Cấu hình HA Failover Firewall cisco ASA
Cấu hình HA Failover Firewall cisco ASA
Trong bài hướng dẫn này tôi sẽ hướng dẫn các bạn từng bước cấu hình HA mode Failover cho Firewall cisco ASA. chi tiết các bước như sau:
có thể cấu hình cho tất cả các dòng Firewall Asa 5505, 5510, 5520, 5540, 5550, 5580 …
có thể cấu hình cho tất cả các dòng Firewall Asa 5506-X 5525-X 5500-X 5585-X …
1./ Tìm hiểu thiết bị Firewall/IPS
Để đảm bảo tính dự phòng cho nhau, cặp firewall ASA5520 được cấu hình Active/Standby, một thiết bị hoạt động và một thiết bị ở trạng thái chờ, khi thiết bị đang hoạt động gặp lỗi thì thiết bị còn lại chuyển trạng thái hoạt động thay thế ngay thiết bị gặp lỗi. Cặp firewall ASA5520 có module AIP-SSM là IPS của module. Phần lớn các giao tiếp trong phân vùng này là các liên công ty trong nước hoặc đối tác quốc tế, do đó cần phải thiết lập chính sách an ninh dựa trên thiết bị IPS và Firewall.
AIP-SSM module là một IPS hoạt động chế độ inline. Toàn bộ traffic sau khi được kiểm soat bởi “ Firewall Policy” tiếp tục bị kiểm soát bởi IPS
1.2/ Cấu hình Firewall
1.2.1/ Firewall chạy ở route mode
Theo mặc định thiết bị hoạt động ở chế độ Route mode
Để kiểm tra gõ lệnh show firewall
ASA5520-01# show failover
Firewall mode: Router
1.2.2/ cấu hình dự phòng chế độ stateful failover
Trước tiên cần hiểu rõ stateful failover trên Firewall cisco. Hiểu đơn giản là Firewall secondary hay Firewall dự phòng sẽ tự động chuyển từ trạng thái standby sang active khi Firewall active bị mất điện hoặc bị lỗi. Khi đó link trạng thái giữa 2 Firewall sẽ phát hiện ra Firewall active đang lỗi.
Chi tiết hơn về stateful failover ở link sau:
Step 1: Lựa chọn Link Failover
Trong bước này chỉ ra Interface nào sẽ dùng để làm kết nối Failover (bao gồm LAN interface và Link State Interface)
ASA5520-01 (config)# interface Management0/0
ASA5520-01 (config-if)# no management-only
ASA5520-01(config)# failover lan interface failover Management0/0
ASA5520-01(config)# failover link failover Management0/0
Step 2: cấu hình địa chỉ IP Failover
Cấu hình địa chỉ Ip cho Failover interface, địa chỉ IP này không liên quan đến vấn đề định tuyến trên toàn mạng, nó chỉ dùng để gửi các bản tin liên quan đến hoạt đồng của Failover.
HN-ASA5520-01(config)# failover interface ip failover 192.168.1.1 255.255.255.0 standby 192.168.1.2
Step 3: Định nghĩa thiết bị Active/Standby
việc định nghĩa này chỉ ra thiết bị nào hoạt động mode Active trong điều kiện hai thiết bị Failover hoạt động bình thường.
ASA5520-01(config)# failover lan unit primary
Nếu thiết bị Standby cấu hình như sau
ASA5520-01(config)# failover lan unit secondary
Step 4: Enable chức năng Failover
Bước cuối cùng để chức năng Failover có thể hoạt động là kích hoạt chức năng Failover trên thiết bị. Hoàn thành bước này cấu hình như sau.
ASA5520-01(config)# failover
Step 5: cấu hình trên thiết bị Standby
Cấu hình trên thiết bị Standby giống như từng bước trên thiết Active, file cấu hình như sau.
failover
failover lan unit secondary
failover lan interface failover Management0/0
failover link failover Management0/0
failover interface ip failover 192.168.1.1 255.255.255.0 standby 192.168.1.2
1.3/ Thiết lập 3 nhánh mạng: inside, outside và partner DMZ
interface GigabitEthernet0/0
description *** Ket noi Inside***
nameif inside
security-level 100
ip address 10.1.50.1 255.255.255.0
!
interface GigabitEthernet0/1
description *** Ket noi outside***
nameif outside
security-level 0
ip address 10.2.50.1 255.255.255.0
!
