Người viết bài xích : TuấnTham khảo ebook:– Cisco ASA All-in-one Next-Generation Firewall, IPS, and VPN Services, 3rd Edition

Sơ đồ:

*

Mô tả : bài lab này sẽ gợi ý thực tập một số kĩ năng làm thân quen với vật dụng firewall asa của cisco. Đầu tiên là họ sẽ tìm hiểu về version của ios. Cấu hình cơ phiên bản như: đặt hostname, thông số kỹ thuật password, thông số kỹ thuật ip đến interface bên trên thiết bị, security-level( cấp độ bảo mật).Cấu hình telnet, ssh mang đến asa trường đoản cú xa. Hình như sẽ triển khai backup ios đến asa, load lại game ios khi bị mất, recovery password cho thiết bị firewall asa.

Bạn đang xem: Hướng dẫn cấu hình cơ bản firewall cisco asa bằng cli

Thực hiện: Phần 1: khám nghiệm Licenses • khám nghiệm version của sản phẩm firewall asa Kiểm tra:

ciscoasa> show versionCisco Adaptive Security Appliance Software Version 8.2(2)Device Manager Version 6.2(5)53Compiled on mon 11-Jan-10 14:19 by buildersSystem image file is "disk0:/asa822-k8.bin"Config file at boot was "startup-config"ciscoasa up 49 mins 43 secsHardware: ASA5520, 512 MB RAM, CPU Pentium 4 Celeron 2000 MHzInternal ATA Compact Flash, 256MBBIOS Flash M50FW080

Phần 2: cấu hình cơ bản • Đặt hostname đến asa là ASA. • thông số kỹ thuật password mang lại asa. • thông số kỹ thuật enable interface, thông số kỹ thuật IP mang lại interface, name mang lại interface. • cấu hình security-level bên trên interface.

Cấu hình: Đầu tiên, ta đặt hostname cho thiết bị:

ciscoasa# configure terminalciscoasa(config)# hostname ASA trên Cisco ASA, câu lệnh “hostname” được sử dụng để tại vị tên đến asa. Thương hiệu của asa để giúp đỡ cho quá trình quản lý asa được dễ dàng hơn và công dụng hơn. Để cấu hình password đến asa, chúng ta dùng command:

ASA# configure terminalASA(config)# enable password ciscoasa // mật khẩu vì chưng ta thiết lậpSử dụng lệnh enable password để cấu hình thiết lập mật khẩu truy cập cho Privilege mode. Điều này thực sự rất đặc trưng vì vào Privilege mode, bạn có thể tạo ra nhiều biến đổi cấu hình của asa nên bạn cần giới hạn chỉ để những người dân biết được mật khẩu đăng nhập mới rất có thể đăng nhập vào ASA để cấu hình cho thiết bị. Tiếp theo, ta sẽ enable interface, ta thực hiện như sau:

ASA# configure terminalASA(config)# interface GigabitEthernet0/0ASA(config-if)# no shutdownĐối với những dòng ASA 5505 với ASA 5510 thì sẽ có được 4 cổng fastEthernet (Ethernet0/0 – Ethernet0/3) và một interface quản lí ( management interface): Management0/0.

Trong lúc đó so với các loại ASA 5520 với ASA 5540 sẽ có được 4 cổng Gigabit Ethernet (GigabitEthernet0/0–GigabitEthernet0/3) và một interface cai quản lí (management interface (Management0/0)).Mặc định những interface đã ở tinh thần shutdown, để enable các interface chúng ta sẽ áp dụng lên no shutdown.

Để đặt IP, ta vào trong cổng G0/0 với cấu hình showroom ip là 192.168.1.1/24, ta có tác dụng như sau:

ASA# configure terminalASA(config)# interface GigabitEthernet0/0ASA(config-if)# ip address 192.168.1.1 255.255.255.0Địa chỉ IP bên trên cổng góp router tiếp xúc mạng với những thiết bị khác bằng giao thức truyền cài IP. Trường hợp IP bên trên cổng được cấp vày 1 dhcp server thì ta có thể làm như sau:

ASA# configure terminalASA(config)# interface GigabitEthernet0/0ASA(config-if)# ip address dhcp setrouteCâu lệnh “ip address dhcp setroute” vẫn giúp chúng ta nhận được ip từ dhcp server. Để cấu hình tên mang lại cổng, bọn họ sẽ sử dụng lệnh:

ASA# configure terminalASA(config)# interface GigabitEthernet0/0ASA(config-if)# nameif outsideCâu lệnh “nameif” dùng để làm đặt tên đến interface, tên của interface sẽ dùng để cấu hình các sệt tinh sau đây như NAT, PAT, access-list, ….. Tiếp theo họ sẽ cấu hình cấp độ bảo mật ( security-level) cho những interface, ta thực hiện như sau:

ASA# configure terminalASA(config)# interface GigabitEthernet0/0ASA(config-if)# security-level 50ASA mang lại phép chúng ta đinh nghĩa lever bảo mật trên mỗi interface. Lever bảo mật càng cao, thì độ tin yêu càng lớn và ngược lại. Lever bảo mật có mức giá trị từ 0 – 100. Mang định thì vùng outside (vùng nối với vị trí ít tin cẩn như internet,..) sẽ sở hữu security-level là 0 và trái lại những vùng inside (mạng nội bộ) sẽ có cấp độ bảo mật tối đa là 100. Kiểm tra: Ta kiểm tra địa chỉ IP trên cổng bằng cách sử dụng lệnh “show interface ip brief“.

ASA# show interface ip briefInterface IP-Address OK? Method Status ProtocolGigabitEthernet0/0 192.168.1.1 YES manual up upGigabitEthernet0/1 unassigned YES unset administratively down downGigabitEthernet0/2 unassigned YES unset administratively down downGigabitEthernet0/3 unassigned YES unset administratively down downManagement0/0 unassigned YES unset administratively down downĐể kiểm soát 1 interface cầm thể, ta áp dụng lệnh “show interface GigabitEthernet0/0” .

Xem thêm: Những Trò Chơi Cảm Giác Mạnh Khiến Bạn Thót Tim, Trò Chơi Thư Giãn

ASA# show interface GigabitEthernet0/0Interface GigabitEthernet0/0 "outside", is up, line protocol is upHardware is i82546GB rev03, BW 1000 MbpsAuto-Duplex(Full-duplex), Auto-Speed(100 Mbps)MAC address 0013.c480.90ee, MTU 1500IP address 192.168.1.1, subnet mask 255.255.255.079855 packets input, 6345439 bytes, 0 no bufferReceived 79692 broadcasts, 0 runts, 0 giants0 đầu vào errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort75 packets output, 7806 bytes, 0 underruns0 đầu ra errors, 0 collisions0 late collisions, 0 deferredinput queue (curr/max blocks): hardware (0/5) software (0/0)output queue (curr/max blocks): hardware (0/1) software (0/0)Received 79220 VLAN untagged packets, 4869649 bytesTransmitted 75 VLAN untagged packets, 6420 bytesDropped 14202 VLAN untagged packets Kiểm tra: họ sẽ triển khai kiểm tra liên kết giữa firewall asa và máy tinh bởi lệnh “ping” .

*

Phần 3: Recovery quả táo khi asa bị mất thông số kỹ thuật . Khi bị mất game ios hoặc vì chưng một trường hợp nào không giống mà cần thiết load vào được game ios của asa thì chúng ta có thể dùng ROMMON mode kết phù hợp với tftp server để load ios mang lại firewall asa. • Yêu ước 1: đặt add IP đến asa cùng tftp server. • Yêu mong 2: cài đặt cổng liên kết tới tftp server. • Yêu cầu 3: chuẩn bị file image sẽ tiến hành load vào asa.

Cấu hình: Đầu tiên bọn họ sẽ vào mode ROMMON và thông số kỹ thuật các thông số trong cisco asa.

rommon> ADDRESS 192.168.1.1Invalid or incorrect command. Use "help" for help.rommon> address 192.168.1.1rommon> vps 192.168.1.2rommon> interface g0/1GigabitEthernet0/1Link is UPMAC Address: 0023.5e56.69f9rommon> tệp tin asa822-k8.binĐể kiểm tra những lệnh đã thông số kỹ thuật phái trên, họ dùng lệnh “set” với để bước đầu tiến trình load quả táo vào asa thì ta dùng lệnh “tftpnld” .

rommon> setROMMON Variable Settings:ADDRESS=192.168.1.1SERVER=192.168.1.2GATEWAY=0.0.0.0PORT=GigabitEthernet0/1VLAN=untaggedIMAGE=asa822-k8.binCONFIG=LINKTIMEOUT=20PKTTIMEOUT=4RETRY=20rommon> tftpdnldROMMON Variable Settings:ADDRESS=192.168.1.1SERVER=192.168.1.2GATEWAY=0.0.0.0PORT=GigabitEthernet0/1VLAN=untaggedIMAGE=asa822-k8.binCONFIG=LINKTIMEOUT=20PKTTIMEOUT=4RETRY=20tftp asa822-k8.bin