Zone Based Firewall چیست و چگونه از یک روتر به عنوان فایروال استفاده کنیم؟ – قسمت سوم
در مقالات قبلی با مفاهیم و عملکرد Zone Based Firewall آشنا شدیم و همانطور که قول داده بودیم در این قسمت می خواهیم یک سناریوی عملی را پیاده سازی کنیم تا با این مفاهیم بیشتر آشنا شویم:
سناریو :
در خیلی از سازمان ها چند سروریس وجود دارد که می خواهند از خارج از شبکه مثل اینترنت به آن دسترسی داشته باشند برخی از این سرویس بیشتر مورد استفاده قرار می گیرند مثل Web برای نمایش سایت سازمان ، DNS ، SMTP و …
در این سناریو یک شبکه را در نظر می گیریم که به سه Zone با نام های internal ، internet و DMZ تقسیم شده است. دسترسی ها به صورت زیر می خواهد تعریف شود:
- کاربران internal zone به صورت کامل به اینترنت دسترسی داشته باشند به از طریق پروتکل http و telnet به محیط DMZ دسترسی داشته باشند.
- از محیط DMZ به internal هیچ دسترسی وجود ندارد و به internet دسترسی کامل دارد.
- از محیط internet به DMZ از طریق پروتکلهای http ، DNS و Telnet دسترسی دارد و به محیط internal هیچ دسترسی ندارد.
با توجه به مطالب فوق برای شبیه سازی و پیاده سازی شبکه به شبکه internal ، DMZ و internet یک روتر قرار می دهیم و آنرا به عنوان یک شبکه فرض می گیریم:
در ابتدا تنظیمات مربوط به IP و Routeها و همچنین Telnet را روی روترها فعال می کنیم :
روتر internal :
internal(config)#interface FastEthernet 0/0 internal(config-if)#ip address 192.168.1.2 255.255.255.0 internal(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.1 internal(config)#line vty 0 4 internal(config-line)#password 123 internal(config-line)#login
روتر DMZ :
DMZ(config)#interface FastEthernet 0/0 DMZ(config-if)#ip address 192.168.2.2 255.255.255.0 DMZ(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.1 DMZ(config)#line vty 0 4 DMZ(config-line)#password 123 DMZ(config-line)#login
روتر internet :
internal(config)#interface FastEthernet 0/0 internal(config-if)#ip address 5.5.5.2 255.255.255.0 internal(config)#ip route 0.0.0.0 0.0.0.0 5.5.5.1 internal(config)#line vty 0 4 internal(config-line)#password 123 internal(config-line)#login
روتر R1 :
R1(config)#interface FastEthernet 0/0 R1(config-if)#ip address 192.168.1.1 255.255.255.0 R1(config)#interface FastEthernet 0/1 R1(config-if)#ip address 192.168.2.1 255.255.255.0 R1(config)#interface FastEthernet 1/0 R1(config-if)#ip address 5.5.5.1 255.255.255.0 R1(config)#line vty 0 4 R1(config-line)#password 123 R1(config-line)#login
در حال حاضر کلیه این روترها با یکدیگر به صورت کامل ارتباط دارند و هیچ محدویتی وجود ندارد به طور مثال روتر internet روتر internal را می تواند ping کند.
نحوی ایجاد ZBPFW :
مراحل پیاده سازی Zone Based Firewall به شرح زیر است :
- تعریف Class map : در این مرحله ترافیک مورد نظر شناسایی می شود.
- تعریف Policy map : در این مرحله Action یا عملی که نسبت به ترافیک شناسایی شده توسط class map مشخص می شود.
- تعریف Zone : در این مرحله Zone های مورد نیاز تعریف می شود.
- تعریف Zone pair : در این مرحله ارتباط بین Zone ها را و جهت را با استفاده از Policy map مشخص می کنیم.
- اختصاص اینترفیس ها به Zone : در اخرین مرحله اینترفیس را به Zone مربوطه اختصاص می دهیم.
تعریف Class map :
در اینجا براساس پروتکل هایی که قرار است اجازه عبور داشته باشند Class map تعریف می کنیم. که در اینجا ما نیاز به 4 تا class map داریم. :
R1(config)#access-list 101 permit ip any any R1(config)#class-map type inspect match-any dmz-internet-class R1(config-cmap)#match access-group 101 R1(config)#class-map type inspect match-any internet-dmz-class R1(config-cmap)#match protocol http R1(config-cmap)#match protocol dns R1(config-cmap)#match protocol telnet R1(config)#class-map type inspect match-any internal-dmz-class R1(config-cmap)#match protocol http R1(config-cmap)#match protocol telnet R1(config)#class-map type inspect match-any internal-internet-class R1(config-cmap)#match access-group 101
نکته : برای تعریف کلاس که با همه ترافیک ها مطابقت پیدا کند از یک ACL از نوع Extended تعریف می کنیم و در آن مشخص می کنیم با همه پروتکل ها مطابقت پیدا کند سپس این ACL را به Class map ها مورد نظر اختصاص می دهیم.
تعریف Policy map :
حالا Policyها را ایجاد می کنیم و برای class-map هایی که ایجاد کرده ایم Action مورد نظر را مشخص می کنیم:
R1(config)#policy-map type inspect internal-internet-policy R1(config-pmap)#class type inspect internal-internet-class R1(config-pmap-c)#inspect R1(config)#policy-map type inspect internal-dmz-policy R1(config-pmap)#class type inspect internal-dmz-class R1(config-pmap-c)#inspect R1(config)#policy-map type inspect dmz-internet-policy R1(config-pmap)#class type inspect dmz-internet-class R1(config-pmap-c)#inspect R1(config)#policy-map type inspect internet-dmz-policy R1(config-pmap)#class type inspect internet-dmz-class R1(config-pmap-c)#inspect
تعریف Security Zone :
با توجه به شبکه ما سه Zone با نام internal ، DMZ و internet نیاز داریم که آنها را تعریف می کنیم:
R1(config)#zone security internal R1(config)#zone security internet R1(config)#zone security dmz
تعریف Zone Pair :
براساس جریان ترافیک و جهت Zone pair ها را تعریف و Policy مربوطه را به آن اختصاص می دهیم:
R1(config)#zone-pair security internal-dmz source internal destination dmz R1(config-sec-zone-pair)#service-policy type inspect internal-dmz-policy R1(config)#zone-pair security internal-internet source internal destination internet R1(config-sec-zone-pair)#service-policy type inspect internal-internet-policy R1(config)#zone-pair security dmz-internet source dmz destination internet R1(config-sec-zone-pair)#service-policy type inspect dmz-internet-policy R1(config)#zone-pair security internet-dmz source internet destination dmz R1(config-sec-zone-pair)#service-policy type inspect internet-dmz-policy
نکته : برای Zone هایی که با یکدیگر در یک جهت نباید ارتباط داشته باشند مثل ارتباط از شبکه اینترنت به شبکه داخلی ، نیاز به تعریف Zone pair نیست و عدم وجود Zone pair باعث جلوگیری از عبور ترافیک بین این دو Zone می شود.
اختصاص اینترفیس به Zone :
در نهایت اینترفیس ها را به Zone مربوطه اختصاص می دهیم:
R1(config)#interface FastEthernet0/0 R1(config-if)#zone-member security internal R1(config)#interface FastEthernet0/1 R1(config-if)#zone-member security dmz R1(config)#interface FastEthernet1/0 R1(config-if)#zone-member security internet
نکته : اختصاص اینترفیس ها به Zone بهتر است که در آخرین مرحله انجام شود چون اگر قبلا از تعریف موارد قبل مانند Zone pair اینکار انجام شود باعث قطع کلی ارتباط بین Zone ها می شود.
کلیه تنظیمات مربوطه انجام شده و برای اطمینان از صحت عملکرد چند تست را می گیریم.
براساس تعاریف از طریق شبکه اینترنت امکان دسترسی به شبکه داخلی وجود ندارد و همچنین به شبکه dmz از طریق پروتکل هایی DNS ، http و telnet امکان دسترسی وجود دارد. در تصویر زیر این تست ها نمایش داده شده است:
براساس تعاریف از طریق شبکه DMZ امکان دسترسی به شبکه داخلی وجود ندارد و همچنین به شبکه اینترنت دسترسی کامل وجود دارد. در تصویر زیر این تست ها نمایش داده شده است:
براساس تعاریف از طریق شبکه اینترنال امکان دسترسی کامل به شبکه اینترنت وجود دارد و به شبکه DMZ از طریق پروتکل http و telnet امکان دسترسی وجود دارد. در تصویر زیر این تست ها نمایش داده شده است:
Leave a Reply
Want to join the discussion?Feel free to contribute!