Upload
kendra
View
112
Download
10
Embed Size (px)
DESCRIPTION
ĐÀO TẠO Bảo mật - Cisco Firewall. Lịch học. Ngày 1. Ngày 2. Ngày 3. Nội Dung Mục Tiêu Lịch Học: Trong 5 ngày Sáng từ 9h-11h30 Chiều từ 14h-16h30. Bài 2: Các bước đầu làm quen và cấu hình thiết bị bảo mật của Cisco (continue) Bài 3: Quản lý thiết bị bảo mật cisco ASA Bài 4: - PowerPoint PPT Presentation
Citation preview
ĐÀO TẠOĐÀO TẠOBảo mật - Cisco FirewallBảo mật - Cisco Firewall
Lịch họcLịch học
Nội Dung
Mục Tiêu
Lịch Học: Trong 5 ngày
Sáng từ 9h-11h30
Chiều từ 14h-16h30
Sáng
8h30-11h30
Lý thuyết
Chiều
14h-17h00
Thực hành
Ngày 1 Ngày 2 Ngày 3
Bài 1 : Tổng quan về Cisco Firewall
Bài 2: Các bước đầu làm quen và cấu hình thiết bị bảo mật của Cisco
Bài 1 :Thiết lập console đến thiết bị firewall
Bài 2: Thực hiện một số câu lệnh cơ bản
Bài 3: Cấu hình các interface
Bài 2: Các bước đầu làm quen và cấu hình thiết bị bảo mật của Cisco (continue)
Bài 3:Quản lý thiết bị bảo mật cisco ASA
Bài 4:Access Control Lists
Bài 4: Cấu hình NAT và cấu hình Định tuyến
Bài 5: Kiểm tra kết nối tới các cổng Inside, Outside, và DMZ
Bài 6 :Cấu hình Access-lists (ACLs) trên firewall
Bài 5:Cisco Adaptive Security Device Manager
Bài 6: Firewall Switch Modules (FWSM)
Bài 7: Quản trị Cisco firewall
Giới thiệuGiới thiệu
Người trình bày:
1. Họ Tên
2. Vị trí công tác
3. Kinh nghiệm
Học viên giới thiệu
1. Họ tên
2. Vị trí công tác
3. Những kinh nghiệm về bảo mật mạng…
Bài 1Bài 1 Tổng quan về Cisco Firewall Tổng quan về Cisco Firewall
Firewall là gì ?Firewall là gì ?
Outside
Vùng mạng
DMZ
Vùng mạng
Inside
Vùng mạng
Internet
Firewall là một hệ thống hoặc một nhóm các hệ thống Kiểm soát quyền truy cập giữa hai hoặc nhiều vùng mạng.
.
Các công nghệ về FirewallCác công nghệ về Firewall
Firewall hoạt động được dựa trên một trong ba công nghệ :
Packet filtering Proxy server Stateful packet filtering
Data A B
Data A C
DMZ:Server B
Inside:Server C
Host A
AB-YesAC-No
Internet
Việc Kiểm soát truy nhập thông tin dựa vào địa chỉ nguồn
Và địa chỉ đích của gói tin gửi đến
Packet FilteringPacket Filtering
Proxy ServerProxy Server
Outside
Network
Proxy
Server
Inside
Network
Internet
Các kết nối từ được thông qua một máy chủ đại diện trung gian.
Stateful Packet FilteringStateful Packet Filtering
172.16.0.50
10.0.0.11
1026
80
49091
Syn
172.16.0.50
192.168.0.20
49769
Syn
1026
80
Source portDestination address
Source address
Initial sequence no.Destination port
FlagAck
State Table
DMZ:Server B
Inside:Server C
Host A
Internet
Việc Kiểm soát truy nhập thông tin không chỉ dựa vào địa chỉ nguồn Và địa chỉ đích của gói tin gửi đến mà còn dựa vào bảng
trạng thái (state table)
Data HTTP A B
Hệ thống bảo mật của Cisco Hệ thống bảo mật của Cisco
Hệ thống bảo mật của cisco cung cấp giải pháp an ninh , bảo mật hướng tới các đối tượng khách hàng. Một số tính năng của thiết bị an ning bảo mật của cisco như sau:
Hệ điều hành riêng biệt Stateful packet inspection Xác thực người dùng Theo dõi, giám sát các ứng dụng và giao thức Modular policy framework Mạng riêng ảo (VPN) Các ngữ cảnh bảo mật (các firewall ảo) Stateful failover Transparent firewalls Quản trị dựa trên giao diện web
Hệ điều hành riêng biệtHệ điều hành riêng biệt
Việc sử dụng hệ điều hành riêng biệt loại trừ được các nguy cơ bảo mật khi sử dụng chung với các hệ điều hành khác
Stateful Packet InspectionStateful Packet Inspection
Giải thuật kiểm tra gói tin -statefull packet inspection cung cấp các kết nối bảo mật .
Mặc định, giải thuật này cho phép kết nối từ máy vùng trong (cấp độ bảo mật cao hơn) sang các vùng có cấp độ bảo mật thấp hơn
Mặc định, giải thuật này chặn các kết nối từ máy vùng ngoài (cấp độ bảo mật thấp hơn ) sang các vùng có cấp độ bảo cao hơn
Giải thuật này hỗ trợ xác thực, ủy quyền và theo dõi.
Nhận diện ứng dụngNhận diện ứng dụng
FTPServer Client
ControlPort2008
DataPort2010
DataPort20
ControlPort21
Data - Port 2010
Port 2010 OK
Data
Cá giao thưc như FTP, HTTP, H.323, and SQL*Net cần các kết nối từ
Nhiều port khác nhau để truyền dữ liệu qua firewall .
Thiết bị bảo mật sẽ theo dõi quá trình kết nối này.
Các port cần cho kết nối sẽ được mở một cách an toàn theo từng ứng dụng.
HeadquartersSystem Engineer
Site B
Executives
Site C
T1
Internet
SEexec
S2S S2S
Internet
Modular PolicyModular Policy
Class MapTraffic Flow
DefaultInternet
Systems EngineerExecutivesSite to Site
Policy MapServicesInspect
IPSPolicePriority
Service PolicyInterface/Global
GlobalOutside
Mạng riêng ảo (VPN)Mạng riêng ảo (VPN)
B A N K
Site to Site
Remote Access
IPsec VPNSSL VPN
Internet
B A N K
Headquarters
Các ngữ cảnh bảo mật Các ngữ cảnh bảo mật
4 thiết bị firewall thật1 thiết bị firewall thật4 thiết bị firewall ảo
InternetInternet
Cung cấp khả năng tạo nhiều firewall ảo trên một thiết bị firewall thật
Khả năng Failover : Active/Standby, Khả năng Failover : Active/Standby, Active/Active, và Stateful FailoverActive/Active, và Stateful Failover
Primary:Failed Firewall
Secondary: Active Firewall
Internet
Failover: Active/Standby
Primary: Failed/Standby
Failover: Active/Active
Secondary: Active/Active
Internet
Contexts
Khả năng dự phòng (Failover) đảm bảo kết nối mạng được thông suốt khi một thiết bị hỏng..
– Active/standby: một thiết bị sẽ chạy chính, một thiết bị sẽ dự phòng.
– Active/Active: Cả hai thiết bị đều chạy , chia tải và dự phòng lẫn nhau.
Stateful failover: duy trì trạng thái kết nối khi một thiết bị kết nối chính hỏng.
