[FIREWALL ASA] – Bài 2: Access-Control List (ACL)

1781

Người viết bài : Tuấn
Tham khảo ebook:
– [Ebook] Cisco ASA All-in-one Next-Generation Firewall, IPS, and VPN Services, 3rd Edition

Sơ đồ:
 
Mô tả:
Bài lab này hướng đến thực hành các kĩ năng  điều khiển truy cập thông qua access-list trên thiết bị firewall ASA. Trong bài lab này, chúng ta sẽ khảo sát extended-ACL. Trong khi đó Standard-ACL trong firewall ASA không thể lọc gói tin trên interface, chỉ có thể chạy trong chế độ routed mode. Tiếp theo chúng ta sẽ tìm hiểu về object-group, một trong những phương pháp rút gọn trong việc viết access-list, những ứng dụng của object-group vào standard access-list và extend-ACL.

Chúng ta sẽ cùng tìm hiểu thông qua 2 ví dụ cơ bản về cấu hình extended-ACL cho phép ping DNS GOOGLE và cấu hình object-group để chặn truy cập 1 WEB nhất định.

Thực hiện:
Bước 1: Cấu hình cơ bản
Đầu tiên chúng ta sẽ cấu hình đỉa chị IP cho firewall ASA.

Ở bước này chúng ta đã cấu hình trên 3 cổng GigabitEthernet0/0 , GigabitEthernet0/1 và GigabitEthernet0/2 để giao tiếp với mạng inside, DMZ và outside. Đối với outside là internet, chúng ta sẽ cấu hình như là 1 DHCP client và sẽ nhận IP từ internet cấp xuống.

Bước 2: Cấu hình extended-ACL
Đầu tiên chúng ta sẽ kiểm tra việc ping từ PC đến DNS của google.
 
Tiếp theo chúng ta sẽ thực hiện cấu hình standard-ACL để có thể ping được qua ASA.

Xét cú pháp của 1 command access-list chuẩn :

Ta sẽ phân tích cấu trúc của câu lệnh trên. Trong câu lệnh trên, chúng ta sử dụng name access-list với tên của access-list là “ping”. Điều kiện là “permit” cho phép từ bất kì source nào tới bất kì host nào. Từ khóa “any” sẽ thay cho địa chỉ IP và subnet mask là 0.0.0.0 255.255.255.255 . Cuối cùng là cờ echo-reply.

Lưu ý: mặc định firewall ASA sẽ chặn gói tin khi đi từ vùng có security-level thấp hơn sang vùng có security-level cao hơn.

Tiếp theo chúng ta sẽ áp access-list vừa cấu hình lên interface.

Cấu trúc câu lệnh :

Ở đây chung ta sẽ áp access-list ping lên interface outside là G0/1 và theo chiều in.
Kiểm tra:
Bây giờ chúng ta sẽ thực hiện lại việc ping từ PC ra DNS của google là 8.8.8.8.
 
Đến đây thì chúng ta đã thực hiện cấu hình thành công extended access-list!

Bước 3: Cấu hình extended ACL ứng dụng Object-group
Thực hiện yêu cầu viết access-list cấm PC1 truy cập vào zing.vn còn PC2 vẫn truy cập được bình thường.
Cấu hình:
Thay vì viết từng access-list cho từng PC , bây giờ chúng ta sẽ dùng tính năng object-group nhằm giảm số lượng access-list entry xuống. Điều này là cực kì quan trong đối với các mô hình có số lượng PC lớn, yêu cầu phức tạp, và nhiều giao thức.
Đầu tiên chúng ta sẽ khai báo 1 object-group:

Cấu trúc của 1 object-group có dạng như sau:

Object-group trên firewall ASA bao gồm 4 loại với 4 chức năng khác nhau là: protocol, network, icmp-type và service. Chúng ta sẽ cùng điểm qua về 4 object này:
•    Protocol: đây là các giao thức layer 3 IP .
•    Network: đây là từ khóa chỉ ra các host, subnet hoặc là IP address.
•    ICMP-type: dùng để chỉ các cờ ECHO, echo-reply.
•    Service: dùng để chỉ các dịch vụ tại layer 4 như giao thức TCP hoặc UDP.

Tiếp theo chúng ta sẽ cấu hình access-list kết hợp với các object-group đã liệt kê phía trên.

Cấu trúc của 1 access-list kết hợp với object group như sau:

Thay vì viết rất nhiều dòng để thực thi việc chặn web thì giờ đây với sự giúp đỡ của object-group thì số lượng access-list entry sẽ giảm xuống và sẽ giảm độ phức tạp của việc cấu hình hơn rất nhiều.
Chúng ta sẽ cùng phân tích câu lệnh như sau:
INSIDE_OUTSIDE :  đây là ID của access-list trong ASA, chúng ta có thể đặt bất kì ID bằng chữ nào, tuy nhiên để mang tính chất gợi nhớ thì nên đặt những ID gần với access-list mà chúng ta sử dụng.
Extended : loại access-list mà chúng ta sẽ áp dụng.
Deny : điều kiện cho phép(permit) hoặc chặn(deny) đối với access-list.
Object-group : đây là các object-group chúng ta sẽ áp lên access-list.

Kiểm tra:
Chúng ta sẽ kiểm tra trước khi có access-list.

 

Sau khi access-list được áp lên:
 

Như vậy chúng ta đã cấu hình thành công sử dụng access-list kết hợp với việc chặn WEB!

Đánh giá sao từ người đọc :
[ Tổng : 7 - Trung bình: 2.4 ]

LEAVE A REPLY