Настройка Zone Based Firewall

Потребовалось настроить доступ в интернет через маршрутизатор Cisco 2901.

Было арендовано несколько IP адресов. В локальной сети были организованы отдельные VLAN сети для серверной подсети, пользовательской сети и так далее.

Для настройки межсетевого экрана на маршрутизаторе было решено применить Zone Based Firewall.

Пример настройки на основе доступа из LAN в Internet

На маршрутизаторе использовалось два интерфейса:

interface GigabitEthernet0/1 используется для доступа в интернет и подключён напрямую к оборудованию провайдера.

interface GigabitEthernet0/0 был поделён на под-интерфейсы и для LAN сети был создан interface GigabitEthernet0/0.129.

 

Настройка ZBF.

 

Создаём зоны безопасности.

Определим две зоны безопасности.


zone security LAN
zone security INTERNET

 

Определение интерфейсов в необходимые зоны.

Интерфейсу GigabitEthernet0/1 указана зона безопасности INTERNET


zone-member security INTERNET

 

Интерфейсу GigabitEthernet0/0.129 указана зона безопасности LAN


zone-member security LAN

 

Создаём пары зон взаимодействия

Зона для пропуска трафика из LAN в INTERNET


zone-pair security LAN_to_INTERNET source LAN destination INTERNET

 

Зона пропуск трафика из INTERNET в LAN


zone-pair security INTERNET-to-LAN source INTERNET destination LAN

 

Определяем класс трафика разрешённого для прохода межу зонами

Таких классов можно создавать несколько и применять к разным политикам, назначенные на разные зоны безопасности.

 


class-map type inspect match-any LAN_to_INTERNET
 match protocol http
 match protocol https
 match protocol dns
 match protocol ftp
 match protocol imap
 match protocol imap3
 match protocol imaps
 match protocol ntp
 match protocol pop3
 match protocol pop3s
 match protocol smtp
 match protocol ssh
 match protocol icmp

 

Для доступа из интернета в локальную сеть будем использовать Access List


ip access-list extended INTERNET_INCOMING
 permit tcp any host 192.168.131.139 eq 443
 permit tcp any host 192.168.131.140 eq smtp
 permit tcp any host 192.168.131.138 eq 3389
 permit tcp any host 192.168.131.138 eq 443
 permit tcp any host 192.168.131.145 eq 443

 

Применим созданный Access List к классу трафика


class-map type inspect match-all INTERNET_to_LAN
 match access-group name INTERNET_INCOMING

 

Определяем политики доступа

Политика доступа из LAN в INTERNET


policy-map type inspect LAN_to_INTERNET
 class type inspect LAN_to_INTERNET
  inspect
 class class-default
  drop

 

Политика доступа из INTERNET в LAN


policy-map type inspect INTERNET_to_LAN
 class type inspect INTERNET_to_LAN
  inspect
 class class-default
  drop

 

Применяем политики к парам зон

Пара LAN в INTERNET


zone-pair security LAN_to_INTERNET source LAN destination INTERNET
service-policy type inspect LAN_to_INTERNET

 

Пара INTERNET в LAN


zone-pair security INTERNET_to_LAN source INTERNET destination LAN
service-policy type inspect INTERNET_to_LAN

 

Дополнительные команды

Создание своих портов

Если вам необходимо открыть свой порт, который не прописан по умолчанию в IOS, то вы его можете создать сами. Для этого вводим:


ip port-map ИМЯ_ПОРТА port tcp или udp НОМЕР_ПОРТА

Данный порт добавляем в нужный class-map.