|
16.3. Laboratoriya ishining bajarilish tartibi
16.3.1. CPT dasturida Cisco ASA ga asoslanib global tarmoq qurilsa bunda tarmoq xavfsizligi taminlangan xisoblanadi. Buni amalga oshirish uchun dastlab 1 router, 1 server, 2 kompyuter (pc), Cisco ASA texnologiyasi va sozlash uchun laptop kerak bo’ladi. Cisco ASA ni CPT dasturida «Network Devices» dan «Security» bo`limidan olsa bo’ladi:
16.1-rasm
16.3.2. Qurilmalar bir-biri bilan aloqa kabeli orqali ulab chiqiladi:
16.2-rasm
16.3.2. Cisco ASA ga taptop0 ni «console» kabeli orqali ulab sozlash rejimiga (terminal) kiriladi:
16.3-rasm
16.3.3. Cisco ASA sozlamalarga kiriladi buning uchun «enable» komandasi kiritiladi va bizdan password talab qiladi. Bizda password kiritib o’tirilmaydi «Enter» tugmasi bosib yuboriladi va sozlash rejimiga «configure terminal» komandasi kiritiladi:
16.4-rasm
16.3.4. Cisco ASA ni qulaylik tarafi unda standar tarzda DHCP sozlangan bo’ladi. Buni tekshirish uchun show run komandasi kiritiladi. Yana bir afzallik tarafi Cisco ASA da show run komandasi global sozlash rejimida turib kiritilmaydi. Routerlarda ese bu komanda kiritish uchun Enable rejimga qaytish kerak:
16.5-rasm
16.3.5. Kompyuter IP sozlamalari dinamik (DHCP) rejimga qoyib chiqiladi:
16.6-rasm
16.3.6. Shu tariqa 2-kompyuterga ham IP address sozlamalari kiritiladi:
16.7-rasm
16.3.7. Cisco ASA ga «console» kabeli orqali ulanib sozlash rejimiga (terminal) kirishga password o’rnatiladi. Buning uchun Cisco ASA ga quyidagi komandalar kiritiladi:
enable; configure terminal
enable password cisco
username admin password cisco
16.8-rasm
16.3.8. Cisco ASA ga SSH protokoli orqali oraliqdan turib ulanish sozlanadi. Buning uchun Cisco ASA ga «console» kabeli orqali ulanib quyidagi komandalar kiritiladi:
ssh 192.168.1.0 255.255.255.0 inside
aaa authentification ssh console LOCAL
16.9-rasm
16.3.9. Cisco ASA o’rnatilgan sozlamalarni ko’rish uchun quyidagi komanda kiritiladi:
show run
16.10-rasm
16.3.10. Tarmoqda joylashgan kompyuterdan (pc) SSH protokoli orqali oraliqdan turib Cisco ASA ga ulanib ko’riladi. Buning uchun kompyuterdan (pc) «Command Promp» ga kirib quyidagi komanda yoziladi:
ssh -l admin 192.168.1.1
password: cisco
16.11-rasm
16.3.11. Cisco ASA da «Security-Level» yoki «xavfsizlik-darajasi» aniqlab olinadi. Bunda 2 rejim bor biri «inside» - kiruvchi va «outside» - chiquvchi. Bularning Xavfsizlik-darajasini (Security-level) aniqlash uchun Cisco ASA da «show run» komandasi kiritib tekshiriladi:
16.12-rasm
16.3.12. Xavfsizlik-darajasini (Security-level) o’zgartirish uchun Cisco ASA ga quyidagi komanda yoziladi. Misol uchun vlan 1 ni Xavfsizlik-darajasini (Security-level) 95 qilmoqchi bo`lsangiz quyidagi komanda yoziladi:
interface vlan 1
Security-level 95
exit
show run
16.13-rasm
16.3.13. VLAN 2 ga ip address sozlamalari kiritiladi. Buning uchun Cisco ASA ga quyidagi komandalar kiritiladi:
interface vlan 2
ip add ress 210.210.0.2 255.255.255.0
no shutdown
exit
16.14-rasm
16.3.14. Statik marshrut sozlanadi. Buning uchun Cisco ASA ga quyidagi komandalar kiritiladi:
route outside 0.0.0.0 0.0.0.0 210.210.0.1
16.15-rasm
16.3.15. Router0 da portga IP address sozlamalari kiritiladi va statik marshrut sozlanadi. Buning uchun quyidagi komandalar kiritiladi:
enable
configure terminal
interface GigabitEthernet 0/0/0
no shutdown
ip address 210.210.0.1 255.255.255.0; exit
interface GigabitEthernet 0/0/1
no shutdown
ip address 210.210.1.1 255.255.255.0; exit
ip route 0.0.0.0 0.0.0.0 192.168.1.0 0.0.0.255 210.210.0.2
16.16-rasm
16.3.16. Cisco ASA da paketlarning kirishi va chiqishini xavfsizligini tamlash kerak. Buning uchun kiruvchi va chiquvchi paketlarni xavfsizlik-darajasiga qarab va protokoliga qarab filtrlash mumkun. Buning uchun Cisco ASA ga quyidagi komandalar kiritiladi:
class-map inspection
match default-inspection-traffic
exit
policy-map global
class inspection
inspect icmp
exit
service-policy global global
16.17-rasm
16.3.17. Lokal tarmoqda joylashgan kompyuterdan (pc) global tarmoqda joylashgan server ga xabar (ping) yuboriladi:
16.18-rasm
16.3.18. Global tarmoqda joylashgan serverda HTTP sozlanadi:
16.19-rasm
16.3.19. Lokal tarmoqda joylashgan kompyuterdan (pc) brouzerga kiritib HTTP server IP addressi terib kirilsa sayt ochilmaydi:
16.20-rasm
16.3.20. Sababi biz Cisco ASA ga HTTP protokoliga ruhsat berilmadi. Ruhsat berish uchun Cisco ASA ga quyidagi komanda kiritiladi:
policy-map global
class inspection; inspect http
16.21-rasm
16.3.21. Lokal tarmoqda joylashgan kompyuterdan qayta brouzerga kirib HTTP serverda joylashgan saytga ulanib ko`riladi:
16.22-rasm
16.3.22. Yo’qoridagi tarmoqda lokal tarmoqda barcha kiruvchi va chiquvchi paketlar Cisco ASA orqali o’tadi. Bu tarmoqda lokal tarmoqdan Cisco ASA kiruvchi portlarining xavfsizlik-darajasi (Security-level) 95 va global tarmoqda Cisco ASA ga kelivchi portlarning xavfsizlik-darajasi (Security-level) 0 ga teng. Shu sababli Cisco ASA xavfsizlik-darajasi (security-level) yo’qoru bo’lgan portlardan chiquvchi paketlar Cisco ASA orqali Global tarmoqga chiqadi va Cisco ASA da shu chiquvchi paketlarning parametrlari (yuboruvchi porti, protokoli va boshqalar) saqlanib qoladi. Keyin esa global tarmoqda javob tariqasida paket keladi va u Cisco ASA ga kelib tushadi va Cisco ASA saqlab qolgan parametrlar bilan global tarmoqdan kelgan paketlarning parametrlarini solishtiradi. Agar to’g’ri kelsa paket o’tishiga ruhsat etiladi agar to’g’ri kelmasa paketlar o’tmay qoladi:
16.23-rasm
16.3.23. Agar xavfsizlik-darajasi (security-level) 0 bo’lgan Global tarmoqdan paketlar kelsa Cisco ASA paketlarni o’tkazmaydi:
16.24-rasm
Yo`qorida rasmda Cisco ASA texnologiyasiga asoslangan tarmoq xavfsizligi tasvirlangan.
Do'stlaringiz bilan baham: | 
