root

Well-Known Member

Lab Configure zone based firewall cisco ios


I. Mô hình Lab Configure zone based firewall cisco ios
- Mô hình Lab Configure zone based firewall cisco ios.

Configure zone based firewall cisco iosl (1)

- Yêu cầu:
  • Đảm bảo mạng hội tụ
  • Cấm tất cả các traffic từ Internet đi vào trong LAN (R3)
  • Cho phép các traffic từ LAN ra internet
- Lưu ý: Nếu 1 số lệnh trên GNS của bạn không có thì bạn có thể thay ISO khác vì một số IOS không có lệnh này. Bạn có thể dùng IOS : c3725-adventerprisek9-mz.124-15.T7.bin

II. Triển khai Lab Configure zone based firewall cisco ios


1. Cấu hình IP và định tuyến
- Cấu hình IP và định tuyến tĩnh trên R1

Code:
R1(config)#interface f0/0
R1(config-if)#ip address 192.168.12.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#exit

R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.12.2
- Cấu hình IP trên R2

Code:
R2(config)#interface f0/0
R2(config-if)#ip address 192.168.12.2 255.255.255.0
R2(config-if)#no shutdown

R2(config-if)#interface f0/1
R2(config-if)#ip address 192.168.23.2 255.255.255.0
R2(config-if)#no shutdown
- Cấu hình IP trên R3
Code:
R3(config)#interface f0/0
R3(config-if)#ip addres
R3(config-if)#ip address 192.168.23.3 255.255.255.0
R3(config-if)#no shutdown

R3(config)#ip route 0.0.0.0 0.0.0.0 192.168.23.2
2. Cấu hình Zone Base Firewall
- Cấu hình Zone để phân định vùng LAN và WAN
Code:
R2(config)#zone security LAN
R2(config-sec-zone)#exit
R2(config)#zone security WAN
- Nhóm các Interface nào thuộc zone LAN lại và nhóm các interface thuộc zone "WAN" lại để control traffic.(Zone base firewall cũng như CBAC nhưng có thể quản lý tập trung các interface thành 1 zone)
Code:
R2(config)#interface f0/0
R2(config-if)#zone-member security WAN

R2(config-if)#interface f0/1
R2(config-if)#zone-member security LAN
- Cấu hình mô tả các traffic từ LAN-TO-WAN và WAN-TO-LAN
Code:
R2(config)#zone-pair security LAN-TO-WAN source LAN destination WAN
R2(config-sec-zone-pair)#description LAN-TO-WAN TRAFFIC
R2(config-sec-zone-pair)#exit

R2(config)#zone-pair security WAN-TO-LAN source WAN destination LAN
R2(config-sec-zone-pair)#description WAN-TO-LAN TRAFFIC
- Xem zone-pair.

Configure zone based firewall cisco iosl (2)


- Sau khi cấu hình phân định các zone xong thì mặc định tất cả các traffic sẽ bị block.

Configure zone based firewall cisco iosl (3)

3. Cấu hình Security policy Cisco IOS
- Cấu hình Security Policy lựa chọn traffic theo hành động : pass, deny hay inspect
- Cấu hình Class-map loại inspect( CBAC) trên giao thức icmp

Code:
R2(config-cmap)#class-map type inspect ICMP
R2(config-cmap)#match protocol icmp

R2(config)#policy-map type inspect LAN-TO-WAN
R2(config-pmap)#class type inspect ICMP
R2(config-pmap-c)#inspect
- Cho phép traffic từ LAN ra internet

Code:
R2(config)#zone-pair security LAN-TO-WAN
R2(config-sec-zone-pair)#service-policy type inspect LAN-TO-WAN
4. kiểm tra Lab Configure zone based firewall cisco ios
- xem policy map.

Configure zone based firewall cisco iosl (4)


- Kiểm tra traffic từ LAN ra Internet thành công.
- Traffic ngược lại thì bị block
 
Last edited:
Top