Настройка зональных межсетевых экранов. Configuring Zone-Based Policy Firewalls (ZBF / ZPF)

Новости

В данной статье рассмотрена настройка зональных межсетевых экранов — Zone-Based Policy Firewalls (ZBF / ZPF). Исследуемая топология состоит из трех маршрутизаторов Cisco 2911 с ПО Cisco IOS версии 15. Допускается использование других маршрутизаторов и версий Cisco IOS.

 

Схема топологии следующая

 

 

Видео инструкция на нашем YouTube канале:

 

Лабораторная работа доступна здесь: CCNA Security Lab Configuring Zone Based Policy Firewalls.

 

Конфигурации R1 после выполнения Части 1
hostname R1
no ip domain-lookup

interface FastEthernet0/1
ip address 192.168.1.1 255.255.255.0
duplex auto
speed auto

interface Serial0/0/0
ip address 10.1.1.1 255.255.255.252

ip route 0.0.0.0 0.0.0.0 s0/0/0

security passwords min-length 10
ip domain-name ccnasecurity.com
crypto key generate rsa general-keys modulus 1024
username admin01 algorithm-type scrypt secret cisco12345

line console 0
login local
exec-timeout 5 0
logging synchronous

line aux 0
login local
exec-timeout 5 0

line vty 0 4
login local
transport input ssh
exec-timeout 5 0

enable algorithm-type scrypt secret class12345

copy running-config startup-config

 

Конфигурации R2 после выполнения Части 1
hostname R2
no ip domain-lookup

interface Serial0/0/0
ip address 10.1.1.2 255.255.255.252

interface Serial0/0/1
ip address 10.2.2.2 255.255.255.252

ip route 192.168.1.0 255.255.255.0 10.1.1.1
ip route 192.168.3.0 255.255.255.0 10.2.2.1
ip route 192.168.33.0 255.255.255.0 10.2.2.1

security passwords min-length 10
ip domain-name ccnasecurity.com
crypto key generate rsa general-keys modulus 1024
username admin01 algorithm-type scrypt secret cisco12345

line console 0
login local
exec-timeout 5 0
logging synchronous

line aux 0
login local
exec-timeout 5 0

line vty 0 4
login local
transport input ssh
exec-timeout 5 0

enable algorithm-type scrypt secret class12345

copy running-config startup-config

 

Конфигурации R3 после выполнения Части 1
hostname R3
no ip domain-lookup

interface FastEthernet0/0
ip address 192.168.33.1 255.255.255.0

interface FastEthernet 0/1
ip address 192.168.3.1 255.255.255.0

interface Serial0/0/1
ip address 10.2.2.1 255.255.255.0

ip route 0.0.0.0 0.0.0.0 s 0/0/1

security passwords min-length 10
ip domain-name ccnasecurity.com
crypto key generate rsa general-keys modulus 1024
username admin01 algorithm-type scrypt secret cisco12345

line console 0
login local
exec-timeout 5 0
logging synchronous

line aux 0
login local
exec-timeout 5 0

line vty 0 4
login local
transport input ssh
exec-timeout 5 0

enable algorithm-type scrypt secret class12345

copy running-config startup-config

 

Маршрутизатор R3 после части 2
zone security INSIDE
zone security CONFROOM
zone security INTERNET

 

class-map type inspect match-any INSIDE_PROTOCOLS
match protocol tcp
match protocol udp
match protocol icmp

 

class-map type inspect match-any CONFROOM_PROTOCOLS
match protocol http
match protocol https
match protocol dns

policy-map type inspect INSIDE_TO_INTERNET
class type inspect INSIDE_PROTOCOLS
inspect
policy-map type inspect CONFROOM_TO_INTERNET
class type inspect CONFROOM_PROTOCOLS
inspect

zone-pair security INSIDE_TO_INTERNET source INSIDE destination INTERNET
zone-pair security CONFROOM_TO_INTERNET source CONFROOM destination INTERNET

zone-pair security INSIDE_TO_INTERNET
service-policy type inspect INSIDE_TO_INTERNET
zone-pair security CONFROOM_TO_INTERNET
service-policy type inspect CONFROOM_TO_INTERNET

 

interface fa0/0
zone-member security CONFROOM

interface fa0/1
zone-member security INSIDE

interface s0/0/1
zone-member security INTERNET

policy-map type inspect internet_to_self
class class-default
drop
zone-pair security INTERNET_to_Self source INTERNET destination self
service-policy type inspect internet_to_self

 

Спасибо за уделенное время на прочтение статьи!

Если возникли вопросы, задавайте их в комментариях.

Подписывайтесь на обновления нашего блога и оставайтесь в курсе новостей мира инфокоммуникаций!

Чтобы знать больше и выделяться знаниями среди толпы IT-шников, записывайтесь на курсы Ciscoкурсы по кибербезопасности,  полный курс по кибербезопасности, курсы DevNet (программируемые сети) от Академии Ciscoкурсы Linux от Linux Professional Institute на платформе SEDICOMM University (Университет СЭДИКОММ).

Курсы Cisco и Linux с трудоустройством!

Спешите подать заявку! Осталось пару мест. Группы стартуют 22 июля, а следующая 19 августа, 23 сентября, 21 октября, 25 ноября, 16 декабря, 20 января, 24 февраля.
Что Вы получите?
  • Поможем стать экспертом в сетевом администрировании и получить международные сертификаты Cisco CCNA Routing & Switching или Linux LPI.
  • Предлагаем проверенную программу и учебник экспертов из Cisco Networking Academy и Linux Professional Institute, сертифицированных инструкторов и личного куратора.
  • Поможем с трудоустройством и сделать карьеру. 100% наших выпускников трудоустраиваются.
Как проходит обучение?
  • Проводим вечерние онлайн-лекции на нашей платформе или обучайтесь очно на базе Киевского офиса.
  • Спросим у вас об удобном времени для практик и подстроимся: понимаем, что времени учиться мало.
  • Если хотите индивидуальный график — обсудим и осуществим.
  • Выставим четкие дедлайны для самоорганизации. Личный куратор будет на связи, чтобы ответить на вопросы, проконсультировать и мотивировать придерживаться сроков сдачи экзаменов.
А еще поможем Вам:
  • отредактировать резюме;
  • подготовиться к техническим интервью;
  • подготовиться к конкурсу на понравившуюся вакансию;
  • устроим на работу в Cisco по программе Cisco Incubator, New Graduate и Experienced. Наши студенты, которые уже работают там: жмите на #НашиВCisco Вконтакте, #НашиВCisco Facebook.
Чтобы учиться на курсах Cisco CCNA Routing & Switching и Linux LPI, подайте заявку или получите бесплатную консультацию.
Новости

Больше похожих постов

1 комментарий. Оставить новый

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Заполните поле
Заполните поле
Пожалуйста, введите корректный адрес email.
Вы должны согласиться с условиями для продолжения

Most Viewed Posts

Результатов не найдено.

Меню