1 © 2009 cisco learning institute. ccna security implementando firewall technologies
TRANSCRIPT
1© 2009 Cisco Learning Institute.
CCNA Security
Implementando Firewall Technologies
222© 2009 Cisco Learning Institute.
Firewalls
• Un firewall es un sistema que aplica una política de control de acceso dentro de la red
Propiedades comunes de un cortafuegos:- El servidor de seguridad es resistente a los ataques
- El firewall es el punto de tránsito sólo entre las redes
- El cortafuegos aplica la política de control de acceso
333© 2009 Cisco Learning Institute.
Beneficios de los Firewalls
• Evita la exposición de los hosts y aplicaciones a los usuarios no confiables
• Prevenir la explotación de los fallos del protocolo.
• Firewalls evitan que los datos maliciosos se envíen a los servidores y los clientes.
• Cortafuegos correctamente configurado subordina la ejecución de políticas de seguridad simple, escalable y robusta.
• Un servidor de seguridad reduce la complejidad de la gestión de la seguridad mediante la descarga de la mayor parte del control de acceso a la red en un par de puntos.
444© 2009 Cisco Learning Institute.
Tipos de filtrados en Firewalls
• Cortafuegos de filtrado de paquetes es típicamente un router que tiene la capacidad de filtrado en algunos de los contenidos de los paquetes (examina la capa 3 y a veces información de capa 4).
- A nivel de red, con direcciones IP y la interfaz por la que llega el paquete, generalmente a través de listas de acceso (en los routers).
- A nivel de transporte, con los puertos y tipo de conexión, a través de listas de acceso (en los routers)
• Cortafuegos de estados: Comprueba el estado de una conexión: si la conexión está en iniciación, transferencia de datos, o estado de terminación.
555© 2009 Cisco Learning Institute.
• Cortafuegos de Aplicación (firewall proxy) filtros de información en las capas 3, 4, 5, y 7. Control de Firewall y filtrado se hace por software.
- A nivel de aplicación, con los datos, a través de pasarelas para las aplicaciones permitidas analizando el contenidos de los paquetes y los protocolos de aplicación (ejemplo servidor proxy o pasarela multiaplicación)
• Firewall NAT amplía el número de direcciones IP disponibles y el diseño esconde el direccionamiento de red.
• Firewall basado en host (servidor y personal), un servidor o PC con software de firewall que se ejecuta en el mismo.
• Firewall Transparente: Filtra de tráfico IP entre un par de interfaces que hacen de puente.
• Firewalls híbridos combinación de los servidores de seguridad anteriores. Por ejemplo, un cortafuegos de inspección de aplicación combina un cortafuegos de estado con un firewall de aplicación.
Tipos de Filtrado en Firewalls
666© 2009 Cisco Learning Institute.
Ventajas del filtrado de paquetes
• Se basan en el permiso o denegación de sencillo conjunto de reglas
• Tienen un bajo impacto en el rendimiento de la red. Son fáciles de implementar
• Son compatibles con la mayoría de los routers• Usualmente se aplica en dispositivos de capa de red e
implementa conjuntos de reglas estáticas que examinan los encabezados de cada paquete para permitir o denegar el tráfico, sin ninguna relación con los flujos de tráfico precedentes. Trabajan bien cuando el objetivo filtra aplicaciones basadas en TCP que no utilizan negociación dinámica de puertos.
777© 2009 Cisco Learning Institute.
Desventajas del Filtrado de Paquetes
• Filtrado de paquetes es susceptible a la falsificación de direcciones IP. Los hackers envían paquetes arbitrarios que se ajustan a criterios de la ACL y pasan a través del filtro.
• Al procesarse los paquetes de forma independiente, no se guarda información de contexto (no se almacenan históricos de cada paquete), ni se puede analizar a nivel de capa de aplicación, dado que está implementado en los routers. Además, son difíciles de seguir en ejecución
• ACL complejas, son difíciles de implementar y mantener correctamente.
888© 2009 Cisco Learning Institute.
Firewall de estado (stateful)
• Es un método de filtrado de paquetes que trabaja a nivel de flujo o conexión, con ocasionales intervenciones a nivel de aplicación.
• Mantienen una tabla de estado que hace seguimiento de las sesiones que atraviesan el firewall y en función de ella hace inspección de cada paquete que atraviesa el dispositivo.
• El mecanismo asume que si se permite el inicio de la conexión, cualquier conexión adicional que requiera esa aplicación será permitida.Es un mecanismo confiable para filtrar tráfico de red entre dominios de seguridad.
