Based interzone Firewall

最新推荐文章于 2023-12-22 15:26:22 发布
原创 最新推荐文章于 2023-12-22 15:26:22 发布 · 475 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#security #interface #internet #审查 #路由器 #防火墙

本文介绍了Cisco ZFW(Zone-based Firewall)技术的基本概念和配置步骤,通过实例展示了如何配置不同区域间的流量审查策略。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Cisco IOS防火墙(CBAC)提供了基于接口的流量保护,可以在任意的接口上针对流量进行保护。所有穿过这个接口的流量受到相同的审查策略的保护。这样就降低了防火墙策略实施的颗粒度,同时也给合理的实施防火墙策略造成了困难。


      而ZFW技术对原有的CBAC功能进行了增强,ZWF策略防火墙改变了老式的基于接口的配置模式,并且提供了更容易理解和更灵活的配置方法。接口需要加入区域,针对流量的审查策略在区域间内部生效。区域内部策略提供了更灵活和更细致的流量审查,不同的审查策略可以应用在与路由器相同接口相连的多个组上。


      ZFW提供了状态型的包检测,URL过滤,对DOS攻击的减缓等功能,同时提供了多种协议的支持,例如HTTP,POP3,IMAP,SMTP,ESMTP,sun RPC,IM,P2P等协议。但是需要注意的是,以下特性ZFW暂时还不能支持:


            • Authentication proxy
            • Stateful firewall failover
            • Unified firewall MIB
            • IPv6 stateful inspection
            • TCP out−of−order support

 

      与传统的IOS相比,ZFW完全改变了配置IOS防火墙的配置。


      第一点主要的改变是,ZFW是基于区域的配置。ZFW不在使用CBAC的命令。两种技术可以同时配置在路由器上,但是需要注意的是,这两种技术不能同时在接口上叠加。接口在加入了安全区域以后不能同时在该接口上配置ip inspect命令。


      ZFW默认的策略为拒绝所有流量。如果没有配置放行策略,那么所有在区域间进行转发的流量将会被拒绝。而cbac默认情况下允许转发所有的流量,除非通过使用ACL来对流量进行丢弃。


      第二点主要的改变是ZFW的配置命令使用了MQC命令格式。可以使用更灵活的方式来定义ZFW的策略。在本文中只对命令进行介绍,详细的MQC语句的使用请自行参看文档。


      ZFW的策略规定如下:

       在为接口指定区域之前,必须先配置这个区域。
       一个接口只能被指定到一个区域内。
       当一个接口被指定了一个区域后,除了在相同的区域内从这个接口始发终结的流量,以及从该接口到其他本路由器接口的流量,默认允许转发外,其他关于这个接口的流量都隐式的拒绝。
       相同区域成员间的流量,默认转发
       如果要求流量从其他区域来或者到其他区域去,那么必须配置再要通信的区域间允许策略或者审查策略。
       自身区域是唯一一个默认策略不是DENY的区域。从自身区域到任何区域的流量都是默认允许的,除非明确的配置了拒绝语句。
       流量不能在一个设置了区域成员的接口和一个没有加入区域的接口间转发。pass,inspect和drop行为只能在两个区域之间进行配置。
       一个没有加入任何区域的接口是可以使用CBAC特性的。
       根据上面所提到的相关问题,我们可以知道,如果流量要在这个路由器的所有接口间转发,那么所有的接口都必须是区域的成员。
       唯一一个例外是,到达或者从这个路由器始发的流量默认情况下是允许的(默认情况下路由器的自身接口属于self区域)。如果要限制这样的流量,则需要配置明确的限制策略。


      ZFP策略包括三种:pass,deny,intercept。Drop是默认行为,intercept是指对流量进行审查,返回流量通过查看路由器的session表来决定是否允许进入。PASS行为不会跟踪连接的状态或者是流量的session。并且PASS策略只能允许单方向的流量通过。必须定义一个相对应返回流量的策略来允许返回流量进入。


      同时ZFP对与VPN流量也进行了特别的定义,当VPN配置以后,路由器动态的生成一个名叫VTI的接口(virtual tunnel interface),如果我们需要对VPN流量进行bypass或者是审查时,我们可以通过将VTI接口加入不同的区域来进行区分。

 转载请注明文章来自:【思科学习问答网】http://www.ciscoask.com/a/jishuzhuanti/_wangluoanquan_/_fanghuoqiangjishu_/2010/0107/33.html

 

 

