Please enable JavaScript.
Coggle requires JavaScript to display documents.
firewalls de politica basados en zonas - Coggle Diagram
firewalls de politica basados en zonas
Funcionamiento del ZPF
Acciones de ZPF
Las políticas identifican las acciones que ZPF realizará en el tráfico de red. Se pueden configurar tres acciones posibles para procesar el tráfico por protocolo, zonas de origen y destino (pares de zonas) y otros criterios.
Inspecciona - Realiza la inspección de paquetes de Cisco IOS stateful.
Descart - Esto es análogo a una declaración Denegar en una ACL. Hay disponible una opción log para registrar los paquetes rechazados.
Pasa - Esto es análogo a una declaración permitir en una ACL. La acción Pasa no realiza un seguimiento del estado de las conexiones o sesiones dentro del tráfico.
Visión general de ZPF
Beneficios de un ZPF
Hay dos modelos de configuración para Cisco IOS Firewall:
Classic Firewall - El modelo de configuración tradicional en el que la política de firewall se aplica en las interfaces.
Zone-based Policy Firewall (ZPF) - El modelo de configuración en el que las interfaces se asignan a zonas de seguridad, y la política de firewall se aplica al tráfico que se mueve entre las zonas.
Si se añade una interfaz adicional a la zona privada, los hosts conectados a la nueva interfaz en la zona privada pueden pasar tráfico a todos los hosts de la interfaz existente en la misma zona. En la figura se muestra una red simple de tres zonas.
Configurar un ZPF
Configurar un ZPF
Paso 1: Cree las zonas.
En la topología de ejemplo tenemos dos interfaces, dos zonas y el tráfico fluyendo en una dirección. No se permitirá el tráfico proveniente de la zona pública. Cree las zonas privadas y públicas para el firewall con el comando de seguridad de zona, como se muestra aquí.
Paso 2: Identifique el tráfico con un mapa de clase.
El segundo paso es utilizar un mapa de clase para identificar el tráfico al que se aplicará una política. Una clase es una forma de identificar un conjunto de paquetes según su contenido mediante condiciones de “coincidencia”. Por lo general, define una clase para poder aplicar una acción al tráfico identificado que refleja una política. Una clase se define con mapas de clase.
Paso 3: Defina una acción con un mapa de políticas.
l tercer paso es utilizar un mapa de políticas para definir qué medidas se deben tomar para el tráfico que es miembro de una clase. El siguiente ejemplo muestra la sintaxis del comando para configurar un mapa de políticas. Una acción es una funcionalidad específica
Paso 4: Identifique un par de zonas y relaciónelo con un mapa de políticas.
El cuarto paso es identificar un par de zonas y asociar ese par de zonas a un mapa de políticas. El siguiente ejemplo muestra la sintaxis del comando. Cree un par de zonas con el comando de seguridad zone-pair. Luego use el comando service-policy type inspect para adjuntar un mapa de políticas y su acción asociada al par de zonas.
Paso 5: Asigne zonas a las interfaces correspondientes.
El quinto paso es asignar zonas a las interfaces correspondientes. La asociación de una zona a una interfaz aplicará inmediatamente la política de servicio asociada a la zona. Si aún no se configura una política de servicio para la zona, se descartará todo el tráfico de tránsito. Utilice el comando zone-member security para asignar una zona a una interfaz, como se muestra en el ejemplo a continuación.
Verificar la configuración de un ZPF
Verifique la configuración de ZPF viendo la configuración en ejecución. Observe que el mapa de clase aparece primero. Luego, el mapa de políticas hace uso del mapa de clases. Además, fíjese en la clase resaltada class-default que dejará caer todo el resto del tráfico que no sea miembro de la clase HTTP-TRAFFIC.
Consideraciones sobre la configuración de un ZPF
Al configurar un ZPF con la CLI, hay varios factores a tener en cuenta:
El router nunca filtra el tráfico entre las interfaces en la misma zona.
Una interfaz no puede pertenecer a varias zonas. Para crear una unión de zonas de seguridad, especifique una nueva zona y un mapa de políticas y pares de zonas adecuados.
ZPF puede coexistir con un firewall clásico, aunque no se pueden utilizar en la misma interfaz. Elimine el comando de configuración de la interfaz ip inspect antes de aplicar el comando de seguridad zone-member.
El tráfico nunca puede fluir entre una interfaz asignada a una zona y una interfaz que no ha sido asignada a una zona. La aplicación del comando de configuración zone-member siempre da como resultado una interrupción temporal del servicio hasta que el otro miembro de zona esté configurado.
La política predeterminada entre zonas es descartar todo el tráfico, a menos que la política de servicio configurada específicamente para el par de zonas lo permita.
El comando zone-member no protege el router en sí (el tráfico hacia y desde el router no se ve afectado) a menos que los pares de zona se configuren con la zona automática predefinida.