Межсетевые экраны
[+]
Московский государственный университет имени М.В.Ломоносова
Опубликован: 28.11.2014 | Доступ: платный | Студентов: 83 / 7 | Длительность: 18:46:00
ISBN: 978-5-9556-0162-5
Темы: Базы данных, Сетевые технологии, Безопасность
Специальности: Администратор информационных систем, Специалист по безопасности, Администратор коммуникационных систем
Лабораторная работа 2:

Соединение сетей за межсетевыми экранами
A
|
версия для печати
< Лекция 2 || Лабораторная работа 2 || Лекция 3 >
Ключевые слова: локальные сети, доступ, Интернет, интерфейс, IP, сеть, выход, межсетевой экран, DHCP, шлюз, DNS, Ethernet, client, advanced, таблица, NAT, провайдер, маршрутизация, объект, core, команда, ping

Цель

Создать топологию сети, в которой два межсетевых экрана соединяют локальные сети, обеспечивая доступ в локальные сети друг друга и доступ в интернет через одного провайдера.

  1. Настроить сервисы DNS на обоих межсетевых экранах.
  2. Разрешить доступ из обеих локальных сетей в интернет.
  3. Разрешить доступ из локальных сетей к lan-интерфейсам каждого межсетевого экрана и к рабочим станциям в локальных сетях.

Топология сети

На Межсетевом Экране 1 (МЭ 1) используются четыре интерфейса, которые обозначены lan, dmz, wan1 и wan2.

Интерфейс lan имеет IP-адрес 192.168.1.10 и соединен с подсетью 192.168.1.0/24, в которой расположены рабочие станции пользователей.

Интерфейс dmz имеет IP-адрес 172.17.100.1, в текущей топологии к нему не подсоединена никакая сеть.

Интерфейс wan1 имеет IP-адрес 10.6.10.62 и соединен с подсетью 10.6.10.0/28 со шлюзом провайдера, который обеспечивает выход в интернет и имеет IP-адрес 10.6.10.3.

Интерфейс wan2 имеет IP-адрес 192.168.20.10 и соединен с подсетью 192.168.20.0/24, в которой расположен Межсетевой Экран 2 (МЭ 2) с IP-адресом 192.168.20.20.

На Межсетевом Экране 2 (МЭ 2) используются четыре интерфейса, которые обозначены lan, dmz, wan1 и wan2.

Интерфейс lan имеет IP-адрес 192.168.2.20 и соединен с подсетью 192.168.2.0/24, в которой расположены рабочие станции пользователей.

Интерфейс dmz имеет IP-адрес 172.17.200.2, в текущей топологии к нему не подсоединена никакая сеть.

Интерфейс wan1 является DHCP-клиентом, который получает IP-адрес, маску подсети, шлюз по умолчанию и IP-адрес DNS-сервера от DHCP-сервера провайдера.

Интерфейс wan2 имеет IP-адрес 192.168.20.20 и соединен с подсетью 192.168.20.0/24, в которой расположен Межсетевой Экран 1 (МЭ 1) с IP-адресом 192.168.20.10.

Описание практической работы

Сервисы DNS

Межсетевой Экран 1

На МЭ 1 весь DNS-трафик из своей локальной сети и удаленной локальной сети должен перенаправляться на DNS-сервер провайдера, поэтому Межсетевой Экран 1 должен знать IP-адрес DNS-сервера провайдера. Необходимо выполнить следующие настройки:

  1. В Адресной Книге создать необходимые объекты.
  2. Для удобства конфигурирования объединить в одну группу интерфейсы, которые требуют одинаковых Правил фильтрования.
  3. Создать Правила фильтрования, перенаправляющие DNS-трафик из локальной сети и dmz-сети к DNS-серверу.
  4. При необходимости в таблицу маршрутизации добавить маршруты.

Объекты Адресной Книги

В Адресной Книге создать необходимые объекты.

  1. Объекты интерфейса lan.

