История страницы

...

Порядок обработки транзитного трафика правилами firewall

1. Если трафик передаётся с одного интерфейса на другой в пределах одной зоны (src-zone-name), то он Трафик проверяется правилами zone-pair srcuser-zone -name src-zone-nameany.
   Если трафик не попал ни под одно из правил текущей zone-pair, переходим к следующему шагу.
2. Если трафик передаётся с одного интерфейса на другой в разных зонахпределах одной зоны (user-zone), то он проверяется правилами zone-pair srcpair user-zone user-name dst-zone-name.
   Если трафик не попал ни под одно из правил текущей zone-pair, переходим к следующему шагу.Трафик
3. Если трафик передаётся с одного интерфейса на другой в разных зонах, то он проверяется правилами zone-pair srcpair user-zonezone1 user-name anyzone2.
   Если трафик не попал ни под одно из правил текущей zone-pair, переходим к следующему шагу.
4. Трафик проверяется правилами zone-pair any any.
   Если трафик не попал ни под одно из правил текущей zone-pair, он отбрасывается.

...

1. Трафик проверяется правилами zone-pair any self.
   Если трафик не попал ни под одно из правил текущей zone-pair, переходим к следующему шагу.
2. Трафик проверяется правилами zone-pair srcuser-zone -name self.
   Если трафик не попал ни под одно из правил текущей zone-pair, он отбрасываетсяпереходим к следующему шагу.

Каждая команда «match» может содержать ключ «not». При использовании данного ключа под правило будут подпадать пакеты, не удовлетворяющие заданному критерию.

Более подробная информация о командах для настройки межсетевого экрана содержится в справочнике команд CLI.

Пример настройки Firewall

...

esr(config)# object-group network WAN
esr(config-object-group-network)# ip address-range 192.168.23.2
esr(config-object-group-network)# exit
esr(config)# object-group network LAN
esr(config-object-group-network)# ip address-range 192.168.12.2
esr(config-object-group-network)# exit
esr(config)# object-group network LAN_GATEWAY
esr(config-object-group-network)# ip address-range 192.168.12.1
esr(config-object-group-network)# exit
esr(config)# object-group network WAN_GATEWAY
esr(config-object-group-network)# ip address-range 192.168.23.3
esr(config-object-group-network)# exit

Для пропуска трафика из зоны «LAN» в зону «WAN» создадим пару зон и добавим правило, разрешающее проходить ICMP-трафику от R1 к R2. Действие правил разрешается командой enable:

esr(config)# security zone-pair LAN WAN
esr(config-security-zone-pair)# rule 1
esr(config-security-zone-pair-rule)# action permit
esr(config-security-zone-pair-rule)# match protocol icmp
esr(config-security-zone-pair-rule)# match destination-address object-group WAN_GATEWAY
esr(config-security-zone-pair-rule)# match source-address object-group LAN_GATEWAY
esr(config-security-zone-pair-rule)# enable
esr(config-security-zone-pair-rule)# exit
esr(config-security-zone-pair-rule)# exit

Для пропуска трафика из зоны «WAN» в зону «LAN» создадим пару зон и добавим правило, разрешающее проходить ICMP-трафику от R2 к R1. Действие правил разрешается командой enable:

...

esr(config)# security zone-pair WAN self
esr(config-security-zone-pair)# rule 1
esr(config-security-zone-pair-rule)# action permit
esr(config-security-zone-pair-rule)# match protocol icmp
esr(config-security-zone-pair-rule)# match destination-address object-group WAN
esr(config-security-zone-pair-rule)# match source-address object-group WAN_GATEWAY
esr(config-security-zone-pair-rule)# enable
esr(config-security-zone-pair-rule)# exit
esr(config-security-zone-pair)# exit

Создадим пару зон для трафика, идущего из зоны «LAN» в зону «self». Добавим правило, разрешающее проходить ICMP-трафику между R1 и ESR, для того чтобы маршрутизатор начал отвечать на ICMP-запросы из зоны «LAN»:

...

esr# show security zone-pair
esr# show security zone-pair configuration

Посмотреть активные сессии можно с помощью команд:

...

Блокировать доступ к ресурсам youtube, bittorrent и facebook.

Решение:

Для каждой сети ESR создадим свою зону безопасности:

...

esr(config)# ip firewall mode stateless

Для настройки правил зон безопасности потребуется создать профиль приложений, которые необходимо будет блокировать.

...

esr# show ip access-list white

Якорь
Настройка IPS/IDS Настройка IPS/IDS

Настройка IPS/IDS

...

На устройстве предварительно должны быть настроены интерфейсы и правила firewall.

Создадим профиль адресов защищаемой локальной сети:

...

esr# clear content-filter cache 

Настройка сервиса «Антиспам»

Почтовый антиспам, или спам-фильтр — это программа для определения и фильтрации нежелательных электронных сообщений, которые могут поступать через корпоративные почтовые серверы и публичные сервисы электронной почты (спам, почтовый фишинг и т.п.).

