История страницы

...

Шаг	Описание	Команда	Ключи
1	Задать глобальное значение кода DSCP для использования в IP-заголовках исходящих пакетов RADIUS-сервера (не обязательно).	esr(config)# radius-server dscp <DSCP>	<DSCP> – значение кода DSCP, принимает значения в диапазоне [0..63]. Значение по умолчанию: 63.
2	Задать глобальное значение количества перезапросов к последнему активному RADIUS-серверу (не обязательно).	esr(config)# radius-server retransmit <COUNT>	<COUNT> – количество перезапросов к RADIUS-серверу, принимает значения [1..10]. Значение по умолчанию: 1.
3	Задать глобальное значение интервала, по истечении которого маршрутизатор считает, что RADIUS-сервер недоступен (не обязательно).	esr(config)# radius-server timeout <SEC>	<SEC> – период времени в секундах, принимает значения [1..30]. Значение по умолчанию: 3 секунды.
4	Добавить RADIUS-сервер в список используемых серверов и перейти в режим его конфигурирования.	esr(config)# radius-server host { <IP-ADDR> \| <IPV6-ADDR> } [ vrf <VRF> ] esr(config-radius-server)#	<IP-ADDR> – IP-адрес RADIUS-сервера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]; <IPV6-ADDR> – IPv6-адрес RADIUS-сервера, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF] <VRF> – имя экземпляра VRF, задается строкой до 31 символа.
5	Указать количество неудачных попыток аутентификации для блокировки логина пользователя и времени блокировки (не обязательно).	aaa authentication attempts max-fail <COUNT> <TIME>	<COUNT> – количество неудачных попыток аутентификации, после которых произойдет блокировка пользователя, принимает значения [1..65535]; <TIME> – интервал времени в секундах, на который будет заблокирован пользователь, принимает значения [1..65535]. Значение по умолчанию: <COUNT> – 5; <TIME> – 300.
6	Задать пароль для аутентификации на удаленном RADIUS-сервере.	esr(config-radius-server)# key ascii-text { <TEXT> \| encrypted <ENCRYPTED-TEXT> }	<TEXT> – строка [8..16] ASCII-символов; <ENCRYPTED-TEXT> – зашифрованный пароль, размером [8..16] байт, задаётся строкой [16..32] символов.
7	Задать приоритет использования удаленного RADIUS-сервера (не обязательно).	esr(config-radius-server)# priority <PRIORITY>	<PRIORITY> – приоритет использования удаленного сервера, принимает значения [1..65535]. Чем ниже значение, тем приоритетнее сервер. Значение по умолчанию: 1.
8	Задать интервал, по истечении которого маршрутизатор считает, что данный RADIUS-сервер недоступен (не обязательно).	esr(config-radius-server)# timeout <SEC>	<SEC> – период времени в секундах, принимает значения [1..30]. Значение по умолчанию: используется значение глобального таймера.
9	Задать IPv4/IPv6-адрес, который будет использоваться в качестве IPv4/IPv6-адреса источника в отправляемых RADIUS-пакетах.	esr(config-radius-server)# source-address { <ADDR> \| <IPV6-ADDR> }	<ADDR> – IP-адрес источника, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]; <IPV6-ADDR> – IPv6-адрес источника, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].
10	Задать интерфейс Задать интерфейс или туннель маршрутизатора, IPv4/IPv6-адрес которого будет использоваться в качестве IPv4/IPv6-адреса источника в отправляемых в отправляемых RADIUS-пакетах.	esr(config-radius-server)# source-interface { <IF> \| <TUN> }	<IF> – имя интерфейса устройства, задаётся в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора; <TUN> – имя туннеля устройства, задаётся в виде, описанном в разделе Типы и порядок именования туннелей маршрутизатора.
11	Указать radius в качестве метода аутентификации.	esr(config)# aaa authentication login { default \| <NAME> } <METHOD 1> [ <METHOD 2> ] [ <METHOD 3> ] [ <METHOD 4> ]	<NAME> – имя списка, задаётся строкой до 31 символа. Способы аутентификации: local – аутентификация с помощью локальной базы пользователей; tacacs – аутентификация по списку TACACS-серверов; radius – аутентификация по списку RADIUS-серверов; ldap – аутентификация по списку LDAP-серверов.
12	Указать radius в качестве способа аутентификации повышения привилегий пользователей.	esr(config)# aaa authentication enable <NAME><METHOD 1> [ <METHOD 2> ] [ <METHOD 3> ] [ <METHOD 4> ]	<NAME> – имя списка строка до 31 символа; default – имя списка по умолчанию. <METHOD> – способы аутентификации: enable – аутентификация с помощью enable-паролей; tacacs – аутентификация по протоколу TACACS; radius – аутентификация по протоколу RADIUS; ldap – аутентификация по протоколу LDAP.
13	Указать способ перебора методов аутентификации в случае отказа (не обязательно).	esr(config)# aaa authentication mode <MODE>	<MODE> – способы перебора методов: chain – если сервер вернул FAIL, переход к следующему в цепочке методу аутентификации; break – если сервер вернул FAIL, прекратить попытки аутентификации. Если сервер недоступен, продолжить попытки аутентификации следующими в цепочке методами. Значение по умолчанию: chain.
14	Сконфигурировать radius в списке способов учета сессий пользователей (не обязательно).	esr(config)# aaa accounting login start-stop <METHOD 1> [ <METHOD 2> ]	<METHOD> – способы учета: tacacs – учет сессий по протоколу TACACS; radius – учет сессий по протоколу RADIUS.
15	Перейти в режим конфигурирования соответствующего терминала.	esr(config)# line <TYPE>	<TYPE> – тип консоли: console – локальная консоль; ssh – защищенная удаленная консоль.
16	Активировать список аутентификации входа пользователей в систему.	esr(config-line-console)# login authentication <NAME>	<NAME> – имя списка, задаётся строкой до 31 символа. Создано на шаге 8.
17	Активировать список аутентификации повышения привилегий пользователей.	esr(config-line-console)# enable authentication <NAME>	<NAME> – имя списка, задаётся строкой до 31 символа. Создано на шаге 9.

