Les pare-feu transfèrent certains services sur les réseaux et traitent certains autres services. Par exemple, les administrateurs se connectent aux pare-feu pour la gestion; Les appareils Internet et les utilisateurs établissent des VPN avec les pare-feu; les pare-feu et les routeurs exécutent des protocoles de routage, tels que Open Shortest Path First (OSPF); et les pare-feu s'interconnectent avec les serveurs d'authentification.
Pour le traitement normal des services, nous devons configurer les politiques de sécurité correspondantes sur les pare-feu pour permettre la réception de paquets de services. Pour être précis, configurez les politiques de sécurité entre la zone locale des pare-feu et les zones de sécurité où résident les interfaces utilisées par les services.
Dans les parties précédentes, nous décrivons les politiques de sécurité pour les paquets passant par les pare-feu. Voyons maintenant comment configurer les politiques de sécurité pour les paquets à traiter par les pare-feu. Les paquets OSPF sont utilisés comme exemple.
1 Configuration d'une politique de sécurité dans la zone locale pour OSPF
Un USG9500 exécutant V300R001 est connecté à deux routeurs, comme illustré à la figure 1-1.
REMARQUE
Cette section vérifie la configuration de la politique de sécurité entre la zone de sécurité où réside l'interface de pare-feu et la zone locale lorsque le pare-feu participe au calcul de l'itinéraire OSPF. Si le pare-feu ne participe pas au calcul de l'itinéraire OSPF, transmet uniquement de manière transparente les paquets OSPF et utilise des interfaces dans différentes zones de sécurité pour envoyer et recevoir des paquets OSPF, une politique de sécurité doit être configurée sur le pare-feu pour permettre aux paquets OSPF de passer.
Figure 1-1 Mise en réseau pour l'échange de paquets OSPF
La configuration sur le pare-feu est la suivante:
[FW] interface GigabitEthernet1/0/1
[FW-GigabitEthernet1/0/1] ip address 192.168.0.1 24
[FW-GigabitEthernet1/0/1] quit
[FW] firewall zone untrust
[FW-zone-untrust] add interface GigabitEthernet1/0/1
[FW-zone-untrust] quit
[FW] ospf
[FW-ospf-1] area 1
[FW-ospf-1-area-0.0.0.1] network 192.168.0.0 0.0.0.255
La configuration sur le routeur 1 est la suivante:
[Router1] interface GigabitEthernet0/0/1
[Router1-GigabitEthernet0/0/1] ip address 192.168.0.2 24
[Router1-GigabitEthernet0/0/1] quit
[Router1] interface GigabitEthernet0/0/2
[Router1-GigabitEthernet0/0/2] ip address 192.168.1.1 24
[Router1-GigabitEthernet0/0/2] quit
[Router1] ospf
[Router1-ospf-1] area 1
[Router1-ospf-1-area-0.0.0.1] network 192.168.0.0 0.0.0.255
[Router1-ospf-1-area-0.0.0.1] network 192.168.1.0 0.0.0.255
La configuration sur le routeur 2 est la suivante:
[Router2] interface GigabitEthernet0/0/1
[Router2-GigabitEthernet0/0/1] ip address 192.168.1.2 24
[Router2-GigabitEthernet0/0/1] quit
[Router2] ospf
[Router2-ospf-1] area 1
[Router2-ospf-1-area-0.0.0.1] network 192.168.1.0 0.0.0.255
Par défaut, aucune politique de sécurité n'est définie entre la zone non fiable où réside GE1 / 0/1 et la zone locale, et par conséquent les paquets ne sont pas autorisés à voyager entre les zones.
Une fois la configuration terminée, exécutez la commande display ospf peer pour afficher la relation de voisin OSPF.
[FW] display ospf peer
OSPF Process 1 with Router ID 192.168.0.1
Neighbors
Area 0.0.0.1 interface 192.168.0.1(GigabitEthernet1/0/1)'s neighbors
Router ID: 192.168.1.1 Address: 192.168.0.2
State: ExStart Mode:Nbr is Slave Priority: 1
DR: None BDR: None MTU: 0
Dead timer due in 32 sec
Retrans timer interval: 0
Neighbor is up for 00:00:00
Authentication Sequence: [ 0 ]
Exécutez la commande display ospf peer sur le routeur 1 pour afficher la relation de voisin OSPF.
