0.0 0.0.0.0 [1/0] via 100.0.0.1, outside
C 192.168.1.0 255.255.255.0 is directly connected, inside
L 192.168.1.1 255.255.255.255 is directly connected, inside
C 100.0.0.0 255.255.255.0 is directly connected, outside
L 100.0.0.100 255.255.255.255 is directly connected, outside
C 10.0.0.0 255.255.255.0 is directly connected, dmz
L 10.0.0.1 255.255.255.255 is directly connected, dmz

Cấu hình Telnet, SSH trên Cisco ASA

Cấu hình Telnet

CNTTSHOP-FW(config)# password cisco
CNTTSHOP-FW(config)# telnet 192.168.1.3 255.255.255.255 inside
CNTTSHOP-FW(config)# telnet timeout 3
CNTTSHOP-FW(config)# show run telnet
telnet 192.168.1.3 255.255.255.255 inside
telnet timeout 3
CNTTSHOP-FW(config)#

Cấu hình SSH

CNTTSHOP-FW(config)# username admin password cnttshop@123
CNTTSHOP-FW(config)# aaa authentication ssh console LOCAL
CNTTSHOP-FW(config)# crypto key generate rsa modulus 2048
WARNING: You have a RSA keypair already defined named .

Do you really want to replace them? [yes/no]: y
Keypair generation process begin. Please wait...
CNTTSHOP-FW(config)# ssh 192.168.1.3 255.255.255.255 inside
CNTTSHOP-FW(config)# ssh 192.168.1.4 255.255.255.255 inside
CNTTSHOP-FW(config)# ssh version 2
CNTTSHOP-FW(config)# show ssh
Timeout: 5 minutes
Version allowed: 2
192.168.1.3 255.255.255.255 inside
192.168.1.4 255.255.255.255 inside
CNTTSHOP-FW(config)#

Cấu hình NTP trên Cisco ASA

CNTTSHOP-FW(config)# ntp authenticate
CNTTSHOP-FW(config)# ntp trusted-key 1
CNTTSHOP-FW(config)# ntp authentication-key 1 md5 cnttshop@123
CNTTSHOP-FW(config)# ntp server 192.168.1.254

Cấu hình DHCP Server trên Cisco ASA

CNTTSHOP-FW(config)# dhcpd address 192.168.1.10-192.168.1.200 inside
CNTTSHOP-FW(config)# dhcpd lease 1800
CNTTSHOP-FW(config)# dhcpd dns 8.8.8.8 8.8.4.4 inside
CNTTSHOP-FW(config)# dhcpd address 10.0.0.10-10.0.0.200 outside
CNTTSHOP-FW(config)# dhcpd lease 1800
CNTTSHOP-FW(config)# dhcpd dns 8.8.8.8 8.8.4.4 outside

Trong bài này mình chỉ hướng dẫn các cấu hình cơ bản trên các dòng firewall Cisco ASA thấp với các cổng mặc định ban đầu là layer2 như ASA5505, ASA5506... Đối với các dòng Cisco ASA cao hơn thì các cổng mặc định là Layer 3 cấu hình sẽ khác so với bài viết này.