Sơ đồ:

Lưu ý: Dùng GNS3 để thực hiện Lab này.

Mô tả:

Cisco IOS Firewall hay CBAC (Context-Based Access Control) truyền thống được triển khai theo cổng dựa vào khả năng giám sát (inspect) trạng thái của giao thức. Tất cả luồng dữ liệu vào ra trên cổng sẽ nhận cùng chính sách giám sát. Mô hình này có những hạn chế:

• Không thể phân loại cho việc giám sát lưu lượng dữ liệu theo địa chỉ hay theo mạng.

• Sử dụng kết hợp với ACL nên rất phức tạp trong việc xác định luồng dữ liệu cho phép hay bị từ chối truy cập.

• Sự mở rộng cao khi môi trường hiện nay cần thực hiện bảo mật theo vùng như: Vùng tin cậy, vùng không tin cậy …

Với Zone-Based cho phép bạn có thể khắc phục những nhược điểm đó, với việc sử dụng khái niệm Zone (vùng), bạn có thể định nghĩa vùng với những chính sách khác nhau phụ thuộc vào việc trao đổi dữ liệu giữa các vùng một cách linh động. Trong vùng có thể có 1 hoặc nhiều cổng, mặc định giữa các vùng không cho phép truy cập lẫn nhau (ngoại trừ cùng vùng), do đó bạn giảm áp lực trong việc sử dụng ACL. Ngoài ra tính linh động cofnt hể hiện ở việc sử dụng MQC (Module QoS Command), bạn có thể phân loại theo địa chỉ, mạng, giao thức, ứng dụng dựa theo class-map và áp dụng hành động inspect, drop, pass cho những class-map này tùy thuộc vào chính sách xác định.

Thực hiện Zone-Based với yêu cầu:

• Tạo 2 vùng PRIVATE thuộc mạng 192.168.1.0/24 & vùng PUBLIC.

• Cho phép vùng PRIVATE có thể sử dụng một số dịch vụ với TCP, UDP, và ICMP.

• Hạn chế việc truy cập vào vùng PRIVATE từ vùng PUBLIC.

Cấu hình:

Bước 1. Tạo 2 vùng PUCLIC & PRIVATE

GATEWAY(config)# zone security PUBLIC

GATEWAY(config-sec-zone)# exit

GATEWAY(config)# zone security PRIVATE

GATEWAY(config-sec-zone)# exit

Bước 2. Gán cổng vào vùng

GATEWAY(config)# interface f0/1

GATEWAY(config-if)# zone-member security PRIVATE

GATEWAY(config-if)# exit

GATEWAY(config)# interface f0/0

GATEWAY(config-if)# zone-member security PUBLIC

GATEWAY(config-if)# exit

Bước 3. Định nghĩa Class-map

GATEWAY(config)# class-map type inspect match-any POLICY

GATEWAY(config-cmap)# match protocol tcp

GATEWAY(config-cmap)# match protocol udp

GATEWAY(config-cmap)# match protocol icmp

Bước 4. Định nghĩa policy-map

GATEWAY(config)# policy-map type inspect POLICY

GATEWAY(config-pmap)# class type inspect POLICY

GATEWAY(config-pmap-c)# inspect

Bước 5. Gán chính sách lên 2 vùng (gói tin sẽ được “inspect” từ vùng PRIVATE khi đi ra vùng PUCLIC)

GATEWAY(config)# zone-pair security ZONE source PRIVATE destination PUBLIC

GATEWAY(config-sec-zone-pair)# service-policy type inspect POLICY