[Router1] display ospf peer
OSPF Process 1 with Router ID 192.168.1.1
Neighbors
Area 0.0.0.1 interface 192.168.0.2(GigabitEthernet0/0/1)'s neighbors
Router ID: 192.168.0.1 Address: 192.168.0.1 GR State: Normal
State: ExStart Mode:Nbr is Slave Priority: 1
DR: 192.168.0.1 BDR: 192.168.0.2 MTU: 0
Dead timer due in 32 sec
Neighbor is up for 00:00:00
Authentication Sequence: [ 0 ]
Neighbors
Area 0.0.0.1 interface 192.168.1.1(GigabitEthernet0/0/2)'s neighbors
Router ID: 192.168.1.2 Address: 192.168.1.2 GR State: Normal
State: Full Mode:Nbr is Slave Priority: 1
DR: 192.168.1.2 BDR: 192.168.1.1 MTU: 0
Dead timer due in 32 sec
Neighbor is up for 00:09:28
Authentication Sequence: [ 0 ]
L'état de voisin OSPF est ExStart sur le pare-feu et le routeur 1. Selon le processus d'établissement d'une relation de voisin OSPF illustré à la figure 1-2, nous pouvons constater que la relation de voisin OSPF n'a pas pu être établie car le pare-feu et le routeur 1 ne l'ont pas fait. ne pas échanger les paquets de description de base de données (DD).
Figure 1-2 Processus d'établissement d'une relation de voisinage OSPF
Il est suspecté que le pare-feu ait rejeté les paquets DD. Exécutez la commande display firewall statistic system discarded sur le pare-feu pour afficher des informations sur les paquets rejetés.
[FW] display firewall statistic system discarded
Packets discarded statistic on slot 3 CPU 3
Total packets discarded : 31
Total deny bytes discarded : 1,612
Default deny packets discarded : 31
La sortie de la commande montre que les paquets ont été rejetés en raison du filtrage de paquets par défaut. Cela est dû au fait que nous n'avons pas configuré de politique de sécurité pour autoriser le passage des paquets DD, et par conséquent, les paquets correspondaient au filtrage de paquets par défaut et ont été rejetés. De plus, nous constatons que le nombre de paquets rejetés augmente, indiquant que le module OSPF continue d'envoyer des paquets DD pour établir la relation de voisinage OSPF, mais les paquets sont toujours rejetés.
Ensuite, nous configurons une politique de sécurité dans l'interzone Local-Untrust pour permettre le passage des paquets OSPF. Notez que la politique de sécurité doit être définie dans les directions entrantes et sortantes car le pare-feu doit envoyer et recevoir des paquets DD.
POINTE
Pour correspondre exactement à OSPF, nous utilisons l'ensemble de services OSPF fourni par les politiques de sécurité. Si cet ensemble de services n'est pas disponible, créez-le et définissez le numéro de protocole sur 89.
[FW] policy interzone local untrust inbound
[FW-policy-interzone-local-untrust-inbound] policy 1
[FW-policy-interzone-local-untrust-inbound-1] policy service service-set ospf
[FW-policy-interzone-local-untrust-inbound-1] action permit
[FW-policy-interzone-local-untrust-inbound-1] quit
[FW-policy-interzone-local-untrust-inbound] quit
[FW] policy interzone local untrust outbound
[FW-policy-interzone-local-untrust-outbound] policy 1
[FW-policy-interzone-local-untrust-outbound-1] policy service service-set ospf
[FW-policy-interzone-local-untrust-outbound-1] action permit
Exécutez la commande display ospf peer sur le pare-feu et le routeur 1 pour afficher la relation de voisin OSPF. Le résultat suivant peut apparaître après plusieurs minutes, ou nous pouvons exécuter la commande reset ospf process pour redémarrer le processus OSPF pour accélérer sa présentation.
