Tweet
Lab – Zone Base Firewall
Lab 5 – Zone Base Firewall
Mô tả:
1. Cấu hình F0/0 nhận DHCP.
2. Cấu hình NAT
R1(config)#interface f0/0
R1(config-if)#ip nat outside
R1(config)#interface f0/1
R1(config-if)#ip address 192.168.1.1 255.255.255.0
R1(config-if)#ip nat inside
R1(config)#access-list 1 permit 192.168.1.0 0.0.0.255
R1(config)#ip nat inside source list 1 interface FastEthernet0/0 overload
3. Cấu hình R1 làm DHCP server cho mạng bên trong. Pool là 192.168.1.0/24. Default Gateway là 192.168.1.1, DNS là 8.8.8.8
R1(config)#ip dhcp pool LAN
R1(dhcp-config)#network 192.168.1.0 255.255.255.0
R1(dhcp-config)#default-router 192.168.1.1
R1(dhcp-config)#dns-server 8.8.8.8
4. Tạo ra 2 zone: PRIVATE, PUBLIC
R1(config)#zone security PRIVATE
R1(config)#zone security PUBLIC //gán interface vào zone
R1(config)#int fa0/0
R1(config-if)#zone-member security PUBLIC
R1(config-if)#int fa0/1
R1(config-if)#zone-member security PRIVATE
Kiểm tra lại cấu hình
R1#show zone security
zone self
Description: System Defined Zone
zone PRIVATE
Member Interfaces:
FastEthernet0/1
zone PUBLIC
Member Interfaces:
FastEthernet0/0
5. Cấu hình class-map có tên là ICMP. Áp dụng vào zone-pair PRIVATE-PUBLIC. Đảm bảo PC ping được 8.8.8.8.
R1(config)#zone-pair security PRI-PUB source PRIVATE destination PUBLIC
Khi tạo Zone thì từ PC không ping được 8.8.8.8 nữa. Do mặc định các traffic sẽ bị block.
Do đó phải cấu hình Policy cho phép traffic đi qua Router (Router hiện giờ đóng vai trò Firewall)
R1(config)#class-map type inspect ICMP
R1(config-cmap)#match protocol icmp
R1(config)#policy-map type inspect PRI-PUB
R1(config-pmap)#class type inspect ICMP
R1(config-pmap-c)#inspect //áp policy vào zone pair
R1(config)#zone-pair security PRI-PUB
R1(config-sec-zone-pair)#service-policy type inspect PRI-PUB
Ngay sau khi áp policy vào zone-pair, thực hiện ping thì traffic ICMP đã đi được từ zone PRIVATE sang zone PUBLIC.
6. Cấu hình class-map bao gồm TCP, UDP, ICMP sao cho PC đi được Internet.
Nhưng lúc này vẫn chỉ có traffic ICMP đi qua, PC chưa truy cập web được
R1(config)#class-map type inspect match-any WEB-ACCESS
R1(config-cmap)#match protocol tcp
R1(config-cmap)#match protocol udp
R1(config)#policy-map type inspect PRI-PUB
R1(config-pmap)#class type inspect WEB-ACCESS
R1(config-pmap)#inspect
Đến đây policy-map PRI-PUB đã áp vào zone-pair theo câu 6, nên không cần áp policy vào zone-pair nữa.
7. Cấu hình sau cho HTTP, HTTPS traffic bị khống chế ở 8000bps.
Test kiểm tra truy cập Youtube xem Video được.
Thực hiện cấu hình:
R1(config)#class-map type inspect match-any RESTRICT_TRAFFIC
R1(config-cmap)#match protocol http
R1(config-cmap)#match protocol https
R1(config)#policy-map type inspect PRI-PUB
R1(config-pmap)#class type inspect RESTRICT_TRAFFIC
R1(config-pmap-c)#inspect
R1(config-pmap-c)#police rate 8000 burst 1000
Test lại truy cập Youtube chậm.
8. Cấu hình khống chế HTTP ở tối đa 5 sessions.
R2(config)#parameter-map type inspect RESTRICT_SESSION
R2(config-profile)#sessions maximum 5
R2(config)#policy-map type inspect PRI-PUB
R2(config-pmap)#class type inspect WEB-ACCESS
R2(config-pmap-c)#inspect RESTRICT_SESSION
Mở trình duyệt web, truy cập Internet, quá 5 sessions trên Router sẽ xuất hiện thông báo:
R1#
*Mar 1 00:25:43.119: %FW-4-SESSIONS_MAXIMUM:Number of sessions for the firewall policy on (target:class)-(PRI-PUB:WEB-ACCESS): exceeds the configured sessions maximun value 5
Mô tả:
- Bài Lab này được dựng trên Lab ảo hoá sử dụng các IOL Router L3-ADVENTERPRISEK9-M-15.4-2T, qemu win-7-x86-IPCC
- Địa chỉ IP:
- Yêu cầu cấu hình NAT để mạng 192.168.1.0/24 truy cập được Internet.