本拓扑中主要分为以下几个区域,Private,DMZ和Internet区域,而Private区域内又包含Servers和clients两个区域。


            1. Clients到Servers区域需要进行TCP/UDP/ICMP的审查


            2. Private到DMZ区域需要进行SSH/FTP/POP/IMAP/ESMTP/HTTP的审查


            3. Internet到DMZ区域需要进行SMTP/HTTP/DNS需要进行审查,并限制能访问的主机


            4. Servers到Clients区域X-Windows协议需要进行审查,使用PAM来对端口进行定义


            5. Private到Internet区域需要进行HTTP/HTTPS/DNS/ICMP协议的审查。

 


 

 

 


      根据需求,我们将该实验分为几个部分:

      第一部分:初始配置

            zone security clients
            zone security servers
            zone security private
            zone security internet
            zone security dmz

            bridge irb
            bridge 1 protocol ieee
            bridge 1 route ip

            interface Ethernet0/1
            no ip address
            bridge−group 1

            interface Ethernet0/2
            no ip address
            bridge−group 1

            interface BVI1
            ip address 192.168.1.254 255.255.255.0

            interface FastEthernet0/3
            ip address 172.16.1.88 255.255.255.0

            interface FastEthernet0/4
            ip address 172.16.2.1 255.255.255.0

      第二部分:配置从Private区域到Internet区域的策略

 

 

 

 

            interface Ethernet0/1
            zone−member clients

            interface Ethernet0/2
            zone−member servers

            interface BVI1
            zone−member private

            interface fastethernet0/3
            zone−member security internet

            class−map type inspect match−any internet−traffic−class
            match protocol http
            match protocol https

 转载请注明文章来自:【思科学习问答网】http://www.ciscoask.com/a/jishuzhuanti/_wangluoanquan_/_fanghuoqiangjishu_/2010/0107/33_2.html

 

match protocol dns
            match protocol icmp

            policy−map type inspect private−internet−policy
            class type inspect internet−traffic−class
            inspect

            zone−pair security private−internet source private destination internet
            service−policy type inspect private−internet−policy

      第三部分:配置从Private区域到DMZ区域的策略

 

 

 

 

            interface fastethernet0/2
            zone−member security dmz

            class−map type inspect match−any L7−inspect−class
            match protocol ssh
            match protocol ftp
            match protocol pop
            match protocol imap
            match protocol esmtp
            match protocol http

            policy−map type inspect private−dmz−policy
            class type inspect L7−inspect−class
            inspect

            zone−pair security private−dmz source private destination dmz
            service−policy type inspect private−dmz−policy

      第四部分:配置从Internet区域到DMZ区域的策略

 
 

 

 

            access−list 110 permit ip any host 172.16.2.2
            access−list 111 permit ip any host 172.16.2.3

            class−map type inspect match−any dns−http−class
            match protocol dns
            match protocol http

            class−map type inspect match−any smtp−class
            match protocol smtp

            class−map type inspect match−all dns−http−acl−class
            match access−group 110
            match class−map dns−http−class

            class−map type inspect match−all smtp−acl−class
            match access−group 111
            match class−map smtp−class

            policy−map type inspect internet−dmz−policy

 转载请注明文章来自:【思科学习问答网】http://www.ciscoask.com/a/jishuzhuanti/_wangluoanquan_/_fanghuoqiangjishu_/2010/0107/33_3.html

 

 class type inspect dns−http−acl−class
            inspect
            class type inspect smtp−acl−class
            inspect

            zone−pair security internet−dmz source internet destination dmz
            service−policy type inspect internet−dmz−policy

      第五部分:配置servers到client区域的策略:
 

 

 

 


            ip port−map user−Xwindows port tcp from 6900 to 6910

            class−map type inspect match−any Xwindows−class
            match protocol user−Xwindows

            policy−map type inspect servers−clients−policy
            class type inspect Xwindows−class
            inspect

            zone−pair security servers−clients source servers destination clients
            service−policy type inspect servers−clients−policy

      第六部分:配置servers到client区域的策略:
 


 

 

 

            class−map type inspect match−any L4−inspect−class
            match protocol tcp
            match protocol udp
            match protocol icmp

            policy−map type inspect clients−servers−policy
            class type inspect L4−inspect−class
            inspect

            zone−pair security clients−servers source clients destination servers
            service−policy type inspect clients−servers−policy

      到这里基本的配置就完成了,我们可以通过show policy−map type inspect zone−pair和show policy−map type inspect zone−pair session命令来查看ZFP的工作状态,通过show zone security <zone-name>来查看区域的相关信息。

