Đinh Hữu Hoàng_Nguyễn Thị Thu Cúc

Chương 10: Triển khai thiết bị bảo mật thích ứng của Cisco (ASA)
Mục tiêu
Trong chương này, bạn sẽ:
 Giải thích ASA là một tường lửa trạng thái nâng cao.
 Mô tả các loại tường lửa.
 Mô tả cấu hình mặc định của ASA 5505.
 Triển khai cấu hình tường lửa ASA.
 Định cấu hình ASA để cung cấp các dịch vụ tường lửa cơ bản bằng ASDM.
 Giải thích và cấu hình các danh sách truy cập và các nhóm đối tượng trên một
ASA.
 Cấu hình ASA để cung cấp các dịch vụ NAT.
 Cấu hình điều khiển truy cập bằng cách sử dụng cơ sở dữ liệu cục bộ và máy chủ
AAA.
 Mô tả cấu hình của Khung chính sách mô-đun (MPF) trên ASA.
 Triển khai một VPN SSL AnyConnect và một VPN SSL không có client trên một
ASA.
Tổng quan về ASA
 Loại nhánh nào thích hợp cho giải pháp tường lửa của IOS?
 Nhược điểm của giải pháp tường lửa IOS là gì?


Đinh Hữu Hoàng_Nguyễn Thị Thu Cúc
 ASA là một thiết bị tường lửa độc lập là thành phần chính của kiến trúc Cisco
SecureX.
 Tất cả sáu mô hình ASA cung cấp các tính năng tường lửa trạng thái tiên tiến và
chức năng VPN.
 Sự khác biệt lớn nhất giữa các mô hình là lưu lượng truy cập tối đa được xử lý bởi
mỗi thông lượng lưu lượng truy cập tối đa của mô hình được xử lý bởi mỗi mô
hình và số lượng và loại giao diện.

 Việc lựa chọn mô hình ASA sẽ phụ thuộc vào các yêu cầu của tổ chức, chẳng hạn
như thông lượng tối đa, kết nối tối đa mỗi giây và ngân sách.
 Phần mềm ASA kết hợp tường lửa, bộ tập trung VPN và chức năng ngăn chặn xâm
nhập vào một hình ảnh phần mềm.
 Trước đây, các chức năng này có sẵn trong ba thiết bị riêng biệt, mỗi thiết bị có
phần mềm và phần cứng riêng.
1. PIX
2. VPN concentrator
3. IDS6
Các tính năng nâng cao khác của ASA bao gồm:
1. ASA ảo hóa
2. Sẵn sàng cao với chuyển đổi dự phòng
3. Identity firewall
4. Điều khiển kiểm soát và ngăn chặn dịch vụ

Tất cả các mô hình ASA có thể được cấu hình và quản lý bằng giao diện dòng lệnh hoặc
Trình quản lý thiết bị bảo mật thích ứng (ASDM).


Đinh Hữu Hoàng_Nguyễn Thị Thu Cúc

 Theo mặc định, ASA xử lý một giao diện bên trong được xác định là mạng tin cậy
và mọi giao diện bên ngoài được xác định là các mạng không đáng tin cậy.
 Mỗi giao diện có một mức độ bảo mật liên quan
 Một ASA cung cấp giống như các tính năng ZPF / CBAC nhưng cấu hình khác rõ
ràng từ cấu hình router ZPF của IOS.


Đinh Hữu Hoàng_Nguyễn Thị Thu Cúc



Đinh Hữu Hoàng_Nguyễn Thị Thu Cúc
 ASA là một tường lửa trạng thái. Nó theo dõi trạng thái của các kết nối mạng TCP
hoặc UDP đi qua nó.
 Tất cả lưu lượng được chuyển tiếp thông qua ASA được kiểm tra bằng Thuật toán
bảo mật thích ứng và được phép đi qua hoặc bị loại bỏ.






Đường dẫn quản lý phiên?
Đường dẫn điều khiển plane?
Kiểm tra lớp 7?
Đường dẫn nhanh?


Đinh Hữu Hoàng_Nguyễn Thị Thu Cúc

 Hầu hết các thiết bị ASA được cài sẵn với giấy phép Cơ sở hoặc giấy phép An
ninh Plus.
 Để cung cấp các tính năng bổ sung cho ASA, bạn có thể mua thêm giấy phép theo
thời gian hoặc tùy chọn.
 Việc kết hợp các giấy phép bổ sung này với các giấy phép được cài đặt sẵn sẽ tạo
một giấy phép vĩnh viễn. Giấy phép vĩnh viễn tạo giấy phép vĩnh viễn. Giấy phép
vĩnh viễn sau đó được kích hoạt bằng cách cài đặt khóa kích hoạt vĩnh viễn bằng
lệnh kích hoạt.
 Chỉ có thể cài đặt một khóa cấp phép vĩnh viễn và sau khi nó được cài đặt, nó
được gọi là giấy phép đang chạy.