...

Шаг	Описание	Команда	Ключи
1	Создать зоны безопасности.	esr(config)# security zone <zone-name1> esr(config)# security zone <zone-name2>	<zone-name> – до 12 символов. Имена all, any и self зарезервированы.
2	Задать описание зоны безопасности.	esr(config-zone)# description <description>	<description> – до 255 символов.
3	Указать экземпляр VRF, в котором будет работать данная зона безопасности (не обязательно).	esr(config- zone)# ip vrf forwarding <VRF>	<VRF> – имя VRF, задается строкой до 31 символа.
4	Включить счетчики сессий для NAT и Firewall (не обязательно, снижает производительность).	esr(config)# ip firewall sessions counters
5	Отключить фильтрацию пакетов, для которых не удалось определить принадлежность к какому-либо известному соединению и которые не являются началом нового соединения (не обязательно, снижает производительность).	esr(config)# ip firewall sessions allow-unknown
6	Выбрать режим работы межсетевого экрана (не обязательно) В режиме stateful проверяется только первый пакет сессии, и если «прямой» трафик разрешён, «ответный» трафик разрешается автоматически. В режиме stateless происходит проверка каждого пакета. «Прямой» и «ответный» трафик требуется разрешать в соответствующих zone-pair (см. шаг 29). Работа межсетевого экрана по списку приложений возможна только в режиме stateless.	esr(config)# ip firewall mode <MODE>	<MODE> – режим работы межсетевого экрана, может принимать значения: stateful, stateless. Значение по умолчанию: stateful
7	Определить время жизни сессии для неподдерживаемых протоколов (не обязательно).	esr(config)# ip firewall sessions generic-timeout <TIME>	<TIME> – время жизни сессии для неподдерживаемых протоколов, принимает значения в секундах [1..8553600]. По умолчанию: 60 секунд.
8	Определить время жизни ICMP-сессии, по истечении которого она считается устаревшей (не обязательно).	esr(config)# ip firewall sessions icmp-timeout <TIME>	<TIME> – время жизни ICMP-сессии, принимает значения в секундах [1..8553600]. По умолчанию: 30 секунд.
9	Определить время жизни ICMPv6-сессии, по истечении которого она считается устаревшей (не обязательно).	esr(config)# ip firewall sessions icmpv6-timeout <TIME>	<TIME> – время жизни ICMP-сессии, принимает значения в секундах [1..8553600]. По умолчанию: 30 секунд.
10	Определить размер таблицы сессий, ожидающих обработки (не обязательно).	esr(config)# ip firewall sessions max-expect <COUNT>	<COUNT> – размер таблицы, принимает значения [1..8553600]. По умолчанию: 256.
11	Определить размер таблицы отслеживаемых сессий (не обязательно).	esr(config)# ip firewall sessions max-tracking <COUNT>	<COUNT> – размер таблицы, принимает значения [1..8553600]. По умолчанию: 512000.
12	Определить время жизни TCP-сессии в состоянии «соединение устанавливается», по истечении которого она считается устаревшей (не обязательно).	esr(config)# ip firewall sessions tcp-connect-timeout <TIME>	<TIME> – время жизни TCP-сессии в состоянии "соединение устанавливается", принимает значения в секундах [1..8553600]. По умолчанию: 60 секунд.
13	Определить время жизни TCP-сессии в состоянии «соединение закрывается», по истечении которого она считается устаревшей (не обязательно).	esr(config)# ip firewall sessions tcp-disconnect-timeout <TIME>	<TIME> – время жизни TCP-сессии в состоянии "соединение закрывается", принимает значения в секундах [1..8553600]. По умолчанию: 30 секунд.
14	Определить время жизни TCP-сессии в состоянии «соединение установлено», по истечении которого она считается устаревшей (не обязательно).	esr(config)# ip firewall sessions tcp-established-timeout <TIME>	<TIME> – время жизни TCP-сессии в состоянии "соединение установлено", принимает значения в секундах [1..8553600]. По умолчанию: 120 секунд.
15	Определить время ожидания, по истечении которого происходит фактическое удаление закрытой TCP-сессии из таблицы отслеживаемых сессий (не обязательно).	esr(config)# ip firewall sessions tcp-latecome-timeout <TIME>	<TIME> – время ожидания, принимает значения в секундах [1..8553600]. По умолчанию: 120 секунд.