    Веб-интерфейс:

    Object -> Address Book -> Add -> Address Folder

    Name: lan

    Object -> Address Book -> lan

    Командная строка:

    add Address AddressFolder lan Comments=lan

    cc Address AddressFolder lan

    add IP4Address lan_ip Address=192.168.1.10 Comments=’IPAddress of interface lan’

    add IP4Address lan_net Address=192.168.1.0/24 Comments=’The network on interface lan’

  2. Объекты интерфейса dmz.

    Веб-интерфейс:

    Object -> Address Book -> Add -> Address Folder

    Name: dmz

    Object -> Address Book -> lan

    Командная строка:

    add Address AddressFolder dmz Comments=dmz

    cc Address AddressFolder dmz

    add IP4Address dmz_ip Address=172.17.100.1 Comments=’IPAddress of interface dmz’

    add IP4Address dmz_net Address=172.17.100.0/24 Comments=’The network on interface dmz’

  3. Объекты интерфейса wan1.

    Веб-интерфейс:

    Object -> Address Book -> Add -> Address Folder

    Name: wan1

    Object -> Address Book -> wan1

    Командная строка:

    add Address AddressFolder wan1 Comments=wan1

    cc Address AddressFolder wan1

    add IP4Address wan1_ip Address=10.6.10.62 Comments=’IPAddress of interface wan1’

    add IP4Address wan1_gw Address=10.6.10.3 Comments=’Default gateway for interface wan1’

    add IP4Address wan1_dns1 Address=10.6.10.3 Comments=’Primary DNS server for interface wan1’

    add IP4Address wan1_net Address=10.6.10.0/28 Comments=’The network on interface wan1’

  4. Объекты интерфейса wan2.

    Веб-интерфейс:

    Object -> Address Book -> Add -> Address Folder

    Name: wan2

    Object -> Address Book -> wan2

    Командная строка:

    add Address AddressFolder wan2 Comments=wan2

    cc Address AddressFolder wan2

    add IP4Address wan2_ip Address=192.168.20.10 Comments=’IPAddress of interface wan2’

    add IP4Address wan2_gw Address=192.168.20.20 Comments=’The network on interface wan2’

    add IP4Address wan2_net Address=192.168.20.0/24 Comments=’The network on interface wan2’

  5. Объекты, описывающие LAN-сеть, расположенную за МЭ 2.

    Веб-интерфейс:

    Object -> Address Book -> Add -> Address Folder

    Name: remote

    Object -> Address Book -> rem_lan

    Командная строка:

    add Address AddressFolder remote Comments=’The remote objects’

    cc Address AddressFolder remote

    add IP4Address rem_lan Address=192.168.2.0/24 Comments=’The remote lan’

  6. Дополнительные объекты, необходимые для удобства администрирования и объединяющие в одну группу сети и IP-адреса, которые необходимы одинаковые сервисы DNS.

    Веб-интерфейс:

    Object -> Address Book -> InterfaceAddresses -> Add

    Name: dns_relay

    Object -> Address Book -> dns_relay

    Командная строка:

    add Address AddressFolder dns_relay Comments=’DNS services’

    cc Address AddressFolder dns_relay

    add IP4Group dns_net Members=lan/lan_net, dmz/dmz_net

    add IP4Group dns_ip Members=lan/lan_ip, dmz/dmz_ip

Привязка созданных объектов Адресной Книги к интерфейсам

Объекты, созданные в пунктах 1, 2, 3 и 4, должны быть привязаны к соответствующим Ethernet-интерфейсам.

Веб-интерфейс:

Interfaces -> Ethernet-> wan1

Если IP-адрес данного интерфейса должен быть получен по протоколу DHCP, то следует установить соответствующий флаг "Enable DHCP Client".

На вкладке Advanced рекомендуется добавить флаг автоматического добавления маршрута к указанной сети, используя данный интерфейс. Для интерфейса wan1 следует также установить флаг добавления маршрута по умолчанию к указанному шлюзу через данный интерфейс.

