Настройка Zone Based Firewall
Общая
Потребовалось настроить доступ в интернет через маршрутизатор Cisco 2901.
Было арендовано несколько IP адресов. В локальной сети были организованы отдельные VLAN сети для серверной подсети, пользовательской сети и так далее.
Для настройки межсетевого экрана на маршрутизаторе было решено применить Zone Based Firewall.
Пример настройки на основе доступа из LAN в Internet
На маршрутизаторе использовалось два интерфейса:
interface GigabitEthernet0/1 используется для доступа в интернет и подключён напрямую к оборудованию провайдера.
interface GigabitEthernet0/0 был поделён на под-интерфейсы и для LAN сети был создан interface GigabitEthernet0/0.129.
Настройка ZBF.
Создаём зоны безопасности.
Определим две зоны безопасности.
zone security LAN
zone security INTERNET
Определение интерфейсов в необходимые зоны.
Интерфейсу GigabitEthernet0/1 указана зона безопасности INTERNET
zone-member security INTERNET
Интерфейсу GigabitEthernet0/0.129 указана зона безопасности LAN
zone-member security LAN
Создаём пары зон взаимодействия
Зона для пропуска трафика из LAN в INTERNET
zone-pair security LAN_to_INTERNET source LAN destination INTERNET
Зона пропуск трафика из INTERNET в LAN
zone-pair security INTERNET-to-LAN source INTERNET destination LAN
Определяем класс трафика разрешённого для прохода межу зонами
Таких классов можно создавать несколько и применять к разным политикам, назначенные на разные зоны безопасности.
class-map type inspect match-any LAN_to_INTERNET
match protocol http
match protocol https
match protocol dns
match protocol ftp
match protocol imap
match protocol imap3
match protocol imaps
match protocol ntp
match protocol pop3
match protocol pop3s
match protocol smtp
match protocol ssh
match protocol icmp
Для доступа из интернета в локальную сеть будем использовать Access List
ip access-list extended INTERNET_INCOMING
permit tcp any host 192.168.131.139 eq 443
permit tcp any host 192.168.131.140 eq smtp
permit tcp any host 192.168.131.138 eq 3389
permit tcp any host 192.168.131.138 eq 443
permit tcp any host 192.168.131.145 eq 443
Применим созданный Access List к классу трафика
class-map type inspect match-all INTERNET_to_LAN
match access-group name INTERNET_INCOMING
Определяем политики доступа
Политика доступа из LAN в INTERNET
policy-map type inspect LAN_to_INTERNET
class type inspect LAN_to_INTERNET
inspect
class class-default
drop
Политика доступа из INTERNET в LAN
policy-map type inspect INTERNET_to_LAN
class type inspect INTERNET_to_LAN
inspect
class class-default
drop
Применяем политики к парам зон
Пара LAN в INTERNET
zone-pair security LAN_to_INTERNET source LAN destination INTERNET
service-policy type inspect LAN_to_INTERNET
Пара INTERNET в LAN
zone-pair security INTERNET_to_LAN source INTERNET destination LAN
service-policy type inspect INTERNET_to_LAN
Дополнительные команды
Создание своих портов
Если вам необходимо открыть свой порт, который не прописан по умолчанию в IOS, то вы его можете создать сами. Для этого вводим:
ip port-map ИМЯ_ПОРТА port tcp или udp НОМЕР_ПОРТА
Данный порт добавляем в нужный class-map.
- Просмотров: 18772