Eltex FW – это межсетевой экран с контролем состояния сессии (stateful) и поддержкой зон безопасности (zone-based). Политика по умолчанию разрешает все исходящие локальные соединения, а входящие только в рамках исходящих.
1. Создайте две зоны безопасности, одну для защищаемой подсети (trusted), другую для недоверенной (untusted):
esr:hub-n1# configure
esr:hub-n1(config)# security zone trusted
esr:hub-n1(config-zone)# exit
esr:hub-n1(config)# security zone untrusted
esr:hub-n1(config-zone)# exit
2. Добавьте сетевые интерфейсы в созданные зоны безопасности:
2.1. Внешний интерфейс gigabitethernet 1/0/1 добавьте в зону untrusted:
esr:hub-n1(config)# interface gigabitethernet 1/0/1
esr:hub-n1(config-if-gi)# security-zone untrusted
esr:hub-n1(config-if-gi)# exit
2.2. Внутренний интерфейс gigabitethernet 1/0/3 добавьте в зону trusted:
esr:hub-n1(config)# interface gigabitethernet 1/0/3
esr:hub-n1(config-if-gi)# security-zone trusted
esr:hub-n1(config-if-gi)# exit
3. Создайте объекты, описывающие порты протоколов, для дальнейшего их использования в правилах фильтрации, разрешающих входящий на Hub-n1 трафик.
3.1. Для протокола SSH:
esr:hub-n1(config)# object-group service SSH
esr:hub-n1(config-object-group-service)# port-range 22
esr:hub-n1(config-object-group-service)# exit
3.2. Для протоколов IKE и NAT-T (IPsec over UDP):
esr:hub-n1(config)# object-group service IKE500
esr:hub-n1(config-object-group-service)# port-range 500
esr:hub-n1(config-object-group-service)# exit
esr:hub-n1(config)# object-group service IKE4500
esr:hub-n1(config-object-group-service)# port-range 4500
esr:hub-n1(config-object-group-service)# exit
esr:hub-n1(config)#
4. Настройте правила фильтрации между зонами безопасности.
4.1. Разрешите любой транзитный трафик из доверенной зоны/сети в недоверенную, то есть с внутреннего интерфейса gi1/0/3 на внешний gi1/0/1 (trusted untrusted):
esr:hub-n1(config)# security zone-pair trusted untrusted
esr:hub-n1(config-zone-pair)# rule 10
esr:hub-n1(config-zone-pair-rule)# action permit
esr:hub-n1(config-zone-pair-rule)# match protocol any
esr:hub-n1(config-zone-pair-rule)# match source-address any
esr:hub-n1(config-zone-pair-rule)# match destination-address any
esr:hub-n1(config-zone-pair-rule)# enable
esr:hub-n1(config-zone-pair-rule)# exit
esr:hub-n1(config-zone-pair)# exit
Трафик, который необходимо шифровать из доверенной сети, будет определяться списками доступа СКЗИ в CGW CLI.
4.2. Разрешите любой транзитный трафик между сетевыми интерфейсами доверенной зоны/сети (trusted trusted):
esr:hub-n1(config)# security zone-pair trusted trusted
esr:hub-n1(config-zone-pair)# rule 10
esr:hub-n1(config-zone-pair-rule)# action permit
esr:hub-n1(config-zone-pair-rule)# match protocol any
esr:hub-n1(config-zone-pair-rule)# match source-address any
esr:hub-n1(config-zone-pair-rule)# match destination-address any
esr:hub-n1(config-zone-pair-rule)# enable
esr:hub-n1(config-zone-pair-rule)# exit
esr:hub-n1(config-zone-pair)# exit
esr:hub-n1(config)#
4.3. Разрешите прохождение транзитного расшифрованного трафика из недоверенной зоны/сети в доверенную, то есть с внешнего сетевого интерфейса gi1/0/1 на gi1/0/3 (untrusted trusted):
esr:hub-n1(config)# security zone-pair untrusted trusted
esr:hub-n1(config-zone-pair)# rule 10
esr:hub-n1(config-zone-pair-rule)# action permit
esr:hub-n1(config-zone-pair-rule)# match protocol any
esr:hub-n1(config-zone-pair-rule)# match source-address any
esr:hub-n1(config-zone-pair-rule)# match destination-address any
esr:hub-n1(config-zone-pair-rule)# match ipsec-decrypted
esr:hub-n1(config-zone-pair-rule)# enable
esr:hub-n1(config-zone-pair-rule)# exit
esr:hub-n1(config-zone-pair)# exit
4.4. Разрешите подключение по протоколу SSH из доверенной зоны/сети к Hub-n1 (trusted self):
esr:hub-n1(config)# security zone-pair trusted self
esr:hub-n1(config-zone-pair)# rule 10
