در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

Zone Based Firewall چیست و چگونه راه اندازی می شود ؟ قسمت 3

در مقالات قبلی با مفاهیم و عملکرد Zone Based Firewall آشنا شدیم و همانطور که قول داده بودیم در این قسمت می خواهیم یک سناریوی عملی را پیاده سازی کنیم تا با این مفاهیم بیشتر آشنا شویم:

سناریو

در خیلی از سازمان ها چند سروریس وجود دارد که می خواهند از خارج از شبکه مثل اینترنت به آن دسترسی داشته باشند برخی از این سرویس بیشتر مورد استفاده قرار می گیرند مثل Web برای نمایش سایت سازمان ، DNS ، SMTP و ...

در این سناریو یک شبکه را در نظر می گیریم که به سه Zone با نام های internal ، internet و DMZ تقسیم شده است. دسترسی ها به صورت زیر می خواهد تعریف شود:

  1. کاربران internal zone به صورت کامل به اینترنت دسترسی داشته باشند به از طریق پروتکل http و telnet به محیط DMZ دسترسی داشته باشند.
  2. از محیط DMZ به internal هیچ دسترسی وجود ندارد و به internet دسترسی کامل دارد.
  3. از محیط internet به DMZ از طریق پروتکلهای http ، DNS و Telnet دسترسی دارد و به محیط internal هیچ دسترسی ندارد.

با توجه به مطالب فوق برای شبیه سازی و پیاده سازی شبکه به شبکه internal ، DMZ و internet یک روتر قرار می دهیم و آنرا به عنوان یک شبکه فرض می گیریم:

Zone Based Firewall چیست و چگونه راه اندازی می شود ؟ قسمت 3

در ابتدا تنظیمات مربوط به IP و Routeها و همچنین Telnet را روی روترها فعال می کنیم :

روتر internal :

internal(config)#interface FastEthernet 0/0
internal(config-if)#ip address 192.168.1.2 255.255.255.0
internal(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.1
internal(config)#line vty 0 4
internal(config-line)#password 123
internal(config-line)#login

روتر DMZ :

DMZ(config)#interface FastEthernet 0/0
DMZ(config-if)#ip address 192.168.2.2 255.255.255.0
DMZ(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.1
DMZ(config)#line vty 0 4
DMZ(config-line)#password 123
DMZ(config-line)#login

روتر internet :

internal(config)#interface FastEthernet 0/0
internal(config-if)#ip address 5.5.5.2 255.255.255.0
internal(config)#ip route 0.0.0.0 0.0.0.0 5.5.5.1
internal(config)#line vty 0 4
internal(config-line)#password 123
internal(config-line)#login

روتر R1 :

R1(config)#interface FastEthernet 0/0
R1(config-if)#ip address 192.168.1.1 255.255.255.0
R1(config)#interface FastEthernet 0/1
R1(config-if)#ip address 192.168.2.1 255.255.255.0
R1(config)#interface FastEthernet 1/0
R1(config-if)#ip address 5.5.5.1 255.255.255.0
R1(config)#line vty 0 4
R1(config-line)#password 123
R1(config-line)#login

در حال حاضر کلیه این روترها با یکدیگر به صورت کامل ارتباط دارند و هیچ محدویتی وجود ندارد به طور مثال روتر internet روتر internal را می تواند ping کند.

Zone Based Firewall چیست و چگونه راه اندازی می شود ؟ قسمت 3

نحوی ایجاد ZBPFW

مراحل پیاده سازی Zone Based Firewall به شرح زیر است :

  • تعریف Class map : در این مرحله ترافیک مورد نظر شناسایی می شود.
  • تعریف Policy map : در این مرحله Action یا عملی که نسبت به ترافیک شناسایی شده توسط class map مشخص می شود.
  • تعریف Zone : در این مرحله Zone های مورد نیاز تعریف می شود.
  • تعریف Zone pair : در این مرحله ارتباط بین Zone ها را و جهت را با استفاده از Policy map مشخص می کنیم.
  • اختصاص اینترفیس ها به Zone : در اخرین مرحله اینترفیس را به Zone مربوطه اختصاص می دهیم.

تعریف Class map

در اینجا براساس پروتکل هایی که قرار است اجازه عبور داشته باشند Class map تعریف می کنیم. که در اینجا ما نیاز به 4 تا class map داریم. :

R1(config)#access-list 101 permit ip any any
R1(config)#class-map type inspect match-any dmz-internet-class
R1(config-cmap)#match access-group 101
R1(config)#class-map type inspect match-any internet-dmz-class
R1(config-cmap)#match protocol http
R1(config-cmap)#match protocol dns
R1(config-cmap)#match protocol telnet
R1(config)#class-map type inspect match-any internal-dmz-class
R1(config-cmap)#match protocol http
R1(config-cmap)#match protocol telnet
R1(config)#class-map type inspect match-any internal-internet-class
R1(config-cmap)#match access-group 101

نکته : برای تعریف کلاس که با همه ترافیک ها مطابقت پیدا کند از یک ACL از نوع Extended تعریف می کنیم و در آن مشخص می کنیم با همه پروتکل ها مطابقت پیدا کند سپس این ACL را به Class map ها مورد نظر اختصاص می دهیم.

