Cisco的ios防火墙技术之一--ciso zone-based FW的原理及配置实例解析

最新推荐文章于 2024-02-19 14:59:53 发布
最新推荐文章于 2024-02-19 14:59:53 发布
阅读量1.3k 收藏 9
点赞数
文章标签: 网络 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Stephen_jj/article/details/105735950
版权

Cisco的ios防火墙技术之一–ciso zone-based FW

续上篇的CBAC,本篇再讲ios防火墙的另外一个–cisco zone-based ,相对而已是比CBAC更加优化了许多。感兴趣的话请您往下看。

zone-based firewall 介绍

在这里插入图片描述

我们知道CBAC提供了基于接口的流量保护,可以在任意的接口上针对流量进行保护,所有穿过这个接口的流量收到相同的审查策略的保护,这样就降低了防火墙策略实施的颗粒度,同时也给合理实习防火墙策略造成了困难。而zone-base FW(以下简称ZFW)技术是在原有的CBAC功能上进行增强,ZWF策略防火墙改变了老式的基于接口卡的配置模式,并且提供了更容易理解和更灵活的配置方法。接口需要加入区域,针对流量的审查策略在区域间内部生效,区域内部策略提供了更灵活和更细致的流量审查,不通的审查策略可以引用在与路由器相同接口相连的多个组上。ZFW提供了状态型的 包检测,URL过滤,对DOS攻击的减缓功能,同时提供了多种协议的支持。…
关于zone-pair 防火墙是把ios路由器的接口分为若干个区域,不同区域之间的流量是不能通讯的,这点类似与ASA的接口类型!这里我们要注意一下几点:
1.确定相同的安全接口划分到同一zone。
2.运用class-map 抓住不同zone之间的流量,可以提供3-7层的流量检测

特性介绍

1、一个zone是一系列接口的集合。
2、如果两个接口不属于zone,他们间的流量不受任何影响。
3、如果一个接口属于zone,另一个接口不属于zone,那么他们之间无法实现通信。
4、如果两个接口属于两个不同的zone,可以通过配置policy来允许流量,默认所有流量都被丢弃。
5、在相同的security zone 内部接口的流量可以自由的流转,不需要任何策略。

配置步骤及命令

在这里插入图片描述
R4(config)#zone security Inside //定义Inside区域
R4(config)#zone security Outside //定义Outside区域
R4(config)#interface f0/0
R4(config-if)#zone-member security Inside //把接口划入区域,注意区分大小写
R4(config)#class-map type inspect match-any Inside-class //定义一个class-map名字叫Inside匹配任意流量。注意不打match-any,默认match-all。all表示全部匹配,any表示任意一条匹配。
R4(config-cmap)#match protocol http //匹配协议
R4(config)#parameter-map type inspect Inside-para //定义参数map名字为Inside-para
R4(config-profile)#tcp synwait-time 15 //定义TCP三次握手时间
R4(config-profile)#max-incomplete high 1000 //定义半开连接数大于1000
R4(config-profile)#max-incomplete low 800 //定义半开连接数地狱800
R4(config)#policy-map type inspect Inside-policy //创建policy-map名字为Inside-policy
R4(config-pmap)#class Inside-class //调用class-map
R4(config-pmap-c)#inspect Inside-para //监控class-map,并调用parameter-map进行控制
R4(config)#zone-pair security Inside-to-Outside source Inside destination Outside //建立区域对。源是内部。目的是外部。
R4(config-sec-zone-pair)#service-policy type inspect Inside-policy //调用policy-map

实例配置及介绍

在这里插入图片描述
需求:
Outbound 流量
1、 监控HTTP/SMTP/FTP/TELNET/ICMP协议
2、 限制TCP三次握手必须15内完成。
3、 半开链接限制(High:1000/low:800)
配置相关的流量限制,使得R2去R3的流量被允许,R3到R2被拒绝。
Inbound流量
1、 放行外部到内部的HTTP流量
2、 半开连接限制(High:100/low:80)
配置相关的流量,使得R3可以访问R1的http服务,其他服务拒绝。
底层配置这里不再介绍,需保证全网通信。
R1(config)#ip http server //开启http服务
在R3上添加设置管理用户和密码,方便测试,
R3(config)#line vty 0 4
R3(config-line)#login local
R3(config)#username cjc password cjc
其他配置如下:
外部访问内部http服务器。
区域防火墙配置:
R4(config)#zone security Inside //定义Inside区域
R4(config)#zone security Outside //定义Outside区域
R4(config)#interface f0/0
R4(config-if)#zone-member security Inside //把接口划入区域,注意区分大小写
R4(config)#interface f0/1
R4(config-if)#zone-member security Outside //把接口划入区域,注意区分大小写
此时流量已经不通。
Outbound流量:
R4(config)#class-map type inspect match-any Inside-class //定义一个class-map名字叫Inside匹配任意流量。注意不大match-any,默认match-all
R4(config-cmap)#match protocol http //匹配协议
R4(config-cmap)#match protocol smtp
R4(config-cmap)#match protocol ftp
R4(config-cmap)#match protocol telnet
R4(config-cmap)#match protocol icmp
R4(config)#parameter-map type inspect Inside-para //定义参数map名字为Inside-para
R4(config-profile)#tcp synwait-time 15 //定义TCP三次握手时间
R4(config-profile)#max-incomplete high 1000 //定义半开连接数大于1000
R4(config-profile)#max-incomplete low 800 //定义半开连接数地狱800
R4(config)#policy-map type inspect Inside-policy //穿件policy-map名字为Inside-policy
R4(config-pmap)#class Inside-class //调用class-map
R4(config-pmap-c)#inspect Inside-para //监控class-map,并调用parameter-map进行控制
R4(config)#zone-pair security Inside-to-Outside source Inside destination Outside //建立区域对。源是内部。目的是外部。
R4(config-sec-zone-pair)#service-policy type inspect Inside-policy //调用policy-map
配置完成,此时inside的网络可以去通过我们设置的协议去访问outside的。
在这里插入图片描述

