Powered by Blogger.
/ / / Cấu hình Cisco Adaptive Security Appliances (ASA)

Cấu hình Cisco Adaptive Security Appliances (ASA)

,
Trong chương này sẽ mô tả phương pháp để khởi tạo cấu hình ASA. Bạn có thể thi hành từng bước cấu hình bằng cách sử dụng brower-based Cisco Adaptive Security Device Manager (ASDM) hoặc Command-line interface (CLI). Những thủ tục trong chương này sẽ mô tả cách để cấu hình ASA sử dụng ASDM.

- Chương này sẽ bao gồm những chủ đề sau:
+ Phần I: Các thông số cấu hình mặc định
+ Phần II: Sử dụng CLI để thực hiện cấu hình
+ Phần III: sử dụng ASDM để thực hiện cấu hình
+ Phần IV: Chạy ASDM Startup Wizard

Phần I: Các thông số cấu hình mặc định

Cisco ASA đã có các thông số cấu hình mặc định khi mua về cho phép bạn có thể khởi tạo cấu hình nhanh. Dòng sản phẩm ASA 5500 đã có những thông số cấu hình trước như sau:
- Có 2 Vlan mặc định: VLAN 1 và VLAN 2
- VLAN 1 có những thuộc tính sau:
+ Tên: Inside
+ Security level: 100
+ Chứa các port: Ethernet 0/1 đến Ethernet 0/7
+ Địa chỉ IP: 192.168.1.1 255.255.255.0
- VLAN 2 có những thuộc tính sau:
+ Tên: outside
+ Chứa duy nhất port: Ethernet 0/0
+ Security level: 0
+ Được cấu hình để lấy địa chỉ IP từ DHCP server
- Interface Inside được dùng để kết nối đến thiết bị có cài đặt ASDM cho phép bạn thực hiện cấu hình.
- Theo mặc định, ASA interface inside được cấu hình với một dải địa chỉ DHCP mặc định. Thông số cấu hình này cho phép một client nằm trong mạng inside có thể thu được một địa chỉ IP từ ASA. Người quản trị mạng sau đó có thể cấu hình và quản lý ASA sử dụng ASDM.

Phần II: Sử dụng CLI để thực hiện cấu hình.

- Ngoài việc sử dụng phần mềm ASDM, bạn có thể cấu hình ASA bằng cách sử dụng Command-line Interface.
- Bạn có thể xem ví dụ theo từng bước một để thực hiện cấu hình cơ bản truy cập từ xa và kết nối LAN-to-LAN trong CLI bằng cách sử dụng các câu lệnh vpnsetup ipsec-remote-access steps và vpnsetup site-to-site steps.

Phần III: sử dụng ASDM để thực hiện cấu hình

- Adative Security Device Manager (ASDM) là một tính năng rất mạnh cho phép bạn có thể thực hiện quản lý và kiểm tra ASA thông qua giao diện đồ họa. Được thiết kế theo giao diện web-base cung cấp việc truy cập bảo mật vì vậy bạn có thể kết nối đến và quản lý ASA từ mọi nơi bằng cách sử dụng một web browser.
- Để hoàn thành khả năng cấu hình và quản lý, ASDM đã tích hợp các wizards thông mình và các accelerate để triển khai các tính năng của ASA.
- Phần này sẽ bao gồm những chủ đề sau:
+ Chuẩn bị để sử dụng ASDM
+ Đưa ra những thông số cấu hình để khởi tạo cài đặt
+ Cài đặt ASDM Launcher
+ Khởi tạo ASDM với một Web Broser

1. Chuẩn bị để sử dụng ASDM.

Trước khi bạn có thể sử dụng ASDM, bạn cần thực hiện những bước sau:
- Bước 1: Nếu bạn chưa có kết nối, thì bạn có thể kết nối MGMT interface đến một switch hoặc hub bằng cách sử dụng cáp Ethenet. Trong cùng switch đó, kết nối một PC cho việc cấu hình ASA.
- Bước 2: Cấu hình PC của bạn để sử dụng DHCP (để nhận một địa chỉ IP tự động từ ASA), điều này sẽ cho phép PC liên kết với ASA và Internet để chạy ASDM cho việc thực hiện các nhiệm vụ cấu hình và quản lý. Hoặc bạn cũng có thể gán một địa chỉ IP tĩnh cho PC của bạn bằng cách chọn một địa chỉ nằm trong dải 192.168.1.0. Khi bạn kết nối những thiết bị khác đến những port inside, bạn phải chắc chắn rằng chúng không có cùng địa chỉ IP.
- Bước 3: Kiểm tra LINK LED trên interface MGMT. Khi một kết nối được thiết lập, thì LINK LED interface trên ASA và LINK LED trên switch hoặc hub sẽ sáng màu xanh.

2. Đưa ra những thông số cấu hình để khởi tạo cài đặt.