 Để xác minh thông tin giấy phép trên thiết bị ASA, hãy sử dụng phiên bản hiển thị
hoặc lệnh phím kích hoạt chương trình.


Đinh Hữu Hoàng_Nguyễn Thị Thu Cúc

Các tính năng của ASA 5505
 Cisco ASA 5505 là thiết bị bảo mật đầy đủ tính năng dành cho các doanh nghiệp
nhỏ, văn phòng chi nhánh và môi trường làm việc từ xa của doanh nghiệp.
 Nó cung cấp một tường lửa hiệu suất cao, SSL VPN, IPsec VPN và các dịch vụ
mạng phong phú trong một thiết bị mô-đun, plug-and-play.


Đinh Hữu Hoàng_Nguyễn Thị Thu Cúc

Cấp độ bảo mật
 Mức độ bảo mật xác định mức độ tin cậy của một giao diện. Cấp độ càng cao, giao
diện càng đáng tin cậy hơn. Số cấp độ bảo mật nằm trong khoảng từ 0 (không
đáng tin cậy) đến 100 (rất đáng tin cậy)
 Mỗi giao diện hoạt động phải có tên và mức bảo mật từ 0 (thấp nhất) đến 100 (cao
nhất) được chỉ định.
Cấp độ bảo mật giúp kiểm soát:
1. Truy cập mạng
2. Công cụ kiểm tra
3. Lọc
Trên một ASA 5505, các tham số của Lớp 3 được cấu hình trên một giao diện ảo chuyển
mạch (SVI). Một SVI, một giao diện VLAN hợp lý, yêu cầu một tên, mức độ bảo mật
giao diện và địa chỉ IP.



Đinh Hữu Hoàng_Nguyễn Thị Thu Cúc

Triển khai ASA 5505
ASA 5505 thường được sử dụng như một thiết bị bảo mật cạnh kết nối một doanh nghiệp
nhỏ với thiết bị ISP, chẳng hạn như DSL hoặc modem cáp, để truy cập Internet.

Các tính năng của ASA 5510


Đinh Hữu Hoàng_Nguyễn Thị Thu Cúc

Cấu hình mặc định của ASA 5510 trở lên
Cấu hình mặc định bao gồm:
1. Giao diện quản lý, Quản lý 0/0, được cấu hình sẵn với địa chỉ IP 192.168.1.1 và
mặt nạ 255.255.255.0.
2. Máy chủ DHCP được kích hoạt trên ASA, vì vậy một máy tính kết nối với giao
diện nhận được một địa chỉ giữa 192.168.1.2 và 192.168.1.254.
3. Máy chủ HTTP được bật cho ASDM và có thể truy cập được đối với người dùng
trên mạng 192.168.1.0.


Đinh Hữu Hoàng_Nguyễn Thị Thu Cúc
Chế độ truy cập ASA
Chế độ EXEC người dùng -ciscoasa> en
Chế độ EXEC đặc quyền -ciscoasa# config t
Chế độ cấu hình chung -ciscoasa(config)#
Các chế độ cấu hình phụ khác nhau, ví dụ - ciscoasa(config-if)#
Chế độ ROMMON -ROMMON>
ASA Access Modes


IOS and ASA Commands
Không giống như ISR, ASA thực hiện như sau:
1. Thực hiện bất kỳ lệnh ASA CLI bất kể lời nhắc chế độ cấu hình hiện tại. Tài
liệu IOS không được yêu cầu công nhận.
2. Cung cấp một mô tả ngắn gọn và cú pháp lệnh khi trợ giúp được nhập theo sau
bởi lệnh.
3. Ngắt hiển thị đầu ra lệnh bằng Q. IOS yêu cầu sử dụng Ctrl + C (^ C).


Đinh Hữu Hoàng_Nguyễn Thị Thu Cúc

Cấu hình mặc định
 ASA 5505 có cấu hình mặc định, trong hầu hết các trường hợp, là đủ để triển khai
SOHO cơ bản.
 Cấu hình bao gồm hai mạng VLAN được cấu hình sẵn: VLAN1 và VLAN2.
VLAN 1 dành cho mạng bên trong và VLAN 2 dành cho mạng bên ngoài.
 ASA có thể được khôi phục về cấu hình mặc định của nhà máy bằng cách sử dụng
lệnh cấu hình cấu hình mặc định toàn cục của nhà máy.

