Дерево страниц

Сравнение версий

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

Шаг

Описание

Команда

Ключи

1

Задать глобальное значение кода DSCP для использования в IP-заголовках исходящих пакетов RADIUS-сервера (не обязательно).

esr(config)# radius-server dscp <DSCP>

<DSCP> – значение кода DSCP, принимает значения в диапазоне [0..63].

Значение по умолчанию: 63.

2

Задать глобальное значение количества перезапросов к последнему активному RADIUS-серверу (не обязательно).

esr(config)# radius-server retransmit <COUNT>

<COUNT> – количество перезапросов к RADIUS-серверу, принимает значения [1..10].

Значение по умолчанию: 1.

3

Задать глобальное значение интервала, по истечении которого маршрутизатор считает, что RADIUS-сервер недоступен (не обязательно).

esr(config)# radius-server timeout <SEC>

<SEC> – период времени в секундах, принимает значения [1..30].

Значение по умолчанию: 3 секунды.

4

Добавить RADIUS-сервер в список используемых серверов и перейти в режим его конфигурирования.

esr(config)# radius-server host
{ <IP-ADDR> | <IPV6-ADDR> } [ vrf <VRF> ]esr(config-radius-server)#

<IP-ADDR> – IP-адрес RADIUS-сервера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<IPV6-ADDR> – IPv6-адрес RADIUS-сервера, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF]

<VRF> – имя экземпляра VRF, задается строкой до 31 символа.

5

Указать количество неудачных попыток аутентификации для блокировки логина пользователя и времени блокировки (не обязательно).

esr(config-radius-server)# aaa authentication attempts max-fail <COUNT> <TIME>

<COUNT> – количество неудачных попыток аутентификации, после которых произойдет блокировка пользователя, принимает значения [1..65535];

<TIME> – интервал времени в секундах, на который будет заблокирован пользователь, принимает значения [1..65535].

Значение по умолчанию:

<COUNT> – 5; <TIME> – 300.

6

Задать пароль для аутентификации на удаленном RADIUS-сервере.

esr(config-radius-server)# key ascii-text
{ <TEXT> | encrypted <ENCRYPTED-TEXT> }

<TEXT> – строка [8..16] ASCII-символов;

<ENCRYPTED-TEXT> – зашифрованный пароль, размером [8..16] байт, задаётся строкой [16..32] символов.

7

Задать приоритет использования удаленного RADIUS-сервера (не обязательно).

esr(config-radius-server)# priority <PRIORITY>

<PRIORITY> – приоритет использования удаленного сервера, принимает значения [1..65535].

Чем ниже значение, тем приоритетнее сервер.

Значение по умолчанию: 1.

8

Задать интервал, по истечении которого маршрутизатор считает, что данный RADIUS-сервер недоступен (не обязательно).

esr(config-radius-server)# timeout <SEC>

<SEC> – период времени в секундах, принимает значения [1..30].

Значение по умолчанию: используется значение глобального таймера.

9

Задать IPv4/IPv6-адрес, который будет использоваться в качестве IPv4/IPv6-адреса источника в отправляемых RADIUS-пакетах.

esr(config-radius-server)# source-address { <ADDR>  | object-group <NETWORK_OBJ_GROUP_NAME> }

<ADDR> – IP-адрес источника, задается в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<NETWORK_OBJ_GROUP_NAME> – список адресов, которые будут использоваться в качестве source address.

10Задать интерфейс или туннель маршрутизатора, IPv4/IPv6-адрес которого будет использоваться в качестве IPv4/IPv6-адреса источника в отправляемых RADIUS-пакетах.esr(config-radius-server)# source-interface { <IF> | <TUN> }

<IF> – имя интерфейса устройства, задаётся в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора

<TUN> – имя туннеля устройства, задаётся в виде, описанном в разделе Типы и порядок именования туннелей маршрутизатора.

11

Указать radius в качестве метода аутентификации.

esr(config)# aaa authentication login { default | <NAME> } <METHOD 1>
[ <METHOD 2> ] [ <METHOD 3> ] [ <METHOD 4> ]

<NAME> – имя списка, задаётся строкой до 31 символа.

Способы аутентификации:

  • local – аутентификация с помощью локальной базы пользователей;
  • tacacs – аутентификация по списку TACACS-серверов;
  • radius – аутентификация по списку RADIUS-серверов;
  • ldap – аутентификация по списку LDAP-серверов.

12

Указать radius в качестве способа аутентификации повышения привилегий пользователей.

esr(config)# aaa authentication enable <NAME><METHOD 1>
[ <METHOD 2> ] [ <METHOD 3> ] [ <METHOD 4> ]

<NAME> – имя списка строка до 31 символа;

  • default – имя списка по умолчанию.

<METHOD> – способы аутентификации:

  • enable – аутентификация с помощью enable-паролей;
  • tacacs – аутентификация по протоколу TACACS;
  • radius – аутентификация по протоколу RADIUS;
  • ldap – аутентификация по протоколу LDAP.

13

Указать способ перебора методов аутентификации в случае отказа (не обязательно).

esr(config)# aaa authentication mode <MODE>

<MODE> – способы перебора методов:

  • chain – если сервер вернул FAIL, переход к следующему в цепочке методу аутентификации;
  • break – если сервер вернул FAIL, прекратить попытки аутентификации. Если сервер недоступен, продолжить попытки аутентификации следующими в цепочке методами.

Значение по умолчанию: chain.

14

Сконфигурировать radius в списке способов учета сессий пользователей (не обязательно).

esr(config)# aaa accounting login start-stop <METHOD 1>
[ <METHOD 2> ]

<METHOD> – способы учета:

  • tacacs – учет сессий по протоколу TACACS;
  • radius – учет сессий по протоколу RADIUS.

15

Перейти в режим конфигурирования соответствующего терминала.

esr(config)# line <TYPE>

<TYPE> – тип консоли:

  • console – локальная консоль;
  • ssh – защищенная удаленная консоль.

16

Активировать список аутентификации входа пользователей в систему.

esr(config-line-console)# login authentication <NAME>

<NAME> – имя списка, задаётся строкой до 31 символа. Создано на шаге 8.

17

Активировать список аутентификации повышения привилегий пользователей.

esr(config-line-console)# enable authentication <NAME>

<NAME> – имя списка, задаётся строкой до 31 символа. Создано на шаге 9.

...

ШагОписаниеКомандаКлючи
1Задать глобальное значение кода DSCP для использования в IP-заголовках исходящих пакетов TACACS-сервера (не обязательно).

esr(config)# tacacs-server dscp <DSCP>

<DSCP> – значение кода DSCP, принимает значения в диапазоне [0..63].

Значение по умолчанию: 63.

2Задать глобальное значение интервала, по истечении которого маршрутизатор считает, что TACACS-сервер недоступен (не обязательно).

esr(config)# tacacs-server timeout <SEC>

<SEC> – период времени в секундах, принимает значения [1..30].

Значение по умолчанию: 3 секунды.

3Добавить TACACS-сервер в список используемых серверов и перейти в режим его конфигурирования.

esr(config)# tacacs -server host
{ <IP-ADDR> | <IPV6-ADDR> } [ vrf <VRF> ]

esr(config-tacacs-server)#


<IP-ADDR> – IP-адрес TACACS-сервера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]

<IPV6-ADDR> – IPv6-адрес TACACS -сервера, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF]

<VRF> – имя экземпляра VRF, задается строкой до 31 символа.

4Указать количество неудачных попыток аутентификации для блокировки логина пользователя и время блокировки (не обязательно)

esr(config-tacacs-server)# aaa authentication attempts max-fail <COUNT> <TIME>

<COUNT> – количество неудачных попыток аутентификации, после которых произойдет блокировка пользователя, принимает значения [1..65535];

<TIME> – интервал времени в минутах, на который будет заблокирован пользователь, принимает значения [1..65535].

Значение по умолчанию:

<COUNT> – 5; <TIME> – 300.

5Задать пароль для аутентификации на удаленном TACACS-сервере

esr(config-tacacs-server)# key ascii-text  { <TEXT> | encrypted <ENCRYPTED-TEXT> }

<TEXT> – строка [8..16] ASCII-символов;

<ENCRYPTED-TEXT> – зашифрованный пароль, размером [8..16] байт, задаётся строкой [16..32] символов.

6Задать номер порта для обмена данными c удаленным TACACS-сервером (не обязательно).

esr(config-tacacs-server)# port <PORT>

<PORT> – номер TCP-порта для обмена данными c удаленным сервером, принимает значения [1..65535].

Значение по умолчанию: 49 для TACACS-сервера.

7

Задать приоритет использования удаленного TACACS сервера (не обязательно).

esr(config-tacacs-server)# priority <PRIORITY>

<PRIORITY> – приоритет использования удаленного сервера, принимает значения [1..65535].

Чем ниже значение, тем приоритетнее сервер.

Значение по умолчанию: 1.

8

Задать IPv4/IPv6-адрес, который будет использоваться в качестве IP/IPv6-адреса источника в отправляемых TACACS-пакетах.

esr(config-tacacs-server)# source-address { <ADDR>  | object-group <NETWORK_OBJ_GROUP_NAME> }

<ADDR> – IP-адрес источника, задается в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<NETWORK_OBJ_GROUP_NAME> – список адресов, которые будут использоваться в качестве source address.

9Задать  интерфейс или туннель маршрутизатора, IPv4/IPv6-адрес которого будет использоваться в качестве IPv4/IPv6-адреса источника в отправляемых TACACS-пакетах.esr(config-tacacs-server)# source-interface { <IF> | <TUN> }

<IF> – имя интерфейса устройства, задаётся в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора

<TUN> – имя туннеля устройства, задаётся в виде, описанном в разделе Типы и порядок именования туннелей маршрутизатора.

10

Указать TACACS в качестве способа аутентификации повышения привилегий пользователей.

esr(config)# aaa authentication enable <NAME><METHOD 1>
[ <METHOD 2> ] [ <METHOD 3> ] [ <METHOD 4> ]

<NAME> – имя списка строка до 31 символа;

  • default – имя списка по умолчанию.