Основная задача сервиса «Антиспам» — распознать такие нежелательные письма еще в процессе доставки этих писем в почтовый ящик получателя. Для этого сервисный маршрутизатор ESR с настроенным сервисом «Антиспам» устанавливается в сети перед защищаемым почтовым сервером и перенаправляет через себя электронную почту между этим сервером и другими почтовыми серверами в сети Интернет, фактически выполняя функцию Mail Proxy.

Письма, пришедшие от внешних почтовых доменов, в сервисе «Антиспам» будут проанализированы следующими способами:

• проверка подлинности домена-отправителя через SPF;
• проверка подписи электронного письма, подписанного ключом домена по технологии DKIM;
• идентификация электронного письма согласно технологии DMARC;
• проверка наличия корректной MX-записи для домена, из которого отправлено электронное письмо;
• поиск отправителя письма в списке известных сервисов широковещательной рассылки;
• поиск отправителя письма в RBL;
• анализ корректности SMTP-команд во время поднятия SMTP-сессии;
• анализ кодировок Unicode, присутствующих в тексте письма;
• анализ ссылок в тексте письма на принадлежность к фишингу.

Письма, не прошедшие большинство проверок, будут отброшены и не попадут на защищаемый почтовый сервер.

Scroll Pagebreak

Алгоритм базовой настройки

...

<MARK-TYPE> – тип маркировки писем, отнесенных к категории «Спам». Возможные значения:

• header – добавить X-Spam заголовок к заголовкам электронного письма;
• subject – добавить тег [SPAM] перед темой электронного письма.

...

<ACTION> – назначаемое действие. Принимает значение reject – дальнейшая доставка письма запрещена, отправителю письма высылается ответ об ошибке.

...

<TYPE> – тип файла сертификата или ключа. Возможные значения:

• ca – сертификат удостоверяющего центра;
• private-key – приватный ключ сервера;
• cert – публичный сертификат сервера;
• dh – ключ Диффи-Хеллмана.

<NAME> – имя файла сертификата, задаётся строкой до 31 символа. 

...

Scroll Pagebreak

Пример настройки

Задача:

Настроить на ESR сервис «Антиспам» для работы в качестве SMTP Proxy для анализа электронной почты, адресованной почтовому серверу, расположенному в сети предприятия и обслуживающему домен eltex-co.ru.

...

Решение:

Убедимся, что MX-запись для домена eltex-co.ru указывает на IP-адрес ESR:

esr@eltex:~$ dig +noall +answer eltex-co.ru MX
eltex-co.ru.	3548	IN	MX	10 mail-gate.eltex-co.ru.
esr@eltex:~$ dig +noall +answer mail-gate.eltex-co.ru A
mail-gate.eltex-co.ru. 3453	IN	A	95.171.220.11

Настроим сетевые интерфейсы:

esr# config
esr(config)# interface gi1/0/1
esr(config-if-gi)# ip address 95.171.220.11/18
esr(config-if-gi)# ip firewall disable
esr(config-if-gi)# exit
esr(config)# interface gi1/0/2
esr(config-if-te)# ip address 192.168.1.1/24
esr(config-if-te)# ip firewall disable
esr(config-if-te)# exit

Настроим сетевое имя, имя домена и настройки DNS. Сетевое имя и имя домена должны образовать FQDN (англ. Fully Qualified Domain Name — полностью определённое имя домена), прописанное в MX-записи для домена eltex-co.ru:

esr(config)# hostname mail-gate
esr(config)# domain name eltex-co.ru
esr(config)# domain name-server 1.1.1.1
esr(config)# domain lookup enable

Создадим профиль для сервиса «Антиспам», который будет добавлять X-Spam заголовок к письмам, идентифицированным как спам:

esr(config)# security antispam profile SimpleProfile
esr(config-antispam-profile)# description "Basic Antispam profile without rules"
esr(config-antispam-profile)# mark-type header 
esr(config-antispam-profile)# exit

Создадим почтовый домен, который будет настроен для обработки писем для домена eltex-co.ru и ретрансляции таких писем на локальный почтовый сервер. В конфигурацию почтового домена добавим созданный выше профиль сервиса «Антиспам», чтобы транзитная почта анализировалась на принадлежность к спаму:

esr(config)# mailserver domain MainDomain
esr(config-mailserver-domain)# mail domain eltex-co.ru
esr(config-mailserver-domain)# description "Mail domain eltex-co.ru"
esr(config-mailserver-domain)# mail server ip 192.168.1.10
esr(config-mailserver-domain)# profile antispam SimpleProfile 
esr(config-mailserver-domain)# enable 
esr(config-mailserver-domain)# exit

Добавим в конфигурацию почтового сервера созданный домен и пропишем настройки для работы TLS:

esr(config)# mailserver 
esr(config-mailserver)# domain MainDomain 
esr(config-mailserver)# tls keyfile ca ca.crt
esr(config-mailserver)# tls keyfile cert server.crt
esr(config-mailserver)# tls keyfile private-key server.key
esr(config-mailserver)# tls enable
esr(config-mailserver)# enable 
esr(config-mailserver)# exit

Применение текущей конфигурации запустит сервис в работу.