J’ai testé pour vous : Configurer simplement son routeur comme firewall avec Prime Infrastructure
1 min read
Les routeurs d’accès pour l’entreprise ASR 1000 et ISR G2 supportent depuis longtemps la fonction de stateful firewall. On parle même de la fonction Zone-Based Firewall (ZBF ou ZBFW): les interfaces sont rattachées à des zones de sécurité et ensuite on configure simplement des règles entre les zones: pass, drop, inspect… en spécifiant les préfixes, applications, Security Group Tags concernés mais également des options de log, sessions autorisées etc. A l’heure où nous observons de plus en plus d’entreprises souscrire des accès Internet sur chaque site en plus de l’accès VPN-MPLS, avoir la sécurité et donc entre autres le firewall sur chaque site devient incontournable. Avoir ces éléments sur le routeur va permettre de ne pas multiplier inutilement les boîtes, et de diminuer les frais de maintenances associés et de simplifier un peu tout cela. Nous reparlerons de tout ces approches de “réseaux hybrides” dans notre prochain webinar IWAN (Intelligent WAN) ce jeudi 16 janvier à 14H.
La question qui revient souvent est “Comment configurer ce firewall?” Il semblerait que côté sécurité le CLI ne soit pas trop apprécié… Il faut dire que la configuration du ZBF est un peu plus complexe à mettre en oeuvre qu’une simple ACL! Et bien bonne nouvelle pour nos amis puisque l’on va pouvoir directement manager le firewall depuis Prime Infrastructure, la solution Cisco de management unifié du LAN, WLAN mais également du WAN. Vous ne me croyez pas? Jetez un coup d’oeil à la vidéo ci-dessus: je montre comment configurer de manière conviviale le firewall d’un routeur (un ASR 1000 dans l’exemple mais j’aurais tout aussi bien pu choisir un ISR G2)
Notez que Prime Infrastructure permet de faire des configurations avec des VRF et des interfaces VASI (ASR 1000). Il est donc possible de s’en servir pour configurer un firewall inter-VRF sur la plateforme. N’hésitez pas à tester ces fonctionnalités!
Et pour ceux qui veulent plus d’infos sur le firewall:
- Guide de configuration ZBF sur ASR 1000 (IOS-XE 3S)
- Guide de configuration ZBF sur ISR G2 (IOS 15M&T)
@JeromeDurand