jump to navigation

Configuración del firewall basado en zonas con CCPnoviembre 26, 2012



El asistente básico de CCP permite implementar un firewall con dos zonas, una zona interna y una zona externa. CCP crea el firewall solicitando información sobre las interfaces en el router, así como qué normas han de utilizarse en el firewall. CCP permite también la configuración avanzada de un firewall donde es posible definir una zona de seguridad DMZ que puede ser utilizada para servicios accesibles desde Internet. El asistente avanzado permite, además,  al usuario seleccionar el nivel de seguridad por defecto que se aplicará inicialmente.

Los pasos para acceder al asistente de configuración avanzado del Firewall con CCP son los siguientes.

1-Desde la página de inicio, seleccione Configure / Security / Firewall / Firewall. Escoja la opción Advanced Firewall y luego pulse el botón Launch the selected task.

 2-Aparecerá la ventana del asistente avanzado. Seleccione Siguiente para iniciar la configuración.

  

 

 Lo siguiente es definir las interfaces internas y externas. Una interfaz externa suele ser la interfaz del router que está conectada a Internet o a una WAN. Una interfaz interna es típicamente una interfaz física o lógica que conecta a la LAN. Es posible seleccionar múltiples interfaces internas y externas.

1-Desde la ventana de configuración avanzada marque las casillas correspondientes para seleccionar las interfaces internas en inside (trusted) o externas en outside (untrusted). Estas interfaces se asociarán con una de las dos zonas creadas por defecto por CCP, la zona interior y la zona exterior.

 2-Si fuese necesario configurar una zona DMZ utilice el menú desplegable para seleccionar la interfaz conectada a la DMZ.

 3-Opcionalmente puede marcar la casilla Allow secure Cisco CP access from the outside interfaces para permitir que usuarios externos puedan conectarse al firewall a través de CCP. Al elegir esta opción lo que se está haciendo en realidad es permitir el acceso HTTP seguro a la interfaz externa. Continúe con Siguiente. Especifique el host de origen o de la red a la que CCP le permite administrar de forma remota el router, complete el resto de los campos correspondientes. El firewall se modifica para permitir el acceso a la dirección especificada.

 4-Por el contrario si esta casilla no está activada, aparecerá una advertencia para informarle de que el acceso a CCP en la interfaz externa no estará permitido al finalizar la configuración. Acepte con OK.

 

 

 Después de la configuración de la interfaz, aparecerá la ventana Advanced Firewall Security Configuration. Utilice la barra deslizante para ver una descripción de la seguridad que cada nivel ofrece y seleccione el deseado. Los niveles de seguridad son bajo, medio y alto. Al utilizar el asistente de seguridad básico, esta opción no está disponible. Una vez que el nivel de seguridad adecuado es seleccionado, continúe con Siguiente.

 

 En la ventana de Advanced Firewall Security Configuration, seleccione Preview Commands para ver los comandos IOS que conforman la política seleccionada. El router debe estar configurado con la dirección IP de al menos un servidor DNS para que las aplicaciones puedan funcionar. 

 

 La ventana Firewall Configuration Summary muestra el nombre de la política elegida y los estados de configuración de la política.

1-Seleccione Finish para completar la configuración.

 2-Si hay protocolos de enrutamiento configurados en el router, aparecerá una ventana de configuración de tráfico de enrutamiento. Desde este cuadro se permitirá que las actualizaciones de enrutamiento pasen a través del firewall.

 3-En la ventana Deliver Configuration to Device, pulse el botón Deliver para habilitar los comandos de firewall de políticas basada en zonas.

  

Los comandos ejecutados por los asistentes de seguridad básico y avanzado son a menudo muy largos. Las configuraciones creadas por los asistentes suelen ser más amplios que los creados por una configuración manual.

Sí el material de este post te ha sido de utilidad colabora y difúndelo. Visita a nuestros anunciantes para que sigamos vigentes y podamos seguir adelante.
Este blog no persigue fines económicos, sin embargo necesitamos de la publicidad para que podamos seguir adelante. Visita a nuestros anunciantes para que sigamos vigentes y podamos seguir en marcha. A ti no te costará nada y a nosotros nos será de gran ayuda.







Aprenderedes.com fue creado con fines educativos, NO responderé consultas técnicas ni fuera del temario CCNA.»

aún no hay comentarios, puedes ser el primero




Hospedado en el Data Center de Tecnocratica