Аналогично привязать созданные объекты к другим интерфейсам.

Командная строка:

set Interface Ethernet lan IP=lan/lan_ip Network=lan/lan_net AutoInterfaceNetworkRoute=yes

set Interface Ethernet dmz IP=dmz/dmz_ip Network=dmz/dmz_net AutoInterfaceNetworkRoute=yes

set Interface Ethernet wan1 IP=wan1/wan1_ip Network=wan1/wan1_net DefaultGateway=wan1/wan1_gw Name=wan1 AutoInterfaceNetworkRoute=yes AutoDefaultGatewayRoute=yes

set Interface Ethernet wan2 IP=wan2/wan2_ip Network=wan2/wan2_net DefaultGateway=wan2/wan2_gw Name=wan2 AutoInterfaceNetworkRoute=yes

В результате заданы следующие параметры интерфейсов:

Таблица маршрутизации следующая:

Группа интерфейсов

Объединить интерфейсы в Группу, чтобы несколько интерфейсов можно было указывать одним параметром в Правилах фильтрования.

Веб-интерфейс:

Interfaces -> Interface Group ->Add

Командная строка:

add Interface InterfaceGroup dns_relay_int Members=lan,dmz

Правила фильтрования

Создать Правила, перенаправляющие DNS-трафик из локальных сетей к DNS-серверу в интернете. Это можно сделать несколькими способами:

  1. Создать правила SAT и NAT для каждого интерфейса, соединенному с сетями, которым необходим сервис DNS. В качестве сети источника следует указать сеть (группу сетей), которой требуется сервис DNS. В качестве сети назначения следует указать IP-адрес интерфейса.

    Правило SAT заменяет IP-адрес получателя на IP-адрес, указанный на вкладке SAT.

    На вкладке SAT в качестве адреса назначения следует указать IP-адрес DNS-сервера.

    Веб-интерфейс:

    Rules -> IP Rules -> Add -> IP Rule Folder

    Name: dns_relay_multi

    Rules -> IP Rules -> dns_relay_multi

    Командная строка:

    add IPRuleFolder Name=dns_relay_multi

    cc IPRuleFolder <N folder>

    add IPRule Action=SAT SourceInterface=lan SourceNetwork=lan/lan_net DestinationInterface=core DestinationNetwork=lan/lan_ip Service=dns-all SATTranslateToIP=wan1/wan1_dns1 Name=sat_dns_lan

    add IPRule Action=NAT SourceInterface=lan SourceNetwork=lan/lan_net DestinationInterface=core DestinationNetwork=lan/lan_ip Service=dns-all Name=nat_dns_lan

    add IPRule Action=SAT SourceInterface=dmz SourceNetwork=dmz/dmz_net DestinationInterface=core DestinationNetwork=dmz/dmz_ip Service=dns-all SATTranslateToIP=wan1/wan1_dns1 Name=sat_dns_dmz

    add IPRule Action=NAT SourceInterface=dmz SourceNetwork=dmz/dmz_net DestinationInterface=core DestinationNetwork=dmz/dmz_ip Service=dns-all Name=nat_dns_dmz

  2. Использовать созданные группы IP-сетей, IP-адресов и интерфейсов, для сетей которых необходим сервис DNS. В этом случае будет достаточно одной пары правил SAT-NAT.

    Веб-интерфейс:

    Rules -> IP Rules -> Add -> IP Rule Folder

    Name: dns_relay

    Rules -> IP Rules -> dns_relay -> Add

Второе Правило зависит от требований провайдера. На МЭ 1 указано правило NAT. В этом случае провайдер видит только IP-адрес интерфейса wan1 МЭ1.

