Tải bản đầy đủ (.pdf) (8 trang)
  1. Trang chủ
    2. >>
  2. Mẫu Slide
    3. >>
  3. Mẫu Slide - Template

Lab 4.2-Zone-based Firewall Policy

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.04 MB, 8 trang )

Thực học, thực hành, thực danh, thực nghiệp

Tên học phần: CHUYÊN ĐỀ TN – MMT&TT #1
Khoa: CÔNG NGHỆ THÔNG TIN

Lab 4.2 – ZONE-BASED POLICY FIREWALL
***
CHUẨN ĐẦU RA:
-

Triển khai Cisco Router hoạt động như Firewall.
Vận dụng Zone-based Policy Firewall (ZPF) thiết lập các chính sách truy cập và bảo mật
mạng qua IOS Router.
Triển khai ZPF trên mơ hình 2 nhánh mạng và 3 nhánh mạng.

TÓM TẮT LÝ THUYẾT ZONE-BASED POLICY FIREWALL (ZPF):
 Một hệ thống mạng sẽ khơng an tồn khi mà các vùng mạng khác nhau giao tiếp dễ
dàng với nhau mà không chịu bất kỳ sự khống chế / kiểm sốt nào.
 Zone-based Policy Firewall (tường lửa dùng chính sách dựa trên vùng mạng) cho
phép triển khai IOS Router hoạt động như một Firewall áp đặt các chính sách bảo mật
theo vùng mạng mà không cần dùng ACL.
 ZPF thiết lập các chính sách (Inspection / pass / drop) kiểm duyệt các gói tin đi ngang
qua Firewall Router.
o Inspection: cho phép loại gói tin nào đó đi qua, đồng thời chấp nhận các gói phản
hồi (respond) từ đích đến (Destination) quay về nguồn phát (Source).
o Pass: cho phép loại gói tin nào đó đi qua, nhưng khơng chấp nhận gói phản hồi
(respond).
o Drop: ngăn chặn (hủy bỏ) loại gói tin nào đó, khơng cho đi qua Router.
 Mỗi vùng mạng (Zone) được định nghĩa trước và được gán cho các interface giao tiếp
vùng mạng tương ứng.
o Quan trọng: khi một interface được gán là thành viên Zone nào đó, tất cả traffic đi


tới interface này mặc định sẽ bị drop (hủy bỏ).
 Cisco IOS Zone-Based Policy Firewall (ZPF) bao gồm các thành phần:
o Zone-pair (cặp zone): định hình hướng di chuyển của traffic từ source zone sang
destination zone. Luồng traffic này sẽ chịu kiểm duyệt của một Policy-map (chính
sách) đã định nghĩa trước.
o Policy-map: chính sách (policy) đưa ra hành động (drop/ inspect / pass) cho loại
thông tin đã được phân loại bởi Class-map đã định nghĩa trước.
o Class-map: bảng phân loại (classification) gói tin dựa theo protocol (giao thức)
hoặc Access-list đã định nghĩa trước.
o Access-list: sử dụng ACL loại extension. Phân loại gói tin dựa trên IP / Port của
Source và Destination hoặc phân loại theo Protocols (ICMP, GRE, OSPF, EIGRP…)
Chuyên đề MMT&TT #1

Trang 1


Thực học, thực hành, thực danh, thực nghiệp

 Hoạt động của ZPF:

o Traffic đi từ Zone1 sang Zone2 (gọi là Zone-Pair) sẽ được thực thi Policy-map.
o Nếu đúng với Class-map 1 (trong Policy-map) thì thực thi Action 1. Nếu khơng thì
xét Class-map 2.
o Tiếp tục xét cho đến khi hết Class-map trong Policy-map.
Triển khai Cisco Router hoạt động như Firewall.
MÔ HÌNH MẠNG:
-

Mạng nội bộ của doanh nghiệp ABC kết nối internet qua Cisco Router như mơ hình:


-

Triển khai trên phần mềm giả lập GNS3 và VMware:
o Cloud Noi-bo: dùng Cloud, lắp đặt (configure) card mạng VMNet1.
o Cloud Internet: dùng Cloud, lắp đặt (configure) card mạng VMNet8.
o Router R1: dùng Cisco IOS router chạy hệ điều hành loại “Advanced Security”.
o PC-1 và PC-2: máy ảo VMware, kết nối mạng vào VMNet1. (chỉ cần 1 máy)

NHU CẦU TRIỂN KHAI:
-

Doanh nghiệp muốn triển khai Router hoạt động như một tường lửa (IOS Firewall)
nhằm bảo vệ cho mạng nội bộ.
Các nhu cầu bảo mật:
o Tất cả các cuộc truy cập trái phép từ bên ngoài internet vào đều bị ngăn chặn.

Chuyên đề MMT&TT #1

Trang 2


Thực học, thực hành, thực danh, thực nghiệp

-

o Người dùng mạng nội bộ được phép giao tiếp bất kỳ máy nào bên ngoài internet.
Những giao thức cho phép giao tiếp được liệt kê trong một danh sách. Ví dụ:
 Cho PING ra ngoài.
 Cho truy cập các dịch vụ mạng bên ngoài: DNS, Web (HTTP và HTTPs), FTP,
MSSQL, MySQL…

o Trong tương lai, nếu có phát sinh nhu cầu cho phép các giao thức mới thì việc cấu
hình phải đơn giản.
o Nếu tương lai, doanh nghiệp phát sinh mạng mới thì việc cấu hình chính sách cho
nhánh mạng mới phải đơn giản.
Giải pháp thực hiện:
o Sử dụng chức năng “Zone-based Policy Firewall” (ZPF) trên Cisco Router dùng IOS
phiên bản “Advanced Security”

GỢI Ý THỰC HIỆN:
-

Quy hoạch IP address cho mạng nội bộ. Ví dụ là: 192.168.10.0 /24.

1. Triển khai các cấu hình cơ bản trên Router, đáp ứng các yêu cầu: cho phép mạng nội bộ
truy cập internet qua Router:
-

Gán IP động cho Outside interface:
R(config)# interface <tên int>
R(config-if)# ip address dhcp

-

Gán IP tĩnh cho Inside interface:
R(config)# interface <tên int>
R(config-if)# ip address <A.B.C.D> <mask>

-

chọn interface

gán IP động
chọn interface
gán IP tĩnh

Cấu hình NAT Overload cho các máy thuộc mạng Nội Bộ truy cập internet:
o Chỉ định interface thuộc inside (bên trong) và outside (bên ngoài)
R(config)# interface <tên>
R(confg-if)# ip nat <inside | outside>
o Lập một access-list gồm danh sách các IP được phép giao tiếp ra ngoài qua cơ chế
NAT overload trên Router.
R(config)# access-list <số> permit <IP mẫu và Wildcard mask>
o Cấu hình NAT overload.
R(config)# ip nat inside source list <số> interface <tên outside int> overload

-

Lệnh cấu hình DHCP server trên Cisco Router:
(config)# ip dhcp pool <tên pool>
# network <A.B.C.D> <mask>
# default-router <A.B.C.D>
# dns-server <A.B.C.D>

Chuyên đề MMT&TT #1

tạo mới DHCP pool.
Network IP address sẽ cấp phát
Cấp phát Default gateway
Cấp phát DNS Server
Trang 3



Thực học, thực hành, thực danh, thực nghiệp

2. Kiểm tra hiện trạng hoạt động của mạng công ty ABC trước khi triển khai ZPF:
-

Máy PC dùng IP động => nhận được thông số IP từ Router.

