Cisco IOS Zone-Based Firewall

最新推荐文章于 2023-05-08 12:11:24 发布
最新推荐文章于 2023-05-08 12:11:24 发布
阅读量1.6k 收藏
点赞数
分类专栏: Cisco 思科
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/blakegao/article/details/11563005
版权



要求:

outbound流量:

1。监控http/smtp/telnet/ICMP协议

2. 限制tcp三次握手必须在15秒内完成

3.进行半开连接限制(high:1000/low:800)

inbound 流量:

1,放行访问内部服务器的http流量

2.进行半开连接限制(high:100/low:80)

简单配置:

******************************************************************************配置参数列表,用于policy-map的inspect行为

parameter-map type inspect inbound
 max-incomplete low  80
 max-incomplete high 100
          
parameter-map type inspect outbound
 max-incomplete low  800
 max-incomplete high 1000 
 tcp synwait-time 15

****************************************************************************** 配置class-map,匹配特定流量  
class-map type inspect match-any outbound
 match protocol http
 match protocol smtp
 match protocol telnet
 match protocol icmp


class-map type inspect match-all inbound
 match protocol http
 match access-group name inbound(注意:进行DPI深度包监控的时候,必须使用match protocol和访问列表结合的方式匹配流量,

并在protocol里做深入匹配,在ACL中直接比配tcp eq 23在这里等价,但官方配置做法推荐前者!)
****************************************************************************** 配置policy-map,实施策略    

policy-map type inspect outbound
 class type inspect outbound
  inspect outbound

class class-default


policy-map type inspect inbound
 class type inspect inbound
  inspect inbound
 class class-default

 ****************************************************************************** 定义两个zone  
zone security inside
zone security outside

******************************************************************************配置zone-pair,并启用相应策略
zone-pair security in-out source inside destinationoutside
 service-policy type inspect outbound
zone-pair security out-in source outside destinationinside
 service-policy type inspect inbound

******************************************************************************配置ACL,用于匹配流量的源目的地址

ip access-list extended inbound
 permit ip any host 10.1.1.1
ip access-list extended outbound
 permit ip 10.1.1.0 0.0.0.255 any

******************************************************************************将借口划入zone

interface ethernet0/0
 ip address 10.1.1.10 255.255.255.0
 zone-member security inside
 serial restart-delay 0
  
interface ethernet0/1
 ip address 202.100.1.10 255.255.255.0
 zone-member security outside
 serial restart-delay 0
    


     