Командная строка:

add IPRuleFolder Name=dns_relay

cc IPRuleFolder <N folder>

add IPRule Action=SAT SourceInterface=dns_relay_int SourceNetwork=dns_relay/dns_relay_net DestinationInterface=core DestinationNetwork=dns_relay/dns_ip Service=dns-all SATAllToOne=Yes SATTranslateToIP=wan1/wan1_dns1 Name=sat_dns

add IPRule Action=NAT SourceInterface=dns_relay_int SourceNetwork=dns_relay/dns_relay_net DestinationInterface=core DestinationNetwork=dns_relay/dns_ip Service=dns-all Name=nat_dns

Результирующий трафик следующий.

На интерфейс lan приходит трафик:

С интерфейса wan1 уходит трафик:

  1. Адрес получателя тот, который указан на вкладке SAT правила SAT.
  2. Адрес отправителя соответствует правилу NAT.

Статическая маршрутизация

В таблице маршрутизации уже существуют маршруты ко всем сетям, которые непосредственно доступны с интерфейсов. В результате таблица маршрутизации на МЭ1 выглядит следующим образом:

Проверка доступности DNS-сервисов из локальной сети

Проверить из командной строки на рабочей станции, расположенной в локальной сети, возможность обрабатывать DNS-запросы с помощью команды nslookup:

Межсетевой Экран 2

На Межсетевом Экране 2 следует выполнить аналогичные настройки.

  1. В Адресной Книге создать необходимые объекты.
  2. Для удобства конфигурирования объединить в одну группу интерфейсы, которые требуют одинаковых правил фильтрования.
  3. Создать правила, перенаправляющие DNS-трафик из локальной сети и dmz-сети к DNS-серверу.
  4. При необходимости в таблицу маршрутизации добавить маршруты.

Объекты Адресной Книги

В Адресной Книге создать необходимые объекты.

  1. Объекты интерфейса lan.

    Веб-интерфейс:

    Object -> Address Book -> Add -> Address Folder

    Name: lan

    Object -> Address Book -> lan

    Командная строка:

    add Address AddressFolder lan

    cc AddressAddressFolder lan

    add IP4Address lan_ip Address=192.168.2.20 Comments=’IPAddress of interface lan’

    add IP4Address lan_net Address=192.168.2.0/24 Comments=’The network on interface lan’

  2. Объекты интерфейса dmz.

    Веб-интерфейс:

    Object -> Address Book -> Add -> Address Folder

    Name: dmz

    Object -> Address Book -> dmz

    Командная строка:

    add Address AddressFolder dmz

    cc AddressAddressFolder dmz

    add IP4Address dmz_ip Address=172.17.200.20 Comments=’IPAddress of interface dmz’

    add IP4Address dmz_net Address=172.17.200.0/24 Comments=’The network on interface dmz’

  3. Объекты интерфейса wan2.

    Веб-интерфейс:

    Object ->Address Book ->Add->Address Folder

    Name: wan2

    Object ->Address Book ->wan2

    Командная строка:

    add Address AddressFolder wan2

    cc Address AddressFolder wan2

    add IP4Address wan2_ip Address=192.168.20.20 Comments=’IPAddress of interface wan2’

    add IP4Address wan2_gw Address=192.168.20.10 Comments=’Default gateway for interface wan2’

    add IP4Address wan2_net Address=192.168.20.0/24 Comments=’The network on interface wan2’

  4. Объекты, описывающие сети, расположенные за МЭ 1.

    Веб-интерфейс:

    Object ->Address Book ->Add->Address Folder

    Name: remote

    Object ->Address Book -> remote

    Командная строка:

    add Address AddressFolder remote Comments=’The remote objects’

    cc Address AddressFolder remote

    add IP4Address rem_lan Address=192.168.1.0/24 Comments=’The remote lan’

  5. Дополнительные объекты, необходимые для удобства администрирования и объединяющие в одну группу сети и IP-адреса, которые необходимы одинаковые сервисы DNS.