-

Máy PC giao tiếp được internet (PING và truy cập We, FTP, Game…)

3. Triển khai “Zone-based Policy Firewall” (ZPF) trên Cisco IOS Router:
3.1. Thực nghiệm triển khai ZPF trên Cisco Router với Class-map rỗng:
 Phần này sẽ thực nghiệm cấu hình các chính sách kiểm soát giao tiếp từ vùng
mạng nội bộ (LAN) ra vùng mạng internet (WAN). Bao gồm các thao tác:
Định nghĩa các vùng mạng (zone).
Tạo Class-map rỗng (chưa đặt vào đó chính sách kiểm soát và cho phép nào).
Tạo Policy-map cho Zone-pair: đặt hành động cho chính sách là inspection.
Tạo mới bộ Zone-pair: kiểm sốt các luồng thơng tin (traffic) từ mạng nội bộ
(source) ra internet (destination).
o Gán zone đã tạo vào interface tương ứng.
o
o
o
o

 Việc triển khai chính sách sau này sẽ đơn giản:
o Chỉ cần hiệu chỉnh chính sách tại Class-map.
o Gộp những mạng có nhu cầu bảo mật giống nhau vào cùng một Zone.

3.1.1. Định nghĩa các Zone:
-

Chia mạng của doanh nghiệp ABC thành 2 vùng mạng:
o LAN-zone: vùng mạng của các nhân viên.
o WAN-zone: vùng mạng internet và DMZ (nơi chứa các Server cung cấp dịch vụ).

-

Dùng lệnh “zone security …” để định nghĩa 2 zone-based tương ứng 3 vùng mạng của
công ty XYZ. Đặt tên các vùng mạng là: LAN và WAN. Xem minh họa:
R0(config)# zone security LAN
R0(config)# zone security WAN

3.1.2. Tạo Class-map:
-

Tạo bảng phân loại gói tin (class-map) rỗng, đặt tên LAN_WAN_CLS. Minh họa:
R0(config)# class-map type inspect LAN_WAN_CLS
R0(config-cmap)# exit

3.1.3. Tạo Policy-map:
-

Tạo bảng chính sách (policy-map) tên LAN_WAN_POL, thực hiện kiểm sốt (inspect)
các gói tin khớp với bảng phân loại LAN_WAN_CLS ở trên. Minh họa:
R0(config)# policy-map type inspect LAN_WAN_POL
R0(config-pmap)# class type inspect LAN_WAN_CLS
R0(config-pmap-c)# inspect
R0(config-pmap-c)# exit

R0(config-pmap)# exit

Chuyên đề MMT&TT #1

Trang 4


Thực học, thực hành, thực danh, thực nghiệp

3.1.4. Tạo Zone-pair:
-

Tạo cặp zone-pair theo hướng: LAN -> WAN, kiểm soát bởi policy-map đã tạo ở trên.
R0(config)# zone-pair security LAN_WAN source LAN destination WAN
R0(config-sec-zone-pair)# service-policy type inspect LAN_WAN_POL
R0(config-sec-zone-pair)# exit

3.1.5.

Gán zone vào interface:

Kiểm tra hiện trạng mạng trước khi gán Zone vào interface:
-

Từ máy Client thuộc mạng nội bộ:
o Dùng PING <Inside IP của Router> để kiểm tra giao tiếp với Router.
o Dùng PING 8.8.8.8 để kiểm tra kết nối internet.
o Dùng NSLOOKUP để kiểm tra phân giải tên miền từ DNS Server 8.8.8.8

-


Từ máy Client thuộc mạng Internet:
o Thử PING vào Outside interface của Router.
o Ghi chú: xem IP của các interface trên Router bằng le65nh “show ip int br”.

Thực hiện gán Zone vào interface:
-

Lệnh “zone-member security …” để gán các interface vào zone tương ứng. Minh họa:
R0(config)# interface f0/0
R0(config-if)# zone-member security LAN
R0(config)# interface f0/1
R0(config-if)# zone-member security WAN

Kiểm tra kết quả sau khi gán interface vào Zone:
-

Từ máy Client thuộc mạng nội bộ:
o Dùng PING <Inside IP của Router> để kiểm tra giao tiếp với Router.
o Dùng PING 8.8.8.8 để kiểm tra kết nối internet.
o Dùng NSLOOKUP để kiểm tra phân giải tên miền từ DNS Server 8.8.8.8
o Truy cập Web bên ngoài.

