CCIE技术分享————Cisco IOS Zone Based Policy Firewall

lgw5821228 · 发表于 2011-9-25 11:34:47

近期CCIE R&S LAB考试中TS部分又有新的考点出现，现在与大家分享一下。
这个技术叫做Zone-Based Policy Firewall，是应用思科IOS中的特性功能用软件来实现如同硬件防火墙一样的功能。
Zone-Based Policy Firewall可以对所有的数据进行过滤，下面我们通过配置来说明它的实现机理。

首先，我们为要做Zone-Based Policy Firewall的路由器配置上两个域，它们的作用类似于防火墙中的outside和inside。
zone security OUTSIDE
zone security INSIDE
接着，就像在防火墙中一样，将内部信任接口划入到INSIDE域，外部不信任接口放入OUTSIDE域。

interface FastEthernet0
zone-member security OUTSIDE
interface FastEthernet1
zone-member security INSIDE

接下来，我们利用CBAC来定义允许的数据流
class-map type inspect match-any INSIDE-TO-OUTSIDE
match protocol telnet
在这里，我们匹配所有的TELNET协议的数据。
之后来选择对数据的处理
policy-map type inspect INSIDE-TO-OUTSIDE
class type inspect INSIDE-TO-OUTSIDE
inspect （在这里有两个选择，如果是INSPECT，则所被放行的数据在回包时也会被允许通过，而若只使用PASS，则只有单向会被方向）
class class-default
drop
我们对匹配的的数据进行检测放行，而其余的直接进行丢弃动作。

在定义完成后，我们要应用这些定义，命令如下
zone-pair security INSIDE-TO-OUTSIDE source INSIDE destination OUTSIDE
service-policy type inspect INSIDE-TO-OUTSIDE
利用zone-pair来定义流量的走向，之后将其应用。

Zone-Based Policy Firewall也支持对单一流量或路由条目进行过滤，
首先使用扩展的访问控制列表对流量进行定义
ip access-list extended INSIDE-TO-OUTSIDE
deny icmp host 10.13.13.13 any echo
permit icmp any any echo

接着将其添加入刚才使用的class-map中
class-map type inspect match-any INSIDE-TO-OUTSIDE
match protocol telnet (<--- Already there!)
match access-group name INSIDE-TO-OUTSIDE
这样就完成了对来自10.13.13.13这个主机的PING数据包的阻止操作。

该贴已经同步到 lgw5821228的微博

明天¤晴天℃ · 发表于 2011-9-25 14:35:34

谢谢楼主分享

王晓强 · 发表于 2011-9-25 23:20:47

基于IOS的firewall~
不错的分享~

joely · 发表于 2011-9-26 15:44:24

好东西啊，支持一下

roy · 发表于 2011-9-26 16:12:28

准备IE LAB考试的童鞋们，幸福了。

zhangaxyoyo · 发表于 2011-9-29 09:51:30

zhangaxyoyo · 发表于 2011-9-29 09:51:55

谢谢LZ 很不错的分享咯~

账号		自动登录	找回密码
密码			立即注册