2121
Transparent FirewallTransparent Firewall
192.168.1.2
192.168.1.5
Internet
Có khả năng triển khai thiết bị bảo mật ở layer 2
Cho phép bảo mật từ layer 2 đến layer 7 và hoạt động như một thiết bị layer 2
Giải pháp quản trị dùng webGiải pháp quản trị dùng web
Adaptive Security Device
Manager(ASDM)
Các loại firewall của cisco và tính năng
Các dòng sản phẩm ASA 5500Các dòng sản phẩm ASA 5500
DN nhỏ
Giá
Chức năng
Gigabit Ethernet
Doanh nghiệp lớnROO SP
ASA 5520
ASA 5540
ASA 5510
ASA 5550
ASA 5505
SP = service provider ( nhà cung cấp dịch vụ)
Các văn phòng
Các dòng sản phẩm PIX 500Các dòng sản phẩm PIX 500
DN nhỏ
Giá
Chức năng
Gigabit Ethernet
Doanh nghiệp lớn
PIX 515E
PIX 525
PIX 535
SOHO
PIX 501
PIX 506E
SPROBOCác văn phòng
Thiết bị bảo mật Cisco ASA 5510Thiết bị bảo mật Cisco ASA 5510
Nâng cao an ninh và cung cấp dịch vụ mạng, bao gồm cả các dịch vụ VPN, cho các doanh nghiệp nhỏ.
Cung cấp lên tới 130,000 kết nối đồng thời. Thông lượng có thể đáp ứng tới 300-Mbps Các interface được hỗ trợ:
• Lên tới 5 cổng 10/100 Fast Ethernet • Lên tới 25 VLANs• Lên tới 5 ngữ cảnh (contexts)
Hỗ trợ failover• Active/standby
Hỗ trợ VPNs• Site to site (250 peers)• Remote access• WebVPN
Hỗ trợ thêm các module SSMs (Cisco ASA AIP SSM, Cisco ASA CSC SSM, và Gigabit Ethernet SSM loại 4 port)
Thiết bị bảo mật Cisco ASA 5520Thiết bị bảo mật Cisco ASA 5520
Cung cấp các dịch vụ bảo mật , kể cả vpn cho các doanh nghiệp cỡ vừa. Cung cấp lên tới 280,000 kết nối đồng thời. Thông lượng có thể đáp ứng 450-Mbps Các interface được hỗ trợ:
• 4 10/100/1000 Gigabit Ethernet interfaces• 1 10/100 Fast Ethernet interface• Lên tới 100 VLANs• Lên tới 20 contexts
Hỗ trợ failover• Active/standby• Active/active
Hỗ trợ VPNs• Site to site (750 peers)• Remote access• WebVPN
Hỗ trợ thêm các module SSMs (Cisco ASA AIP SSM, Cisco ASA CSC SSM, và Gigabit Ethernet SSM loại 4 port)
Thiết bị bảo mật Cisco ASA 5540Thiết bị bảo mật Cisco ASA 5540
Cung cấp các dịch vụ cần hiệu quả cao, các loại dịch vụ bảo mật , kể cả vpn cho các doanh nghiệp lớn và các nhà cung cấp dịch vụ.
Cung cấp lên tới 400,000 kết nối đồng thời Thông lượng đáp ứng 650-Mbps Các interface hỗ trợ:
• 4 10/100/1000 Gigabit Ethernet interfaces• 1 10/100 Fast Ethernet interface• Lên tới 200 VLANs• Lên tới 50 contexts
Hỗ trợ failover• Active/standby• Active/active
Hỗ trợ VPNs• Site to site (5,000 peers)• Remote access • WebVPN
Hỗ trợ thêm cá module SSMs (Cisco ASA AIP SSM, Cisco ASA CSC SSM, and four-portGigabit Ethernet SSM)
Các thiết bị bảo mật ASA 5510, 5520, Các thiết bị bảo mật ASA 5510, 5520, và 5540 mặt phía trướcvà 5540 mặt phía trước
Power
Status
Active
Flash
VPN
Các thiết bị bảo mật ASA 5510, 5520, Các thiết bị bảo mật ASA 5510, 5520, và 5540 mặt phía sauvà 5540 mặt phía sau
Các module SSMs
Các interface cố định
Bộ nhớ flash
Các thiết bị bảo mật ASA 5510, 5520, Các thiết bị bảo mật ASA 5510, 5520, và 5540 cổng kết nốivà 5540 cổng kết nối
4 cổng 10/100/1000Gigabit Ethernet
Cổng quản trị outband
Cổng AUX
Bộ nhớ Flash
2 cổng USB 2.0
Nguồn điện(AC hoặc DC)
CổngConsole
*Với thiệt bị bảo mật ASA 5510 hỗ trợ cổng 10/100
Cisco ASA Security Services ModuleCisco ASA Security Services Module
Module cung cấp các dịch vụ
mở rộng cho thiết bị bảo mật
Sử dụng bộ nhớ flash
để tăng cường độ tin cậy
Có cổng Gigabit ethernet
cho phép quản trị outband
Các kiểu module SSMCác kiểu module SSM
power Status
Speed
Link andactivity
SSM-10
Bộ xử lý 2.0-GHz
1.0 GB RAM
SSM-20
Bộ xử lý 2.4-GHz
2.0 GB RAM
SSM loại 4 port Gigabit ethernetSSM loại 4 port Gigabit ethernet
RJ-45 linkLED
RJ-45speedLED
SFP linkLED
SFPspeedLED
RJ-45ports
PowerLED
StatusLED SFP
ports
Tóm tắtTóm tắt
Firewall là thiết bị kiểm soát truy nhập từ vùng mạng này sang vùng mạng khách
Statefull firewall là thiết bị hoạt động hiệu quả nhất. Thiết bị bảo mật của cisco bao gồm PIX và ASA . Các thiết bị bảo mật ASA 5510, 5520 nhắm tới thị trường các doanh
nghiệp vừa và nhỏ. Các chức năng của thiết bị bảo mật có thể được mở rộng nhờ vào SSMs.
Bài 2Bài 2
Các bước đầu làm quen và cấu hình thiết bị bảo mật của Cisco
Giao diện người sử dụng
ciscoasa>
ciscoasa#
ciscoasa(config)#
monitor>
Thiết bị bảo mật Cisco có 4 chế độ truy nhập như sau :
UnprivilegedPrivilegedConfiguration
Monitor
Các chế độ truy nhậpCác chế độ truy nhập
ciscoasa> enable
password:
ciscoasa#
enable [priv_level]
ciscoasa>
Lệnh này để cho phép truy nhập vào chế độ Priviledged
Chế độ PrivilegedChế độ Privileged
Internet
Chế độ Configuration : câu lệnh Chế độ Configuration : câu lệnh configure terminal configure terminal
configure terminal
ciscoasa#
Dùng lệnh này để đăng nhập vào chế độ Configuation
ciscoasa> enable
password:
ciscoasa# configure terminal
ciscoasa(config)# exit
ciscoasa# exit
ciscoasa>
exit
ciscoasa#
Lệnh exit dùng để thoát khoải chế độ hiện tại, trở về chế độ trước đó
ciscoasa > help ?
