Security (1027395), страница 29

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 29)

Заметим, что фильтрация RFC 1918 является неполной, так как в лабораторных условиях эти адреса используются в качестве производственных. В реальных сетях нужно использовать полную фильтрацию RFC 1918.access-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-list150150150150150150150150deny ip 10.0.0.0 0.255.255.255 anydeny ip 192.168.0.0 0.0.255.255 anydeny ip 172.16.224.0 0.0.7.255 anypermit ip any 172.16.224.0 0.0.7.255permit ip any 172.16.145.0 0.0.0.255permit esp any 172.16.226.0 0.0.0.255 fragmentsdeny ip any any fragmentsdeny ip any any logСледующая фильтрация предназначена для исходящего трафика, который поступает в модуль VPN/удаленного доступа.

Заметим, что здесь разрешаются только IKE и ESP:access-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-list160160160160160160160permit esp any hostpermit esp any hostpermit esp any hostpermit udp any hostpermit udp any hostpermit udp any hostdeny ip any any log172.16.226.27172.16.226.28172.16.226.48172.16.226.27 eq isakmp172.16.226.28 eq isakmp172.16.226.48 eq isakmpCatalyst 3500XL Private VLANsЭта конфигурация определяет параметры частных сетей VLAN в сегменте общего доступа:interface FastEthernet0/1port protected!interface FastEthernet0/2port protectedåÓ‰Ûθ VPN / Û‰‡ÎÂÌÌÓ„Ó ‰ÓÒÚÛÔ‡êËÒÛÌÓÍ 82. åÓ‰Ûθ VPN / Û‰‡ÎÂÌÌÓ„Ó ‰ÓÒÚÛÔ‡Используемые продукты●●●●●●●Межсетевой экран Cisco Secure PIX FirewallСенсор CSIDSКоммутаторы Уровня 2 Catalyst 3500 Layer 2 switchesМаршрутизатор Cisco 7100 IOS RouterКонцентратор Cisco VPN 3060 ConcentratorСервер доступа Cisco IOS Access ServerCiscoSecure Host IDS71●Сервер фильтрации Websense URL Filtering ServerEPIX-32 и 34Эта конфигурация определяет детали контроля доступа на межсетевом экране PIX.

