1. 
Описание инспектирования трафика.
2. 
Принцип работы технологии CBAC.

Министерство образования и науки Российской Федерации
федеральное государственное бюджетное образовательное учреждение высшего образования
"Российский экономический университет имени Г.В.Плеханова"
МОСКОВСКИЙ ПРИБОРОСТРОИТЕЛЬНЫЙ ТЕХНИКУМ
 
ЛАБОРАТОРНАЯ РАБОТА № 18 
 
“
 Настройка технологии Zone-Based Firewall на маршрутизаторе.
”
(2 часа)
ПМ.03 «Эксплуатация объектов сетевой инфраструктуры» 
МДК.03.02 Безопасность компьютерных сетей 
Составители(авторы) Вилков А.Н. преподаватель ФГБОУ ВО "РЭУ им. Г.В.Плеханова"

Топология сети. 
Создание зон и пар зон
Зоны создаются с помощью команды zone security 
zone security IN 
zone security OUT 
zone security DMZ 
Зонные пары создаются с помощью команды
zone-pair security NAME source FROM-ZONE destination TO-ZONE 
Пример: 
zone-pair security IN_OUT source IN destination OUT 
zone-pair security OUT_IN source OUT destination IN 
zone-pair security OUT_DMZ source OUT destination DMZ 
Определение классов трафика 
Class-map определяют трафик который выбирает межсетевой экран для применения 
политики безопасности. Трафик может быть отсортирован по следующим критериям, 
которые могут быть указаны в команде match: 
access-group - стандартный, расширенный или именованный ACL который может 
фильтровать трафик на основании IP адреса-порта источника и приемника. Это 
единственный способ выделить трафик от конкретного источника к конкретному 
получателю. 
Protocol - это протоколы уровня 4 (TCP, UDP, ICMP), а также прикладные сервисы, такие как 
HTTP, SMTP, DNS, и т.д. Может быть указан любой известный или определяемый 
пользователем сервис. 
Class-map - подчиненный класс, который предоставляет дополнительные критерии 
соответствия может быть вложен в другой класс 
Not - определяет, что любой трафик, который не соответствует указанному сервису или 

протоколу или листу доступа будет выбран в данном class-map. 
Классовые карты инспекции могут быть двух типов: match-all и match-any. В первом случае, 
все условия match, которые заданы внутри класса, должны быть выполнены; во втором 
случае должно совпасть хотя бы одно условие. 
Критерии соответствия должны применяться в порядке от более конкретных к менее 
специфичным, если трафик соответствует нескольким критериям.
Например, рассмотрим следующую класс-карту 
class-map type inspect match-any my-test-cmap 
match protocol http 
match protocol tcp 
HTTP-трафик должен встретить сперва match protocol http, чтобы быть уверенным, что 
трафик обрабатывается HTTP инспекцией. Если же строчки в класс-карте поменять местами, 
то HTTP трафик попадет под match protocol tcp и такой трафик будет классифицирован как 
TCP трафик и будет инспектироваться в соответствие с возможностями инспекционного TCP 
движка.
Список поддерживаемых протоколов такой же как у технологии CBAC. Однако, в противовес 
классическим классовым картам, когда вы вводите команду match protocol, вы не включаете 
процесс NBAR – скорее протокол для инспекции будет выбран когда карта политики будет 
применена к зонной паре 
Примеры class-map: 
class-map type inspect match-any OUT_protocols 
match protocol http 
match protocol ssh 
match protocol telnet 
! 
class-map type inspect match-all IN_to_DMZ_SSH 
match access-group name IN_TO_DMZ 
match protocol ssh 
! 
class-map type inspect OSPF 
match access-group name OSPF 
! 
class-map type inspect match-all IN_OUT 
match class-map OUT_protocols 
match access-group name IN_to_remote_OUT 
! 
Определение политик межсетевого экранирования 
Команда policy-map определяет действие, которое будет произведено с отфильтрованным с 
помощью команды class-map трафиком. Существует три основных действия, которые 
применимы к классифицированному трафику: 
Drop - Трафик обрабатываемый этим действием слепо отбрасывается и никакого 
уведомления на удаленных хост не высылается. В противоположность классическим листам 
доступа (ACL), когда высылается ICMP Host Unreachable. В настоящий момент нет 
возможности менять поведение действия Drop.
Помимо выше сказанного, каждая карта политик имеет скрытый класс class-default, для 

