Hướng dẫn cấu hình cơ bản Firewall Cisco ASA
Truy cập Global Configuration Mode
Về cơ bản Firewall Cisco ASA cũng bao gồm các mode giống như trên các dòng switch hay router của Cisco, bao gồm: User EXEC mode, Privileged EXEC mode, Global configuration mode và Sub-configuration mode. Các bạn đăng nhập vào ASA với password để trống:
Cấu hình Hostname, Banner Motd, Password
Cấu hình hostname, domain name, enable password, banner mode:
|
ciscoasa(config)# hostname CNTTSHOP-FW
CNTTSHOP-FW(config)# domain-name cnttshop.vn
CNTTSHOP-FW(config)# enable password cnttshop@123
CNTTSHOP-FW(config)# banner motd ------------------------------------------
CNTTSHOP-FW(config)# banner motd Ban dang truy cap vao firewall cua cty CNTTSHOP
CNTTSHOP-FW(config)# banner motd ------------------------------------------
CNTTSHOP-FW(config)# banner motd
CNTTSHOP-FW(config)# exit
CNTTSHOP-FW# exit
Logoff
--------------------------------------------
Ban dang truy cap vao firewall cua cty CNTTSHOP
--------------------------------------------
Type help or '?' for a list of available commands.
CNTTSHOP-FW>
|
Cấu hình AES mã hóa Password:
CNTTSHOP-FW(config)# show password encryption
Password Encryption: Disabled
Master key hash: Not set(saved)
CNTTSHOP-FW(config)# key config-key password-encryption cisco123
CNTTSHOP-FW(config)# password encryption aes
CNTTSHOP-FW(config)# show password encryption
Password Encryption: Enabled
Master key hash: 0x45ebef8e 0x77a0f287 0x90247f80 0x2a184246 0xe85cbcc4(not saved)
CNTTSHOP-FW(config)# |
Cấu hình VLAN
Trên firewall Cisco ASA, các luồng traffic được chia theo các zone, thông thường là 3 zone: outside (vùng kết nối ra internet), inside (vùng mạng LAN nội bộ), DMZ (vùng chưa các máy chủ dịch vụ public ra internet) và được đặt theo nameif với các mức bảo mật (security level) khác nhau.
Cấu hình Interfaces VLAN:
|
CNTTSHOP-FW(config)# interface vlan 1
CNTTSHOP-FW(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default
CNTTSHOP-FW(config-if)# security-level 100
CNTTSHOP-FW(config-if)# ip address 192.168.1.1 255.255.255.0
CNTTSHOP-FW(config-if)# exit
CNTTSHOP-FW(config)# interface vlan 2
CNTTSHOP-FW(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default
CNTTSHOP-FW(config-if)# security-level 0
CNTTSHOP-FW(config-if)# ip address 100.0.0.100 255.255.255.0
CNTTSHOP-FW(config-if)# exit
CNTTSHOP-FW(config)# interface vlan 3
CNTTSHOP-FW(config-if)# nameif dmz
INFO: Security level for "dmz" set to 50 by default
CNTTSHOP-FW(config-if)# security-level 50
CNTTSHOP-FW(config-if)# ip address 10.0.0.1 255.255.255.128
CNTTSHOP-FW(config-if)# exit
|
Gán Layer 2 Ports vào VLAN
Gán Cổng layer 2 vào vlan:
|
CNTTSHOP-FW(config)# interface e0/0
CNTTSHOP-FW(config-if)# switchport access vlan 2
CNTTSHOP-FW(config-if)# no shutdown
CNTTSHOP-FW(config-if)# exit
CNTTSHOP-FW(config)# interface e0/1
CNTTSHOP-FW(config-if)# switchport access vlan 3
CNTTSHOP-FW(config-if)# no shutdown
CNTTSHOP-FW(config-if)# exit
CNTTSHOP-FW(config)# interface range e0/2-7
CNTTSHOP-FW(config-if-range)# switchport access vlan 1
CNTTSHOP-FW(config-if-range)# no shutdown
CNTTSHOP-FW(config-if-range)# exit
|
Kiểm tra các port đã được gán vào VLAN
| CNTTSHOP-FW#show switch vlan |
VLAN
------
1
2
3 |
Name
----------------------------------
inside
outside
dmz |
Status
------
up
up
up |
Ports
---------------------------------
Et0/2, Et0/3, Et0/4, Et0/5, Et0/6, Et0/7
Et0/0
Et0/1 |
| CNTTSHOP-FW# |
Kiểm tra IP
| CNTTSHOP-FW#show interface ip brief |
Interface
Ethernet0/0
Ethernet0/1
Ethernet0/2
Ethernet0/3
Ethernet0/4
Ethernet0/5
Ethernet0/6
Ethernet0/7
Internal-Data0/0
Internal-Data0/1
Vlan1
Vlan2
Vlan3
Virtual0 |
IP-Address
unassigned
unassigned
unassigned
unassigned
unassigned
unassigned
unassigned
unassigned
unassigned
unassigned
192.168.1.1
100.0.0.100
10.0.0.1
127.1.0.1 |
OK?
