(Configuring a Zone-Based Policy Firewall (ZPF
توسط
- 2018-09-17 - 06:09 PM (بازدید: 2840)
|
در این سناریو به پیکربندی zpf در packet tracer خواهیم پرداخت.
صورت سناریو به شکل زیر است:
آدرس دهی ها نیز به شرح زیر است:
مواردی که در این سناریو به ان پرداخته میشود به شرح زیر است:
• قبل از پیکربندی فایروال از برقراری ارتباط بین تمام دستگاه های موجود اطمینان حاصل میکنیم.
• در روتر R3 اقدام به پیکربندی zpf میکنیم.
• با استفاده از ping , ssh و مرورگر اقدام به بررسی صحت عملکرد فایروال میکنیم.
مفهوم zpf اخرین ابزار توسعه یافته در تکنولوژی فایروال های سیسکو است. در این سناریو به پیکربندی ابتدایی از zpf در روتر R3 خواهیم پرداخت به نحوی که کامپیوترهای موجود در شبکه داخلی اجازه دسترسی به خارج از شبکه را داشته باشند اما اجازه دسترسی منابع خارجی به سیستم های درون شبکه داده نمیشود و پس از انجام این کار به بررسی صحت تنظیمات انجام شده خواهیم پرداخت.
پیکربندی هایی در روترها به شکل زیر انجام شده است:
• Console password: ciscoconpa55
• Password for vty lines: ciscovtypa55
• Enable password: ciscoenpa55
• Host names and IP addressing
• Local username and password: Admin / Adminpa55
• Static routing
بخش اول :
در این مرحله اطمینان حاصل میکنیم که ارتباط اولیه بین تمام سیستم ها برقرار است. در قدم اول از PC-A اقدام به تست پینگ به سمت PC-C میکنیم. و در قدم بعدی نیز با استفاده از ssh اقدام به برقراری ارتباط با روتر R2 میکنیم. این کار را از PC-C انجام میدهیم. دقت داشته باشید که یوزر admin و پسورد Admin55 میباشد.
در مرحله بعد در کامپیوتر PC-C مرورگر را باز کرده و آدرس IP کامپیوتر PC-A را وارد میکنیم که در مرورگر عبارت خوش آمد گویی باید نمایش داده شود.کد:PC> ssh -l Admin 10.2.2.2
بخش دوم :
در این بخش به پیکربندی فایروال در روتر R3 خواهیم پرداخت. در قدم اول در روتر فرمان show version را وارد میکنیم برای اینکه اطلاعات نسخه ios را مشاهده کنیم. اگر که قابلیت Security Technology package فعال نبود ان را با فرمان زیر فعال میکنیم.
لایسنس را قبول کرده و اقدام به ذخیره کردن running-config میکنیم و پس از این کار برای فعال سازی روتر را reload میکنیم. با استفاده از فرمان show version اطمینان حاصل میکنیم که فعال سازی به درستی انجام شده باشد.کد:R3(config)# license boot module c1900 technology-package securityk9
در قدم بعدی اقدام به ساخت inernal zone میکنیم. این کار را با استفاده از فرمان zone security به شکل زیر انجام میدهیم.
سپس اقدام به ساخت external zone میکنیم . این کار نیز مشابه حالت قبل انجام میشود.کد:R3(config)# zone security IN-ZONE R3(config-sec-zone) exit
بخش سوم :کد:dvdvR3(config-sec-zone)# zone security OUT-ZONE R3(config-sec-zone)# exit
با استفاده از class map اقدام به بررسی ترافیک میکنیم. برای این کار در ابتدا باید یک acl تعریف کنیم به نحوی که ترافیک داخلی را مشخص کند. در تعریف acl تمام ترافیک ها از مبدا شبکه 192.168.3.0/24 به سمت هر مقصد دیگری مجاز اعلام میکنیم.