<METHOD> – способы аутентификации:

  • enable – аутентификация с помощью enable-паролей;
  • tacacs – аутентификация по протоколу TACACS;
  • radius – аутентификация по протоколу RADIUS;
  • ldap – аутентификация по протоколу LDAP.

11

Указать способ перебора методов аутентификации в случае отказа (не обязательно).

esr(config)# aaa authentication mode <MODE>

<MODE> – способы перебора методов:

  • chain – если сервер вернул FAIL, переход к следующему в цепочке методу аутентификации;
  • break – если сервер вернул FAIL, прекратить попытки аутентификации. Если сервер недоступен, продолжить попытки аутентификации следующими в цепочке методами.

Значение по умолчанию: chain.

12

Сконфигуровать Сконфигурировать список способов учета команд, введённых в CLI (не обязательно).

esr(config)# aaa accounting commands stop-only tacacs


13

Сконфигурировать tacacs в списке способов учета сессий пользователей (не обязательно).

esr(config)# aaa accounting login start-stop <METHOD 1>
[ <METHOD 2> ]

<METHOD> – способы учета:

  • tacacs – учет сессий по протоколу TACACS;
  • radius – учет сессий по протоколу RADIUS.

14

Перейти в режим конфигурирования соответствующего терминала.

esr(config)# line <TYPE>

<TYPE> – тип консоли:

  • console – локальная консоль;
  • ssh – защищенная удаленная консоль.

15

Активировать список аутентификации входа пользователей в систему.

esr(config-line-console)# login authentication <NAME>

<NAME> – имя списка, задаётся строкой до 31 символа. Создано на шаге 7.

16

Активировать список аутентификации повышения привилегий пользователей.

esr(config-line-console)# enable authentication <NAME>

<NAME> – имя списка, задаётся строкой до 31 символа. Создано на шаге 8.

...

ШагОписаниеКомандаКлючи
1Задать базовый DN (Distinguished name), который будет использоваться при поиске пользователей.

esr(config)# ldap-server base-dn <NAME>

<NAME> – базовый DN, задается строкой до 255 символов.

2

Задать интервал, по истечении которого устройство считает, что LDAP-сервер недоступен (не обязательно).

esr(config)# ldap-server bind timeout <SEC>

<SEC> – период времени в секундах, принимает значения [1..30].

Значение по умолчанию: 3 секунды.

3

Задать DN (Distinguished name) пользователя с правами администратора, под которым будет происходить авторизация на LDAP-сервере при поиске пользователей.

esr(config)# ldap-server bind authenticate root-dn <NAME>

<NAME> – DN пользователя с правами администратора, задается строкой до 255 символов.

4

Задать пароль пользователя с правами администратора, под которым будет происходить авторизация на LDAP-сервере при поиске пользователей.

esr(config)# ldap-server bind authenticate root-password ascii-text
{ <TEXT> | encrypted <ENCRYPTED-TEXT> }

<TEXT> – строка [8..16] ASCII-символов;

<ENCRYPTED-TEXT> – зашифрованный пароль, размером [8..16] байт, задаётся строкой [16..32] символов.

5

Задать имя класса объектов, среди которых необходимо выполнять поиск пользователей на LDAP-сервере (не обязательно).

esr(config)# ldap-server search filter user-object-class <NAME>

<NAME> – имя класса объектов, задаётся строкой до 127 символов.

Значение по умолчанию: posixAccount.


6

Задать область поиска пользователей в дереве LDAP-сервера (не обязательно).

esr(config)# ldap-server search scope <SCOPE>

<SCOPE> – область поиска пользователей на LDAP-сервере, принимает следующие значения:

  • onelevel – выполнять поиск в объектах на следующем уровне после базового DN в дереве LDAP-сервера;
  • subtree – выполнять поиск во всех объектах поддерева базового DN в дереве LDAP-сервера.

Значение по умолчанию: subtree.

7

Задать интервал, по истечении которого устройство считает, что LDAP-сервер не нашел записей пользователей, подходящих под условие поиска (не обязательно).

esr(config)# ldap-server search timeout <SEC>

<SEC> – период времени в секундах, принимает значения [0..30]

Значение по умолчанию: 0 – устройство ожидает завершения поиска и получения ответа от LDAP-сервера.

8

Задать имя атрибута объекта, со значением которого идет сравнение имени искомого пользователя на LDAP-сервере (не обязательно).

esr(config)# ldap-server naming-attribute <NAME>

<NAME> – имя атрибута объекта, задаётся строкой до 127 символов.

Значение по умолчанию: uid.

9

Задать имя атрибута объекта, значение которого будет определять начальные привилегии пользователя на устройстве (не обязательно).

esr(config)# ldap-server privilege-level-attribute <NAME>

<NAME> – имя атрибута объекта, задаётся строкой до 127 символов.

Значение по умолчанию: priv-lvl.

10

Задать глобальное значение кода DSCP для использования в IP-заголовках исходящих пакетов LDAP-сервера (не обязательно).

esr(config)# ldap-server dscp <DSCP>

<DSCP> – значение кода DSCP, принимает значения в диапазоне [0..63].

Значение по умолчанию: 63.

11

Добавить LDAP-сервер в список используемых серверов и перейти в режим его конфигурирования.

esr(config)# ldap -server host { <IP-ADDR> | <IPV6-ADDR> }
[ vrf <VRF> ]

esr(config-ldap-server)#


<IP-ADDR> – IP-адрес LDAP-сервера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]

<IPV6-ADDR> – IPv6-адрес LDAP-сервера, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF]

<VRF> – имя экземпляра VRF, задается строкой до 31 символа.

12

Указать количество неудачных попыток аутентификации для блокировки логина пользователя и время блокировки (не обязательно).

esr(config-ldap-server)# aaa authentication attempts max-fail <COUNT> <TIME>

<COUNT> – количество неудачных попыток аутентификации, после которых произойдет блокировка пользователя, принимает значения [1..65535];

<TIME> – интервал времени в минутах, на который будет заблокирован пользователь, принимает значения [1..65535].

Значение по умолчанию:

<COUNT> – 5; <TIME> – 300.

13

Задать номер порта для обмена данными c удаленным LDAP-сервером (не обязательно).

esr(config-ldap-server)# port <PORT>

<PORT> – номер TCP-порта для обмена данными c удаленным сервером, принимает значения [1..65535].

Значение по умолчанию: 389 для LDAP-сервера.

14

Задать приоритет использования удаленного LDAP-сервера (не обязательно).

esr(config-ldap-server)# priority <PRIORITY>

<PRIORITY> – приоритет использования удаленного сервера, принимает значения [1..65535].

Чем ниже значение, тем приоритетнее сервер.

Значение по умолчанию: 1.

15

Задать IPv4/IPv6-адрес, который будет использоваться в качестве IP/IPv6-адреса источника в отправляемых LDAP-пакетах.

esr(config-ldap-server)# source-address { <ADDR>  | object-group <NETWORK_OBJ_GROUP_NAME> }

<ADDR> – IP-адрес источника, задается в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<NETWORK_OBJ_GROUP_NAME> – список адресов, которые будут использоваться в качестве source address.

16Задать интерфейс или туннель маршрутизатора, IPv4/IPv6-адрес которого будет использоваться в качестве IPv4/IPv6-адреса источника в отправляемых LDAP-пакетах.esr(config-ldap-server)# source-interface { <IF> | <TUN> }

<IF> – имя интерфейса устройства, задаётся в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора

<TUN> – имя туннеля устройства, задаётся в виде, описанном в разделе Типы и порядок именования туннелей маршрутизатора.

17

Указать LDAP в качестве метода аутентификации.

esr(config)# aaa authentication login { default | <NAME> }
<METHOD 1> [ <METHOD 2> ] [ <METHOD 3> ] [ <METHOD 4> ]

<NAME> – имя списка, задаётся строкой до 31 символа.

Способы аутентификации:

  • local – аутентификация с помощью локальной базы пользователей;
  • tacacs – аутентификация по списку TACACS-серверов;
  • radius – аутентификация по списку RADIUS-серверов;
  • ldap – аутентификация по списку LDAP-серверов.

18

Указать LDAP в качестве способа аутентификации повышения привилегий пользователей.

esr(config)# aaa authentication enable <NAME>
<METHOD 1> [ <METHOD 2> ] [ <METHOD 3> ] [ <METHOD 4> ]

<NAME> – имя списка строка до 31 символа;

  • default – имя списка по умолчанию.

<METHOD> – способы аутентификации:

  • enable – аутентификация с помощью enable-паролей;
  • tacacs – аутентификация по протоколу TACACS;
  • radius – аутентификация по протоколу RADIUS;
  • ldap – аутентификация по протоколу LDAP.

19

Указать способ перебора методов аутентификации в случае отказа.

esr(config)# aaa authentication mode <MODE>

<MODE> – способы перебора методов:

  • chain – если сервер вернул FAIL, переход к следующему в цепочке методу аутентификации;
  • break – если сервер вернул FAIL, прекратить попытки аутентификации. Если сервер недоступен, продолжить попытки аутентификации следующими в цепочке методами.

Значение по умолчанию: chain.

20

Перейти в режим конфигурирования соответствующего терминала.

esr(config)# line <TYPE>

<TYPE> – тип консоли:

  • console – локальная консоль;
  • ssh – защищенная удаленная консоль.

21

Активировать список аутентификации входа пользователей в систему.

esr(config-line-console)# login authentication <NAME>

<NAME> – имя списка, задаётся строкой до 31 символа. Создано на шаге 14.

22

Активировать список аутентификации повышения привилегий пользователей.

esr(config-line-console)# enable authentication <NAME>

<NAME> – имя списка, задаётся строкой до 31 символа. Создано на шаге 15.

...