enable Turn on privileged commands
exit Exit the current command mode
login Log in as a particular user
logout Exit from current user profile to unprivileged mode
perfmon Change or view performance monitoring options
ping Test connectivity from specified interface to an IP address
quit Exit the current command mode
ciscoasa > help enable
USAGE:
enable [<priv_level>]
Lệnh help Lệnh help
Quản lý và lưu trữ các File cấu hình
Các lệnh dưới đây cho phép xem cấu hình:
• show running-config
• show startup-config
Các lệnh dưới đây cho phép lưu cấu hình
copy run start write memory
Để lưu lại cấu hình thay đổi, dùng lệnh:
copy run start
running-
config
startup-
config
(saved)
Cấu hình
thay đổi
Xem và lưu lại cấu hìnhXem và lưu lại cấu hình
Xóa cấu hình đang chạy Xóa cấu hình đang chạy running-configrunning-config
ciscoasa(config)#
clear configure all
Xóa cấu hình đang chạy
ciscoasa(config)# clear config all
Xóa cấu hình đang chạy :
clear config all
running-
config
(default)
startup-
config
Xóa cấu hình lúc khởi độngXóa cấu hình lúc khởi độngstartup-configstartup-config
ciscoasa#
write erase
Xóa cấu hình lúc khởi động
ciscoasa# write erase
Xóa cấu hình lúc khởi động :
write erase
running-
config
startup-
config
(default)
Khởi động lại thiết bị : lệnh reloadKhởi động lại thiết bị : lệnh reload
Khởi động lại , thiết bị sẽ tự động lấy lại cấu hình startup-config copy vào running-config để chạy.
ciscoasa# reload
Proceed with reload?[confirm] y
Rebooting...
reload [at hh:mm [month day | day month]] [cancel] [in [hh:]mm] [max-hold-time [hh:]mm] [noconfirm] [quick] [reason text] [save-config]
ciscoasa#
File hệ thốngFile hệ thống
Release 7.0and later
Software image Configuration file Private data ASDM image Backup image* Backup
configuration file*
Hiển thị các file lưu trữ : file hệ thống Hiển thị các file lưu trữ : file hệ thống và file cấu hìnhvà file cấu hình
Hiển thị nội dung của ổ đĩa .
ciscoasa#
PIX
flash:
ASA
disk0:
disk1:
ciscoasa# dir
Directory of disk0:/
8 -rw- 8202240 13:37:33 Jul 28 2006 asa721-k8.bin
1264 -rw- 5539756 13:21:13 Jul 28 2006 asdm-521.bin
62947328 bytes total (49152000 bytes free)
dir [/all] [/recursive] [all-filesystems] [disk0: | disk1: | flash: | system:]
Internet
Các mức bảo mật (security levels)Các mức bảo mật (security levels)
Vùng Outside
GigabitEthernet0/0
Security level 0
Interface name = outside
Vùng DMZ
GigabitEthernet0/2
Security level 50
Interface name = DMZ
Vùng Inside
GigabitEthernet0/1
Security level 100
Interface name = inside
g0/0
g0/2
g0/1Internet
Kiểm tra trạng thái của thiết bị bảo mật
asa1# show interfaceInterface GigabitEthernet0/0 "outside", is up, line protocol is up Detected: Speed 1000 Mbps, Full-duplex Requested: Auto MAC address 000b.fcf8.c538, MTU 1500 IP address 192.168.1.2, subnet mask 255.255.255.0 0 packets input, 0 bytes, 0 no buffer Received 0 broadcasts, 0 runts, 0 giants 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 0 packets output, 0 bytes, 0 underruns input queue (curr/max blocks): hardware (0/0) software (0/0) output queue (curr/max blocks): hardware (0/0) software (0/0) Received 0 VLAN untagged packets, 0 bytes Transmitted 0 VLAN untagged packets, 0 bytes Dropped 0 VLAN untagged packets
Câu lệnh showCâu lệnh show
asa1# show run interface. . .interface GigabitEthernet0/0 speed 1000 duplex full nameif outside security-level 0 ip address 192.168.1.2 255.255.255.0!interface GigabitEthernet0/1 speed 1000 duplex full nameif inside security-level 100 ip address 10.0.1.1 255.255.255.0 . . .
show run interface
show interface
asa1# show memory
Free memory: 468962336 bytes (87%)
Used memory: 67908576 bytes (13%)
------------- ----------------
Total memory: 536870912 bytes (100%)
Lệnh show memoryLệnh show memory
ciscoasa#
show memory
asa1# show cpu usage
CPU utilization for 5 seconds = 0%; 1 minute: 0%; 5 minutes: 0%
Lệnh show cpu usageLệnh show cpu usage
ciscoasa#
show cpu usage
10.0.1.11
10.0.1.4
Internet
Lệnh show versionLệnh show versionasa1# show versionCisco Adaptive Security Appliance Software Version 7.2(1)Device Manager Version 5.2(1)
Compiled on Wed 31-May-06 14:45 by rootSystem image file is "disk0:/asa721-k8.bin"Config file at boot was "startup-config"
ciscoasa up 2 mins 51 secs
Hardware: ASA5520, 512 MB RAM, CPU Pentium 4 Celeron 2000 MHzInternal ATA Compact Flash, 64MBBIOS Flash AT49LW080 @ 0xffe00000, 1024KB. . .
asa1# show ip address
System IP Addresses:
Interface Name IP address Subnet mask Method
GigabitEthernet0/0 outside 192.168.1.2 255.255.255.0 CONFIG
GigabitEthernet0/1 inside 10.0.1.1 255.255.255.0 CONFIG
GigabitEthernet0/2 dmz 172.16.1.1 255.255.255.0 CONFIG
Current IP Addresses:
Interface Name IP address Subnet mask MethodGigabitEthernet0/0 outside 192.168.1.2 255.255.255.0 CONFIGGigabitEthernet0/1 inside 10.0.1.1 255.255.255.0 CONFIG GigabitEthernet0/2 dmz 172.16.1.1 255.255.255.0 CONFIG
Lệnh show ip addressLệnh show ip address
Internet192.168.1.0 10.0.1.0 10.1.1.0
172.16.1.0
.2
.1
.1 .1