16	Включить функцию отслеживания сессий уровня приложений для отдельных протоколов (не обязательно).	esr(config)# ip firewall sessions tracking	<PROTOCOL> – протокол уровня приложений [ftp, h323, pptp, netbios-ns, tftp], сессии которого должны отслеживаться. <OBJECT-GROUP-SERVICE> – имя профиля TCP/UDP-портов sip-сессии, задаётся строкой до 31 символа. Если группа не указана, то отслеживание сессий sip будет осуществляться для порта 5060. Вместо имени отдельного протокола можно использовать ключ "all", который включает функцию отслеживания сессий уровня приложений для всех доступных протоколов. По умолчанию – отключено для всех протоколов.
17	Определить время жизни UDP-сессии в состоянии «соединение подтверждено», по истечении которого она считается устаревшей (не обязательно).	esr(config)# ip firewall sessions udp-assured-timeout <TIME>	<TIME> – время жизни UDP-сессии в состоянии «соединение подтверждено», принимает значения в секундах [1..8553600]. По умолчанию: 180 секунд.
18	Определить время жизни UDP-сессии в состоянии «соединение не подтверждено», по истечении которого она считается устаревшей.	esr(config)# ip firewall sessions udp-wait-timeout <TIME>	<TIME> – время жизни UDP-сессии в состоянии «соединение не подтверждено», принимает значения в секундах [1..8553600]. По умолчанию: 30 секунд.
19	Создать списки IP-адресов, которые будут использоваться при фильтрации.	esr(config)# object-group network <obj-group-name>	<obj-group-name> – до 31 символа.
20	Задать описание списка IP-адресов (не обязательно).	esr(config-object-group-network)# description <description>	<description> – описание профиля, задается строкой до 255 символов.
21	Внести необходимые IPv4/IPv6-адреса в список.	esr(config-object-group-network)# ip prefix <ADDR/LEN>	<ADDR/LEN> – подсеть, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32].
		esr(config-object-group-network)# ip address-range <FROM-ADDR>-<TO-ADDR>	<FROM-ADDR> – начальный IP-адрес диапазона адресов; <TO-ADDR> – конечный IP-адрес диапазона адресов, опциональный параметр. Если параметр не указан, то командой задаётся одиночный IP-адрес. Адреса задаются в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
		esr(config-object-group-network)# ipv6 prefix <IPV6-ADDR/LEN>	<IPV6-ADDR/LEN> – IP-адрес и маска подсети, задаётся в виде X:X:X:X::X/EE, где каждая часть X принимает значения в шестнадцатеричном формате [0..FFFF] и EE принимает значения [1..128].
		esr(config-object-group-network)# ipv6 address-range <FROM-ADDR>-<TO-ADDR>	<FROM-ADDR> – начальный IPv6-адрес диапазона адресов; <TO-ADDR> – конечный IPv6-адрес диапазона адресов, опциональный параметр. Если параметр не указан, то командой задаётся одиночный IPv6-адрес. Адреса задаются в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].
22	Создать списки сервисов, которые будут использоваться при фильтрации.	esr(config)# object-group service <obj-group-name>	<obj-group-name> – имя профиля сервисов, задается строкой до 31 символа.
23	Задать описание списка сервисов (не обязательно).	esr(config-object-group-service)# description <description>	<description> – описание профиля, задается строкой до 255 символов.
24	Внести необходимые сервисы (tcp/udp-порты) в список.	esr(config-object-group-service)# port-range <port>	<port> – принимает значение [1..65535]. Можно указать несколько портов перечислением через запятую «,» либо указать диапазон портов через «-».
25	Создать списки приложений, которые будут использоваться в механизме DPI.	esr(config)# object-group application <NAME>	<NAME> – имя профиля приложений, задается строкой до 31 символа.
26	Задать описание списка приложений (не обязательно).	esr(config-object-group-application)# description <description>	<description> – описание профиля, задается строкой до 255 символов.
27	Внести необходимые приложения в списки.	esr(config-object-group-application)# application < APPLICATION >	<APPLICATION> – указывает приложение, попадающее под действие данного профиля.
28	Включить интерфейсы (физические, логические, E1/Multilink и подключаемые), сервер удаленного доступа (l2tp, openvpn, pptp) или туннели (gre, ip4ip4, l2tp, lt, pppoe, pptp) в зоны безопасности (если необходимо).	esr(config-if-gi)# security-zone <zone-name>	<zone-name> – до 12 символов.
28	Отключить функции Firewall на сетевом интерфейсе (физические, логические, E1/Multilink и подключаемые), сервере удаленного доступа (l2tp, openvpn, pptp) или туннели (gre, ip4ip4, l2tp, lt, pppoe, pptp) (если необходимо)	esr(config-if-gi)# ip firewall disable