[FW] display ospf peer
OSPF Process 1 with Router ID 192.168.0.1
Neighbors
Area 0.0.0.1 interface 192.168.0.1(GigabitEthernet1/0/1)'s neighbors
Router ID: 192.168.0.2 Address: 192.168.0.2
State: Full Mode:Nbr is Slave Priority: 1
DR: 192.168.0.2 BDR: 192.168.0.1 MTU: 0
Dead timer due in 32 sec
Retrans timer interval: 4
Neighbor is up for 00:00:51
Authentication Sequence: [ 0 ]
[Router1] display ospf peer
OSPF Process 1 with Router ID 192.168.1.1
Neighbors
Area 0.0.0.1 interface 192.168.0.2(GigabitEthernet0/0/1)'s neighbors
Router ID: 192.168.0.1 Address: 192.168.0.1 GR State: Normal
State: Full Mode:Nbr is Slave Priority: 1
DR: 192.168.0.1 BDR: 192.168.0.2 MTU: 0
Dead timer due in 32 sec
Neighbor is up for 00:00:00
Authentication Sequence: [ 0 ]
Neighbors
Area 0.0.0.1 interface 192.168.1.1(GigabitEthernet0/0/2)'s neighbors
Router ID: 192.168.1.2 Address: 192.168.1.2 GR State: Normal
State: Full Mode:Nbr is Slave Priority: 1
DR: 192.168.1.2 BDR: 192.168.1.1 MTU: 0
Dead timer due in 32 sec
Neighbor is up for 01:35:43
Authentication Sequence: [ 0 ]
Comme l'indique la sortie de la commande, la relation de voisinage OSPF a été établie et le pare-feu a appris la route OSPF vers le segment de réseau 192.168.1.0/24.
[FW] display ip routing-table protocol ospf
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Public routing table : OSPF
Destinations : 2 Routes : 2
OSPF routing table status : <Active>
Destinations : 1 Routes : 1
Destination/Mask Proto Pre Cost Flags NextHop Interface
192.168.1.0/24 OSPF 10 2 D 192.168.0.2 GigabitEthernet1/0/1
En conclusion, nous devons configurer une politique de sécurité entre la zone de sécurité où réside l'interface compatible OSPF et la zone locale pour permettre le passage des paquets OSPF, afin que le pare-feu puisse établir une relation de voisinage OSPF avec le périphérique connecté.
En fait, nous pouvons également considérer ce problème du point de vue des paquets unicast et multicast. Pour les pare-feu, les paquets unicast sont contrôlés par des politiques de sécurité dans la plupart des cas, et par conséquent, les politiques de sécurité doivent être configurées pour permettre aux paquets de passer. Cependant, les paquets de multidiffusion ne sont pas contrôlés par des politiques de sécurité et aucune politique de sécurité supplémentaire ne doit être configurée.
Quels paquets OSPF sont des paquets unicast et quels sont les paquets multicast? Les types de paquets OSPF varient selon les types de réseau, comme indiqué dans le tableau 1-1 .
CONSEIL
La commande ospf network-type peut être utilisée pour modifier le type de réseau OSPF.
Tableau 1-1 Types de réseaux et de paquets OSPF
Type de réseau | Bonjour | Base de données La description | État du lien Demande | État du lien Mise à jour | État du lien Ack |
Diffuser | Multidiffusion | Unicast | Unicast | Multidiffusion | Multidiffusion |
P2P | Multidiffusion | Multidiffusion | Multidiffusion | Multidiffusion | Multidiffusion |
NBMA | Unicast | Unicast | Unicast | Unicast | Unicast |
P2MP | Multidiffusion | Unicast | Unicast | Unicast | Unicast |
Comme l'indique le tableau 1-1, lorsque le type de réseau est Diffusion, les paquets OSPF DD et LSR sont unicast et les politiques de sécurité doivent être configurées pour permettre aux paquets unicast de passer. Lorsque le type de réseau est P2P, tous les paquets OSPF sont multidiffusés et aucune politique de sécurité supplémentaire ne doit être configurée. Ce principe de configuration de politique de sécurité s'applique également aux types de réseaux NBMA et P2MP. Dans les réseaux réels, si l'état OSPF est anormal sur un pare-feu, vérifiez si les politiques de sécurité ne sont pas configurées pour les paquets OSPF unicast.
En plus des paquets OSPF, d'autres services que les pare-feu doivent traiter nécessitent la configuration de politiques de sécurité dans la zone locale pour permettre le passage des paquets. Dans la partie suivante, je vais vous expliquer comment configurer les politiques de sécurité pour ces services.
2 Quels protocoles nécessitent des politiques de sécurité configurées dans la zone locale sur les pare-feu?
Comme le montre la figure 1-3 , la série USG2000 / 5000 est utilisée comme exemple. Le pare-feu doit traiter les services suivants: un administrateur se connecte au pare-feu; le pare-feu s'interconnecte avec un serveur d'authentification; un périphérique Internet ou un utilisateur établit un VPN avec le pare-feu; et le pare-feu exécute OSPF pour communiquer avec un routeur.