Блок кода
esr(config)# security zone LAN
esr(config-security-zone)# exit 
esr(config)# security zone WAN
esr(config-security-zone)# exit
esr(config)# security zone-pair LAN WAN
esr(config-security-zone-pair)# rule 100
esr(config-security-zone-pair-rule)# action permit 
esr(config-security-zone-pair-rule)# enable 
esr(config-security-zone-pair-rule)# exexit
esr(config-security-zone-pair)# exit 
esr(config)# security zone-pair WAN LAN
esr(config-security-zone-pair)# rule 100
esr(config-security-zone-pair-rule)# action permit 
esr(config-security-zone-pair-rule)# enable 
esr(config-security-zone-pair-rule)# exit
esr(config-security-zone-pair)# exit
esr(config)# interface gigabitethernet 1/0/1
esr(config-if-gi)# security-zone LAN
esr(config-if-gi)# ip address 192.168.0.1/24
esr(config-if-gi)# exit 
esr(config)# interface gigabitethernet 1/0/2
esr(config-if-gi)# security-zone WAN
esr(config-if-gi)# ip address 10.0.0.1/24
esr(config-if-gi)# exit

...

ШагОписаниеКомандаКлючи
1Создать зоны безопасности.

esr(config)# security zone <zone-name1>

esr(config)# security zone <zone-name2>

<zone-name> – до 12 символов.

Имена all, any и self зарезервированы.

2Задать описание зоны безопасности.

esr(config-security-zone)# description <description>

<description> – до 255 символов.
3Указать экземпляр VRF, в котором будет работать данная зона безопасности (не обязательно).

esr(config- security-zone)# ip vrf forwarding <VRF>

<VRF> – имя VRF, задается строкой до 31 символа.
4Включить счетчики сессий для NAT и Firewall (не обязательно, снижает производительность).

esr(config)# ip firewall sessions counters


5Отключить фильтрацию пакетов, для которых не удалось определить принадлежность к какому-либо известному соединению и которые не являются началом нового соединения (не обязательно, снижает производительность).

esr(config)# ip firewall sessions allow-unknown


6

Выбрать режим работы межсетевого экрана (не обязательно).

В режиме stateful проверяется только первый пакет сессии, и если «прямой» трафик разрешён, «ответный» трафик разрешается автоматически.

В режиме stateless происходит проверка каждого пакета. «Прямой» и «ответный» трафики требуется разрешать в соответствующих zone-pair (см. шаг 29).

Работа межсетевого экрана по списку приложений возможна только в режиме stateless.

esr(config)# ip firewall mode <MODE>

<MODE> – режим работы межсетевого экрана, может принимать значения: stateful, stateless.

Значение по умолчанию: stateful.

7

Определить время жизни сессии для неподдерживаемых протоколов (не обязательно).

esr(config)# ip firewall sessions generic-timeout <TIME>

<TIME> – время жизни сессии для неподдерживаемых протоколов, принимает значения в секундах [1..8553600].

По умолчанию: 60 секунд.

8

Определить время жизни ICMP-сессии, по истечении которого она считается устаревшей (не обязательно).

esr(config)# ip firewall sessions icmp-timeout <TIME>

<TIME> – время жизни ICMP-сессии, принимает значения в секундах [1..8553600].

По умолчанию: 30 секунд.

9

Определить время жизни ICMPv6-сессии, по истечении которого она считается устаревшей (не обязательно).

esr(config)# ip firewall sessions icmpv6-timeout <TIME>

<TIME> – время жизни ICMP-сессии, принимает значения в секундах [1..8553600].

По умолчанию: 30 секунд.

10

Определить размер таблицы сессий, ожидающих обработки (не обязательно).

esr(config)# ip firewall sessions max-expect <COUNT>

<COUNT> – размер таблицы, принимает значения [1..8553600].

По умолчанию: 256.

11

Определить размер таблицы отслеживаемых сессий (не обязательно).

esr(config)# ip firewall sessions max-tracking <COUNT>

<COUNT> – размер таблицы, принимает значения [1..8553600].
По умолчанию: 512000.

12

Определить время жизни TCP-сессии в состоянии «соединение устанавливается», по истечении которого она считается устаревшей (не обязательно).

esr(config)# ip firewall sessions tcp-connect-timeout <TIME>

<TIME> – время жизни TCP-сессии в состоянии «соединение устанавливается», принимает значения в секундах [1..8553600].

По умолчанию: 60 секунд.

13

Определить время жизни TCP-сессии в состоянии «соединение закрывается», по истечении которого она считается устаревшей (не обязательно).

esr(config)# ip firewall sessions tcp-disconnect-timeout <TIME>

<TIME> – время жизни TCP-сессии в состоянии «соединение закрывается» принимает значения в секундах [1..8553600].
По умолчанию: 30 секунд.

14

Определить время жизни TCP-сессии в состоянии «соединение установлено», по истечении которого она считается устаревшей (не обязательно).

esr(config)# ip firewall sessions tcp-established-timeout <TIME>

<TIME> – время жизни TCP-сессии в состоянии «соединение установлено», принимает значения в секундах [1..8553600].

По умолчанию: 120 секунд.

15

Определить время ожидания, по истечении которого происходит фактическое удаление закрытой TCP-сессии из таблицы отслеживаемых сессий (не обязательно).

esr(config)# ip firewall sessions tcp-latecome-timeout <TIME>

<TIME> – время ожидания, принимает значения в секундах [1..8553600].

По умолчанию: 120 секунд.

16

Включить функцию отслеживания сессий уровня приложений для отдельных протоколов (не обязательно).

esr(config)# ip firewall sessions tracking

<PROTOCOL> – протокол уровня приложений [ftp, h323, pptp, netbios-ns, tftp], сессии которого должны отслеживаться.

<OBJECT-GROUP-SERVICE> – имя профиля TCP/UDP-портов sip-сессии, задаётся строкой до 31 символа. Если группа не указана, то отслеживание сессий sip будет осуществляться для порта 5060.

Вместо имени отдельного протокола можно использовать ключ «all», который включает функцию отслеживания сессий уровня приложений для всех доступных протоколов.

По умолчанию – отключено для всех протоколов.

17

Определить время жизни UDP-сессии в состоянии «соединение подтверждено», по истечении которого она считается устаревшей (не обязательно).

esr(config)# ip firewall sessions udp-assured-timeout <TIME>

<TIME> – время жизни UDP-сессии в состоянии «соединение подтверждено», принимает значения в секундах [1..8553600].

По умолчанию: 180 секунд.

18

Определить время жизни UDP-сессии в состоянии «соединение не подтверждено», по истечении которого она считается устаревшей.

esr(config)# ip firewall sessions udp-wait-timeout <TIME>

<TIME> – время жизни UDP-сессии в состоянии «соединение не подтверждено», принимает значения в секундах [1..8553600].

По умолчанию: 30 секунд.

19Создать списки MAC-адресов, которые будут использоваться при фильтрации.esr(config)# object-group mac <obj-group-name><obj-group-name> – до 31 символа.
20Задать описание списка MAC-адресов (не обязательно).esr(config-object-group-mac)# description <description><description> – описание профиля, задается строкой до 255 символов.
21Внести необходимые MAC-адреса в список.esr(config-object-group-mac)# mac address <ADDR> <WILDCARD>

<ADDR> – МАС-адрес, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF].

<WILDCARD> – маска МАС-адреса, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF]. Биты маски, установленные в 0, задают биты MAC-адреса, исключаемые из сравнения при поиске.

22

Создать списки IP-адресов, которые будут использоваться при фильтрации.

esr(config)# object-group network <obj-group-name>

<obj-group-name> – до 31 символа.

23

Задать описание списка IP-адресов (не обязательно).

esr(config-object-group-network)# description <description>

<description> – описание профиля, задается строкой до 255 символов.

24

Внести необходимые IPv4/IPv6-адреса в список.

esr(config-object-group-network)# ip prefix <ADDR/LEN> [ unit <ID> ]

<ADDR/LEN> – подсеть, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32].

<ID> – номер юнита, принимает значения [1..2].

esr(config-object-group-network)# ip address-range
<FROM-ADDR>-<TO-ADDR> [ unit <ID> ]

<FROM-ADDR> – начальный IP-адрес диапазона адресов;

<TO-ADDR> – конечный IP-адрес диапазона адресов, опциональный параметр. Если параметр не указан, то командой задаётся одиночный IP-адрес.

Адреса задаются в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].

<ID> – номер юнита, принимает значения [1..2].

esr(config-object-group-network)# ipv6 prefix <IPV6-ADDR/LEN> [ unit <ID> ]

<IPV6-ADDR/LEN> – IP-адрес и маска подсети, задаётся в виде X:X:X:X::X/EE, где каждая часть X принимает значения в шестнадцатеричном формате [0..FFFF] и EE принимает значения [1..128].

<ID> – номер юнита, принимает значения [1..2].

esr(config-object-group-network)# ipv6 address-range
<FROM-ADDR>-<TO-ADDR> [ unit <ID> ]

<FROM-ADDR> – начальный IPv6-адрес диапазона адресов;

<TO-ADDR> – конечный IPv6-адрес диапазона адресов, опциональный параметр. Если параметр не указан, то командой задаётся одиночный IPv6-адрес.

Адреса задаются в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].

<ID> – номер юнита, принимает значения [1..2].

25

Создать списки сервисов, которые будут использоваться при фильтрации.

esr(config)# object-group service <obj-group-name>

<obj-group-name> – имя профиля сервисов, задается строкой до 31 символа.

26

Задать описание списка сервисов (не обязательно).

esr(config-object-group-service)# description <description>

<description> – описание профиля, задается строкой до 255 символов.

27

Внести необходимые сервисы (tcp/udp-порты) в список.

esr(config-object-group-service)# port-range <port>

<port> – принимает значение [1..65535].

Можно указать несколько портов перечислением через запятую «,» либо указать диапазон портов через «-».

28

Создать списки приложений, которые будут использоваться в механизме DPI.

esr(config)# object-group application <NAME>

<NAME> – имя профиля приложений, задается строкой до 31 символа.