asa1# show interfaceInterface GigabitEthernet0/0 "outside", is up, line protocol is up Hardware is i82546GB rev03, BW 1000 Mbps Full-Duplex(Full-duplex), 100 Mbps(100 Mbps) MAC address 0013.c482.2e4c, MTU 1500 IP address 192.168.1.2, subnet mask 255.255.255.0 8 packets input, 1078 bytes, 0 no buffer Received 8 broadcasts, 0 runts, 0 giants 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 0 L2 decode drops 0 packets output, 0 bytes, 0 underruns 0 output errors, 0 collisions 0 late collisions, 0 deferred input queue (curr/max blocks): hardware (8/0) software (0/0) output queue (curr/max blocks): hardware (0/0) software (0/0) Traffic Statistics for "outside": 8 packets input, 934 bytes 0 packets output, 0 bytes 8 packets dropped 1 minute input rate 0 pkts/sec, 0 bytes/sec 1 minute output rate 0 pkts/sec, 0 bytes/sec 1 minute drop rate, 0 pkts/sec 5 minute input rate 0 pkts/sec, 0 bytes/sec 5 minute output rate 0 pkts/sec, 0 bytes/sec 5 minute drop rate, 0 pkts/sec
Lệnh show interfaceLệnh show interface
Lệnh show nameifLệnh show nameif
asa1# show nameifInterface Name SecurityGigabitEthernet0/0 outside 0GigabitEthernet0/1 inside 100
GigabitEthernet0/2 dmz 50
GigabitEthernet0/0
Interface name = outside
Security level = 0
GigabitEthernet0/2
Interface name = dmz
Security level = 50
GigabitEthernet0/1
Interface name = inside
Security level = 100
g0/0
g0/2
g0/1Internet
Lệnh show run natLệnh show run nat
asa1# show run nat
nat (inside) 1 10.0.1.0 255.255.255.0 0 0
Hiển thị host hoặc cả một giải địa chỉ được NAT
ciscoasa#
show run nat
10.0.1.11
10.0.1.4
10.0.1.XX.X.X.X
NAT
Internet
Lệnh show run globalLệnh show run global
asa1# show run global
global (outside) 1 192.168.1.20-192.168.1.254 netmask 255.255.255.0
Hiển thị giải địa chỉ sẽ được map cho các host bên trong
ciscoasa#
show run global
Mapped Pool
192.168.1.20-192.168.1.254
10.0.1.11
10.0.1.4
10.0.1.X
Internet
Lệnh show xlateLệnh show xlate
asa1# show xlate
1 in use, 1 most used
Global 192.168.1.20 Local 10.0.1.11
Displays the contents of the translation slots
ciscoasa#
show xlate
192.168.1.2010.0.1.11
10.0.1.4
10.0.1.11
Inside
local
Outside
mapped pool
10.0.1.11192.168.1.20
Xlate Table
Internet
Lệnh show routeLệnh show route
asa1(config)# show route
S 0.0.0.0 0.0.0.0 [1/0] via 192.168.1.1, outside
C 10.0.1.0 255.255.255.0 is directly connected, inside
C* 127.0.0.0 255.255.0.0 is directly connected, cplane
C 172.16.1.0 255.255.255.0 is directly connected, dmz
C 192.168.1.0 255.255.255.0 is directly connected, outside
g0/0
g0/2
g0/1Internet
10.0.1.0192.168.1.0
.1
172.16.1.0
Hiển thị bảng thông tin định tuyến
ciscoasa#
show route [interface_name [ip_address [netmask [static]]]]
Lệnh pingLệnh ping
Kiểm tra sự tồn tại của một host trên mạng
asa1# ping 10.0.1.11
Sending 5, 100-byte ICMP Echos to 10.0.1.11, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 10/12/20 ms
ping [if_name] host [data pattern] [repeat count] [size bytes] [timeout seconds] [validate]
ciscoasa#
10.0.1.11
10.0.1.4
Internet
Lệnh tracerouteLệnh traceroute
asa1#traceroute 172.26.26.20
traceroute {destination_ip | hostname} [source source_ip | source-interface] [numeric] [timeout timeout_value] [probe probe_num] [ttl min_ttl max_ttl] [port port_value] [use-icmp]
ciscoasa#
Kiểm tra đường đi của gói tin đến đích
Internet
example.com
Cấu hình cơ bản thiết bị Cisco firewall
Cấu hình dòng lệnh cơ bảnCấu hình dòng lệnh cơ bản
hostname interface
• nameif• ip address• security-level• speed• duplex• no shutdown
nat-control nat global route
g0/0
g0/2
g0/1Internet
Thay đổi tên (hostname)Thay đổi tên (hostname)
ciscoasa(config)#
Thay đổi hostname sử dụng dòng lệnh.
ciscoasa(config)# hostname asa1asa1(config)#
hostname newname
New York ( asa1)
Server
Boston
(asa2)
Server
Server
Dallas
(asa3)
Internet
interface {physical_interface[.subinterface] | mapped_name}
ciscoasa(config)#
asa1(config)# interface GigabitEthernet0/0
asa1(config-if)#
Các lệnh với interfaceCác lệnh với interface
Vào chế độ cấu hình riêng của từng interface
GigabitEthernet0/0
GigabitEthernet0/2
GigabitEthernet0/1
g0/0
g0/2
g0/1Internet
nameif if_name
ciscoasa(config-if)#
asa1(config)# interface GigabitEthernet0/0
asa1(config-if)# nameif outside
Gán tên cho interface:Gán tên cho interface:lệnh nameiflệnh nameif
Gán tên cho interface là outside.
GigabitEthernet0/2
Interface name = dmz
GigabitEthernet0/0
Interface name = outside
GigabitEthernet0/1
Interface name = inside
g0/0
g0/2
g0/1Internet
ip address ip_address [mask] [standby ip_address]
ciscoasa(config-if)#
Gán địa chỉ IP cho interface: Gán địa chỉ IP cho interface: Lệnh ip addressLệnh ip address
Gán địa chỉ IP cho từng interface
asa1(config)# interface GigabitEthernet0/0
asa1(config-if)# nameif outside
asa1(config-if)# ip address 192.168.1.2 255.255.255.0
GigabitEthernet0/0
Interface name = outside
IP address = 192.168.1.2
g0/0
g0/2
g0/1Internet
Nhận địa chỉ IP động (DHCP)Nhận địa chỉ IP động (DHCP)
asa1(config)# interface GigabitEthernet0/0
asa1(config-if)# nameif outside
asa1(config-if)# ip address dhcp
ciscoasa(config-if)#
ip address dhcp [setroute]
Cho phép nhận địa chỉ động ở interface outside
GigabitEthernet0/0
Interface name = outside
IP address = dhcp
g0/0
Nhận
DHCP
Internet
security-level number
ciscoasa(config-if)#
Gán mức bảo mật:Gán mức bảo mật:lệnh security-levellệnh security-level
Gán mức bảo mật cho interface
asa1(config)# interface GigabitEthernet0/0
asa1(config-if)# nameif outside
asa1(config-if)# ip address 192.168.1.2
asa1(config-if)# security-level 0
GigabitEthernet0/0
Interface name = outside
IP address = 192.168.1.2
Security level = 0
g0/0
g0/2
g0/1Internet
Cho phép dữ liệu giữa các interface cùng mức bảo mật hoặc trên chính interface đó.
