Zone-based firewall: различия между версиями

Это заготовка статьи. Помогите Википедии, дополнив её. Это примечание по возможности следует заменить более точным.

Брандмауэр зональной политики (англ. Zone-Based Policy firewall или ZFW) — межсетевой экран, являющийся одним из компонентов программного обеспечения Cisco IOS. Предыдущей особенностью Cisco IOS было использование классического брандмауэра с контролем состояния (контроль доступа на основе содержимого или CBAC). Впервые zone-based firewall был представлен в Cisco IOS версии 12.4(6)T.

В ZFW (Zone-based firewall) вместо старой модели на основе интерфейсов используется модель на основе зон. Зоны устанавливают границы безопасности сети. При использовании ZFW не используются команды проверки с контролем состояния (CBAC). ZFW и CBAC могут использоваться на маршрутизаторе одновременно, но на разных интерфейсах. Зоны устанвливают границы безопасности сети, т.е. определяют границу, где трафик, переходящий в другую часть вашей сети, разрешен ограничивающими политиками. В отличие от CBAC, где трафик неявно разрешен, пока явно не заблокирован явным образом, в ZFW по умлочанию переход трафика из одной зоны в другую запрещен.

Эта процедура может использоваться для настройки ZFW. Последовательность действий неважна, но при настройке раздела, который зависит от других, еще не сконфигурированных параметров, будет выдано сообщение об ошибке.

1. Определить зоны.
2. Определить пары зон.
3. Определить карты классов (class-map), которые описывают трафик, к которому будет применена политика при пересечении пары зон.
4. Определить карты политик (policy-map), где указано, какое действие нужно применять в отношении трафика карт классов.
5. Применить карты политик к парам зон.
6. Присвоить интерфейсы зонам.

Карты классов определяют трафик для применения политики. Сортировка трафика происходит с помощью команды match в карте классов (class-map)

• Access-group — список ACL может фильтровать трафик на основе IP-адреса источника и получателя, а также порта источника и получателя.
• Protocol — протоколы транспортного уровня (TCP, UDP и ICMP) и службы приложения (например, DNS, HTTP и др.).
• Class-map — подчиненная карта классов, представляющая дополнительные критерии соответсвия, которые вложены в другую карту классов.
• Not — критерий not указывает на то, что будет использоваться любой трафик, группа, протокол или карта классов.

Для определения порядка применения критериев соответствия в картах классов применяются операторы match-any или match-all. Если выбрано match-any, то трафик должен удовлетворять только одному из критериев соответствия. Если выбрано match-all, то трафик должен удовлетворять всем критериям карты классов. Сначала должны применяться более конкретные критерии соответствия, затем — более общие.

Например,

   class-map type inspect match-any my-test-cmap
   match protocol http
   match protocol tcp

Здесь трафик будет сравнен с протоколом соответствия http и будет обрабатывается специфическими для службы средствами проверки HTTP. Если же поменять строки местами, то трафик будет обработан средствами проверки tcp, т.е. будет классифицироваться просто, как трафик TCP.

• Дж. Бонни. Руководство по Cisco IOS для профессионалов. — 2. — «Русская Редакция», 2008. — ISBN 978-5-7502-0309-3.
• Alexandre Matos da Silva Pires de Moraes. Часть 10. IOS Zone Policy Firewall Overview // Cisco Firewalls. — Cisco Press, 2011. — С. 361-415. — 912 с.
• Дизайн и руководство по Zone-Based Policy межсетевому экрану : Technical Support & Documentation - Cisco Systems. — 2010.
• Belgian IT Academy Support Center. Cisco IOS Zone-Based Policy Firewall. — 2014.