ولفهم الموضوع أكثر، سنقوم بتقديم تطبيق عملي، سنستعرض فيه أهم الإعدادات التي يجب تطبيقها.
تستعمل خدمة nat للتحويل عناوين الشبكة الداخلية إلى عناوين عامة Public Address، و كذا مشاركة سيرفرات الموجودة داخل الشبكة في الأنترنت ، كسيرفرات web مثلا، كما تعتبر هاته الخاصية من بين أهم الأدوات لحماية الشبكة الداخلية من الإختراق.
للفهم الموضوع أكتر ، يجب أن تكون على علم بالمفاهيم التالية:
- كيفية إستعمال GNS3
- مفاهيم حول Nat
- مفاهيم حول تقسيم الشبكات و النوافد Port.
- مفاهيم حول Security Level. يمكن الإطلاع على المقالة التالية:
في هاته المقالة، سنعتمد على الشبكة التالية:ASA(config)# static (Real Address,nat address) [NAT_IP] [Real_IP]
interface Ethernet0/0
nameif inside
security-level 100
ip address 10.10.10.1 255.255.255.0
!
interface Ethernet0/1
nameif DMZ
security-level 60
ip address 20.20.20.1 255.255.255.0
!
interface Ethernet0/2
nameif outside
security-level 0
ip address 100.100.100.2 255.255.255.0
nameif inside
security-level 100
ip address 10.10.10.1 255.255.255.0
!
interface Ethernet0/1
nameif DMZ
security-level 60
ip address 20.20.20.1 255.255.255.0
!
interface Ethernet0/2
nameif outside
security-level 0
ip address 100.100.100.2 255.255.255.0
الهدف الأول : ولوج الأجزة الموجودة في شبكة inside إلى سيرفر DMZ.
للولوج الأجهزة الموجودة في الشبكة الداخلية inside إلى شبكة DMZ، يجب تطبيق الأمر التالي:
للولوج الأجهزة الموجودة في الشبكة الداخلية inside إلى شبكة DMZ، يجب تطبيق الأمر التالي:
ASA(config)# static (DMZ,inside) 10.10.10.50 20.20.20.20 netmask 255.255.255.255
في هاته الشبكة، يمكن للأجهزة الموجودة في شبكة inside، الولوج الى السيرفر الموجود في شبكة DMZ عبر العنوان التالي 10.1.1.50.
ملاحظة مهمة:
ملاحظة مهمة:
تكبر قيمة Security Level للنافدة Inside عن نافدة DMZ، لذلك يسمح للأجهزة الموجودة في شبكة Inside الولوج إلى سيرفرات DMZ.
في حالة العكس، أي عندما تكون قيمة Security Level للمصدر(source) أقل قيمة من النافدة المرسل إليه، يجب السماح للبيانات بالولوج عبر تطبيق Access-list.
الهدف التاني: ولوج الأجهزة الموجدة في الشبكة الخارجية outside إلى السيرفر الموجود في شبكة DMZ عبر النافدة 80.
في الشبكات العالمية ، يتم وضع السيرفرات في منطقة DMZ، والتي من خلالها يمكن الولوج إلى السيرفرات، كسيرفر Web أو البريد الإلكتروني. لذلك سنقوم بالسماح للأجهزة الموجودة على الأنترنت بالدخول إلى سيرفر Web فقط.
ملاحظة :
المرسِل Source :هي الأجهزة الموجودة على الأنترنت
المرسَل إليه Destination: هو سيرفر Web
فالحزم التي ستأتي من الأنترنت والمتوجهة إلى سيرفر web، سيتم منعها، لأن قيمة Security Level للنافدة المتصلة بالأنترنت (outside) أقل قيمة من النافدة المتصلة بسيرفر ال DMZ) Web).
ASA(config)# static (DMZ,outside) tcp 100.100.100.20 http 20.20.20.20 netmask 255.255.255.255
في هذا الأمر،قمنا بترجمة عنوان سيرفر Web الموجود في منطقة DMZ إلى العنوان التالي100.100.100.20، والذي من خلاله، يمكن الدخول إليه من الأنترنت، كما سمحنا فقط بترجمة حزم ال Http.ملاحظة :
المرسِل Source :هي الأجهزة الموجودة على الأنترنت
المرسَل إليه Destination: هو سيرفر Web
فالحزم التي ستأتي من الأنترنت والمتوجهة إلى سيرفر web، سيتم منعها، لأن قيمة Security Level للنافدة المتصلة بالأنترنت (outside) أقل قيمة من النافدة المتصلة بسيرفر ال DMZ) Web).
لذلك، يجب السماح لحزم http الدخول إلى نافدة الoutside، وذلك عبر تطبيق خاصية Access List.
ASA(config)# access-list acl_out extended permit tcp any eq 80 100.100.100.20 255.255.255.255 eq 80 ASA(config)# access-group acl_out in interface outside
ليست هناك تعليقات:
إرسال تعليق