1. Giao tiếp với ASA
Cisco Adaptive Security Appliance (ASA) - giống như bất kỳ thiết bị mạng khác, nó cung cấp một số công cụ để người quản trị có thể kết nối và tương tác với nó. Giao diện dòng lệnh (CLI) là một công cụ quan trọng . Khi làm việc với ASA, bạn cũng cần phải hiểu các tập tin cấu hình của nó, hệ thống tập tin, và làm thế nào để khởi động lại hoặc tải lại nó khi cần thiết. Để làm việc với một Cisco ASA, bạn cần tương tác với nó và thực hiện một số thao tác cơ bản. Phần này giới thiệu về giao diện CLI – giao tiếp giữa người quản trị với ASA. CLI dựa trên giao diện người dùng của một Firewall Cisco bao gồm một số mode, mỗi mode cung cấp một mức độ khác nhau và khả năng quản trị và một chức năng khác nhau:
• User EXEC mode:
Mặc định, thiết lập ban đầu cho một ASA đặt một người dùng trong EXEC mode, và tại mode này, một số lệnh bị hạn chế. Khi bạn kết nối với firewall, người dùng ở EXEC mode yêu cầu phải có mật khẩu. Khi bạn đang ở trong User EXEC mode, ASA luôn luôn đưa ra một dấu nhắc của mẫu đơn này: ciscoasa>
• Privileged EXEC mode:
Ở mode này, user có thể truy cập toàn bộ thông tin firewall, điều chỉnh cấu hình, và gỡ rối lệnh. Khi bạn đang ở User EXEC mode, bạn có thể truy cập vào Privileged EXEC mode bằng lệnh enable . ASA lưu ý ta nhập mật khẩu trước khi truy cập vào Privileged EXEC mode. Để rời khỏi Privileged EXEC mode, ta dùng lệnh disable hoặc lệnh quit, hoặc exit.
ciscoasa> enable
password: password
ciscoasa#
• Global configuration mode:
Từ Privileged EXEC mode, người dùng có thể vào Global configuration mode. Từ mode này, bạn có thể cấu hình bất cứ tính năng nào có sẵn trong hệ điều hành. Thoát khỏi mode này bằng tổ hợp phím CTRL + Z, hoặc lệnh exit Cú pháp và Global mode như sau:
ciscoasa# configure terminal
ciscoasa(config)#
• Specific configuration mode:
ASA cung cấp nhiều cấu hình cụ thể gọi là submode giống như phần mềm Cisco IOS. Submodes cụ thể hơn được chỉ định bằng cách thêm một hậu tố sau khi config trong dấu nhắc lệnh. Ví dụ:
ciscoasa(config-if)#
• ROMMON mode:
Nó chạy frimware từ bộ nhớ chỉ đọc ROM và mode này chỉ cho phép chúng ta giám sát các ASA phần cứng.
2. Cấu hình định tuyến trên ASA
Đầu tiên bạn cần biết rằng ASA Firewall không có đầy đủ chức năng như một Router. Tuy nhiên nó vẫn có bảng định tuyến. Nó sử dụng bảng này để quyết định đường đi tốt nhất để đến mạng đích. Sau đó nếu gói tin đáp ứng được các rule trong firewall, nó sẽ được định tuyến bởi firewall và tới đích. Cisco ASA Firewall cung cấp cả định tuyến tĩnh và động. Ba giao thức định tuyến tĩnh là RIP,EGRP,OSPF.
Cisco khuyến cáo sử dụng định tuyến tĩnh trên Firewall ASA thay vì sử dụng định tuyến động. Bởi vì việc sử dụng định tuyến động tạo cơ hội cho hacker khám phá được hạ tầng hệ thống mạng cục bộ của ta. Nếu bạn không cấu định tuyến động tốt thì có khả năng thông tin quảng bá mạng con cục bộ ra bên ngoài - mạng không tin tưởng.
Tuy nhiên có một vài trường hợp mà định tuyến tĩnh cần thiết. Như là trong một hệ thống mạng lớn, nơi mà ASA Firewall đứng giữa mạng cục bộ và data center. Trong trường hợp như vậy ta sẽ có lợi ích từ việc sử dụng định tuyến động bởi vì ta không phải cấu hình hàng tá định tuyến tính và bạn cũng không phải lo lắng mối nguy hiểm để lộ các mạng con đối với mạng không tin tưởng (Vì ASA nằm sau bên trong mạng Campus).
Chú ý:
- Đối với hệ thống mạng nhỏ, chỉ cần sử dụng định tuyễn tính. Sử dụng default static route để đẩy tất cả lưu lượng ra ngoài internet và cũng sử dụng static route khi có nhiều hơn 1 mạng không kết nối trực tiếp.
- Bất cứ mạng nào kết nối trực tiếp đến ASA thì sẽ không cần phải cấu hình bất cứ định tuyến tĩnh nào cả bởi vì Firewall ASA đã nhận biết được mạng này.
- Nếu ASA được kết nối đến một Router biên (giữa mạng tin tưởng và không tin tưởng) thì ta cấu hình đẩy tất cả các lưu lượng ra ngoài Outside Interface (mạng không tin tưởng) và sau đó cấu hình static Route hướng đến các mạng trong Internal.
- Nếu ASA nằm sâu trong mạng campus với nhiều mạng Internal thì nên cấu hình định tuyến động.
Văn Công Thắng – VnPro