Zone-Based Firewall konfiguráció

A hagyományos interfész alapú tűzfal konfiguráció nem volt elég flexibilis, számos újítást nem lehetett benne megoldani. Ezért vezették be a zóna alapú tűzfal konfigurációt. Parancsai eltérnek az interfész alapú konfigurációtól, és a két módszert nem lehet egyszerre alkalmazni ugyanazon az interfészen. Ha egy interfész a CBAC tűzfallal van konfigurálva, nem lehet zone-based tűzfalhoz konfigurálni, nem lehet zóna tagja.

Egy interfész zóna tagságát az alábbiak jellemzik:

  • mielőtt egy interfész egy zónához lehet rendelni, a zónának konfigurálva kell lennie
  • egy interfészt maximum egy zónához lehet hozzárendelni
  • minden forgalom implicit módon tiltva van, kivéve az azonos zónán belüli interfészek közötti forgalom, és a router interfészeire menő forgalom (self-zone)
  • azonos zónában levő interfészek közötti forgalom implicit módon engedélyezve van
  • egy zónából menő és oda visszajövő forgalom engedélyezéséhez egy allow vagy inspect policy kell a két zóna közé
  • a router interfészeire menő forgalom engedélyezve van
  • egy zónában levő interfész, és egy zónához nem rendelt interfész közötti forgalom soha nem lesz engedélyezett, a forgalom mindig eldobódik. Zónák között lehet csak a pass, inspect vagy drop-ot beállítani.
  • Ha egy interfész nincs egyetlen zónához se rendelve, akkor tagja lehet a klasszikus CBAC tűzfalnak.
  • Ha a forgalomnak minden interfész között engedélyezve kell lennie, akkor minden interfész tagja kell legyen valamelyik zónának.
  • A zóna-pár (zone-pair) konfigurációja egyirányú (unidirectional). Ha „A” zóna forgalma engedélyezve van „B” zónába, akkor csak a válasz forgalom lesz engedélyezve „B” zónából „A” zónába. Ha a két zóna között kétirányú átjárást akarunk biztosítani, akkor két unidirectional policy-t kell létrehozni.
  • azonos zónában levő interfészeknek, ugyanabba a VRF-be kell tartozniuk
Zone-based firewall
Zone-based firewall

A fenti példában az Fa0/0 és Fa0/1 az „A” zónába van konfigurálva, a Se0/0/0 és Pos0/0 interfészek a „B” zónába, még az ATM2/0.1 interfész egyetlen zónához sincs hozzárendelve.
Zone-based firewall esetén a tűzfalszabály mindig a zóna-pár között van. Példánkban az „A” zónából indított forgalom a „B” zónába, illetve az ahhoz tartozó válaszforgalom lesz engedélyezve.

Zóna-párokhoz egy policy-t kell konfigurálni, melyben a class-okkal (vagy akár parameter map-ekkel) tovább lehet finomítani a tűzfal szabályait.

Tűzfal szabályok

Inspect: a class forgalmának figyelése és továbbengedése, és a válasz forgalom engedélyezése.
Pass: az adott class forgalmának továbbengedése. Válasz forgalom nincs automatikusan engedélyezve.
Drop: a class forgalmának eldobása

Inspect esetén nincs szükség két zóna-pár konfigurálására. Pass esetén mindkét irányba egy-egy zóna-párt és hozzá tartozó szabályt konfigurálni kell, mivel a válasz forgalom nincs automatikusan engedélyezve. A forrás- és célportok is ismertek kell legyenek.

A zone-based firewall konfigurálásának lépései

  • zónák definiálása
  • interfészek zónához rendelése
  • class-map-ek konfigurálása
  • policy-map konfigurálása
  • zóna-párok konfigurálása

Router(config)# zone security A
Router(config)# zone security B

Router(config)# interface fa0/0
Router(config-if)# zone-member security A
Router(config-if)# interface fa0/1
Router(config-if)# zone-member security A
Router(config-if)# interface se0/0/0
Router(config-if)# zone-member security B
Router(config-if)# interface Pos1/0
Router(config-if)# zone-member security B

Router(config)# class-map type inspect match-any CM-web-traffic
Router(config-cmap)# match protocol http
Router(config-cmap)# match protocol https

Router(config)# policy-map type inspect PM-A-to-B
Router(config-pmap)# class type inspect CM-web-traffic
Router(config-pmap-c)# inspect
Router(config-pmap-c)# class type inspect class-default
Router(config-pmap-c)# drop

Router(config)# zone-pair security ZP-A-to-B source A destination B
Router(config-sec-zone-pair)# service-policy type inspect PM-A-to-B

Példánkban a http és https forgalom engedélyezett. Minden más forgalom a class-default-ba esik, amire eldobódik.

Ellenőrzéshez a „show zone security”, „show zone-pair security”, „show policy-map type inspect”, parancsok használhatóak.

Router# show zone security
zone self
  Description: System defined zone

zone A
  Member Interfaces:
    FastEthernet0/0
    FastEthernet0/1

zone B
  Member Interfaces:
    Serial0/0/0
    POS1/0

Router# show zone-pair security
Zone-pair name ZP-A-to-B
    Source-Zone A  Destination-Zone B
    service-policy PM-A-to-B

Router# show policy-map type inspect
  Policy Map type inspect PM-A-to-B
    Class CM-web-traffic
      Inspect
    Class class-default
      Drop

CCNA Security tanfolyam
http://www.ciscoworld.hu/ccnasecurity

CCNA Security self-study  (Info a könvről)
szilagyi(kukac)ciscowolrd.hu