در small office ها برای کاهش هزینه ها بجای خریدن فایروال سخت افزاری از zone based firewall استفاده میکنیم که قابلیتش روی خود روتر ها میباشد.
کانفیگ آن بسیار شبیه به QOS یا Quality of Service است در QOS هم ترافیک را کلاس بندی میکنیم.
کانفیگ Zone Based Firewall
در این سناریو میخواهیم وقتی client به server ما telnet میزند ترافیک را inspect کنیم
برای این کار ابتدا باید Zone ها بسازیم:
Router (config) # zone security INSIDE
یکzone با نام INSIDE ساختیم وارد مُد (config-sec-zone) میشویم اگر بخواهیم میتوانیم یک description برای آن بنویسیم.
حال یکzone دیگر با نام OUTSIDE میسازیم :
Router (config) # zone security OUTSIDE
در مرحله بعد باید اینترفیس ها عضو zone ها کنیم :
به اینترفیس سمت داخلمان میرویم:
Router (config) # int fa0/0
Router (config-if) # zone-member security INSIDE
اسم zone ای که ساختیم را مینویسم
به اینترفیس خارجی مان میرویم :
Router (config) # int fa0/1
Router (config-if) # zone-member security OUTSIDE
* نکته * همه ی ترافیک بین zone ها Block ، By default هستند و اگر اینترفیسی را عضو هیچ zone ای نکنیم (اینترفیس Normal) با آنهایی که عضو zone ها شده اند نمیتوانند ارتباطی برقرار کنندهمچنین اینترفیس هایی که عضو یک zone هستند با هم ارتباط دارند و policy ای هم بین آنها نیست.
در این مرحله باید ترافیک را کلاس بندی کنیم و class map بنویسیم ، برای کلاس بندی ۳ مدل داریم:
( match protocol (protocol’s name
(match access-group (ACL No
match classmap
که در مدل ۳ class map ای که قبلاً نوشتیم را اینجا صدا میزنیم.
class-default : همیشه یک class-default هم مینویسم برای ترافیک هایی که با هیچ کدام match نشده اند تا drop شوند.
Router (config) # class-map type inspect TELNET
Router (config-cmap) # match protocol telnet
در مرحله بعد باید policy بنویسیم به این معنا که ترافیک هایی که میخواهیم معرفی کینم inspect کنیم:
Router (config) # policy-map type inspect hellodigi
به policy یک اسم میدهیم که در اینجا hellodigi را انتخاب کردیم سپس اسم class map مان را صدا میزنیم:
Router (config-pmap) # class type inspect TELNET
حالا باید برای تعریف برای class type چه action ای انجام دهد ، drop کند ؟ پهنای باند را کم کند ؟ که ما در این مثال برای inspect , telnet و برای class-default مان drop را میزنیم
Router (config-pmap-c) # inspect
Router (config-pmap) # class Class-default
Router (config-pmap-c) # drop
در مرحله بعد باید policy هایی که نوشته ایم را به zone pair ها اعمال کنیم چون unidirectional هستند باید جهت را دقیقاً مشخص کنیم برای source و destination مان
نکته : ترافیک هایی که مبدا و مقصدشان خود روتر است ترافیکشان چک نمیشود.
Router (config) # zone-pair security IN_OUT (zone pair’s name) sourse INSIDE destination OUTSIDE
INSIDE و OUTSIDE اسم zone هایی است که ساختیم.
Router (config-sec-zone-pair) # service-policy type inspect hellodigi
برای تست آن با command show میتوانیم ببینیم کار کرده است یا خیر
Router # show policy-map type inspect
اتصال روتر به اینترنت در GNS3 و ساختن Loopback کانکشن در ویندوز