ciscoasa(config)#
asa1(config)# same-security-traffic permit inter-interface
same-security-traffic permit {inter-interface | intra-interface}
DMZ NetworkGigabitEthernet0/2
Security level 100
Interface name = dmz
g0/0
g0/2
g0/1Internet
Inside NetworkGigabitEthernet0/1
Security level 100
Interface name = inside
Cho phép các interface cùng mức bảo Cho phép các interface cùng mức bảo mật :lệnh same-security-trafficmật :lệnh same-security-traffic
speed {10 | 100 | 1000 | auto | nonegotiate}
duplex {auto | full | half}
Thiết lập tốc độ và duplex : Thiết lập tốc độ và duplex : lệnh speed và duplexlệnh speed và duplex
Thiết lập tốc độ và duplex cho interface
ciscoasa(config-if)#
GigabitEthernet0/0
Speed =1000
Duplex = full
g0/0
g0/2
g0/1Internet
asa1(config)# interface GigabitEthernet0/0
asa1(config-if)# nameif outside
asa1(config-if)# ip address 192.168.1.2
asa1(config-if)# security-level 0
asa1(config-if)# speed 1000
asa1(config-if)# duplex full
management-only
ciscoasa(config-if)#
Interface quản trị của ASAInterface quản trị của ASA
Disables management-only mode (for ASA 5520, 5540 and 5550)asa1(config)# interface management0/0
asa1(config-if)# no management-only
no management-only
Cấu hình interface chỉ chấp nhận dữ liệu quản trị
Tắt chức năng chỉ chấp nhận dữ liệu quản trị
Management0/0
Management only = no
g0/0
g0/2
g0/1Internet
m0/0
Disables management-only mode (for ASA 5520, 5540 and 5550)asa1(config)# interface GigabitEthernet0/0
asa1(config-if)# no shutdown
shutdown
Lệnh shutdown sẽ tắt (disabled) interface
Lệnh no shutdown = bật (enabled) interface
ciscoasa(config-if)#
GigabitEthernet0/0
Enabled
g0/0
g0/2
g0/1Internet
Bật hoặc tắt Interfaces: Bật hoặc tắt Interfaces: lệnh shutdown lệnh shutdown
Network Address Translation (NAT) Network Address Translation (NAT)
Inside
Local
Outside
Mapped Pool
10.0.0.11192.168.0.20
10.0.0.11
10.0.0.4Bảng dịch chuyển địa chỉ
10.0.0.11192.168.0.20
192.168.10 .11
NAT
Internet
Bật chức năng kiểm soát NATBật chức năng kiểm soát NAT
asa1(config)# nat-control
bật chức năng kiểm soát NAT
Inside
Local
Outside
Mapped Pool
10.0.0.11192.168.0.20
10.0.0.11
10.0.0.4Translation Table
10.0.0.11192.168.0.20
200.200.200.11
NAT
Internet
nat (if_name) nat_id address [netmask] [dns]
ciscoasa(config)#
Câu lệnh natCâu lệnh nat
Cho phép NAT giải địa chỉ
asa1(config)# nat (inside) 1 0.0.0.0 0.0.0.0
10.0.1.11
10.0.1.4
10.0.1.11X.X.X.X
NAT
Internet
Câu lệnh globalCâu lệnh global
Câu lênh này kết hợp với câu lênh nat để gán một giải địa chỉ public IP map cho các máy vùng inside , ví dụ, 192.168.0.20-192.168.0.254
asa1(config)# nat (inside) 1 0.0.0.0 0.0.0.0
asa1(config)# global (outside) 1 192.168.1.20-192.168.1.254
global(if_name) nat_id {mapped_ip[-mapped_ip][netmask mapped_mask]} | interface
ciscoasa(config)#
10.0.1.11
10.0.1.4
10.0.1.11192.168.1.20
NAT
Internet
route if_name ip_address netmask gateway_ip [metric]
ciscoasa(config)#
Cấu hình Route tĩnh: Cấu hình Route tĩnh: lệnh routelệnh route
Cấu hình route tĩnh, default route cho một interface
asa1(config)# route outside 0.0.0.0 0.0.0.0 192.168.1.1 1
asa1(config)# route inside 10.1.1.0 255.255.255.0 10.0.1.102 1
192.168.1.110.1.1.11
10.1.1.4
Default Route
10.0.1.102
Route tĩnh
Internet
asa1(config)# names
asa1(config)# name 172.16.1.2 bastionhost
asa1(config)# name 10.0.1.11 insidehost
Cấu hình map hostname- IP: Cấu hình map hostname- IP: câu lệnh namecâu lệnh name
Cấu hình các địa chỉ IP của server tương ứng với các tên
name ip_address name
ciscoasa(config)#
.2
.1
10.0.1.0
.1Internet
“bastionhost”
172.16.1.2
172.16.1.0
.11
“insidehost”
10.0.1.11
Cấu hình mẫuCấu hình mẫu
asa1(config)# write terminal
. . .
interface GigabitEthernet0/0
speed 1000
duplex full
nameif outside
security-level 0
ip address 192.168.1.2 255.255.255.0
interface GigabitEthernet0/1
speed 1000
duplex full
nameif inside
security-level 100
ip address 10.0.1.1 255.255.255.0 . . .
GigabitEthernet0/0
Interface name = outside
Security level = 0
IP address = 192.168.1.2
GigabitEthernet0/1
Interface name = inside
Security level = 100
IP address = 10.0.1.1
172.16.1.0 .1
10.0.1.0
.1
192.168.1.0
.2
10.1.1.0
.1Internet
Cấu hình mẫu (tiếp.)Cấu hình mẫu (tiếp.)
interface GigabitEthernet0/2
nameif dmz
security-level 50
speed 1000
duplex full
ip address 172.16.1.1 255.255.255.0
passwd 2KFQnbNIdI.2KYOU encrypted
hostname asa1
names
name 172.16.1.2 bastionhost
name 10.1.1.11 insidehost
172.16.1.0.1
10.0.1.0
.1
192.168.1.0
.2
10.1.1.0
.1
GigabitEthernet0/2
Interface name = dmz
Security level = 50
IP address = 172.16.1.1“insidehost”
10.1.1.11
“bastionhost”
172.16.1.2
Internet
Cấu hình mẫu (Tiếp.)Cấu hình mẫu (Tiếp.)
nat-control
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
global (outside) 1 192.168.1.20-192.168.1.254
route outside 0.0.0.0 0.0.0.0 192.168.1.1 1
route inside 10.1.1.0 255.255.255.0 10.0.1.102 1
10.0.0.0Mapped Pool
192.168.1.20 - 254
172.16.1.0 .2
.1
.102
“insidehost”
10.1.1.11
“bastionhost”
172.16.1.2
10.0.1.0
.1
192.168.1.0
.2.1
10.1.1.0
.1
Default Route Route tĩnh
Internet
Tóm tắtTóm tắt
Thiết bị bảo mật cisco asa có 4 chế độ quản trị chính là : unprivileged, privileged, configuration, và monitor.
Có hai bộ nhớ dùng để lưu cấu hình bao gồm : running configuration và startup configuration.
Lệnh show running-config hiển thị cấu hình đang lưu ở bộ nhớ RAM lên màn hình
Sử dụng lệnh copy run start hoặc write memory để lưu cấu hình . Interface với mức bảo mật cao hơn có thể truy nhập interface với mức bảo
mật thấp hơn, nhưng ngược lại thì không được, trừ khi có cấu hình access-list cho phép.
Lệnh show giúp hiện thị các tham số để quản lý thiết bị. Các lệnh cơ bản đều cấu hình cisco firewall bao gồm : interface, nat,
global, và route. Lệnh nat và global hoạt động đồng thời để dịch chuyển địa chỉ IP.
Bài 3Bài 3
Quản lý thiết bị bảo mật cisco ASA
Cấu hình quản lý truy cập từ xa
telnet {{hostname | IP_address mask interface_name} | {IPv6_address interface_name} | {timeout number}}
ciscoasa(config)#
asa1(config)# telnet 10.0.0.11 255.255.255.255 inside
asa1(config)# telnet timeout 15
asa1(config)# passwd telnetpass
Cho phép ta cấu hình những host được phép telnet tới cisco firewall
Cấu hình mật khẩu dùng cho việc telnet tới cisco firewall
passwd password [encrypted]ciscoasa(config)#
10.0.0.11Telnet
Internet
Cấu hình telnetCấu hình telnet
Xem và xóa cấu hình TelnetXem và xóa cấu hình Telnet
kill telnet_id
ciscoasa#
Kick một phiên telnet
Cho phép xem user nào đang có phiên telnet tới thiết bị
who [local_ip]
ciscoasa#
Xóa cấu hình telnet
clear configure telnet
ciscoasa(config)#
Hiển thị cấu hình các máy được cho phép telnet
show running-config telnet [timeout]
ciscoasa#
Cấu hình cho phép truy nhập SSHCấu hình cho phép truy nhập SSH
Kết nối SSH tới cisco firewall: Cung cấp giải pháp truy nhập từ xa an toàn, bảo mật Xác thực và mã hóa mạnh Đòi hỏi cặp khóa RSA trên firewall Yêu cầu khóa kich hoạt 3DES/AES hoặc DES Cho phép 5 phiên SSH kết nối cùng lúc. Sử dụng mật khẩu của telnet cho việc truy nhập
crypto key zeroize {rsa | dsa} [label key-pair-label] [default] [noconfirm]
Cấu hình SSHCấu hình SSH
Gỡ bỏ cặp khóa RSA đã có
ciscoasa(config)#
Lưu lại cấu hình
write memory
ciscoasa(config)#
Cấu hình domain-name
domain-name name
ciscoasa(config)#
Tạo cặp khóa RSA mới
crypto key generate rsa [usage-keys | general-keys] [label key-pair-label] [modulus size] [noconfirm]
ciscoasa(config)#
Cho phép những host chỉ định được phép kết nối ssh tới.