    Веб-интерфейс:

    Object -> Address Book -> Add -> Address Folder

    Name: dns_relay

    Object -> Address Book -> dns_relay

    Командная строка:

    add Address AddressFolder dns_relay Comments=’DNS services’

    cc Address AddressFolder dns_relay

    add IP4Group dns_net Members =lan/lan_net, dmz/dmz_net

    add IP4Group dns_ip Members = lan/lan_ip, dmz/dmz_ip

Привязка созданных объектов Адресной Книги к интерфейсам

Объекты, созданные в пунктах 1, 2 и 3, должны быть привязаны к соответствующим Ethernet-интерфейсам.

Веб-интерфейс:

Interfaces -> Ethernet -> wan1

Если IP-адрес данного интерфейса должен быть получен по протоколу DHCP, то следует установить соответствующий флаг "Enable DHCP Client".

На вкладке Advanced рекомендуется добавить флаг автоматического добавления маршрута к указанной сети, используя данный интерфейс. Для интерфейса wan1 следует также установить флаг добавления маршрута по умолчанию к указанному шлюзу через данный интерфейс.

Аналогично привязать созданные объекты к другим интерфейсам.

Командная строка:

set Interface Ethernet lan IP=lan/lan_ip Network=lan/lan_net Name=lan AutoInterfaceNetworkRoute=yes

set Interface Ethernet dmz IP=dmz/dmz_ip Network=dmz/dmz_net Name=dmz AutoInterfaceNetworkRoute=yes

set Interface Ethernet wan1 IP=wan1/wan1_ip Network=wan1/wan1_net DefaultGateway=wan1/wan1_gw Name=wan1 AutoInterfaceNetworkRoute=yes DefaultGateway= wan1/wan1_gw DHCPEnabled=Yes

set Interface Ethernet wan2 IP=wan2/wan2_ip Network=wan2/wan2_net Name=wan2 AutoInterfaceNetworkRoute=yes

В результате заданы следующие параметры интерфейсов:

Группа интерфейсов

Для удобства можно создать группу интерфейсов, в которой перечислены интерфейсы, трафик с которых можно объединить в одно Правило фильтрования. В нашем случае это интерфейсы dmz и lan.

Веб-интерфейс:

Interfaces -> Interface Groups -> Add -> Interface Group

Командная строка:

add Interface InterfaceGroup dns_relay_int Members=lan,dmz

Правила фильтрования

Веб-интерфейс:

Rules -> IP Rules -> Add -> IP Rule Folder

Name: dns_relay

Rules -> IP Rules -> dns_relay

Вторым правилом на МЭ2 является правило NAT.

Командная строка:

add IPRuleFolder Name=dns_relay

cc IPRuleFolder <N folder>

add IPRule Action=SAT SourceInterface=dns_relay_int SourceNetwork=dns_relay/dns_net DestinationInterface=core DestinationNetwork=dns_relay/dns_ip SATAllToOne=Yes SATTranslateToIP=wan1/wan1_dns1 Service=dns-all Name=sat_dns

add IPRule Action=NAT SourceInterface=dns_relay_int SourceNetwork=dns_relay/dns_net DestinationInterface=core DestinationNetwork=dns_relay/dns_ip Service=dns-all Name=nat_dns

Статическая маршрутизация

В таблице маршрутизации уже созданы все необходимые маршруты.

Доступ в интернет

Межсетевой Экран 1

На МЭ 1 все необходимые объекты в Адресной Книге уже созданы и маршруты определены. Осталось добавить Правила фильтрования, разрешающие доступ в интернет.

Правила фильтрования

Веб-интерфейс:

Rules -> IP Rules -> Add -> IP Rule Folder

Name: toInet

Rules -> IP Rules -> toInet

Командная строка:

add IPRuleFolderName=toInet

cc IPRuleFolder <N folder>

add IPRule Action=Drop SourceInterface=dns_relay_int SourceNetwork=dns_relay/dns_relay_net DestinationInterface=wan2 DestinationNetwork=all-nets Service=smb_all Name=drop_smb-all

add IPRule Action=NAT SourceInterface=dns_relay_int SourceNetwork=dns_relay/dns_relay_net DestinationInterface=wan2 DestinationNetwork=all-nets Service=all_tcpudp Name=NAT_standard

Проверка доступа в интернет из локальной сети

Межсетевой Экран 2

На МЭ1 все необходимые объекты в Адресной Книге уже созданы и маршруты определены. Осталось добавить Правила фильтрования, разрешающие доступ в интернет. Для удобства конфигурирования Правил фильтрования был создан объект в Адресной Книге, который объединяет все сети, из которых необходим доступ в интернет.

