Configuración de Cisco IOS Zone - Based Policy Firewall
Una de las principales diferencias entre un firewall usando CBAC y ZBPFW (zone based Firewall) es el uso de zonas de seguridad. Estas zonas separan las áreas específicas de seguridad dentro de una red. Cada organización tiene sus propias divisiones específicas de seguridad que deben ser definidos antes de la implementación de un ZBPFW.
Topologia de ejemplo para la Configuracion del IOS Zone Firewall.
Lo primero es crear el Par de Zonas, desde configuración global.
Creamos el inside security zona con el nombre de inside
Creamos el otra zona con el nombre de Outside
Creamos un class map con el nombre de MI-CLASS-MAP, luego los Matchs de ICMP y telnet.
Creamos una politica de servicio con el nombre de MI-POLITICA, identificamos el class map MI-CLASS-MAP Inspeccionamos todo el trafico.
Creamos una Par de Zona o Zone pair identicando la zona fuente (inside) y el destino (outside). Asignamos la política de servicio MI-POLITICA para todo el trafico que pasa del origen al destino.
Asignamos las interfaces a su respectivas zonas.
Creamos el otra zona con el nombre de Outside
Router#configure terminal
Router(config)#zone security inside
Router(config-sec-zone)#exit
Router(config)#zone security outside
Router(config-sec-zone)#exitCreamos un class map con el nombre de MI-CLASS-MAP, luego los Matchs de ICMP y telnet.
Router(config)#class-map type inspect match-any MI-CLASS-MAP
Router(config-cmap)#match protocol telnet
Router(config-cmap)#match protocol icmp
Router(config-cmap)#exitCreamos una politica de servicio con el nombre de MI-POLITICA, identificamos el class map MI-CLASS-MAP Inspeccionamos todo el trafico.
Router(config)#policy-map type inspect MI-POLITICA
Router(config-pmap)#class type inspect MI-CLASS-MAP
Router(config-pmap-c)#inspect
Router(config-pmap-c)#exit
Router(config-pmap)#exitCreamos una Par de Zona o Zone pair identicando la zona fuente (inside) y el destino (outside). Asignamos la política de servicio MI-POLITICA para todo el trafico que pasa del origen al destino.
Router(config)#zone-pair security IN-TO-OUT source inside destination outside
Router(config-sec-zone-pair)#service-policy type inspect MI-POLITICA
Router(config-sec-zone-pair)#exit
Router(config)#Asignamos las interfaces a su respectivas zonas.
Router(config)#interface fastEthernet0/0
Router(config-if)#description Es la Zona Inside
Router(config-if)#zone-member security inside
Router(config-if)#exit
Router(config)#interface fastEthernet0/1
Router(config-if)#description Es la Zona Outside
Router(config-if)#zone-member security outside
Router(config-if)#exit
Router(config)#
Verificación desde el Cliente o Inside.
Video - Implementación de Cisco IOS Zone-Based Firewall usando CCP
About the Author
0 comentarios