View RSS Feed

آرمین رضائی مهر

(Configuring a Zone-Based Policy Firewall (ZPF

امتیاز
توسط - 2018-09-17 - 06:09 PM (بازدید: 2840)
  
در این سناریو به پیکربندی zpf در packet tracer خواهیم پرداخت.
صورت سناریو به شکل زیر است:



آدرس دهی ها نیز به شرح زیر است:



مواردی که در این سناریو به ان پرداخته میشود به شرح زیر است:
• قبل از پیکربندی فایروال از برقراری ارتباط بین تمام دستگاه های موجود اطمینان حاصل میکنیم.
• در روتر R3 اقدام به پیکربندی zpf میکنیم.
• با استفاده از ping , ssh و مرورگر اقدام به بررسی صحت عملکرد فایروال میکنیم.
مفهوم zpf اخرین ابزار توسعه یافته در تکنولوژی فایروال های سیسکو است. در این سناریو به پیکربندی ابتدایی از zpf در روتر R3 خواهیم پرداخت به نحوی که کامپیوترهای موجود در شبکه داخلی اجازه دسترسی به خارج از شبکه را داشته باشند اما اجازه دسترسی منابع خارجی به سیستم های درون شبکه داده نمیشود و پس از انجام این کار به بررسی صحت تنظیمات انجام شده خواهیم پرداخت.
پیکربندی هایی در روترها به شکل زیر انجام شده است:
• Console password: ciscoconpa55
• Password for vty lines: ciscovtypa55
• Enable password: ciscoenpa55
• Host names and IP addressing
• Local username and password: Admin / Adminpa55
• Static routing
بخش اول :
در این مرحله اطمینان حاصل میکنیم که ارتباط اولیه بین تمام سیستم ها برقرار است. در قدم اول از PC-A اقدام به تست پینگ به سمت PC-C میکنیم. و در قدم بعدی نیز با استفاده از ssh اقدام به برقراری ارتباط با روتر R2 میکنیم. این کار را از PC-C انجام میدهیم. دقت داشته باشید که یوزر admin و پسورد Admin55 میباشد.

کد:
PC> ssh -l Admin 10.2.2.2
در مرحله بعد در کامپیوتر PC-C مرورگر را باز کرده و آدرس IP کامپیوتر PC-A را وارد میکنیم که در مرورگر عبارت خوش آمد گویی باید نمایش داده شود.

بخش دوم :
در این بخش به پیکربندی فایروال در روتر R3 خواهیم پرداخت. در قدم اول در روتر فرمان show version را وارد میکنیم برای اینکه اطلاعات نسخه ios را مشاهده کنیم. اگر که قابلیت Security Technology package فعال نبود ان را با فرمان زیر فعال میکنیم.

کد:
R3(config)# license boot module c1900 technology-package securityk9
لایسنس را قبول کرده و اقدام به ذخیره کردن running-config میکنیم و پس از این کار برای فعال سازی روتر را reload میکنیم. با استفاده از فرمان show version اطمینان حاصل میکنیم که فعال سازی به درستی انجام شده باشد.
در قدم بعدی اقدام به ساخت inernal zone میکنیم. این کار را با استفاده از فرمان zone security به شکل زیر انجام میدهیم.

کد:
R3(config)# zone security IN-ZONE
R3(config-sec-zone) exit
سپس اقدام به ساخت external zone میکنیم . این کار نیز مشابه حالت قبل انجام میشود.

کد:
dvdvR3(config-sec-zone)# zone security OUT-ZONE
R3(config-sec-zone)# exit
بخش سوم :
با استفاده از class map اقدام به بررسی ترافیک میکنیم. برای این کار در ابتدا باید یک acl تعریف کنیم به نحوی که ترافیک داخلی را مشخص کند. در تعریف acl تمام ترافیک ها از مبدا شبکه 192.168.3.0/24 به سمت هر مقصد دیگری مجاز اعلام میکنیم.

کد:
R3(config)# access-list 101 permit ip 192.168.3.0 0.0.0.255 any
بعد از این کار باید اقدام به تعریف class map کنیم به نحوی که مرجع آن ترافیک داخلی مشخص شده در acl باشد. از فرمان class-map type inspect برای این کار استفاده میکنیم و نام آن را IN-NET-CLASS-MAP مینامیم. برای استفاده از acl در این class map هم از فرمان match access-group استفاده میکنیم.

