基于区域策略的防火墙配置(ZPF)讲解

最新推荐文章于 2023-05-29 11:58:28 发布

柿子一位

最新推荐文章于 2023-05-29 11:58:28 发布

阅读量1k

点赞数 1

文章标签：服务器网络运维

本文链接：https://blog.csdn.net/qq_56182387/article/details/130549989

版权

网路地址如上表，按表配置完即可。

以上这张图就是我们要达到的效果啦，区域B有最高的权限，区域Cping不通区域A和B,但是可以通过Web的方式访问区域A中的服务器。

首先，不同区域的网络是没办法进行通信的，我们需要在R0上配置路由，或者默认路由:

R1:

ip route 192.168.1.0 255.255.255.0 10.1.1.1

ip route 192.168.3.0 255.255.255.0 10.2.2.1

ip route 192.168.33.0 255.255.255.0 10.2.2.1

R1:ip route 0.0.0.0 0.0.0.0 s0/0/0

R2:ip route 0.0.0.0 0.0.0.0 s0/0/1

然后，这个R3模拟cisco设备默认是没有安全技术包的，输入这条命令启用：

R3(config)#

license boot module c1900 technology-package securityk9

启用之后，记得保存write,然后重启reload,重启完就会生效了

下来创建三个区域：A,B,C

zone security A
zone security B
zone security C

然后创建安全策略，采用的关键字为： match-any

class-map type inspect match-all C-A

因为只允许Web访问，所以选择http和https协议

match protocol http

match protocol https

然后创建区域策略

policy-map type inspect C-ACL

class type inspect C-A

inspect

最后创建区域对

zone-pair security C-ACL(区域对的名字) source(源区域名字)C destination(目的区域名字) A

service-policy type inspect C-ACL（将策略映射应用于区域对）

最后，将接口分配到合适区域

interface GigabitEthernet0/0

zone-member security C

interface Serial0/0/1

zone-member security A

这样就实现了区域C到区域A的限制，然后如法炮制，就可以对区域C到区域B的限制。

区域B拥有最高的权限，所以允许所有的流量

class-map type inspect match-any B-A

match protocol udp

match protocol tcp

match protocol icmp

match protocol http

match protocol https

policy-map type inspect FHQcl
 class type inspect B-A
  inspect

zone-pair security ABLLcl source B destination A
 service-policy type inspect FHQcl

分配区域端口

interface GigabitEthernet0/1
 zone-member security B

最后是区域B到区域C,区域B需要通信，所以我们允许，tcp,udp和icmp

class-map type inspect match-any B-C
 match protocol udp
 match protocol tcp
 match protocol icmp

policy-map type inspect B-Ccl
 class type inspect B-C
  inspect

zone-pair security B-Cfhqcl source B destination C
 service-policy type inspect B-Ccl

区域之前已经分配完毕了，所以现在不需要分配了。

最后的效果如图所示

区域Cping不通区域A,但是可以使用web访问区域A的服务器

区域B可以任意访问区域A和区域C

好啦，以上就是关于ZPF的简单讲解啦，觉得有帮助到你的，点个赞吧！

关注