Bài viết sưu tầm
Sơ đồ:
Lưu ý: Dùng GNS3 để thực hiện Lab này.
Mô tả:
Cisco IOS Firewall hay CBAC (Context-Based Access Control) truyền thống được triển khai theo cổng dựa vào khả năng giám sát (inspect) trạng thái của giao thức. Tất cả luồng dữ liệu vào ra trên cổng sẽ nhận cùng chính sách giám sát. Mô hình này có những hạn chế:
-
Không thể phân loại cho việc giám sát lưu lượng dữ liệu theo địa chỉ hay theo mạng.
-
Sử dụng kết hợp với ACL nên rất phức tạp trong việc xác định luồng dữ liệu cho phép hay bị từ chối truy cập.
-
Sự mở rộng cao khi môi trường hiện nay cần thực hiện bảo mật theo vùng như: Vùng tin cậy, vùng không tin cậy …
Với Zone-Based cho phép bạn có thể khắc phục những nhược điểm đó, với việc sử dụng khái niệm Zone (vùng), bạn có thể định nghĩa vùng với những chính sách khác nhau phụ thuộc vào việc trao đổi dữ liệu giữa các vùng một cách linh động. Trong vùng có thể có 1 hoặc nhiều cổng, mặc định giữa các vùng không cho phép truy cập lẫn nhau (ngoại trừ cùng vùng), do đó bạn giảm áp lực trong việc sử dụng ACL. Ngoài ra tính linh động cofnt hể hiện ở việc sử dụng MQC (Module QoS Command), bạn có thể phân loại theo địa chỉ, mạng, giao thức, ứng dụng dựa theo class-map và áp dụng hành động inspect, drop, pass cho những class-map này tùy thuộc vào chính sách xác định.
Thực hiện Zone-Based với yêu cầu:
-
Tạo 2 vùng PRIVATE thuộc mạng 192.168.1.0/24 & vùng PUBLIC.
-
Cho phép vùng PRIVATE có thể sử dụng một số dịch vụ với TCP, UDP, và ICMP.
-
Hạn chế việc truy cập vào vùng PRIVATE từ vùng PUBLIC.
Cấu hình:
Bước 1. Tạo 2 vùng PUCLIC & PRIVATE
GATEWAY(config)# zone security PUBLIC
GATEWAY(config-sec-zone)# exit
GATEWAY(config)# zone security PRIVATE
GATEWAY(config-sec-zone)# exit
Bước 2. Gán cổng vào vùng
GATEWAY(config)# interface f0/1
GATEWAY(config-if)# zone-member security PRIVATE
GATEWAY(config-if)# exit
GATEWAY(config)# interface f0/0
GATEWAY(config-if)# zone-member security PUBLIC
GATEWAY(config-if)# exit
Bước 3. Định nghĩa Class-map
GATEWAY(config)# class-map type inspect match-any POLICY
GATEWAY(config-cmap)# match protocol tcp
GATEWAY(config-cmap)# match protocol udp
GATEWAY(config-cmap)# match protocol icmp
Bước 4. Định nghĩa policy-map
GATEWAY(config)# policy-map type inspect POLICY
GATEWAY(config-pmap)# class type inspect POLICY
GATEWAY(config-pmap-c)# inspect
Bước 5. Gán chính sách lên 2 vùng (gói tin sẽ được “inspect” từ vùng PRIVATE khi đi ra vùng PUCLIC)
GATEWAY(config)# zone-pair security ZONE source PRIVATE destination PUBLIC
GATEWAY(config-sec-zone-pair)# service-policy type inspect POLICY
» Tin mới nhất:
- Ứng dụng ngăn xếp trong việc chuyển biểu thức trung tố sang hậu tố (18/11/2024)
- Tìm hiểu về FIREWALL (18/11/2024)
- Hướng dẫn khác phục lỗi VPCS không PING ra được Internet (17/11/2024)
- White-Box Testing - Phần 3 (17/11/2024)
- Các hàm xử lý list trong Python (17/11/2024)
» Các tin khác:
- Phương pháp tìm kiếm nhị phân mở rộng (17/06/2019)
- Phương pháp tìm kiếm nhị phân (17/06/2019)
- Kỹ thuật lập trình CGI trong Python (tt) (17/06/2019)
- Kỹ thuật lập trình CGI trong Python (17/06/2019)
- Lệnh xem lịch trong LINUX. (17/06/2019)
- Lệnh Man trong LINUX. (17/06/2019)
- Các tính năng bao hàm trong đăng ký sử dụng DB2 Express-C (08/06/2019)
- Một số phần mềm miễn phí của DB2 Express-C (08/06/2019)
- Lớp, phương thức hằng (tt) (18/05/2019)
- Lớp, phương thức hằng (18/05/2019)
