ที่ผ่านมาเราได้มีบทความเกี่ยวกับ Firewall Cisco FTD Series และพูดถึงการใช้งาน Cisco FMC และ Cisco FTD กันไปบ้างแล้วนะครับ ใครยังไม่ผ่านหู ผ่านตา ลองไปหาอ่านย้อนหลังกันได้ครับ ส่วนฉบับนี้จะเป็นการเริ่มต้นอย่างง่าย ๆ ในการติดตั้ง Cisco Firewall ในไซต์งานของเราด้วยกันครับ ซึ่งเราสามารถใช้บทความนี้ ไปติดตั้ง Cisco Firepower ได้ด้วยตัวเองเลยครับ

เอาหล่ะ!! ไปลุยกันครับ หากจะพูดถึงการ Deploy Firewall ก็มีหลายกระบวนท่าด้วยกันครับ ไม่ว่าจะเป็นโหมด Routed หรือ Transparent แต่โดยท่าพื้นฐานที่เรามักจะทำกันก็คือ การเลือก Deploy แบบ Routed Mode ซึ่งเป็นตัวเลือกที่เรามักจะเลือกเพื่อติดตั้ง FTD โดยก่อนอื่นเราต้องทำการเชื่อมต่อ FTD ให้สามารถบริหารจัดการผ่าน FMC ในเครือข่ายให้ได้ และในบทความนี้เอง เราจะใช้ FTD เป็น Firewall ที่ทำหน้าที่คล้าย ๆ กับพนักงานรปภ. ขวางระหว่างวง LAN และ Internet นั่นเองครับ

อีกทั้งยังมีในส่วนของการกำหนดค่าอินเทอร์เฟซ การกำหนดค่าเกตเวย์เริ่มต้น และการกำหนดค่า NAT ซึ่งจะเป็นการกำหนดค่าพื้นฐานที่จำเป็นใน FTD เพื่อให้สามารถเชื่อมต่อเครือข่ายทั้ง 2 ฝั่ง และเป็นการป้องกันการเข้าถึงของผู้บุกรุกได้ครับ

ถ้าจะมีคนถามว่า Firewall เอาไปวางในตำแหน่งไหนดี ตอบได้เลยว่า ก็วางในตำแหน่งที่มีเครือข่าย 2 เครือข่ายมาชนกัน แล้วเราก็ไม่อยากให้ Traffic มันไหลไปไหลมาได้เปิดเผย และอิสระจนเกินไป Firewall จะไปอยู่ในตำแหน่งนั้นเลยครับ ขวางทางระหว่าง 2 วงนี้ซะเลย!! บางครั้งเองเราจะพูดถึง 2 วงนี้ว่า เป็นวง Trust และ Untrust ครับ (วงที่เราไว้ใจ กับวงที่เราไม่ไว้ใจมาเจอกัน มาชนกัน มาจ๊ะเอ๋กัน ควรต้องมี Security มาเป็นตัวตรวจสอบเสมอครับ)

Cisco FTD Routed Mode Topology

ด้านล่างนี้เป็น ส่วนของไดอะแกรมการเชื่อมต่อที่เราจะเข้ามาคอนฟิกด้วยกันในบทความนี้นะครับ

การคอนฟิกค่าเริ่มต้นให้กับ Firewall Cisco FTD จะมี 3 ขั้นตอนหลัก ๆ เพื่อตรวจสอบการรับส่งข้อมูลระหว่างเครือข่าย LAN และอินเทอร์เน็ต

ก่อนอื่นลำดับแรกต้องกำหนดค่าอินเทอร์เฟซ โดยจะกำหนดค่า GigabitEthernet0/0 เป็นอินเทอร์เฟซขาภายนอก ทำหน้าที่เชื่อมต่อกับอินเทอร์เน็ต โดยมีไอพีเป็น 192.168.1.101/24

อินเทอร์เฟซ GigabitEthernet0/1 จะถูกกำหนดค่าเป็นอินเทอร์เฟซภายใน โดยโซนภายในจะเชื่อมต่อกับเครือข่าย LAN ซึ่งกำหนดไอพีเป็น 192.168.10.101/24

