Hướng dẫn cấu hình NAT trên Firewall Cisco ASA (Phần 3)

Thảo luận trong 'Infrastructure security' bắt đầu bởi hocomoihinhthuc, 20/07/15, 04:07 PM.

  1. hocomoihinhthuc

    hocomoihinhthuc W-------

    Tham gia: 06/07/15, 11:07 AM
    Bài viết: 22
    Đã được thích: 11
    Điểm thành tích:
    18
    Phần 3 đưa ra một số ví dụ cấu hình NAT.
    1.Topology
    [​IMG]
    Sơ đồ kết nối trên GNS3
    [​IMG]
    2.Mô tả
    Tại mỗi chi nhánh Chicago và New York có inside network, outside network DMZ. Hai chi nhánh này kết nối với nhau bằng VPN site-to-site. Tại Chicago có triển khai VPN Remote access dành cho mobile users với subnet 192.168.50.0/24. Không may, DMZ network tại New York trùng lặp với inside network của Chicago.
    3.Kịch bản 1
    Cấu hình static NAT cho DMZ Web Serverdynamic PAT cho các hostinside netwok sử dụng IP address của cổng outside (209.165.200.225).
    3.1. Cấu hình dynamic PAT cho inside network
    - Cấu hình bằng ASDM: chọn AddNetwork Object” NAT Rule
    [​IMG]
    [​IMG]
    Click Advanced
    [​IMG]
    Click OK 2 lần để kết thúc.
    - Cấu hình bằng CLI:
    Chicago# show running-config object
    object network Inside-Net
    subnet 192.168.10.0 255.255.255.0
    !
    Chicago# show running-config nat
    object network Inside-Net
    nat (inside,outside) dynamic interface
    !
    3.2. Cấu hình static NAT cho Web Server
    - Cấu hình bằng ASDM: chọn AddNetwork Object” NAT Rule
    [​IMG]
    Click Advanced
    [​IMG]
    Click OK 2 lần để kết thúc.
    - Cấu hình bằng CLI:
    Chicago# show running-config object
    object network Inside-Web
    host 192.168.20.10
    !
    Chicago# show running-config nat
    object network Inside-Web
    nat (DMZ,outside) static 209.165.200.230
    !
    4.Kịch bản 2
    Cấu hình static PAT cho Web Server sử dụng địa chỉ của cổng outside kết hợp với port 80.
    - Cấu hình bằng ASDM: chọn Add Network Object” NAT Rule

    [​IMG]
    Click Advanced
    [​IMG]
    Click OK 2 lần để kết thúc.
    - Cấu hình bằng CLI:
    Chicago# show running-config object
    object network Inside-Web
    host 192.168.20.10
    !
    Chicago# show running-config nat
    object network Inside-Web
    nat (DMZ,outside) static interface service tcp www www
    !
    5.Kịch bản 3
    Cấu hình static NAT (sử dụng twice NAT) cho phép các host inside network (Chicago) truy nhập đến DMZ network (New York). Chú ý: 2 network này bị trùng địa chỉ, đều là 192.168.10.0/24. Chúng ta cần dùng địa chỉ thay thế, như sau: địa chỉ thay thế của DMZ network (New York) là 192.168.100.0/24; địa chỉ thay thế của inside network (Chicago) là 10.10.100.0/24. Bạn sử dụng 4 object, như sau:
    Chicago-Real: chứa phần tử network 192.168.10.0/24
    Chicago-Mapped: 10.10.100.0/24
    NewYork-Real: 192.168.10.0/24
    NewYork-Mapped: 192.168.100.0/24

    [​IMG]
    [​IMG]
    [​IMG]
    [​IMG]
    - Cấu hình bằng ASDM: chọn Add NAT Rule Before Network Object” NAT Rule

    [​IMG]
    [​IMG]
    Click OK để kết thúc.
    - Cấu hình bằng CLI:
    Chicago# show running-config object
    object network Chicago-Mapped
    subnet 10.10.100.0 255.255.255.0
    object network Chicago-Real
    subnet 192.168.10.0 255.255.255.0
    object network NewYork-Mapped
    subnet 192.168.100.0 255.255.255.0
    object network NewYork-Real
    subnet 192.168.10.0 255.255.255.0
    !
    Chicago# show running-config nat
    nat (inside,outside) source static Chicago-Real Chicago-Mapped destination static NewYork-Mapped NewYork-Real
    !
    6.Kịch bản 4
    Cấu hình Identity NAT cho kết nối VPN site-to-site. Với cấu hình này, traffic từ inside network (Chicago) gửi đến inside network (New York) sẽ không bị dịch địa chỉ. Bạn sử dụng 2 object sau:
    Inside-Real: chứa phần tử network 192.168.10.0/24
    Remote-Real: 10.10.10.0/24
    [​IMG]
    Click Advanced
    [​IMG]
    [​IMG]
    - Cấu hình bằng ASDM: chọn Add NAT Rule Before Network Object” NAT Rule
    [​IMG]
    Click OK để kết thúc.
    - Cấu hình bằng CLI:
    Chicago# show running-config object
    object network Inside-Real
    subnet 192.168.10.0 255.255.255.0
    object network Remote-Real
    subnet 10.10.10.0 255.255.255.0
    !
    Chicago# show running-config nat
    nat (inside,outside) source static Inside-Real Inside-Real destination static Remote-Real Remote-Real
    7.Kịch bản 5
    Cấu hình dynamic PAT đối với Remote-Access VPN Clients. Để tăng cường bảo mật, trong cấu hình Remote-Access VPN không thực hiện tính năng split-tunnel. Tất cả kết nối từ VPN clients ra Internet đều được mã hóa và gửi qua firewall Chicago. Khi kết nối VPN, VPN clients được cấp địa chỉ thuộc network 192.168.50.0/24. Firewall Chicago không thực hiện NAT đối với traffic gửi từ VPN clients đến inside network. Tuy nhiên, traffic từ inside network gửi ra Internet vẫn được dịch địa chỉ. Bạn cần có 2 object sau:
    Inside-Real: chứa phần tử 192.168.10.0/24
    VPN-Real: 192.168.50.0/24
    [​IMG]
    Click Advanced
    [​IMG]
    - Cấu hình bằng ASDM: chọn Add NAT Rule Before Network Object” NAT Rule
    [​IMG]
    - Cấu hình bằng CLI:
    Chicago# show running-config object
    object network Inside-Real
    subnet 192.168.10.0 255.255.255.0
    object network VPN-Real
    subnet 192.168.50.0 255.255.255.0
    !
    Chicago# show running-config nat
    nat (inside,outside) source static Inside-Real Inside-Real destination static VPN-Real VPN-Real
    !
    - Note: bài viết đúng với hệ điều hành IOS ver 8.3 hoặc cao hơn

    ( hết phần 3)


    Tham khảo:

    - CCNA Security Curriculum
    - Cisco ASA All-in-One Next-Generation Firewall, IPS, and VPN Services, Third Edition

    (Nguồn: Blog "Học Ở Mọi Hình Thức" https://duchm72.wordpress.com/2015/07/20/cisco-asa-network-address-translation-nat-part-3/ )
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan