Cấu hình Application Port-Mapping với CBAC Mục tiêu: Cấu hình để router nhận ra các ứng dụng không sử dụng port chuẩn. Mô hình: Mô tả: Cấu hình PAM chỉ port mà CBAC phải kiểm tra trong trường hợp ứng dụng không dùng port chuẩn, ví dụ HTTP nhưng dùng port 8080. - Cấu hình router sử dụng "Static PAT" - Tạo CBAC inspection rule với tên là INSPECT_TELNET trên Router 4 và cấu hình để nó kiểm tra protocol telnet - Tạo ACL 99 trên Router 4 và match mạng 10.0.0.0/24 vào - Map port 1023 là port telnet cho mạng trong list 99 - Apply inspection rule INSPECT_TELNET vào cổng fa0/0 của Router 4 theo chiều in - Tạo ACL INSIDE và deny tất cả các traffic - Apply ACL INSIDE trên cổng fa0/1 của Router 4 theo chiều in Cấu hình tham khảo Bước 1: Đặt địa chỉ IP, định tuyến, cấu hình "Static PAT" Router 4 ! ! ! interface Loopback0 ip address 150.1.4.4 255.255.255.0 ! interface FastEthernet0/0 ip address 155.1.45.4 255.255.255.0 ip nat outside ip virtual-reassembly duplex auto speed auto ! interface FastEthernet0/1 ip address 10.0.0.4 255.255.255.0 ip nat inside ip virtual-reassembly duplex auto speed auto ! ! router ospf 1 log-adjacency-changes network 150.1.4.0 0.0.0.255 area 0 network 155.1.45.0 0.0.0.255 area 0 ! ip classless ! ! no ip http server no ip http secure-server ip nat inside source static tcp 10.0.0.1 23 interface Loopback0 1023 ! ! ! Router 1 ! ! ! interface FastEthernet0/0 ip address 10.0.0.1 255.255.255.0 duplex auto speed auto ! ! ip classless ip route 0.0.0.0 0.0.0.0 10.0.0.4 ! ! line vty 0 4 no login priviledge level 15 ! Router 5 ! ! ! interface FastEthernet0/0 ip address 155.1.45.5 255.255.255.0 duplex auto speed auto ! interface FastEthernet0/1 ip address 150.1.5.5 255.255.255.0 duplex auto speed auto no keepalive ! ! router ospf 1 log-adjacency-changes network 150.1.5.0 0.0.0.255 area 0 network 155.1.45.0 0.0.0.255 area 0 ! ip classless ip http server ! ! ! Bước 2: Tạo inspection rule INSPECT_TELNET và ACL INSIDE, apply vào các interface của router 4 Router 4 ! ! ip port-map telnet port tcp 1023 list 1 ip inspect name INSPECT_TELNET telnet ! ! ! ! ip access-list extended INSIDE deny ip any any ! ! access-list 1 permit 10.0.0.1 ! interface FastEthernet0/0 ip inspect INSPECT_TELNET in ! interface FastEthernet0/1 ip access-group INSIDE in ! ! ! Bước 3: Kiểm tra Router 5 R5#telnet 150.1.4.4 1023 Trying 150.1.4.4, 1023 Open R1# Router 4 R4#show ip inspect sessions Established Sessions Session 6655A278 (155.1.45.5:39005)=>(10.0.0.1:23) telnet SIS_OPEN R4#show ip port-map telnet Default mapping: telnet tcp port 23 system defined Host specific: telnet tcp port 1023 in list 1 user defined . Cấu hình Application Port-Mapping với CBAC Mục tiêu: Cấu hình để router nhận ra các ứng dụng không sử dụng port chuẩn. Mô hình: Mô tả: Cấu hình PAM chỉ port mà CBAC phải kiểm tra. ví dụ HTTP nhưng dùng port 8080. - Cấu hình router sử dụng "Static PAT" - Tạo CBAC inspection rule với tên là INSPECT_TELNET trên Router 4 và cấu hình để nó kiểm tra protocol telnet -. traffic - Apply ACL INSIDE trên cổng fa0/1 của Router 4 theo chiều in Cấu hình tham khảo Bước 1: Đặt địa chỉ IP, định tuyến, cấu hình "Static PAT" Router 4 ! ! ! interface Loopback0 ip