29

Задать описание списка приложений (не обязательно).

esr(config-object-group-application)# description <description>

<description> – описание профиля, задается строкой до 255 символов.

30

Внести необходимые приложения в списки.

esr(config-object-group-application)# application < APPLICATION >

<APPLICATION> – указывает приложение, попадающее под действие данного профиля.

31

Включить интерфейсы (физические, логические, E1/Multilink и подключаемые), сервер удаленного доступа (l2tp, openvpn, pptp) или туннели (gre, ip4ip4, l2tp, lt, pppoe, pptp) в зоны безопасности (если необходимо).

esr(config-if-gi)# security-zone <zone-name>

<zone-name> – до 12 символов.

Отключить функции Firewall на сетевом интерфейсе (физические, логические, E1/Multilink и подключаемые), сервере удаленного доступа (l2tp, openvpn, pptp) или туннели (gre, ip4ip4, l2tp, lt, pppoe, pptp) (если необходимо).

esr(config-if-gi)# ip firewall disable


32

Создать набор правил межзонового взаимодействия.

На маршрутизаторе всегда существует зона безопасности с именем «self». Если в качестве получателя трафика выступает сам маршрутизатор, то есть трафик не является транзитным, то в качестве параметра указывается зона «self».

Очерёдность обработки трафика для разных zone-pair описана в примечании.

esr(config)# security zone-pair <src-zone-name1> <dst-zone-name2>

<src-zone-name> – до 12 символов.

<dst-zone-name> – до 12 символов.

33

Создать правило межзонового взаимодействия.

esr(config-security-zone-pair)# rule <rule-number>

<rule-number> – 1..10000.

34

Задать описание правила (не обязательно).

esr(config-security-zone-rulepair)# description <description>

<description> – до 255 символов.

35

Указать действие данного правила.

esr(config-security-zone-pair-rule)# action <action> [ log ]

<action> – permit/deny/reject/netflow-sample/sflow-sample/rate-limit/session-limit

Примечание
Ключ session-limit применим только на моделях
ESR-30/ESR-3100/ESR-3200/3200L/3300.

log – ключ для активации логирования сессий, устанавливающимися согласно данному правилу.

36

Установить имя или номер IP-протокола, для которого должно срабатывать правило (не обязательно).

esr(config-security-zone-pair-rule)# match [not] protocol <protocol-type>

<protocol-type> – тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rdp, l2tp, gre.

При указании значения «any» правило будет срабатывать для любых протоколов.

esr(config-security-zone-pair-rule)# match [not] protocol-id <protocol-id>

<protocol-id> – идентификационный номер IP-протокола, принимает значения [0x00-0xFF].

37

Установить профиль IP-адресов отправителя, для которых должно срабатывать правило (не обязательно).

esr(config-security-zone-pair-rule)# match [not] source-address <TYPE> {<FROM-ADDR> - <TO ADDR> | <OBJ-GROUP-NAME> | <ADDR/LEN>}



<TYPE> – <TYPE> – тип аргумента, устанавливаемый в качестве адреса:

  • address-range – указать диапазон IPv4/IPv6 адресов;
  • object-group – указать имя профиля;
  • prefix – указать адрес подсети и префикс;
  • any – установить в качестве адреса любой адрес.

<FROM-ADDR> – начальный IP-адрес диапазона;
<TO-ADDR> – конечный IP-адрес диапазона;

<OBJ-GROUP-NAME> – имя профиля IP-адресов, задаётся строкой до 31 символа;

<ADDR/LEN> – IP-адрес и маска подсети.

38

Установить профиль IP-адресов получателя, для которых должно срабатывать правило (не обязательно).

esr(config-security-zone-pair-rule)# match [not] destination-address <TYPE> {<FROM-ADDR> - <TO ADDR> | <OBJ-GROUP-NAME> | <ADDR/LEN>}

39

Установить MAC-адрес отправителя, для которого должно срабатывать правило (не обязательно).

esr(config-security-zone-pair-rule)# match [not] source-mac {<mac-addr> | <OBJ-GROUP-NAME>}

<mac-addr> – задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF].

<OBJ-GROUP-NAME> – имя профиля MAC-адресов, задаётся строкой до 31 символа;.

40

Установить MAC-адрес получателя, для которого должно срабатывать правило (не обязательно).

esr(config-security-zone-pair-rule)# match [not] destination-mac {<mac-addr> | <OBJ-GROUP-NAME>}

41

Установить профиль TCP/UDP-портов отправителя, для которых должно срабатывать правило (если указан протокол).

esr(config-security-zone-pair-rule)# match [not] source-port <TYPE> {<PORT-SET-NAME> | <FROM-PORT> - <TO-PORT>}

<TYPE> – тип аргумента, устанавливаемый в качестве порта:

  • object-group – указать имя профиля;
  • port-range – указать диапазон портов;
  • any – установить в качестве порта любой порт.

<PORT-SET-NAME> – задаётся строкой до 31 символа;

<FROM-PORT> – начальный порт диапазона;

<TO-PORT> – конечный порт диапазона.


42

Установить профиль TCP/UDP-портов получателя, для которых должно срабатывать правило (если указан протокол).

esr(config-security-zone-pair-rule)# match [not] destination-port <TYPE> {<PORT-SET-NAME> | <FROM-PORT> - <TO-PORT>}

43Установить профиль приложений, которые будут использоваться в механизме DPI.esr(config-security-zone-pair-rule)# match [not] application <OBJ-GROUP-NAME><OBJ-GROUP-NAME> – имя профиля приложений, задаётся строкой до 31 символа.

44

Установить тип и код сообщений протокола ICMP, для которых должно срабатывать правило (если в качестве протокола выбран ICMP) (не обязательно).

esr(config-security-zone-pair-rule)# match [not] icmp <ICMP_TYPE> <ICMP_CODE>

<ICMP_TYPE> – тип сообщения протокола ICMP, принимает значения [0..255];

<ICMP_CODE> – код сообщения протокола ICMP, принимает значения [0..255]. При указании значения «any» правило будет срабатывать для любого кода сообщения протокола ICMP.

4445

Установить ограничение, при котором правило будет срабатывать только для трафика, измененного сервисом трансляции IP-адресов и портов получателя.

esr(config-security-zone-pair-rule)# match [not] destination-nat


4546

Установить фильтрацию только для фрагментированных IP-пакетов (не обязательно, доступно только для zone-pair any self и zone-pair <zone-name> any).

esr(config-security-zone-pair-rule)# match [not] fragment


4647

Установить фильтрацию для IP-пакетов, содержащих ip-option (не обязательно, доступно только для zone-pair any self и zone-pair <zone-name> any).

esr(config-security-zone-pair-rule)# match [not] ip-option


4748

Включить правило межзонового взаимодействия.

esr(config-security-zone-pair-rule)# enable


4849

Активировать фильтрацию и режим отслеживания сессий при прохождении пакетов между участниками одной Bridge-группы (не обязательно, доступно только на ESR-1000/1200/1500/1511/1700
/3100/3200/3200L/3300).

esr(config-bridge)# ports firewall enable


Якорь
Firewall_zonepair
Firewall_zonepair

Порядок обработки транзитного трафика правилами firewall

  1. Если трафик передаётся с одного интерфейса на другой в пределах одной зоны (src-zone-name), то он Трафик проверяется правилами zone-pair srcuser-zone -name src-zone-nameany.
    Если трафик не попал ни под одно из правил текущей zone-pair, переходим к следующему шагу.
  2. Если трафик передаётся с одного интерфейса на другой в разных зонахпределах одной зоны (user-zone), то он проверяется правилами zone-pair srcpair user-zone user-name dst-zone-name.
    Если трафик не попал ни под одно из правил текущей zone-pair, переходим к следующему шагу.Трафик
  3. Если трафик передаётся с одного интерфейса на другой в разных зонах, то он проверяется правилами zone-pair srcpair user-zonezone1 user-name anyzone2.
    Если трафик не попал ни под одно из правил текущей zone-pair, переходим к следующему шагу.
  4. Трафик проверяется правилами zone-pair any any.
    Если трафик не попал ни под одно из правил текущей zone-pair, он отбрасывается.

...

  1. Трафик проверяется правилами zone-pair any self.
    Если трафик не попал ни под одно из правил текущей zone-pair, переходим к следующему шагу.
  2. Трафик проверяется правилами zone-pair srcuser-zone -name self.
    Если трафик не попал ни под одно из правил текущей zone-pair, он отбрасываетсяпереходим к следующему шагу.

Каждая команда «match» может содержать ключ «not». При использовании данного ключа под правило будут подпадать пакеты, не удовлетворяющие заданному критерию.

Более подробная информация о командах для настройки межсетевого экрана содержится в справочнике команд CLI.

Scroll Pagebreak

Пример настройки Firewall

...

Блок кода
esr# configure
esr(config)# security zone LAN
esr(config-security-zone)# exit
esr(config)# security zone WAN
esr(config-security-zone)# exit

Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности:

...