29	Создать набор правил межзонового взаимодействия. На маршрутизаторе всегда существует зона безопасности с именем «self». Если в качестве получателя трафика выступает сам маршрутизатор, то есть трафик не является транзитным, то в качестве параметра указывается зона «self». Очерёдность обработки трафика для разных zone-pair описана в примечании.	esr(config)# security zone-pair <src-zone-name1> <dst-zone-name2>	<src-zone-name> – до 12 символов. <dst-zone-name> – до 12 символов.
30	Создать правило межзонового взаимодействия.	esr(config-zone-pair)# rule <rule-number>	<rule-number> – 1..10000.
31	Задать описание правила (не обязательно).	esr(config-zone-rule)# description <description>	<description> – до 255 символов.
32	Указать действие данного правила.	esr(config-zone-rule)# action <action> [ log ]	<action> – permit/deny/reject/netflow-sample/sflow-sample/rate-limit/session-limit log – ключ для активации логирования сессий, устанавливающимися согласно данному правилу.
33	Установить имя или номер IP-протокола, для которого должно срабатывать правило (не обязательно).	esr(config-zone-rule)# match [not] protocol <protocol-type>	<protocol-type> – тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rdp, l2tp, gre. При указании значения «any» правило будет срабатывать для любых протоколов.
33		esr(config-zone-rule)# match [not] protocol-id <protocol-id>	<protocol-id> – идентификационный номер IP-протокола, принимает значения [0x00-0xFF].
34	Установить профиль IP-адресов отправителя, для которых должно срабатывать правило (не обязательно).	esr(config-zone-rule)# match [not] source-address <OBJ-GROUP-NETWORK-NAME>	<OBJ-GROUP-NETWORK-NAME> – имя профиля IP-адресов, задаётся строкой до 31 символа. При указании значения «any» правило будет срабатывать для любого IP-адреса отправителя/получателя.
35	Установить профиль IP-адресов получателя, для которых должно срабатывать правило (не обязательно).	esr(config-zone-rule)# match [not] destination-address <OBJ-GROUP-NETWORK-NAME>
36	Установить MAC-адрес отправителя, для которого должно срабатывать правило (не обязательно).	esr(config-zone-rule)# match [not] source-mac <mac-addr>	<mac-addr> – задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF].
37	Установить MAC-адрес получателя, для которого должно срабатывать правило (не обязательно).	esr(config-zone-rule)# match [not] destination-mac <mac-addr>
38	Установить профиль TCP/UDP-портов отправителя, для которых должно срабатывать правило (если указан протокол).	esr(config-zone-rule)# match [not] source-port <PORT-SET-NAME>	<PORT-SET-NAME> – задаётся строкой до 31 символа. При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта отправителя/получателя.
39	Установить профиль TCP/UDP-портов получателя, для которых должно срабатывать правило (если указан протокол).	esr(config-zone-rule)# match [not] destination-port <PORT-SET-NAME>
40	Установить тип и код сообщений протокола ICMP, для которых должно срабатывать правило (если в качестве протокола выбран ICMP) (не обязательно).	esr(config-zone-rule)# match [not] icmp <ICMP_TYPE> <ICMP_CODE>	<ICMP_TYPE> – тип сообщения протокола ICMP, принимает значения [0..255]; <ICMP_CODE> – код сообщения протокола ICMP, принимает значения [0..255]. При указании значения «any» правило будет срабатывать для любого кода сообщения протокола ICMP.
41	Установить ограничение, при котором правило будет срабатывать только для трафика, измененного сервисом трансляции IP-адресов и портов получателя.	esr(config-zone-rule)# match [not] destination-nat
42	Установить фильтрацию только для фрагментированных IP-пакетов (не обязательно, доступно только для zone-pair any self и zone-pair <zone-name> any).	esr(config-zone-pair-rule)# match [not] fragment
43	Установить фильтрацию для IP-пакетов, содержащих ip-option (не обязательно, доступно только для zone-pair any self и zone-pair <zone-name> any).	esr(config-zone-pair-rule)# match [not] ip-option
44	Включить правило межзонового взаимодействия.	esr(config-zone-rule)# enable
45	Активировать фильтрацию и режим отслеживания сессий при прохождении пакетов между участниками одной Bridge-группы (не обязательно, доступно только на ESR-1000/1200/1500/1511/1700 /3100).	esr(config-bridge)# ports firewall enable