بعد از این کار باید اقدام به تعریف class map کنیم به نحوی که مرجع آن ترافیک داخلی مشخص شده در acl باشد. از فرمان class-map type inspect برای این کار استفاده میکنیم و نام آن را IN-NET-CLASS-MAP مینامیم. برای استفاده از acl در این class map هم از فرمان match access-group استفاده میکنیم.کد:R3(config)# access-list 101 permit ip 192.168.3.0 0.0.0.255 any
بخش چهارم :کد:R3(config)# class-map type inspect match-all IN-NET-CLASS-MAP R3(config-cmap)# match access-group 101 R3(config-cmap)# exit
در این بخش باید اقدام به تعریف قوانین مورد نیاز در فایروال نماییم. در این مرحله باید اقدام به تعریف policy map کنیم و در آن مشخص کنیم که با ترافیک های مورد نظر چه اقدامی انجام شود. برای این کار از فرمان policy-map type inspect استفاده میکنیم و نام آن را IN-2-OUT-PMAP مینامیم.
پس از انجام این کار باید class map تعریف شده را در اینجا معرفی کنیم.کد:R3(config)# policy-map type inspect IN-2-OUT-PMAP
پس از معرفی class map مشخص میکنیم که با ترافیک مد نظر چه اقدامی انجام شود. در اینجا از inspect استفاده میکنیم.کد:R3(config-pmap)# class type inspect IN-NET-CLASS-MAP
بخش پنجم :کد:R3(config-pmap-c)# inspect %No specific protocol configured in class IN-NET-CLASS-MAP for inspection. All protocols will be inspected.
از این تنظیمات خارج میشویم و در محیط global config تنظیمات را اعمال میکنیم. در این مرحله از فرمان zone-pair security استفاده میکنیم و در آن zone های مبدا و مقصد را تعریف میکنیم.
پس از این کار باید مشخص کنیم که policy map تعریف شده اقدام به مدیریت ترافیک بین zone ها نماید. برای این کار از فرمان service-policy type inspect برای اضافه کردن policy map و تمام پیکربندی های انجام شده در آن به zone pair میکنیم.کد:R3(config)# zone-pair security IN-2-OUT-ZPAIR source IN-ZONE destination OUT-ZONE
مرحله سوم در این بخش این است که مشخص کنیم که اینترفیس ها در چه zone هایی قرار داشته باشند. این کار نیز به شرح زیر انجام میشود.کد:R3(config-sec-zone-pair)# service-policy type inspect IN-2-OUT-PMAP R3(config-sec-zone-pair)# exit
تنظیمات انجام شده را در startup configuration ذخیره میکنیم.کد:R3(config)# interface g0/1 R3(config-if)# zone-member security IN-ZONE R3(config-if)# exit R3(config)# interface s0/0/1 R3(config-if)# zone-member security OUT-ZONE R3(config-if)# exit
بخش ششم :
اکنون باید تنظیمات انجام شده را تست کنیم. باید اطمینان حاصل کنیم که شبکه داخلی همچنان به خارج دسترسی دارد. از کامپیوتر PC-C اقدام به برقراری تست پینگ به سمت PC-A میکنیم که باید موفقیت آمیز باشد. تست بعدی این است که از PC-C اقدام به برقراری ssh به اینترفیس S0/0/1 روتر R2 میکنیم. این ارتباط باید به طور موفقیت آمیز برقرار شود. در حالی که این ارتباط برقرار است در روتر R3 فرمان show policy-map type inspect zone-pair sessions را اجرا میکنیم تا مشاهده کنیم که چه session های برقرار شده است. در خروجی این فرمان به آدرس های IP و شماره پورت های مبدا و مقصد دقت کنید.
در مرحله آخر این تست نیز مرورگر را در کامپیوتر PC-C باز کرده و تلاش میکنیم که به وب سرور PC-A متصل شویم. این تست نیز با موفق باشد ضمن این که با استفاده از فرمان ذکر شده در مرحله قبل میتوانید session برقرار شده را در روتر R3 مشاهده کنیم.
بخش هفتم :
حالا باید بررسی کنیم که کامپیوتر های خارج از شبکه امکان دسترسی به شبکه داخلی ما را ندارند. برای این کار سعی میکنیم که از PC-A کامپیوتر PC-C را پینگ کنیم. این کار طبیعتا باید ناموفق باشد. به عنوان تست دیگر نیز میتوانیم از روتر R2 اقدام به انجام همین کار کنیم که قاعدتا نتیجه باید همانند قبل باشد.
لینک مرجع سناریو:
https://ccnav6.com/4-4-1-1-packet-tr...f-answers.html