Блок кода
esr(config)# object-group network WAN
esr(config-object-group-network)# ip address-range 192.168.23.2
esr(config-object-group-network)# exit
esr(config)# object-group network LAN
esr(config-object-group-network)# ip address-range 192.168.12.2
esr(config-object-group-network)# exit
esr(config)# object-group network LAN_GATEWAY
esr(config-object-group-network)# ip address-range 192.168.12.1
esr(config-object-group-network)# exit
esr(config)# object-group network WAN_GATEWAY
esr(config-object-group-network)# ip address-range 192.168.23.3
esr(config-object-group-network)# exit

Scroll Pagebreak

Для пропуска трафика из зоны «LAN» в зону «WAN» создадим пару зон и добавим правило, разрешающее проходить ICMP-трафику от R1 к R2. Действие правил разрешается командой enable:

Блок кода
esr(config)# security zone-pair LAN WAN
esr(config-security-zone-pair)# rule 1
esr(config-security-zone-pair-rule)# action permit
esr(config-security-zone-pair-rule)# match protocol icmp
esr(config-security-zone-pair-rule)# match destination-address object-group WAN_GATEWAY
esr(config-security-zone-pair-rule)# match source-address object-group LAN_GATEWAY
esr(config-security-zone-pair-rule)# enable
esr(config-security-zone-pair-rule)# exit
esr(config-security-zone-pair-pairrule)# exit

Scroll Pagebreak

Для пропуска трафика из зоны «WAN» в зону «LAN» создадим пару зон и добавим правило, разрешающее проходить ICMP-трафику от R2 к R1. Действие правил разрешается командой enable:

Блок кода
esr(config)# security zone-pair WAN LAN
esr(config-security-zone-pair)# rule 1
esr(config-security-zone-pair-rule)# action permit
esr(config-security-zone-pair-rule)# match protocol icmp
esr(config-security-zone-pair-rule)# match destination-address object-group LAN_GATEWAY
esr(config-security-zone-pair-rule)# match source-address object-group WAN_GATEWAY
esr(config-security-zone-pair-rule)# enable
esr(config-security-zone-pair-rule)# exit
esr(config-security-zone-pair)# exit

На маршрутизаторе всегда существует зона безопасности с именем «self». Если в качестве получателя трафика выступает сам маршрутизатор, то есть трафик не является транзитным, то в качестве параметра указывается зона «self». Создадим пару зон для трафика, идущего из зоны «WAN» в зону «self». Добавим правило, разрешающее проходить ICMP-трафику между R2 и маршрутизатором ESR, для того чтобы маршрутизатор начал отвечать на ICMP-запросы из зоны «WAN»:

Блок кода
esr(config)# security zone-pair WAN self
esr(config-security-zone-pair)# rule 1
esr(config-security-zone-pair-rule)# action permit
esr(config-security-zone-pair-rule)# match protocol icmp
esr(config-security-zone-pair-rule)# match destination-address object-group WAN
esr(config-security-zone-pair-rule)# match source-address object-group WAN_GATEWAY
esr(config-security-zone-pair-rule)# enable
esr(config-security-zone-pair-rule)# exit
esr(config-security-zone-pair)# exit

Scroll Pagebreak

Создадим пару зон для трафика, идущего из зоны «LAN» в зону «self». Добавим правило, разрешающее проходить ICMP-трафику между R1 и ESR, для того чтобы маршрутизатор начал отвечать на ICMP-запросы из зоны «LAN»:

Блок кода
esr(config)# security zone-pair LAN self
esr(config-security-zone-pair)# rule 1
esr(config-security-zone-pair-rule)# action permit
esr(config-security-zone-pair-rule)# match protocol icmp
esr(config-security-zone-pair-rule)# match destination-address object-group LAN
esr(config-security-zone-pair-rule)# match source-address object-group LAN_GATEWAY
esr(config-security-zone-pair-rule)# enable
esr(config-security-zone-pair-rule)# exit
esr(config-security-zone-pair)# exit
esr(config)# exit

...

Блок кода
esr# show security zone-pair
esr# show security zone-pair configuration

Scroll Pagebreak

Посмотреть активные сессии можно с помощью команд:

...

Пример настройки фильтрации приложений (DPI)

Примечание

Использование механизма фильтрации приложений многократно снижает производительность маршрутизатора из-за необходимости проверки каждого пакета. Производительность снижается с ростом количества выбранных приложений для фильтрации.

Задача:

Блокировать доступ к ресурсам youtube, bittorrent и facebook.

Scroll Pagebreak

Решение:

Для каждой сети ESR создадим свою зону безопасности:

Блок кода
esr# configure
esr(config)# security zone LAN
esr(config-security-zone)# exit
esr(config)# security zone WAN
esr(config-security-zone)# exit

Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности:

...

Блок кода
esr(config)# ip firewall mode stateless

Scroll Pagebreak

Для настройки правил зон безопасности потребуется создать профиль приложений, которые необходимо будет блокировать.

...

Блок кода
esr(config)# security zone-pair WAN LAN 
esr(config-security-zone-pair)# rule 1
esr(config-security-zone-pair-rule)# action deny
esr(config-security-zone-pair-rule)# match application APP
esr(config-security-zone-pair-rule)# enable
esr(config-security-zone-pair-rule)# exit
esr(config-security-zone-pair)# rule 2
esr(config-security-zone-pair-rule)# action permit
esr(config-security-zone-pair-rule)# enable
esr(config-security-zone-pair-rule)# exit
esr(config-security-zone-pair-pair)# exit

Для установки правил прохождения трафика из зоны «LAN» в зону «WAN» создадим пару зон и добавим правило, запрещающее прохождение трафика приложений, и правило, разрешающее прохождение всего остального трафика. Действие правил разрешается командой enable:

Блок кода
esr(config)# security zone-pair LAN WAN
esr(config-security-zone-pair)# rule 1
esr(config-security-zone-pair-rule)# action deny
esr(config-security-zone-pair-rule)# match application APP
esr(config-security-zone-pair-rule)# enable
esr(config-security-zone-pair-rule)# exit
esr(config-security-zone-pair)# rule 2
esr(config-security-zone-pair-rule)# action permit
esr(config-security-zone-pair-rule)# enable
esr(config-security-zone-pair-rule)# exit
esr(config-security-zone-pair-pair)# exit

Посмотреть членство портов в зонах можно с помощью команды:

...

Блок кода
esr# show ip access-list white

Scroll Pagebreak

Якорь
Настройка IPS/IDS
Настройка IPS/IDS
Настройка IPS/IDS


Примечание
Данная функция активируется только при наличии лицензии.

IPS/IDS (Intrusion Prevention System/Intrusion Detection System) – система предотвращения вторжений – программная система сетевой и компьютерной безопасности, обнаруживающая вторжения или нарушения безопасности и автоматически защищающая от них.

...

Шаг

Описание

Команда

Ключи

1

Создать политику безопасности IPS/IDS.

esr(config)# security ips policy <NAME>

<NAME> – имя политики безопасности, задаётся строкой до 32 символов.

2

Задать описание политики (не обязательно).

esr(config-ips-policy)# description <DESCRIPTION>

<DESCRIPTION> – описание задаётся строкой до 255 символов.

3

Задать профиль IP-адресов, которые будет защищать IPS/IDS.

esr(config-ips-policy)# protect network-group <OBJ-GROUP-NETWORK_NAME>

<OBJ-GROUP-NETWORK-NAME> – имя профиля защищаемых IP-адресов, задается строкой до 32 символов.

4

Задать профиль IP-адресов, внешних для IPS/IDS (не обязательно).

esr(config-ips-policy)# external network-group <OBJ-GROUP-NETWORK_NAME>

<OBJ-GROUP-NETWORK-NAME> – имя профиля внешних IP-адресов, задается строкой до 32 символов.

5

Перейти в режим конфигурирования IPS/IDS.

esr(config)# security ips


6

Назначить политику безопасности IPS/IDS.

esr(config-ips)# policy <NAME>

<NAME> – имя политики безопасности, задаётся строкой до 32 символов.

7

Использовать все ресурсы ESR для IPS/IDS (не обязательно).

esr(config-ips)# perfomance max

По умолчанию для IPS/IDS отдается половина доступных ядер процессора.

8

Задать параметры удаленного сервера для отправки статистики работы сервиса IPS/IDS в формате EVE (elasticsearch) (не обязательно).

esr(config-ips)# logging remote-server { <ADDR> | <IPV6-ADDR> } [ <TRANSPORT> ] [ <PORT> ] [ source-address { <SRC-ADDR> | <IPV6-SRC-ADDR> | object-group <NETWORK_OBJ_GROUP_NAME> } ]

<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<IPV6-ADDR> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF];

<TRANSPORT> – протокол передачи данных, по умолчанию – UDP, принимает значения:

  • TCP – передача данных осуществляется по протоколу TCP;
  • UDP – передача данных осуществляется по протоколу UDP.

<PORT> – номер TCP/UDP-порта, опциональный параметр, принимает значения [1..65535], по умолчанию 514;

<SRC-ADDR> – IPv4-адрес маршрутизатора, который будет использоваться в качестве IP-адреса источника в отправляемых syslog-пакетах, по умолчанию – IPv4-адрес интерфейса, с которого отправляются пакеты;

<IPV6-SRC-ADDR> – IPv6-адрес маршрутизатора, который будет использоваться в качестве IPv6-адреса источника в отправляемых syslog-пакетах, по умолчанию – IPv6-адрес интерфейса, с которого отправляются пакеты;

<NETWORK_OBJ_GROUP_NAME> – список адресов, которые будут использоваться в качестве source address.

9Установить интервал отправки статистики работы сервиса IPS/IDS в формате EVE (elasticsearch) (не обязательно).esr(config-ips)# logging update-interval  <INTERVAL><INTERVAL> – интервал отправки статистики работы сервиса IPS/IDS, задаётся в минутах.
10Заблокировать передачу трафика при начальной загрузке до запуска сервиса IPS/IDS и загрузки хотя бы одного настроенного или существующего правила (не обязательно).esr(config-ips)# fail-close enable

11Установить размер виртуальных очередей  очередей (не обязательно).esr(config-ips)# queue-limit <QUEUE-LIMIT>

<QUEUE-LIMIT> – предельное количество пакетов в виртуальной очереди, принимает значения в диапазоне [32..4096]

Размер очереди по умолчанию 1024

12Активировать сервис IPS.esr(config-ips)# enable

13

Активировать IPS/IDS на интерфейсе.

esr(config-if-gi)# service-ips { inline | monitor }

inline – этот режим устанавливается, когда ESR с сервисом IPS/IDS ставится в разрыв сети.

monitor – этот режим устанавливается, когда ESR с сервисом IPS/IDS мониторит зеркалируемый трафик.

...

Шаг

Описание

Команда

Ключи

1Задать имя внешнего хранилища скачиваемых правил (не обязательно).

esr(config-ips)# storage-path { usb://<USB-NAME>:/ | mmc://<MMC-NAME>:/ }

<USB-NAME> – имя подключенного USB-носителя. Имя можно узнать в выводе команды show storage-devices usb;

<MMC-NAME> – имя подключенного MMC-носителя. Имя можно узнать в выводе команды show storage-devices mmc.

