در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

Zone Based Firewall چیست و چگونه راه اندازی می شود ؟ قسمت 2

در قسمت قبلی این مقاله با برخی از مباحث Zone Based Firewall آشنا شدیم درادامه آن می خواهیم سایر مباحث آنرا مطرح کنیم با ما همراه باشید.

Zone-Based Layer 3/4 Policy Firewall

همانطور که قبلا گفته شد ZBPFW با استفاده از C3PL پیکربندی می شود. این ساختار برای بسیار از مردم آشنا است چون بسیار شبیه MQC می باشد. در ZBPFW یک Class map ایجاد می شود تا ترافیک مورد نظر توسط آن شناسایی شود. برای ترافیک لایه 3 و 4 ، اینکار به وسیله مطابقت پروتکل یا ACL انجام می شود. سپس یک Policy ایجاد و در آن اقدامی که می خواهیم نسبت به این ترافیک شناسایی شده انجام شود را مشخص می کند.یک Class map پیش فرض وجود دارد که برای زمان های خاص مثل Drop کردن کل ترافیک غیر از یک ترافیک خاص می استفاده قرار می گیرد.در صورتی که بخواهیم پارامترهای پیش فرض که توسط Policy map و inspect type مورد استفاده قرار می گیرد را تغییر دهیم از Parameter map استفاده می کنیم و به inspect در policy map اعمال می کنیم.

ZBPFW از ویژگی (to Application Matching (PAM پشتیبانی می کند. این ویژگی زمانی مورد استفاده می شود که از پورت های غیر استاندارد برای سرویس های عمومی استفاده شود به طور مثال ، اگر پروتکل HTTP تنظیم شود به جای پورت 80 از پورت 8000 استفاده کند و به وسیله PAM می توانیم پورت 8000 را به این پروتکل Map کنیم و از این پس این پورت نیز به عنوان یک پورت نرمال HTTP برای Connectionهای مورد آنالیز قرار می گیرد. PAM با دستور زیر تعریف می شود :

Router(config)# ip port-map http port 8000

نکات کلیدی در اجرای ZBPFW

قبل از شروع به پیکربندی ZBPFW نیاز به یک سری اطلاعات داریم که شامل موارد زیر می باشد:

  • Security zone separation policy : قبل از اجرای ZBPFW باید Zoneهای مورد نیاز با جمع آوری اطلاعات و تحقیق با دقت انتخاب شوند.
  • Access rule definition : بعد از تعیین کردن Zoneها باید نقش و Policy مشخص شود و با عملکرد نرم افزاری های موجود در شبکه تناقصی نداشته باشد.
  • Dynamic application requirements definition : برخی از پروتکل به صورت دینامیک عمل می کنند و بازرسی و کنترل آنها نیز متفاوت است. باید قبل از اجرای ZBPFW وضعیت این پروتکل ها مشخص شود.
  • Management access requirements : خود دستگاه باید دارای بالاترین سطح از Security باشد چون این دستگاه است که وظیفه کنترل دسترسی در کل شبکه را دارد. باید دستگاه از لحاظ امنیت و دسترسی مدیریت شود.

Zone Based Firewall چیست و چگونه راه اندازی می شود ؟ قسمت 2

Class Map Configuration

شناسایی ترافیک را می توان براساس پروتکل یا ACL انجام داد. برای ترافیک لایه 3 و 4 همیشه Class map از نوع inspect می باشد. زمانی که از Class map استفاده می کنیم دو نوع متد برای شناسایی ترافیک وجود دارد که به شرح زیر هستند :

  • Match any : برای شناسایی فقط کافیست یکی از شرایط در نظر گرفته شده را داشته باشد.
  • Match all : برای شناسایی باید همه شرایط در نظر گرفته شده را داشته باشد.

در اینجا یک Class map با دستور زیر به نام class1 ایجاد شده است و ترافیکی که با ACL 150 یا پروتکل FTP مطابقت داشته باشد را شناسایی می کند. همچنین یک Class map با نام class2 تعریف شده است و ترافیکی که با ACL 151 و پروتکل HTTP مطابقت داشته باشد را شناسایی می کند.

Router(config)# access-list 150 permit any 192.168.1.0 255.255.255.0 
Router(config)# access-list 151 permit 192.168.2.0 255.255.255.0 any 
Router(config)# class-map type inspect match-any class1
Router(config-cmap)# match access-group 150 
Router(config-cmap)# match protocol ftp
Router(config)# class-map type inspect match-all  class2
Router(config-cmap)# match access-group 151 
Router(config-cmap)# match protocol http

Parameter Map Configuration

زمانی که از حالت inspect در Policy map استفاده می شود بهره گرفتن از Parameter map اختیاری است و شامل تنظیمات پیش فرض مربوط به Policy map می باشد که می توانیم آنها را تغییر دهیم به طور مثال تعداد Session نیمه باز ، Logging و ... از جمله این تنظیمات می باشد.

