Cisco ASA [Chapter 13] Virtual Firewall on Cisco ASA

I. Overview Virtual Firewall
1. Virtual Firewall Cisco ASA là gì ?
- Việc chia VLAN là để chia con SW ra thành nhiều con SW ảo, nhưng thực sự ra thì nó không phải là con SW ảo hoàn toàn. Thực ra là SW thật nó chia thành nhiều Broadcast domain cho các con SW ảo bên trong.
- Việc cấu hình trên mode Global của SW vẫn ảnh hưởng đến các con SW ảo bên trong. VD: đặt hostname, save cấu hình …
- Sau đó Cisco có SW 1000v nó có thể chia SW thật thành các SW ảo độc lập hoàn toàn.
- Tương tự SW 1000v, ASA cũng có thể chia no thành các con ASA ảo độc lập hoàn toàn. Đây được gọi là Security Context.

2. Deployments
- Cho các ISP để cung cấp cho các khách hàng
- Giải quyết vấn đề Overlapping networks.
- Thường được sử dụng trong LAN(trước các department), ko sử dụng ASA trong tầng core. Vì Security Context không hỗ trợ dynamic Routing.

II. Thành phần và cấu trúc Virtual Firewall Cisco ASA
1. Cấu trúc Virtual Firewall Cisco ASA
- Security context được chia làm 3 loại:

• System execution space: là phần quản lý chung nhất
• Admin context: dùng để quản trị các Context khác và bạn có thể gán management interface cho context admin
• User context

- Các cấu hình trên system execution space


- Để xem ASA của bạn tạo được bao nhiêu context bạn sử dụng lệnh

• ASA serial 5505 không hỗ trợ
• 5510 sử dụng license basic cũng không hỗ trợ

- Đối chiếu mode Single và Multiple

- Chú thích

• Vulnerability (lỗ hổng)
• Risk (rủi ro)
• Threat (mối đe dọa)

2. Packet classification
- Packket classification(phân loại gói): Quá trình xử lý gói tin khi chia ảo có 2 dạng:
2.1 Non shared interface Virtual Firewall Cisco ASA

• Mỗi 1 context sẽ sử dụng các interface(có thể là interface vật lý hoặc Subinterface) riêng biệt

2.2 Shared interface Virtual Firewall Cisco ASA

• 2 context sử dụng chung 1 interface, nên 2 context trên 2 ASA có chung subnet
• Để biết traffic đi theo đương nào thì bạn cần cấu hình thêm Policy NAT. Trên ASA sẽ dựa vào bảng NAT để tra xem gói tin đó là thuộc vào context nào

3. Packet flow in multiple mode
3.1 Forwarding without a shared interface Virtual Firewall Cisco ASA
- Gói tin ICMP từ Host A gửi tới Host B sẽ đi như sau:

• khi gói ICMp từ Host A đến ASA dựa vào packet classification của Non shared interface thì ASA đã biết được gói tin này thuộc context nào.
• Nó sẽ nhìn vào bảng định tuyến và forward đến Router
• Router nhìn và bảng định tuyến và forward qua cho context Cubs của ASA, sau đó ASA gửi về cho Host B

3.2 Forwarding with a shared interface Virtual Firewall Cisco ASA
- Với ICMP từ host A được classification thì ASA đã biết gói tin này thuộc vào Context nào.
- Lúc này ASA nhìn vào Des IP thì thấy nó là IP trên cổng outside của nó ( Vì sử dụng Shared interface nên IP outside của 2 context có cùng subnet)
- ASA sẽ không forward gói tin lên cho R1 mà nó Switch trực tiếp từ context Bears sang cho Context Cubs