Інтерфейс | IP Адреса |
Internal Station #1 | 213.190.1.2 |
Internal Station #2 | 213.190.1.3 |
Internal Router #2 – interface to Switch 3 (IF0) | 213.190.1.1 |
Internal Router #2 – interface to Proxy (IF1) | 190.20.20.1 |
Proxy – interface to Internal Router #2 (IF1) | 190.20.20.2 |
7.5.2 Призначення ACL для внутрішнього Router # 2:
Політики безпеки нашої мережі ті ж самі: уникнути доступу до Internal Server # 1 (FTP і сервер БД). Ми створимо ACL на внутрішніх Router # 1 з використанням інформації з табл.11, де:
• Список IncomingTrafficAtDMZ заперечує весь трафік до Internal Server # 1 (213.180.1.4) та дозволу всього трафіку, що залишився.
• OutgoingTrafficFromDMZ заперечує вихідний трафік з Internal Server # 1, але дозволяє вихідний трафік.
Таблиця 11
Порядок ACL на внутрішньому роутері #2
Назва списку | Дія | Джерело | Призначення |
IncomingTrafficToDMZ | Deny | * | 213.180.1.4/host |
Permit | * | 213.180.1.0/24 | |
Permit | * | * | |
OutgoingTrafficFromDMZ | Deny | 213.180.1.4/host | * |
Permit | * | * |
7.5.2 Призначення списків управління доступом до інтерфейсів на внутрішньому Маршрутизаторі # 2
• Інтерфейс до проксі (IF1). Send Filter: IncomingTrafficToDMZ, Receive Filter: OutgoingTrafficFromDMZ.
• Інтерфейс до Switch3 (IF0). Send Filter: OutgoingTrafficFromDMZ, Receive Filter: IncomingTrafficToDMZ.
|
|
7.5.3 Створення таблиці маршрутизації внутрішнього Router # 2, і модифікація таблиць маршрутизації внутрішніх Router # 1 і проксі.
Для Internal Router # 2, Пункт призначення(Destination): 190.20.20.0/24 Next Hop: 190.20.20.1; Destination: 213.190.1.0/24 Next Hop: 213.190.1.1 та Default: 190.20.20.2.
Для проксі ми додаємо нову позицію: Destination: 213.190.1.0/24 Next Hop: 190.20.20.1.
Для Internal Router # 1 додамо новий запис: Destination: 213.190.1.0/24 Next Hop: 190.30.30.2.
Призначення маршруту за замовчуванням для внутрішньої станції № 1 і внутрішньої станції № 2 вказує на 213.190.1.1.
7.6 Виконання моделювання:
З Редактора проекту, Scenarios->Manage Scenarios. Ми перевіряємо всі сценарії з <collected> на полі Результати(Results) і тиснемо ОК.
Питання
1) У сценарії ScreenedHost створити новий пінг від зовнішньої станції № 1 до Internal Server # 2 з Ping шаблоном: Record Route. Погляньте на пінг-слід на журналі моделювання (Simulation Log). Що ви спостерігаєте?
2) Дублюйте сценарій ScreenedHost і назвіть новий cwtyfhsq ScreenedHostQ2. Створsnm новий пінг від зовнішньої станції № 1 до внутрішньої станції № 1 (запис маршруту((Record Route)).
У новому сценарії, змінити маршрут за замовчуванням у внутрішній станції № 1, на 190.30.30.1 (Внутрішній маршрутизатор - інтерфейс для Свіч 2). Виконати моделювання й аналіз радіусу пінгу як в питанні 1. Чи можна оминути брандмауер таким чином?
3) Заповніть наступну таблицю, приймаючи інформацію від Журналу моделювання (Simulation Log) трафіку в Internal Server # 1 (трафік з БД або FTP). Напишіть, буде досягнуто призначення чи ні.
Таблиця 12
Таблиця для виконання завдання
Сценарій | Внутрішня станція #1 | Зовнішня станція #2 |
ScreenedHost | ||
ScreenedSubnetAmbDMZ |
Що можна сказати про безпеку в обох схемах?