Правила фильтрования

Веб-интерфейс:

Rules -> IPRules -> Add -> IPRuleFolder

Name: toInet

Rules -> IP Rules -> toInet

Командная строка:

add IPRuleFolderName=toInet

cc IPRuleFolder <N folder>

add IPRule Action=NAT SourceInterface=dns_relay_int SourceNetwork=dns_relay/dns_net DestinationInterface=wan1 DestinationNetwork=all-nets Service=all_tcpudp Name=NAT_standard

Проверка доступа в интернет из локальной сети

Доступ из локальных сетей к каждому межсетевому экрану

Межсетевой Экран 1

Группа интерфейсов

Объединить интерфейсы lan и core в одну группу, чтобы разрешить доступ как к рабочим станциям в локальной сети, так и к lan-интерфейсу межсетевого экрана.

Веб-интерфейс:

Interfaces -> Interface Groups -> Add-> Interface Group

Командная строка:

add Interface InterfaceGroup lan_plus Members=core,lan

Правила фильтрования

Веб-интерфейс:

Rules -> IP Rules -> Add-> IP Rule Folder

Name: toFW2

Rules -> IP Rules -> toFW2

Командная строка:

add IPRuleFolderName=toFW2

cc IPRuleFolder <N folder>

add IPRule Action=Allow SourceInterface=lan SourceNetwork=lan/lan_net DestinationInterface=wan2 DestinationNetwork=remote/rem_lan Service=all_services Name=Allow_to

add IPRule Action=Allow SourceInterface=wan2 SourceNetwork=remote/rem_lan DestinationInterface=lan_plus DestinationNetwork=lan/lan_net Service=all_services Name=Allow_from

Статическая маршрутизация

Веб-интерфейс:

Routing -> Routing Tables -> main -> Add -> Route IPv4

Командная строка:

cc RoutingTable main

add Route Interface=wan2 Network=remote/rem_lan Gateway=wan2/wan2 Metric=100

Межсетевой Экран 2

Следует выполнить настройки, аналогичные настройкам, сделанным на Межсетевом Экране 1.

Проверка конфигурации

Проверяем доступ (команда ping) с lan-интерфейса межсетевого экрана 1 к рабочей станции в локальной сети (IP-адрес 192.168.1.122) и к lan-интерфейсу межсетевого экрана 1.

Дальше >>
< Лекция 2 || Лабораторная работа 2 || Лекция 3 >

Вопросы и ответы

вопросов: 2
Александр Косенков
Александр Косенков

В материале Триада безопасной ИТ-инфраструктуры – Конфиденциальность, Целостность в качестве основных технологий обеспечения отказоустойчивости для данных указаны

Защита с помощью RAID.

Шифрование данных и управление ключом.

Стратегии создания копий и восстановления.

Каким образом шифрование обеспечивает отказоустойчивость?

ответить
Евгений Шахов
Евгений Шахов

Страница http://www.intuit.ru/studies/courses/14250/1286/lecture/24237

содержит "Интерфейс wan1 имеет IP-адрес 10.6.10.62 и соединен с подсетью 10.6.10.0/28 со шлюзом провайдера, который обеспечиваетвыход в интернет и имеет IP-адрес 10.6.10.3." - что не верно, так как подсеть 10.6.10.0/28 имеет диапазон IP-адресов 10.6.10.1-14, интерфейс wan1 с IP-адресом 10.6.10.62 не "попадает" в указанные пределы.

ответить