- Cấu hình R1 làm DHCP server cho mạng bên trong. Pool là 192.168.1.0/24. Default Gateway là 192.168.1.1, DNS là 8.8.8.8
- Tạo ra 2 zone: PRIVATE, PUBLIC
- Cấu hình class-map có tên là ICMP. Áp dụng vào zone-pair PRIVATE-PUBLIC. Đảm bảo PC ping được 8.8.8.8.
- Cấu hình class-map bao gồm TCP, UDP, ICMP sao cho PC đi được Internet.
- Cấu hình sau cho HTTP, HTTPS traffic bị khống chế ở 8000bps.
- Cấu hình khống chế HTTP ở tối đa 5 sessions.
1. Cấu hình F0/0 nhận DHCP.
| R1(config)#interface f0/0 R1(config-if)#ip address dhcp |
R1(config)#interface f0/0
R1(config-if)#ip nat outside
R1(config)#interface f0/1
R1(config-if)#ip address 192.168.1.1 255.255.255.0
R1(config-if)#ip nat inside
R1(config)#access-list 1 permit 192.168.1.0 0.0.0.255
R1(config)#ip nat inside source list 1 interface FastEthernet0/0 overload
3. Cấu hình R1 làm DHCP server cho mạng bên trong. Pool là 192.168.1.0/24. Default Gateway là 192.168.1.1, DNS là 8.8.8.8
R1(config)#ip dhcp pool LAN
R1(dhcp-config)#network 192.168.1.0 255.255.255.0
R1(dhcp-config)#default-router 192.168.1.1
R1(dhcp-config)#dns-server 8.8.8.8
4. Tạo ra 2 zone: PRIVATE, PUBLIC
R1(config)#zone security PRIVATE
R1(config)#zone security PUBLIC //gán interface vào zone
R1(config)#int fa0/0
R1(config-if)#zone-member security PUBLIC
R1(config-if)#int fa0/1
R1(config-if)#zone-member security PRIVATE
Kiểm tra lại cấu hình
R1#show zone security
zone self
Description: System Defined Zone
zone PRIVATE
Member Interfaces:
FastEthernet0/1
zone PUBLIC
Member Interfaces:
FastEthernet0/0
5. Cấu hình class-map có tên là ICMP. Áp dụng vào zone-pair PRIVATE-PUBLIC. Đảm bảo PC ping được 8.8.8.8.
R1(config)#zone-pair security PRI-PUB source PRIVATE destination PUBLIC
Khi tạo Zone thì từ PC không ping được 8.8.8.8 nữa. Do mặc định các traffic sẽ bị block.
Do đó phải cấu hình Policy cho phép traffic đi qua Router (Router hiện giờ đóng vai trò Firewall)
R1(config)#class-map type inspect ICMP
R1(config-cmap)#match protocol icmp
R1(config)#policy-map type inspect PRI-PUB
R1(config-pmap)#class type inspect ICMP
R1(config-pmap-c)#inspect //áp policy vào zone pair
R1(config)#zone-pair security PRI-PUB
R1(config-sec-zone-pair)#service-policy type inspect PRI-PUB
Ngay sau khi áp policy vào zone-pair, thực hiện ping thì traffic ICMP đã đi được từ zone PRIVATE sang zone PUBLIC.
6. Cấu hình class-map bao gồm TCP, UDP, ICMP sao cho PC đi được Internet.
Nhưng lúc này vẫn chỉ có traffic ICMP đi qua, PC chưa truy cập web được
R1(config)#class-map type inspect match-any WEB-ACCESS
R1(config-cmap)#match protocol tcp
R1(config-cmap)#match protocol udp
R1(config)#policy-map type inspect PRI-PUB
R1(config-pmap)#class type inspect WEB-ACCESS
R1(config-pmap)#inspect
Đến đây policy-map PRI-PUB đã áp vào zone-pair theo câu 6, nên không cần áp policy vào zone-pair nữa.
7. Cấu hình sau cho HTTP, HTTPS traffic bị khống chế ở 8000bps.
Test kiểm tra truy cập Youtube xem Video được.
Thực hiện cấu hình:
R1(config)#class-map type inspect match-any RESTRICT_TRAFFIC
R1(config-cmap)#match protocol http
R1(config-cmap)#match protocol https
R1(config)#policy-map type inspect PRI-PUB
R1(config-pmap)#class type inspect RESTRICT_TRAFFIC
R1(config-pmap-c)#inspect
R1(config-pmap-c)#police rate 8000 burst 1000
Test lại truy cập Youtube chậm.
8. Cấu hình khống chế HTTP ở tối đa 5 sessions.
R2(config)#parameter-map type inspect RESTRICT_SESSION
R2(config-profile)#sessions maximum 5
R2(config)#policy-map type inspect PRI-PUB
R2(config-pmap)#class type inspect WEB-ACCESS
R2(config-pmap-c)#inspect RESTRICT_SESSION
Mở trình duyệt web, truy cập Internet, quá 5 sessions trên Router sẽ xuất hiện thông báo:
R1#
*Mar 1 00:25:43.119: %FW-4-SESSIONS_MAXIMUM:Number of sessions for the firewall policy on (target:class)-(PRI-PUB:WEB-ACCESS): exceeds the configured sessions maximun value 5