Для использования с системой IPS/IDS на внешнем носителе должен быть создан раздел файловой системы в формате exFAT.

2

Перейти в режим конфигурирования автообновлений.

esr(config-ips)# auto-upgrade


3

Задать имя и перейти в режим конфигурирования пользовательского сервера обновлений.

esr(config-ips-auto-upgrade)# user-server <WORD>

<WORD> – имя сервера, задаётся строкой до 32 символов.

4

Задать описание пользовательского сервера обновлений (не обязательно).

esr(config-ips-upgrade-user-server)# description <DESCRIPTION>

<DESCRIPTION> – описание задаётся строкой до 255 символов.

5

Задать URL.

esr(config-ips-upgrade-user-server)# url <URL>

<URL> – текстовое поле, содержащее URL-ссылку длиной от 8 до 255 символов.

В качестве URL-ссылки может быть указан:

  • файл правил с расширение .rule;
  • файл классификатора правил с именем classification.config;
  • каталог на сервере содержащий файлы правил и/или файл классификатора правил.

6

Задать частоту проверки обновлений (не обязательно).

esr(config-ips-upgrade-user-server)# upgrade interval <HOURS>

<HOURS> – интервал обновлений в часах, от 1 до 240.

Значение по умолчанию: 24 часа.

7Активизировать пользовательский сервер обновлений.esr(config-ips-upgrade-user-server)# enable


Предупреждение

Для правил IPS/IDS, загружаемых из внешних источников, на маршрутизаторах ESR выделена отдельная область энергозависимой памяти.

Размер этой области зависит от модели ESR:

  • ESR-1X – 25 МБ;
  • ESR-2X – 50 МБ;

Для всех остальных моделей – 100 МБ.

Если настроить слишком много источников правил или загружать правила, превышающие указанные лимиты, то маршрутизатор будет выдавать сообщения об ошибке %STORAGE_IPS_MGR-I-ERR: There no free space in rules directory.
В этом случае стоит уменьшить объем запрашиваемых правил или использовать внешнее хранилище.

Scroll Pagebreak

Рекомендуемые открытые источники обновления правил

...

Шаг

Описание

Команда

Ключи

1

Задать имя и перейти в режим конфигурирования набора пользовательских правил.

esr(config)# security ips-category user-defined <WORD>

<WORD> – имя набора пользовательских правил, задаётся строкой до 32 символов.

2

Задать описание набора пользовательских правил (не обязательно).

esr(config-ips-category)# description <DESCRIPTION>

<DESCRIPTION> – описание задаётся строкой до 255 символов.

3

Создать расширенное правило и перейти в режим его конфигурирования.

esr(config-ips-category)# rule-advanced <SID>

<SID> – номер правила, принимает значения [1.. 4294967295].

4

Задать описание правила (не обязательно).

esr(config-ips-category-rule-advanced)# description <DESCRIPTION>

<DESCRIPTION> – описание задаётся строкой до 255 символов.

5

Указать действие данного правила.

esr(config-ips-category-rule-advanced)# rule-text <LINE>

<CONTENT> – текстовое сообщение в формате SNORT 2.X / Suricata 4.X, задаётся строкой до 1024 символов.

Примечание

При написании правил в тексте правила необходимо использовать только двойные кавычки (символ "), а само правило необходимо заключать в одинарные кавычки (символ ').


6Активировать правило.

esr(config-ips-category-rule-advanced)# enable


...

ШагОписаниеКомандаКлючи

1

Перейти в конфигурирование контент- провайдера.

esr (config)# content-provider

2

Задать IP-адрес edm-сервера.

esr (config-content-provider)# host address <A.B.C.D | WORD | X:X:X:X::X>

<IP-ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<IPV6-ADDR> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].

WORD(1-31) – DNS-имя сервера.

3

Задать порт для подключения к edm-серверу.

esr (config-content-provider)# host port <PORT> 

<PORT> – номер TCP/UDP-порта отправителя, принимает значения [1..65535].

4

Задать тип и раздел внешнего устройства для создания крипто-хранилища.

esr (config-content-provider)# storage-path <DEVICE>

<DEVICE> – лейбл и имя раздела на внешнем носителе информации в формате usb://Partion_name:/

mmc://Partion_name:/.

На внешнем носителе должна быть создана файловая система в формате exFAT.

5

Установить время перезагрузки устройства после получения сертификата.

esr (config-content-provider)# reboot immediately | [time <HH:MM:SS> | <WEEK_DAY>]

Перезагрузить устройство после получения сертификата.

time <HH:MM:SS> – время, в которое ESR перезагрузится <Часы:минуты:секунды>.

<WEEK_DAY> - день недели, принимает значения: Monday, Tuesday, Wednesday, Thursday, Friday, Saturday, Sunday.

6

Включить контент провайдер.

enable

7

Установить интервал обращения к edm-серверу в часах.

esr (config-content-provider)# upgrade interval <1-240>

8

Установить описание (не обязательно).

esr (config-content-provider)# description < LINE >

LINE (1-255) String describing server

9Задать текстовое имя устройства, которое передаётся на сервер EDM-Issue (не обязательно).esr (config-content-provider)# system-name < WORD ><WORD> – имя, задаётся строкой до 255 символов.
10Задать текстовое описание, которое передаётся на сервер EDM-Issue (не обязательно).esr (config-content-provider)# location < WORD ><WORD> – описание, задаётся строкой до 255 символов.

11

Создать списки IP-адресов, которые будут использоваться при фильтрации.

esr (config)# object-group network <WORD>

esr (config-object-group-network)# ip prefix <ADDR/LEN> [ unit <ID> ]

<WORD> – имя сервера, задаётся строкой до 32 символов.

<ADDR/LEN> – подсеть, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32].

<ID> – номер юнита, принимает значения [1..2].

10

На интерфейсе включить service-ips.

esr (config)# interface gigabitethernet 1/0/Xesr (config-if-gi)# service-ips enable

11

Создать политику безопасности IPS/IDS.

esr (config)# security ips policy WORD(1-31)

WORD(1-31)

12

Задать профиль IP-адресов, которые будет защищать IPS/IDS.

esr(config-ips-policy)# protect network-group <OBJ-GROUP-NETWORK_NAME>

<OBJ-GROUP-NETWORK-NAME> – имя профиля защищаемых IP-адресов, задается строкой до 32 символов.

13

Войти в раздел конфигурирования вендора.

esr (config-ips-policy)# vendor kaspersky

14

Подключить необходимую категорию.

esr (config-ips-vendor)# category WORD(1-64)

Категории, доступные по текущей подписке, можно посмотреть в контекстной подсказке или командой:

show security ips content-provider rules-info

15

Задать тип правил.

esr (config-ips-vendor-category)# rules action <ACTION>

<ACTION> - drop | reject | alert | pass – действия, которые будут применяться к пакетам.

  • alert – прохождение трафика разрешается, и сервис IPS/IDS генерирует сообщение;

  • reject – прохождение трафика запрещается. Если это TCP-трафик, отправителю и получателю посылается пакет TCP-RESET, для остального типа трафика посылается пакет ICMP-ERROR. Сервис IPS/IDS генерирует сообщение;

  • pass – прохождение трафика разрешается;

  • drop – прохождение трафика запрещается, и сервис IPS/IDS генерирует сообщение.

16

Задать количество скачиваемых правил.

esr (config-ips-vendor-category)# rules { all | count <COUNT> | percent <PERCENT> | recomended }
  • all – данной командой указывается, что система IPS/IDS будет работать с полным набором правил данной категории;
  • count <COUNT> – данной командой указывается действующее число правил данной категории, с которым будет работать система IPS/IDS:
    • <COUNT> – число правил. Минимальное значение 1, максимальное значение зависит от категории правил.
  • percent <PERCENT> – данной командой указывается процентное соотношение от общего числа правил данной категории, с которым будет работать система IPS/IDS:
    • <PERCENT> – процент от общего числа правил.

  • recomended – данной командой указывается, что система IPS/IDS будет использовать рекомендованное количество правил в данной категории. Рекомендованное количество составляет 42% от общего числа правил.

Максимальное число правил по категориям можно посмотреть в контекстной подсказке или командой:

show security ips content-provider rules-info

17

Включить категорию.

enable

18

Перейти в режим конфигурирования IPS/IDS.

esr (config)# security ips

19

Назначить политику безопасности IPS/IDS.

esr(config-ips)# policy <NAME>

<NAME> – имя политики безопасности, задаётся строкой до 32 символов.

20

Использовать все ресурсы ESR для IPS/IDS (не обязательно).

esr(config-ips)# perfomance max


21

Задать параметры удаленного сервера для отправки статистики работы сервиса IPS/IDS в формате EVE (elasticsearch) (не обязательно).

esr(config-ips)# logging remote-server  { <ADDR> | <IPV6-ADDR> } [ <TRANSPORT> ] [ <PORT> ] [ source-address { <SRC-ADDR> | <IPV6-SRC-ADDR> } ]

<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<IPV6-ADDR> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF];

<TRANSPORT> – протокол передачи данных, по умолчанию – UDP, принимает значения:

  • TCP – передача данных осуществляется по протоколу TCP;
  • UDP – передача данных осуществляется по протоколу UDP.

<PORT> – номер TCP/UDP-порта, опциональный параметр, принимает значения [1..65535], по умолчанию 514;

<SRC-ADDR> – IPv4-адрес маршрутизатора, который будет использоваться в качестве IP-адреса источника в отправляемых syslog-пакетах, по умолчанию – IPv4-адрес интерфейса, с которого отправляются пакеты;

<IPV6-SRC-ADDR> – IPv6-адрес маршрутизатора, который будет использоваться в качестве IPv6-адреса источника в отправляемых syslog-пакетах, по умолчанию – IPv6-адрес интерфейса, с которого отправляются пакеты.

