Tweet
🔥 Hướng dẫn cấu hình Static NAT trên Cisco FTD thông qua FMC
1. Giới thiệu
Trong hạ tầng mạng doanh nghiệp, nhu cầu công khai các dịch vụ nội bộ (server, web, mail, ứng dụng) ra Internet là rất phổ biến. Để thực hiện điều này một cách an toàn, Cisco Firepower Threat Defense (FTD) cung cấp cơ chế Static NAT (1:1 NAT) giúp ánh xạ một địa chỉ IP private trong mạng LAN với một địa chỉ IP public do ISP cấp.
Quản trị viên có thể cấu hình NAT trực tiếp trên thiết bị FTD, hoặc thông qua Firepower Management Center (FMC) để quản lý tập trung. Trong bài viết này, chúng ta sẽ tìm hiểu chi tiết cách triển khai Static NAT trên FTD bằng FMC.
2. Nguyên lý hoạt động Static NAT
3. Các bước cấu hình trên FMC
🔹 Bước 1: Tạo Network Object
Trước khi NAT, ta cần định nghĩa các địa chỉ IP:
Ví dụ:
🔹 Bước 2: Tạo NAT Policy
Cấu hình ví dụ cho server 1:
👉 Lặp lại cho tất cả các server cần NAT.
🔹 Bước 3: Tạo Access Control Policy (ACP)
NAT chỉ dịch địa chỉ, nhưng để traffic đi qua firewall, ta cần rule trong ACP:
👉 Chỉ cần tạo rule từ outside → inside vì chiều ngược lại được stateful firewall tự cho phép.
🔹 Bước 4: Deploy Policy
Sau khi cấu hình xong NAT và ACP, chọn Deploy để áp chính sách xuống FTD.
4. Ví dụ minh họa: NAT cho 1 server Web
NAT Rule:
ACP Rule:
👉 Khi client trên Internet truy cập http://209.0.160.1, FTD sẽ dịch sang 192.168.222.1 và forward vào web server. Gói trả lời sẽ được dịch ngược lại và trả về client.
🔸Lưu ý khi triển khai Static NAT
📌Kết luận
Static NAT trên Cisco FTD thông qua FMC là một giải pháp mạnh mẽ, giúp công khai dịch vụ nội bộ ra Internet một cách an toàn. Quản trị viên chỉ cần nắm rõ nguyên lý NAT, biết cách tạo Network Object, NAT Policy, ACP Rule và triển khai đúng thứ tự là có thể cấu hình dễ dàng.
Với ví dụ trên, bạn có thể mở rộng để NAT nhiều server cùng lúc, hoặc kết hợp với các tính năng bảo mật nâng cao của FTD như IPS, URL Filtering, Malware Defense để bảo vệ dịch vụ tốt hơn.
1. Giới thiệu
Trong hạ tầng mạng doanh nghiệp, nhu cầu công khai các dịch vụ nội bộ (server, web, mail, ứng dụng) ra Internet là rất phổ biến. Để thực hiện điều này một cách an toàn, Cisco Firepower Threat Defense (FTD) cung cấp cơ chế Static NAT (1:1 NAT) giúp ánh xạ một địa chỉ IP private trong mạng LAN với một địa chỉ IP public do ISP cấp.
Quản trị viên có thể cấu hình NAT trực tiếp trên thiết bị FTD, hoặc thông qua Firepower Management Center (FMC) để quản lý tập trung. Trong bài viết này, chúng ta sẽ tìm hiểu chi tiết cách triển khai Static NAT trên FTD bằng FMC.
2. Nguyên lý hoạt động Static NAT
- Static NAT tạo ánh xạ 1-1 giữa IP private và IP public.
- Khi gói tin đi từ Internet vào, firewall dịch IP public thành IP private và gửi vào server nội bộ.
- Khi gói tin đi từ server ra ngoài, firewall dịch IP private thành IP public tương ứng.
- NAT là bidirectional (hai chiều), nhưng firewall vẫn cần Access Control Policy (ACP) để quyết định có cho phép traffic đi qua hay không.