而反过来outside的是无法访问inside内的网络
在这里插入图片描述

Inbound流量:
R3(config)#ip access-list extended out-in
R3(config-ext-nacl)#permit ip any host 10.1.1.100 //匹配源和目的
R3(config)#class-map type inspect match-all Outside
R3(config-cmap)#match access-group name out-in //调用ACL
R3(config-cmap)#match protocol http //并且匹配协议HTTP
R3(config)#parameter-map type inspect Outside-para //配置参数MAP
R3(config-profile)#max-incomplete high 100 //定义半开连接数大于100
R3(config-profile)#max-incomplete low 80 //定义半开连接数地狱80
R3(config)#policy-map type inspect Outside-policy //定义policy-map
R3(config-pmap)#class Outside //调用class-map
R3(config-pmap-c)#inspect Outside-para //监控class-map,并调用parameter-map进行控制
R3(config)#zone-pair security Outside-to-Inside source Outside destination Inside //建立区域对。源是外部。目的是内部。
RR(config-sec-zone-pair)#service-policy type inspect policy-out //调用policy-map

配置完成,满足要求,outside的网络可以去访问server的http服务。
在这里插入图片描述

R3#show policy-map type inspect zone-pair sessions //查看状态化信息
在这里插入图片描述

最后

感谢观看,希望对你有所帮助。

成禾
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
cisp-pte注册渗透测试工程师详细资料及视频教程
07-16
CISP-PTE,全称为Certified Information Security Professional - Penetration Testing Engineer,即注册信息安全专业人员-渗透测试工程师,是一项针对网络安全专业人士的高级认证。这个认证主要针对的是那些专注于...
Cisco Zone Base FireWall介绍及配置
风云刀的CSDN博客
10-08 2110
ZFW技术对原有的CBAC功能进行了增强,ZFW策略防火墙改变了基于接口的配置模式,并且提供了更容易理解和更灵活的配置方法。接口需要加入区域,针对流量的审查策略在区域间内部生效。区域内部策略提供了更灵活和更细致的流量审查,不同的审查策略可以应用在与路由器相同接口相连的多个组上。 ZFW提供了状态型的包检测,URL过滤,对DOS攻击的减缓等功能,同时提供了多种协议的支持,例如HTTP、POP3、I...
Cisco防火墙基础介绍及配置
weixin_34195364的博客
04-27 3309
一、ASA(状态化防火墙)安全设备介绍: Cisco硬件防火墙技术应用领域: PIX 500 系列安全设备。 ASA 5500系列自适应安全设备。 Catalyst 6500 系列交换机和Cisco 7600 系列路由器的防火墙服务模块。 Cisco ASA 5500 系列自适应安全设备提供了整合防火墙、入 侵保护系统(IPS)、高级自适应威胁防御服务,其中包括应用安全和简化网络安...
Cisco防火墙HA实例
大熊猫的博客
04-20 642
ASA5508-Active(config)#failover //主防火墙的所有配置都设置OK后,输入该命令,即启用热备模式,注意,此命令一定要先在主设备上输入,否则如果先在。ASA5508-Active(config)#failover //即启用热备模式,注意,此命令一定要先在主设备上输入,否则如果先在备用设备输入后,如果互联线连接了,ASA5508-Standby/sec/stby(config)# //红色字体表示该设备为备用设备的状态为stby备用状态,即当前工作的是该主设备。
思科防火墙配置(包含网络安全配置部分)以Cisco ASA5508-K9为例
最新发布
weixin_47450720的博客
02-19 1273
配置Cisco ASA5508-K9防火墙涉及一系列步骤,包括基本网络设置、防火墙功能配置以及网络安全设置。以下是通用的配置指引,但请注意确保在操作之前对网络环境和设备有充分了解,以避免潜在的问题,特别是在生产环境下。
防火墙:配置IPSec VPN
weixin_42494218的博客
11-15 570
在思科 FPR1120-ASA-K9 上设置 IPSec VPN.
10-create-a-ten-year-strategy-for-your-ciso.zip
10-25