ในขั้นตอนที่สอง จะมีการกำหนดค่า default route ให้กับ Cisco FTD เพื่อให้ FTD สามารถสื่อสารกับอินเทอร์เน็ต หรือโลกภายนอกได้นั่นเองครับ

ขั้นตอนที่สามคือการกำหนดค่า NAT เพื่อให้ปลายทางบนเครือข่าย LAN สามารถสื่อสารกับอินเทอร์เน็ตได้ ในส่วนนี้ จะใช้ Outside NAT อย่างง่าย ๆ ก่อนที่จะมีบทความอื่น ๆ หลังจากนี้ ที่จะพูดถึงเรื่อง NAT โดยละเอียดนะครับ

 1. Cisco FTD Interface configuration

การคอนฟิกอินเทอร์เฟซ การใส่ชื่อและ IP เป็นสิ่งจำเป็นในการเปิดใช้งานอินเทอร์เฟซ แต่ขอแนะนำว่าให้เราเพิ่มโซนความปลอดภัยสำหรับอินเทอร์เฟซ เนื่องจากนโยบายบางอย่างสามารถเปิดใช้งานระหว่างโซนต่างๆ ได้ครับ เช่น ในกรณีที่เราต้องทำ Access Rule เราจะอนุญาตให้ Inside Zone สามารถ ping  (icmp echo) ไปสู่ Outside Zone ได้ เป็นต้น

Devices -> Device Management -> choose FTD -> Edit
 Interfaces -> GigabitEthernet0/0 -> Edit
  General
   Name; outside
   Enabled: set
   Security Zone: New -> outside-zone
  IPV4
   IP Type: Use Static IP
   IP Address: 192.168.1.101/24

 Interfaces -> GigabitEthernet0/1 -> Edit
  General
   Name; inside
   Enabled: set
   Security Zone: New -> inside-zone
  IPV4
   IP Type: Use Static IP
   IP Address: 192.168.10.101/24
การใส่ค่า IP Address ให้กับอินเตอร์เฟซ
!!! อย่าลืม save และ deploy หลังทุกการเปลี่ยนแปลงค่าคอนฟิกนะครับ !!!

หลังจากกำหนดค่าอินเทอร์เฟซแล้ว เรายังสามารถตรวจสอบสถานะสุดท้ายได้โดยใช้คำสั่ง CLI คำสั่งจะเหมือนกันทุกประการกับ Cisco ASA เนื่องจาก Cisco ได้ใช้คำสั่ง Cisco ASAใส่ไว้ใน cisco FTD ด้วยเช่นกันครับ

> show running-config interface
!
interface GigabitEthernet0/0
 description outside
 nameif outside
 security-level 0
 ip address 192.168.1.101 255.255.255.0
!
interface GigabitEthernet0/1
 description inside
 nameif inside
 security-level 0
 ip address 192.168.10.101 255.255.255.0
!
> show interface ip brief
Interface                  IP-Address      OK? Method Status                Protocol
GigabitEthernet0/0         192.168.1.101   YES manual up                    up
GigabitEthernet0/1         192.168.10.101  YES manual up                    up
GigabitEthernet0/2         unassigned      YES unset  administratively down up
GigabitEthernet0/3         unassigned      YES unset  administratively down up
GigabitEthernet0/4         unassigned      YES unset  administratively down up
GigabitEthernet0/5         unassigned      YES unset  administratively down up
GigabitEthernet0/6         unassigned      YES unset  administratively down up
GigabitEthernet0/7         unassigned      YES unset  administratively down up
Internal-Control0/0        127.0.1.1       YES unset  up                    up
Internal-Control0/1        unassigned      YES unset  up                    up
Internal-Data0/0           unassigned      YES unset  down                  up
Internal-Data0/0           unassigned      YES unset  up                    up
Internal-Data0/1           169.254.1.1     YES unset  up                    up
Internal-Data0/2           unassigned      YES unset  up                    up
Management0/0              unassigned      YES unset  up                    up
>

2. Cisco FTD default route configuration

ในขั้นตอนที่สอง เราจะกำหนดค่าเส้นทางเริ่มต้นใน FTD เพื่อสร้างการเชื่อมต่อระหว่าง FTD และอินเทอร์เน็ต ที่อยู่ Default Gateway ตามไดอะแกรมของเราคือ 192.168.1.1

