ESR-series Documentation 1.24
Дерево страниц

Сравнение версий

Старая версия 20

changes.mady.by.user Отдел Документации

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Сервисный центр Ethernet

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

Порядок обработки транзитного трафика правилами firewall

  1. Если трафик передаётся с одного интерфейса на другой в пределах одной зоны (src-zone-name), то он Трафик проверяется правилами zone-pair srcuser-zone -name src-zone-nameany.
    Если трафик не попал ни под одно из правил текущей zone-pair, переходим к следующему шагу.
  2. Если трафик передаётся с одного интерфейса на другой в разных зонахпределах одной зоны (user-zone), то он проверяется правилами zone-pair srcpair user-zone user-name dst-zone-name.
    Если трафик не попал ни под одно из правил текущей zone-pair, переходим к следующему шагу.Трафик
  3. Если трафик передаётся с одного интерфейса на другой в разных зонах, то он проверяется правилами zone-pair srcpair user-zonezone1 user-name anyzone2.
    Если трафик не попал ни под одно из правил текущей zone-pair, переходим к следующему шагу.
  4. Трафик проверяется правилами zone-pair any any.
    Если трафик не попал ни под одно из правил текущей zone-pair, он отбрасывается.

...

  1. Трафик проверяется правилами zone-pair any self.
    Если трафик не попал ни под одно из правил текущей zone-pair, переходим к следующему шагу.
  2. Трафик проверяется правилами zone-pair srcuser-zone -name self.
    Если трафик не попал ни под одно из правил текущей zone-pair, он отбрасываетсяпереходим к следующему шагу.

Каждая команда «match» может содержать ключ «not». При использовании данного ключа под правило будут подпадать пакеты, не удовлетворяющие заданному критерию.

Более подробная информация о командах для настройки межсетевого экрана содержится в справочнике команд CLI.

Scroll Pagebreak

Пример настройки Firewall

...

Блок кода
esr(config)# object-group network WAN
esr(config-object-group-network)# ip address-range 192.168.23.2
esr(config-object-group-network)# exit
esr(config)# object-group network LAN
esr(config-object-group-network)# ip address-range 192.168.12.2
esr(config-object-group-network)# exit
esr(config)# object-group network LAN_GATEWAY
esr(config-object-group-network)# ip address-range 192.168.12.1
esr(config-object-group-network)# exit
esr(config)# object-group network WAN_GATEWAY
esr(config-object-group-network)# ip address-range 192.168.23.3
esr(config-object-group-network)# exit

Scroll Pagebreak

Для пропуска трафика из зоны «LAN» в зону «WAN» создадим пару зон и добавим правило, разрешающее проходить ICMP-трафику от R1 к R2. Действие правил разрешается командой enable:

Блок кода
esr(config)# security zone-pair LAN WAN
esr(config-security-zone-pair)# rule 1
esr(config-security-zone-pair-rule)# action permit
esr(config-security-zone-pair-rule)# match protocol icmp
esr(config-security-zone-pair-rule)# match destination-address object-group WAN_GATEWAY
esr(config-security-zone-pair-rule)# match source-address object-group LAN_GATEWAY
esr(config-security-zone-pair-rule)# enable
esr(config-security-zone-pair-rule)# exit
esr(config-security-zone-pair-rule)# exit

Scroll Pagebreak

Для пропуска трафика из зоны «WAN» в зону «LAN» создадим пару зон и добавим правило, разрешающее проходить ICMP-трафику от R2 к R1. Действие правил разрешается командой enable:

...

Блок кода
esr(config)# security zone-pair WAN self
esr(config-security-zone-pair)# rule 1
esr(config-security-zone-pair-rule)# action permit
esr(config-security-zone-pair-rule)# match protocol icmp
esr(config-security-zone-pair-rule)# match destination-address object-group WAN
esr(config-security-zone-pair-rule)# match source-address object-group WAN_GATEWAY
esr(config-security-zone-pair-rule)# enable
esr(config-security-zone-pair-rule)# exit
esr(config-security-zone-pair)# exit

Scroll Pagebreak

Создадим пару зон для трафика, идущего из зоны «LAN» в зону «self». Добавим правило, разрешающее проходить ICMP-трафику между R1 и ESR, для того чтобы маршрутизатор начал отвечать на ICMP-запросы из зоны «LAN»:

...

Блок кода
esr# show security zone-pair
esr# show security zone-pair configuration

Scroll Pagebreak

Посмотреть активные сессии можно с помощью команд:

...

Блокировать доступ к ресурсам youtube, bittorrent и facebook.

Scroll Pagebreak

Решение:

Для каждой сети ESR создадим свою зону безопасности:

...

Блок кода
esr(config)# ip firewall mode stateless

Scroll Pagebreak

Для настройки правил зон безопасности потребуется создать профиль приложений, которые необходимо будет блокировать.

...

Блок кода
esr# show ip access-list white

Scroll Pagebreak

Якорь
Настройка IPS/IDS
Настройка IPS/IDS
Настройка IPS/IDS

...

На устройстве предварительно должны быть настроены интерфейсы и правила firewall.

Scroll Pagebreak

Создадим профиль адресов защищаемой локальной сети:

...

Блок кода
esr# clear content-filter cache

Scroll Pagebreak