-

Từ máy Client thuộc mạng Internet:
o Thử PING vào Outside interface của Router.

-


Kiểm tra khả năng kiểm soát (inspect) các session của Router bằng lệnh:
R0# show policy-map type inspect zone-pair sessions

3.2. Cấu hình các chính sách ZPF theo các u cầu:
 Dựa trên ZPF đã có, việc triển khai các chính sách đơn giản là hiệu chỉnh bảng phân
loại gói tin: Class-map.
 Các hiệu chỉnh trên Class-map sẽ có hiệu lực tức thì đối với Zone-pair dùng Policymap tham chiếu đến Class-map đó.
Chuyên đề MMT&TT #1

Trang 5


Thực học, thực hành, thực danh, thực nghiệp

 Bảng phân loại (Class-map) có thể tham chiếu phân loại gói tin từ các nguồn:
o Phân loại bằng lệnh tại class-map:
 lệnh: match protocol <tên giao thức> hoặc: match all
o Phân loại theo Access-list:
 lệnh: match access-group <tên Access-list>
o Phân loại theo class-map khác:
 lệnh: match class-map <tên class-map khác>
3.2.1.
-

Cho phép PING (ICMP) từ LAN -> internet.
Hiệu chỉnh bảng class-map tên LAN_WAN_CLS cho phép giao thức ICMP. Minh họa:
R0(config)# class-map type inspect LAN_WAN_CLS
R0(config-cmap)# match protocol icmp
R0(config-cmap)# exit


-

Dùng lệnh: show class-map type inspect zone-pair sessions để xem lại class-map
vừa hiệu chỉnh.

-

Kiểm tra kết quả từ máy Client thuộc mạng nội bộ:
o Dùng PING <Inside IP của Router> để kiểm tra giao tiếp với Router.
o Dùng PING 8.8.8.8 để kiểm tra kết nối internet.
o Truy cập Web bên ngồi.

-

Kiểm tra khả năng kiểm sốt (inspect) các session của Router bằng lệnh:
R0# show policy-map type inspect zone-pair sessions

3.2.2.
-

Cho phép dns, http, https, ftp từ LAN -> internet (classful)
Hiệu chỉnh class-map tên LAN_WAN_CLS, bổ sung các giao thức cho phép Minh họa:
R0(config)# class-map type inspect LAN_WAN_CLS
R0(config-cmap)# match protocol http
R0(config-cmap)# match protocol https
R0(config-cmap)# match protocol dns

R0(config-cmap)# exit
o Ghi chú: lệnh match protocol ? để liệt kệ tất cả giao thức được Cisco IOS định
nghĩa sẵn.

o Hoặc: lệnh match protocol x? (x là chữ cái đầu của tên giao thức) để liệt kệ tất cả
giao thức bắt đầu bằng chữ cái đó.

-

Dùng lệnh: show class-map type inspect để xem lại class-map vừa hiệu chỉnh. Đảm
bảo có đủ protocols của 2 lần hiệu chỉnh.

-

Kiểm tra kết quả từ máy Client thuộc mạng nội bộ:
o Dùng NSLOOKUP để kiểm tra phân giải tên miền từ DNS Server 8.8.8.8
o Truy cập Web bên ngoài.

Chuyên đề MMT&TT #1

Trang 6


Thực học, thực hành, thực danh, thực nghiệp

-

Kiểm tra khả năng kiểm soát (inspect) các session của Router bằng lệnh:
R0# show policy-map type inspect zone-pair sessions

3.2.3.
-

Kết hợp thêm với ACL để chi tiết hơn cho Class-map:.

