Consulenze presso Eunet srl, via dell'Artigianato 15, 09122 Cagliari 070 753609 Lun - Ven 08:30-13:00 / 14.30-17.00
  • Sei qui:  
  • Home

Cisco Zone-Based Policy Firewall: esercizio pratico

Cisco
Read Time: 4 mins

In questo esercizio di laboratorio con Firewall Zone-Based Policy, andremo a configurare una rete con queste caratteristiche:

Rete LAN: 192.168.10.0/24
Rete DMZ: 192.168.20.0/24. server FTP 192.168.20.31, server MAIL 192.168.20.32

 

 

Regole:

LAN to WAN, servizi consentiti: http, https, rdp, icmp, ssh, dns.
LAN to DMZ, servizi consentiti: ftp, imap, smtp, icmp, ssh.
DMZ to WAN, servizi consentiti: smtp, imap, dns.
DMZ to LAN: nessun servizio accessibile
WAN to DMZ, servizi consentiti: smtp, ftp.
WAN to LAN, nessun servizio accessibile.

 

 

LAN to WAN

1) Prima si creano le zone:

zone security LAN-ZONE
zone security WAN-ZONE


2) Poi si creano le class-map:

class-map type inspect match-any LAN_TO_WAN_CLASS
description Traffico da Lan a Wan
match protocol icmp
match protocol dns
match protocol http
match protocol https
match protocol ssh 
match protocol user-Rdp

3) Si definisce la policy:

policy-map type inspect LAN_TO_WAN_POLICY
class type inspect LAN_TO_WAN_CLASS
inspect

4) Si assegnano le interfacce alle zone:

int fa 0/1
zone-member security LAN-ZONE
int se 0/0
zone-member security WAN-ZONE


5) Si applica la policy (nella direzione di traffico desiderata)

zone-pair security LAN-WAN source LAN-ZONE destination WAN-ZONE
service-policy type inspect LAN_TO_WAN_POLICY



LAN to DMZ

1) Prima si creano le zone:

zone security DMZ-ZONE


2) Poi si creano le class-map:

class-map type inspect match-any LAN_TO_DMZ_CLASS
description Traffico Mail dalla Lan verso la Dmz
match protocol smtp
match protocol imap
match protocol icmp
match protocol ftp
match protocol ssh

3) Si definisce la policy:

policy-map type inspect LAN_TO_DMZ_POLICY
class type inspect LAN_TO_DMZ_CLASS
inspect

 

4) Si assegnano le interfacce alle zone:

int fa 0/0
zone-member security DMZ-ZONE


5) Si applica la policy (nella direzione di traffico desiderata)

zone-pair security LAN-DMZ source LAN-ZONE destination DMZ-ZONE
service-policy type inspect LAN_TO_DMZ_POLICY

 

 

DMZ to WAN


1) Prima si creano le zone:

--- Zone già definite


2) Poi si creano le class-map:

class-map type inspect match-any DMZ_TO_WAN_CLASS
description Definisco il traffico dal server Mail verso la Wan
match protocol smtp
match protocol dns


3) Si definisce la policy:

policy-map type inspect DMZ_TO_WAN_POLICY
class type inspect DMZ_TO_WAN_CLASS
inspect


4) Si assegnano le interfacce alle zone:

--- Interfacce già assegnate alle zone


5) Si applica la policy (nella direzione di traffico desiderata)

zone-pair security DMZ-WAN source DMZ-ZONE destination WAN-ZONE 
service-policy type inspect DMZ_TO_WAN_POLICY

 

 

WAN to DMZ

La policy che andremo a definire in questo caso merita particolare attenzione: si tratta di concedere l'accesso dall'esterno verso la nostra rete DMZ. Combineremo un'inspection di livello 7 come già fatto per le altre zone, con l'integrazione aggiuntiva di ACL che restringono l'accesso a specifici host e servizi. In pratica verrà creata una struttura gerarchica con una class-map principale contenente un'ACL. L'operazione è conosciuta come nesting, o annidamento.

Notare la differenza nelle parole chiave utilizzare dalle class-map: con match-any è sufficiente la corrispondenza anche di un solo servizio fra quelli elencati, mentre con match-all tutte le condizioni presenti nella class-map devono essere soddisfatte per consentire il traffico.

 

1) Prima si creano le zone:

--- Zone già definite


2) Poi si creano le class-map:

ACL da inserire nelle class-map

ip access-list extended FTP_IN_ACL
permit tcp any host 192.168.20.31 eq ftp
permit tcp any host 192.168.20.31 eq ftp-data
deny ip any any
ip access-list extended SMTP_IN_ACL
permit tcp any host 192.168.20.32 eq smtp
deny ip any any

Class-map con nesting

class-map type inspect match-all WAN_TO_DMZ_CLASS_MAIL
match access-group name SMTP_IN_ACL
match protocol smtp
class-map type inspect match-all WAN_TO_DMZ_CLASS_FTP
match access-group name FTP_IN_ACL
match protocol ftp

 

3) Si definisce la policy:

policy-map type inspect WAN_TO_DMZ_POLICY
class type inspect WAN_TO_DMZ_CLASS_FTP
inspect
class type inspect WAN_TO_DMZ_CLASS_MAIL
inspect

 

4) Si assegnano le interfacce alle zone:

--- Già assegnate


5) Si applica la policy (nella direzione di traffico desiderata)

zone-pair security WAN-DMZ source WAN-ZONE destination DMZ-ZONE
service-policy type inspect WAN_TO_DMZ_POLICY
Cisco
CCNA Security
sicurezza
(0 Votes)