999© 2009 Cisco Learning Institute.
Firewall de estado (stateful)
• Internamente se define una tabla de sesiones permitidas (tanto TCP como UDP), donde el paquete de conexión inicial (por ejemplo en TCP el primer segmento marcha con bit ACK=0 y SYN=1) se comprueba contra las reglas, y si está permitido se apunta en la tabla de sesiones y tras ello, los paquetes siguientes de la misma sesión se dejan pasar.
• Ejemplo: apertura de FTP en modo Activo
101010© 2009 Cisco Learning Institute.
Stateful Firewall
10.1.1.1 200.3.3.3
Inside ACL(Outgoing Traffic)
Outside ACL (Incoming Traffic)
permit ip 10.0.0.0 0.0.0.255 any
Dynamic: permit tcp host 200.3.3.3 eq 80 host 10.1.1.1 eq 1500 permit tcp any host 10.1.1.2 eq 25permit udp any host 10.1.1.2 eq 53deny ip any any
source port 1500 destination port 80
111111© 2009 Cisco Learning Institute.
Ventajas
• A menudo se utiliza como principal medio de defensa al filtrar el tráfico no deseado, innecesario o indeseable.
• Fortalece el filtrado de paquetes, proporcionando un control más estricto sobre la seguridad de filtrado de paquetes
• Mejora el rendimiento a través de filtros de paquetes o servidores proxy.
• Protege contra spoofing y ataques DoS• Permite mayor información de log que un firewall de filtrado de
paquetes
Desventajas
• No se pueden evitar los ataques de nivel de aplicación, ya que no examina el contenido real de la conexión HTTP
• No todos los protocolos son stateful, como UDP e ICMP• Algunas aplicaciones requieren múltiples conexiones abiertas y
toda una nueva gama de puertos abiertos para permitir una segunda conexión
• Firewalls no son compatibles con la autenticación de usuarios
Firewalls de estadoVentajas / Desventajas
121212© 2009 Cisco Learning Institute.
Ejemplo: red con servidor proxy/cache de uso obligatorio
12
Internet
Los usuarios han de configurar su cliente web con el proxy 147.156.1.18 que sólo él puede realizar conexiones al exterior por el puerto 80. Esto no afecta a los accesos a servidores web internos desde el exterior
Red interna
147.156.0.0/16
Servidor Proxy/cache
Router
147.156.1.18
permit tcp host 147.156.1.18 any eq www
deny tcp 147.156.0.0 0.0.255.255 any eq www
Filtro en el router
Cliente web
Servidor web
Servidor web
131313© 2009 Cisco Learning Institute.
Dual-homed gateway (1)
• Se trata de un host (bastión) con dos tarjetas de red, conectadas a redes diferentes
- En esta configuración, el bastión puede filtrar hasta capa de aplicación.
• Son sistemas muy baratos y fáciles de implementar
• Sólo soportan servicios mediante proxy
• El filtrado de paquetes, puede realizarse en Linux a través de “iptables” (http://www.linux-firewall-tools.com) que son sentencias:
- accept|deny con declaración de puertos, direcciones IP, ...13
141414© 2009 Cisco Learning Institute.
Dual-homed gateway (2)
14
Bastión
RedExterna
RedInterna
151515© 2009 Cisco Learning Institute.
Screened host (1)
• Se trata de un router que bloquea todo el tráfico hacia la red interna, excepto al bastión
• Soporta servicios mediante proxy (bastión)
• Soporta filtrado de paquetes (router)
• No es complicada de implementar
• Si el atacante entra en el bastión, no hay ninguna seguridad
15
161616© 2009 Cisco Learning Institute.
Screened host (2)
16
Bastión
RedExterna
RedInterna
Router
Esta arquitectura permite mantener la conectividad transparente cuando esté justificado, obligando a pasar por el ‘bastion host’ el resto
171717© 2009 Cisco Learning Institute.
Preparación del bastión en UNIX
• Instalación segura del UNIX: Eliminar ejecutables con bit SUID y GUID y conexiones a través de SSH
• Deshabilitar los servicios no requeridos
oNFS, RPCs, ftpd, bootd, bootpd, rshd, rlogind, rexecd
• Instalar las pasarelas para los servicios requeridos (proxies)
• Quitar los ejecutables y librerías no esenciales
• Instalar un sistema de análisis de logs (swatch) en tiempo real
• Montar los file systems posibles de sólo lectura
• Instalar un chequeador de integridad (tripwire)
• Realizar un backup completo del sistema limpio17
181818© 2009 Cisco Learning Institute.
Ejemplo de colocación del host bastión
18
Internet
Red interna
Router interior
Bastion host/ router exterior
Red perimetral
Cortafuegos
Mantener el bastion fuera del router, implica mayor seguridad para la red interna, pero el bastión va a estar sometido a más ataques que el router.
191919© 2009 Cisco Learning Institute.
Diseño con DMZ
DMZ
UntrustedTrusted
Private-Public Policy
Public-DMZ Policy
DMZ-Private Policy
Private-DMZ Policy
Internet
202020© 2009 Cisco Learning Institute.
20
Zona desmilitarizada (DMZ) o Free Trade Zone (FTZ)
Red interna
Router interior
Internet
Router exterior
Bastion host
Red perimetral
Web
DNS, Mail
Ejemplo cortafuego con Zona Desmilitarizada
212121© 2009 Cisco Learning Institute.
21
Red interna
Router interior
Internet
Router exterior
Bastion host
Zona desmilitarizada (DMZ) o Free Trade Zone (FTZ)
WebDNS, Mail
Cortafuego con DMZ conmutada
Red perimetral
222222© 2009 Cisco Learning Institute.
Jarrón de miel (HONEY POT)
• En ocasiones es interesante aprender de los propios atacantes.
• Para ello, en las redes se ubican servidores puestos adrede para que los intrusos los saboteen y son monitorizados por sistemas que actúan como puentes a los servidores, registrando de forma transparente los paquetes que acceden a dichos servidores.
• Detectado un ataque (por modificación de la estructura de archivos), se recompone la traza del atacante (secuencia de paquetes registrados en el monitor puente) y se pasa a un análisis forense.
• Este análisis forense concluye, en caso de detectar un nuevo ataque, en una nueva regla de detección.
• Ejemplo: proyecto Hades en http://www.rediris.es22
232323© 2009 Cisco Learning Institute.
Screened subnet (1)
• Se sitúa una red DMZ (DeMilitarized Zone) entre la interna y la externa, usando dos routers y que contiene el bastión
• Tráfico sospechoso se envía hacia el bastión, si no puede pasar directamente.
• Soporta servicios mediante proxy (bastión)
• Soporta filtrado de paquetes (routers)
• Es complicada y cara de implementar
• Si el atacante entra en el bastión, todavía tiene un router por delante (no puede hacer sniffing)
23
242424© 2009 Cisco Learning Institute.
Screened subnet (2)
• Configuración: consistente en implementar un perímetro con 2 routers y un host bastión, es la arquitectura más segura y tiene las ventajas:
• En ningún momento el exterior puede saturar la red interna, ya que están separadas
• En ningún momento se puede monitorizar (sniffer)la red interna en el caso de que el host bastión fuera saboteado
24
252525© 2009 Cisco Learning Institute.
Screened subnet (3)
25
Bastión
RedExterna
RedInterna
Router
Router
DMZ
262626© 2009 Cisco Learning Institute.
Cisco Systems Soluciones
• IOS Firewall–Políticas basadas en zonas con una intuitiva gestión
–Filtrado de aplicaciones Instant messenger y peer-to-peer
–Filtrado de protocolo VoIP
–Filtrado de routing Virtual y reencaminamiento (VRF)
–Integración Wireless
–Stateful failover
–Soporte de Listas blancas/negras URL
–Inspección de aplicaciones con tráfico web y e-mail
• PIX 500 Series• ASA 5500 Series
272727© 2009 Cisco Learning Institute.
Productos Comerciales
• Comerciales- Firewall-1 (Check Point)
- IBM Firewall (International Bussines Machines)
- Gauntlet (Trusted Information Systems)
• Libre Distribución- FWTK (Trusted Information Systems) http://www.fwtk.org/main.html
27
282828© 2009 Cisco Learning Institute.
Escenario de Defensa por Niveles
Seguridad de punto final: Provee identificación y políticas de seguridad
Seguridad del núcleo de la red: Protege contra software malicioso y las anomalías de tráfico, hace cumplir las políticas de red y asegura la supervivencia
Núcleo de red
Recuperación de desastre: Almacenamiento fuera del sitio y arquitectura redundante
Seguridad de las Comunicaciones: Proporciona seguridad de la información
Perimetro de Seguridad: Asegura los límites entre las zonas
292929© 2009 Cisco Learning Institute.
Firewall: Buenas prácticas
• Firewalls posicionados en los límites de seguridad.
