Sơ đồ:

0: Ext: Management0/0 : address is 000c.29e5.3037, irq 10, VMNet1

1: Ext: GigabitEthernet0/0 : address is 000c.29e5.3041, irq 5, VMNet8

2: Ext: GigabitEthernet0/1 : address is 000c.29e5.304b, irq 9, VMNET2

3: Ext: GigabitEthernet0/2 : address is 000c.29e5.3055, irq 10

Mô tả:

Chúng ta có thể chặn ( deny ) hoặc cho phép ( permit ) 1 gói tin thì chúng ta có thể dùng công cụ là Access-control list (ACL). Với ACL chúng ta chỉ có thể chặn hoặc cho phép dựa trên địa chỉ IP, port và một giao thức cụ thể nào đó (ICMP, IP, HTTP,…). Tuy nhiên nếu làm như vậy đôi khi sẽ không phù hợp với việc chặn các ứng dụng layer 7 hoặc sẽ gây ra sự phức tạp trong cấu hình đối với những trường hợp nhất định. Từ những điều đó chúng ta cần những công cụ mạnh mẽ hơn và có tính “mềm dẻo” hơn để phù hợp với việc cấu hình và những ứng dụng ở layer 7.

Bài lab này sẽ hướng dẫn chúng ta thực hiện việc viết một Modular Policy Framework (MPF) cho việc chặn 1 trang web cụ thể không dựa vào địa chỉ IP và sẽ viết 1 policy cho phép ping ra internet thay vì viết access-list như các bài trước. Để hiểu rõ hơn về MPF thông qua chặn, lọc, cho phép và những tính năng khác của nó

trong việc kiểm tra gói tin chúng ta sẽ tìm hiểu sơ cơ chế hoạt động của MPF.

Một MPF được cấu thành bởi 3 yếu tố:

• Service policy: Dùng để cấu hình các policy sẽ được áp lên interface của ASA.

• Policy-map: Dùng để cấu hình những đặc điểm của 1 policy ở trên để match với traffic tương ứng.

• Class-map: Cấu hình để phân loại các traffic cụ thể sẽ được dùng trong MPF. Cấu trúc của 1 MPF sẽ có dạng như sau.

service-policy pmap1

policy-map pmap1

class cmap1

action …

class-map cmap1

match …

Mặc định thì firewall ASA sẽ được cấu hình sẵn một số inspect sẽ được cho qua mà không cần cấu hình. Chúng có thể kiểm tra những service-policy đã được áp lên interface này thông qua command “show running-config service-policy”.

FW-ASA-DTU# shoư running-config service-policy

service-policy global_policy global

Tiếp theo chúng ta sẽ kiểm tra cấu hình policy-map của ASA thông qua command “show running-config policy-map global_policy”.

FW-ASA-DTU# show running-config policy-map global_policy

!

policy-map global_policy

class inspection_default

inspect rtsp

inspect sunrpc

inspect xdmcp

inspect netbios

inspect tftp

inspect ip-options

inspect dns preset_dns_map

inspect ftp

inspect h323 h225

inspect h323 ras

inspect rsh

inspect esmtp

inspect sqlnet

inspect sip

inspect skinny

!

FW-ASA-DTU#

Sau cùng chúng ta sẽ kiểm tra cấu hình của class-map mặc định, chúng ta sẽ dùng command “show running-config class-map inspection_default ”.

FW-ASA-DTU# show running-config class-map inspection_default

!

class-map inspection_default

match default-inspection-traffic

!

FW-ASA-DTU#

Sau đây thì chúng ta sẽ cùng tìm hiểu 2 ví dụ đơn giản về MPF ở layer 3 bằng việc cho phép PC ping ra DNS GOOGLE và ở layer 7 thông qua việc chặn web bằng domain.

Cấu hình:

Bước 1: chúng ta sẽ cấu hình địa chỉ IP, security-level cho firewall ASA

• Cấu hình địa chỉ IP cho cổng G0/0 nhận dhcp từ internet.

• Cấu hình IP cho cổng G0/1 là 192.168.10.1/24.

• Vùng kết nối với internet sẽ là outside, vùng kết nối với PC sẽ là inside.

FW-ASA-DTU# configure terminal

FW-ASA-DTU(config)# interface gigabitEthernet 0/0

FW-ASA-DTU(config-if)# nameif outside

INFO: Security level for "outside" set to 0 by default.

FW-ASA-DTU(config-if)# ip address dhcp setroute

FW-ASA-DTU(config-if)# no shutdown

FW-ASA-DTU(config-if)# exit

FW-ASA-DTU (config)# interface GigabitEthernet0/1

FW-ASA-DTU (config-if)# nameif LAN

FW-ASA-DTU (config-if)# security-level 100

FW-ASA-DTU (config-if)# ip add 192.168.10.1 255.255.255.0

FW-ASA-DTU (config-if)# no shutdown

Kiểm tra:

Chúng ta sẽ kiểm tra lại cấu hình địa chỉ IP ở trên bằng command “show interface ip brief”

FW-ASA-DTU# show interface ip brief

Interface IP-Address OK? Method Status Protocol

GigabitEthernet0/0 192.168.40.145 YES DHCP up up

GigabitEthernet0/1 192.168.10.1 YES manual up up

GigabitEthernet0/2 unassigned YES unset administratively down up

Management0/0 192.168.20.100 YES CONFIG up up

FW-ASA-DTU#

Tiếp theo chúng ta sẽ kiểm tra kết nối giữa ASA và internet thông qua việc ping tới DNS GOOGLE là 8.8.8.8.

FW-ASA-DTU# ping 8.8.8.8

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 30/36/40 ms

FW-ASA-DTU#