Search - SP Page Builder
Easy Profile - Search plugin
جستجو -مجموعه ها
جستجو - تماس ها
جستجو - محتوا
جستجو - خبرخوان ها
جستجو - وب لینک ها
جستجو - برچسب ها
cisco

راه اندازی فایروال روی روترهای سیسکو به روش CBAC

ستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعال
 

راه اندازی فایروال روی روترهای سیسکو به دو روش انجام می شود:

  • CBAC – Context Based Access Control
  • Zone Based Firewall

در آموزش های قبلی روشZone Based Firewallرا به شما آموزش داده بودیم حال می خواهیم با یک سناریو به بررسی CBAC بپردازیم.

در این سناریو می خواهیم به روش statefull کاری کنیم ترافیکی که ما تعیین می کنیم اگر رفت بیرون (outside) بتواند بر گردد داخل (inside) ولی از بیرون کلا هیچ ترافیکی وارد نشود.

CBAC

ابتدا به اینترفیس ها IP می دهیم و روی R2و R3 یک خط Route می نویسیم تا Ping بین آنها برقرار باشد.

 
 
R2(config)#ip route 12.1.1.0 255.255.255.0 s1/0
 
 
R3(config)#ip route 192.168.1.0 255.255.255.0 s1/0

روی روتر فایروال می زنیم :

ابتدا یک access list می نویسیم و از سمت بیرون همه را deny می کنیم.

 
R1(config)#ip access-list extended RETURN
 
 
 

Mode عوض می شود :

 
 
R1(config-ext-nacl)#deny ip any any
 

حالا به اینترفیس سمت outside اعمال می کنیم

 
 
R1(config)#int s1/1
 
 
R1(config-if)#ip access-group RETURN in
 
 
 

الان نه می توانیم Ping کنیم و نه telnet بزنیم.

 

حالا برای اینکه ترافیک های مجاز را مشخص کنیم یک access lsit دیگر می نویسیم:

در اینجا ما می خواهیم Telnetو ICMP را مجاز کنیم.

 
 
R1(config)#ip access-list extended TELNET-ICMP
 
R1(config-ext-nacl)#permit tcp any any eq 23
 
 
R1(config-ext-nacl)#permit icmp any any
 
 
 

این بار به اینترفیس Inside اعمال می کنیم.

 
 
R1(config)#Int s1/0
 
 
R1(config-if)#ip access-group TELNET-ICMP in
 
 
 

الان باز هم نه Ping داریم نه telnet چون باید ترافیک هایی را که می خواهیم state اش را نگه داریم در جدول STATEFULL TABLE ، inspect  کنیم.

 
 
R1(config)#ip inspect name INSPECT1 telnet audit-trail on
 
R1(config)#ip inspect name INSPECT1 icmp audit-trail on
 
 
 

به اینترفیس inside اعمالش می کنیم:

 
 
R1(config)#int s1/0
 
R1(config-if)#ip inspect INSPECT1 in
 
 
 

از این به بعد ترافیک های icmp و telnet را وضعیتشان را نگه می دارد.

دوباره از R2 Ping میکنیم و telnet می زنیم میبینیم که این بار می توانیم.

بعد از اینکه telnet  زدیم می توانیم با دستور زیر log اش را هم ببینیم.

R1#show ip inspect sessions detail


IPSLA-Internet Protocol Service Level Agreement

Zone Based Firewall

اتصال روتر به اینترنت در GNS3 و ساختن Loopback کانکشن در ویندوز

آموزش: چگونه Serial Interface های روتر سیسکو را پیکربندی کنیم ؟ منظور از DTE و DCE چیست ؟

امن کردن GRE Tunnel با run کردن IPsec

نظرات (0)

نظر ارسال شده‌ی جدیدی وجود ندارد

دیدگاه خود را بیان کنید

  1. ارسال دیدگاه بعنوان یک مهمان - ثبت نام کنید و یا وارد حساب خود شوید.
پیوست ها (0 / 3)
اشتراک‌گذاری موقعیت مکانی شما

خبرنامه سلام دیجی

در خبرنامه ایمیلی ما عضو شوید

به جمع همراهان ما بپیوندید و همواره بروز باشید

اطلاعات تماس

در صورت بروزمشکل می توانیدبه ایمیل زیرپیام ارسال کنیدinfo@hellodigi.ir

ساماندهی

logo-samandehi

درباره سلام دیجی

دیجی به کمک اساتید درهیچ زمانی از کمک کردن واموزش دادن به کاربران دست بر نمی دارد.از همه مهم تراینکه خود شما در ساخت دیجی می توانید نقش داشته باشیدباگذاشتن مقالات خودو آموزش به دیگران باعث یادگیری دوباره خود شویدوجایگاه خودرا درشته خودبدست آورید.لازم به ذکراست دیجی هیچ مالک واحد ومشخصی ندارد بلکه تمام کاربران او مالک و سازنده او هستند و هیچ گونه تبلیغاتی هم نمی پذیرد وفقط دانش می پذیرد

تمام حقوق سایت برای سلام دیجی و نويسندگان آن محفوظ می باشد