22Установить интервал отправки статистики работы сервиса IPS/IDS в формате EVE (elasticsearch) (не обязательно).esr(config-ips)# logging update-interval  <INTERVAL><INTERVAL> – интервал отправки статистики работы сервиса IPS/IDS, задаётся в минутах.

23

Активировать IPS/IDS.

esr(config- ips )# enable


...

Настройка сервиса контентной фильтрации

Примечание
Данная функция активируется только при наличии лицензии.

Сервис контентной фильтрации предназначен для ограничения доступа к HTTP/HTTPS-сайтам на основании их содержимого. Для каждого сайта определяется принадлежность его к той или иной категории. В качестве базы категорий сайтов используется база Лаборатории Касперского. Для определения категории сайтов ESR отправляет HTTPS-запросы на сервер Лаборатории Касперского по адресу https://ksn-vt.kaspersky-labs.com.

...

Шаг

Описание

Команда

Ключи

1Определить IP-адрес DNS-сервера, используемого для разрешения DNS-имен.

esr(config)# domain name-server <IP>

<IP> – IP-адрес используемого DNS-сервера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
2Включить разрешение DNS-имен на устройстве.

esr(config)# domain lookup enable


3

Создать политику безопасности IPS/IDS.

esr(config)# security ips policy <NAME>

<NAME> – имя политики безопасности, задаётся строкой до 32 символов31 символа.

4

Задать описание политики (не обязательно).

esr(config-ips-policy)# description <DESCRIPTION>

<DESCRIPTION> – описание задаётся строкой до 255 символов.

5

Создать списки IP-адресов, которые будут использоваться при фильтрации.

esr (config)# object-group network <WORD>

esr (config-object-group-network)# ip prefix <ADDR/LEN> [ unit <ID> ]

<WORD> – имя сервера, задаётся строкой до 32 31 символов.

<ADDR/LEN> – подсеть, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32].

<ID> – <ID> – номер юнита, принимает значения значения [1..2].

6

Задать профиль IP-адресов, которые будет защищать IPS/IDS.

esr(config-ips-policy)# protect network-group <OBJ-GROUP-NETWORK_NAME>

<OBJ-GROUP-NETWORK-NAME> – имя профиля защищаемых IP-адресов, задается строкой до 32 31 символов.

7

Задать профиль IP-адресов, внешних для IPS/IDS (не обязательно).

esr(config-ips-policy)# external network-group <OBJ-GROUP-NETWORK_NAME>

<OBJ-GROUP-NETWORK-NAME> – имя профиля внешних IP-адресов, задается строкой до 32 31 символов.

8Создать профиль категорий контентной фильтрации.

esr(config)# object-group content-filter <NAME>

<NAME> – имя профиля контентной фильтрации, задается строкой до 31 символа.

9

Задать описание профиля категорий контентной фильтрации (не обязательно).

esr(config-object-group-content-filter)# description <DESCRIPTION>

<DESCRIPTION> – описание задаётся строкой до 255 символов.

10Задать поставщика категорий контентной фильтрации.

esr(config-object-group-content-filter)# vendor <CONTENT-FILTER-VENDOR>

<CONTENT-FILTER-VENDOR> – название поставщика категорий контентной фильтрации. В текущей версии ПО в качестве поставщика категорий контентной фильтрации может выступать только Лаборатория Касперского.
11Задать необходимые категории контентной фильтрации.

esr(config-object-group-cf-kaspersky)# category <CATEGORY>

<CATEGORY> – имя категории. Описание доступных категорий приведено в справочнике команд.

12

Перейти в режим конфигурирования IPS/IDS.

esr(config)# security ips


13

Назначить политику безопасности IPS/IDS.

esr(config-ips)# policy <NAME>

<NAME> – имя политики безопасности, задаётся строкой до 32 символов.

14

Использовать все ресурсы ESR для IPS/IDS (не обязательно).

esr(config-ips)# perfomance max

По умолчанию для IPS/IDS отдается половина доступных ядер процессора.

15

Задать параметры удаленного сервера для отправки статистики работы сервиса IPS/IDS в формате EVE (elasticsearch) (не обязательно).

esr(config-ips)# logging remote-server  { <ADDR> | <IPV6-ADDR> } [ <TRANSPORT> ] [ <PORT> ] [ source-address { <SRC-ADDR> | <IPV6-SRC-ADDR> } ]

<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<IPV6-ADDR> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF];

<TRANSPORT> – протокол передачи данных, по умолчанию – UDP, принимает значения:

  • TCP – передача данных осуществляется по протоколу TCP;
  • UDP – передача данных осуществляется по протоколу UDP;

<PORT> – номер TCP/UDP-порта, опциональный параметр, принимает значения [1..65535], по умолчанию 514;

<SRC-ADDR> – IPv4-адрес маршрутизатора, который будет использоваться в качестве IP-адреса источника в отправляемых syslog-пакетах, по умолчанию – IPv4-адрес интерфейса, с которого отправляются пакеты;

<IPV6-SRC-ADDR> – IPv6-адрес маршрутизатора, который будет использоваться в качестве IPv6-адреса источника в отправляемых syslog-пакетах, по умолчанию – IPv6-адрес интерфейса, с которого отправляются пакеты.

16Установить интервал отправки статистики работы сервиса IPS/IDS в формате EVE (elasticsearch) (не обязательно).esr(config-ips)# logging update-interval  <INTERVAL><INTERVAL> – интервал отправки статистики работы сервиса IPS/IDS, задаётся в минутах.
17Настроить параметры кэширования сервиса контентной фильтрации.esr(config-ips)# content-filter
18

Установить количество хранящихся в кэше записей.

esr(config-ips-content-filter)# uri cache-size <NUMBER><NUMBER> – количество записей, хранящихся в кэше, принимает значения [1..32768].
19Установить среднее время, в течение которого запись URI будет действительной в кэше.esr(config-ips-content-filter)# uri reachable-interval <DAYS><DAYS> – количество дней, в течение которых запись будет действительной, принимает значения [1..365].
20

Активировать IPS/IDS.

esr(config-ips )# enable18


21

Активировать IPS/IDS на интерфейсе.

esr(config-if-gi)# service-ips enable


1922

Задать имя и перейти в режим конфигурирования набора пользовательских правил.

esr(config)# security ips-category user-defined <WORD>

<WORD> – имя набора пользовательских правил, задаётся строкой до 32 31 символов.20

23

Задать описание набора пользовательских правил (не обязательно).

esr(config-ips-category)# description <DESCRIPTION>

<DESCRIPTION> – описание задаётся строкой до 255 символов.

2124

Создать правило и перейти в режим конфигурирования правила.

esr(config-ips-category)# rule <ORDER>

<ORDER> – номер правила, принимает значения [1..512].22

25

Задать описание правила (не обязательно).

esr(config-ips-category-rule)# description <DESCRIPTION>

<DESCRIPTION> – описание задаётся строкой до 255 символов.23

26

Указать действие данного правила.

esr(config-ips-category-rule)# action { alert | reject | pass | drop }

  • alert – прохождение трафика разрешается, и сервис IPS/IDS генерирует сообщение;
  • reject – прохождение трафика запрещается. Если это TCP-трафик, отправителю и получателю посылается пакет TCP-RESET, для остального типа трафика посылается пакет ICMP-ERROR. Сервис IPS/IDS генерирует сообщение;
  • pass – прохождение трафика разрешается;
  • drop – прохождение трафика запрещается, и сервис IPS/IDS генерирует сообщение.
2427

Установить в качестве IP- протокола протокол HTTP/HTTPS.

esr(config-ips-category-rule)# protocol { http | tls }

  • http – анализируется HTTP-трафик.
  • tls – анализируется HTTP-трафик, защищенный TLS-шифрованием.
2528

Установить IP-адреса отправителя, для которых должно срабатывать правило.

esr(config-ips-category-rule)# source-address
{ip <ADDR> | ip-prefix <ADDR/LEN> |  object-group <OBJ_GR_NAME> | policy-object-group  { protect | external } | any }

<ADDR> – IP-адрес отправителя, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<ADDR/LEN> – IP-подсеть отправителя, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и LEN принимает значения [1..32].

<OBJ_GR_NAME> – имя профиля IP-адресов, который содержит IP-адреса отправителя, задаётся строкой до 31 символа.

  • protect – устанавливает в качестве адресов отправителя protect-адреса, определенные в политике IPS/IDS;
  • external – устанавливает в качестве адресов отправителя external-адреса. определенные в политике IPS/IDS.

При указании значения «any» правило будет срабатывать для любого IP-адреса отправителя.

2629

Установить номера TCP/UDP-портов отправителя, для которых должно срабатывать правило.


esr(config-ips-category-rule)# source-port {any | <PORT> | object-group <OBJ-GR-NAME> }

<PORT> – номер TCP/UDP-порта отправителя, принимает значения [1..65535].

<OBJ_GR_NAME> – имя профиля TCP/UDP портов отправителя, задаётся строкой до 31 символа.

При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта отправителя.27

30

Установить IP-адреса получателя, для которых должно срабатывать правило.

esr(config-ips-category-rule)# destination-address
{ip <ADDR> | ip-prefix <ADDR/LEN> | object-group <OBJ_GR_NAME> |
policy-object-group { protect | external } | any }

<<ADDR> – IP-адрес получателя, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<ADDR/LEN> – IP-подсеть получателя, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и LEN принимает значения [1..32].

< OBJ_GR_NAME> – имя профиля IP-адресов, который содержит IP-адреса получателя, задаётся строкой до 31 символа.

  • protect – устанавливает в качестве адресов получателя protect-адреса, определенные в политике IPS/IDS;
  • external – устанавливает в качестве адресов получателя external-адреса, определенные в политике IPS/IDS.

При указании значения «any» правило будет срабатывать для любого IP-адреса получателя.28

32

Установить номера TCP/UDP-портов получателя, для которых должно срабатывать правило.

Обычно для протокола http используется значение TCP-порт 80.

