форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (Безопасность)
Изначальное сообщение		[ Отслеживать ]

"Zone Based Firewall"	+/–
Сообщение от Михаил (??) on 30-Дек-10, 15:40
Доброго всем и с наступающим. Разбираюсь с ZBFW-лом.. Задача: дать Инет и почту. Подскажите что не так в алгоритме настройки. 1.  зоны безопасности zone security inside description LAN zone security outside description Internet 2. интерфейсы в зоны interface Dialer 0 (WAN)   zone-member security outside interface Vlan 1 (LAN)   zone-member security inside 3.определеним протоколы по которым  разрешен доступ в  интернет, class-map type inspect match-all insideclacc      match protocol smtp      match protocol pop3      match protocol http      match protocol dns class-map type inspect match-all outsideclass   match protocol smtp      match protocol pop3      match protocol http      match protocol dns 4. создание политики policy-map type inspect inpolicy     class type inspect   insideclacc      inspect policy-map type inspect outpolicy   class type inspect outsideclass   inspect 5.создаем цепочку inside -> outside zone-pair security in-out source inside destination outside service-policy type inspect inpolicy zone-pair security out-in source outside destination inside   service-policy type inspect outpolicy
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Zone Based Firewall"	+/–
Сообщение от aZL on 30-Дек-10, 16:42
Не едет? Навскидку: вместо match-all - match any А вообще, покурите Zone-Based Policy Firewall Release 12.4(6)T Technical Discussion, там весьма всё четко расписано.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Zone Based Firewall"	+/–
	Сообщение от Aleks305 (ok) on 30-Дек-10, 16:54
	> Не едет? > Навскидку: вместо match-all - match any > А вообще, покурите Zone-Based Policy Firewall Release 12.4(6)T Technical Discussion, там > весьма всё четко расписано. ИЗ ИНЕТА в Lan должно быть все запрещено. Смело удаляйте второй class-map. Первая политика у Вас будет мониторить соединения, записывать их в специальную таблицу, поэтому трафик инициированный запросами из LAN будет беспрепятственно возвращаться. Можно более гибко настроить период ожидания ответа на запросы.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Zone Based Firewall"	+/–
	Сообщение от Михаил (??) on 31-Дек-10, 09:28
	> Не едет? > Навскидку: вместо match-all - match any > А вообще, покурите Zone-Based Policy Firewall Release 12.4(6)T Technical Discussion, там > весьма всё четко расписано. Да, спасибо...Разбираюсь...Правда там мануал с опечатками...Вот сделал как описано, все работает. 1. Определим зоны безопасности ----------------------------------------------    zone security out-zone    zone security in-zone 2. Определим интерфейсы в зоны ---------------------------------------------- interface Vlan 1     zone-member security in-zone   interface Dialer 0     zone-member security out-zone ---------------------------------------------- 3.Определеним протоколы по которым  разрешен доступ в  интернет class-map type inspect match-any insp-traffic          match protocol icmp          match protocol smtp          match protocol pop3 ---------------------------------------------- 4. Создадим политику policy-map type inspect mypolicy    class type inspect insp-traffic    inspect ---------------------------------------------- 5.Создадим цепочку правил inside -> outside zone-pair security in-out source in-zone dest out-zone   service-policy type inspect mypolicy
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема