daibang88dn
New Member
- Joined
- Jul 31, 2014
- Messages
- 9
- Reaction score
- 0
- Points
- 0
Mô hình này dùng ASA 8.4 các bạn nhé!!!!!!!!!
Nhờ mọi người giúp đỡ cấu hình dùm bài lap này với!!!Cảm ơn mọi người.
- Thread starter daibang88dn
- Start date
root
Well-Known Member
- Joined
- Dec 31, 2012
- Messages
- 1,153
- Reaction score
- 71
- Points
- 48
hi daibang88dn,
ở đây có mấy vấn đề cần làm rõ là
- URL độc hại mà bạn định nghĩa là như thế nào
- Cấm 1 số trang web xấu, như thế nào là web xấu.
- Cấm IP nước ngoài là IP nước nào, nó có nguyên 1 list dài cấm cũng hơi vất vả mà không hiểu ý đồ cấm của bạn như thế để làm gì
ở đây có mấy vấn đề cần làm rõ là
- URL độc hại mà bạn định nghĩa là như thế nào
- Cấm 1 số trang web xấu, như thế nào là web xấu.
- Cấm IP nước ngoài là IP nước nào, nó có nguyên 1 list dài cấm cũng hơi vất vả mà không hiểu ý đồ cấm của bạn như thế để làm gì
root
Well-Known Member
- Joined
- Dec 31, 2012
- Messages
- 1,153
- Reaction score
- 71
- Points
- 48
I. Sơ đồ
1. Sơ đồ
2. Sơ đồ IP
[TABLE="class: grid, width: 600"]
[TR]
[TD]PC[/TD]
[TD]IP: 192.168.20.2/25
gateway: 192.168.20.1[/TD]
[/TR]
[TR]
[TD]Web-server[/TD]
[TD]IP: 172.16.10.2/24
Gateway: 172.16.10.1[/TD]
[/TR]
[TR]
[TD]ASA[/TD]
[TD]g0, outside: 100.0.0.1/24
g1, inside: 192.168.20.1/24
g2, dmz: 172.16.10.1/24[/TD]
[/TR]
[TR]
[TD]Client[/TD]
[TD]IP: 200.0.0.3/24
gateway: 200.0.0.1[/TD]
[/TR]
[/TABLE]
3. yêu cầu
- Inside:
II. Triển khai
1. Cấu hình ISP
- Cấu hình router ISP
[TABLE="class: outer_border, width: 500"]
[TR]
[TD]R1(config)#hostname ISP
ISP(config)#int f0/0
ISP(config-if)#ip address 200.0.0.2 255.255.255.0
ISP(config-if)#no shutdown
ISP(config-if)#int f0/1
ISP(config-if)#ip address dhcp
ISP(config)#access-list 1 permit any
ISP(config)#ip nat inside source list 1 interface f0/1 overload
ISP(config)#int f0/1
ISP(config-if)#ip nat outside
ISP(config-if)#int f0/0
ISP(config-if)#ip nat inside[/TD]
[/TR]
[/TABLE]
2. Cấu hình ASA
- Cấu hình IP và trỏ default route tới ISP
[TABLE="class: outer_border, width: 500"]
[TR]
[TD]ciscoasa(config)# int g0
ciscoasa(config-if)# nameif outside
ciscoasa(config-if)# ip address 200.0.0.1 255.255.255.0
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# int g1
ciscoasa(config-if)# nameif inside
ciscoasa(config-if)# ip address 192.168.20.1 255.255.255.0
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# int g2
ciscoasa(config-if)# nameif dmz
ciscoasa(config-if)# security-level 50
ciscoasa(config-if)# ip address 172.16.10.1 255.255.255.0
ciscoasa(config-if)# no shutdown
ciscoasa(config)# route outside 0 0 200.0.0.2
ciscoasa(config)# fixup protocol icmp[/TD]
[/TR]
[/TABLE]
- Kiếm tra ASA ping ra internet thành công
3. NAT
- Thực hiện NAT để inside đi internet thành công
[TABLE="class: outer_border, width: 500"]
[TR]
[TD]ciscoasa(config)# object network INSIDE-INTERNET