در جدول زیر برخی از این پارامترهای عمومی نمایش داده شده است:

Zone Based Firewall چیست و چگونه راه اندازی می شود ؟ قسمت 2

در مثال زیر یک Parameter map با نام example-parms تعریف شده و در آن Alert فعال شده است.

Router(config)# parameter-map type inspect example-parms 
Router(config-profile)# alert on

Policy Map Configuration

یک Policy map برای مشخص کردن اقدامی است که می خواهیم نسبت به ترافیکی که توسط Class map شناسایی شده است انجام دهیم برخی از این اقدامات به شرح زیر است:

  • Pass : باعث می شود ترافیک شناسایی شده اجازه عبور پیدا کند.
  • Drop : باعث می شود ترافیک شناسایی شده اجازه عبور پیدا نکند.
  • Inspect : برای Stateful مورد استفاده قرار می گیرد.
  • log : باعث تولید log مبنی بر شناسایی ترافیک مورد نظر می کند.

نحوی تعریف Policy map در زیر نمایش داده شده است:

در مثال زیر یک Policy map با نام Policy1 تعریف شده است:

outer(config)# policy-map type inspect policy 1

سپس اقدامی که نسبت به ترافیک شناسایی شده توسط Class1 را Drop تعیین می کنیم:

Router(config-pmap)# class type inspect class1
Router(config-pmap-c)# drop 

همچنین parameter map که از قبل تعیین کرده ایم را به Class-Default که class پیش فرض است نسبت می دهیم :

Router(config-pmap)# class class-default 
Router(config-pmap-c)# inspect example-parms

Zone Configuration

همانطور که قبلا گفته شده در ZBPFW شبکه را Zone بندی می کنیم و اینترفیس ها را به Zoneها اختصاص می دهیم و اینکار به سادگی انجام می گیرد.

تعریف Zone :

Router(config)# zone security DMZ 
Router(config)# zone security internal 
Router(config)# zone security external

اختصاص اینترفیس به Zone :

Router(config)# interface fastethernet0/0 
Router(config-if)# zone-member security internal 
Router(config-if)# interface fastethernet0/1
Router(config-if)# zone-member security DMZ 
Router(config-if)# interface fastethernet0/2 
Router(config-if)# zone-member security external

Zone Pair Configuration

تنظیم Zone pair از اهمیت ویژه برخوردار است چون جهت جریان توسط آن مشخص می شود. همانطور که قبلا گفته شد یک Zone Pair بخشی از تنظیمات ZBPFW است که به صورت یکطرفه جریان ترافیک بین Zoneها را کنترل می کند. اگر Zone Pair وجود نداشته باشد ترافیک بین zoneها جریان پیدا نخواهد کرد و تنها استثناء مربوط به ترافیک Stateful بازگشتی است. همچنین از Zone pair برای کنترل ترافیک مربوط به خود دستگاه می توان استفاده کرد و تنظیم آن با استفاده از Self zone که به عنوان Zone مبدا و مقصد معرفی می شود انجام می گیرد (نسخه IOS 15.0.1M یا بالاتر). ترافیک بین یک Zone را نیز می توان کنترل کرد که به آن intrazone گفته می شود و با ایجاد Zone Pair که zone مبدا و قسمت آن یکسان است انجام می گیرد.

نحوی تعریف Zone pair به صورت زیر است :

Router(config)# zone-pair DMZ-Internal-pair source internal destination external 
Router(config-sec-zone-pair)# service-policy type inspect policy1

در قسمت بعدی یک سناریو را با هم اجرا می کنیم تا این مبحث را بهتر درک کنیم.

نویسنده : جعفر قنبری شوهانی

منبع : جزیره فایروال و تجهیزات امنیتی وب سایت توسینسو

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد

#zone_pair_چیست #class_map_چیست #policy_map_چیست #pam_چیست #parameter_map_چیست #security_zone_چیست
عنوان
1 Zone Based Firewall چیست و چگونه راه اندازی می شود ؟ قسمت 1 رایگان
2 Zone Based Firewall چیست و چگونه راه اندازی می شود ؟ قسمت 2 رایگان
3 Zone Based Firewall چیست و چگونه راه اندازی می شود ؟ قسمت 3 رایگان
4 معرفی سیسکو IOS Zone Based Firewalls رایگان
5 مفاهیم zone و zone pair در zone based firewall رایگان
6 Self zone در Zone based firewall رایگان
زمان و قیمت کل 0″ 0
0 نظر

هیچ نظری ارسال نشده است! اولین نظر برای این مطلب را شما ارسال کنید...

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره پاییزه می تونی امروز ارزونتر از فردا خرید کنی ....