• Los cortafuegos son el dispositivo de seguridad principal. No es prudente confiar exclusivamente sólo en ellos.
• Denegar todo el tráfico por defecto. Permitir sólo los servicios que se necesitan.
• Asegúrese de que el acceso físico al firewall está controlado.
• Monitorear regularmente los registros del firewall.
• Recuerda que los firewalls protegen principalmente contra los ataques técnicos procedentes del exterior.
303030© 2009 Cisco Learning Institute.
Ejemplo de Diseño
F0/1
F0/0
F0/0
F0/1
Serial 0/0/0
Serial0/0/1
R1
R3
R2
F0/5
S2
S3
F0/1
F0/1
F0/6
F0/18
F0/18
F0/5
S1
PC A(RADIUS/TACACS+)
PC C
Cisco Router with IOS Firewall
Cisco Router with IOS Firewall
Internet
313131© 2009 Cisco Learning Institute.
Control Acceso Basado en Contexto
323232© 2009 Cisco Learning Institute.
Funciones CBAC
333333© 2009 Cisco Learning Institute.
Funciones CBAC
343434© 2009 Cisco Learning Institute.
Funciones CBAC
353535© 2009 Cisco Learning Institute.
Funciones CBAC
363636© 2009 Cisco Learning Institute.
Funciones CBAC
373737© 2009 Cisco Learning Institute.
Funciones CBAC
383838© 2009 Cisco Learning Institute.
Paso-a-Paso
Request Telnet 209.x.x.x
5. Una vez que se termina la sesión por el cliente, el router elimina la entrada de estado y la entrada de ACL dinámica
Fa0/0S0/0/0
1. Examina la ACL Fa0 / 0 entrante para determinar si a las solicitudes de telnet se les permite salir de la red.
2. IOS compara el tipo de paquete con las reglas de inspección para determinar si telnet debe ser monitorizado.
3. Agrega información al tipo de estado para realizar un seguimiento de la sesión de Telnet.
4. Añade una entrada dinámica a la ACL de entrada en S0/0/0 para permitir el paso de los paquetes de respuesta a la red interna.
393939© 2009 Cisco Learning Institute.
CBAC TCP Handling
404040© 2009 Cisco Learning Institute.
CBAC UDP Handling
414141© 2009 Cisco Learning Institute.
Paso-a-Paso
424242© 2009 Cisco Learning Institute.
Paso-a-Paso
434343© 2009 Cisco Learning Institute.
Configuración de CBAC
Cuatro pasos para configurar CBAC
Paso 1: Escoja una interfaz
Paso 2: Configurar las ACL de IP en la interfaz
Paso 3: Definir reglas de inspección
Paso 4: Aplicar una regla de inspección a una interfaz
444444© 2009 Cisco Learning Institute.
Paso 1: Escoger un interface
Two-Interface
Three-Interface
454545© 2009 Cisco Learning Institute.
Paso 2: Configura IP ACLs en el interface
464646© 2009 Cisco Learning Institute.
Paso 3: Define reglas de Inspección
ip inspect name inspection_name protocol [alert {on | off}] [audit-trail {on | off}] [timeout seconds]
Router(config)#
474747© 2009 Cisco Learning Institute.
Paso 4: Aplica la regla de Inspecciónal interface
484848© 2009 Cisco Learning Institute.
Verificación y Troubleshooting de CBAC
• Alertas y Auditorías
• show ip inspect Parameters
• debug ip inspect Parameters
494949© 2009 Cisco Learning Institute.
Alertas y Auditarías
*Nota: Las alertas están activadas por defecto y automáticamente aparecerán en la línea de la consola del router. Si las alertas han sido desactivadas mediante el comando ip inspect alert-off, es necesario volver a activarlas con la negación de este comando.
505050© 2009 Cisco Learning Institute.
show ip inspect Parameters
515151© 2009 Cisco Learning Institute.
debug ip inspect Parameters
525252© 2009 Cisco Learning Institute.
Ejemplo de topología
• Si una interfaz adicional se agrega a la zona privada, los hosts conectados a la nueva interfaz en la zona privada puede pasar el tráfico a todos los hosts de la interfaz existente en la misma zona.
• Además, los hosts conectados a la nueva interfaz en la zona privada deben cumplir con las políticas existentes en la zona "privada" cuando pasen tráfico a otras zonas.
Each zone holds only one interface.
535353© 2009 Cisco Learning Institute.