ssh {ip_address mask | ipv6_address/prefix} interface
ciscoasa(config)#
Lượng thời gian idle trước khi kết nối bị ngắt
ssh timeout number
ciscoasa(config)#
asa1(config)# crypto key zeroize rsa
asa1(config)# write memory
asa1(config)# domain-name cisco.com
asa1(config)# crypto key generate rsa modulus 1024
asa1(config)# write memory
asa1(config)# ssh 172.26.26.50 255.255.255.255 outside
asa1(config)# ssh timeout 30
172.26.26.50
SSH
username: pix
password: telnetpassword
Internet
Cấu hình mẫuCấu hình mẫu
Quản lý phần mềm, cấu hình, license
Xem cấu trúc thư mụcXem cấu trúc thư mục
Hiển thị nội dung của thư mục hay ổ đĩa cần xem
dir [/all] [/recursive] [all-filesystems | [disk0: | disk1: | flash: | system:] path]
ciscoasa#
asa1# dir
Directory of disk0:/
4346 -rw- 8202240 15:01:10 Oct 19 2006 asa721-k8.bin
6349 -rw- 5539756 15:30:39 Oct 19 2006 asdm521.bin
7705 -rw- 3334 07:03:57 Oct 22 2006 old_running.cfg
62947328 bytes total (29495296 bytes free)
10.0.0.3
10.0.0.11
192.168.0.0
dirInternet
Có thể sử dụng lệnh pwd để xem đường dẫn của thư mục hiện thời.
Copy filesCopy files
Copy file từ thư mục này sang thư mục khác
copy [/noconfirm | /pcap] {url | running-config | startup-config} {running-config | startup-config | url}
ciscoasa#
asa1# copy disk0:MYCONTEXT.cfg startup-config
10.0.0.3
10.0.0.11
192.168.0.0
copyInternet
Copy file MYCONTEXT.cfg từ disk0 vào startup configuration
ciscoasa#
ciscoasa#
Backup & restore file cấu hìnhBackup & restore file cấu hình
Copy file cấu hình từ ftp server
copy ftp: startup-config
Copy file cấu hình sang FTP server
copy running-config ftp:
10.0.0.3
10.0.0.11
192.168.0.0
FTP server
configInternet
Nâng cấp hệ điều hành
Xem thông tin về phiên bảnXem thông tin về phiên bản
asa1# show version
Cisco Adaptive Security Appliance Software Version 7.2(1)
Device Manager Version 5.2(1)
Compiled on Wed 31-May-06 14:45 by root
System image file is “disk0:/asa721-k8.bin”
Config file at boot was “startup-config”
asa1 up 17 hours 40 mins . . .
show version
ciscoasa#
Hiển thị thông tin về phiên bản, cấu hìnhphaanfð cứng, license key, và thời gian thiết bị chạy.
10.0.0.3
10.0.0.11version?
Internet
Nâng cấp phiên bảnNâng cấp phiên bản
asa1# copy tftp://10.0.0.3/asa721-k8.bin flash
copy tftp://server[/path]/filename flash:/filename
ciscoasa#
Copy file image để nâng cấp từ tftp server
TFTP server địa chỉ 10.0.0.3 khi nhận được yêu cầu download của cisco asa sẽ tự động tải image xuống flash của cisco asa
10.0.0.3
10.0.0.11
TFTPInternet
SummarySummary
SSH cung cấp kết nối quản trị từ xa một cách an toàn, bảo mật. TFTP được sử dụng để nâng cấp image cho cisco firewall.. telnet có thể được cấu hình trên tất cả các interface của cisco firewall.
Bài 4Bài 4
Access Control Lists (ACLs)
Cấu hình ACLs trên cisco firewallCấu hình ACLs trên cisco firewall
Outside Inside
ACL for
Inbound Access
ACL for
Outbound Access
ACL trên interface chặn hoặc cho phép các gói tin đến hoặc đi khỏi interface đó.
Một ACL chỉ cần mô tả được gói tin khởi tạo của ứng dúng, chiều trả về không cần thiết phải có trong ACL.
Nếu không có ACLs nào được cấu hình trên interface thì :
Mặc định gói tin từ inside outside được cho qua (outbound).
Mặc định gói tin từ outside inside bị chặn (inbound)
Internet
Dữ liệu Inbound tới DMZ Web ServerDữ liệu Inbound tới DMZ Web Server
Không có ACL, mặc định dữ liệu inbound sẽ bị chặn. Để cho phép dữ liệu inbound, làm theo như sau:
Cấu hình NAT tĩnh cho Web server
Cấu hình inbound ACL
Gán ACL cho interface Outside
192.168.1.0
10.0.1.0
Public Web Server
DMZ
Inside
Outside.2.1
InboundX
Internet
192.168.1.0
10.0.1.0
Public Web Server
DMZ
Inside
Outside.2.1
192.168.1.9
172.16.1.2
Ánh xạ một địa chỉ trong vùng inside 172.16.1.2 tương ứng với một địa chỉ public 192.168.1.9.
asa1(config)# static (DMZ,outside) 192.168.1.9 172.16.1.2 0 0
Cấu hình NAT tĩnh cho web serverCấu hình NAT tĩnh cho web server
Internet
Câu lệnh: access-list Câu lệnh: access-list
Cho phép từ bên ngoài được truy nhập web server ở DMZ server
asa1(config)# access-list ACLOUT permit tcp any host 192.168.1.9 eq www
ciscoasa(config)#
access-list id [line line-number] [extended] {deny | permit} {protocol | object-group protocol_obj_grp_id}{host sip | sip smask | interface ifc_name | object-group network_obj_grp_id | any} [operator port [port] | object-group service_obj_grp_id] {host dip | dip dmask | interface ifc_name | object-group network_obj_grp_id | any} [operator port [port] | object-group service_obj_grp_id | object-group icmp_type_obj_group_id] [log [[level] [interval secs] | disable | default]] [inactive | time-range time_range_name]
192.168.1.0
10.0.1.0
Public Web Server
DMZ
Inside
Outside.2.1
192.168.1.9
172.16.1.2Cho phép dữ liệu Inbound
HTTP
Internet
Câu lệnh: access-groupCâu lệnh: access-group
192.168.1.0
10.0.1.0
Public Web Server
DMZ
Inside
Outside.2.1
Gán ACL cho interface
asa1(config)# access-group ACLOUT in interface outside
Gán ACL cho interface
ciscoasa(config)#
access-group access-list {in | out} interface interface_name [per-user-override]
Internet
Câu lệnh: showCâu lệnh: show access-listaccess-list
asa1(config)# show access-list
access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096)
alert-interval 300
access-list ACLOUT; 4 elements
access-list ACLOUT line 1 extended permit tcp 192.168.6.0 255.255.255.0 host 192.168.1.11 eq www (hitcnt=4)0x984ebd70
access-list ACLOUT line 2 extended permit tcp host 192.168.6.10 host 192.168.1.11 eq ftp (hitcnt=1) 0x53490ecd
access-list ACLOUT line 3 extended permit tcp any host 192.168.1.9 eq www (hitcnt=8) 0x83af39ca
access-list ACLOUT line 4 extended deny ip any any (hitcnt=4) 0x2ca30385
access-list ICMPDMZ; 1 elements
access-list ICMPDMZ line 1 extended permit icmp host bastionhost any echo-reply
ICMPDMZ
ACLINACLOUT
192.168.1.0192.168.6.10
Internet
Câu lệnh: clear access-list countersCâu lệnh: clear access-list counters
asa1(config)# clear access-list ACLOUT counters
asa1(config)# show access-list
access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096)
alert-interval 300
access-list ACLOUT; 4 elements
access-list ACLOUT line 1 extended permit tcp 192.168.6.0 255.255.255.0 host 192.168.1.11 eq www (hitcnt=0) 0x984ebd70
access-list ACLOUT line 2 extended permit tcp host 192.168.6.10 host 192.168.1.11 eq ftp (hitcnt=0) 0x53490ecd
access-list ACLOUT line 3 extended permit tcp any host 192.168.1.9 eq www (hitcnt=0) 0x83af39ca
access-list ACLOUT line 4 extended deny ip any any (hitcnt=0) 0x2ca30385
Internet
192.168.6.10
Web Server172.16.1.2
192.168.1.9ACLIN
ACLOUT
ACL LoggingACL Logging
Cho phép log lại các gói tin icmp tới 192.168.1.11
asa1(config)# access-list OUTSIDE-ACL permit icmp any host 192.168.1.11 log 7 interval 600
ciscoasa(config)#
ACL Syslog
Messages
access-list id [line line-number] [extended] {deny | permit} {protocol | object-group protocol_obj_grp_id}{host sip | sip smask | interface ifc_name | object-group network_obj_grp_id | any} [operator port [port] | object-group service_obj_grp_id] {host dip | dip dmask | interface ifc_name | object-group network_obj_grp_id | any} [operator port [port] | object-group service_obj_grp_id | object-group icmp_type_obj_group_id] [log [[level] [interval secs] | disable | default]] [inactive | time-range time_range_name]
Internet
Syslog
Server
Chú thích cho ACLChú thích cho ACL
asa1(config)# access-list ACLOUT line 2 remark WebMailA access-list
Chén vào lời chú thích cho access-list
ciscoasa(config)#
access-list id [line line-number] remark text
asa1(config)# show access-list
access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096) alert-interval 300
access-list ACLOUT; 6 elements
access-list ACLOUT line 1 extended permit tcp any host 192.168.1.7 eq www (hitcnt=0) 0x3df6ed1e
access-list ACLOUT line 2 remark WebMailA access-list
access-list ACLOUT line 3 extended permit tcp any host 192.168.1.8 eq www (hitcnt=0) 0xd5383eba
access-list ACLOUT line 4 extended permit tcp any host 192.168.1.9 eq www (hitcnt=0)0x2c4288ad
access-list ACLOUT line 5 extended permit tcp any host 192.168.1.10 eq www (hitcnt=0) 0xb70c935b
access-list ACLOUT line 6 extended permit tcp any host 192.168.1.11 eq www (hitcnt=0) 0x8b43382e
former line 2
Cấu hình ACL cho inbound httpCấu hình ACL cho inbound http
Cho phép từ bên ngoài truy nhập vào trang web của DMZ server.
asa1(config)# static (DMZ,outside) 192.168.1.9 172.16.1.2 0 0
asa1(config)# access-list ACLOUT permit tcp any host 192.168.1.9 eq www
asa1(config)# access-group ACLOUT in interface outside
192.168.1.0
10.0.1.0
Public Web Server
DMZ
Inside
Outside.2.1
192.168.1.9
172.16.1.2
Inbound
Internet
Câu lệnh : icmpCâu lệnh : icmp
Cho phép hoặc không cho phép ping đến interface
asa1(config)# icmp permit any outside
ciscoasa(config)#
icmp {permit | deny} {host sip | sip smask | any} [icmp-type] if_name
Outside Inside
ICMP
Cho phép ping từ bên ngoài vào interface
Internet
Tóm tắtTóm tắt
ACLs cho phép hệ thống xác định kết nối nào sẽ được phép đi qua.
Với ICM ACLs , ta có thể giúp cho hệ thống không bị phát hiện .
Bài 5 Bài 5
Cisco Adaptive Security Device Manager (ASDM)
Tổng quan về ASDM
ASDM là gì ?ASDM là gì ?
ASDM là một công cụ cấu hình, quản lý thiết bị bảo mật của cisco, được dựa trên giao diện web.
Internet
SSL Secure Tunnel
Các tính năng của ASDMCác tính năng của ASDM
Chạy đa nền Hoạt động dựa trên máy ảo java Sử dụng SSL để đảm bảo kết nối an toàn, bảo mật Được tải trước vào bộ nhớ flash với các dòng cisco ASA và Cisco PIX
version 7.2 và mới hơn. Phiên kết nối ASDM
• 5 phiên kết nối ASDM đối với một thiết bị (single mode)
• 32 phiên nối nếu ở chế độ multiple mode Hoạt động trên các thiết bị bảo mật : PIX 515E, 525, và 535* Hoạt động trên các thiết bị bảo mật :Cisco ASA 5505, 5510, 5520, 5540,
và 5550
Các yêu cầu đối với cisco firewall chạy Các yêu cầu đối với cisco firewall chạy ASDMASDM
* ASDM phiên bản 5.2 đỏi hỏi thiết bị bảo mật chạy hệ điều hành phiên bản 7.2.
Thiết bị bảo mật của Cisco cần đáp ứng các yêu cầu sau để chạy ASDM:
Khóa kích hoạt DES hoặc 3DES Hỗ trợ java-plugin Hệ điều hành của firewall phải tương thích với ASDM
sẽ cài đặt. Phần cứng tương thích.
Yêu cầu về trình duyệt web với ASDMYêu cầu về trình duyệt web với ASDM
Để trình duyệt web có thể chạy được ASDM, cần những yêu cầu sau :
JavaScript và Java được cho phép chạy trong trình duyệt.
SSL được cho phép chạy trong trình duyệt.
Popup blockers có thể chặn ASDM khi chạy.
Phần cứng hỗ trợPhần cứng hỗ trợ
Windows Sun Solaris Linux
Chạy ASDMChạy ASDM
Chạy ASDM dưới dạng: Cài ASDM lên máy tính Java applet
Chạy
Startup Wizard
Cấu hình cisco firewall để chạy ASDMCấu hình cisco firewall để chạy ASDM
Để sử dụng được ASDM ,trên cisco firewall cần có các thông số như sau :
Thời gian Địa chỉ IP bên interface inside và subnet mask Host name Domain name Mở dịch vụ http server Cho phép một địa chỉ máy chỉ định được truy nhập vào ASDM
Cấu hình khởi tạo qua consoleCấu hình khởi tạo qua console
Pre-configure Firewall now through interactive prompts [yes]? <Enter>
Firewall Mode [Routed]:
Enable Password [<use current password>]: cisco123
Allow password recovery [yes] ?