      对于更深层次的审查,例如HTTP的url,TCP的性能调整,VPN的审查,各位可以举一反三,自行进行测试。

 转载请注明文章来自:【思科学习问答网】http://www.ciscoask.com/a/jishuzhuanti/_wangluoanquan_/_fanghuoqiangjishu_/2010/0107/33_4.html

huangyanzhao05
关注
311.华为防火墙新手必看:核心配置项与常见避坑指南
迷逝
04-08 292
此时在防火墙FW1上可以ping通PC1、PC2、PC3,但PC1仍然无法和PC2、PC3通信。防火墙的默认区域(zone):一般可分为local、trust、untrust、dmz,每个区域都有各自的优先级。DMZ区域一般都是对外提供服务,拥有固定IP地址,所以无需配置NAT。如果没有固定IP则和上面的NAT配置相同。那是因为防火墙的默认规则。优先级代表着可信程度,优先级越高表示越信任,即数字越大越信任。策略2:允许内网用户访问DMZ区域。策略2:允许DMZ区域访问外网。策略3:允许外网访问DMZ区域。
华为USG双出口冗余
weixin_34168880的博客
12-30 2906
如图:实现 要求:1、当流量正常时PC1---LSW1----FW1----LSP_CNCC(lo0);PC2---LSW1----FW1----LSP_CMCC(lo0) 2、当LSP_CNCC(lo0)挂掉时;PC1与CP2流量全部切换至LSP_CMCC(lo0)反之当LSP_CMCC(lo0)挂掉时;PC1与CP2流量全部切换至LSP_CNCC(lo0) 3、注意配置ACL中deny意思为当...
华为AR路由器防火墙特性--区域
qq_47529104的博客
10-14 1824
firewall zone XX:在普通视图下创建一个安全区域 [Huawei-zone-fuck]priority 0---15:设置该区域对应的安全级别 zone xxx:将某个接口规划到对应的安全区域内部。 firewall interzone area1 area2:普通视图下,设置两个安全区域之间是有一定的交集的 [Huawei-interzone-shabi-fuck]firewall enable:将区域将的防火墙特性开启,高等级的区域可以访问低等级的区域,但是低等级的区域是不能访问高
防火墙配置基本
u011533346的专栏
11-28 8651
域:默认有几个系统自定义的区域local、trust、untrust、dmz,每个区域有各自的优先级; 域间安全策略 outbound代表数据包出方向,即从设备的某接口出去的方向 inbound代表数据包进方向,即由设备的某接口进来的方向 端口配置IP、vrrpIP: interface GigabitEthernet0/0/6  combo enable fiber  de
华为防火墙配置详解
m0_60797416的博客
05-08 4531
防火墙简介 定义 防火墙Firewall)是一种隔离技术,使内网和外网分开,可以防止外部网络用户以非法手段通过外部网络进入内部网络,保护内网免受外部非法用户的侵入。 目的 在大厦构造中,防火墙被设计用来防止火从大厦的一部分传播到另一部分。网络中的防火墙有类似的作用: 防止因特网的危险传播到私有网络。 在网络内部保护大型机和重要的资源(如数据)。 控制内部网络的用户对外部网络的访问。 安全域是防火墙功能实现的基础,防火墙的安全域包括安全区域和安全域间。 安全区域 在防火墙中,安全区域(Security Zo
四、防火墙转发原理
weixin_45761101的博客
05-04 6440
防火墙安全策略 定义: 安全策略:按一定规则转发流量,内容安全一体化检测 防火墙安全策略的原理 防火墙安全策略的核心作用是:根据规则对流量进行筛选,由动作来确定下一步操作。 NGFW会对收到的流量进行检测,检测出流量的属性,包括:源安全区域、目的安全区域、源地址/地区、目的地址/地区、用户、服务(源端口、目的端口、协议类型)、应用和时间段。 会话表项 每一个通过防火墙的数据流都会在防火墙上建立一个会话表项,以五元组为Key值,通过建立动态的会话表提供域间转发。 下一代防火墙会话表包括七个元素: 源IP地
防火墙入侵与检测 day02
果子哥丶的博客
05-20 2133
安全区域、防火墙的工作模式、 防火墙的分类、 基本配置、 安全策略、 FTP主动和被动模式、 ASPF帮助FTP数据报文穿越防火墙、 分片缓存( 分片过程 重组过程)、 长连接
华为防火墙防火墙的介绍及基本配置
热门推荐
迷逝
11-19 1万+
实验拓扑 防火墙的工作模式 透明网桥模式:可以理解成二层交换机,对三层的IP、路由没有任何影响。透明模式仍然可以抵御外部入侵,但是不能发挥防火墙的全部功能 例如下图:前期IP地址都已经规划好了,组网都已经结束了。突然领导说要加个防火墙,那基本就用透明模式。 路由模式:可以理解成三层路由器 防火墙的区域(zone) 防火墙默认区域的介绍 优先级代表着可信程度,优先级越高表示越信任,即数字越大越信任 [SRG]dis zone 22:15:49 2020/11/18 local #本地区域 pr
H3C SecPath F100系列防火墙配置
weixin_34403693的博客
10-13 1015