Имя списка доступаопределяет местонахождение входящего ACL. «In» означает «входящий», «Out» – «трафик между сайтами VPN», «dun» означает модемный доступ через ТфОП, «ra» – VPN с удаленным доступом, а «mgmt» –интерфейс ООВ.72access-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listin deny ip any 192.168.253.0 255.255.255.0in deny ip any 192.168.254.0 255.255.255.0in permit icmp any anyin permit tcp 10.0.0.0 255.0.0.0 10.0.0.0 255.0.0.0 eq smtpin permit tcp 10.0.0.0 255.0.0.0 10.0.0.0 255.0.0.0 eq pop3in permit tcp 10.0.0.0 255.0.0.0 10.0.0.0 255.0.0.0 eq wwwin permit tcp 10.0.0.0 255.0.0.0 10.0.0.0 255.0.0.0 eq ftpin permit udp 10.0.0.0 255.0.0.0 10.0.0.0 255.0.0.0 eq netbios-nsin permit udp 10.0.0.0 255.0.0.0 10.0.0.0 255.0.0.0 eq netbios-dgmin permit udp 10.0.0.0 255.0.0.0 10.0.0.0 255.0.0.0 eq domainout deny ip any 192.168.253.0 255.255.255.0out deny ip any 192.168.254.0 255.255.255.0out permit icmp any anyout permit tcp 10.0.0.0 255.0.0.0 10.0.0.0 255.0.0.0 eq smtpout permit tcp 10.0.0.0 255.0.0.0 10.0.0.0 255.0.0.0 eq pop3out permit tcp 10.0.0.0 255.0.0.0 10.0.0.0 255.0.0.0 eq wwwout permit tcp 10.0.0.0 255.0.0.0 10.0.0.0 255.0.0.0 eq ftpout permit udp 10.0.0.0 255.0.0.0 10.0.0.0 255.0.0.0 eq netbios-nsout permit udp 10.0.0.0 255.0.0.0 10.0.0.0 255.0.0.0 eq netbios-dgmout permit udp 10.0.0.0 255.0.0.0 10.0.0.0 255.0.0.0 eq domainout permit tcp 10.0.0.0 255.0.0.0 172.16.255.0 255.255.255.0 eq wwwout permit tcp 10.0.0.0 255.0.0.0 172.16.255.0 255.255.255.0 eq ftpra deny ip any 192.168.253.0 255.255.255.0ra deny ip any 192.168.254.0 255.255.255.0ra permit icmp any anyra permit tcp 10.1.198.0 255.255.254.0 10.0.0.0 255.0.0.0 eq smtpra permit tcp 10.1.198.0 255.255.254.0 10.0.0.0 255.0.0.0 eq pop3ra permit tcp 10.1.198.0 255.255.254.0 10.0.0.0 255.0.0.0 eq wwwra permit tcp 10.1.198.0 255.255.254.0 10.0.0.0 255.0.0.0 eq ftpra permit udp 10.1.198.0 255.255.254.0 10.0.0.0 255.0.0.0 eq netbios-nsra permit udp 10.1.198.0 255.255.254.0 10.0.0.0 255.0.0.0 eq netbios-dgmra permit udp 10.1.198.0 255.255.254.0 10.0.0.0 255.0.0.0 eq domainra deny ip 10.1.198.0 255.255.254.0 10.0.0.0 255.0.0.0ra permit tcp 10.1.198.0 255.255.254.0 172.16.225.0 255.255.255.0 eq wwwra permit tcp 10.1.198.0 255.255.254.0 172.16.225.0 255.255.255.0 eq ftpra deny ip 10.1.198.0 255.255.254.0 172.16.224.0 255.255.248.0ra permit ip 10.1.198.0 255.255.254.0 anydun deny ip any 192.168.253.0 255.255.255.0dun deny ip any 192.168.254.0 255.255.255.0dun permit icmp any anydun permit tcp 10.1.196.0 255.255.254.0 10.0.0.0 255.0.0.0 eq smtpdun permit tcp 10.1.196.0 255.255.254.0 10.0.0.0 255.0.0.0 eq pop3dun permit tcp 10.1.196.0 255.255.254.0 10.0.0.0 255.0.0.0 eq wwwdun permit tcp 10.1.196.0 255.255.254.0 10.0.0.0 255.0.0.0 eq ftpdun permit udp 10.1.196.0 255.255.254.0 10.0.0.0 255.0.0.0 eq netbios-nsdun permit udp 10.1.196.0 255.255.254.0 10.0.0.0 255.0.0.0 eq netbios-dgmdun permit udp 10.1.196.0 255.255.254.0 10.0.0.0 255.0.0.0 eq domaindun deny ip 10.1.196.0 255.255.254.0 10.0.0.0 255.0.0.0dun permit tcp 10.1.196.0 255.255.255.0 172.16.225.0 255.255.255.0 eq wwwdun permit tcp 10.1.196.0 255.255.255.0 172.16.225.0 255.255.255.0 eq ftpdun deny ip 10.1.196.0 255.255.254.0 172.16.224.0 255.255.248.0dun permit ip 10.1.196.0 255.255.254.0 anymgmt permit icmp 192.168.253.0 255.255.255.0 anyСледующая конфигурация показывает детали трансляций NAT, необходимых для выхода трафика VPNиз корпоративного Интернет-модуля в Интернет:staticstaticstaticstaticstaticstaticstaticstatic(inside,ravpn)(inside,ravpn)(inside,ravpn)(inside,ravpn)(inside,ravpn)(inside,ravpn)(inside,ravpn)(inside,ravpn)128.0.0.0 128.0.0.0 netmask 128.0.0.064.0.0.0 64.0.0.0 netmask 192.0.0.0 032.0.0.0 32.0.0.0 netmask 224.0.0.0 016.0.0.0 16.0.0.0 netmask 240.0.0.0 08.0.0.0 8.0.0.0 netmask 248.0.0.0 0 04.0.0.0 4.0.0.0 netmask 252.0.0.0 0 02.0.0.0 2.0.0.0 netmask 254.0.0.0 0 01.0.0.0 1.0.0.0 netmask 255.0.0.0 0 00 0000EIOS-27 и 28Здесь показаны детали конфигурации шифрования для виртуальных частных сетей (VPN), обеспечивающих связь между сайтами:!! Basic Crypto Information!crypto isakmp policy 1encr 3desauthentication pre-sharegroup 2crypto isakmp key 7Q!r$y$+xE address 172.16.132.2crypto isakmp key 52TH^m&^qu address 172.16.131.2!!crypto ipsec transform-set smbranch esp-3des esp-sha-hmacmode transport!crypto map secure1 100 ipsec-isakmpset peer 172.16.132.2set transform-set smbranchmatch address 105crypto map secure1 300 ipsec-isakmpset peer 172.16.131.2set transform-set smbranchmatch address 107!!! GRE Tunnel Information!interface Tunnel0ip address 10.1.249.27 255.255.255.0tunnel source 172.16.226.27tunnel destination 172.16.132.2crypto map secure1!interface Tunnel1ip address 10.1.247.27 255.255.255.0tunnel source 172.16.226.27tunnel destination 172.16.131.2crypto map secure1!!! EIGRP Routing to keep links up!router eigrp 1redistribute staticpassive-interface FastEthernet0/1passive-interface FastEthernet4/0network 10.0.0.0distribute-list 2 outdistribute-list 2 in!! Crypto ACLs!access-list 105 permit gre host 172.16.226.27 host 172.16.132.2access-list 107 permit gre host 172.16.226.27 host 172.16.131.2!! Inbound ACLs from Internet!access-list 110 permit udp 172.16.0.0 0.0.255.255 host 172.16.226.27 eq isakmpaccess-list 110 permit esp 172.16.0.0 0.0.255.255 host 172.16.226.27access-list 110 permit gre 172.16.0.0 0.0.255.255 host 172.16.226.27access-list 110 deny ip any any logåÓ‰Ûθ ÚÂËÚÓˇθÌ˚ı ÒÂÚÂÈ (WAN)Используемые продукты●Маршрутизатор Cisco 3640 IOS RouterEIOS-61Эта конфигурация показывает детали контроля доступа намаршрутизаторах модуля территориальных сетей:!! Inbound from the WAN!access-list 110 deny ip any 192.168.253.0 0.0.0.255 logêËÒÛÌÓÍ 83.

Характеристики

Список файлов лекций