YES
YES
YES
YES
YES
YES
YES
YES
YES
YES
YES
YES
YES
YES
|
Method
unset
unset
unset
unset
unset
unset
unset
unset
unset
unset
manual
manual
manual
unset |
Status
up
up
up
up
up
up
up
up
up
up
up
up
up
up |
Protocol
up
up
up
up
up
up
up
up
up
up
up
up
up
up |
Cấu hình Default Static Route trên Cisco ASA
|
CNTTSHOP-FW(config)# route outside 0.0.0.0 0.0.0.0 100.0.0.1
CNTTSHOP-FW(config)# show route | begin Gateway
Gateway of last resort is 100.0.0.1 to network 0.0.0.0
S* 0.0.0.0 0.0.0.0 [1/0] via 100.0.0.1, outside
C 192.168.1.0 255.255.255.0 is directly connected, inside
L 192.168.1.1 255.255.255.255 is directly connected, inside
C 100.0.0.0 255.255.255.0 is directly connected, outside
L 100.0.0.100 255.255.255.255 is directly connected, outside
C 10.0.0.0 255.255.255.0 is directly connected, dmz
L 10.0.0.1 255.255.255.255 is directly connected, dmz
|
Cấu hình Telnet, SSH trên Cisco ASA
Cấu hình Telnet
CNTTSHOP-FW(config)# password cisco
CNTTSHOP-FW(config)# telnet 192.168.1.3 255.255.255.255 inside
CNTTSHOP-FW(config)# telnet timeout 3
CNTTSHOP-FW(config)# show run telnet
telnet 192.168.1.3 255.255.255.255 inside
telnet timeout 3
CNTTSHOP-FW(config)# |
Cấu hình SSH
|
CNTTSHOP-FW(config)# username admin password cnttshop@123
CNTTSHOP-FW(config)# aaa authentication ssh console LOCAL
CNTTSHOP-FW(config)# crypto key generate rsa modulus 2048
WARNING: You have a RSA keypair already defined named .
Do you really want to replace them? [yes/no]: y
Keypair generation process begin. Please wait...
CNTTSHOP-FW(config)# ssh 192.168.1.3 255.255.255.255 inside
CNTTSHOP-FW(config)# ssh 192.168.1.4 255.255.255.255 inside
CNTTSHOP-FW(config)# ssh version 2
CNTTSHOP-FW(config)# show ssh
Timeout: 5 minutes
Version allowed: 2
192.168.1.3 255.255.255.255 inside
192.168.1.4 255.255.255.255 inside
CNTTSHOP-FW(config)#
|
Cấu hình NTP trên Cisco ASA
CNTTSHOP-FW(config)# ntp authenticate
CNTTSHOP-FW(config)# ntp trusted-key 1
CNTTSHOP-FW(config)# ntp authentication-key 1 md5 cnttshop@123
CNTTSHOP-FW(config)# ntp server 192.168.1.254 |
Cấu hình DHCP Server trên Cisco ASA
CNTTSHOP-FW(config)# dhcpd address 192.168.1.10-192.168.1.200 inside
CNTTSHOP-FW(config)# dhcpd lease 1800
CNTTSHOP-FW(config)# dhcpd dns 8.8.8.8 8.8.4.4 inside
CNTTSHOP-FW(config)# dhcpd address 10.0.0.10-10.0.0.200 outside
CNTTSHOP-FW(config)# dhcpd lease 1800
CNTTSHOP-FW(config)# dhcpd dns 8.8.8.8 8.8.4.4 outside |
Trong bài này mình chỉ hướng dẫn các cấu hình cơ bản trên các dòng firewall Cisco ASA thấp với các cổng mặc định ban đầu là layer2 như ASA5505, ASA5506... Đối với các dòng Cisco ASA cao hơn thì các cổng mặc định là Layer 3 cấu hình sẽ khác so với bài viết này.
Switch
.png){kind=icon}
.png){kind=logo}
.jpg)
.png){kind=logo}
![[Cisco] Hướng dẫn Cấu hình và quản lý Stack Switch Cisco](https://cnttshop.vn//storage/bai%20viet/cisco/config-stack-switch-cisco-min.jpg "[Cisco] Hướng dẫn Cấu hình và quản lý Stack Switch Cisco")
![[Cisco] Hướng dẫn cài ASDM Cisco ASA](https://cnttshop.vn//storage/bai%20viet/cisco/Cisco-ASA/ASDM/ASA-installation-ASDM-5.jpg "[Cisco] Hướng dẫn cài ASDM Cisco ASA")
![[Cisco] Hướng dẫn Active License Router Cisco](https://cnttshop.vn//storage/bai%20viet/cisco/active-license-router-cisco-irs4000-min.jpg "[Cisco] Hướng dẫn Active License Router Cisco")
![[CISCO] Activating Throughput License on Router Cisco ISR4000 Series](https://cnttshop.vn//storage/bai%20viet/cisco/active-license-throughput-min.jpg "[CISCO] Activating Throughput License on Router Cisco ISR4000 Series")
![[CISCO] Hướng dẫn cấu hình Remote Access VPNs (ASDM)](https://cnttshop.vn//storage/bai%20viet/cisco/Cisco-ASA/VPN-ASA/remote%20access%20.jpg "[CISCO] Hướng dẫn cấu hình Remote Access VPNs (ASDM)")
Bình luận bài viết!
Không được anh nhé. Dòng FTD sử dụng 1 OS khác và sử dụng giao diện web để cấu hình