Eltex FW – это межсетевой экран с контролем состояния сессии (stateful) и поддержкой зон безопасности (zone-based). Политика по умолчанию разрешает все исходящие локальные соединения, а входящие только в рамках исходящих.
1. Создайте две зоны безопасности, одну для защищаемой подсети (trusted), другую для недоверенной (untusted):
esr:hub# configure
esr:hub(config)# security zone trusted
esr:hub(config-zone)# exit
esr:hub(config)# security zone untrusted
esr:hub(config-zone)# exit
2. Добавьте сетевые интерфейсы в созданные зоны безопасности:
esr:hub(config)# bridge 1
esr:hub(config-bridge)# security-zone trusted
esr:hub(config-bridge)# exit
esr:hub(config)# interface gigabitethernet 1/0/1-2
esr:hub(config-if-gi)# security-zone untrusted
esr:hub(config-if-gi)# exit
3. Создайте объекты, описывающие порты протоколов, для дальнейшего их использования в правилах фильтрации, разрешающих входящий на Hub трафик.
3.1. Для протокола SSH:
esr:hub(config)# object-group service SSH
esr:hub(config-object-group-service)# port-range 22
esr:hub(config-object-group-service)# exit
3.2. Для протоколов IKE и NAT-T (IPsec over UDP):
esr:hub(config)# object-group service IKE500
esr:hub(config-object-group-service)# port-range 500
esr:hub(config-object-group-service)# exit
esr:hub(config)# object-group service IKE4500
esr:hub(config-object-group-service)# port-range 4500
esr:hub(config-object-group-service)# exit
esr:hub(config)#
4. Настройте правила фильтрации между зонами безопасности.
4.1. Разрешите любой транзитный трафик из доверенной зоны/сети в недоверенную, то есть с портов коммутатора gi1/0/5-24 на внешние интерфейсы gi1/0/1, gi1/0/2 (trusted untrusted):
esr:hub(config)# security zone-pair trusted untrusted
esr:hub(config-zone-pair)# rule 10
esr:hub(config-zone-pair-rule)# action permit
esr:hub(config-zone-pair-rule)# match protocol any
esr:hub(config-zone-pair-rule)# match source-address any
esr:hub(config-zone-pair-rule)# match destination-address any
esr:hub(config-zone-pair-rule)# enable
esr:hub(config-zone-pair-rule)# exit
esr:hub(config-zone-pair)# exit
esr:hub(config)#
Трафик, который необходимо шифровать из доверенной сети, будет определяться списками доступа СКЗИ в CGW CLI.
4.2. Разрешите любой транзитный трафик между сетевыми интерфейсами доверенной зоны/сети (trusted trusted):
esr:hub(config)# security zone-pair trusted trusted
esr:hub(config-zone-pair)# rule 10
esr:hub(config-zone-pair-rule)# action permit
esr:hub(config-zone-pair-rule)# match protocol any
esr:hub(config-zone-pair-rule)# match source-address any
esr:hub(config-zone-pair-rule)# match destination-address any
esr:hub(config-zone-pair-rule)# enable
esr:hub(config-zone-pair-rule)# exit
esr:hub(config-zone-pair) exit
esr:hub(config)#
4.3. Разрешите прохождение любого транзитного расшифрованного трафика из недоверенной зоны/сети в доверенную, то есть с внешних сетевых интерфейсов gi1/0/1, gi1/0/2 на сетевые интерфейсы коммутатора gi1/0/5-24 (untrusted trusted):
esr:hub(config)# security zone-pair untrusted trusted
esr:hub(config-zone-pair)# rule 10
esr:hub(config-zone-pair-rule)# action permit
esr:hub(config-zone-pair-rule)# match source-address any
esr:hub(config-zone-pair-rule)# match destination-address any
esr:hub(config-zone-pair-rule)# match protocol any
esr:hub(config-zone-pair-rule)# match ipsec-decrypted
esr:hub(config-zone-pair-rule)# enable
esr:hub(config-zone-pair-rule)# exit
esr:hub(config-zone-pair)# exit
esr:hub(config)#
4.4. Разрешите подключение по протоколу SSH из доверенной зоны/сети к Hub (trusted self):
esr:hub(config)# security zone-pair trusted self
esr:hub(config-zone-pair)# rule 10
esr:hub(config-zone-pair-rule)# action permit
esr:hub(config-zone-pair-rule)# match protocol tcp
esr:hub(config-zone-pair-rule)# match destination-port SSH
esr:hub(config-zone-pair-rule)# match destination-address any
esr:hub(config-zone-pair-rule)# match source-address any
esr:hub(config-zone-pair-rule)# match source-port any
esr:hub(config-zone-pair-rule)# enable
esr:hub(config-zone-pair-rule)# exit
esr:hub(config-zone-pair)#
4.5. Разрешите пакеты протокола ICMP из доверенной зоны/сети к Hub (trusted self):
esr:hub(config-zone-pair)# rule 20
esr:hub(config-zone-pair-rule)# action permit
esr:hub(config-zone-pair-rule)# match protocol icmp
esr:hub(config-zone-pair-rule)# match source-address any
esr:hub(config-zone-pair-rule)# match destination-address any
esr:hub(config-zone-pair-rule)# enable
esr:hub(config-zone-pair-rule)# exit
esr:hub(config-zone-pair)# exit
esr:hub(config)#
4.6. Разрешите пакеты протокола ICMP из недоверенной зоны/сети к Hub (untrusted self):
esr:hub(config)# security zone-pair untrusted self
esr:hub(config-zone-pair)# rule 10
esr:hub(config-zone-pair-rule)# action permit
esr:hub(config-zone-pair-rule)# match source-address any
esr:hub(config-zone-pair-rule)# match destination-address any
esr:hub(config-zone-pair-rule)# match protocol icmp
esr:hub(config-zone-pair-rule)# enable
esr:hub(config-zone-pair-rule)# exit
4.7. Разрешите прохождение расшифрованного трафика из недоверенной зоны/сети на Hub (untrusted self):
esr:hub(config-zone-pair)# rule 20
esr:hub(config-zone-pair-rule)# action permit
esr:hub(config-zone-pair-rule)# match source-address any
esr:hub(config-zone-pair-rule)# match destination-address any
esr:hub(config-zone-pair-rule)# match protocol any
esr:hub(config-zone-pair-rule)# match ipsec-decrypted
esr:hub(config-zone-pair-rule)# enable
esr:hub(config-zone-pair-rule)# exit
4.8. Разрешите пакеты протокола IKE и NAT-T (IPsec over UDP) из недоверенной зоны/сети на Hub (untrusted self):
esr:hub(config-zone-pair)# rule 30
esr:hub(config-zone-pair-rule)# action permit
esr:hub(config-zone-pair-rule)# match protocol udp
esr:hub(config-zone-pair-rule)# match source-address any
esr:hub(config-zone-pair-rule)# match destination-address any
esr:hub(config-zone-pair-rule)# match source-port any
esr:hub(config-zone-pair-rule)# match destination-port IKE500
esr:hub(config-zone-pair-rule)# enable
esr:hub(config-zone-pair-rule)# exit
esr:hub(config-zone-pair)#
esr:hub(config-zone-pair)# rule 40
esr:hub(config-zone-pair-rule)# action permit
esr:hub(config-zone-pair-rule)# match protocol udp
esr:hub(config-zone-pair-rule)# match source-address any
esr:hub(config-zone-pair-rule)# match destination-address any
esr:hub(config-zone-pair-rule)# match source-port any
esr:hub(config-zone-pair-rule)# match destination-port IKE4500
esr:hub(config-zone-pair-rule)# enable
esr:hub(config-zone-pair-rule)# exit
esr:hub(config-zone-pair)# exit
esr:hub(config)#