Beneficios
• Firewalls basados en Zonas no depende de las ACL
• La regla de seguridad del router es ahora "bloquear a menos que explícitamente sea permitido"
• C3PL (Cisco Common Classification Policy Language) hace que las políticas sean de fácil lectura y solución de problemas
• Una política afecta a todo el tráfico dado, en lugar de necesitar múltiples ACLs y acciones de inspección.
Two Zones
545454© 2009 Cisco Learning Institute.
El proceso del diseño
1. La Infraestructura de red en estudio se divide en zonas bien documentadas por separado con distintos niveles de seguridad
2. Para cada par de zonas de origen-destino, las sesiones que los clientes, en las zonas de origen pueden abrir contra los servidores en las zonas de destino, están definidas. Para el tráfico que no está basada en el concepto de sesiones (por ejemplo, IPsec Encapsulating Security Payload [ESP]), el administrador debe definir flujos unidireccionales de tráfico desde el origen al destino y viceversa.
3. El administrador debe diseñar la infraestructura física.
4. Para cada dispositivo firewall en el diseño,el administrador debe identificar subconjuntos de zonas conectados a sus interfaces y combinar los requisitos de tráfico para esas zonas, resultando una política interzona específica del dispositivo.
555555© 2009 Cisco Learning Institute.
Diseños más comunes
LAN-to-Internet Public Servers
Redundant Firewalls Complex Firewall
565656© 2009 Cisco Learning Institute.
Firewall complejo simplificando zonas
575757© 2009 Cisco Learning Institute.
Acciones
Inspect - Esta acción configura Cisco IOS inspección de estado de paquetes
Drop – Esta acción es análoga a negar en una ACL
Pass – Esta acción es análoga a permitir en una ACL
585858© 2009 Cisco Learning Institute.
Source interface
member of zone?
Destination interface
member of zone?
Zone-pair exists?
Policy exists? RESULT
NO NO N/A N/ANo impact of zoning/policy
YES (zone 1) YES (zone 1) N/A* N/ANo policy
lookup (PASS)
YES NO N/A N/A DROP
NO YES N/A N/A DROP
YES (zone 1) YES (zone 2) NO N/A DROP
YES (zone 1) YES (zone 2) YES NO DROP
YES (zone 1) YES (zone 2) YES YES policy actions
*zone-pair must have different zone as source and destination
Reglas para aplicar al tráfico
595959© 2009 Cisco Learning Institute.
Reglas para enrutar tráfico
Source interface
member of zone?
Destination interface
member of zone?
Zone-pair
exists?
Policy exists?
RESULT
ROUTER YES NO - PASS
ROUTER YES YES NO PASS
ROUTER YES YES YESpolicy
actions
YES ROUTER NO - PASS
YES ROUTER YES NO PASS
YES ROUTER YES YESpolicy
actions
606060© 2009 Cisco Learning Institute.
Implementando Zone-based PolicyFirewall con CLI
1. Crea zonas para el firewall con el comando zone security.
3. Especifica políticas del firewall con el comando policy-map type inspect
2. Define las clases de tráfico con el comando class-map type inspect.
4. Aplica políticas al firewall, pares de zonas fuente-destino con el comando zone-pair security
5. Asigna los interfaces del router a zonas usando el interface de comando zone-member security
616161© 2009 Cisco Learning Institute.
Paso 1: Crea las Zonas
FW(config)# zone security InsideFW(config-sec-zone)# description Inside networkFW(config)# zone security OutsideFW(config-sec-zone)# description Outside network
626262© 2009 Cisco Learning Institute.
Paso 2: Define Clases de tráfico
FW(config)# class-map type inspect FOREXAMPLE FW(config-cmap)# match access-group 101FW(config-cmap)# match protocol tcpFW(config-cmap)# match protocol udpFW(config-cmap)# match protocol icmpFW(config-cmap)# exitFW(config)# access-list 101 permit ip 10.0.0.0 0.0.0.255 any
636363© 2009 Cisco Learning Institute.
Step 3: Define Polícicas en el Firewall
FW(config)# policy-map type inspect InsideToOutside FW(config-pmap)# class type inspect FOREXAMPLEFW(config-pmap-c)# inspect
646464© 2009 Cisco Learning Institute.
Paso 4: Asigna mapas de políticas a pares de zonas y asigna los interfaces del router a las zonas
FW(config)# zone-pair security InsideToOutside source Inside destination OutsideFW(config-sec-zone-pair)# description Internet AccessFW(config-sec-zone-pair)# service-policy type inspect InsideToOutside FW(config-sec-zone-pair)# interface F0/0FW(config-if)# zone-member security InsideFW(config-if)# interface S0/0/0.100 point-to-pointFW(config-if)# zone-member security Outside
656565© 2009 Cisco Learning Institute.