В случаях когда когда используются web-сервера на нестандартных портах надо пописывать эти порты тоже.

esr(config-ips-category-rule)# destination-port  {any | <PORT> | object-group <OBJ-GR-NAME> }

<PORT> – номер TCP/UDP-порта получателя, принимает значения [1..65535].

<OBJ_GR_NAME> – имя профиля TCP/UDP портов получателя, задаётся строкой до 31 символа.

При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта получателя.29

33

Установить направление потока трафика, для которого должно срабатывать правило.

esr(config-ips-category-rule)# direction { one-way | round-trip }

  • one-way – трафик передаётся в одну сторону.
  • round-trip – трафик передаётся в обе стороны.
3034

Определить сообщение которое IPS/IDS будет записывать в лог, при срабатывании этого правила.

esr(config-ips-category-rule)# meta log-message <MESSAGE>

<MESSAGE> –  текстовое сообщение, задаётся строкой до 129 128 символов.

3135Назначить профиль категорий контентной фильтрации.

esr(config-ips-category-rule)# ip { http | tls } content-filter <NAME>

  • http – анализируется HTTP-трафик.
  • tls – анализируется трафик, защищенный TLS-шифрованием.

<NAME> – имя профиля контентной фильтрации задаётся строкой до 31 символа.

any – правило будет срабатывать для HTTP/HTTPS-сайтов любой категории.

3236Активировать правило.

esr(config-ips-category-rule)# enable


Пример настройки правил контентной фильтрации

Задача:

Запретить доступ к httphttps-сайтам, относящимся к категориям adultкатегориям addictive-contentsubstances, casino, online-betting, online-lotteries addictive-substances narcotics, scam, gambling casino из локальной сети 192.168.1.0/24.

Drawio
bordertrue
viewerToolbartrue
fitWindowfalse
diagramNameESR-Antispam-Usage
simpleViewerfalse
width
diagramWidth931
revision1

...

На устройстве предварительно должны быть настроены интерфейсы и правила firewall.

Scroll Pagebreak

Создадим профиль адресов защищаемой локальной сети:

...

Блок кода
esr(config)# interface gigabitethernet 1/0/2
esr(config-if-gi)# service-ips inline

Настроим параметры IPS/IDS и параметры кэширования ответов с облака:

Блок кода
esr(config)# security ips
esr(config-ips)# policy OFFICE
esr(config-ips)# enable
esr(config-ips)# content-filter
esr(config-ips-content-filter)# uri cache-size 500
esr(config-ips-content-filter)# uri reachable-interval 3

Устройство будет использоваться только как шлюз безопасности, поэтому отдадим сервису IPS/IDS все доступные ресурсы:

...

Блок кода
esr(config-ips-category-rule)# protocol httptls

При httphttps-запросах в качестве TCP/UDP-порта отправителя операционная система использует случайное значение, поэтому требуется указать any:

Блок кода
esr(config-ips-category-rule)# source-port any

В качестве TCP/UDP-порта назначения для протокола http обычно используется 80 порт, но интернет-сайты могут работать и на нестандартных портах, поэтому укажем any:

...

Блок кода
esr(config-ips-category-rule)# ip httptls content-filter Black

Scroll Pagebreak
Активируем правило:

Блок кода
esr(config-ips-category-rule)# enable
esr(config-ips-category-rule)# exit
esr(config-ips-category-rule)# threshold type both

Настройка сервиса «Антиспам»

Примечание

Данный функционал активируется только при наличии лицензии.

Почтовый антиспам, или спам-фильтр — это программа для определения и фильтрации нежелательных электронных сообщений, которые могут поступать через корпоративные почтовые серверы и публичные сервисы электронной почты (спам, почтовый фишинг и т.п.).

Основная задача сервиса «Антиспам» — распознать такие нежелательные письма еще в процессе доставки этих писем в почтовый ящик получателя. Для этого сервисный маршрутизатор ESR с настроенным сервисом «Антиспам» устанавливается в сети перед защищаемым почтовым сервером и перенаправляет через себя электронную почту между этим сервером и другими почтовыми серверами в сети Интернет, фактически выполняя функцию Mail Proxy.

Письма, пришедшие от внешних почтовых доменов, в сервисе «Антиспам» будут проанализированы следующими способами:

  • проверка подлинности домена-отправителя через SPF;
  • проверка подписи электронного письма, подписанного ключом домена по технологии DKIM;
  • идентификация электронного письма согласно технологии DMARC;
  • проверка наличия корректной MX-записи для домена, из которого отправлено электронное письмо;
  • поиск отправителя письма в списке известных сервисов широковещательной рассылки;
  • поиск отправителя письма в RBL;
  • анализ корректности SMTP-команд во время поднятия SMTP-сессии;
  • анализ кодировок Unicode, присутствующих в тексте письма;
  • анализ ссылок в тексте письма на принадлежность к фишингу.

Письма, не прошедшие большинство проверок, будут отброшены и не попадут на защищаемый почтовый сервер.

Примечание

При использовании сервиса «Антиспам» для защиты почтового сервера произвести ряд дополнительных настроек, не связанных непосредственно с конфигурацией маршрутизатора ESR.

1) Изменить MX-запись для используемого домена таким образом, чтобы она ссылалась не на защищаемый почтовый сервер, а на IP-адрес ESR с настроенным сервисом «Антиспам».

2) Настроить на почтовом сервере использование SMTP Proxy, где в качестве Proxy выступит ESR с настроенным сервисом «Антиспам».

Scroll Pagebreak
Алгоритм базовой настройки

...

<MARK-TYPE> – тип маркировки писем, отнесенных к категории «Спам». Возможные значения:

  • header – добавить X-Spam заголовок к заголовкам электронного письма;
  • subject – добавить тег [SPAM] перед темой электронного письма.

...

<ACTION> – назначаемое действие. Принимает значение reject – дальнейшая доставка письма запрещена, отправителю письма высылается ответ об ошибке.

...

<TYPE> – тип файла сертификата или ключа. Возможные значения:

  • ca – сертификат удостоверяющего центра;
  • private-key – приватный ключ сервера;
  • cert – публичный сертификат сервера;
  • dh – ключ Диффи-Хеллмана.

<NAME> – имя файла сертификата, задаётся строкой до 31 символа. 

...

Scroll Pagebreak
Пример настройки

Задача:

Настроить на ESR сервис «Антиспам» для работы в качестве SMTP Proxy для анализа электронной почты, адресованной почтовому серверу, расположенному в сети предприятия и обслуживающему домен eltex-co.ru.

...

Решение:

Убедимся, что MX-запись для домена eltex-co.ru указывает на IP-адрес ESR:

Блок кода
esr@eltex:~$ dig +noall +answer eltex-co.ru MX
eltex-co.ru.	3548	IN	MX	10 mail-gate.eltex-co.ru.
esr@eltex:~$ dig +noall +answer mail-gate.eltex-co.ru A
mail-gate.eltex-co.ru. 3453	IN	A	95.171.220.11

Настроим сетевые интерфейсы:

Блок кода
esr# config
esr(config)# interface gi1/0/1
esr(config-if-gi)# ip address 95.171.220.11/18
esr(config-if-gi)# ip firewall disable
esr(config-if-gi)# exit
esr(config)# interface gi1/0/2
esr(config-if-te)# ip address 192.168.1.1/24
esr(config-if-te)# ip firewall disable
esr(config-if-te)# exit

Настроим сетевое имя, имя домена и настройки DNS. Сетевое имя и имя домена должны образовать FQDN (англ. Fully Qualified Domain Name — полностью определённое имя домена), прописанное в MX-записи для домена eltex-co.ru:

Блок кода
esr(config)# hostname mail-gate
esr(config)# domain name eltex-co.ru
esr(config)# domain name-server 1.1.1.1
esr(config)# domain lookup enable

Создадим профиль для сервиса «Антиспам», который будет добавлять X-Spam заголовок к письмам, идентифицированным как спам:

Блок кода
esr(config)# security antispam profile SimpleProfile
esr(config-antispam-profile)# description "Basic Antispam profile without rules"
esr(config-antispam-profile)# mark-type header 
esr(config-antispam-profile)# exit

Создадим почтовый домен, который будет настроен для обработки писем для домена eltex-co.ru и ретрансляции таких писем на локальный почтовый сервер. В конфигурацию почтового домена добавим созданный выше профиль сервиса «Антиспам», чтобы транзитная почта анализировалась на принадлежность к спаму:

Блок кода
esr(config)# mailserver domain MainDomain
esr(config-mailserver-domain)# mail domain eltex-co.ru
esr(config-mailserver-domain)# description "Mail domain eltex-co.ru"
esr(config-mailserver-domain)# mail server ip 192.168.1.10
esr(config-mailserver-domain)# profile antispam SimpleProfile 
esr(config-mailserver-domain)# enable 
esr(config-mailserver-domain)# exit

Добавим в конфигурацию почтового сервера созданный домен и пропишем настройки для работы TLS:

Блок кода
esr(config)# mailserver 
esr(config-mailserver)# domain MainDomain 
esr(config-mailserver)# tls keyfile ca ca.crt
esr(config-mailserver)# tls keyfile cert server.crt
esr(config-mailserver)# tls keyfile private-key server.key
esr(config-mailserver)# tls enable
esr(config-mailserver)# enable 
esr(config-mailserver)# exit

Применение текущей конфигурации запустит сервис в работу.

...

Выведем записи, которые хранятся в кэше:

Блок кода
esr# show content-filter cache 
URI                                Vendor             Categories                   Time to live   
                                                                                   (d,h:m:s)      
--------------------------------   ----------------   --------------------------   ------------      
rutube.ru                          kaspersky-lab      downloadable-content,        06,23:28:32    
                                                      hobbies-recreation,                         
                                                      media-content                                  
ya.ru                              kaspersky-lab      it-services, searchers       06,23:29:04      
vtb.ru                             kaspersky-lab      finance, human-life,         06,23:46:01    
                                                      online-banks, payments,                     
                                                      transactions                                

Команда для очистки кэша:

Блок кода
esr# clear content-filter cache