Đưa ra những thông tin được sử dụng với ASDM Starup Wizard:
- Một hostname duy nhất để định danh ASA trên mạng của bạn
- Domain name
- Địa chỉ IP trên interface outside, interface inside, và những interface khác đã được cấu hình.
- Địa chỉ IP cho những host sẽ có quyền truy cập quản trị đến các thiết bị sử dụng HTTPs cho ASDM, SSH hoặc Telnet.
- Password cho Privileged mode
- Địa chỉ IP được sử dụng cho quá trình chuyển đổi địa chỉ với NAT hoặc PAT, nếu cần.
- Dải địa chỉ cho DHCP server
- Địa chỉ IP cho WINS server
- Static routes để cấu hình.
- Nếu bạn muốn tạo một vùng DMZ, bạn sẽ phải tạo một VLAN thứ 3 và gán các port vào VLAN này. (theo mặc định thì có 2 VLAN đã được cấu hình)
- Các thông số cấu hình của interface: Những loại lưu lượng nào sẽ được cho phép giữa các host trên cùng một interface. Những loại lưu lượng nào sẽ được cho phép giữa các interface có cùng security level.
- Nếu bạn cấu hình một Easy VPN hardware client, thì địa chỉ IP của primary và secondary Easy VPN server; client này sẽ chạy ở mode client hoặc mode network extension; và các user hoặc group truy cập vào sẽ phải tương thích với những cấu hình đã được setup trên primary và secondary Easy VPN servers.

3. Cài đặt ASDM Launcher

Bạn có thể thực thi ASDM theo 2 cách sau: bằng cách downloading phần mềm ASDM Launcher để ASDM chạy trên PC của bạn, hoặc bằng cách enable Java và JavaScript trong web brower của bạn và truy cập ASDM từ xa đến PC của bạn. Những bước sau sẽ giúp các bạn cách thức để setup hệ thống của bạn chạy ASDM.
Để cài đặt ASDM Launcher, thi hành những bước sau:
- Bước 1: Trên PC đang kết nối trực tiếp đến switch hoặc hub, click vào Internet Brower.
+ Nhập vào địa chỉ: https://192.168.1.1/admin
+ Click Instal ASDM Launcher and Run ASDM
+ Trong hộp thoại hiển thị ra màn hình yêu cầu nhập vào một username và password, bạn để trắng ở 2 ô nhập username và password. Tiếp tục click OK.
+ Click Yes để chấp nhận Certificates. Click Yes cho hộp thoại: "Yes for all subsequent authenticaiotn and certificate".
+ Khi hộp thoại File Download được mở, click open để chạy chương trình cài đặt trực tiếp. Không cần thiết phải lưu phần mềm cài đặt vào hard drive của bạn.
+ Khi xuất hiện InstallShield Wizard, thì đó là quá trình cài đặt phần mềm ASDM Launcher.
- Bước 2: Từ desktop của bạn, khởi động phần mềm Cisco ASDM Launcher. Một hộp thoại xuất hiện.

hình 1.1


- Bước 3: Nhập vào địa chỉ IP hoặc host name của thiết bị ASA của bạn
- Bước 4: Để trắng ô nhập Username và Password.
- Bước 5: Click OK
- Bước 6: Nếu bạn nhận được một security warning có chứa một câu hỏi chấp nhận một certificate, click Yes. Cửa sổ chính của ASDM sẽ xuất hiện.

hình 1.2


4. Khởi tạo ASDM với một Web Browser
- Để chạy ASDM trong một web browser, nhập vào địa chỉ IP mặc định trong address field của trình duyệt: https://192.168.1.1/admin 
- Cửa sổ chính của ASDM sẽ xuất hiện.

Phần IV: Chạy ASDM Startup Wizard

- ASDM bao gồm một Starup Wizard để đơn giản hơn trong việc khởi tạo cấu hình cho thiết bị ASA của bạn. Với một số bước, Startup Wizard cho phép bạn có thể cấu hình được ASA vì nó cho phép các gói tin được truyển một cách bảo mật giữa inside network và outside network.
- Để sử dụng Starupt Wizard để cấu hình cơ bản cho thiết bị ASA, bạn sẽ thi hành những bước sau:
+ Bước 1: Từ Wizards menu ở trên cùng màn hình cửa sổ ASDM, chọn Starup Wizard.
+ Bước 2: Các bạn làm theo sự hướng dẫn của Starup Wizard để cấu hình các tính năng theo yêu cầu của bạn trên thiết bị ASA. Những thông tin về các trường trong Starup Wizard, các bạn có thể click vào Help ở dưới cùng của cửa sổ ASDM.

Với bài viết giới thiệu về phương pháp thực hiện kết nối đến thiết bị ASA, phần nào sẽ giúp các bạn làm quen với những giao diện có thể được sử dụng để cấu hình ASA. Trong những phần tiếp theo các bạn sẽ được giới thiệu tiếp về những chủ đề sau:
- Cấu hình ASA để bảo vệ một DMZ web server
- Cấu hình ASA cho remote-access VPN
- Cấu hình ASA cho SSL VPN
- Cấu hình ASA cho site-to-site VPN.
    Blogger Comment
    Facebook Comment