esr:hub-n1(config-zone-pair-rule)# action permit
esr:hub-n1(config-zone-pair-rule)# match protocol tcp
esr:hub-n1(config-zone-pair-rule)# match source-address any
esr:hub-n1(config-zone-pair-rule)# match destination-address any
esr:hub-n1(config-zone-pair-rule)# match source-port any
esr:hub-n1(config-zone-pair-rule)# match destination-port SSH
esr:hub-n1(config-zone-pair-rule)# enable
esr:hub-n1(config-zone-pair-rule)# exit
esr:hub-n1(config-zone-pair)#
4.5. Разрешите пакеты протокола ICMP из доверенной зоны/сети к Hub-n1 (trusted self):
esr:hub-n1(config-zone-pair)# rule 20
esr:hub-n1(config-zone-pair-rule)# action permit
esr:hub-n1(config-zone-pair-rule)# match protocol icmp
esr:hub-n1(config-zone-pair-rule)# match source-address any
esr:hub-n1(config-zone-pair-rule)# match destination-address any
esr:hub-n1(config-zone-pair-rule)# enable
esr:hub-n1(config-zone-pair-rule)# exit
esr:hub-n1(config-zone-pair)#
4.6. Разрешите пакеты протокола VRRP из доверенной зоны/сети к Hub-n1 (trusted self):
esr:hub-n1(config-zone-pair)# rule 30
esr:hub-n1(config-zone-pair-rule)# action permit
esr:hub-n1(config-zone-pair-rule)# match protocol vrrp
esr:hub-n1(config-zone-pair-rule)# match source-address any
esr:hub-n1(config-zone-pair-rule)# match destination-address any
esr:hub-n1(config-zone-pair-rule)# enable
esr:hub-n1(config-zone-pair-rule)# exit
esr:hub-n1(config-zone-pair)# exit
4.7. Разрешите пакеты протокола ICMP из недоверенной зоны/сети к Hub-n1 (untrusted self):
esr:hub-n1(config)# security zone-pair untrusted self
esr:hub-n1(config-zone-pair)# rule 10
esr:hub-n1(config-zone-pair-rule)# action permit
esr:hub-n1(config-zone-pair-rule)# match protocol icmp
esr:hub-n1(config-zone-pair-rule)# match source-address any
esr:hub-n1(config-zone-pair-rule)# match destination-address any
esr:hub-n1(config-zone-pair-rule)# enable
esr:hub-n1(config-zone-pair-rule)# exit
esr:hub-n1(config-zone-pair)#
4.8. Разрешите прохождение расшифрованного трафика из недоверенной зоны/сети на Hub-n1 (untrusted self):
esr:hub-n1(config-zone-pair)# rule 20
esr:hub-n1(config-zone-pair-rule)# action permit
esr:hub-n1(config-zone-pair-rule)# match protocol any
esr:hub-n1(config-zone-pair-rule)# match source-address any
esr:hub-n1(config-zone-pair-rule)# match destination-address any
esr:hub-n1(config-zone-pair-rule)# match ipsec-decrypted
esr:hub-n1(config-zone-pair-rule)# enable
esr:hub-n1(config-zone-pair-rule)# exit
4.9. Разрешите пакеты протокола IKE, NAT-T (IPsec over UDP) и VRRP из недоверенной зоны/сети на Hub-n1 (untrusted self):
esr:hub-n1(config-zone-pair)# rule 30
esr:hub-n1(config-zone-pair-rule)# action permit
esr:hub-n1(config-zone-pair-rule)# match protocol udp
esr:hub-n1(config-zone-pair-rule)# match source-address any
esr:hub-n1(config-zone-pair-rule)# match destination-address any
esr:hub-n1(config-zone-pair-rule)# match source-port any
esr:hub-n1(config-zone-pair-rule)# match destination-port IKE500
esr:hub-n1(config-zone-pair-rule)# enable
esr:hub-n1(config-zone-pair-rule)# exit
esr:hub-n1(config-zone-pair)# rule 40
esr:hub-n1(config-zone-pair-rule)# action permit
esr:hub-n1(config-zone-pair-rule)# match protocol udp
esr:hub-n1(config-zone-pair-rule)# match source-address any
esr:hub-n1(config-zone-pair-rule)# match destination-address any
esr:hub-n1(config-zone-pair-rule)# match source-port any
esr:hub-n1(config-zone-pair-rule)# match destination-port IKE4500
esr:hub-n1(config-zone-pair-rule)# enable
esr:hub-n1(config-zone-pair-rule)# exit
esr:hub-n1(config-zone-pair)# rule 50
esr:hub-n1(config-zone-pair-rule)# action permit
esr:hub-n1(config-zone-pair-rule)# match protocol vrrp
esr:hub-n1(config-zone-pair-rule)# match source-address any
esr:hub-n1(config-zone-pair-rule)# match destination-address any
esr:hub-n1(config-zone-pair-rule)# enable
esr:hub-n1(config-zone-pair-rule)# exit
esr:hub-n1(config-zone-pair)# exit
esr:hub-n1(config)#