Якорь

	Firewall_desc	Firewall_desc

¹ При использовании ключа not правило будет срабатывать для значений, которые не входят в указанный профиль.

Firewall_zonepair
	Firewall_zonepair

Очерёдность обработки трафика правилами firewall.
Порядок обработки транзитного трафика правилами firewall

Если трафик передаётся с одного интерфейса на другой в пределах одной зоны (src-zone-name), то он проверяется правилами zone-pair src-zone-name src-zone-name.
Если трафик не попал ни под одно из правил текущей zone-pair, переходим к следующему шагу.
Если трафик передаётся с одного интерфейса на другой в разных зонах, то он проверяется правилами zone-pair src-zone-name dst-zone-name.
Если трафик не попал ни под одно из правил текущей zone-pair, переходим к следующему шагу.
Трафик проверяется правилами zone-pair src-zone-name any.
Если трафик не попал ни под одно из правил текущей zone-pair, переходим к следующему шагу.
Трафик проверяется правилами zone-pair any any.
Если трафик не попал ни под одно из правил текущей zone-pair, он отбрасывается.

Scroll Pagebreak

Порядок обработки трафика, терминируемого на маршрутизаторе

...

Блок кода

esr(config)# object-group network WAN
esr(config-object-group-network)# ip address-range 192.168.23.2
esr(config-object-group-network)# exit
esr(config)# object-group network LAN
esr(config-object-group-network)# ip address-range 192.168.12.2
esr(config-object-group-network)# exit
esr(config)# object-group network LAN_GATEWAY
esr(config-object-group-network)# ip address-range 192.168.12.1
esr(config-object-group-network)# exit
esr(config)# object-group network WAN_GATEWAY
esr(config-object-group-network)# ip address-range 192.168.23.3
esr(config-object-group-network)# exit

Scroll Pagebreak

Для пропуска трафика из зоны «LAN» в зону «WAN» создадим пару зон и добавим правило, разрешающее проходить ICMP-трафику от R1 к R2. Действие правил разрешается командой enable:

...

Блок кода

esr(config)# security zone-pair WAN self
esr(config-zone-pair)# rule 1
esr(config-zone-pair-rule)# action permit
esr(config-zone-pair-rule)# match protocol icmp
esr(config-zone-pair-rule)# match destination-address WAN
esr(config-zone-pair-rule)# match source-address WAN_GATEWAY
esr(config-zone-pair-rule)# enable
esr(config-zone-pair-rule)# exit
esr(config-zone-pair)# exit

Scroll Pagebreak

Создадим пару зон для трафика, идущего из зоны «LAN» в зону «self». Добавим правило, разрешающее проходить ICMP-трафику между R1 и ESR, для того чтобы маршрутизатор начал отвечать на ICMP-запросы из зоны «LAN»:

...

Блок кода
esr# show ip firewall sessions

Scroll Pagebreak

Настройка списков доступа (ACL)

...

Шаг	Описание	Команда	Ключи
1	Создать список контроля доступа и перейти в режим его конфигурирования.	esr(config)# ip access-list extended <NAME>	<NAME> – имя создаваемого списка контроля доступа, задаётся строкой до 31 символа.
2	Указать описание конфигурируемого списка контроля доступа (не обязательно).	esr(config-acl)# description <DESCRIPTION>	<DESCRIPTION> – описание списка контроля доступа, задаётся строкой до 255 символов.
3	Создать правило и перейти в режим его конфигурирования. Правила обрабатываются маршрутизатором в порядке возрастания их номеров.	esr(config-acl)# rule <ORDER>	<ORDER> – номер правила, принимает значения [1..4094].
4	Указать действие, которое должно быть применено для трафика, удовлетворяющего заданным критериям.	esr(config-acl-rule)# action <ACT>	<ACT> – назначаемое действие: permit – прохождение трафика разрешается; deny – прохождение трафика запрещается.
5	Установить имя/номер протокола, для которого должно срабатывать правило (не обязательно).	esr(config-acl-rule)# match protocol <TYPE>	<TYPE> – тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rdp, l2tp, gre. При указании значения «any» правило будет срабатывать для любых протоколов.
5		esr(config-acl-rule)# match protocol-id <ID>	<ID> – идентификационный номер IP-протокола, принимает значения [0x00-0xFF].
6	Установить IP-адреса отправителя, для которых должно срабатывать правило (не обязательно).	esr(config-acl-rule)# match source-address { <ADDR> <MASK> \| any }	<ADDR> – IP-адрес отправителя, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]; <MASK> – маска IP-адреса, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]. Биты маски, установленные в 0, задают биты IP-адреса, исключаемые из сравнения при поиске. При указании значения «any» правило будет срабатывать для любого IP-адреса отправителя/получателя.
7	Установить IP-адреса получателя, для которых должно срабатывать правило (не обязательно).	esr(config-acl-rule)# match destination-address { <ADDR> <MASK> \| any }
8	Установить MAC-адреса отправителя, для которых должно срабатывать правило (не обязательно).	esr(config-acl-rule)# match source-mac <ADDR><WILDCARD>	<ADDR> – МАС-адрес отправителя, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF]; <WILDCARD> – маска МАС-адреса, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF]. Биты маски, установленные в 0, задают биты MAC-адреса, исключаемые из сравнения при поиске.
9	Установить MAC-адреса получателя, для которых должно срабатывать правило (не обязательно).	esr(config-acl-rule)# match destination-mac <ADDR><WILDCARD>
10	Установить номер TCP/UDP-порта отправителя, для которого должно срабатывать правило (если указан протокол).	esr(config-acl-rule)# match source-port { <PORT> \| any }	<PORT> – номер TCP/UDP-порта отправителя, принимает значения [1..65535]. При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта отправителя.
11	Установить номер TCP/UDP-порта получателя, для которого должно срабатывать правило (если указан протокол).	esr(config-acl-rule)# match destination-port { <PORT> \| any }
12	Установить значение 802.1p приоритета, для которого должно срабатывать правило (не обязательно).	esr(config-acl-rule)# match с os сos <COS>	<COS> – значение 802.1p приоритета, принимает значения [0..7].
13	Установить значение кода DSCP, для которого должно срабатывать правило (не обязательно). Невозможно использовать совместно с IP Precedence.	esr(config-acl-rule)# match dscp <DSCP>	<DSCP> – значение кода DSCP, принимает значения [0..63].
14	Установить значение кода IP Precedence, для которого должно срабатывать правило (не обязательно). Невозможно использовать совместно с DSCP.	esr(config-acl-rule)# match ip-precedence <IPP>	<IPP> – значение кода IP Precedence, принимает значения [0..7].
15	Установить значение идентификационного номера VLAN, для которого должно срабатывать правило (не обязательно).	esr(config-acl-rule)# match vlan <VID>	<VID> – идентификационный номер VLAN, принимает значения [1..4094].
16	Активировать правило.	esr(config-acl-rule)# enable
17	Указать список контроля доступа к конфигурируемому интерфейсу для фильтрации входящего трафика.	esr(config-if-gi)# service-acl input <NAME>	<NAME> – имя списка контроля доступа, задаётся строкой до 31 символа.

