Vous êtes sur la page 1sur 4

Page 1

CHAPITRE
PROJET BÊTA - CONFIDENTIEL CISCO
8-1
Guide de configuration logicielle des routeurs à services intégrés de la gamme Cisco 1800 (fixe)
OL-6426-02

8
Configurer un pare-feu simple
Les routeurs de services intégrés Cisco 1800 prennent en charge le filtrage du trafic réseau au moyen de listes d'accès. le
Le routeur prend également en charge l'inspection des paquets et les listes d'accès temporaires dynamiques au moyen de
Contrôle d'accès (CBAC).
Le filtrage de base du trafic est limité aux implémentations de liste d'accès configurées qui examinent les paquets au
couche réseau ou, tout au plus, couche transport, permettant ou refusant le passage de chaque paquet à travers
le pare-feu. Cependant, l'utilisation de règles d'inspection dans le CBAC permet la création et l'utilisation de
listes d'accès temporaires. Ces listes dynamiques permettent des ouvertures temporaires dans les listes d'accès configurées à
interfaces de pare-feu. Ces ouvertures sont créées lorsque le trafic pour une session utilisateur spécifiée quitte le
réseau via le pare-feu. Les ouvertures permettent de renvoyer le trafic pour la session spécifiée (qui
normalement bloqué) à travers le pare-feu.
Voir le guide de configuration de sécurité de Cisco IOS, version 12.3, pour des informations plus détaillées sur le trafic
filtrage et pare-feu.
La Figure 8-1 montre un déploiement réseau utilisant PPPoE ou PPPoA avec NAT et un pare-feu.
Figure 8-1
Routeur avec pare-feu configuré
121781
2
3
sept
5
6
1
4

Page 2
PROJET BÊTA - CONFIDENTIEL CISCO
8-2
Guide de configuration logicielle des routeurs à services intégrés de la gamme Cisco 1800 (fixe)
OL-6426-02
Chapitre 8 Configuration d'un pare-feu simple
Dans l'exemple de configuration qui suit, le pare-feu est appliqué à l'interface WAN extérieure (FE0) sur
Cisco 1811 ou Cisco 1812 et protège le LAN Fast Ethernet sur FE2 en filtrant et en inspectant tous
trafic entrant dans le routeur sur l'interface WAN Fast Ethernet FE1. Notez que dans cet exemple, le réseau
le trafic provenant du réseau d'entreprise, adresse réseau 10.1.1.0, est considéré comme un trafic sûr et
n'est pas filtré.
Tâches de configuration
Effectuez les tâches suivantes pour configurer ce scénario de réseau:
• Configurer les listes d’accès
• Configurer les règles d'inspection
• Appliquer des listes d'accès et des règles d'inspection aux interfaces
Un exemple montrant les résultats de ces tâches de configuration est présenté dans la section « Configuration
Exemple. »
Remarque
Les procédures de ce chapitre supposent que vous avez déjà configuré les fonctionnalités de base du routeur ainsi que
PPPoE ou PPPoA avec NAT. Si vous n'avez pas effectué ces tâches de configuration, voirChapitre 1, «Basique
Configuration du routeur », chapitre 3,« Configuration de PPP sur Ethernet avec NAT » et chapitre 4,
«Configuration de PPP sur ATM avec NAT», selon le cas pour votre routeur. Vous avez peut-être également configuré
DHCP, VLAN et tunnels sécurisés.
1
Plusieurs périphériques en réseau: ordinateurs de bureau, ordinateurs portables, commutateurs
2
Interface LAN Fast Ethernet (l'interface interne pour NAT)
3
Implémentation du client et du pare-feu PPPoE ou PPPoA — Cisco 1811/1812 ou Cisco 1801/1802/1803
routeur de services intégrés en série, respectivement
4
Point auquel NAT se produit
5
Réseau protégé
6
Réseau non protégé
sept
Interface Fast Ethernet ou ATM WAN (l'interface externe pour NAT)

Page 3
PROJET BÊTA - CONFIDENTIEL CISCO
8-3
Guide de configuration logicielle des routeurs à services intégrés de la gamme Cisco 1800 (fixe)
OL-6426-02
Chapitre 8 Configuration d'un pare-feu simple
Configurer les listes d'accès

Configurer les listes d'accès


Effectuez ces étapes pour créer des listes d'accès à utiliser par le pare-feu, en commençant en mode de configuration globale:

Configurer les règles d'inspection


Suivez ces étapes pour configurer les règles d'inspection du pare-feu pour tout le trafic TCP et UDP, ainsi que pour
protocoles d'application tels que définis par la politique de sécurité, commençant en mode de configuration globale:
Commander
Objectif
Étape 1
liste d' accès numéro de liste d' accès { refuser | permis }
source de protocole générique source [ opérateur [ port ]]
destination
Exemple:
Router (config) # access-list 103 permit host
200.1.1.1 eq isakmp any
Routeur (config) #
Crée une liste d'accès qui empêche Internet-
trafic initié d'atteindre le local (à l'intérieur)
réseau du routeur, et qui compare
ports source et de destination.
Voir le Référence de commande IP Cisco IOS,
Volume 1 sur 4: Adressage et services pour
détails sur cette commande.
Étape 2
liste d' accès numéro de liste d' accès { refuser | permis }
source de protocole destination-caractère générique source
destination-wildcard
Exemple:
Router (config) # access-list 105 autoriser l'IP
10.1.1.0 0.0.0.255 192.168.0.0 0.0.255.255
Routeur (config) #
Crée une liste d'accès qui autorise le trafic réseau
pour passer librement entre le réseau d'entreprise
et les réseaux locaux via le
Tunnel VPN.
Commande ou action
Objectif
Étape 1
IP inspecter le protocole de nom d' inspection de nom
Exemple:
Routeur (config) # ip inspecter le nom du pare-feu tcp
Routeur (config) #
Définit une règle d'inspection pour un
protocole.
Étape 2
IP inspecter le protocole de nom d' inspection de nom
Exemple:
Router (config) # ip inspecter le nom du pare-feu rtsp
Routeur (config) # ip inspecter le nom du pare-feu h323
Router (config) # ip inspect name firewall
nethow
Router (config) # ip inspect name firewall ftp
Router (config) # ip inspect name firewall
sqlnet
Routeur (config) #
Répétez cette commande pour chaque règle d'inspection
que vous souhaitez utiliser.

