17/05/2019 09:23:55 PM

Bài viết sưu tầm

ASA#4_Inspect Traffic_Phần 1

Sơ đồ:

0: Ext: Management0/0 : address is 000c.29e5.3037, irq 10, VMNet1

1: Ext: GigabitEthernet0/0 : address is 000c.29e5.3041, irq 5, VMNet8

2: Ext: GigabitEthernet0/1 : address is 000c.29e5.304b, irq 9, VMNET2

3: Ext: GigabitEthernet0/2 : address is 000c.29e5.3055, irq 10

Mô tả:

Chúng ta có thể chặn ( deny ) hoặc cho phép ( permit ) 1 gói tin thì chúng ta có thể dùng công cụ là Access-control list (ACL). Với ACL chúng ta chỉ có thể chặn hoặc cho phép dựa trên địa chỉ IP, port và một giao thức cụ thể nào đó (ICMP, IP, HTTP,…). Tuy nhiên nếu làm như vậy đôi khi sẽ không phù hợp với việc chặn các ứng dụng layer 7 hoặc sẽ gây ra sự phức tạp trong cấu hình đối với những trường hợp nhất định. Từ những điều đó chúng ta cần những công cụ mạnh mẽ hơn và có tính “mềm dẻo” hơn để phù hợp với việc cấu hình và những ứng dụng ở layer 7.

Bài lab này sẽ hướng dẫn chúng ta thực hiện việc viết một Modular Policy Framework (MPF) cho việc chặn 1 trang web cụ thể không dựa vào địa chỉ IP và sẽ viết 1 policy cho phép ping ra internet thay vì viết access-list như các bài trước. Để hiểu rõ hơn về MPF thông qua chặn, lọc, cho phép và những tính năng khác của nó

trong việc kiểm tra gói tin chúng ta sẽ tìm hiểu sơ cơ chế hoạt động của MPF.

Một MPF được cấu thành bởi 3 yếu tố:

Service policy: Dùng để cấu hình các policy sẽ được áp lên interface của ASA.
Policy-map: Dùng để cấu hình những đặc điểm của 1 policy ở trên để match với traffic tương ứng.
Class-map: Cấu hình để phân loại các traffic cụ thể sẽ được dùng trong MPF. Cấu trúc của 1 MPF sẽ có dạng như sau.

service-policy pmap1

policy-map pmap1

class cmap1

action …

class-map cmap1

match …

Mặc định thì firewall ASA sẽ được cấu hình sẵn một số inspect sẽ được cho qua mà không cần cấu hình. Chúng có thể kiểm tra những service-policy đã được áp lên interface này thông qua command “show running-config service-policy”.

FW-ASA-DTU# shoư running-config service-policy

service-policy global_policy global

Tiếp theo chúng ta sẽ kiểm tra cấu hình policy-map của ASA thông qua command “show running-config policy-map global_policy”.

FW-ASA-DTU# show running-config policy-map global_policy

policy-map global_policy

class inspection_default

inspect rtsp

inspect sunrpc

inspect xdmcp

inspect netbios

inspect tftp

inspect ip-options

inspect dns preset_dns_map

inspect ftp

inspect h323 h225

inspect h323 ras

inspect rsh

inspect esmtp

inspect sqlnet

inspect sip

inspect skinny

FW-ASA-DTU#

Sau cùng chúng ta sẽ kiểm tra cấu hình của class-map mặc định, chúng ta sẽ dùng command “show running-config class-map inspection_default ”.

FW-ASA-DTU# show running-config class-map inspection_default

class-map inspection_default

match default-inspection-traffic

FW-ASA-DTU#

Sau đây thì chúng ta sẽ cùng tìm hiểu 2 ví dụ đơn giản về MPF ở layer 3 bằng việc cho phép PC ping ra DNS GOOGLE và ở layer 7 thông qua việc chặn web bằng domain.