Tweet
Xin chào mọi người ,
Tiếp tục với Series Firewall Scada, sau bài lab trước hẵn mọi người đã làm với giao diện cơ bản của FTD rồi, đến với bài lab lần này, mọi người sẽ được hướng dẫn cấu hình định tuyến và Nat, giúp các thiết bị có thể kết nối với nhau thông qua Firewall
LAB 3 – HƯỚNG DẪN CẤU HÌNH ĐỊNH TUYẾN TĨNH & NAT TRÊN FTD
✅ Mục tiêu:
- Thiết lập định tuyến tĩnh từ FTD đến router bên ngoài.
- NAT động cho phép mạng inside ra ngoài Internet.
- NAT tĩnh (Port Forwarding) cho phép truy cập dịch vụ HTTP từ Internet vào máy chủ web DMZ.
🧱 Mô hình:
- FTD (Firewall) kết nối 3 vùng:
- Inside: cấp DHCP cho client
- DMZ: chứa web server (IP: 172.16.0.2)
- Outside: kết nối đến Router (IP: 10.10.10.2)
- Router: chuyển tiếp đến mạng 20.20.20.0/30
🧪 Bài tập 1 – Cấu hình IP
1️⃣ Trên Router:
Router#conf t
Router(config)#int e0/2
Router(config-if)#no switchport
Router(config-if)#ip add 10.10.10.2 255.255.255.252
Router(config-if)#no shut
Router(config-if)#int e0/1
Router(config-if)# no switchport
Router(config-if)#ip add 20.20.20.1 255.255.255.252
Router(config-if)#no shut
2️⃣ Trên FTD (qua giao diện web FMC):
- G0/0: 10.10.10.1, đặt tên là outside
- G0/1: 172.16.0.1, đặt tên là dmz
- G0/2: cấp DHCP cho máy inside, đặt tên là inside
🧪 Bài tập 2 – Cho phép inside truy cập DMZ
Bước 1: Tạo zone
Vào Objects > Security Zones > +
- Tạo zone tên DMZ, gán interface dmz
Bước 2: Tạo Policy
- Name: Inside__to__DMZ
- Source Zone: Inside – Network: any-ipv4
- Destination Zone: DMZ – Network: any-ipv4
- Action: Allow
=> Bấm Deploy Now
Bước 3: Kiểm tra
Trên VPCS dùng lệnh:
ip dhcp
ping 172.16.0.2
🧪 Bài tập 3 – Cấu hình định tuyến tĩnh
Vào Devices > Routing > Static Route > +
- Interface: Outside
- Gateway: 10.10.10.2
- Network: 20.20.20.0/30
=> Lưu và deploy.
🧪 Bài tập 4 – NAT động từ Inside ra Outside
Vào Policies > NAT
- Kiểm tra NAT Manual Dynamic NAT từ any-ipv4 trong zone Inside đến any-ipv4 ngoài zone Outside
- Translate source IP thành IP interface outside
Vào Policies > Access Control Policy:
- Source Zone: Inside → De
stination Zone: Outside
- Action: TRUST
🧪 Bài tập 5 – NAT tĩnh (Port Forwarding HTTP)
Bước 1: Tạo NAT Rule
- Source Zone: Outside – Destination: 10.10.10.1
- NAT đến: DMZ – IP: 172.16.0.2 – Dịch vụ: HTTP
Bước 2: Thêm ACP từ Outside → DMZ
- Source Zone: Outside – Destination Zone: DMZ
- Protocol: HTTP
- Action: Allow
Bước 3: Kiểm tra từ ngoài vào:
curl http://10.10.10.1
# hoặc mở trình duyệt: http://10.10.10.1/
🎯 Kết quả kỳ vọng:
- Ping từ inside → dmz thành công.
- Truy cập HTTP từ ngoài vào DMZ thành công.
- Có định tuyến tĩnh từ FTD đến subnet ngoài.