которого сконфигурировано действие “drop” (аналогично строке deny any any в любом списке 
доступа). 
Pass – Пропускает трафик не включая инспекцию протокола. Это действие позволяет 
маршрутизатору пересылать трафик из одной зоны в другую, при этом он не е отслеживает 
состояние соединений или сессий. Это действие разрешает прохождение трафика только в 
одном направлении. Чтобы обратный трафик пройти в обратном направлении, должна быть 
соответствующая политика для него. Это действие полезно для таких протоколов, как IPSec 
ESP, IPSec AH, ISAKMP и других по своей сути безопасных протоколов с предсказуемым 
поведением.
Inspect - Включает динамическую инспекцию для трафика, который проходит от зоны 
источника к зоне приемника и автоматически разрешает обратный трафик даже для сложны 
протоколов, таких как H323. Например, если трафик из зоны Private в зону Internet, 
маршрутизатор поддерживает информацию о соединениях или сеансах для TCP и UDP 
трафика. Поэтому маршрутизатор разрешает обратный трафик из зоны Internet в зону Private 
в качестве ответов на запросы соединений из Private в Internet. 
Примеры policy-map 
policy-map type inspect IN_OUT_policy 
class type inspect IN_OUT 
inspect 
! 
policy-map type inspect OUT_to_DMZ_policy 
class OUT_to_DMZ 
inspect 
! 
policy-map type inspect IN_to_SELF_policy 
class OSPF 
pass 
class IN_to_SELF 
inspect 
class class-default 
drop log 
! 
ZBF предлагает опцию логирования для трафика, который отбрасывается или 
инспектируется.
ZBF не поддерживает редактирование своих структур на лету, таких как policy-map, class-map 
и parameter-map. Для того, чтобы внести изменения в класс определяющий трафик или 
действие для классифицированного трафика необходимо скопировать существующую ZBF-
структуру команда в текстовый редактор, полностью удалить конфигурацию ZBF с 
маршрутизатора, сделать необходимые изменения в скопированной конфигурации и повторно 
залить на маршрутизатор.
Применение политик межсетевого экранирования 
Применение созданной политики межсетевого экранирования осуществляется командой 
service policy. Через нее мы привязываем policy-map к определенной паре зон в одном 
направлении. 
Для двух зон можно применить только одну service policy в одном направлении и, 

соответственно, одну в обратном направлении. Если действие с трафиком определено как 
inspect, то запросы будут контролироваться таким образом, что в обратную сторону будут 
разрешены ответы на эти запросы. Если действие определено как пропускать трафик, то 
контролироваться ничего не будет и ответы на этот трафик проходить не будут (если это не 
разрешено политикой между зонами в обратную сторону).
Примеры: 
zone-pair security IN_OUT source IN destination OUT 
service-policy type inspect IN_OUT_policy 
! 
zone-pair security IN_DMZ source IN destination DMZ 
service-policy type inspect IN_to_DMZ_policy 
Политика Self-зоны маршрутизатора 
Политики, которые могут быть применены относительно self-зоны маршрутизатора имеют 
некоторые ограничения.
Во-первых, динамическая инспекция для трафика, который сгенерирован самим 
маршрутизатором, ограничена протоколами TCP, UDP, ICMP и H323. Инспекция протоколов 
на уровне приложений (HTTP, TELNET и пр.) не поддерживается.
Во-вторых, ограничение по количеству сессий и по полосе также не может быть 
сконфигурировано. Если вы используете, например, протоколы маршрутизации OSPF, EIGRP, 
то они должны быть явно разрешены – т.к. инспекция этих протоколов не поддерживается. 
Добавление интерфейсов в зону межсетевого экранирования 
Интерфейсы добавляются в зону командой zone-member security в настройках интерфейса 
маршрутизатора.
Пример: 
interface Ethernet0/0 
zone-member security PRIVATE 
Контрольные вопросы: 
1. Принцип работы технологии Zone-Based Firewall 
2. Описание процесса фильтрации трафика 

Министерство образования и науки Российской Федерации
федеральное государственное бюджетное образовательное учреждение высшего образования

Download 3.15 Mb.

Do'stlaringiz bilan baham: