Trong thời đại công nghệ số ngày nay, an ninh mạng không chỉ là ưu tiên mà là yêu cầu bắt buộc. Các hệ thống mạng ở mọi quy mô đều phải đối mặt với các mối đe dọa ngày càng tinh vi, từ tấn công DDoS cho đến truy cập trái phép. Firewall Cisco ASA là dòng sản phẩm ra đời với nhiều ưu điểm cho khả năng bảo vệ hệ thống mạng một cách hiệu quả. Bài viết sau đây sẽ gửi đến các bạn hướng dẫn cấu hình Firrewall Cisco ASA để giúp thiết bị hoạt động ổn định với hiệu suất tối ưu.
TỔNG QUAN VỀ FIREWALL CISCO ASA
Firewall Cisco ASA là thiết bị tường lửa được xây dựng dựa trên phần cứng mạnh mẽ cùng bộ tính năng tiên tiến giúp xây dựng một hệ thống bảo mật toàn diện trước những phần mềm độc hại hay tấn công trái phép qua mạng. ASA trong Firewall Cisco ASA chính là chỉ các sản phẩm Firewall Cisco tích hợp ASA Software – một license với những tính năng bảo mật cao cấp nhất.
CÁC LỆNH CẤU HÌNH FIREWALL CISCO ASA CƠ BẢN
Sau khi đã tìm hiểu những thông tin tổng quan về dòng sản phẩm tường lửa phổ biến nhất của Cisco, hãy cùng tôi đến với những lệnh cấu hình Firewall Cisco ASA cơ bản.
Đặt Tên Cho Firewall Cisco ASA
Trong đó:
- name: Tên bạn muốn đặt cho Firewall
Tên này có thể dài tới 63 ký tự. Ngoài ra, nó phải bắt đầu và kết thúc bằng một chữ cái hoặc chữ số và chỉ có chữ cái, chữ số hoặc dấu gạch nối trong tên.
Khi bạn đặt tên máy chủ cho Firewall Cisco ASA, tên đó sẽ xuất hiện trong dấu nhắc của giao diện CLI. Nếu bạn thiết lập phiên cho nhiều thiết bị, tên máy chủ sẽ giúp bạn theo dõi nơi bạn nhập lệnh.
Đặt Tên Miền Nội Bộ
Trong đó:
- name: Tên miền nội bộ gán cho thiết bị
Đặt Mật Khẩu Quản Trị
Trong đó:
- password: Mật khẩu để truy cập chế độ EXEC đặc quyền
Đây là mật khẩu cho phép bạn truy cập chế độ EXEC đặc quyền. Theo mặc định, mật khẩu này để trống và sẽ được nhắc nhở thay đổi trong lần cấu hình đầu tiên. Mật khẩu này cũng cho phép bạn đăng nhập vào ASDM với tên người dùng trống nếu bạn không cấu hình xác thực HTTP.
Đặt Mật Khẩu Truy Cập Telnet Cho Thiết Bị
Trong đó:
- [encrypted]: Mật khẩu đăng nhập bạn muốn chỉ định để truy cập Telnet
Mật khẩu này được lưu trong cấu hình dưới dạng mã hóa, do đó bạn không thể xem mật khẩu gốc sau khi nhập.
Đặt Ngày Và Giờ
Thiết Lập Múi Giờ
Múi giờ theo mặc định với các thiết bị Firewall Cisco ASA là UTC. Để đặt múi giờ, hãy sử dụng lệnh sau:
Trong đó:
- zone: Múi giờ
Thiết Lập Ngày Và Giờ Sử Dụng NTP Server
NTP (Network Time Protocol) là một giao thức giúp các thiết bị trong majng đồng bộ thời gian chính xác với nhau. Để làm được điều đó, NTP sử dụng một hệ thống phân cấp nhiều tầng máy chủ (server), trong đó có những máy chủ giữ thời gian chính xác hơn các máy khác. Thiết bị sẽ ưu tiên sử dụng máy chủ có độ tin cậy cao nhất để lấy thời gian.
Bạn có thể cấu hình nhiều máy chủ NTP cho thiết bị ASA. Thiết bị sẽ tự động chọn máy chủ có “stratum” (tầng độ tin cậy) thấp nhất – tức là máy càng gần với nguồn thời gian gốc (như đồng hồ nguyên tử), thì càng chính xác và đáng tin cậy hơn.
Bước 1:
a. Bật xác thực NTP server.
b. Chỉ định một key ID xác thực là key đáng tin cậy, là key bắt buộc để xác thực với máy chủ NTP.
Trong đó:
- key_id: Số thứ tự key ID
c. Đặt key để xác thực với NTP server.
Trong đó:
- key_id: Số ID mà bạn đã thiết lập bằng lệnh trusted-key phía trên
- { md5 | sha1 | sha256 | sha512 | cmac }: Thiết lập thuật toán
- key: Đặt khóa thành một chuỗi có độ dài tối đa 32 ký tự.
Bước 2:
Xác định máy chủ NTP.
