Pertama kita pisahkan 2 zone, inside dan outside..untuk memastikan zone based ini berjalan
Buat Inside zone dan Outside zone
Router(config)#zone security INSIDE
Router(config)#zone security OUTSIDE
Router(config)#zone security OUTSIDE
Assign IP addresses dan apply zones to interfaces
Router(config)#interface fa0/0
Router(config-if)#ip address 10.0.1.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#zone-member security INSIDE
Router(config-if)#ip address 10.0.1.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#zone-member security INSIDE
Router(config)#interface fa0/1
Router(config-if)#ip address 10.0.2.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#zone-member security INSIDE
Router(config-if)#ip address 10.0.2.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#zone-member security INSIDE
Router(config)#interface fa1/0
Router(config-if)#ip address 12.12.12.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#zone-member security OUTSIDE
Router(config-if)#ip address 12.12.12.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#zone-member security OUTSIDE
Define “interesting” traffic with class-map
Router(config)#class-map type inspect match-any CLASS_MAP_IN_TO_OUT
Router(config-cmap)#match protocol icmp
Router(config-cmap)#match protocol icmp
Router(config)#policy-map type inspect POLICY_MAP_IN_TO_OUT
Router(config-pmap)#class type inspect CLASS_MAP_IN_TO_OUT
Router(config-pmap-c)#inspect
Router(config-pmap)#class type inspect CLASS_MAP_IN_TO_OUT
Router(config-pmap-c)#inspect
class class-default
drop
drop
Router(config)#zone-pair security ZONE_PAIR_IN_TO_OUT source INSIDE destination OUTSIDE
Router(config-sec-zone-pair)#service-policy type inspect POLICY_MAP_IN_TO_OUT
Router(config-sec-zone-pair)#service-policy type inspect POLICY_MAP_IN_TO_OUT
untuk configurasi Zone Based Policy Firewall, kita butuh step berikut :
+ Tentukan zonenya.
+ Tentukan tipe protocol yang ingin kita monitor dengan class-map
+ Tentukan action yang ingin kita lakukan (drop, permit atau inspect) dengan policy-map.
+ Tentukan arah yang ingin kita aply dengan filterin zone-pair
+ Tentukan tipe protocol yang ingin kita monitor dengan class-map
+ Tentukan action yang ingin kita lakukan (drop, permit atau inspect) dengan policy-map.
+ Tentukan arah yang ingin kita aply dengan filterin zone-pair
Contoh ini, kita configurasi:
+ Zones: INSIDE dan OUTSIDE
+ Tipe traffic: icmp (ping)
+ Action: inspect (karena kita tidak ingin allow or deny semua traffic, jadi kita gunakan inspect action
+ Direction: INSIDE to OUTSIDE
+ Tipe traffic: icmp (ping)
+ Action: inspect (karena kita tidak ingin allow or deny semua traffic, jadi kita gunakan inspect action
+ Direction: INSIDE to OUTSIDE
Dari sisi Firewall, hanya mengizinkan traffic icmp dari inside ke outside, drop semua traffic yang lain
Sekarang jika kita ping dari PC (inside) ke 12.12.12.2 (Outside), maka policy ini akan bekerja
(INSIDE)#ping 12.12.12.2
!!!!!
!!!!!
tapi jika kita ping dari 12.12.12.2 (outside) ke PC inside, maka akan didrop
(OUTSIDE)#ping 10.0.1.1
…..
info dari link ini --> http://www.securitytut.com/ccna-security-knowledge/cisco-ios-zone-based-firewall-tutorial
…..
info dari link ini --> http://www.securitytut.com/ccna-security-knowledge/cisco-ios-zone-based-firewall-tutorial
Tidak ada komentar:
Posting Komentar