初始化配置〈H3C〉system-view开启防火墙功能[H3C]firewall packet-filter enable[H3C]firewall packet-filter default permit分配端口区域[H3C] firewall zone untrust[H3C-zone-trust] add interface GigabitEthernet0/0[...
策略路由配置,实现双通道
最新发布
03-11
nat-policy interzone trust untrust outbound policy source 192.168.1.0 0.0.0.255 action source-nat easy-ip # 绑定NAT到出口接口 ``` --- #### 验证配置 通过以下命令检查策略路由状态和流量统计: - ...
【网络工程师笔记】——防火墙配置
衍生星球的博客
10-28 2704
防火墙只开放了Trust和Untrust的Outbound方向,而关闭了Inbound 方向的安全策略,Trust 区域内的主机可以主动向Untrust区域内的主机发起连接,即使Untrust返回的报文也可以正常通过。而Untrust 区域内的主机不能主动向Trust区域内的主机发起连接,只能被动接受Trust区域内的用户发起的连接。防火墙中有一些默认的安全区域无须创建,也不能删除。防火墙中任意两个安全区域之间构成一个安全域间(Interzone),防火墙的大部分安全策略都是在安全域间配置的。
华为防火墙小企业简单应用命令行配置
IT技术
12-22 1269
华为防火墙小企业简单应用命令行配置
路由控制
果子哥丶的博客
05-01 2976
路由控制、 控制流量可达性、 路由策略方式、 调整网络路径、 路由引入导致的问题及解决办法、 综合实验 ...
华为防火墙通用配置
you_ranxi的博客
11-25 1202
用户名:admin 密码;Admin@123 第一次配制时,可以设置本地IP自动获取。也可以设置成IP 192.168.0.X/255.255.255.0 防火墙的IP: 192.168.0.1 配制如下: # sysname USG2130 # web-manager enable # info-center source default channel 4 log level not...
华为Eudemon系列防火墙典型配置!
weixin_34326558的博客
12-28 1172
目前还没有,不过可以参考配置手册,里面讲的很详细。以下列出部分Eudemon 200的常用***防范知识以及常见的配置给你简单参考!需要了解更详细的内容(包括其他Eudemon 100等产品)就去看手册吧!Eudemon 200 3 典型的网络***方式和对策无论防火墙报过滤规则配置的多么严密,总需要划定一个范围,在这个范围内,连接是被允许的。如果***用户网络的连接混杂在这...
华为防火墙配置NAT
zjc801的专栏
05-24 7419
interface GigabitEthernet0/0/0  alias GE0/MGMT  ip address 172.16.1.1 255.255.255.0 # interface GigabitEthernet0/0/1  ip address 192.168.0.1 255.255.255.0 # interface GigabitEthernet0/0/2
Eudemon防火墙基本配置
weixin_33937778的博客
04-15 484
1. 简介Eudemon防火墙属于网络安全设备,因此首先应该确保Eudemon在网络层与其他设备能互通,并具备基本安全保障功能。本节配置是进行更深入安全配置的前提条件,是必须配置的。基本安全防护的参数包括工作模式、接口IP地址、网络参数、路由协议、安全区域、接口和安全区域的隶属关系等。2. 配置前提在进行具体配置之前,请再次了解网络拓扑结构,明确整个组网情况,和相关网络信息。...
华为 SecPath防火墙 aspf典型配置
net527的专栏
05-07 1702
一、组网需求在防火墙上配置一ASPF策略,检测通过防火墙的FTP流量。实现:内部网络用户发起的FTP连接的返回报文,则允许其通过防火墙进入内部网络,其他报文被禁止。二、组网图三、配置步骤[DOWN] dis cur                 
华为路由交换ENSP 模拟 NAT+Firewall+DNS+DHCP 功能
lzwq1288的博客
12-29 3233
ENSP2.0 模拟 NAT+Firewall+DNS+DHCP 功能,主要涉及在华为路由器上面,如何实现防火墙特性、NAT、DNS、DHCP 功能. 掌握目标 1、路由器 DHCP 客户端配置(模拟 PC) 2、防火墙特性配置 3、NAT 配置 4、DNS 与 DHCP 的配置掌握 一、实验拓扑: 二、PC 的配置 sysname PC dhcp enable dns resolve dns...
firewall interzone trust untrust什么意思
05-12
- Firewall防火墙)是一种安全设备,可以监控和控制网络数据流,并保护网络免受未经授权的访问和恶意攻击。 - Interzone(内外区域)是指防火墙中区分内部网络和外部网络的边界。 - Trust(受信任区域)是指...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值