کد:
R3(config)# class-map type inspect match-all IN-NET-CLASS-MAP
R3(config-cmap)# match access-group 101
R3(config-cmap)# exit
بخش چهارم :
در این بخش باید اقدام به تعریف قوانین مورد نیاز در فایروال نماییم. در این مرحله باید اقدام به تعریف policy map کنیم و در آن مشخص کنیم که با ترافیک های مورد نظر چه اقدامی انجام شود. برای این کار از فرمان policy-map type inspect استفاده میکنیم و نام آن را IN-2-OUT-PMAP مینامیم.

کد:
R3(config)# policy-map type inspect IN-2-OUT-PMAP
پس از انجام این کار باید class map تعریف شده را در اینجا معرفی کنیم.

کد:
R3(config-pmap)# class type inspect IN-NET-CLASS-MAP
پس از معرفی class map مشخص میکنیم که با ترافیک مد نظر چه اقدامی انجام شود. در اینجا از inspect استفاده میکنیم.

کد:
R3(config-pmap-c)# inspect
%No specific protocol configured in class IN-NET-CLASS-MAP for inspection. All protocols will be inspected.
بخش پنجم :
از این تنظیمات خارج میشویم و در محیط global config تنظیمات را اعمال میکنیم. در این مرحله از فرمان zone-pair security استفاده میکنیم و در آن zone های مبدا و مقصد را تعریف میکنیم.

کد:
R3(config)# zone-pair security IN-2-OUT-ZPAIR source IN-ZONE destination OUT-ZONE
پس از این کار باید مشخص کنیم که policy map تعریف شده اقدام به مدیریت ترافیک بین zone ها نماید. برای این کار از فرمان service-policy type inspect برای اضافه کردن policy map و تمام پیکربندی های انجام شده در آن به zone pair میکنیم.

کد:
R3(config-sec-zone-pair)# service-policy type inspect IN-2-OUT-PMAP
R3(config-sec-zone-pair)# exit
مرحله سوم در این بخش این است که مشخص کنیم که اینترفیس ها در چه zone هایی قرار داشته باشند. این کار نیز به شرح زیر انجام میشود.

کد:
R3(config)# interface g0/1
R3(config-if)# zone-member security IN-ZONE
R3(config-if)# exit
R3(config)# interface s0/0/1
R3(config-if)# zone-member security OUT-ZONE
R3(config-if)# exit
تنظیمات انجام شده را در startup configuration ذخیره میکنیم.
بخش ششم :
اکنون باید تنظیمات انجام شده را تست کنیم. باید اطمینان حاصل کنیم که شبکه داخلی همچنان به خارج دسترسی دارد. از کامپیوتر PC-C اقدام به برقراری تست پینگ به سمت PC-A میکنیم که باید موفقیت آمیز باشد. تست بعدی این است که از PC-C اقدام به برقراری ssh به اینترفیس S0/0/1 روتر R2 میکنیم. این ارتباط باید به طور موفقیت آمیز برقرار شود. در حالی که این ارتباط برقرار است در روتر R3 فرمان show policy-map type inspect zone-pair sessions را اجرا میکنیم تا مشاهده کنیم که چه session های برقرار شده است. در خروجی این فرمان به آدرس های IP و شماره پورت های مبدا و مقصد دقت کنید.
در مرحله آخر این تست نیز مرورگر را در کامپیوتر PC-C باز کرده و تلاش میکنیم که به وب سرور PC-A متصل شویم. این تست نیز با موفق باشد ضمن این که با استفاده از فرمان ذکر شده در مرحله قبل میتوانید session برقرار شده را در روتر R3 مشاهده کنیم.
بخش هفتم :
حالا باید بررسی کنیم که کامپیوتر های خارج از شبکه امکان دسترسی به شبکه داخلی ما را ندارند. برای این کار سعی میکنیم که از PC-A کامپیوتر PC-C را پینگ کنیم. این کار طبیعتا باید ناموفق باشد. به عنوان تست دیگر نیز میتوانیم از روتر R2 اقدام به انجام همین کار کنیم که قاعدتا نتیجه باید همانند قبل باشد.
لینک مرجع سناریو:
https://ccnav6.com/4-4-1-1-packet-tr...f-answers.html
دسته ها
عمومی

نظر