Домашнее задание к занятию "Межсетевое экранирование на основе зон, stateful/stateless packet inspection"
Данное домашнее задание поможет лучше разобраться в основах межсетевого экранирования, глубже понять особенности его работы, попрактиковаться в настройке МСЭ.
В результате выполнения задания вы:
- Научитесь выбирать подходящий тип инспекции трафика для эффективного управления трафиком
- Научитесь ориентироваться в синтаксисе Cisco ASA OS
- Научитесь настраивать stateful и stateless инспекцию, разделять сеть по уровням безопасности
- Скачайте Шаблон для домашнего задания на своё устройство.
- Откройте скачанный файл на личном диске в Google.
- В названии файла введите корректное название лекции и ваши фамилию и имя.
- Зайдите в «Настройки доступа» и выберите доступ «Просматривать могут все в интернете, у кого есть ссылка». Инструкция «Как предоставить доступ к файлам и папкам на Google Диске» по ссылке.
- Скопируйте текст задания в свой документ.
- Выполните задание, запишите ответы и приложите необходимые скриншоты в свой Google-документ.
- Для проверки домашнего задания отправьте ссылку на ваш Google-документ в личном кабинете.
- Любые вопросы по решению задач можно задать в чате учебной группы, в чате поддержки или в разделе «Вопросы по заданию» в личном кабинете.
- Подробнее о работе с Google-документами и загрузке решения на проверку можно найти в «Руководстве по работе с материалами для обучения»
Лабораторная работа заключается в настройке МСЭ компании. ЛВС логически разделена на пользовательскую подсеть, подсеть принтеров и подсеть с сервером DMZ. Для каждой из этих зон расписаны правила доступа в соседние.
Схема сети
Настройки оборудования:
Перенесите топологию в PT, настройте оборудование по предложенным данным.
От службы безопасности были переданы требования для ограничения сетевого доступа между различными подсетями:
- Разрешить прохождение только ICMP трафика из INSIDE в OUTSIDE, в обратную сторону разрешить ответный трафик
- Разрешить прохождение только HTTP-трафика из INSIDE в DMZ, в обратную сторону разрешить ответный трафик
- Разрешить прохождение только ICMP-трафика из INSIDE в PRINTER, в обратную сторону разрешить ответный трафик
- Из OUTSIDE разрешить инициировать сессии в DMZ по 80 TCP порту, в INSIDE и PRINTER разрешить только ответные пакеты
- Из PRINTER запретить инициировать трафик во все остальные зоны
- Из DMZ разрешить инициировать трафик в OUTSIDE по ICMP, в INSIDE и PRINTER разрешить только ответные пакеты
Необходимо, используя полученные знания о межсетевом экранировании на основе зон, stateful и stateless инспекции, сконфигурировать эти правила на МСЭ и выполнить проверку средствами Packet tracer.
*Cisco PT имеет баг в части настройки МСЭ: политику оп-умолчанию нельзя редактировать. Поэтому чтобы инспекция icmp нормально работала, удалите политику по умолчанию и создайте новую:
no service-policy global_policy global
policy-map test
class inspection_default
inspect http
inspect icmp
service-policy test global
В качестве ответа приложите вывод команды "sh run" с МСЭ
В личном кабинете отправлена ссылка на документ (Google Doc) с выполненным заданием. В документе настроены права доступа “Просматривать могут все в Интернете, у кого есть ссылка”.
Зачет - выполнены все задания, ответы даны в развернутой форме, приложены соответствующие скриншоты и файлы проекта, в выполненных заданиях нет противоречий и нарушения логики.
На доработку - задание выполнено частично или не выполнено, в логике выполнения заданий есть противоречия, существенные недостатки.