2.4. Настрйока листов доступа

Зададим права доступа для разных групп пользователей корпоративной сети. Это позволит реализовать DMZ. Для начала создадим группы объектов. Зададим правила, которым будем следовать, создавая листы доступа.

NET_LAN – все пользователи и устройства локальной сети.

USER_CEO – адрес рабочей станции директора

USER_ADMIN – адрес рабочей станции администратора

USER_PRIVELEDGED – адрес рабочей станции сотрудника, который должен иметь некий расширенный доступ

HOST_X – адрес внешнего ресурса, к которому требуется открыть доступ.

USERS_FULL_ACCESS – группа, которой будет разрешен полный доступ в Интернет

SERVICE_HTTP_HTTPS – группа портов для веб доступа

HOST_DNS – адрес внешнего сервера DNS

SERVICE_DNS – группа портов для доступа к службам DNS

r-perimeter(config)#

object-group network NET_LAN

network-object 172.20.0.0 255.255.255.224

object-group network USER_CEO

network-object host 172.168.0.3

object-group network USER_ADMIN

network-object host 172.168.0.35

object-group network USERS_FULL_ACCESS

group-object USERS_CEO

group-object USERS_ADMIN

object-group network USER_PRIVELEDGED

network-object host 172.20.0.4

object-group network HOST_X

network-object host 172.20.0.36

network-object host 172.20.0.37

network-object host 172.20.0.38

object-group network HOST_DNS

network-object host 172.20.0.38

object-group service SERVICE_HTTP_HTTPS

service-object tcp eq http

service-object tcp eq https

object-group service SERVICE_DNS

service-object tcp eq 53

service-object udp eq 53

Создаем список доступа ACL_INSIDE_IN, в котором описываем все правила.

Полный доступ адресов из группы USERS_FULL_ACCESS в Интернет:

r-perimeter (config)#

access-list ACL_INSIDE_IN extended permit ip object-group

USERS_FULL_ACCESS any

Доступ адресов из группы USER_PRIVELEDGED к ресурсу с адресом из группы HOST_X по порту TCP 9443:

r-perimeter(config)#

access-list ACL_INSIDE_IN extended permit tcp object-group

USER_PRIVELEDGED object-group HOST_X eq 9443

Доступ в интернет по портам TCP 80(http) и TCP 443(https) для всех устройств локальной сети:

r-perimeter(config)#

access-list ACL_INSIDE_IN extended permit object-group

SERVICE_HTTP_HTTPS object-group NET_LAN any

Разрешение доступа всем устройствам локальной сети к серверу DNS:

r-perimeter(config)# access-list ACL_INSIDE_IN extended

permit object-group SERVICE_DNS object-group NET_LAN object-group

HOST_DNS

Разрешение протокола icmp для запуска Ping с любого устройства локальной сети:

r-perimeter(config)#

access-list ACL_INSIDE_IN extended permit icmp object-group

NET_LAN any

Явный запрет любых других соединений. Благодаря слову log в конце строки в журнал устройства будут попадать все попытки доступа, которые не были разрешены этим access list.

r-perimeter (config)#

access-list ACL_INSIDE_IN extended deny ip any any log

После описания всех необходимых правил для фильтрации трафика необходимо привязать список доступа ACL_INSIDE_IN ко внутреннему интерфейсу inside. До привязки он никак не влияет на проходящий через межсетевой экран трафик. Для привязки используется следующая команда:

r-perimeter (config)#

access-group ACL_INSIDE_IN in interface inside

Дополнительно разрешаем автоматический прием обратных пакетов icmp:

r-perimeter (config)#

policy-map global_policy

class inspection_default

inspect icmp

Для доступа извне список доступа будет меньше так как в нем нам необходимо разрешить только доступ на веб-сервер офиса. Это правило будет дополнять правила трансляции адресов, а именно строку, которая транслирует внутренний адрес веб сервера в адрес внешнего интерфейса межсетевого экрана.

Создаем список доступа ACL_OUTSIDE_IN и привязываем его ко внешнему интерфейсу outside по аналогии с тем, как сделали это в примере выше:

r-perimeter (config)#

access-list ACL_OUTSIDE_IN extended permit tcp any interface

outside eq 80

access-list ACL_OUTSIDE_IN extended deny ip any any log

access-group ACL_OUTSIDE_IN in interface outside

Задаём статический NAT:

r-perimeter (config)#

static (inside,outside) interface 172.20.0.0 netmask 255.255.255.224

Теперь в конфигурации присутствуют как правила трансляции (static NAT), так и строки в списках доступа (access lists), разрешающие трафик. Поэтому при обращении любого хоста из сети Интернет к адресу внешнего интерфейса межсетевого экрана outside (200.150.100.2) по порту TCP 80(http) запрос будет разрешен и трансформирован в запрос ко внутреннему адресу веб сервера фирмы (172.20.0.0).

Сохраняем конфигурацию:

r-perimeter -1#write

Building configuration...

[OK]