Thực hiện cấu hình cơ bản ASA

192.168.1.0/24.1

Telnet, SSH, HTTPS

I. Mô tả: Thực hiện cấu hình quản lý thiết bị bảo mật ASA với Telnet, SSH và HTTPS

II. Cấu hình Cấu hình thông tin cổng e0/0 với địa chỉ, nameif và mức bảo mật ciscoasa(config)# interface e0/0 ciscoasa(config-if)# ip address 192.168.1.1 255.255.255.0 ciscoasa(config-if)# no shut ciscoasa(config-if)# nameif inside INFO: Security level for "inside" set to 100 by default. Xác định mạng hoặc địa chỉ được phép thực hiện truy cập telnet từ cổng inside ciscoasa(config)# telnet 192.168.1.0 255.255.255.0 inside Tùy chọn bạn có thể cần thực hiện xác thực khi truy cập telnet với thông tin đăng nhập là cục bộ ciscoasa(config)# aaa authentication telnet console LOCAL Xác định mạng hoặc địa chỉ được phép thực hiện truy cập ssh từ cổng inside ciscoasa(config)# ssh 192.168.1.0 255.255.255.0 inside Thực hiện xác thực khi truy cập ssh với thông tin đăng nhập là cục bộ ciscoasa(config)# aaa authentication ssh console LOCAL Xác định Version hoạt động của SSH, điều này được khuyến khích vì cung dịch vụ bảo vệ an toàn hơn ciscoasa(config)# ssh version 2 Không có mật khẩu mặc định cho mật khẩu enable, bạn có thể xác định mật khẩu qua dòng lệnh enable password Kích hoạt dịch vụ https ciscoasa(config)# http server enable Xác định mạng hoặc địa chỉ được phép thực hiện truy cập https từ cổng inside ciscoasa(config)# http 192.168.1.0 255.255.255.0 inside

Tùy chọn bạn có thể cần thực hiện xác thực khi truy cập telnet với thông tin đăng nhập là cục bộ ciscoasa(config)# aaa authentication http console LOCAL Vì bạn thực hiện truy cập https qua tiện ích ASDM, nên bạn cần đảm bảo trong flash có asdm-602.bin (cũng có thể phiên bản asdm khác) và dòng lệnh asdm image flash:/asdm-602.bin tồn tại trong cấu hình, nếu bạn cài tiện ích ASDM sẵn trong PC thì không cần bước này. Định nghĩa tài khoản đăng nhập ciscoasa(config)# username ssix password 123456

III. Cấu hình đầy đủ

ciscoasa ! hostname ciscoasa enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface Ethernet0/0 nameif inside security-level 100 ip address 192.168.1.1 255.255.255.0 ! interface Ethernet0/1 shutdown no nameif no security-level no ip address ! interface Ethernet0/2 shutdown no nameif no security-level no ip address ! interface Ethernet0/3 shutdown no nameif no security-level no ip address ! interface Management0/0 shutdown no nameif no security-level no ip address

management-only ! passwd 2KFQnbNIdI.2KYOU encrypted asdm image disk0:/asdm-602.bin aaa authentication telnet console LOCAL aaa authentication ssh console LOCAL aaa authentication http console LOCAL http server enable http 192.168.1.0 255.255.255.0 inside no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart no crypto isakmp nat-traversal telnet 192.168.1.0 255.255.255.0 inside telnet timeout 5 ssh 192.168.1.0 255.255.255.0 inside ssh timeout 5 ssh version 2 console timeout 0 threat-detection basic-threat threat-detection statistics access-list ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp !

service-policy global_policy global username ssix password E1W6hUMdsPROmOmT encrypted prompt hostname context Cryptochecksum:78cf59a0893129f9c01ea495adb5cb53 : end

IV. Kiểm tra Thực hiện truy cập Telnet vào ASA

Thực hiện truy cập SSH vào ASA

Yêu cầu chấp nhận Public Key

Thực hiện đăng nhập

Truy cập thành công

Thực hiện truy cập https với ASDM Yêu cầu chấp nhận Certificate

Chọn Install ASDM Launcher and Run ASDM, để cài tiện ích lên PC quản lý, lần sau chỉ cần truy cập tiện ích được cài đặt bạn sẽ truy cập trực tiếp vào thiết bị. Trong trường hợp này ta sẽ chọn Run ASDM

Chọn Yes để tiếp tục

Đăng nhập với thông tin người dùng được định nghĩa (nếu thông tin người dùng chưa định nghĩa bạn có thể để trống)

Tiến trình tải ASDM Launcher

Bạn có thể kiểm tra thông tin và trạng thái của thiết bị qua Device Dashboard và Firewall Dashboard

Với quyền tài khoản đăng nhập hiện tại không cho phép bạn thực hiện cấu hình, cần cấp đặc quyền cho người dùng với câu lệnh ciscoasa(config)# username ssix password 123456 privilege 15

Bạn cần thực hiện đăng nhập lại để truy cập vào phần cấu hình Trong phần Device Setup, có thể thông tin cổng, thông tin định tuyến....

Trong phần Firewall, có thể cấu hình NAT, PAT, chính sách bảo mật...