antiCisco blogs


блоги по технологиям и оборудованию cisco от инструкторов

Публикации помечены ‘firewall’

Опубликовано 5 Май , 2014

Сегодня мне хотелось бы рассказать Вам о технологии, которая называется ZBF HA. Что это и для чего нужно? Давайте начнем с постановки задачи! Читать продолжение записи »

 

Метки: ,
Опубликовано: Безопасность cisco , Маршрутизаторы и коммутаторы | Нет комментариев »

Опубликовано 22 Май , 2013

User-Based Firewall (здесь и далее UBF) был разработан для обеспечения гибкого механизма, обеспечивающего политики доступа для пользователей основываясь на его личности, а не IP-адресе. Классификация пользователей может проводиться на основе различных данных: тип устройства, которое запрашивает доступ в сеть, его расположение и роль. После того, как личность пользователя установлена, все политики фаирволла применяются для конкретного пользователя, а не для его IP-адреса. Читать продолжение записи »

 

Метки:
Опубликовано: Безопасность cisco , Маршрутизаторы и коммутаторы | 2 комментария »

Опубликовано 19 Август , 2012

Identity Firewall (здесь и далее IFW) является эволюцией технологии фаирволла на сетевых экранах Cisco ASA. Главной особенностью технологии является возможность написания различных правил доступа (напр. ACL) относительно не IP-адресов, а конкретно для определенного пользователя или же группы пользователей. Это может быть очень удобно для сетей, где у пользователей нет фиксированных IP-адресов, т.е. в подавляющем большинстве компаний. Читать продолжение записи »

 

Метки: , ,
Опубликовано: Безопасность cisco | 19 комментариев »

Опубликовано 30 Апрель , 2012

В продолжение темы IOS Firewall мне бы хотелось поговорить с Вами об еще одной технологии, которая называется Cisco IOS Transparent Firewall.

Данная функция была впервые внедрена в маршрутизаторы Cisco в IOS 12.3(7)T. Она позволяет проводить фильтрацию трафика и осуществлять динамическую инспекцию приложений, когда маршрутизатор выступает в роли L2-моста.

В прозрачном (transparent) режиме маршрутизатор не осуществляет маршрутизацию, а просто изучает MAC-адреса на всех своих интерфейсах подобно коммутатору. Когда Вы конфигурируете прозрачный фаирвол на Cisco IOS, прежде всего необходимо определиться с типом бриджирования, которое будет осуществлять маршрутизаторах. Таких типов два: CRB и IRB. Читать продолжение записи »

 

Метки: ,
Опубликовано: Безопасность cisco , Маршрутизаторы и коммутаторы | 1 комментарий »

Опубликовано 20 Апрель , 2012

В прошлой статье мы с вами познакомились с понятием Zone Based Firewall и узнали как можно настроить инспекцию того или иного протокола. Сейчас мы постараемся углубить полученные знания и посмотрим на инспектирование трафика не только на L3-L4, но и залезем внутрь уровня приложений.

Маршрутизаторы Cisco IOS умеют проводить инспекцию протоколов не только на 3ем и 4ом уровнях модели OIS, но и на 7ом. Для чего это нужно? Например, вы захотите запретить определенные SMTP сообщения, которые открывают уязвимости на почтовом сервере. Или вы хотите быть уверенным, что HTTP соединения не используются для тунеллирования сервисов мгновенных сообщений (напр. сервис ICQ2GO). Решение задач, подобных тем, что описаны в этом абзаце выше, возможно только с помощью инспекции сообщений протоколов на уровне приложений.

Читать продолжение записи »

 

Метки: , ,
Опубликовано: Безопасность cisco , Маршрутизаторы и коммутаторы | 2 комментария »

Опубликовано 19 Апрель , 2012

Zone Based Firewall (здесь и далее ZFW) – новое направление на маршрутизаторах под управлением операционной системы Cisco IOS для конфигурирования правил доступа между сетями. До появления этой технологии трафик фильтровался с помощью списков доступа ACL и динамической инспекции трафика (CBAC). И ACL и правила CBAC’а применялись непосредственно на физические интерфейсы, что во многих случаях не способствует масштабируемости и гибкости решения.

Читать продолжение записи »

 

Метки: , ,
Опубликовано: Безопасность cisco , Маршрутизаторы и коммутаторы | Нет комментариев »

Опубликовано 19 Март , 2010

Едем дальше. Попробуем добавить безопасности.

Первым делом, что хочется сделать, это построить правильный межсетевой экран с сохранением сессий (stateful inspection) и учетом сложных протоколов (advanced protocol handling).

Посмотрим, что vyatta умеет делать с точки зрения фильтрации трафика, а сложные протоколы рассмотрим позже.

Все глобальные параметры межсетевого экранирования собраны в режиме

edit firewall

Все функции фильтрации, которые можно применить для конкретного интерфейса, собраны в настройке

edit firewall name {ИМЯ}

Там можно фильтровать как по МАС-адресам (фильтр на канальном уровне), так и по IP и TCP/UDP портам (статические списки доступа).

Для начала описываем действие, которое мы хотим сделать с пакетом
[edit firewall name {ИМЯ}]
set rule {RULENUMBER} action {accept|drop|reject|inspect}

Читать продолжение записи »

 

Метки: , , ,
Опубликовано: Vyatta | 5 комментариев »