ciscoasa(config-network-object)# subnet 192.168.20.0 255.255.255.0
ciscoasa(config-network-object)# nat (inside,outside) dynamic interface[/TD]
[/TR]
[/TABLE]
- PC trong inside ping ra internet và truy cập dmz thành công
- Thực hiện NAT - port Redirection cho outisde truy cập vào DMZ
[TABLE="class: outer_border, width: 650"]
[TR]
[TD]ciscoasa(config)# object network PORT-FORWARD
ciscoasa(config-network-object)# host 172.16.10.2
ciscoasa(config-network-object)# nat (dmz,outside) static interface service tcp 80 80[/TD]
[/TR]
[/TABLE]
- Tạo 1 ACL cho phép outside truy cập DMZ
[TABLE="class: outer_border, width: 700"]
[TR]
[TD]ciscoasa(config)# access-list OUTSIDE-DMZ extended permit tcp any host 172.16.10.2 eq http
ciscoasa(config)# access-group OUTSIDE-DMZ in interface outside[/TD]
[/TR]
[/TABLE]
- Dùng client ngoài internet truy cập DMZ thành công
4. ACL
- Tạo ACL cho phép truy cập internet từ thứ 2 đến thứ 6 từ 7-> 11h
[TABLE="class: outer_border, width: 750"]
[TR]
[TD]ciscoasa(config)# time-range SVUIT
ASA(config-time-range)# periodic weekdays 07:00 to 11:00
ciscoasa(config)# access-list WORK extended deny tcp 192.168.20.0 255.255.255.0 any time-range SVUIT
ciscoasa(config)# access-list WORK line 2 extended permit ip 192.168.20.0 255.255.255.0 any
ciscoasa(config)# access-group WORK in interface inside[/TD]
[/TR]
[/TABLE]
- PC truy cập được internet lúc tra lúc 3h thứ 6
- Sau đó chỉnh thời gian lúc 8:00 thứ 6 thì PC không truy cập được internet nữa
"Mình làm tới đây thôi, các câu hỏi còn lại mình không hiểu ý tưởng lắm nên dành cho các cao thủ khác vào trả lời hộ."
1. Sơ đồ
2. Sơ đồ IP
[TABLE="class: grid, width: 600"]
[TR]
[TD]PC[/TD]
[TD]IP: 192.168.20.2/25
gateway: 192.168.20.1[/TD]
[/TR]
[TR]
[TD]Web-server[/TD]
[TD]IP: 172.16.10.2/24
Gateway: 172.16.10.1[/TD]
[/TR]
[TR]
[TD]ASA[/TD]
[TD]g0, outside: 100.0.0.1/24
g1, inside: 192.168.20.1/24
g2, dmz: 172.16.10.1/24[/TD]
[/TR]
[TR]
[TD]Client[/TD]
[TD]IP: 200.0.0.3/24
gateway: 200.0.0.1[/TD]
[/TR]
[/TABLE]
- Inside:
- PC truy cập internet thành công
- PC truy cập DMZ thành công
- outside truy cập DMZ thành công
- cấm truy cập inside
- Cấm các URL độc hại
- cấm các trang web xấu
- cấm các IP nước ngoài
- cấm truy cập internet từ 7 -11h từ thứ 2 đến thứ 6
II. Triển khai
1. Cấu hình ISP
- Cấu hình router ISP
[TABLE="class: outer_border, width: 500"]
[TR]
[TD]R1(config)#hostname ISP
ISP(config)#int f0/0
ISP(config-if)#ip address 200.0.0.2 255.255.255.0
ISP(config-if)#no shutdown
ISP(config-if)#int f0/1
ISP(config-if)#ip address dhcp
ISP(config)#access-list 1 permit any
ISP(config)#ip nat inside source list 1 interface f0/1 overload
ISP(config)#int f0/1
ISP(config-if)#ip nat outside
ISP(config-if)#int f0/0
ISP(config-if)#ip nat inside[/TD]
[/TR]
[/TABLE]
- Cấu hình IP và trỏ default route tới ISP
[TABLE="class: outer_border, width: 500"]
[TR]
[TD]ciscoasa(config)# int g0
ciscoasa(config-if)# nameif outside
ciscoasa(config-if)# ip address 200.0.0.1 255.255.255.0
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# int g1
ciscoasa(config-if)# nameif inside
ciscoasa(config-if)# ip address 192.168.20.1 255.255.255.0
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# int g2
ciscoasa(config-if)# nameif dmz
ciscoasa(config-if)# security-level 50
ciscoasa(config-if)# ip address 172.16.10.1 255.255.255.0
ciscoasa(config-if)# no shutdown
ciscoasa(config)# route outside 0 0 200.0.0.2
ciscoasa(config)# fixup protocol icmp[/TD]
[/TR]
[/TABLE]
3. NAT
- Thực hiện NAT để inside đi internet thành công
[TABLE="class: outer_border, width: 500"]
[TR]
[TD]ciscoasa(config)# object network INSIDE-INTERNET
ciscoasa(config-network-object)# subnet 192.168.20.0 255.255.255.0
ciscoasa(config-network-object)# nat (inside,outside) dynamic interface[/TD]
[/TR]
[/TABLE]
- Thực hiện NAT - port Redirection cho outisde truy cập vào DMZ
[TABLE="class: outer_border, width: 650"]
[TR]
[TD]ciscoasa(config)# object network PORT-FORWARD
ciscoasa(config-network-object)# host 172.16.10.2
ciscoasa(config-network-object)# nat (dmz,outside) static interface service tcp 80 80[/TD]
[/TR]
[/TABLE]
[TABLE="class: outer_border, width: 700"]
[TR]
[TD]ciscoasa(config)# access-list OUTSIDE-DMZ extended permit tcp any host 172.16.10.2 eq http
ciscoasa(config)# access-group OUTSIDE-DMZ in interface outside[/TD]
[/TR]
[/TABLE]
4. ACL
- Tạo ACL cho phép truy cập internet từ thứ 2 đến thứ 6 từ 7-> 11h
[TABLE="class: outer_border, width: 750"]
[TR]
[TD]ciscoasa(config)# time-range SVUIT
ASA(config-time-range)# periodic weekdays 07:00 to 11:00
ciscoasa(config)# access-list WORK extended deny tcp 192.168.20.0 255.255.255.0 any time-range SVUIT
ciscoasa(config)# access-list WORK line 2 extended permit ip 192.168.20.0 255.255.255.0 any
ciscoasa(config)# access-group WORK in interface inside[/TD]
[/TR]
[/TABLE]
- Sau đó chỉnh thời gian lúc 8:00 thứ 6 thì PC không truy cập được internet nữa
"Mình làm tới đây thôi, các câu hỏi còn lại mình không hiểu ý tưởng lắm nên dành cho các cao thủ khác vào trả lời hộ."
daibang88dn
New Member
- Joined
- Jul 31, 2014
- Messages
- 9
- Reaction score
- 0
- Points
- 0
Hi,root!!!
Trước tiên mình xin cảm ơn bạn đã trả lời cho mình về vấn đề này!!! Mình đang làm khóa luận mà bí quá , không biết cấu hình như thế nào??
Yêu cầu 1 bạn làm như zậy là OK rồi, còn mình zin giải thích về yêu cầu 2 là
- Cấm các URL độc hại là ở đây bạn chỉ cần cho ví dụ thôi,như mấy trang web không lành mạnh thôi, trang web nào cũng được..
- Cấm IP nước ngoài là cho đại cái IP public nào cũng được vì mình chỉ làm mô tả thôi mà..
- Cấm Inside ra internet trong khoảng thời gian 7h-11h00 hằng ngày là đủ rồi(vì mô hình mình làm mô phỏng cho công ty XXX)
Mình cảm ơn bạn!!Mong bạn giúp mình với nha!! thời gian gấp quá rồi.
