3.2.1 Настройка межсетевого экрана.

1. Настройка межсетевого экрана (firewall)

Шаг 1. На R1 из привилегированного режима командой config проходим в режим глобальной конфигурации.

R1# config

Шаг 2. Создаём зоны безопасности LAN и WAN.

R1(config)# security zone LAN

R1(config-zone)# exit

R1(config)# security zone WAN

R1(config-zone)# exit

Шаг 3. Указываем описание зоны безопасности с помощью команды description и каким-либо комментарием до 255 символов.

R1(config-zone)# description LAN_NET

R1(config-zone)# description WAN_NET

Шаг 4. Настройка интерфейсов и определение их принадлежности к зонам безопасности.

а) Начнём с интерфейса bridge 1, в котором удалим команду отключения межсетевого экрана с помощью команды no ip firewall и определим к зоне безопасности WAN с помощью команды security-zone WAN:

R1(config)# bridge 1

R1(config-bridge)# no ip firewall disable

R1(config-bridge)# security-zone WAN

R1(config-bridge)# exit

б) Sub-интерфейс interface gi1/0/3.211 настраивается аналогично:

R1(config)# interface gi1/0/3.211

R1(config-if-gi)# no ip firewall disable

R1(config-if-gi)# security-zone LAN

R1(config-if-gi)# exit

Примечание. Если предыдущие лабораторные работы выполнялить, то убедитесь, чтому этого sub-интерфейсу был назначен IP-адрес:

R1(config-if-gi)# ip address 192.168.0.1/30

Шаг 5. Создадим списки IP-адресов, номеров портов и тд. с помощью object-group.

R1(config)# object-group network LAN_NETWORK

R1(config-object-group-network)# ip address-range 192.168.0.1

R1(config-object-group-network)# exit

R1(config)# object-group network WAN_NETWORK

R1(config-object-group-network)# ip address-range 192.168.5.1

R1(config-object-group-network)# exit

R1(config)# object-group network WAN_GATEWAY

R1(config-object-group-network)# ip address-range 192.168.5.2

R1(config-object-group-network)# exit

R1(config)# object-group network LAN_GATEWAY

R1(config-object-group-network)# ip address-range 192.168.0.2

R1(config-object-group-network)# exit

Шаг 6. Создадим взаимодействие между зонами безопасности для пропуска трафика из зоны LAN в зону WAN (см. рис. 4).

R1(config)# security zone-pair LAN WAN

Шаг 7. В режиме взаимодействия между зонами безопасности создадим правило с номером 10.

R1(config-zone-pair)# rule 10

R1(config-zone-rule)#

Шаг 8. Ищем совпадение по протоколу ICMP.

R1(config-zone-rule)# match protocol icmp

Шаг 9. Ищем совпадения по адресу источника.

R1(config-zone-rule)# match destination-address WAN_GATEWAY

Шаг 10. Ищем совпадения по адресу источника.

R1(config-zone-rule)# match source-address LAN_GATEWAY

Шаг 11. Указываем действие, которое должно быть выполнено при поиске совпадений. В нашем случае это правило запрещающее.

R1(config-zonel-rule)# action permit

Шаг 12. Активируем правило 10 командой enable. Выходим на уровень назад с помощью команды exit.

Рис. 4. Настройка пар безопасности

Шаг 13. Создадим взаимодействие между зонами безопасности для пропуска трафика из зоны WAN в зону LAN (см. рис. 4).

R1(config)# security zone-pair WAN LAN

Шаг 14 В режиме взаимодействия между зонами безопасности создадим правило с номером 10.

R1(config-zone-pair)# rule 10

R1(config-zone-rule)#

Шаг 15. Ищем совпадение по протоколу ICMP.

R1(config-zone-rule)# match protocol icmp

Шаг 16. Ищем совпадения по адресу источника.

R1(config-zone-rule)# match destination-address LAN_GATEWAY

Шаг 17. Ищем совпадения по адресу источника.

R1(config-zone-rule)# match source-address WAN_GATEWAY

Шаг 18. Указываем действие, которое должно быть выполнено при поиске совпадений. В нашем случае это правило запрещающее.

R1(config-zone-rule)# action permit

Шаг 19. Активируем правило 10 командой enable. Выходим на уровень назад с помощью команды exit.

R1(config-zone-rule)# enable

R1(config-zone-rule)# exit

R1(config-zone-pair)# exit

Шаг 20. Создадим взаимодействие между зонами безопасности для пропуска трафика из зоны WAN в зону self.

R1(config)# security zone-pair WAN self

Шаг 21 В режиме взаимодействия между зонами безопасности создадим правило с номером 10.

R1(config-zone-pair)# rule 10

R1(config-zone-rule)#

Шаг 22. Ищем совпадение по протоколу ICMP.

R1(config-zone-rule)# match protocol icmp

Шаг 23. Ищем совпадения по адресу источника.

R1(config-zone-rule)# match destination-address WAN_NETWORK

Шаг 24. Ищем совпадения по адресу источника.

R1(config-zone-rule)# match source-address WAN_GATEWAY

Шаг 25. Указываем действие, которое должно быть выполнено при поиске совпадений. В нашем случае это правило запрещающее.

R1(config-zone-rule)# action permit

Шаг 26. Активируем правило 10 командой enable. Выходим на уровень назад с помощью команды exit.

R1(config-zone-rule)# enable

R1(config-zone-rule)# exit

R1(config-zone-pair)# exit

R1(config)#

Шаг 27. Создадим взаимодействие между зонами безопасности для пропуска трафика из зоны LAN в зону self.

R1(config)# security zone-pair LAN self

Шаг 28 В режиме взаимодействия между зонами безопасности создадим правило с номером 10.

R1(config-zone-pair)# rule 10

R1(config-zone-rule)#

Шаг 29. Ищем совпадение по протоколу ICMP.

R1(config-zone-rule)# match protocol icmp

Шаг 30. Ищем совпадения по адресу источника.

R1(config-zone-rule)# match destination-address LAN_NETWORK

Шаг 31. Ищем совпадения по адресу источника.

R1(config-zone-rule)# match source-address LAN_GATEWAY

Шаг 32. Указываем действие, которое должно быть выполнено при поиске совпадений. В нашем случае это правило запрещающее.

R1(config-zone-rule)# action permit

Шаг 33. Активируем правило 10 командой enable. Выходим на уровень назад с помощью команды exit.

R1(config-zone-rule)# enable

R1(config-zone-rule)# end

Шаг 34. Применяем и подтверждаем настроенную конфигурацию.

R1# commit

R1# confirm

ШАГ 6 – 33 НЕВОЗМОЖНО ПРИМЕНИТЬ НА ВИРТУАЛЬНОЙ МАШИНЕ МАШИНА ПЕРЕЗАГРУЖАЕТСЯ ПОСЛЕ COMMIT И НЕ СОХРАНЯЕТ ВВЕДЕННЫЕ КОМАНДЫ (см. рис. 5)

Рис. 5. Перезагрузка виртуальной машины после попытки применения команд

Шаг 35. Проверяем командами (см. рис. 6, 7):

R1# show security zone

Рис. 6. Команда show security zone

R1# show ip firewall sessions

Рис. 7. Команда show ip firewall sessions