...

Блок кода

esr# configure
esr(config)# ip access-list extended white
esr(config-acl)# rule 1
esr(config-acl-rule)# action permit 
esr(config-acl-rule)# match source-address 192.168.20.0 255.255.255.0
esr(config-acl-rule)# enable 
esr(config-acl-rule)# exit
esr(config-acl)# exit

Scroll Pagebreak

Применим список доступа на интерфейс Gi1/0/19 для входящего трафика:

...

Шаг	Описание	Команда	Ключи
1	Задать имя внешнего хранилища скачиваемых правил (не обязательно).	esr(config-ips)# storage-path { usb://<USB-NAME>:/ \| mmc://<MMC-NAME>:/ }	<USB-NAME> – имя подключенного USB-носителя. Имя можно узнать в выводе команды show storage-devices usb; <MMC-NAME> – имя подключенного MMC-носителя. Имя можно узнать в выводе команды show storage-devices mmc. Для использования с системой IPS/IDS на внешнем носителе должен быть создан раздел файловой системы в формате exFAT.
2	Перейти в режим конфигурирования автообновлений.	esr(config-ips)# auto-upgrade
3	Задать имя и перейти в режим конфигурирования пользовательского сервера обновлений.	esr(config-ips-auto-upgrade)# user-server <WORD>	<WORD> – имя сервера, задаётся строкой до 32 символов.
4	Задать описание пользовательского сервера обновлений (не обязательно).	esr(config-ips-upgrade-user-server)# description <DESCRIPTION>	<DESCRIPTION> – описание задаётся строкой до 255 символов.
5	Задать URL.	esr(config-ips-upgrade-user-server)# url <URL>	<URL> – текстовое поле, содержащее URL-ссылку длинной длиной от 8 до 255 символов. В качестве URL-ссылки может быть указан: файл правил с расширение .rule; файл классификатора правил с именем classification.config; каталог на сервере содержащий файлы правил и/или файл классификатора правил.
6	Задать частоту проверки обновлений (не обязательно).	esr(config-ips-upgrade-user-server)# upgrade interval <HOURS>	<HOURS> – интервал обновлений в часах, от 1 до 240. Значение по умолчанию: 24 часа.
7	Активизировать пользовательский сервер обновлений.	esr(config-ips-upgrade-user-server)# enable

...

Предупреждение

Для правил IPS/IDS, загружаемых из внешних источников, на маршрутизаторах ESR выделена отдельная область энергозависимой памяти.

Размер этой области зависит от модели ESR:

ESR-1X – 25 МБ;
ESR-2X – 50 МБ;

Для всех остальных моделей – 100 МБ.

Если настроить слишком много источников правил или загружать правила, превышающие указанные лимиты, то маршрутизатор будет выдавать сообщения об ошибке %STORAGE_IPS_MGR-I-ERR: There no free space in rules directory.
В этом случае стоит уменьшить объем запрашиваемых правил или использовать внешнее хранилище.

Scroll Pagebreak

Рекомендуемые открытые источники обновления правил

...