REMARQUE Le
VPN GRE, le VPN L2TP, le VPN IPSec et le VPN SSL seront décrits dans les chapitres suivants.
Figure 1-3 Types courants de services traités par les pare-feu
Lors de la configuration des politiques de sécurité pour ces services, nous devons garantir le fonctionnement normal du service et sécuriser le pare-feu. Par conséquent, nous devons spécifier des conditions de correspondance affinées pour les politiques de sécurité. Comment spécifier des conditions d'appariement précises? Nous devons *** yze informations telles que les adresses source, les adresses de destination et les types de protocole des services.
Dans le tableau 1-2, je fournis des conditions de correspondance pour les services illustrés dans la figure 1-3 à titre de référence.
Tableau 1-1 Définition des conditions de correspondance dans les stratégies de sécurité basées sur des protocoles ou des applications
Un service | Conditions correspondantes dans les politiques de sécurité | ||||
Zone source | Zone de destination | Adresse source | Adresse de destination | Application ou protocole + port de destination | |
Telnet | Confiance | Local | 192.168.0.2 | 192.168.0.1 | Telnet Ou port TCP + 23 |
SSH | Confiance | Local | 192.168.0.2 | 192.168.0.1 | SSH Ou port TCP + 22 |
FTP | Confiance | Local | 192.168.0.2 | 192.168.0.1 | FTP Ou TCP + port 21 |
HTTP | Confiance | Local | 192.168.0.2 | 192.168.0.1 | HTTP Ou TCP + port 80 |
HTTPS | Confiance | Local | 192.168.0.2 | 192.168.0.1 | HTTPS Ou port TCP + 443 |
RAYON | Local | DMZ | 172.16.0.1 | 172.16.0.2 | RAYON Ou port UDP + 1645/1646/1812/1813 * |
Envoi de paquets de négociation OSPF (sortants) | Local | Méfiance | 1.1.1.1 | 1.1.1.2 | OSPF |
Réception des paquets de négociation OSPF (entrants) | Méfiance | Local | 1.1.1.2 | 1.1.1.1 | OSPF |
Envoi de demandes d'établissement de tunnel VPN GRE (sortant) | Local | Méfiance | 1.1.1.1 | 2.2.2.2 | GRE |
Réception des demandes d'établissement de tunnel GRE VPN (entrantes) | Méfiance | Local | 2.2.2.2 | 1.1.1.1 | GRE |
Envoi de demandes d'établissement de tunnel VPN L2TP (sortant) | Local | Méfiance | 1.1.1.1 | 2.2.2.2 | L2TP Ou UDP + port 1701 |
Réception des demandes d'établissement de tunnel VPN L2TP (entrantes) | Méfiance | Local | 2.2.2.2 | 1.1.1.1 | L2TP Ou UDP + port 1701 |
Envoi de demandes d'établissement de tunnel VPN IPSec (sortant) | Local | Méfiance | 1.1.1.1 ** | 2.2.2.2 | Mode manuel: Aucune configuration n'est requise. Mode IKE (environnements de traversée non NAT): UDP + port 500 Mode IKE (environnements de traversée NAT): Ports UDP + 500 et 4500 |
Réception des demandes d'établissement de tunnel VPN IPSec (entrantes) | Méfiance | Local | 2.2.2.2 | 1.1.1.1 | Mode manuel: AH / ESP Mode IKE (environnements de traversée non NAT): AH / ESP et UDP + port 500 Mode IKE (environnements de traversée NAT): Ports UDP + 500 et 4500 |
VPN SSL | Méfiance | Local | TOUT | 1.1.1.1 | Mode fiable: UDP + port 443 *** Mode rapide: UDP + port 443 |
*: Le numéro de port par défaut est utilisé ici. Pour le numéro de port spécifié, consultez la configuration du serveur RADIUS. **: Dans les environnements de traversée NAT, les adresses source et de destination peuvent être des adresses publiques ou privées. Soyez soumis à la situation réelle. ***: Si le pare-feu prend en charge à la fois HTTPS et SSL VPN, soyez soumis à leurs ports réels. |
Pour afficher la liste de tous les postes techniques du Dr. WoW, cliquez ici .