ZFW技术对原有的CBAC功能进行了增强,ZWF策略防火墙改变了基于接口的配置模式,并且提供了更容易理解和更灵活的配置方法。接口需要加入区域,针对流量的审查策略在区域间内部生效。区域内部策略提供了更灵活和更细致的流量审查,不同的审查策略可以应用在与路由器相同接口相连的多个组上。
ZFW提供了状态型的包检测,URL过滤,对DOS***的减缓等功能,同时提供了多种协议的支持,例如HTTP,POP3,IMAP,SMTP,ESMTP,sun RPC,IM,P2P等协议。但是需要注意的是,以下特性ZFW暂时还不能支持:
• Authentication proxy
• Stateful firewall failover
• Unified firewall MIB
• IPv6 stateful inspection
• TCP out−of−order support
与CBAC相比较而言第一点主要的改变是,ZFW是基于区域的配置。ZFW不在使用CBAC的命令。两种技术可以同时配置在路由器上,但是需要注意的是,这两种技术不能同时在接口上叠加。接口在加入了安全区域以后不能同时在该接口上配置ip inspect命令。
ZFW默认的策略为拒绝所有流量。如果没有配置放行策略,那么所有在区域间进行转发的流量将会被拒绝。而cbac默认情况下允许转发所有的流量,除非通过使用ACL来对流量进行丢弃。
第二点主要的改变是ZFW的配置命令使用了MQC命令格式。可以使用更灵活的方式来定义ZFW的策略。
ZFW的策略规定如下:
在为接口指定区域之前,必须先配置这个区域。
一个接口只能被指定到一个区域内。
当一个接口被指定了一个区域后,除了在相同的区域内从这个接口始发终结的流量,以及从该接口到其他本路由器接口的流量,默认允许转发外,其他关于这个接口的流量都隐式的拒绝。
相同区域成员间的流量,默认转发
如果要求流量从其他区域来或者到其他区域去,那么必须配置再要通信的区域间允许策略或者审查策略。
自身区域是唯一一个默认策略不是DENY的区域。从自身区域到任何区域的流量都是默认允许的,除非明确的配置了拒绝语句。
流量不能在一个设置了区域成员的接口和一个没有加入区域的接口间转发。pass,inspect和drop行为只能在两个区域之间进行配置。
一个没有加入任何区域的接口是可以使用CBAC特性的。
根据上面所提到的相关问题,我们可以知道,如果流量要在这个路由器的所有接口间转发,那么所有的接口都必须是区域的成员。
唯一一个例外是,到达或者从这个路由器始发的流量默认情况下是允许的(默认情况下路由器的自身接口属于self区域)。如果要限制这样的流量,则需要配置明确的限制策略。
ZFP策略包括三种:pass,deny,intercept。Drop是默认行为,intercept是指对流量进行审查,返回流量通过查看路由器的session表来决定是否允许进入。PASS行为不会跟踪连接的状态或者是流量的session。并且PASS策略只能允许单方向的流量通过。必须定义一个相对应返回流量的策略来允许返回流量进入。
同时ZFP对与×××流量也进行了特别的定义,当×××配置以后,路由器动态的生成一个名叫VTI的接口(virtual tunnel interface),如果我们需要对×××流量进行bypass或者是审查时,我们可以通过将VTI接口加入不同的区域来进行区分。
本拓扑中主要分为以下两个区域,Private和Internet区域,在本例中我们配置了从Private区域到Internet区域的策略。
到这里基本的配置就完成了,我们可以通过show policy−map type inspect zone−pair和show policy−map type inspect zone−pair session命令来查看ZFP的工作状态,通过show zone security <zone-name>来查看区域的相关信息。
对于更深层次的审查,例如HTTP的url,TCP的性能调整,×××的审查,各位可以自行进行测试。
ZFW提供了状态型的包检测,URL过滤,对DOS***的减缓等功能,同时提供了多种协议的支持,例如HTTP,POP3,IMAP,SMTP,ESMTP,sun RPC,IM,P2P等协议。但是需要注意的是,以下特性ZFW暂时还不能支持:
• Authentication proxy
• Stateful firewall failover
• Unified firewall MIB
• IPv6 stateful inspection
• TCP out−of−order support
