Chào bạn,

Nghĩa tiếng anh của "IP spoofing" tức là IP giả mạo, đây là kỹ thuật giả mạo IP (chính xác là source IP) hợp lệ để truy cập vào tài nguyên hệ thống. Kỹ thuật này dựa trên việc thông thường tường lửa chỉ kiểm tra địa chỉ đích rồi chuyển tiếp gói tin đi mà không kiểm tra source IP dẫn đến các trường hợp giả mạo source IP để chiếm tài nguyên hay quyền điều khiển...

Nếu bạn bật chế độ chống IP spoofing thì tường lửa sẽ kiếm tra luôn địa chỉ nguồn của gói tin. Chẳng hạn, mạng Inside của bạn thuộc mạng 192.168.1.0/24, tức là các gói tin hợp lệ đến từ Inside thì phải có IP source thuộc phạm vi mạng 192.168.1.0/24. Nếu không sẽ bị drop.


Cấu hình :

SHi vọng giúp bạn hiểu và cấu hình thành công.

Hi Tú,

Cám ơn Tú rất nhiều cho những thông tin bổ ích này. Tân muốn hỏi Tú thêm vấn đề như bên dưới

Vùng Inside (ASA5520) connected với Switch 3750 có mạng 192.168.1.0/24
Switch 3750 được chia nhiều VLAN như Server (192.168.10.0/24), User (192.168.20.0/24), Director(192.168.30.0/24).......
Theo như Tú nói thì các PC thuộc VLAN này không thuộc phạm vi mạng 192.168.1.0/24 (inside của ASA) và như vậy các gói tin sẽ bị drop.

Mong Tú cho lời khuyên

Cám ơn Tú rất nhiều
TAN

Các vlan của bác định tuyến trên thiết bị nào ?
Nếu sử dụng ASA định tuyến thì phải có rule đẻ permit các luồng traffic giữa các vlan này.