Bạn có thể co mình số điện thoại của bạn được không, để mình liên hệ bạn cho tiện!!
Mình ở Đà Nẵng , số điện thoại của mình : 01222424577(Phụng) .
Trước tiên mình xin cảm ơn bạn đã trả lời cho mình về vấn đề này!!! Mình đang làm khóa luận mà bí quá , không biết cấu hình như thế nào??
Yêu cầu 1 bạn làm như zậy là OK rồi, còn mình zin giải thích về yêu cầu 2 là
- Cấm các URL độc hại là ở đây bạn chỉ cần cho ví dụ thôi,như mấy trang web không lành mạnh thôi, trang web nào cũng được..
- Cấm IP nước ngoài là cho đại cái IP public nào cũng được vì mình chỉ làm mô tả thôi mà..
- Cấm Inside ra internet trong khoảng thời gian 7h-11h00 hằng ngày là đủ rồi(vì mô hình mình làm mô phỏng cho công ty XXX)
Mình cảm ơn bạn!!Mong bạn giúp mình với nha!! thời gian gấp quá rồi.
Bạn có thể co mình số điện thoại của bạn được không, để mình liên hệ bạn cho tiện!!
Mình ở Đà Nẵng , số điện thoại của mình : 01222424577(Phụng) .
root
Well-Known Member
- Joined
- Dec 31, 2012
- Messages
- 1,153
- Reaction score
- 71
- Points
- 48
hi daibang88dn,
vd: lauxanh.us
- Cấm IP nước ngoài là cho đại cái IP public là bạn đã định nghĩa IP public đó rồi hay sao
mình hay dùng Skype và facebook nếu được bạn inbox cho mình nhé
câu này mình đã làm bạn đọc ở phía trên sẽ rõ
bài lab của bạn mình chưa làm 2 câu này, vì mình chưa rõ mục đích lắm. Có phải ý bạn là cấm URL vs mấy trang ko lành mạnh ... là các trang web mà bạn đã có url rồi hay bạn muốn cấm theo từ khóa
vd: lauxanh.us
- Cấm IP nước ngoài là cho đại cái IP public là bạn đã định nghĩa IP public đó rồi hay sao
mình hay dùng Skype và facebook nếu được bạn inbox cho mình nhé
daibang88dn
New Member
- Joined
- Jul 31, 2014
- Messages
- 9
- Reaction score
- 0
- Points
- 0
hi daibang88dn,
câu này mình đã làm bạn đọc ở phía trên sẽ rõ
bài lab của bạn mình chưa làm 2 câu này, vì mình chưa rõ mục đích lắm. Có phải ý bạn là cấm URL vs mấy trang ko lành mạnh ... là các trang web mà bạn đã có url rồi hay bạn muốn cấm theo từ khóa
vd: lauxanh.us
- Cấm IP nước ngoài là cho đại cái IP public là bạn đã định nghĩa IP public đó rồi hay sao
mình hay dùng Skype và facebook nếu được bạn inbox cho mình nhé
Cảm ơn bạn nhiều lắm!! Skyper của mình là ducphungpham, còn của bạn?? fack:Thần Sầu Quỷ Khóc.
daibang88dn
New Member
- Joined
- Jul 31, 2014
- Messages
- 9
- Reaction score
- 0
- Points
- 0
Hi , Root!!!
Sao mình làm giống như bạn ở bước 2 và ping 8.8.8.8 không ra được Internet zậy!!!
ASA# sh run
ASA# sh running-config
: Saved
:
ASA Version 8.4(2)
!
hostname ASA
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface GigabitEthernet0
nameif outside
security-level 0
ip address 200.0.0.1 255.255.255.0
!
interface GigabitEthernet1
nameif inside
security-level 100
ip address 192.168.20.1 255.255.255.0
!
interface GigabitEthernet2
nameif dmz
security-level 50
ip address 172.16.10.1 255.255.255.0
!
interface GigabitEthernet3
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet4
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet5
shutdown
no nameif
no security-level
no ip address
!