Configuración Final ZPF
policy-map type inspect InsideToOutside class class-default inspect!zone security Inside description Inside networkzone security Outside description Outside networkzone-pair security InsideToOutside source Inside destination Outside service-policy type inspect InsideToOutside!interface FastEthernet0/0 zone-member security Inside!interface Serial0/0/0.100 point-to-point zone-member security Outside
666666© 2009 Cisco Learning Institute.
Zone-basedPolicy Firewall con SDM
• Paso 1: Definir zonas
• Paso 2: Configurar mapas de clase para describir el tráfico entre zonas
• Paso 3: Crear mapas de políticas públicas para aplicar acciones para el tráfico de los mapas de clase
• Paso 4: Definir los pares de zona y asignar mapas de políticas públicas para los pares de zona
676767© 2009 Cisco Learning Institute.
Define Zonas
1. Choose Configure > Additional Tasks > Zones
2. Click Add
3. Enter a zone name
4. Choose the interfaces for this zone
5. Click OK to create the zone and click OK atthe Commands Delivery Status window
686868© 2009 Cisco Learning Institute.
Configura mapas de clases
1. Choose Configure > Additional Tasks > C3PL > Class Map > Inspections
2. Review, create, and edit class maps. To edit a classmap, choose the class map from the list and click Edit
696969© 2009 Cisco Learning Institute.
Crea Mapas de políticas
1. Choose Configure > Additional Tasks > C3PL > Policy Map > Protocol Inspection
2. Click Add
3. Enter a policy name and description
4. Click Add to add a new class map
5. Enter the name of the class mapto apply. Click the down arrow for apop-up menu, if name unknown
6. Choose Pass, Drop, or Inspect
7. Click OK
8. To add another class map, click Add, to modify/delete the actionsof a class map, choose the class map and click Edit/Delete
9. Click OK. At the Command Delivery Status window, click OK
707070© 2009 Cisco Learning Institute.
Define Pares de zonas
1. Choose Configure > Additional Tasks > Zone Pairs
2. Click Add
3. Enter a name for the zone pair. Choose a source zone, a destination zone and a policy
4. Click OK and click OK in the Command Delivery Status window
717171© 2009 Cisco Learning Institute.
Configuración Basic Firewall
1. Choose Configuration > Firewall and ACL
2. Click the Basic Firewall option andclick Launch the Selected Task button
3. Click Next to begin configuration
727272© 2009 Cisco Learning Institute.
Configurando el Firewall
1. Check the outside (untrusted) check box and the inside (trusted) check box to identify each interface
2. (Optional) Check box if the intent is to allow users outside of the firewall to be able to access the router using SDM. After clicking Next, a screen displays that allows the admin to specify a host IP address or network address
3. Click Next. If the Allow Secure SDM Access check box is checked, the Configuring Firewall for Remote Access window appears
4. From the Configuring Firewall choose Network address, Host Ip address or any from the Type drop-down list
737373© 2009 Cisco Learning Institute.
Basic Firewall Security
1. Select the security level
2. Click the Preview CommandsButton to view the IOS commands
747474© 2009 Cisco Learning Institute.
Firewall: Resumen de configuración
Click Finish
757575© 2009 Cisco Learning Institute.
Revisando Politicas
1. Choose Configure > Firewall and ACL
2. Click Edit Firewall Policy tab
767676© 2009 Cisco Learning Institute.
CLI :Salida generada
class-map type inspect match-any iinsprotocols match protocol http match protocol smtp match protocol ftp!policy-map type inspect iinspolicy class type inspect iinsprotocols inspect!zone security privatezone security internet!interface fastethernet 0/0 zone-member security private!interface serial 0/0/0 zone-member security internet!zone-pair security priv-to-internet source private destination internet service-policy type inspect iinspolicy!
List of services
defined in the firewall policy
Apply action (inspect = stateful inspection)
Zones created
Interfaces assigned to zones
Inspection applied from private to public zones
777777© 2009 Cisco Learning Institute.
Firewall :Información de estado
1. Choose Monitor > Firewall Status
2. Choose one of the following options:• Real-time data every 10 sec• 60 minutes of data polled every 1 minute• 12 hours of data polled every 12 minutes
787878© 2009 Cisco Learning Institute.
Muestra Conexión activa
Router# show policy-map type inspect zone-pair session
• Shows zone-based policy firewall session statistics