cbac-2

راه اندازی فایروال روی روترهای سیسکو به روش CBAC

راه اندازی فایروال روی روترهای سیسکو به دو روش انجام می شود:

  • CBAC – Context Based Access Control
  • Zone Based Firewall

در آموزش های قبلی روش Zone Based Firewall را به شما آموزش داده بودیم حال می خواهیم با یک سناریو به بررسی CBAC بپردازیم.

در این سناریو می خواهیم به روش statefull کاری کنیم ترافیکی که ما تعیین می کنیم اگر رفت بیرون (outside) بتواند بر گردد داخل (inside) ولی از بیرون کلا هیچ ترافیکی وارد نشود.

CBAC

ابتدا به اینترفیس ها IP می دهیم و روی R2و R3 یک خط Route می نویسیم تا Ping بین آنها برقرار باشد.

R2(config)#ip route 12.1.1.0 255.255.255.0 s1/0
R3(config)#ip route 13.1.1.0 255.255.255.0 s1/0

روی روتر فایروال می زنیم :

ابتدا یک access list می نویسیم و از سمت بیرون همه را deny می کنیم.

R1(config)#ip access-list extended RETURN

Mode عوض می شود :

R1(config-ext-nacl)#deny ip any any

حالا به اینترفیس سمت outside اعمال می کنیم:

R1(config)#int s1/1
R1(config-if)#ip access-group RETURN in

الان نه می توانیم Ping کنیم و نه telnet بزنیم.

cbac-11

حالا برای اینکه ترافیک های مجاز را مشخص کنیم یک access lsit دیگر می نویسیم:

در اینجا ما می خواهیم Telnetو ICMP را مجاز کنیم.

R1(config)#ip access-list extended TELNET-ICMP
R1(config-ext-nacl)#permit tcp any any eq 23
R1(config-ext-nacl)#permit icmp any any

این بار به اینترفیس Inside اعمال می کنیم.

R1(config)#Int s1/0
R1(config-if)#ip access-group TELNET-ICMP in

الان باز هم نه Ping داریم نه telnet چون باید ترافیک هایی را که می خواهیم state اش را نگه داریم در جدول STATEFULL TABLE ، inspect  کنیم.

R1(config)#ip inspect name INSPECT1 telnet audit-trail on
R1(config)#ip inspect name INSPECT1 icmp audit-trail on

به اینترفیس inside اعمالش می کنیم:

R1(config)#int s1/0
R1(config-if)#ip inspect INSPECT1 in

از این به بعد ترافیک های icmp و telnet را وضعیتشان را نگه می دارد.

دوباره از R2 Ping میکنیم و telnet می زنیم میبینیم که این بار می توانیم.

راه اندازی فایروال روی روترهای سیسکو به روش CBAC 3

بعد از اینکه telnet  زدیم می توانیم با دستور زیر log اش را هم ببینیم.

R1#show ip inspect sessions detail

راه اندازی فایروال روی روترهای سیسکو به روش CBAC 5

همچنین از طریق لینک زیر می توانید در کانال تلگرام ما عضو شوید :)

راه اندازی فایروال روی روترهای سیسکو به روش CBAC netspot netsp0t

نظرات