Clock (UTC)
Year [2006]: <Enter>
Month [Sep]: <Enter>
Day [2]: <Enter>
Time [10:21:49]: <Enter>
Inside IP address: 10.0.1.1
Inside network mask: 255.255.255.0
Host name: asa1
Domain name: ciscoasa.com
IP address of host running Device Manager: 10.0.1.11
Use this configuration and write to flash? Y
Giao diện quản trị của ASDM
ASDM Home WindowASDM Home Window
Main toolbar
Thông tin
thiết bị
License
Trạng thái
VPN
Tài nguyen
Hệ thống
Trạng thái
Interface
Trạng thái
dữ liệu
Menu bar
Thông điệpĐược log
ASDM Home Window (tiếp.)ASDM Home Window (tiếp.)
License tab
Startup WizardStartup Wizard
Startup Wizard Interfaces NAT và PAT Hostname Domain name Enable
password
VPN WizardVPN Wizard
VPN Wizard Site-to-Site Remote
Access
Chú ý : chọn Configuration > VPN để chỉnh sửa các kết nối VPN
High Availability and Scalability High Availability and Scalability WizardWizard
High Availability and Scalability Wizard Active/Active
Failover
Active/Standby Failover
VPN Cluster Load Balancing
Configuration WindowConfiguration Window
Configuration Interface Security
Policy NAT VPN IPS CSD
Manager Routing Global
Objects Properties
InterfacesInterfaces
IP address
– Static
– DHCP
Same security level
Các chính sách bảo mật Các chính sách bảo mật (Security Policy)(Security Policy)
Access Rules AAA Rules Filter Rules Service Policy
Rules
Cấu hình NATCấu hình NAT
Các cấu hình NAT
• NAT
• Policy NAT
• NAT exemption
• Maximum connections
NAT0
VPNVPN
Chỉnh sửa các kết nối VPN (edit VPN)
General IKE IPsec IP Address
Management Load Balancing NAC WebVPN E-Mail Proxy
Chú ý: sử dụng Remote Access hoặc Site-to-Site VPN Wizard Để tạo kết nối VPN mới.
Cấu hình định tuyếnCấu hình định tuyến
Route Tĩnh
Định tuyến động
– OSPF
– RIP
Multicast
– IGMP
– MRoute
– PIM
Proxy ARPs
Global ObjectsGlobal Objects
Network Object Groups
IP Names Service Groups Class Maps Inspect Maps Regular
Expressions TCP Maps Time Ranges
Các lựa chọn trong mục Monitoring Các lựa chọn trong mục Monitoring
Interfaces VPN IPS or Trend
Micro Content Security
Routing Properties Logging
Biểu đồ này cho phép theo dõi trạng thái
(byte, load,..) của các interface
Biểu đồ trạng thái interfaceBiểu đồ trạng thái interface
Packet TracerPacket Tracer
Interface
Source IPSource port
Destination IP
Destination port
Flow lookup
Route lookup
Access list
Options > PreferencesOptions > Preferences
Options
Các công cụCác công cụ
Tools Command Line
Interface Packet Tracer Ping Traceroute File
Management Ugrade
Software Upload ASDM
Assistant Guide System Reload ASDM Java
Console
Phần giúp đỡ (Help) Phần giúp đỡ (Help)
Help Help Topics Help for
Current Screen
Release Notes
Getting Started
VPN 3000 Migration Guide
Glossary ….
Giúp đỡ trực tuyến (online Help)Giúp đỡ trực tuyến (online Help)
SummarySummary
ASDM là một công cụ để cấu hình thiết bị bảo mật của cisco dựa trên giao diện web.
Giảm thiếu các cấu hình cần thiết để có thể chạy ASDM. ASDM chứa nhiều công cụ hỗ trợ giúp cấu hình thiết bị bảo mật. ASDM có một số wizard sẵn có để đơn giản hóa việc cấu hình:
• Startup Wizard: Hướng dẫn từng bước để ta có thể cấu hình khởi tạo .
• VPN Wizard: Hướng dẫn từng bước để ta cấu hình site-to-ste VPN hoặc remote access VPN.
• High Availability and Scalability Wizard: Hướng dẫn từng bước để cấu hình active/active failover, active/standby failover, và VPN cluster load balancing
Bài 6Bài 6
Firewall Switch Modules (FWSM)
Tổng quan về FWSMTổng quan về FWSM
FWSM (Cisco Firewall Services Module) được dựa trên công nghệ của Cisco PiX, vì thế nó cho cùng mức bảo mật và độ tin cậy.
FWSM là slot mở rộng trên Cisco switch 6500, router 7600
Các tính năng chính của FWSMCác tính năng chính của FWSM
• Cho phép Switch và Firewall trên cùng một nền tảng phần cứng.
• Dựa trên công nghệ của cisco PIX.
• Hỗ trợ chế độ tranparent hoặc chế độ routed.
• Lên tới 100 Ngữ cảnh an ninh (security contexts)
– Lên tới 256 VLANs với mỗi ngữ cảnh
– lên tới 1000 VLANs với tất cả ngữ cảnh
• Thông lượng 5-Gbps
• Cho phép Một triệu kết nối đồng thời
• Cho phép 100,000 kết nối trong một giây
• Cho phép nhiều firewall trong một thiết bị phần cứng (tối đa 4)
• Định tuyến động với RIP v1 , v2 và OSPF
• Cấu hình dự phòng
<#>
So sánh tính năng của FWSM và PIXSo sánh tính năng của FWSM và PIX
<#>
Mô hình kết nốiMô hình kết nối
<#>
Vị trị đặt MSFCVị trị đặt MSFC
<#>
Bắt đâu làm quen cấu hình FWSMBắt đâu làm quen cấu hình FWSM
Trước khi cấu hình FWSM cần thực hiện các bước cơ bản sau :
• Kiểm tra việc cài đặt FWSM.
• Kiểm tra cấu hình VLANs trên switch.
• Cấu hình VLANs cho FWSM .
<#>
Kiểm tra việc cài đặt FWSMKiểm tra việc cài đặt FWSM
<#>
Kiểm tra cấu hình VLANs trên switchKiểm tra cấu hình VLANs trên switch
<#>
Tạo Vlan
Định nghĩa một VLAN quản trị trên MSFC. Gán một địa chỉ IP .
Firewall VLAN-GroupFirewall VLAN-Group
Gán các Vlan-group cho các firewall tương ứng với slot cắm vào
Tạo một nhóm Vlan-group để nhóm các VLAN cần kiểm soát
Cấu hình các Interfaces của FWSMCấu hình các Interfaces của FWSM
<#>
Cấu hình phiên console tới FWSM thông số về Processor luôn là 1
Cấu hình Default RouteCấu hình Default Route
<#>
• Default route.
Cấu hình FWSM Access-ListCấu hình FWSM Access-List
<#>
FWSM1(config)# access-list 200 permit ip 10.1.1.0 255.255.255.0 anyFWSM1(config)# access-group 200 in interface inside
Mặc định, mọi dữ liệu không truyền qua được FWSM Dữ liệu được cho phép trên một interface, có thể được phép đi qua các interface khác.
Khởi động lại FWSMKhởi động lại FWSM
<#>
Khởi động lại FWSM
SummarySummary
• FWSM (Cisco Firewall Services Module) được dựa trên công nghệ của Cisco PiX, vì thế nó cho cùng mức bảo mật và độ tin cậy.
• FWSM là slot mở rộng trên Cisco switch 6500, router 7600• Hỗ trợ chế độ tranparent hoặc chế độ routed.• Câu lệnh của FWSM tương tự như cisco asa hay cisco
PIX.
<#>