基本Zone-base firewall知識及配置

  ZFW技術對原有的CBAC功能進行了加強，ZWF策略防火牆改變了基於接口的配置模式，而且提供了更容易理解和更靈活的配置方法。接口須要加入區域，針對流量的審查策略在區域間內部生效。區域內部策略提供了更靈活和更細緻的流量審查，不一樣的審查策略能夠應用在與路由器相同接口相連的多個組上。

      ZFW提供了狀態型的包檢測，URL過濾，對DOS***的減緩等功能，同時提供了多種協議的支持，例如HTTP,POP3,IMAP,SMTP,ESMTP,sun RPC,IM,P2P等協議。可是須要注意的是，如下特性ZFW暫時還不能支持：

            • Authentication proxy
            • Stateful firewall failover
            • Unified firewall MIB
            • IPv6 stateful inspection
            • TCP out−of−order support

      與CBAC相比較而言第一點主要的改變是，ZFW是基於區域的配置。ZFW不在使用CBAC的命令。兩種技術能夠同時配置在路由器上，可是須要注意的是，這兩種技術不能同時在接口上疊加。接口在加入了安全區域之後不能同時在該接口上配置ip inspect命令。

      ZFW默認的策略爲拒絕全部流量。若是沒有配置放行策略，那麼全部在區域間進行轉發的流量將會被拒絕。而cbac默認狀況下容許轉發全部的流量，除非經過使用ACL來對流量進行丟棄。

      第二點主要的改變是ZFW的配置命令使用了MQC命令格式。可使用更靈活的方式來定義ZFW的策略。

      ZFW的策略規定以下：

            在爲接口指定區域以前，必須先配置這個區域。

            一個接口只能被指定到一個區域內。

            當一個接口被指定了一個區域後，除了在相同的區域內從這個接口始發終結的流量，以及從該接口到其餘本路由器接口的流量，默認容許轉發外，其餘關於這個接口的流量都隱式的拒絕。

            相同區域成員間的流量，默認轉發

            若是要求流量從其餘區域來或者到其餘區域去，那麼必須配置再要通訊的區域間容許策略或者審查策略。

            自身區域是惟一一個默認策略不是DENY的區域。從自身區域到任何區域的流量都是默認容許的，除非明確的配置了拒絕語句。

            流量不能在一個設置了區域成員的接口和一個沒有加入區域的接口間轉發。pass，inspect和drop行爲只能在兩個區域之間進行配置。

            一個沒有加入任何區域的接口是可使用CBAC特性的。

            根據上面所提到的相關問題，咱們能夠知道，若是流量要在這個路由器的全部接口間轉發，那麼全部的接口都必須是區域的成員。

            惟一一個例外是，到達或者從這個路由器始發的流量默認狀況下是容許的（默認狀況下路由器的自身接口屬於self區域）。若是要限制這樣的流量，則須要配置明確的限制策略。

      ZFP策略包括三種：pass，deny，intercept。Drop是默認行爲，intercept是指對流量進行審查，返回流量經過查看路由器的session表來決定是否容許進入。PASS行爲不會跟蹤鏈接的狀態或者是流量的session。而且PASS策略只能容許單方向的流量經過。必須定義一個相對應返回流量的策略來容許返回流量進入。

      同時ZFP對與×××流量也進行了特別的定義，當×××配置之後，路由器動態的生成一個名叫VTI的接口（virtual tunnel interface），若是咱們須要對×××流量進行bypass或者是審查時，咱們能夠經過將VTI接口加入不一樣的區域來進行區分。

 

試驗例子：

      本拓撲中主要分爲如下兩個區域，Private和Internet區域，在本例中咱們配置了從Private區域到Internet區域的策略。

interface Ethernet0/1
zone−member clients

interface Ethernet0/2
zone−member servers

interface BVI1
zone−member private

interface fastethernet0/3
zone−member security internet

class−map type inspect match−any internet−traffic−class
match protocol http
match protocol https
match protocol dns
match protocol icmp

policy−map type inspect private−internet−policy
class type inspect internet−traffic−class
inspect

zone−pair security private−internet source private destination internet
service−policy type inspect private−internet−policy

到這裏基本的配置就完成了,咱們能夠經過show policy−map type inspect zone−pair和show policy−map type inspect zone−pair session命令來查看ZFP的工做狀態，經過show zone security <zone-name>來查看區域的相關信息。

對於更深層次的審查，例如HTTP的url，TCP的性能調整，×××的審查，各位能夠自行進行測試。