zone based firewall сетевой экран на основе зон
В свежих версиях IOS для маршрутизаторов Cisco есть такая штука как zone based firewall.
Суть ее проста:
1. Создаем зоны
2. Делаем интерфейсы членами зон
3. Создаем политики безопасности.
4. Создаем пары зон.
5. Применяем политики безопасности к парам зон.
Рассмотрим пример.
1. Создаем две зоны - внешнюю и внутреннюю
zone security inside
description Inside zone
zone security outside
description outside
2. Делаем интерфейсы членами зон
interface FastEthernet0/0
zone-member security outside
interface FastEthernet0/1
zone-member security inside
3. Создаем политику безопасности:
ip access-list extended SMTPS
permit tcp any any eq 465
class-map type inspect match-any SWeb
match protocol https
class-map type inspect match-any Control
match protocol icmp
match protocol pptp
match protocol dns
match protocol ftp
match protocol snmp
match protocol pop3
match protocol imap
match protocol icq
match protocol smtp
match protocol imaps
match protocol imap3
class-map type inspect match-all SMTPS
match access-group name SMTPS
class-map type inspect match-any Web
match protocol http
policy-map type inspect Inspect_Inside_To_Outside
class type inspect Control
inspect
class type inspect Web
inspect
class type inspect SWeb
inspect
class type inspect SMTPS
inspect
class class-default
drop
4 и 5. Создаем пару зон и применяем политику.
zone-pair security inside_to_outside source inside destination outside
service-policy type inspect Inspect_Inside_To_Outside
Далее расскажу как к этому добавить фильтрацию ненужных сайтов
Суть ее проста:
1. Создаем зоны
2. Делаем интерфейсы членами зон
3. Создаем политики безопасности.
4. Создаем пары зон.
5. Применяем политики безопасности к парам зон.
Рассмотрим пример.
1. Создаем две зоны - внешнюю и внутреннюю
zone security inside
description Inside zone
zone security outside
description outside
2. Делаем интерфейсы членами зон
interface FastEthernet0/0
zone-member security outside
interface FastEthernet0/1
zone-member security inside
3. Создаем политику безопасности:
ip access-list extended SMTPS
permit tcp any any eq 465
class-map type inspect match-any SWeb
match protocol https
class-map type inspect match-any Control
match protocol icmp
match protocol pptp
match protocol dns
match protocol ftp
match protocol snmp
match protocol pop3
match protocol imap
match protocol icq
match protocol smtp
match protocol imaps
match protocol imap3
class-map type inspect match-all SMTPS
match access-group name SMTPS
class-map type inspect match-any Web
match protocol http
policy-map type inspect Inspect_Inside_To_Outside
class type inspect Control
inspect
class type inspect Web
inspect
class type inspect SWeb
inspect
class type inspect SMTPS
inspect
class class-default
drop
4 и 5. Создаем пару зон и применяем политику.
zone-pair security inside_to_outside source inside destination outside
service-policy type inspect Inspect_Inside_To_Outside
Далее расскажу как к этому добавить фильтрацию ненужных сайтов
Комментарии
Отправить комментарий