Блок кода
interface gigabitethernet 1/0/1 service-ips enable exit

Scroll Pagebreak

Настроить политику безопасности:

...

Шаг	Описание	Команда	Ключи
1	Определить IP-адрес DNS-сервера, используемого для разрешения DNS-имен.	esr(config)# domain name-server <IP>	<IP> – IP-адрес используемого DNS-сервера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
2	Включить разрешение DNS-имен на устройстве.	esr(config)# domain lookup enable
3	Создать политику безопасности IPS/IDS.	esr(config)# security ips policy <NAME>	<NAME> – имя политики безопасности, задаётся строкой до 32 символов.
4	Задать описание политики (не обязательно).	esr(config-ips-policy)# description <DESCRIPTION>	<DESCRIPTION> – описание задаётся строкой до 255 символов.
5	Создать списки IP-адресов, которые будут использоваться при фильтрации.	esr (config)# object-group network <WORD> esr (config-object-group-network)# ip prefix <ADDR/LEN>	<WORD> – имя сервера, задаётся строкой до 32 символов. <ADDR/LEN> – подсеть, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32].
6	Задать профиль IP-адресов, которые будет защищать IPS/IDS.	esr(config-ips-policy)# protect network-group <OBJ-GROUP-NETWORK_NAME>	<OBJ-GROUP-NETWORK-NAME> – имя профиля защищаемых IP-адресов, задается строкой до 32 символов.
7	Задать профиль IP-адресов, внешних для IPS/IDS (не обязательно).	esr(config-ips-policy)# external network-group <OBJ-GROUP-NETWORK_NAME>	<OBJ-GROUP-NETWORK-NAME> – имя профиля внешних IP-адресов, задается строкой до 32 символов.
8	Создать профиль категорий контентной фильтрации	esr(config)# object-group content-filter <NAME>	<NAME> – имя профиля контентной фильтрации, задается строкой до 31 символа.
9	Задать описание профиля категорий контентной фильтрации (не обязательно).	esr(config-object-group-content-filter)# description <DESCRIPTION>	<DESCRIPTION> – описание задаётся строкой до 255 символов.
10	Задать поставщика категорий контентной фильтрации.	esr(config-object-group-content-filter)# vendor <CONTENT-FILTER-VENDOR>	<CONTENT-FILTER-VENDOR> – название поставщика категорий контентной фильтрации. В текущей версии ПО в качестве поставщика категорий контентной фильтрации может выступать только Лаборатория Касперского.
11	Задать необходимые категории контентной фильтрации.	esr(config-object-group-cf-kaspersky)# category <CATEGORY>	<CATEGORY> – имя категории. Описание доступных категорий приведено в справочнике команд.
12	Перейти в режим конфигурирования IPS/IDS.	esr(config)# security ips
13	Назначить политику безопасности IPS/IDS.	esr(config-ips)# policy <NAME>	<NAME> – имя политики безопасности, задаётся строкой до 32 символов.
14	Использовать все ресурсы ESR для IPS/IDS (не обязательно).	esr(config-ips)# perfomance max	По умолчанию для IPS/IDS отдается половина доступных ядер процессора.
15	Задать параметры удаленного сервера для отправки статистики работы сервиса IPS/IDS в формате EVE (elasticsearch) (не обязательно).	esr(config-ips)# logging remote-server { <ADDR> \| <IPV6-ADDR> } [ <TRANSPORT> ] [ <PORT> ] [ source-address { <SRC-ADDR> \| <IPV6-SRC-ADDR> } ]	<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]; <IPV6-ADDR> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF]; <TRANSPORT> – протокол передачи данных, по умолчанию – UDP, принимает значения: TCP – передача данных осуществляется по протоколу TCP; UDP – передача данных осуществляется по протоколу UDP; <PORT> – номер TCP/UDP-порта, опциональный параметр, принимает значения [1..65535], по умолчанию 514; <SRC-ADDR> – IPv4-адрес маршрутизатора, который будет использоваться в качестве IP-адреса источника в отправляемых syslog-пакетах, по умолчанию – IPv4-адрес интерфейса, с которого отправляются пакеты; <IPV6-SRC-ADDR> – IPv6-адрес маршрутизатора, который будет использоваться в качестве IPv6-адреса источника в отправляемых syslog-пакетах, по умолчанию – IPv6-адрес интерфейса, с которого отправляются пакеты.
16	Установить интервал отправки статистики работы сервиса IPS/IDS в формате EVE (elasticsearch) (не обязательно).	esr(config-ips)# logging update-interval <INTERVAL>	<INTERVAL> – интервал отправки статистики работы сервиса IPS/IDS, задаётся в минутах.
17	Активировать IPS/IDS.	esr(config-ips )# enable
18	Активировать IPS/IDS на интерфейсе.	esr(config-if-gi)# service-ips enable
19	Задать имя и перейти в режим конфигурирования набора пользовательских правил.	esr(config)# security ips-category user-defined <WORD>	<WORD> – имя набора пользовательских правил, задаётся строкой до 32 символов.
20	Задать описание набора пользовательских правил (не обязательно).	esr(config-ips-category)# description <DESCRIPTION>	<DESCRIPTION> – описание задаётся строкой до 255 символов.
