A hagyományos interfész alapú tűzfal konfiguráció nem volt elég flexibilis, számos újítást nem lehetett benne megoldani. Ezért vezették be a zóna alapú tűzfal konfigurációt. Parancsai eltérnek az interfész alapú konfigurációtól, és a két módszert nem lehet egyszerre alkalmazni ugyanazon az interfészen. Ha egy interfész a CBAC tűzfallal van konfigurálva, nem lehet zone-based tűzfalhoz konfigurálni, nem lehet zóna tagja.
Egy interfész zóna tagságát az alábbiak jellemzik:
- mielőtt egy interfész egy zónához lehet rendelni, a zónának konfigurálva kell lennie
- egy interfészt maximum egy zónához lehet hozzárendelni
- minden forgalom implicit módon tiltva van, kivéve az azonos zónán belüli interfészek közötti forgalom, és a router interfészeire menő forgalom (self-zone)
- azonos zónában levő interfészek közötti forgalom implicit módon engedélyezve van
- egy zónából menő és oda visszajövő forgalom engedélyezéséhez egy allow vagy inspect policy kell a két zóna közé
- a router interfészeire menő forgalom engedélyezve van
- egy zónában levő interfész, és egy zónához nem rendelt interfész közötti forgalom soha nem lesz engedélyezett, a forgalom mindig eldobódik. Zónák között lehet csak a pass, inspect vagy drop-ot beállítani.
- Ha egy interfész nincs egyetlen zónához se rendelve, akkor tagja lehet a klasszikus CBAC tűzfalnak.
- Ha a forgalomnak minden interfész között engedélyezve kell lennie, akkor minden interfész tagja kell legyen valamelyik zónának.
- A zóna-pár (zone-pair) konfigurációja egyirányú (unidirectional). Ha „A” zóna forgalma engedélyezve van „B” zónába, akkor csak a válasz forgalom lesz engedélyezve „B” zónából „A” zónába. Ha a két zóna között kétirányú átjárást akarunk biztosítani, akkor két unidirectional policy-t kell létrehozni.
- azonos zónában levő interfészeknek, ugyanabba a VRF-be kell tartozniuk

A fenti példában az Fa0/0 és Fa0/1 az „A” zónába van konfigurálva, a Se0/0/0 és Pos0/0 interfészek a „B” zónába, még az ATM2/0.1 interfész egyetlen zónához sincs hozzárendelve.
Zone-based firewall esetén a tűzfalszabály mindig a zóna-pár között van. Példánkban az „A” zónából indított forgalom a „B” zónába, illetve az ahhoz tartozó válaszforgalom lesz engedélyezve.
Zóna-párokhoz egy policy-t kell konfigurálni, melyben a class-okkal (vagy akár parameter map-ekkel) tovább lehet finomítani a tűzfal szabályait.
Tűzfal szabályok
Inspect: a class forgalmának figyelése és továbbengedése, és a válasz forgalom engedélyezése.
Pass: az adott class forgalmának továbbengedése. Válasz forgalom nincs automatikusan engedélyezve.
Drop: a class forgalmának eldobása
Inspect esetén nincs szükség két zóna-pár konfigurálására. Pass esetén mindkét irányba egy-egy zóna-párt és hozzá tartozó szabályt konfigurálni kell, mivel a válasz forgalom nincs automatikusan engedélyezve. A forrás- és célportok is ismertek kell legyenek.
A zone-based firewall konfigurálásának lépései
- zónák definiálása
- interfészek zónához rendelése
- class-map-ek konfigurálása
- policy-map konfigurálása
- zóna-párok konfigurálása
Router(config)# zone security A
Router(config)# zone security B
Router(config)# interface fa0/0
Router(config-if)# zone-member security A
Router(config-if)# interface fa0/1
Router(config-if)# zone-member security A
Router(config-if)# interface se0/0/0
Router(config-if)# zone-member security B
Router(config-if)# interface Pos1/0
Router(config-if)# zone-member security B
Router(config)# class-map type inspect match-any CM-web-traffic
Router(config-cmap)# match protocol http
Router(config-cmap)# match protocol https
Router(config)# policy-map type inspect PM-A-to-B
Router(config-pmap)# class type inspect CM-web-traffic
Router(config-pmap-c)# inspect
Router(config-pmap-c)# class type inspect class-default
Router(config-pmap-c)# drop
Router(config)# zone-pair security ZP-A-to-B source A destination B
Router(config-sec-zone-pair)# service-policy type inspect PM-A-to-B
Példánkban a http és https forgalom engedélyezett. Minden más forgalom a class-default-ba esik, amire eldobódik.
Ellenőrzéshez a „show zone security”, „show zone-pair security”, „show policy-map type inspect”, parancsok használhatóak.
Router# show zone security zone self Description: System defined zone zone A Member Interfaces: FastEthernet0/0 FastEthernet0/1 zone B Member Interfaces: Serial0/0/0 POS1/0 Router# show zone-pair security Zone-pair name ZP-A-to-B Source-Zone A Destination-Zone B service-policy PM-A-to-B Router# show policy-map type inspect Policy Map type inspect PM-A-to-B Class CM-web-traffic Inspect Class class-default Drop
CCNA Security tanfolyam
http://www.ciscoworld.hu/ccnasecurity
CCNA Security self-study (Info a könvről)
szilagyi(kukac)ciscowolrd.hu