Firewalls sind zwar nicht das leichteste Thema, aber diese PT-Aufgabenstellung ist ordentlich erstellt worden.
Tischplattenbeißpotential: 0
1. Zwei Sicherheitszonen erstellen:
R3(config)#zone security IN-ZONE
R3(config)#zone security OUT-ZONE
2. ACL 101 erstellen, die internen Traffic definiert:
R3(config)#access-list 101 permit ip 192.168.3.0 0.0.0.255 any
-> wir gehen von R3 aus, also ist das interne Netzwerk das 192.168.3.0er Netzwerk
3. Eine dazugehörige class map (Name: IN-NET-CLASS-MAP) erstellen und ACL 101 zuweisen:
R3(config)#class-map type inspect IN-NET-CLASS-MAP
-> Typ "inspect"
R3(config-cmap)#match access-group 101
4. Eine dazugehörige policy map (Name: IN-2-OUT-PMAP) erstellen um zu bestimmen, was mit dem oben beschriebenen Traffic passiert:
R3(config)#policy-map type inspect IN-2-OUT-PMAP
R3(config-pmap)#class type inspect IN-NET-CLASS-MAP
-> class map zuweisen
R3(config-pmap-c)#inspect
-> action "inspect" zuweisen
-> es kommt die folgende Ausgabe:
%No specific protocol configured in class IN-NET-CLASS-MAP for inspection. All protocols will be inspected
5. Apply Firewall Policies - Zonenpaar
a) Create a pair of zones (in to out) / Zonenpaar erstellen:
R3(config)#zone-pair security IN-2-OUT-ZPAIR source IN-ZONE destination OUT-ZONE
-> Weist die Flussrichtung des inspizierten Traffics zu (von IN-ZONE zu OUT-ZONE)
b) Policy map zuweisen
R3(config-sec-zone-pair)#service-policy type inspect IN-2-OUT-PMAP
6. Den Interfaces Sicherheitszonen zuweisen
a) Fa0/1 zur IN-ZONE
R3(config)#int fa0/1
R3(config-if)#zone-member security IN-ZONE
b) S0/0/1 zur OUT-ZONE:
R3(config)#int s0/0/1
R3(config-if)#zone-member security OUT-ZONE
7. Verifizieren
a) From internal PC-C, Telnet to the router R2 S0/0/1 interface.
R3#
%SYS-5-CONFIG_I: Configured from console by console
show policy-map type inspect zone-pair sessions
Zone-pair: IN-ZONE-OUT-ZONE
Service-policy inspect : IN-2-OUT-PMAP
Class-map: IN-NET-CLASS-MAP (match-all)
Match: access-group 101
Inspect
Established Sessions
Session 176848496 (192.168.3.3:1026)=>(10.2.2.2:23) :tcp SIS_OPEN
Created 00:00:32, Last heard 00:00:11
Bytes sent (initiator:responder) [0:0]
Class-map: class-default (match-any)
Match: any
Drop (default action)
0 packets, 0 bytes
b) HTTP session:
R3# show policy-map type inspect zone-pair sessions
Zone-pair: IN-ZONE-OUT-ZONE
Service-policy inspect : IN-2-OUT-PMAP
Class-map: IN-NET-CLASS-MAP (match-all)
Match: access-group 101
Inspect
Established Sessions
Session 109032888 (192.168.3.3:1027)=>(192.168.1.3:80) :tcp SIS_OPEN
Created 00:00:01, Last heard 00:00:00
Bytes sent (initiator:responder) [0:0]
Class-map: class-default (match-any)
Match: any
Drop (default action)
0 packets, 0 bytes
Tischplattenbeißpotential: 0
1. Zwei Sicherheitszonen erstellen:
R3(config)#zone security IN-ZONE
R3(config)#zone security OUT-ZONE
2. ACL 101 erstellen, die internen Traffic definiert:
R3(config)#access-list 101 permit ip 192.168.3.0 0.0.0.255 any
-> wir gehen von R3 aus, also ist das interne Netzwerk das 192.168.3.0er Netzwerk
3. Eine dazugehörige class map (Name: IN-NET-CLASS-MAP) erstellen und ACL 101 zuweisen:
R3(config)#class-map type inspect IN-NET-CLASS-MAP
-> Typ "inspect"
R3(config-cmap)#match access-group 101
4. Eine dazugehörige policy map (Name: IN-2-OUT-PMAP) erstellen um zu bestimmen, was mit dem oben beschriebenen Traffic passiert:
R3(config)#policy-map type inspect IN-2-OUT-PMAP
R3(config-pmap)#class type inspect IN-NET-CLASS-MAP
-> class map zuweisen
R3(config-pmap-c)#inspect
-> action "inspect" zuweisen
-> es kommt die folgende Ausgabe:
%No specific protocol configured in class IN-NET-CLASS-MAP for inspection. All protocols will be inspected
5. Apply Firewall Policies - Zonenpaar
a) Create a pair of zones (in to out) / Zonenpaar erstellen:
R3(config)#zone-pair security IN-2-OUT-ZPAIR source IN-ZONE destination OUT-ZONE
-> Weist die Flussrichtung des inspizierten Traffics zu (von IN-ZONE zu OUT-ZONE)
b) Policy map zuweisen
R3(config-sec-zone-pair)#service-policy type inspect IN-2-OUT-PMAP
6. Den Interfaces Sicherheitszonen zuweisen
a) Fa0/1 zur IN-ZONE
R3(config)#int fa0/1
R3(config-if)#zone-member security IN-ZONE
b) S0/0/1 zur OUT-ZONE:
R3(config)#int s0/0/1
R3(config-if)#zone-member security OUT-ZONE
7. Verifizieren
a) From internal PC-C, Telnet to the router R2 S0/0/1 interface.
R3#
%SYS-5-CONFIG_I: Configured from console by console
show policy-map type inspect zone-pair sessions
Zone-pair: IN-ZONE-OUT-ZONE
Service-policy inspect : IN-2-OUT-PMAP
Class-map: IN-NET-CLASS-MAP (match-all)
Match: access-group 101
Inspect
Established Sessions
Session 176848496 (192.168.3.3:1026)=>(10.2.2.2:23) :tcp SIS_OPEN
Created 00:00:32, Last heard 00:00:11
Bytes sent (initiator:responder) [0:0]
Class-map: class-default (match-any)
Match: any
Drop (default action)
0 packets, 0 bytes
b) HTTP session:
R3# show policy-map type inspect zone-pair sessions
Zone-pair: IN-ZONE-OUT-ZONE
Service-policy inspect : IN-2-OUT-PMAP
Class-map: IN-NET-CLASS-MAP (match-all)
Match: access-group 101
Inspect
Established Sessions
Session 109032888 (192.168.3.3:1027)=>(192.168.1.3:80) :tcp SIS_OPEN
Created 00:00:01, Last heard 00:00:00
Bytes sent (initiator:responder) [0:0]
Class-map: class-default (match-any)
Match: any
Drop (default action)
0 packets, 0 bytes
Keine Kommentare:
Kommentar veröffentlichen