21	Создать правило и перейти в режим конфигурирования правила.	esr(config-ips-category)# rule <ORDER>	<ORDER> – номер правила, принимает значения [1..512].
22	Задать описание правила (не обязательно).	esr(config-ips-category-rule)# description <DESCRIPTION>	<DESCRIPTION> – описание задаётся строкой до 255 символов.
23	Указать действие данного правила.	esr(config-ips-category-rule)# action { alert \| reject \| pass \| drop }	alert – прохождение трафика разрешается, и сервис IPS/IDS генерирует сообщение; reject – прохождение трафика запрещается. Если это TCP-трафик, отправителю и получателю посылается пакет TCP-RESET, для остального типа трафика посылается пакет ICMP-ERROR. Сервис IPS/IDS генерирует сообщение; pass – прохождение трафика разрешается; drop – прохождение трафика запрещается, и сервис IPS/IDS генерирует сообщение.
24	Установить в качестве IP-протокола протокол HTTP.	esr(config-ips-category-rule)# protocol http
25	Установить IP-адреса отправителя, для которых должно срабатывать правило.	esr(config-ips-category-rule)# source-address {ip <ADDR> \| ip-prefix <ADDR/LEN> \| object-group <OBJ_GR_NAME> \| policy-object-group { protect \| external } \| any }	<ADDR> – IP-адрес отправителя, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]; <ADDR/LEN> – IP-подсеть отправителя, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и LEN принимает значения [1..32]. <OBJ_GR_NAME> – имя профиля IP-адресов, который содержит IP-адреса отправителя, задаётся строкой до 31 символа. protect – устанавливает в качестве адресов отправителя protect-адреса, определенные в политике IPS/IDS; external – устанавливает в качестве адресов отправителя external-адреса. определенные в политике IPS/IDS. При указании значения «any» правило будет срабатывать для любого IP-адреса отправителя.
26	Установить номера TCP-портов отправителя, для которых должно срабатывать правило.	esr(config-ips-category-rule)# source-port {any \| <PORT> \| object-group <OBJ-GR-NAME> }	<PORT> – номер TCP/UDP-порта отправителя, принимает значения [1..65535]. <OBJ_GR_NAME> – имя профиля TCP/UDP портов отправителя, задаётся строкой до 31 символа. При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта отправителя.
27	Установить IP-адреса получателя, для которых должно срабатывать правило.	esr(config-ips-category-rule)# destination-address {ip <ADDR> \| ip-prefix <ADDR/LEN> \| object-group <OBJ_GR_NAME> \| policy-object-group { protect \| external } \| any }	<<ADDR> – IP-адрес получателя, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]; <ADDR/LEN> – IP-подсеть получателя, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и LEN принимает значения [1..32]. < OBJ_GR_NAME> – имя профиля IP-адресов, который содержит IP-адреса получателя, задаётся строкой до 31 символа. protect – устанавливает в качестве адресов получателя protect-адреса, определенные в политике IPS/IDS; external – устанавливает в качестве адресов получателя external-адреса, определенные в политике IPS/IDS. При указании значения «any» правило будет срабатывать для любого IP-адреса получателя.
28	Установить номера TCP-портов получателя, для которых должно срабатывать правило. Обычно для протокола http используется значение TCP-порт 80. В случаях когда когда используются web-сервера на нестандартных портах надо пописывать эти порты тоже.	esr(config-ips-category-rule)# destination-port {any \| <PORT> \| object-group <OBJ-GR-NAME> }	<PORT> – номер TCP/UDP-порта получателя, принимает значения [1..65535]. <OBJ_GR_NAME> – имя профиля TCP/UDP портов получателя, задаётся строкой до 31 символа. При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта получателя.
29	Установить направление потока трафика, для которого должно срабатывать правило.	esr(config-ips-category-rule)# direction { one-way \| round-trip }	one-way – трафик передаётся в одну сторону. round-trip – трафик передаётся в обе стороны.
30	Определить сообщение которое IPS/IDS будет записывать в лог, при срабатывании этого правила.	esr(config-ips-category-rule)# meta log-message <MESSAGE>	<MESSAGE> – текстовое сообщение, задаётся строкой до 129 символов.
31	Назначить профиль категорий контентной фильтрации.	esr(config-ips-category-rule)# ip http content-filter <NAME>	<NAME> – имя профиля контентной фильтрации задаётся строкой до 31 символа. any – правило будет срабатывать для http-сайтов любой категории.
32	Активировать правило.	esr(config-ips-category-rule)# enable

...

Дерево страниц

Сравнение версий

Старая версия 13

Новая версия Текущий

Ключ

Scroll Pagebreak

Настройка списков доступа (ACL)

Scroll Pagebreak

Рекомендуемые открытые источники обновления правил