تعریف Policy map

حالا Policyها را ایجاد می کنیم و برای class-map هایی که ایجاد کرده ایم Action مورد نظر را مشخص می کنیم:

R1(config)#policy-map type inspect internal-internet-policy
R1(config-pmap)#class type inspect internal-internet-class
R1(config-pmap-c)#inspect
R1(config)#policy-map type inspect internal-dmz-policy
R1(config-pmap)#class type inspect internal-dmz-class
R1(config-pmap-c)#inspect
R1(config)#policy-map type inspect dmz-internet-policy
R1(config-pmap)#class type inspect dmz-internet-class
R1(config-pmap-c)#inspect
R1(config)#policy-map type inspect internet-dmz-policy
R1(config-pmap)#class type inspect internet-dmz-class
R1(config-pmap-c)#inspect

تعریف Security Zone

با توجه به شبکه ما سه Zone با نام internal ، DMZ و internet نیاز داریم که آنها را تعریف می کنیم:

R1(config)#zone security internal
R1(config)#zone security internet
R1(config)#zone security dmz

تعریف Zone Pair

براساس جریان ترافیک و جهت Zone pair ها را تعریف و Policy مربوطه را به آن اختصاص می دهیم:

R1(config)#zone-pair security internal-dmz source internal destination dmz
R1(config-sec-zone-pair)#service-policy type inspect internal-dmz-policy
R1(config)#zone-pair security internal-internet source internal destination internet
R1(config-sec-zone-pair)#service-policy type inspect internal-internet-policy
R1(config)#zone-pair security dmz-internet source dmz destination internet
R1(config-sec-zone-pair)#service-policy type inspect dmz-internet-policy
R1(config)#zone-pair security internet-dmz source internet destination dmz
R1(config-sec-zone-pair)#service-policy type inspect internet-dmz-policy

نکته : برای Zone هایی که با یکدیگر در یک جهت نباید ارتباط داشته باشند مثل ارتباط از شبکه اینترنت به شبکه داخلی ، نیاز به تعریف Zone pair نیست و عدم وجود Zone pair باعث جلوگیری از عبور ترافیک بین این دو Zone می شود.

اختصاص اینترفیس به Zone

در نهایت اینترفیس ها را به Zone مربوطه اختصاص می دهیم:

R1(config)#interface FastEthernet0/0
R1(config-if)#zone-member security internal
R1(config)#interface FastEthernet0/1
R1(config-if)#zone-member security dmz
R1(config)#interface FastEthernet1/0
R1(config-if)#zone-member security internet

نکته : اختصاص اینترفیس ها به Zone بهتر است که در آخرین مرحله انجام شود چون اگر قبلا از تعریف موارد قبل مانند Zone pair اینکار انجام شود باعث قطع کلی ارتباط بین Zone ها می شود.

کلیه تنظیمات مربوطه انجام شده و برای اطمینان از صحت عملکرد چند تست را می گیریم.

براساس تعاریف از طریق شبکه اینترنت امکان دسترسی به شبکه داخلی وجود ندارد و همچنین به شبکه dmz از طریق پروتکل هایی DNS ، http و telnet امکان دسترسی وجود دارد. در تصویر زیر این تست ها نمایش داده شده است:

Zone Based Firewall چیست و چگونه راه اندازی می شود ؟ قسمت 3

براساس تعاریف از طریق شبکه DMZ امکان دسترسی به شبکه داخلی وجود ندارد و همچنین به شبکه اینترنت دسترسی کامل وجود دارد. در تصویر زیر این تست ها نمایش داده شده است:

Zone Based Firewall چیست و چگونه راه اندازی می شود ؟ قسمت 3

براساس تعاریف از طریق شبکه اینترنال امکان دسترسی کامل به شبکه اینترنت وجود دارد و به شبکه DMZ از طریق پروتکل http و telnet امکان دسترسی وجود دارد. در تصویر زیر این تست ها نمایش داده شده است:

Zone Based Firewall چیست و چگونه راه اندازی می شود ؟ قسمت 3

نویسنده : جعفر قنبری شوهانی

منبع : جزیره فایروال و تجهیزات امنیتی وب سایت توسینسو

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد

#سناریوی_فایروال #zone_based_zirewall_چیست #zone_pair_چیست #class_map_چیست #policy_map_چیست #security_zone_چیست
عنوان
1 Zone Based Firewall چیست و چگونه راه اندازی می شود ؟ قسمت 1 رایگان
2 Zone Based Firewall چیست و چگونه راه اندازی می شود ؟ قسمت 2 رایگان
3 Zone Based Firewall چیست و چگونه راه اندازی می شود ؟ قسمت 3 رایگان
4 معرفی سیسکو IOS Zone Based Firewalls رایگان
5 مفاهیم zone و zone pair در zone based firewall رایگان
6 Self zone در Zone based firewall رایگان
زمان و قیمت کل 0″ 0
1 نظر
سالار بهاری

سلام استاد

من تمام چیزهایی که تو سناریو گفتید پیاده کردم

منتها چون چندین class-map داشتم در نتیجه به ازای هرکدوم از اونها policy -map هم داشتم

وقتی که خواستم توی zone-pair و در ذیل یک zone-pair اون policymap ها رو اعمال کنم فقط اولی رو ازم پدیرفت و موقعی که خواستم دومین policy-map رو اعمال کنم ازم نپذیرفت و گفت اگر میخوای جدید اضافه کنی باید اولی رو پاک کنی

نمیدونم داستان چیه؟

بعدش تصمیم گرفتم zone-pair های متعدد ایجاد کنم  که از اون طریق بتونم policy-mapهام رو زیرشون بزنم که باز هم نگذاشت با یک source و destination یکسان با یه نام دیگه zone-pair درست کنم

گیج شدم

اگه میشه راهنمایی بفرمایید مشکلم کجاست

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو