Announcement

**duyxuyen87** · 01-12-2012, 02:07 PM

mình sắp ra trường đang làm khóa luận đề tài asa firewall.mình đã tìm được bài "cấu hình virtual sensor trên asa ssm aip"để làm demo nhung lại không biết bắt đầu từ đâu, ai có thể giúp mình được không

**lamvantu** · 02-12-2012, 08:25 PM

Originally posted by cntttam View Post

mình được khuyên rằng là ko nên để ASA ra đứng trước ROuter, vậy bạn có thể cho mình hỏi tại sao bạn lại đưa ASA ra đứng trước router? Có gì khác nhau trong việc security hệ thống khi đắt ASA trước và sau router ko? mong bạn giải thích giùm, cảm ơn bạn Tú.

Chào bạn, đúng rồi bạn, mô hình thực tế thì để Router đấu ISP, còn như bạn Lab thì để ASA trước như vậy sẽ tận dụng cấu hình được nhiều tính năng hơn (như cấu hình NAT, Policy cho hệ thống), cái này lợi cho bạn Lab hơn. Còn mô hình thực tế thì ASA bạn sẽ sử dụng sau router, router sẽ thực hiện chính sách định tuyến, NAT (in,out side).., còn ASA sẽ sử dụng kết nối vào các vùng LAN, DMZ...để cấu hình các chính sách bảo mật.

Trường hợp ASA--R--ISP: là trường hợp chuẩn, router là thiết bị định tuyến thông dụng nên việc cấu hình chính sách, loadbalancing linh hoạt hơn. Còn ASA kết nối trong nội bộ thì giúp cho hệ thống của bạn bảo mât hơn, hạn chế tấn công từ bên trong hay tấn công từ các miền trong nội bộ. (Ví dụ như Inside tấn cống vùng server farm).

**cntttam** · 03-12-2012, 02:57 PM

cảm ơn bạn Tú, vậy với mô hình ASA đứng sau router thì có cần định tuyến trên cả 3 thiết bị ROUTER ASA và SW L3 ko? và có nên sử dụncosgiao thức ospf hay là giao thức nào khác cho mạng được bảo mật và ít static NAT.

**lamvantu** · 06-12-2012, 04:32 PM

Originally posted by cntttam View Post

cảm ơn bạn Tú, vậy với mô hình ASA đứng sau router thì có cần định tuyến trên cả 3 thiết bị ROUTER ASA và SW L3 ko? và có nên sử dụncosgiao thức ospf hay là giao thức nào khác cho mạng được bảo mật và ít static NAT.

Hi bạn,

Nếu mà bạn chỉ xài 1 Vlan cho toàn mạng thì dùng static route cũng được. Nếu có xài nhiều Vlan trên SWl3 thì nên chạy định tuyến với ASA và với Router. Kết nối từ ASA--> Router có thể sử dụng sttaic route.

ASA thực hiện nat cho server vùng dmz và no-nat cho client truy cập vào dmz

**cntttam** · 07-12-2012, 08:09 AM

Originally posted by lamvantu View Post

Hi bạn,

Nếu mà bạn chỉ xài 1 Vlan cho toàn mạng thì dùng static route cũng được. Nếu có xài nhiều Vlan trên SWl3 thì nên chạy định tuyến với ASA và với Router. Kết nối từ ASA--> Router có thể sử dụng sttaic route.

ASA thực hiện nat cho server vùng dmz và no-nat cho client truy cập vào dmz

Hi bạn Tú,
Mô hình mình chạy nhiều VLAN, trên ASA và Router mình đã cho chạy OSPF định tuyến, từ ASA có thể ping ra internet. nhưng client phía trong các VLAN mình ko ping ra được, trên SW L3 mình đã bật ip routing, có phải mình thiếu inter VLAN giữa ASA và SWL3 ko? để cho client ra được internet?
Cảm ơn bạn giành thời gian trao đổi với mình.

**lamvantu** · 07-12-2012, 09:30 AM

Chào bạn,

Bạn thêm câu lệnh ACL của bạn bon ở trên nhé.Các vlan có thể giao tiếp với nhau không bạn? Đã định tuyến Vlan trên SW L3 hay chưa? Nếu muốn nhanh bạn cho SWl3 cùng chạy OSPF với ASA và R3 luôn.

**cntttam** · 07-12-2012, 11:10 AM

Hi Bạn Tú,
Image của SWL3 mình nó báo là "Protocol not in this image" nên mình chưa chạy được OSPF trên SWL3. Có thể mình phải update cái image lên xem thế nào.
Các VLAN vẫn giao tiếp được với nhau, interface nối trực tiếp với ASA ping ra tới được ASA,còn ra internet thì ko.
Cảm ơn bạn nhiều

**lamvantu** · 07-12-2012, 02:27 PM

Bạn thêm câu lệnh ACL của bạn bon ở trên nhé.

access-list 100 extended permit ip any any
access-group 100 in interface outside

Mặc định ASA cấm traffic khởi tạo từ bên ngoài vào đó.

Announcement

Security with ASA Firewall - help???

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment