Настройка межсетевого экрана Eltex FW

Eltex FW – это межсетевой экран с контролем состояния сессии (stateful) и поддержкой зон безопасности (zone-based). Политика по умолчанию разрешает все исходящие локальные соединения, а входящие только в рамках исходящих.

1.    Создайте две зоны безопасности, одну для защищаемой подсети (trusted), другую для недоверенной (untusted):

esr:hub# configure

esr:hub(config)# security zone trusted

esr:hub(config-zone)# exit

esr:hub(config)# security zone untrusted

esr:hub(config-zone)# exit

2.    Добавьте сетевые интерфейсы в созданные зоны безопасности:

esr:hub(config)# bridge 1

esr:hub(config-bridge)# security-zone trusted

esr:hub(config-bridge)# exit

esr:hub(config)# interface gigabitethernet 1/0/1-2

esr:hub(config-if-gi)# security-zone untrusted

esr:hub(config-if-gi)# exit

3.    Создайте объекты, описывающие порты протоколов, для дальнейшего их использования в правилах фильтрации, разрешающих входящий на Hub трафик.

3.1.     Для протокола SSH:

esr:hub(config)# object-group service SSH

esr:hub(config-object-group-service)# port-range 22

esr:hub(config-object-group-service)# exit

3.2.     Для протоколов IKE и NAT-T (IPsec over UDP):

esr:hub(config)# object-group service IKE500

esr:hub(config-object-group-service)# port-range 500

esr:hub(config-object-group-service)# exit

esr:hub(config)# object-group service IKE4500

esr:hub(config-object-group-service)# port-range 4500

esr:hub(config-object-group-service)# exit

esr:hub(config)#

4.    Настройте правила фильтрации между зонами безопасности.

4.1.     Разрешите любой транзитный трафик из доверенной зоны/сети в недоверенную, то есть с портов коммутатора gi1/0/5-24 на внешние интерфейсы gi1/0/1, gi1/0/2 (trusted untrusted):

esr:hub(config)# security zone-pair trusted untrusted

esr:hub(config-zone-pair)# rule 10

esr:hub(config-zone-pair-rule)# action permit

esr:hub(config-zone-pair-rule)# match protocol any

esr:hub(config-zone-pair-rule)# match source-address any

esr:hub(config-zone-pair-rule)# match destination-address any

esr:hub(config-zone-pair-rule)# enable

esr:hub(config-zone-pair-rule)# exit

esr:hub(config-zone-pair)# exit

esr:hub(config)#

Трафик, который необходимо шифровать из доверенной сети, будет определяться списками доступа СКЗИ в CGW CLI.

4.2.     Разрешите любой транзитный трафик между сетевыми интерфейсами доверенной зоны/сети (trusted trusted):

esr:hub(config)# security zone-pair trusted trusted

esr:hub(config-zone-pair)# rule 10

esr:hub(config-zone-pair-rule)# action permit

esr:hub(config-zone-pair-rule)# match protocol any

esr:hub(config-zone-pair-rule)# match source-address any

esr:hub(config-zone-pair-rule)# match destination-address any

esr:hub(config-zone-pair-rule)# enable

esr:hub(config-zone-pair-rule)# exit

esr:hub(config-zone-pair) exit

esr:hub(config)#

4.3.     Разрешите прохождение любого транзитного расшифрованного трафика из недоверенной зоны/сети в доверенную, то есть с внешних сетевых интерфейсов gi1/0/1, gi1/0/2 на сетевые интерфейсы коммутатора gi1/0/5-24 (untrusted trusted):

esr:hub(config)# security zone-pair untrusted trusted

esr:hub(config-zone-pair)# rule 10

esr:hub(config-zone-pair-rule)# action permit

esr:hub(config-zone-pair-rule)# match source-address any

esr:hub(config-zone-pair-rule)# match destination-address any

esr:hub(config-zone-pair-rule)# match protocol any

esr:hub(config-zone-pair-rule)# match ipsec-decrypted

esr:hub(config-zone-pair-rule)# enable

esr:hub(config-zone-pair-rule)# exit

esr:hub(config-zone-pair)# exit

esr:hub(config)#

4.4.     Разрешите подключение по протоколу SSH из доверенной зоны/сети к Hub (trusted self):

esr:hub(config)# security zone-pair trusted self

esr:hub(config-zone-pair)# rule 10

esr:hub(config-zone-pair-rule)# action permit

esr:hub(config-zone-pair-rule)# match protocol tcp

esr:hub(config-zone-pair-rule)# match destination-port SSH

esr:hub(config-zone-pair-rule)# match destination-address any

esr:hub(config-zone-pair-rule)# match source-address any

esr:hub(config-zone-pair-rule)# match source-port any

esr:hub(config-zone-pair-rule)# enable

esr:hub(config-zone-pair-rule)# exit

esr:hub(config-zone-pair)#

4.5.     Разрешите пакеты протокола ICMP из доверенной зоны/сети к Hub (trusted self):

esr:hub(config-zone-pair)# rule 20

esr:hub(config-zone-pair-rule)# action permit

esr:hub(config-zone-pair-rule)# match protocol icmp

esr:hub(config-zone-pair-rule)# match source-address any

esr:hub(config-zone-pair-rule)# match destination-address any

esr:hub(config-zone-pair-rule)# enable

esr:hub(config-zone-pair-rule)# exit

esr:hub(config-zone-pair)# exit

esr:hub(config)#

4.6.     Разрешите пакеты протокола ICMP из недоверенной зоны/сети к Hub (untrusted self):

esr:hub(config)# security zone-pair untrusted self

esr:hub(config-zone-pair)# rule 10

esr:hub(config-zone-pair-rule)# action permit

esr:hub(config-zone-pair-rule)# match source-address any

esr:hub(config-zone-pair-rule)# match destination-address any

esr:hub(config-zone-pair-rule)# match protocol icmp

esr:hub(config-zone-pair-rule)# enable

esr:hub(config-zone-pair-rule)# exit

4.7.     Разрешите прохождение расшифрованного трафика из недоверенной зоны/сети на Hub (untrusted self):

esr:hub(config-zone-pair)# rule 20

esr:hub(config-zone-pair-rule)# action permit

esr:hub(config-zone-pair-rule)# match source-address any

esr:hub(config-zone-pair-rule)# match destination-address any

esr:hub(config-zone-pair-rule)# match protocol any

esr:hub(config-zone-pair-rule)# match ipsec-decrypted

esr:hub(config-zone-pair-rule)# enable

esr:hub(config-zone-pair-rule)# exit

4.8.     Разрешите пакеты протокола IKE и NAT-T (IPsec over UDP) из недоверенной зоны/сети на Hub (untrusted self):

esr:hub(config-zone-pair)# rule 30

esr:hub(config-zone-pair-rule)# action permit

esr:hub(config-zone-pair-rule)# match protocol udp

esr:hub(config-zone-pair-rule)# match source-address any

esr:hub(config-zone-pair-rule)# match destination-address any

esr:hub(config-zone-pair-rule)# match source-port any

esr:hub(config-zone-pair-rule)# match destination-port IKE500

esr:hub(config-zone-pair-rule)# enable

esr:hub(config-zone-pair-rule)# exit

esr:hub(config-zone-pair)#

esr:hub(config-zone-pair)# rule 40

esr:hub(config-zone-pair-rule)# action permit

esr:hub(config-zone-pair-rule)# match protocol udp

esr:hub(config-zone-pair-rule)# match source-address any

esr:hub(config-zone-pair-rule)# match destination-address any

esr:hub(config-zone-pair-rule)# match source-port any

esr:hub(config-zone-pair-rule)# match destination-port IKE4500

esr:hub(config-zone-pair-rule)# enable

esr:hub(config-zone-pair-rule)# exit

esr:hub(config-zone-pair)# exit

esr:hub(config)#