Đặt Ngày Và Giờ Theo Cách Thủ Công
Ví dụ: Nếu bạn muốn đặt ngày và giờ thành thời điểm là 19 giờ 25 phút, ngày 29 tháng 6 năm 2025, hãy nhập lệnh sau:
Cấu Hình Master Passphrase
Master passphrase là mật khẩu bảo vệ chính mà bạn cấu hình trên thiết bị Cisco ASA để mã hóa và bảo vệ các thông tin nhạy cảm. Các tính năng trên Tường lửa Cisco ASA sử dụng master passphrase bao gồm:
- OSPF
- EIGRP
- VPN load balancing
- VPN (remote access and site-to-site)
- Failover
- AAA servers
- Logging
- Chia sẻ license
Thêm Hoặc Thay Đổi Master Passphrase
Bước 1: Đặt mật khẩu được sử dụng để tạo khóa mã hóa.
Trong đó:
- new_passphrase: Mật khẩu chính mới
- old_passphrase: Mật khẩu chính cũ
Bước 2: Bật mã khóa mật khẩu.
Bước 3: Lưu lại mật khẩu chính vừa tạo.
Tắt Master Passphrase
Xóa Master Passphrase
Bạn không thể khôi phục mật khẩu chính. Nếu passphrase bị mất hoặc không xác định, bạn có thể xóa nó. Để xóa mật khẩu chính, hãy thực hiện các bước sau:
Bước 1: Xóa key chính và cấu hình bao gồm mật khẩu được mã hóa.
Bước 2: Tải lại Firewall Cisco bằng cấu hình khởi động mà không cần bất kỳ khóa chính hoặc mật khẩu được mã hóa nào.
Kích Hoạt Giao Diện Vật Lý Và Cấu Hình Tham Số Ethernet
Bước 1: Chỉ định giao diện bạn muốn cấu hình.
Bước 2: (Tùy chọn) Cài đặt tốc độ (thay đổi tùy theo kiểu máy).
Bước 3: Thiết lập tự động đàm phán (Áp dụng cho Cisco Secure Firewall 1200/3100/4200).
Bước 4: (Tùy chọn) Thiết lập chế độ song công cho giao diện RJ-45.
Bước 5: (Tùy chọn) (Áp dụng cho Firewall Cisco 3100/4200 ) Đặt Sửa lỗi chuyển tiếp (FEC) cho giao diện 25 Gbps trở lên.
Bước 6: (Tùy chọn) (Áp dụng cho Firewall Cisco 1200/3100 /4200 ) Kích hoạt khung tạm dừng (XOFF) để kiểm soát luồng trên giao diện Gigabit và cao hơn:
Bước 7: Kích hoạt giao diện.
Cấu Hình DNS Server
Cấu hình máy chủ DNS sẽ giúp tường lửa Cisco có thể phân giải tên máy chủ thành địa chỉ IP. Bạn cũng cần cấu hình máy chủ DNS để sử dụng các đối tượng mạng với tên miền đủ điều kiện (FQDN) trong các quy tắc truy cập.
Bước 1: Cho phép Firewall Cisco gửi yêu cầu DNS đến máy chủ DNS để thực hiện tra cứu tên cho các lệnh được hỗ trợ.
Bước 2: Tạo một hoặc nhiều máy chủ DNS và thêm máy chủ vào nhóm.
a. Đặt tên cho nhóm server DNS
Để cấu hình nhóm máy chủ DefaultDNS mặc định, hãy chỉ định DefaultDNS cho tên.
b. Chỉ định một hoặc nhiều máy chủ DNS cho nhóm.
Bạn có thể nhập tất cả sáu địa chỉ IP trong cùng một lệnh, cách nhau bằng dấu cách hoặc bạn có thể nhập từng lệnh riêng biệt.
c. (Chỉ dành cho nhóm mặc định) Cấu hình tên miền được thêm vào tên máy chủ nếu tên miền đó chưa đủ điều kiện.
d. (Tùy chọn) Cấu hình các thuộc tính bổ sung của nhóm máy chủ DNS.
e. Lặp lại các bước trên để thêm các nhóm máy chủ DNS bổ sung.
Bước 3: (Tùy chọn) Ánh xạ tên miền vào các nhóm máy chủ DNS cụ thể.
ciscoasa(config)# dns-to-domain dns_group_name domain
Bước 4: Chỉ định nhóm DNS mặc định
KẾT LUẬN
Việc cấu hình Firewall Cisco ASA ban đầu có thể khiến người dùng mới cảm thấy phức tạp, nhưng với hướng dẫn chi tiết trên đây của Cisco Chính Hãng, bạn hoàn toàn có thể triển khai được hệ thống bảo mật mạng chuyên nghiệp và an toàn cho doanh nghiệp hoặc tổ chức của mình. Ngoài ra, nếu bạn vẫn còn những thắc mắc khác cần được giải đáp, hãy liên hệ với chúng tôi theo thông tin dưới đây để được hỗ trợ nhanh chóng.
Cisco Chính Hãng – Phân Phối Firewall Cisco Chính Hãng
- VP Hà Nội: 59 Võ Chí Công, Phường Nghĩa Đô, Quận Cầu Giấy, TP. Hà Nội
- VP TP. HCM: 736/182 Lê Đức Thọ, Phường 15, Quận Gò Vấp, TP. Hồ Chí Minh
- Hotline: 0936.366.606
- Email: info@ciscochinhhang.vn