Tutorial de Configuración de Un Firewall Basado en Zona
If you can't read please download the document
Transcript of Tutorial de Configuración de Un Firewall Basado en Zona
Configure R1 con las siguientes polticas:Permitir todo el trfico TCP, UDP e ICMP siempre que sea iniciado desde la red INSIDE a la DMZ y la red OUTSIDE. El trfico que no sea iniciado desde la red INSIDE debe ser denegado.Por lo tanto hay dos zonas de donde se origina trfico (INSIDE y oUTSIDE). Lo que nos indica que deben haber dos class-map,Una para cada zona origen, que inspeccionar el trfico interesante.Permitir solo el trfico ICMP y HTTP iniciado desde la red OUTSIDE a la DMZ.Pasos para configurar el Firewall basado en zonas:Paso 1.- Crear los class-map para el trfico interesante. Una por zona origen de trfico.El FW es el R1.Los class-map deben inspeccionar los protocolos interesantes, el any indica cualquiera de los protocolos a indicar. se recomienda nombrar las clases con un nombre que sugiera que es un class-map y el origen.class-map type inspect match-any CL-MAP-OUTSIDE match protocol icmp match protocol httpclass-map type inspect match-any CL-MAP-INSIDE match protocol tcp match protocol udp match protocol icmpPaso 2.- Debemos aplicar polticas para determinar qu hacer con el trfico interesante (pasa, descarta, inspecciona). Esto se hace con policy-map. Debemos apuntar al class-map denantes creado. Vamos a inspeccionar el trfico. Se crea un policy por cada trfico, o sea 3. De inside a dmz, de inside a outside y de outside a dmz.policy-map type inspect POL-MAP-OUTSIDE-TO-DMZ class type inspect CL-MAP-OUTSIDE inspect class class-defaultpolicy-map type inspect POL-MAP-IN-TO-DMZ class type inspect CL-MAP-INSIDE inspect class class-defaultpolicy-map type inspect POL-MAP-IN-TO-OUTSIDE class type inspect CL-MAP-INSIDE inspect class class-defaultPaso 3.- Crear zonas de seguridad. Creamos las 3 zonas de seguridad.zone security INSIDEzone security OUTSIDEzone security DMZPaso 4.- Asignar interfaces a zonas.interface FastEthernet0/0 ip address 10.0.21.1 255.255.255.252 zone-member security INSIDE duplex auto speed auto!interface FastEthernet0/1 ip address 10.0.14.1 255.255.255.252 zone-member security DMZ duplex auto speed auto!interface Serial1/0 ip address 200.2.2.1 255.255.255.248 zone-member security OUTSIDE serial restart-delay 0Paso 5.- Crear las paridades entre zonas (zone-pair). Hay que definir la zona origen y la zona destino.Se debe asociar a un policy-mapzone-pair security ZP-INSIDE-TO-DMZ source INSIDE destination DMZ service-policy type inspect POL-MAP-IN-TO-DMZzone-pair security ZP-INSIDE-TO-OUTSIDE source INSIDE destination OUTSIDE service-policy type inspect POL-MAP-IN-TO-OUTSIDEzone-pair security ZP-OUTSIDE-TO-DMZ source OUTSIDE destination DMZ service-policy type inspect POL-MAP-OUTSIDE-TO-DMZ
