Está en la página 1de 2

Configure R1 con las siguientes polticas: Permitir todo el trfico TCP, UDP e ICMP siempre que sea iniciado

desde la red INSIDE a la DMZ y la red OUTSIDE. El trfico que no sea iniciado desde la red INSIDE debe ser denegado. Por lo tanto hay dos zonas de donde se origina trfico (INSIDE y oUTSIDE). Lo que nos indica que deben haber dos class-map, Una para cada zona origen, que inspeccionar el trfico interesante. Permitir solo el trfico ICMP y HTTP iniciado desde la red OUTSIDE a la DMZ. Pasos para configurar el Firewall basado en zonas: Paso 1.- Crear los class-map para el trfico interesante. Una por zona origen de trfico. El FW es el R1. Los class-map deben inspeccionar los protocolos interesantes, el any indica cualquiera de los protocolos a indicar. se recomienda nombrar las clases con un nombre que sugiera que es un class-map y el origen. class-map type inspect match-any CL-MAP-OUTSIDE match protocol icmp match protocol http class-map type inspect match-any CL-MAP-INSIDE match protocol tcp match protocol udp match protocol icmp Paso 2.- Debemos aplicar polticas para determinar qu hacer con el trfico interesante (pasa, descarta, inspecciona). Esto se hace con policy-map. Debemos apuntar al class-map denantes creado. Vamos a inspeccionar el trfico. Se crea un policy por cada trfico, o sea 3. De inside a dmz, de inside a outside y de outside a dmz. policy-map type inspect POL-MAP-OUTSIDE-TO-DMZ class type inspect CL-MAP-OUTSIDE inspect class class-default policy-map type inspect POL-MAP-IN-TO-DMZ class type inspect CL-MAP-INSIDE inspect class class-default policy-map type inspect POL-MAP-IN-TO-OUTSIDE class type inspect CL-MAP-INSIDE inspect class class-default Paso 3.- Crear zonas de seguridad. Creamos las 3 zonas de seguridad. zone security INSIDE zone security OUTSIDE zone security DMZ Paso 4.- Asignar interfaces a zonas.

interface FastEthernet0/0 ip address 10.0.21.1 255.255.255.252 zone-member security INSIDE duplex auto speed auto ! interface FastEthernet0/1 ip address 10.0.14.1 255.255.255.252 zone-member security DMZ duplex auto speed auto ! interface Serial1/0 ip address 200.2.2.1 255.255.255.248 zone-member security OUTSIDE serial restart-delay 0 Paso 5.- Crear las paridades entre zonas (zone-pair). Hay que definir la zona origen y la zona destino. Se debe asociar a un policy-map zone-pair security ZP-INSIDE-TO-DMZ source INSIDE destination DMZ service-policy type inspect POL-MAP-IN-TO-DMZ zone-pair security ZP-INSIDE-TO-OUTSIDE source INSIDE destination OUTSIDE service-policy type inspect POL-MAP-IN-TO-OUTSIDE zone-pair security ZP-OUTSIDE-TO-DMZ source OUTSIDE destination DMZ service-policy type inspect POL-MAP-OUTSIDE-TO-DMZ