基本Zone-base firewall知识及配置
ZFW技术对原有的CBAC功能进行了加强,ZWF策略防火墙改变了基于接口的配置模式,而且提供了更容易理解和更灵活的配置方法。接口须要加入区域,针对流量的审查策略在区域间内部生效。区域内部策略提供了更灵活和更细致的流量审查,不一样的审查策略能够应用在与路由器相同接口相连的多个组上。
ZFW提供了状态型的包检测,URL过滤,对DOS***的减缓等功能,同时提供了多种协议的支持,例如HTTP,POP3,IMAP,SMTP,ESMTP,sun RPC,IM,P2P等协议。可是须要注意的是,如下特性ZFW暂时还不能支持:
• Authentication proxy
• Stateful firewall failover
• Unified firewall MIB
• IPv6 stateful inspection
• TCP out−of−order support
与CBAC相比较而言第一点主要的改变是,ZFW是基于区域的配置。ZFW不在使用CBAC的命令。两种技术能够同时配置在路由器上,可是须要注意的是,这两种技术不能同时在接口上叠加。接口在加入了安全区域之后不能同时在该接口上配置ip inspect命令。
ZFW默认的策略为拒绝全部流量。若是没有配置放行策略,那么全部在区域间进行转发的流量将会被拒绝。而cbac默认状况下容许转发全部的流量,除非经过使用ACL来对流量进行丢弃。
第二点主要的改变是ZFW的配置命令使用了MQC命令格式。可使用更灵活的方式来定义ZFW的策略。
ZFW的策略规定以下:
在为接口指定区域以前,必须先配置这个区域。
一个接口只能被指定到一个区域内。
当一个接口被指定了一个区域后,除了在相同的区域内从这个接口始发终结的流量,以及从该接口到其余本路由器接口的流量,默认容许转发外,其余关于这个接口的流量都隐式的拒绝。
相同区域成员间的流量,默认转发
若是要求流量从其余区域来或者到其余区域去,那么必须配置再要通讯的区域间容许策略或者审查策略。
自身区域是惟一一个默认策略不是DENY的区域。从自身区域到任何区域的流量都是默认容许的,除非明确的配置了拒绝语句。
流量不能在一个设置了区域成员的接口和一个没有加入区域的接口间转发。pass,inspect和drop行为只能在两个区域之间进行配置。
一个没有加入任何区域的接口是可使用CBAC特性的。
根据上面所提到的相关问题,咱们能够知道,若是流量要在这个路由器的全部接口间转发,那么全部的接口都必须是区域的成员。
惟一一个例外是,到达或者从这个路由器始发的流量默认状况下是容许的(默认状况下路由器的自身接口属于self区域)。若是要限制这样的流量,则须要配置明确的限制策略。
ZFP策略包括三种:pass,deny,intercept。Drop是默认行为,intercept是指对流量进行审查,返回流量经过查看路由器的session表来决定是否容许进入。PASS行为不会跟踪链接的状态或者是流量的session。而且PASS策略只能容许单方向的流量经过。必须定义一个相对应返回流量的策略来容许返回流量进入。
同时ZFP对与×××流量也进行了特别的定义,当×××配置之后,路由器动态的生成一个名叫VTI的接口(virtual tunnel interface),若是咱们须要对×××流量进行bypass或者是审查时,咱们能够经过将VTI接口加入不一样的区域来进行区分。
本拓扑中主要分为如下两个区域,Private和Internet区域,在本例中咱们配置了从Private区域到Internet区域的策略。
到这里基本的配置就完成了,咱们能够经过show policy−map type inspect zone−pair和show policy−map type inspect zone−pair session命令来查看ZFP的工做状态,经过show zone security <zone-name>来查看区域的相关信息。
ZFW提供了状态型的包检测,URL过滤,对DOS***的减缓等功能,同时提供了多种协议的支持,例如HTTP,POP3,IMAP,SMTP,ESMTP,sun RPC,IM,P2P等协议。可是须要注意的是,如下特性ZFW暂时还不能支持:
• Authentication proxy
• Stateful firewall failover
• Unified firewall MIB
• IPv6 stateful inspection
• TCP out−of−order support
与CBAC相比较而言第一点主要的改变是,ZFW是基于区域的配置。ZFW不在使用CBAC的命令。两种技术能够同时配置在路由器上,可是须要注意的是,这两种技术不能同时在接口上叠加。接口在加入了安全区域之后不能同时在该接口上配置ip inspect命令。
ZFW默认的策略为拒绝全部流量。若是没有配置放行策略,那么全部在区域间进行转发的流量将会被拒绝。而cbac默认状况下容许转发全部的流量,除非经过使用ACL来对流量进行丢弃。
第二点主要的改变是ZFW的配置命令使用了MQC命令格式。可使用更灵活的方式来定义ZFW的策略。
ZFW的策略规定以下:
在为接口指定区域以前,必须先配置这个区域。
一个接口只能被指定到一个区域内。
当一个接口被指定了一个区域后,除了在相同的区域内从这个接口始发终结的流量,以及从该接口到其余本路由器接口的流量,默认容许转发外,其余关于这个接口的流量都隐式的拒绝。
相同区域成员间的流量,默认转发
若是要求流量从其余区域来或者到其余区域去,那么必须配置再要通讯的区域间容许策略或者审查策略。
自身区域是惟一一个默认策略不是DENY的区域。从自身区域到任何区域的流量都是默认容许的,除非明确的配置了拒绝语句。
流量不能在一个设置了区域成员的接口和一个没有加入区域的接口间转发。pass,inspect和drop行为只能在两个区域之间进行配置。
一个没有加入任何区域的接口是可使用CBAC特性的。
根据上面所提到的相关问题,咱们能够知道,若是流量要在这个路由器的全部接口间转发,那么全部的接口都必须是区域的成员。
惟一一个例外是,到达或者从这个路由器始发的流量默认状况下是容许的(默认状况下路由器的自身接口属于self区域)。若是要限制这样的流量,则须要配置明确的限制策略。
ZFP策略包括三种:pass,deny,intercept。Drop是默认行为,intercept是指对流量进行审查,返回流量经过查看路由器的session表来决定是否容许进入。PASS行为不会跟踪链接的状态或者是流量的session。而且PASS策略只能容许单方向的流量经过。必须定义一个相对应返回流量的策略来容许返回流量进入。
同时ZFP对与×××流量也进行了特别的定义,当×××配置之后,路由器动态的生成一个名叫VTI的接口(virtual tunnel interface),若是咱们须要对×××流量进行bypass或者是审查时,咱们能够经过将VTI接口加入不一样的区域来进行区分。
试验例子:
本拓扑中主要分为如下两个区域,Private和Internet区域,在本例中咱们配置了从Private区域到Internet区域的策略。
interface Ethernet0/1
zone−member clients
interface Ethernet0/2
zone−member servers
interface BVI1
zone−member private
interface fastethernet0/3
zone−member security internet
class−map type inspect match−any internet−traffic−class
match protocol http
match protocol https
match protocol dns
match protocol icmp
policy−map type inspect private−internet−policy
class type inspect internet−traffic−class
inspect
zone−pair security private−internet source private destination internet
service−policy type inspect private−internet−policy
到这里基本的配置就完成了,咱们能够经过show policy−map type inspect zone−pair和show policy−map type inspect zone−pair session命令来查看ZFP的工做状态,经过show zone security <zone-name>来查看区域的相关信息。
对于更深层次的审查,例如HTTP的url,TCP的性能调整,×××的审查,各位能够自行进行测试。
相关文章
- 1. Python基础知识及基本软件配置
- 2. 路由器基础知识及配置
- 3. Fiddler 的基础知识以及配置
- 4. RSTP知识及配置
- 5. ip的基本知识及dhcp服务器的配置
- 6. STM32——PWM基本知识及配置过程
- 7. Linux之iptables(5、firewall命令及配置)
- 8. 初识Dubbo,基本配置
- 9. 基本知识
- 10. python知识准备及环境配置
- 更多相关文章...
- • 与传输层有关的基本知识 - TCP/IP教程
- • Spring Bean的配置及常用属性 - Spring教程
- • Kotlin学习(二)基本类型
- • Kotlin学习(一)基本语法
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
欢迎关注本站公众号,获取更多信息
相关文章
- 1. Python基础知识及基本软件配置
- 2. 路由器基础知识及配置
- 3. Fiddler 的基础知识以及配置
- 4. RSTP知识及配置
- 5. ip的基本知识及dhcp服务器的配置
- 6. STM32——PWM基本知识及配置过程
- 7. Linux之iptables(5、firewall命令及配置)
- 8. 初识Dubbo,基本配置
- 9. 基本知识
- 10. python知识准备及环境配置