标题“10-create-a-ten-year-strategy-for-your-ciso.zip”表明了这是一个关于制定首席信息安全官(CISO)十年战略的资源包。CISO是企业中负责信息安全的关键角色,他们负责保护组织的信息资产免受各种威胁。创建一...
Python-ciso8601快速将ISO8601日期时间字符串转换为Python日期时间对象
08-10
在Python编程中,日期和时间处理是常见的任务之一,尤其在处理XML、JSON等标准格式的数据时,ISO8601日期时间格式尤为常见。ISO8601是一种国际标准化组织定义的时间和日期表示方式,它能清晰地表示日期、时间、时区...
create-a-ten-year-strategy-for-your-ciso.pdf
08-21
create-a-ten-year-strategy-for-your-ciso.pdf
信息安全_数据安全_AppSecEU2016-Tobias-Gondrom-Ciso-Survey.pdf
08-21
信息安全_数据安全_AppSecEU2016-Tobias-Gondrom-Ciso-Survey 安全验证 应急响应 应用审计 水坑攻击 安全编码
Cisco ASA防火墙图文配置实例
01-05
Cisco ASA防火墙图文配置实例 本文是基于笔者 2008 年在原单位配置 ASA5540 和 ASA5520 的配置截图所做的一篇配置文档
CiscoASA防火墙图文配置实例.
12-26
非常实用,没有接触过的的可以一看,试用于Cisco ASA防火墙
Cisco_ASA防火墙图文配置实例
05-14
Cisco_ASA防火墙图文配置实例 peiz
思科pix防火墙配置实例大全
08-31
通过一些相关的实例,详细的介绍了思科防火墙的各种配置指令配置方法。
思科N9K交换机配置QOS
11-15 3334
需求:思科9504交换机配置QOS,要求按照应用的重要性进行分类,根据分类配置优先级队列,每个分类还要进行限速。 思路: 1、使用ACL配置队列,TOP_1 优先级最高,TOP_7优先级最低。 2、根据ACL配置class-map 3、根据class-map配置分别配置qos_marking、qos_out-8q等policy,前一个policy配置在入接口进行包分类标记,后一个配置在出接口进行队列按优先级转发。 4、根据class-map配置qos_out-policy,用于在出接口进行限...
思科5505/5506防火墙配置與範例
hu5566798的博客
03-25 4762
使用console连接线登录方法 1.使用cisco的console连接线,连接设备的console口和计算机com口(笔记本用USB转COM口连接线)2.使用超级终端或secureCRT软件连接设备 串行选项: 波特率:9600 数据位:8 奇偶校验:无 停止位:1 数据流控制: RTS/CTS 登陆设备后,基本配置命令与cisco路由器保持一致. 1. 设置主机名: #hostname ASA5510 2. 设置时区: #clock timezone EST 7 3. 设置时钟: #cloc。
思科防火墙配置命令(详细命令总结归纳)
热门推荐
1风天云月的博客
10-10 3万+
前言 防火墙的实施是每个网络基础设施必要且不可分割的组成部分,传统的防火墙功能已经从最初保护网络免于未授权外部访问的攻击得到了进一步的发展,现在的防火墙通常具备多种功能,下面介绍一下思科防火墙的详细配置方法 一、防火墙介绍 防火墙用于维护一个关于用户信息的连接表,称为Conn表,表中信息有:源ip地址、目的ip地址、ip协议(如http、ftp等)、ip协议信息(协议端口号等),防火墙能够基于特定的网络、主机和服务(TCP/UDP端口号)控制网络访问 二、防火墙配置 ...
路由器安全-FPM
weixin_30751947的博客
12-19 117
1、FPM(也叫NGACL) FPM是Cisco IOS新一代的ACL,叫做Flexible Packet Matching,灵活的包匹配。 根据任意条件,无状态的匹配数据包的头部,负载,或者全部。 分析协议,更易于规则的创建。 用于替代传统的ACL,对特定的恶意流量的基础架构过滤。 如下是一个示例: FPM的限制: ①无状态的,如果是有状态的,那和防火墙也没啥差别了。 ...
Ciscoios防火墙技术之一--CBAC的原理配置实例解析
Stephen_jj的博客
04-24 2568
Ciscoios防火墙技术之一–CBAC的原理配置实例解析 好久没写博客了,主要是写的都是不方便上传的,今天写一下防火墙的技术,也不知能不能上传成功吧。今天讲一下思科的两大IOS防火墙技术之一–CBAC,主要介绍其原理实例配置解析。当然,如果可以的话后面再讲另外一个zone-based技术。 CBAC的概念 CBAC(context-based access control)即基于上下文的...
SY0-601 V38.35 .pdf
04-08
"SY0-601 V38.35 .pdf 是一份与CompTIA Security+认证考试相关的学习资料,包含丰富的信息安全知识。该资料版本为V38.35,由CompTIA提供,是IT认证保证的轻松学习方式。" 本文将详细解释并扩展题目中涉及的几个关键...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值