interface GigabitEthernet0/2
description *** Ket noi DMZ***
nameif DMZ
security-level 50
ip address 10.2.50.1 255.255.255.0
1.4/ Đấy traffic nhận từ cổng outside đi qua IPS trước khi vào inside
Việc cấu hình này bao gồm các bước như sau:
Step 1: Tạo một IPS access-list
ASA5520-01(config)#access-list IPS permit ip any any
Step 2: Định nghĩa IPS class traffic
class-map my-ips-class
match access-list IPS
Step 3: Gán traffic tới AIP-SSM
policy-map my-ids-policy
class my-ips-class
ips inline fail-open
1.4.1/ Thiết lập policy cho traffic cần thiết của các máy chủ quản trị đi qua
access-list outside_in extended permit icmp any any echo-reply
access-list outside_in extended permit icmp any any time-exceeded
access-list outside_in extended permit icmp any any unreachable
access-list outside_in extended permit ip any any
!
access-group outside_in in interface outside
1.4.2/ Cấu hình inspect một số giao thức đặc biệt như oracle, sip, esmtp...
class-map inspection_default
match default-inspection-traffic
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
1.5/ Quản trị Firewall từ xa với SSH, ASDM
Để có thể quản trị Firewall từ xa thì có thể sử dụng SSH hoặc qua Https hoặc qua ASDM
1.5.1/ Cấu hình SSH
ssh 10.0.0.0 255.0.0.0 inside
aaa authentication ssh console LOCAL
crypto key generate rsa general-keys modul 1024
http server enable
ssh timeout 2
ssh version 2
1.5.2/ Cấu hình ASDM (HTTPS)
asdm image disk0:/asa82.bin
http server enable
http 10.0.0.0 255.0.0.0 inside
cụ thể để enable quản trị qua ASDM mình có ghi chi tiết 1 bài link dưới:
https://fixloinhanh.com/ket-noi-tu-client-window-den-asdm-firewall-cisco-asa/
2./ Cấu hình IPS module
2.1/ IPS chạy ở inline mode, tiếp nhận traffic từ Firewall đi vào
Kết nối tới module thông qua ASA console
asa# session 1
Opening command session with slot 1.
Connected to slot 1. Escape character sequence is 'CTRL-^X'.
login: cisco
Password:
***NOTICE***
This product contains cryptographic features and is subject to United States and local country laws governing import, export, transfer and use. Delivery of Cisco cryptographic products does not imply third-party authority to import,export, distribute or use encryption. Importers, exporters, distributors and users are responsible for compliance with U.S. and local country laws. By using this product you agree to comply with applicable laws and regulations. If you are unable to comply with U.S. and local laws, return this product immediately.
A summary of U.S. laws governing Cisco cryptographic products may be found at: http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
If you require further assistance please contact us by sending email to
***LICENSE NOTICE***
There is no license key installed on the system.
Please go to http://www.cisco.com/go/license
to obtain a new license or install a license.
aip-ssm#
Bắt đầu cấu hình bằng lênh setup:
--- System Configuration Dialog ---
At any point you may enter a question mark '?' for help.
User ctrl-c to abort configuration dialog at any prompt.
Default settings are in square brackets '[]'.
Current Configuration:
service host
network-settings
host-ip 10.1.9.201/24,10.1.9.1
host-name sensor
telnet-option disabled
ftp-timeout 300
login-banner-text
exit
time-zone-settings
offset 0
standard-time-zone-name UTC
exit
summertime-option disabled
ntp-option disabled
exit
service web-server
port 443
exit
Current time: Wed May 5 10:25:35 2011
Continue with configuration dialog?[yes]:
2.2/ Cấu hình tính năng bypass cho phép traffic đi thẳng khi IPS engine bị lỗi
Thiết bị được cấu hình với mode fail open cho phép bypass traffic khi IPS engine bị lỗi
policy-map my-ids-policy
class my-ips-class
ips inline fail-open
2.3/ Áp các policy theo default signature của IPS lên cổng kết nối
sensor# configure terminal
sensor(config)# service signature-definition sig0
2.4 / Default action là Deny lên toàn bộ traffic khi gặp cảnh báo high risk
sensor # configure terminal
sensor (config)# default service event-action-rules rules0
2.5/ Cấu hình quản trị với SSH, HTTPS
Trong quá trình setup, chúng ta phải tạo account và cho phép các dịch vụ SSH, HTTPS tới thiết bị
network-settings
host-ip 10.1.9.201/24,10.1.9.1
host-name sensor
telnet-option disabled
service web-server
port 443
Chúc các bạn thành công.