- Vì FTD là stateful firewall, chỉ cần tạo rule cho chiều khởi tạo kết nối. Lưu lượng trả lời sẽ tự động được cho phép.
3. Các bước cấu hình trên FMC
🔹 Bước 1: Tạo Network Object
Trước khi NAT, ta cần định nghĩa các địa chỉ IP:
- Vào Objects > Object Management > Network.
- Tạo Network Object cho IP private của server.
- Tạo Network Object cho IP public do ISP cấp.
- Nếu có nhiều server, có thể gom chúng lại thành Group Object để quản lý dễ hơn.
Ví dụ:
- SRV1_INSIDE = 192.168.222.1
- SRV1_PUBLIC = 209.0.160.1
🔹 Bước 2: Tạo NAT Policy
- Vào Devices > NAT.
- Chọn Add Rule.
- Chọn kiểu Manual NAT (Policy NAT) để linh hoạt khi có nhiều server.
- Chọn Static NAT.
Cấu hình ví dụ cho server 1:
- Original Source: SRV1_INSIDE
- Translated Source: SRV1_PUBLIC
- Interface: Inside → Outside
- NAT Type: Static
👉 Lặp lại cho tất cả các server cần NAT.
🔹 Bước 3: Tạo Access Control Policy (ACP)
NAT chỉ dịch địa chỉ, nhưng để traffic đi qua firewall, ta cần rule trong ACP:
- Vào Policies > Access Control > Edit Policy.
- Add Rule:
- Source Zone: outside
- Destination Zone: inside
- Destination Network: IP Public (hoặc Group Object chứa các IP public)
- Service: chọn dịch vụ cụ thể (HTTP, HTTPS, RDP, SSH…) hoặc Any tùy vào nhu cầu.
- Action: Allow
👉 Chỉ cần tạo rule từ outside → inside vì chiều ngược lại được stateful firewall tự cho phép.
🔹 Bước 4: Deploy Policy
Sau khi cấu hình xong NAT và ACP, chọn Deploy để áp chính sách xuống FTD.
4. Ví dụ minh họa: NAT cho 1 server Web
- Server Private: 192.168.222.1
- Server Public: 209.0.160.1
- Dịch vụ: HTTP/HTTPS
NAT Rule:
- Original: 192.168.222.1
- Translated: 209.0.160.1
- Interface: inside → outside
- NAT Type: Static
ACP Rule:
- Source Zone: outside
- Destination Zone: inside
- Destination Network: 209.0.160.1
- Service: HTTP, HTTPS
- Action: Allow
👉 Khi client trên Internet truy cập http://209.0.160.1, FTD sẽ dịch sang 192.168.222.1 và forward vào web server. Gói trả lời sẽ được dịch ngược lại và trả về client.
🔸Lưu ý khi triển khai Static NAT
- Nên dùng Manual NAT thay vì Object NAT nếu có nhiều server.
- Gom các IP public vào một Group Object để viết rule ACP gọn hơn.
- Chỉ mở các dịch vụ cần thiết trong ACP (ví dụ web thì chỉ mở TCP/80,443).
- Nếu server cũng cần đi Internet chủ động, tạo thêm rule inside → outside trong ACP.
- Luôn kiểm tra bằng lệnh packet-tracer trên FTD CLI khi cần debug.
📌Kết luận
Static NAT trên Cisco FTD thông qua FMC là một giải pháp mạnh mẽ, giúp công khai dịch vụ nội bộ ra Internet một cách an toàn. Quản trị viên chỉ cần nắm rõ nguyên lý NAT, biết cách tạo Network Object, NAT Policy, ACP Rule và triển khai đúng thứ tự là có thể cấu hình dễ dàng.
Với ví dụ trên, bạn có thể mở rộng để NAT nhiều server cùng lúc, hoặc kết hợp với các tính năng bảo mật nâng cao của FTD như IPS, URL Filtering, Malware Defense để bảo vệ dịch vụ tốt hơn.