Zone Based Firewall چیست و چگونه از یک روتر به عنوان فایروال استفاده کنیم؟ – قسمت سوم

/0 Comments/in , /by

در مقالات قبلی با مفاهیم و عملکرد Zone Based Firewall آشنا شدیم و همانطور که قول داده بودیم در این قسمت می خواهیم یک سناریوی عملی را پیاده سازی کنیم تا با این مفاهیم بیشتر آشنا شویم:

سناریو :

در خیلی از سازمان ها چند سروریس وجود دارد که می خواهند از خارج از شبکه مثل اینترنت به آن دسترسی داشته باشند برخی از این سرویس بیشتر مورد استفاده قرار می گیرند مثل Web برای نمایش سایت سازمان ، DNS ، SMTP و …
در این سناریو یک شبکه را در نظر می گیریم که به سه Zone با نام های internal ، internet و DMZ تقسیم شده است. دسترسی ها به صورت زیر می خواهد تعریف شود:

  1. کاربران internal zone به صورت کامل به اینترنت دسترسی داشته باشند به از طریق پروتکل http و telnet به محیط DMZ دسترسی داشته باشند.
  2. از محیط DMZ به internal هیچ دسترسی وجود ندارد و به internet دسترسی کامل دارد.
  3. از محیط internet به DMZ از طریق پروتکلهای http ، DNS و Telnet دسترسی دارد و به محیط internal هیچ دسترسی ندارد.

با توجه به مطالب فوق برای شبیه سازی و پیاده سازی شبکه به شبکه internal ، DMZ و internet یک روتر قرار می دهیم و آنرا به عنوان یک شبکه فرض می گیریم:

Image

در ابتدا تنظیمات مربوط به IP و Routeها و همچنین Telnet را روی روترها فعال می کنیم :
روتر internal :

internal(config)#interface FastEthernet 0/0
internal(config-if)#ip address 192.168.1.2 255.255.255.0
internal(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.1
internal(config)#line vty 0 4
internal(config-line)#password 123
internal(config-line)#login

روتر DMZ :

DMZ(config)#interface FastEthernet 0/0
DMZ(config-if)#ip address 192.168.2.2 255.255.255.0
DMZ(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.1
DMZ(config)#line vty 0 4
DMZ(config-line)#password 123
DMZ(config-line)#login

روتر internet :

internal(config)#interface FastEthernet 0/0
internal(config-if)#ip address 5.5.5.2 255.255.255.0
internal(config)#ip route 0.0.0.0 0.0.0.0 5.5.5.1
internal(config)#line vty 0 4
internal(config-line)#password 123
internal(config-line)#login

روتر R1 :

R1(config)#interface FastEthernet 0/0
R1(config-if)#ip address 192.168.1.1 255.255.255.0
R1(config)#interface FastEthernet 0/1
R1(config-if)#ip address 192.168.2.1 255.255.255.0
R1(config)#interface FastEthernet 1/0
R1(config-if)#ip address 5.5.5.1 255.255.255.0
R1(config)#line vty 0 4
R1(config-line)#password 123
R1(config-line)#login

در حال حاضر کلیه این روترها با یکدیگر به صورت کامل ارتباط دارند و هیچ محدویتی وجود ندارد به طور مثال روتر internet روتر internal را می تواند ping کند.

Image

 

نحوی ایجاد ZBPFW :

مراحل پیاده سازی Zone Based Firewall به شرح زیر است :

  • تعریف Class map : در این مرحله ترافیک مورد نظر شناسایی می شود.
  • تعریف Policy map : در این مرحله Action یا عملی که نسبت به ترافیک شناسایی شده توسط class map مشخص می شود.
  • تعریف Zone : در این مرحله Zone های مورد نیاز تعریف می شود.
  • تعریف Zone pair : در این مرحله ارتباط بین Zone ها را و جهت را با استفاده از Policy map مشخص می کنیم.
  • اختصاص اینترفیس ها به Zone : در اخرین مرحله اینترفیس را به Zone مربوطه اختصاص می دهیم.

 

تعریف Class map :

در اینجا براساس پروتکل هایی که قرار است اجازه عبور داشته باشند Class map تعریف می کنیم. که در اینجا ما نیاز به 4 تا class map داریم. :

R1(config)#access-list 101 permit ip any any
R1(config)#class-map type inspect match-any dmz-internet-class
R1(config-cmap)#match access-group 101
R1(config)#class-map type inspect match-any internet-dmz-class
R1(config-cmap)#match protocol http
R1(config-cmap)#match protocol dns
R1(config-cmap)#match protocol telnet
R1(config)#class-map type inspect match-any internal-dmz-class
R1(config-cmap)#match protocol http
R1(config-cmap)#match protocol telnet
R1(config)#class-map type inspect match-any internal-internet-class
R1(config-cmap)#match access-group 101

نکته : برای تعریف کلاس که با همه ترافیک ها مطابقت پیدا کند از یک ACL از نوع Extended تعریف می کنیم و در آن مشخص می کنیم با همه پروتکل ها مطابقت پیدا کند سپس این ACL را به Class map ها مورد نظر اختصاص می دهیم.

تعریف Policy map :

حالا Policyها را ایجاد می کنیم و برای class-map هایی که ایجاد کرده ایم Action مورد نظر را مشخص می کنیم:

R1(config)#policy-map type inspect internal-internet-policy
R1(config-pmap)#class type inspect internal-internet-class
R1(config-pmap-c)#inspect
R1(config)#policy-map type inspect internal-dmz-policy
R1(config-pmap)#class type inspect internal-dmz-class
R1(config-pmap-c)#inspect
R1(config)#policy-map type inspect dmz-internet-policy
R1(config-pmap)#class type inspect dmz-internet-class
R1(config-pmap-c)#inspect
R1(config)#policy-map type inspect internet-dmz-policy
R1(config-pmap)#class type inspect internet-dmz-class
R1(config-pmap-c)#inspect

 

تعریف Security Zone :

با توجه به شبکه ما سه Zone با نام internal ، DMZ و internet نیاز داریم که آنها را تعریف می کنیم:

R1(config)#zone security internal
R1(config)#zone security internet
R1(config)#zone security dmz

 

تعریف Zone Pair :

براساس جریان ترافیک و جهت Zone pair ها را تعریف و Policy مربوطه را به آن اختصاص می دهیم:

R1(config)#zone-pair security internal-dmz source internal destination dmz
R1(config-sec-zone-pair)#service-policy type inspect internal-dmz-policy
R1(config)#zone-pair security internal-internet source internal destination internet
R1(config-sec-zone-pair)#service-policy type inspect internal-internet-policy
R1(config)#zone-pair security dmz-internet source dmz destination internet
R1(config-sec-zone-pair)#service-policy type inspect dmz-internet-policy
R1(config)#zone-pair security internet-dmz source internet destination dmz
R1(config-sec-zone-pair)#service-policy type inspect internet-dmz-policy

نکته : برای Zone هایی که با یکدیگر در یک جهت نباید ارتباط داشته باشند مثل ارتباط از شبکه اینترنت به شبکه داخلی ، نیاز به تعریف Zone pair نیست و عدم وجود Zone pair باعث جلوگیری از عبور ترافیک بین این دو Zone می شود.

اختصاص اینترفیس به Zone :

در نهایت اینترفیس ها را به Zone مربوطه اختصاص می دهیم:

R1(config)#interface FastEthernet0/0
R1(config-if)#zone-member security internal
R1(config)#interface FastEthernet0/1
R1(config-if)#zone-member security dmz
R1(config)#interface FastEthernet1/0
R1(config-if)#zone-member security internet

نکته : اختصاص اینترفیس ها به Zone بهتر است که در آخرین مرحله انجام شود چون اگر قبلا از تعریف موارد قبل مانند Zone pair اینکار انجام شود باعث قطع کلی ارتباط بین Zone ها می شود.

کلیه تنظیمات مربوطه انجام شده و برای اطمینان از صحت عملکرد چند تست را می گیریم.
براساس تعاریف از طریق شبکه اینترنت امکان دسترسی به شبکه داخلی وجود ندارد و همچنین به شبکه dmz از طریق پروتکل هایی DNS ، http و telnet امکان دسترسی وجود دارد. در تصویر زیر این تست ها نمایش داده شده است:

Image

براساس تعاریف از طریق شبکه DMZ امکان دسترسی به شبکه داخلی وجود ندارد و همچنین به شبکه اینترنت دسترسی کامل وجود دارد. در تصویر زیر این تست ها نمایش داده شده است:

Image

براساس تعاریف از طریق شبکه اینترنال امکان دسترسی کامل به شبکه اینترنت وجود دارد و به شبکه DMZ از طریق پروتکل http و telnet امکان دسترسی وجود دارد. در تصویر زیر این تست ها نمایش داده شده است:

Image

 

0 replies

Leave a Reply

Want to join the discussion?
Feel free to contribute!

Leave a Reply

Your email address will not be published. Required fields are marked *