blakegao
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
史上最全wireshark使用教程,8万字整理总结,建议先收藏再耐心研读
孙叫兽的博客
07-14 3万+
目录 第1章介绍... 1 1.1.什么是Wireshark. 1 1.1.1.主要应用... 1 1.1.2.特性... 1 1.1.3.捕捉多种网络接口... 2 1.1.4.支持多种其它程序捕捉的文件... 2 1.1.5.支持多格式输出... 2 1.1.6.对多种协议解码提供支持... 2 1.1.7.开源软件... 2 1.1.8.Wireshark不能做的事... 2 1.2.系通需求... 2 1.2.1.一般说明... 2 ...
README
vekrio的博客
10-25 3081
stu linux学习 1:centos7查看版本信息 登陆root帐户,输入 cat /etc/redhat-release,即可显示系统版本 输入 uname -r ,可以查询内核版本 输入 df -h,可以查看各分区的使用情况。其中,从左到右各列的内容依次是: 文件系统、总大小、已使用大小、剩余大小、使用率、挂载点。 输入du -sh,则可以查...
Zone-based User Based Firewall
weixin_33709364的博客
12-27 109
User Group Firewall is a mechanism to authenticate each user and provide access privileges based on the type of user being authenticated. The authentication is done by a RADIUS server. The ...
ZoneBasedFirewall对系统性能影响
跳着Samba的狮子
11-12 1013
ASR1002x-3#show pl hard qfp ac datapath utilization CPP 0: Subdev 0 5 secs 1 min 5 min 60 min Input: Priority (pps) 0 0 0
思科IOS防火墙
weixin_33816821的博客
01-03 324
翻译自思科官方出的CCIE RS认证指南《CCIE Routing and Switching Exam Certification Guide 4th Edition》 经典的思科IOS防火墙 在一些情况下,访问列表过滤足于控制和保护一个路由器接口。但是随着***者变得越来越老练,思科也发展出更好的工具来处理这些威胁。颇为艰难的是,常常需要实现安全...
1.2. Cisco IOS Firewall
weixin_34417200的博客
01-08 122
http://www.cisco.com/en/US/products/sw/secursw/ps1018/tsd_products_support_series_home.html 原文出处:Netkiller 系列 手札 本文作者:陈景峯 转载请与作者联系,同时请务必标明文章原始出处和作者信息及本声明。 ...
Cisco Zone Base FireWall介绍及配置
风云刀的CSDN博客
10-08 2138
ZFW技术对原有的CBAC功能进行了增强,ZFW策略防火墙改变了基于接口的配置模式,并且提供了更容易理解和更灵活的配置方法。接口需要加入区域,针对流量的审查策略在区域间内部生效。区域内部策略提供了更灵活和更细致的流量审查,不同的审查策略可以应用在与路由器相同接口相连的多个组上。 ZFW提供了状态型的包检测,URL过滤,对DOS攻击的减缓等功能,同时提供了多种协议的支持,例如HTTP、POP3、I...
CCNP课程
03-12
交换网络的安全策略,如二层安全、终端安全、存储安全和语音安全的保障,以及Cisco的防火墙技术,如Classic FirewallZone-Based Firewall。此外,还涉及了基础的IPsec(Internet Protocol Security)和L2L(Layer ...
CCNP security secure pdf
10-07
Secure 第一天 网络基础设施保护和局域网安全 .pdf Secure 第二天 路由器三个层面的安全控制.pdf Secure 第三天 IOS防火墙....Secure 第四天 Zone-Based Policy Firewall .pdf Secure 第五天 IOS IPS和PKI 最终版.pdf
思科与华为网络设备中的NAT技术实战解析
# 1. NAT技术概述 网络地址转换(Network Address Translation,NAT)是一种在计算机网络中常用的技术,用于将私有网络内部的IP地址映射为公共网络的IP地址,以实现内网与外网之间的通信。NAT 技术在网络环境中起到...
基本Zone-base firewall知识及配置
weixin_34221775的博客
10-23 338
ZFW技术对原有的CBAC功能进行了增强,ZWF策略防火墙改变了基于接口的配置模式,并且提供了更容易理解和更灵活的配置方法。接口需要加入区域,针对流量的审查策略在区域间内部生效。区域内部策略提供了更灵活和更细致的流量审查,不同的审查策略可以应用在与路由器相同接口相连的多个组上。 ZFW提供了状态型的包检测,URL过滤,对DOS***的减缓等功能,同时提供了多...
Packet Tracer - 配置基于区域的策略防火墙 (ZPF)
傻傻的心动的博客
05-08 6245
Packet Tracer - 配置基于区域的策略防火墙 (ZPF)
CCNA实验三十八 ZFW(区域防火墙)
kkfloat博客
12-10 4329
                                          CCNA实验三十八ZFW(区域防火墙)环境:Windows XP 、Packet Tracert5.3目的:了解ZFW的原理与基本配置说明:       ZFW(Zone-Based Policy Firewall),是一种基于区域的防火墙,基于区域的防火墙配置的防火墙策略都是在数据从一个区域发到另外一个区域时才生效,在同一个区域内的数据是不会应用任何策略的,所以我们就可以将需要使用策略的接口划入不同的区域,这样就可以应用我
Ciscoios防火墙技术之一--ciso zone-based FW的原理及配置实例解析
Stephen_jj的博客
04-24 1420
Ciscoios防火墙技术之一–ciso zone-based FW 续上篇的CBAC,本篇再讲ios防火墙的另外一个–cisco zone-based ,相对而已是比CBAC更加优化了许多。感兴趣的话请您往下看。 zone-based firewall 介绍 我们知道CBAC提供了基于接口的流量保护,可以在任意的接口上针对流量进行保护,所有穿过这个接口的流量收到相同的审查策略的保护,这样就降...
IOS zone-pair 防火墙的配置解析
weixin_33753003的博客
08-10 218
关于zone-pair 防火墙是把ios路由器的接口分为若干个区域,不同区域之间的流量是不能通讯的,这点类似与ASA的接口类型!这里我们要注意一下几点 1.确定相同的安全接口划分到同一zone。 2.运用class-map 抓住不同zone之间的流量,可以提供3-7层的流量检测 ZBF(config-pmap-c)#? Policy-map class conf...
【实验】配置CISCO IOS基于区域的防火墙
XMWS-IT
11-17 3552
欢迎关注微信公众号【厦门微思网络】。www.xmws.cn专业IT认证培训19周年主要课程:思科、华为、红帽、ORACLE、VMware、CISP、PMP等认证培训及考证 配置需求 配置CISCO IOS基于区域的防火墙 A. 使得Inside的网络可以访问Outside所用服务B. 使得Inside的网络可以访问Dmz(只能访问Dmz的telnet服务)C. 使得Outside网络可以访问Dmz(只能访问Dmz的telnet服务) 1.配置设备IP地址和路由(使用...
2-security policy
weixin_34198762的博客
04-19 144
2019独角兽企业重金招聘Python工程师标准>>> ...
Cisco IOS防火墙的安全规则和配置方案
weixin_34236869的博客
09-09 289
Cisco IOS防火墙的安全规则和配置方案 络安全是一个系统的概念,有效的安全策略或方案的制定,是网络信息安全的首要目标。 网络安全技术主要有,认证授权、数据加密、访问控制、安全审计等。而提供安全网关服务的类型有:地址转换、包过滤、应用代理、访问控制和D oS防御。本文主要介绍地址转换和访问控制两种安全网关服务,利用cisco路由器对ISDN拨号上网做安全规则设置。试...
Ciscoios防火墙技术之一--CBAC的原理及配置实例解析
Stephen_jj的博客
04-24 2603
Ciscoios防火墙技术之一–CBAC的原理及配置实例解析 好久没写博客了,主要是写的都是不方便上传的,今天写一下防火墙的技术,也不知能不能上传成功吧。今天讲一下思科的两大IOS防火墙技术之一–CBAC,主要介绍其原理和实例的配置解析。当然,如果可以的话后面再讲另外一个zone-based技术。 CBAC的概念 CBAC(context-based access control)即基于上下文的...
sudo firewall-cmd --zone=public --add-port=3000/tcp --permanentsudo firewall-cmd --reload
最新发布
06-03
- `sudo firewall-cmd --zone=public --add-port=3000/tcp --permanent` 这条命令将会添加一条防火墙规则,允许 TCP 协议的 3000 端口通过公共区域。其中,`--zone=public` 表示规则将应用于公共区域,`--add-port=...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值