Devices -> Device Management -> choose FTD -> Edit
 Routing -> Static Route -> Add Route
  Type: IPv4
  Interface: outside
  Selected Network: any-ipv4
  Gateway -> New
   Name: internet-gw
   host: 192.168.1.1
FTD add default route

เราสามารถตรวจสอบ Routing Table ที่สร้างขึ้นใน Cisco FTD ผ่านคำสั่งตามด้านล่างนี้ได้ครับ

> show running-config route
route outside 0.0.0.0 0.0.0.0 192.168.1.1 1

ทดสอบการ ping ออกไปยัง 8.8.8.8 เป็น dns ของทาง google

> ping 8.8.8.8
Please use 'CTRL+C' to cancel/abort...
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 60/66/80 ms
>

3. Cisco FTD outside NAT (PAT) configuration

ตอนนี้ FTD เชื่อมต่อกับอินเทอร์เน็ตแล้ว แต่อุปกรณ์ที่อยู่ภายใน LAN ยังไม่สามารถออกไปสู่โลกภายนอกได้ เนื่องจากเป็น IP ที่เป็น Private ซึ่งเราจำเป็นต้องแปลง Private IP ไปเป็น Public IP ก่อน เพื่อสามารถทำให้เราออกสู่โลกอินเตอร์เนตได้

ในบทความนี้จะใช้การกำหนดค่า NAT/PAT อย่างง่าย ๆ นะครับ เพื่อให้อุปกรณ์ปลายทาง LAN สามารถเชื่อมต่อกับอินเทอร์เน็ตได้ โดยเราต้องกำหนดค่า NAT จากโซนภายในไปยังโซนภายนอก ซึ่งภายในจะมีค่า IP เป็น 192.168.10.0/24 จะถูก NAT ไปยังอินเทอร์เฟซในโซนภายนอกแบบ PAT หรือ Port Address Translation ซึ่งมักจะเป็นท่านี้ในการใช้งานทั่วไปครับ

Devices -> NAT -> New Policy -> Threat Defense NAT
 Name: FTD NAT Policy
 Selected Devices: 192.168.200.101
  Add Rule
   NAT Rule: Auto NAT Rule
   Type: Dynamic
    Interface Objects
     Source Interface Objects: inside-zone
     Destination Interface Objects: outside-zone
    Translation
     Original Source: -> Add
      Name: NET_192_168_10
      Network: 192.168.10.0/24
     Translated Source: Address
    PAT Pool
     Enable PAT Pool
     PAT: Destination Interface IP
FTD NAT Rule part1
FTD NAT Rule ส่วนที่ 1
FTD NAT Rule part2
FTD NAT Rule ส่วนที่ 2
FTD NAT Rule part3
FTD NAT Rule ส่วนที่ 3

หลังจากติดตั้ง NAT เรียบร้อยแล้ว ให้เราตรวจสอบโดยใช้คำสั่ง “show running-config nat” ภายในโหมดของ CLI

> show running-config nat
!
object network NET_192_168_10
 nat (inside,outside) dynamic pat-pool interface

รวมไปถึงการใช้คำสั่ง “show nat” เพื่อดูค่า hit count ที่ FTD ได้บันทึกไว้

> show nat

Auto NAT Policies (Section 2)
1 (inside) to (outside) source dynamic NET_192_168_10 pat-pool interface
    translate_hits = 167, untranslate_hits = 0
>

เป็นอันว่าเรียบร้อยนะครับ สำหรับการคอนฟิกเบื้องต้น ของ FTD ซึ่งเป็น Firewall ตัวปัจจุบันของ Cisco ครับ สามารถดู Link ต่าง ๆ ที่พูดถึง FTD เพิ่มเติมได้ตามด้านล่างนี้ครับ

https://www.ablenet.co.th/2023/05/02/start-configure-cisco-ftd-fmc
https://www.ablenet.co.th/2023/05/02/basic-of-cisco-ftd

ที่มา: Cisco FTD Routed Mode

#Firewall #NGFW #IPS #Cisco #FTD #Security #FMC