Hiệu chỉnh class-map tên LAN_WAN_CLS tham chiếu vào Access-List LAN_WAN_ACL
Minh họa:
R0(config)# class-map type inspect LAN_WAN_CLS
R0(config-cmap)# match access-group name LAN_WAN_ACL
R0(config-cmap)# exit

-

Tạo mới Extended ACL cùng tên LAN_WAN_ACL và cấu hình các chính sách chi tiết:
o Ngăn chăn máy 192.168.10.10 truy cập Web (http và https). Minh họa:
R0(config)# ip access-list ext LAN_WAN_ACL
R0(config-ext-nacl)# deny tcp host 192.168.10.0 any eq http
R0(config-ext-nacl)# deny tcp host 192.168.10.0 any eq https
o Cho phép tất cả máy trong mạng LAN kết nối “Remote Desktop” đến tất cả mạng
khác. Minh họa:
R0(config)# ip access-list ext LAN_WAN_ACL
R0(config-ext-nacl)# permit tcp any any eq 3389

-

Kiểm tra kết quả từ máy Client có IP address là 192.168.10.10:
o Dùng NSLOOKUP để kiểm tra phân giải tên miền từ DNS Server 8.8.8.8
o Truy cập Web bên ngoài.

-

Từ máy Client trong mạng nội bộ: thử kết nối Remote Desktop với máy bên ngồi.

-


Kiểm tra khả năng kiểm sốt (inspect) các session của Router bằng lệnh:
R0# show policy-map type inspect zone-pair sessions

4. Trường hợp doanh nghiệp phát sinh thêm vùng mạng DMZ:

-

Các nhu cầu bảo mật:
o Tất cả các cuộc truy cập trái phép từ DMZ vào mạng Nội bộ bị ngăn chặn.

Chuyên đề MMT&TT #1

Trang 7


Thực học, thực hành, thực danh, thực nghiệp

-

o Người dùng mạng nội bộ được phép PING đến bất kỳ máy nào bên DMZ.
o Các dịch vụ mạng (DNS, Web, FTP…) mà người dùng nội bộ được phép truy xuất
vào Server vùng DMZ được quy định theo danh sách (Access List) của Bài tập trên.
Giải pháp thực hiện:
o Tận dụng “Zone-based Policy Firewall” đã cấu hình ở phần trên.
o Xem mạng DMZ như là mạng Internet => đưa interface kết nối vùng DMZ làm
thành viên (member) của WAN zone.

-

Các bước triển khai cấu hình trên Router:

o Các cấu hình cơ bản:
 Gán IP address và xác định NAT inside cho interface kết nối vùng DMZ.
 Bổ sung Network IP address của vùng DMZ vào danh sách (ACL) cho phép NAT.
o Cấu hình NAT port cho phép bên ngồi truy cập dịch vụ Web cung cấp bởi máy
Server trong vùng DMZ.
o Cấu hình ZPF: đưa interface kết nối vùng DMZ làm thành viên (member) của WAN
zone.

-

Các bước triển khai cấu hình trên Server:
o Đặt IP address và trỏ Default Gateway về IP address của DMZ interface của Router.
o Kiểm tra lại cấu hình khai báo IP address của các dịch vụ DNS, Web, Mail… trên
máy Server

-

Kiểm tra kết quả:
o Từ máy Client thuộc mạng nội bộ:
 Dùng PING <IP của Server vùng DMZ> để kiểm tra giao tiếp với vùng DMZ.
 Dùng NSLOOKUP để kiểm tra phân giải tên miền từ DNS Server tại vùng DMZ.
 Truy cập Web site cung cấp bởi máy Server tại DMZ bằng cách nhập vào thanh
Address của trình duyệt: http://< IP của Server> hoặc <Outside IP của Router>.
o Từ máy Server thuộc mạng DMZ:
 Thử PING <IP máy thuộc nội bộ>.
 Thử PING 8.8.8.8

kiểm tra giao tiếp mạng nội bộ
kiểm tra giao tiếp internet.


o Từ máy Client thuộc mạng Internet:
 Thử PING <Outside IP của Router>
 Thử truy cập Web site cung cấp bởi máy Server tại vùng DMZ bằng cách nhập
vào thanh Address của trình duyệt: http://<Outside IP của Router>.

Chuyên đề MMT&TT #1

Trang 8



Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×