ftp mode passive
pager lines 24
mtu outside 1500
mtu inside 1500
mtu dmz 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
route outside 0.0.0.0 0.0.0.0 200.0.0.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
inspect icmp
!
service-policy global_policy global
prompt hostname context
call-home reporting anonymous prompt 2
call-home
profile CiscoTAC-1
no active
destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
destination address email callhome@cisco.com
destination transport-method http
subscribe-to-alert-group diagnostic
subscribe-to-alert-group environment
subscribe-to-alert-group inventory periodic monthly
subscribe-to-alert-group configuration periodic monthly
subscribe-to-alert-group telemetry periodic daily
crashinfo save disable
Cryptochecksum:54152b0ca4857512294b957f72d79037
: end
Mô hình của mình đây!!
Nhờ bạn giúp mình với!! gần 1 tháng này mình khổ vi cái đề tài này quá!!!
Sao mình làm giống như bạn ở bước 2 và ping 8.8.8.8 không ra được Internet zậy!!!
ASA# sh run
ASA# sh running-config
: Saved
:
ASA Version 8.4(2)
!
hostname ASA
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface GigabitEthernet0
nameif outside
security-level 0
ip address 200.0.0.1 255.255.255.0
!
interface GigabitEthernet1
nameif inside
security-level 100
ip address 192.168.20.1 255.255.255.0
!
interface GigabitEthernet2
nameif dmz
security-level 50
ip address 172.16.10.1 255.255.255.0
!
interface GigabitEthernet3
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet4
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet5
shutdown
no nameif
no security-level
no ip address
!
ftp mode passive
pager lines 24
mtu outside 1500
mtu inside 1500
mtu dmz 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
route outside 0.0.0.0 0.0.0.0 200.0.0.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
inspect icmp
!
service-policy global_policy global
prompt hostname context
call-home reporting anonymous prompt 2
call-home
profile CiscoTAC-1
no active
destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
destination address email callhome@cisco.com
destination transport-method http
subscribe-to-alert-group diagnostic
subscribe-to-alert-group environment
subscribe-to-alert-group inventory periodic monthly
subscribe-to-alert-group configuration periodic monthly
subscribe-to-alert-group telemetry periodic daily
crashinfo save disable
Cryptochecksum:54152b0ca4857512294b957f72d79037
: end
Mô hình của mình đây!!
Nhờ bạn giúp mình với!! gần 1 tháng này mình khổ vi cái đề tài này quá!!!
root
Well-Known Member
- Joined
- Dec 31, 2012
- Messages
- 1,153
- Reaction score
- 71
- Points
- 48
hi daibang88dn,
mình không tìm thấy skype của bạn,bạn cho mình cái link facebook của bạn vào inbox của mình được ko, hoặc bạn có thể like page or để lại status trên facebook của SVUIT https://www.facebook.com/pages/Svuit/248785748660011?ref=br_tf mình sẽ support cho bạn vấn đề này
mình không tìm thấy skype của bạn,bạn cho mình cái link facebook của bạn vào inbox của mình được ko, hoặc bạn có thể like page or để lại status trên facebook của SVUIT https://www.facebook.com/pages/Svuit/248785748660011?ref=br_tf mình sẽ support cho bạn vấn đề này
daibang88dn
New Member
- Joined
- Jul 31, 2014
- Messages
- 9
- Reaction score
- 0
- Points
- 0
hi, root!!
Bạn cho mình skyper của bạn đi để minh ép zô!!,còn trang fack sao minh zô nó báo lỗi!!
link fack của mình : https://www.facebook.com/thansau.quykhoc.71
Bạn cho mình skyper của bạn đi để minh ép zô!!,còn trang fack sao minh zô nó báo lỗi!!
link fack của mình : https://www.facebook.com/thansau.quykhoc.71
Last edited:
daibang88dn
New Member
- Joined
- Jul 31, 2014
- Messages
- 9
- Reaction score
- 0
- Points
- 0
Hi, root!!!
Fack của bạn có phải là xyx không zậy??
Fack của bạn có phải là xyx không zậy??