Page 4
PROJET BÊTA - CONFIDENTIEL CISCO
8-4
Guide de configuration logicielle des routeurs à services intégrés de la gamme Cisco 1800 (fixe)
OL-6426-02
Chapitre 8 Configuration d'un pare-feu simple
Appliquer des listes d'accès et des règles d'inspection aux interfaces

Appliquer des listes d'accès et des règles


d'inspection aux interfaces
Exécutez ces étapes pour appliquer les ACL et les règles d'inspection aux interfaces réseau, en commençant par global
mode de configuration:
Commander
Objectif
Étape 1
numéro de type d' interface
Exemple:
Routeur (config) # interface vlan 1
Routeur (config-if) #
Entre en mode de configuration d'interface pour le
à l'intérieur de l'interface réseau de votre routeur.
Étape 2
ip inspect inspection-name { dans | out }
Exemple:
Router (config-if) # ip inspecter le pare-feu dans
Routeur (config-if) #
Attribue l'ensemble de règles d'inspection du pare-feu au
interface interne sur le routeur.
Étape 3
sortie
Exemple:
Router (config-if) # exit
Routeur (config) #
Retourne en mode de configuration globale.
Étape 4
numéro de type d' interface
Exemple:
Routeur (config) # interface fastethernet 0
Routeur (config-if) #
Entre en mode de configuration d'interface pour le
interface réseau externe sur votre routeur.
Étape 5
ip access-group { access-list-number |
nom-liste-d'accès } { dans | out }
Exemple:
Router (config-if) # ip access-group 103 dans
Routeur (config-if) #
Attribue les ACL définies à l'extérieur
interface sur le routeur.
Étape 6
sortie
Exemple:
Router (config-if) # exit
Routeur (config) #
Retourne en mode de configuration globale.

Page 5
PROJET BÊTA - CONFIDENTIEL CISCO
8-5
Guide de configuration logicielle des routeurs à services intégrés de la gamme Cisco 1800 (fixe)
OL-6426-02
Chapitre 8 Configuration d'un pare-feu simple
Exemple de configuration

Exemple de configuration
Un télétravailleur bénéficie d'un accès sécurisé à un réseau d'entreprise, à l'aide du tunnel IPSec. Sécurité à la
le réseau domestique est réalisé grâce à l'inspection du pare-feu. Les protocoles autorisés sont tous TCP,
UDP, RTSP, H.323, NetShow, FTP et SQLNet. Il n'y a pas de serveurs sur le réseau domestique; par conséquent,
aucun trafic n'est autorisé qui est lancé de l'extérieur. Le tunneling IPSec sécurise la connexion depuis la maison
LAN au réseau d'entreprise.
Comme la politique de pare-feu Internet, HTTP n'a pas besoin d'être spécifié car le blocage Java n'est pas nécessaire.
La spécification de l'inspection TCP permet des protocoles à canal unique tels que Telnet et HTTP. UDP est
spécifié pour DNS.
L'exemple de configuration suivant montre une partie du fichier de configuration pour le pare-feu simple
scénario décrit dans les sections précédentes.
! L'inspection du pare-feu est configurée pour tout le trafic TCP et UDP ainsi que pour une application spécifique
protocoles tels que définis par la politique de sécurité.
ip inspecter le nom du pare-feu tcp
ip inspecter le nom du pare-feu udp
ip inspecter le nom du pare-feu rtsp
ip inspecter le nom du pare-feu h323
ip inspecter le nom du pare-feu netshow
ip inspecter le nom du pare-feu ftp
ip inspecter le nom du pare-feu sqlnet
!
interface vlan 1! Ceci est le réseau domestique interne
ip inspecter le pare-feu! l'inspection examine le trafic sortant
pas d'activation de cdp
!
interface fastethernet 0! FE0 est l'interface extérieure ou Internet exposée.
ip access-group 103 dans! acl 103 autorise le trafic ipsec depuis le corp. routeur ainsi que
refuse le trafic entrant lancé par Internet.
ip nat à l'extérieur
pas d'activation de cdp
!
! acl 103 définit le trafic autorisé du pair pour le tunnel ipsec.
access-list 103 permit udp host 200.1.1.1 any eq isakmp
liste d'accès 103 autoriser l'hôte udp 200.1.1.1 eq isakmp tout
liste d'accès 103 autoriser l'hôte esp 200.1.1.1 tout
liste d'accès 103 autoriser icmp tout tout! autorise icmp pour le débogage mais devrait être désactivé en raison
aux implications de sécurité.
liste d'accès 103 refuser ip tout tout! empêche le trafic entrant lancé par Internet.
aucune exécution de cdp
!

Page 6
PROJET BÊTA - CONFIDENTIEL CISCO
8-6
Guide de configuration logicielle des routeurs à services intégrés de la gamme Cisco 1800 (fixe