للمعرفة المقالات المتعلقة بهاته التدوينة، يرجى الرجوع إلى الرابط التالية:
أول خطوة في جهاز Cisco ASA 5500
إعداد نوافد الجدار الناري Cisco ASA
تسطيب الواجهة الرسومية ASDM للجدار الناري Cisco ASA في برنامج GNS3
إعداد خاصية telnet في الجدار الناري Cisco ASA
لفهم هاته التقنية، سنعتبر الشبكة التالية.
نعتبر شبكة مكونة من تلاثة شبكات، شبكة داخلية متصلة بالنافدة inside، وشبكة تحتوي على الخوادم متصلة بالنافدة DMZ، والشبكة الخارجية المتصلة بالنافذة outside.
هاته الشبكة غير متالية، وذلك لوجود عنواين (addresses) غير صحيحة في الشبكة الداخلية وكذا وشبكة DMZ، أيضا عدم تطبيق خاصية ترجمة العنوانين، أو ما يسمى ب NAT، لذلك فهاته الخريطة، فقط للفهم access list في الجدار الناري Cisco ASA، وليس لتطبيقها في الحياة العملية. وسيتم في المقالات المقبلة إدراج خاصية الNAT، وكذا إحترام قواعد الشبكات.
I-متطلبات الشركة :
- من متطلبات الشركة ، أن الأجهزة الموجودة في الشبكة الداخلية، لها الحق للدخول إلى خادم الويب رقم1 و خادم ال DNS.
- حق ولوج الأجهزة الموجودة في الشبكة الخارجية إلى جميع الخوادم الموجودة في شبكة outside
- عدم إعطاء الحق للأجهزة الموجودة في الشبكة الخارجية للدخول إلى الأجهزة الداخلية inside.
- للأجهزة الداخلية (inside) الحق للولوج الأنترنت.
II-تجميع الأجهزة والبروتوكولات (object-group):
يوفر الجدار الناري خاصية تجميع السيرفرات أوالبروتكولات مجموعات محددة ،وهي عملية يقوم بها مدير الشبكات للتجميع الخوادم التي لها نفس الدور، أو تجميع بروتوكولات وتطبيق عليها نفس القوانين. وتسهل هاته الخاصية مجموعة من المهام، من بينها، تقليص عدد الأسطر في access list، وبالتالي السهولة في إعدادها أو تعديلها.
لكي نتعرف على ضرورة تقنية object-group، نأخد متالا مبسطا، حول تطبيق ال access list، مرة بدون خاصية الجمع، وأخرى بوجودها.
بدون خاصية الجمع ( without object-group):
access-list outside_access_in extended permit tcp any host 209.165.201.10 eq wwwCiscoASA(config)#access-list outside_access_in extended permit tcp any host 209.165.201.11 eq wwwCiscoASA(config)#access-list outside_access_in extended permit tcp any host 209.165.201.12 eq wwwCiscoASA(config)#
بوجود خاصية الجمع (with object-group ):
CiscoASA(config)#
كما هو موضح، فهاته التقنية تقلص عدد الأسطر في Access List.
في شبكتنا الحالية، سنحتاج إلى مجموعتين، مجموعة خاصة بخوادم Web، ومجموعة خاصة بخوادم البريد الإلكتروني.
إنشاء مجموعة DMZWebServers:
في شبكتنا الحالية، سنحتاج إلى مجموعتين، مجموعة خاصة بخوادم Web، ومجموعة خاصة بخوادم البريد الإلكتروني.
إنشاء مجموعة DMZWebServers:
CiscoASA(config)#object-group network DMZWebServers CiscoASA(config-network)# network-object host 209.165.201.10 CiscoASA(config-network)# network-object host 209.165.201.11 CiscoASA(config-network)# network-object host 209.165.201.12
:DMZEmailServers إنشاء مجموعة
CiscoASA(config)# object-group network DMZEmailServers CiscoASA(config-network)# network-object host 209.165.201.20 CiscoASA(config-network)# network-object host 209.165.201.21
يمكن أيظا تجميع البتروتوكلات بتطبيق الأمر التالي object-group service.
III- تطبيق ال Access-liste:
السماح للأجهزة الخارجية الولوج شبكة DMZ.
access-list outside_access_in extended permit tcp any object-group DMZWebServers eq wwwCiscoASA(config)#access-list outside_access_in extended permit tcp any object-group DMZEmailServers eq smtpCiscoASA(config)#access-list outside_access_in extended permit udp any host 209.165.201.30 eq domainCiscoASA(config)#access-list outside_access_in extended deny ip any anyCiscoASA(config)#
السماح للأجهزة الداخلية الولوج لشبكة DMZ.
access-list inside_access_in extended permit tcp any host 209.165.201.10 eq wwwCiscoASA(config)#access-list inside_access_in extended permit udp any host 209.165.201.30 eq domainCiscoASA(config)#access-list inside_access_in extended deny ip any object-group DMZWebServersCiscoASA(config)#access-list inside_access_in extended deny ip any object-group DMZEmailServersCiscoASA(config)#access-list inside_access_in extended permit ip any anyCiscoASA(config)#
تفعيل access-list والتي تحمل إسم outside_access_in على النافدة الخارجية Outside.
CiscoASA(config)#
تفعيل access-list والتي تحمل إسم inside_access_in على النافدة الخارجية indside .
CiscoASA(config)# access-group inside_access_in in interface inside
الإعدادات النهائية للجدار الناري هي:
CiscoASA# show running
! GigabitEthernet0/0 interface set as outside
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 209.165.200.225 255.255.255.224
! GigabitEthernet0/1 interface set as inside
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 209.165.202.129 255.255.255.224
! GigabitEthernet0/2 interface set as DMZ
interface GigabitEthernet0/2
nameif DMZ
security-level 50
ip address 209.165.201.1 255.255.255.224
! Network Object-group to group the web-servers
object-group network DMZWebServers
network-object host 209.165.201.10
network-object host 209.165.201.11
network-object host 209.165.201.12
! Network Object-group to group the Email-servers
object-group network DMZEmailServers
network-object host 209.165.201.20
network-object host 209.165.201.21
! Access-list to filter inbound traffic on the outside interface
access-list outside_access_in extended permit tcp any object-group DMZWebServers
eq www
access-list outside_access_in extended permit tcp any object-group
DMZEmailServers eq smtp
access-list outside_access_in extended permit udp any host 209.165.201.30 eq domain
access-list outside_access_in extended deny ip any any log
! Access-list to filter outbound traffic on the inside interface
access-list inside_access_in extended permit tcp any host 209.165.201.10 eq www
access-list inside_access_in extended permit udp any host 209.165.201.30 eq domain
access-list inside_access_in extended deny ip any object-group DMZWebServers
access-list inside_access_in extended deny ip any object-group DMZEmailServers
access-list inside_access_in extended permit ip any any
! Access-list bound to the outside interface in the inbound direction
access-group outside_access_in in interface outside
! Access-list bound to the inside interface in the inbound direction
access-group inside_access_in in interface inside
ليست هناك تعليقات:
إرسال تعليق