Образовательный проект «SnakeProject» Михаила Козлова

⇒ CISCO ⇐

Voice(Asterisk\Cisco)

Microsoft

Powershell

Python

SQL\T-SQL

FreeBSD and Nix

1С

Общая

WEB Разработка

ORACLE SQL \ JAVA

Мото

Стрельба, пневматика, оружие

Саморазвитие и психология

CISCO: настройка Zone-Based Policy Firewall

Zone-Based Policy Firewall

Функционал доступен с версии IOS 12.4(6)T

Является функционалом настройки правил межсетевого экрана на маршрутизаторах CISCO 

Логика:

1. Распределяются сетевые интерфейсы маршрутизатора по зонам безопасности

2. Настраиваются правила взаимодействия между зонами безопасности

Теория:

Правила настраиваются между зонами безопасности

Использует Cisco Policy Language (CPL) для настройки правил межсетевого экрана

В зоне может находится один или более интерфейсов

Политики применяется к парам зон и указывается направление

Трафик запрещен между интерфейсами, при наличии одного интерфейса в зоне, и когда второй к ней отсутствует

По дефолту что не разрешено - запрещено

В пределах одной зоны по дефолту разрешен весь трафик

Между зонами по дефолту все запрещено

Сгенерированный маршрутизатором трафик или предназначавшийся ему по дефолту разрешен

Шаги настройки Zone-Based Policy Firewall:

--------------------------------------------------------------------------------------
1. Создание зон

zone security OUT
zone security DMZ

--------------------------------------------------------------------------------------
2. Создание пары зон

zone-pair security OUT_TO_DMZ source OUT destination DMZ

--------------------------------------------------------------------------------------
3. Настройка class-map, указание трафика, который будет применяться к политике
(По сути связь интересующих протоколов с зонами)

ssh и telnet к OUT_TO_DMZ:

class-map type inspect match-any ACCESS_PROTOCOLS
 match protocol ssh
 match protocol telnet

class-map type inspect match-all OUT_TO_DMZ_ACCESS_PROTOCOLS
 match class-map ACCESS_PROTOCOLS
 match access-group name OUT_TO_DMZ

http к OUT_TO_DMZ:

class-map type inspect match-all OUT_TO_DMZ_HTTP
 match protocol http
 match access-group name OUT_TO_DMZ

--------------------------------------------------------------------------------------
4. Настройка policy-map, для указания применения действий к трафику из class-map
(По сути желаемые действия над связями протоколов с зонами из предыдущего шага)

Инспектировать трафик из class-map OUT_TO_DMZ_ACCESS_PROTOCOLS:

policy-map type inspect OUT_TO_DMZ_ACCESS_PROTOCOLS_POLICY
 class type inspect OUT_TO_DMZ_ACCESS_PROTOCOLS
  inspect

Пропускать трафик из class-map OUT_TO_DMZ_HTTP
Инспектировать из OUT_TO_DMZ_ACCESS_PROTOCOLS
Отбрасывать все остальное и логировать

policy-map type inspect OUT_TO_DMZ_HTTP_POLICY
 class OUT_TO_DMZ_HTTP
  pass
 class class-default
  drop log

--------------------------------------------------------------------------------------
5. Применение policy-map к парам зон
(По сути назначение направлений источник-зона к назначение-зона из шага 1 к действиям из policy-map шага 4 )

Из зоны OUT в зону DMZ для policy-map OUT_TO_IN_ACCESS_PROTOCOLS_POLICY

zone-pair security OUT_IN_ACCESS_PAIR source OUT destination DMZ
 service-policy type inspect OUT_TO_IN_ACCESS_PROTOCOLS_POLICY

Из зоны OUT в зону DMZ для policy-map OUT_TO_DMZ_HTTP_POLICY

zone-pair security OUT_IN_HTTP_PAIR source OUT destination DMZ
 service-policy type inspect OUT_TO_DMZ_HTTP_POLICY

--------------------------------------------------------------------------------------
6. Добавление интерфейсов в зоны

interface FastEthernet0/0
 zone-member security OUT

interface FastEthernet1/0
 zone-member security DMZ

Пример c списком доступа (инспектировать все из зоны local со связью списка доступа 110 в зону external):

!
access-list 110 permit ip 192.168.110.0 0.0.0.255 any
!
zone security local
zone security external
!
class-map type inspect match-all local_external_class_map
 match access-group 110
!
policy-map type inspect local_external_policy_map
 class type inspect local_external_class_map
  inspect
 class class-default
!
zone-pair security local_external_zone_pair source local destination external
 service-policy type inspect local_external_policy_map
!
interface FastEthernet0/0
 zone-member security external

interface FastEthernet1/0
 zone-member security local
!

Дополненный пример c списком доступа и инспектированием протокола http (отбрасывание url по длине и шаблону):

!
access-list 110 permit ip 192.168.110.0 0.0.0.255 any
!
regex block_url "/pornhub/"
regex block_url "girls\.com"
!
zone security local
zone security external
!
class-map type inspect http BAD_HTTP_URL_CLASS_MAP
 match request uri length gt 200
 match request uri regex blockex1
 match request header host regex blockex2
!
class-map type inspect match-all local_external_class_map
 match protocol http
 match access-group 110
!
policy-map type inspect http BAD_HTTP_URL_POLICY_MAP
 class type inspect http BAD_HTTP_URL_CLASS_MAP
  drop log
!
policy-map type inspect local_external_policy_map
 class type inspect local_external_class_map
  inspect
  service-policy http BAD_HTTP_URL_POLICY_MAP
 class class-default
!
zone-pair security local_external_zone_pair source local destination external
 service-policy type inspect local_external_policy_map
!
interface FastEthernet0/0
 zone-member security external

interface FastEthernet1/0
 zone-member security local
!

Просмотр настроек:
show zone security

Просмотр пар зон:
show zone-pair security 

ПРосмотр class-map:
show class-map type inspect

Просмотр policy-map:
show policy-map type inspect local_external_policy_map
show policy-map type inspect zone-pair
show policy-map type inspect local_external_policy_map sessions
show policy-map type inspect zone-pair sessions

Комментарии пользователей