cisco

راه اندازی فایروال روی روترهای سیسکو به روش CBAC

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال
 

راه اندازی فایروال روی روترهای سیسکو به دو روش انجام می شود:

  • CBAC – Context Based Access Control
  • Zone Based Firewall

در آموزش های قبلی روشZone Based Firewallرا به شما آموزش داده بودیم حال می خواهیم با یک سناریو به بررسی CBAC بپردازیم.

در این سناریو می خواهیم به روش statefull کاری کنیم ترافیکی که ما تعیین می کنیم اگر رفت بیرون (outside) بتواند بر گردد داخل (inside) ولی از بیرون کلا هیچ ترافیکی وارد نشود.

CBAC

ابتدا به اینترفیس ها IP می دهیم و روی R2و R3 یک خط Route می نویسیم تا Ping بین آنها برقرار باشد.

 
 
R2(config)#ip route 12.1.1.0 255.255.255.0 s1/0
 
 
R3(config)#ip route 192.168.1.0 255.255.255.0 s1/0

روی روتر فایروال می زنیم :

ابتدا یک access list می نویسیم و از سمت بیرون همه را deny می کنیم.

 
R1(config)#ip access-list extended RETURN
 
 
 

Mode عوض می شود :

 
 
R1(config-ext-nacl)#deny ip any any
 

حالا به اینترفیس سمت outside اعمال می کنیم

 
 
R1(config)#int s1/1
 
 
R1(config-if)#ip access-group RETURN in
 
 
 

الان نه می توانیم Ping کنیم و نه telnet بزنیم.

 

حالا برای اینکه ترافیک های مجاز را مشخص کنیم یک access lsit دیگر می نویسیم:

در اینجا ما می خواهیم Telnetو ICMP را مجاز کنیم.

 
 
R1(config)#ip access-list extended TELNET-ICMP
 
R1(config-ext-nacl)#permit tcp any any eq 23
 
 
R1(config-ext-nacl)#permit icmp any any
 
 
 

این بار به اینترفیس Inside اعمال می کنیم.

 
 
R1(config)#Int s1/0
 
 
R1(config-if)#ip access-group TELNET-ICMP in
 
 
 

الان باز هم نه Ping داریم نه telnet چون باید ترافیک هایی را که می خواهیم state اش را نگه داریم در جدول STATEFULL TABLE ، inspect  کنیم.

 
 
R1(config)#ip inspect name INSPECT1 telnet audit-trail on
 
R1(config)#ip inspect name INSPECT1 icmp audit-trail on
 
 
 

به اینترفیس inside اعمالش می کنیم:

 
 
R1(config)#int s1/0
 
R1(config-if)#ip inspect INSPECT1 in
 
 
 

از این به بعد ترافیک های icmp و telnet را وضعیتشان را نگه می دارد.

دوباره از R2 Ping میکنیم و telnet می زنیم میبینیم که این بار می توانیم.

بعد از اینکه telnet  زدیم می توانیم با دستور زیر log اش را هم ببینیم.

R1#show ip inspect sessions detail


IPSLA-Internet Protocol Service Level Agreement

Zone Based Firewall

اتصال روتر به اینترنت در GNS3 و ساختن Loopback کانکشن در ویندوز

آموزش: چگونه Serial Interface های روتر سیسکو را پیکربندی کنیم ؟ منظور از DTE و DCE چیست ؟

امن کردن GRE Tunnel با run کردن IPsec

تمام حقوق سایت برای سلام دیجی و نويسندگان آن محفوظ می باشد