Xóa cấu hình và khởi động lại
 Cấu hình khởi động ASA có thể được xóa bằng cách sử dụng lệnh xóa và viết lại.
 Lưu ý: Không giống như router IOS, ASA không nhận ra lệnh xóa cấu hình khởi
động.
 Sau khi khởi động lại, ASA sẽ hiển thị lời nhắc sau "Đặt cấu hình tường lửa ngay
bây giờ thông qua các lời nhắc tương tác [có]?"


Đinh Hữu Hoàng_Nguyễn Thị Thu Cúc

Configuration Management Settings and Services

 Configure Basic Settings
 Configure the Interfaces


Đinh Hữu Hoàng_Nguyễn Thị Thu Cúc

 Cấu hình Default Route

 Chú ý: Không giống như ISR, ASA thực hiện bất kỳ lệnh ASA CLI nào bất kể lời
nhắc chế độ cấu hình hiện tại. Lệnh IOS làm không cần thiết hoặc được công
nhận.
 Configure Telnet Access


Đinh Hữu Hoàng_Nguyễn Thị Thu Cúc

 Configure NTP Services

 Configure DHCP Services


Đinh Hữu Hoàng_Nguyễn Thị Thu Cúc

Giới thiệu về ASDM
 Giao diện quản lý phụ thuộc vào mô hình của ASA:


Đinh Hữu Hoàng_Nguyễn Thị Thu Cúc
-


Cisco ASA 5505 - Cổng chuyển đổi quản lý có thể là bất kỳ cổng nào, ngoại
trừ Ethernet 0/0.
Cisco ASA 5510 trở lên - Giao diện kết nối là Management 0/0.
Lưu ý: Để loại bỏ và vô hiệu hóa dịch vụ máy chủ ASA HTTP, sử dụng lệnh
cấu hình toàn cục xóa cấu hình http.

ASDM Wizards


Đinh Hữu Hoàng_Nguyễn Thị Thu Cúc

Nhóm đối tượng
 Ưu điểm là khi một đối tượng được sửa đổi, thay đổi sẽ tự động được áp dụng cho
tất cả các quy tắc sử dụng đối tượng được chỉ định. Do đó, các đối tượng giúp dễ
dàng duy trì cấu hình.


Đinh Hữu Hoàng_Nguyễn Thị Thu Cúc
ACLs
 ASA ACL khác với IOS ACL ở chỗ chúng sử dụng mặt nạ mạng (ví dụ:
255.255.255.0) thay vì mặt nạ ký tự đại diện (ví dụ: 0.0.0.255). Ngoài ra, hầu hết
ASA ACL được đặt tên thay vì đánh số.

Dịch vụ NAT trên ASA
 ASA hỗ trợ NAT và PAT và các địa chỉ này cũng có thể được cung cấp tĩnh hoặc
động.

Access Control on an ASA



Đinh Hữu Hoàng_Nguyễn Thị Thu Cúc
 ASA có thể xác thực tất cả các kết nối quản trị với ASA, bao gồm Telnet, SSH,
giao diện điều khiển, ASDM sử dụng HTTPS và EXEC đặc quyền.
 ASA có thể ủy quyền cho các mục sau:
- Management commands.
- Network access.
- VPN access.
Chính sách dịch vụ trên ASA
 Cấu hình khung chính sách mô-đun (MPF) định nghĩa một bộ quy tắc để áp dụng
các tính năng tường lửa, chẳng hạn như kiểm tra lưu lượng và QoS, cho lưu lượng
truy cập đi qua ASA.

ASA Remote-Access VPN Options
 Người dùng doanh nghiệp đang yêu cầu hỗ trợ cho thiết bị di động của họ bao
gồm điện thoại thông minh, máy tính bảng, máy tính xách tay và nhiều nhà sản
xuất và hệ điều hành máy tính xách tay hơn.


Đinh Hữu Hoàng_Nguyễn Thị Thu Cúc

 Cisco AnyConnect có sẵn cho các nền tảng sau:
- IOS devices (iPhone, iPad, and iPod Touch)
- Android OS (select models)
- BlackBerry–Windows Mobile 6.1
- HP webOS –HP webOS
- Nokia Symbian


Đinh Hữu Hoàng_Nguyễn Thị Thu Cúc
Clientless SSL VPN


Configuring Clientless SSL VPN

AnyConnect SSL VPN


Đinh Hữu Hoàng_Nguyễn Thị Thu Cúc

Configuring AnyConnect SSL VPN


Đinh Hữu Hoàng_Nguyễn Thị Thu Cúc