与CBAC相比较而言第一点主要的改变是,ZFW是基于区域的配置。ZFW不在使用CBAC的命令。两种技术可以同时配置在路由器上,但是需要注意的是,这两种技术不能同时在接口上叠加。接口在加入了安全区域以后不能同时在该接口上配置ip inspect命令。
ZFW默认的策略为拒绝所有流量。如果没有配置放行策略,那么所有在区域间进行转发的流量将会被拒绝。而cbac默认情况下允许转发所有的流量,除非通过使用ACL来对流量进行丢弃。
第二点主要的改变是ZFW的配置命令使用了MQC命令格式。可以使用更灵活的方式来定义ZFW的策略。
ZFW的策略规定如下:
在为接口指定区域之前,必须先配置这个区域。
一个接口只能被指定到一个区域内。
当一个接口被指定了一个区域后,除了在相同的区域内从这个接口始发终结的流量,以及从该接口到其他本路由器接口的流量,默认允许转发外,其他关于这个接口的流量都隐式的拒绝。
相同区域成员间的流量,默认转发
如果要求流量从其他区域来或者到其他区域去,那么必须配置再要通信的区域间允许策略或者审查策略。
自身区域是唯一一个默认策略不是DENY的区域。从自身区域到任何区域的流量都是默认允许的,除非明确的配置了拒绝语句。
流量不能在一个设置了区域成员的接口和一个没有加入区域的接口间转发。pass,inspect和drop行为只能在两个区域之间进行配置。
一个没有加入任何区域的接口是可以使用CBAC特性的。
根据上面所提到的相关问题,我们可以知道,如果流量要在这个路由器的所有接口间转发,那么所有的接口都必须是区域的成员。
唯一一个例外是,到达或者从这个路由器始发的流量默认情况下是允许的(默认情况下路由器的自身接口属于self区域)。如果要限制这样的流量,则需要配置明确的限制策略。
ZFP策略包括三种:pass,deny,intercept。Drop是默认行为,intercept是指对流量进行审查,返回流量通过查看路由器的session表来决定是否允许进入。PASS行为不会跟踪连接的状态或者是流量的session。并且PASS策略只能允许单方向的流量通过。必须定义一个相对应返回流量的策略来允许返回流量进入。
同时ZFP对与×××流量也进行了特别的定义,当×××配置以后,路由器动态的生成一个名叫VTI的接口(virtual tunnel interface),如果我们需要对×××流量进行bypass或者是审查时,我们可以通过将VTI接口加入不同的区域来进行区分。
试验例子:
本拓扑中主要分为以下两个区域,Private和Internet区域,在本例中我们配置了从Private区域到Internet区域的策略。
interface Ethernet0/1
zone−member clients
interface Ethernet0/2
zone−member servers
interface BVI1
zone−member private
interface fastethernet0/3
zone−member security internet
class−map type inspect match−any internet−traffic−class
match protocol http
match protocol https
match protocol dns
match protocol icmp
policy−map type inspect private−internet−policy
class type inspect internet−traffic−class
inspect
zone−pair security private−internet source private destination internet
service−policy type inspect private−internet−policy
到这里基本的配置就完成了,我们可以通过show policy−map type inspect zone−pair和show policy−map type inspect zone−pair session命令来查看ZFP的工作状态,通过show zone security <zone-name>来查看区域的相关信息。
对于更深层次的审查,例如HTTP的url,TCP的性能调整,×××的审查,各位可以自行进行测试。
转载于:https://blog.51cto.com/weijishijie/215735
763
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