Tiếp tục với Series Firewall Scada, sau bài lab trước hẵn mọi người đã làm với giao diện cơ bản của FTD rồi, đến với bài lab lần này, mọi người sẽ được hướng dẫn cấu hình định tuyến và Nat, giúp các thiết bị có thể kết nối với nhau thông qua Firewall
LAB 3 – HƯỚNG DẪN CẤU HÌNH ĐỊNH TUYẾN TĨNH & NAT TRÊN FTD
✅ Mục tiêu:
- Thiết lập định tuyến tĩnh từ FTD đến router bên ngoài.
- NAT động cho phép mạng inside ra ngoài Internet.
- NAT tĩnh (Port Forwarding) cho phép truy cập dịch vụ HTTP từ Internet vào máy chủ web DMZ.
🧱 Mô hình:
- FTD (Firewall) kết nối 3 vùng:
- Inside: cấp DHCP cho client
- DMZ: chứa web server (IP: 172.16.0.2)
- Outside: kết nối đến Router (IP: 10.10.10.2)
- Router: chuyển tiếp đến mạng 20.20.20.0/30
🧪 Bài tập 1 – Cấu hình IP
1️⃣ Trên Router:
Router#conf t
Router(config)#int e0/2
Router(config-if)#no switchport
Router(config-if)#ip add 10.10.10.2 255.255.255.252
Router(config-if)#no shut
Router(config-if)#int e0/1
Router(config-if)# no switchport
Router(config-if)#ip add 20.20.20.1 255.255.255.252
Router(config-if)#no shut
2️⃣ Trên FTD (qua giao diện web FMC):
- G0/0: 10.10.10.1, đặt tên là outside
- G0/1: 172.16.0.1, đặt tên là dmz
- G0/2: cấp DHCP cho máy inside, đặt tên là inside
🧪 Bài tập 2 – Cho phép inside truy cập DMZ
Bước 1: Tạo zone
Vào Objects > Security Zones > +
- Tạo zone tên DMZ, gán interface dmz
Bước 2: Tạo Policy
- Name: Inside__to__DMZ
- Source Zone: Inside – Network: any-ipv4
- Destination Zone: DMZ – Network: any-ipv4
- Action: Allow
=> Bấm Deploy Now
Bước 3: Kiểm tra
Trên VPCS dùng lệnh:
ip dhcp
ping 172.16.0.2
🧪 Bài tập 3 – Cấu hình định tuyến tĩnh
Vào Devices > Routing > Static Route > +
- Interface: Outside
- Gateway: 10.10.10.2
- Network: 20.20.20.0/30
=> Lưu và deploy.
🧪 Bài tập 4 – NAT động từ Inside ra Outside
Vào Policies > NAT
- Kiểm tra NAT Manual Dynamic NAT từ any-ipv4 trong zone Inside đến any-ipv4 ngoài zone Outside
- Translate source IP thành IP interface outside
Vào Policies > Access Control Policy:
- Source Zone: Inside → De
stination Zone: Outside
- Action: TRUST
🧪 Bài tập 5 – NAT tĩnh (Port Forwarding HTTP)
Bước 1: Tạo NAT Rule
- Source Zone: Outside – Destination: 10.10.10.1
- NAT đến: DMZ – IP: 172.16.0.2 – Dịch vụ: HTTP
Bước 2: Thêm ACP từ Outside → DMZ
- Source Zone: Outside – Destination Zone: DMZ
- Protocol: HTTP
- Action: Allow
Bước 3: Kiểm tra từ ngoài vào:
curl http://10.10.10.1
# hoặc mở trình duyệt: http://10.10.10.1/
🎯 Kết quả kỳ vọng:
- Ping từ inside → dmz thành công.
- Truy cập HTTP từ ngoài vào DMZ thành công.
- Có định tuyến tĩnh từ FTD đến subnet ngoài.
Attached Files