Zone-Based Policy Firewall
- Création des zones
- Identification du trafic avec des
class-map
- Définition des actions avec les
policy-map
- Application de la
policy-map entre deux zones
- Assigner les zones au interfaces
Création des zones
FW1(config)# zone security <zone-name>
Identification du trafic avec les class-map
FW1(config)# class-map type inspect [match-any | match-all] <class-map-name>
| Parameter |
Description |
| match-any |
Les paquets doivent correspondre à l'un des critères pour être considérés comme membre de la class-map. |
| match-all |
Les paquets doivent correspondre à tous les critères pour être considérés comme membre de la class-map. |
| class-map-name |
Nom de la class-map. |
FW1(config-cmap)# match access-group {acl-# | <acl-name>}
FW1(config-cmap)# match protocol <protocol-name>
FW1(config-cmap)# match class-map <class-map-name>
| Parameter |
Description |
| match access-group |
Critères basée sur une ACL. |
| match protocol |
Critères basée sur le protocole spécifié. |
| match class-map |
Utilisation d'une class-map existante. |
Définition des actions avec le policy-map
FW1(config)# policy-map type inspect <policy-map-name>
FW1(config-pmap)# class type inspect <class-map-name>
FW1(config-pmap-c)# { inspect | drop | pass }
| Parameter |
Description |
| inspect |
Action de type statefull. Initialisation d'une entrée dans la table de session afin conserver les info des session TCP/UDP, et permet le trafic de retour. |
| drop |
Drop le trafic |
| pass |
Une action de type stateless qui permet au routeur de faire passer le trafic d'une zone à une autre |
Application de la policy-map entre deux zones
Router(config)# zone-pair security <zone-pair-name> source {<src-zone-name> | self} destination {<dst-zone-name> | self }
Router(config-sec-zone-pair)# service-policy type inspect <policy-map-name>
| Parameter |
Description |
| \<src-zone-name> |
Zone source |
| \<dst-zone-name> |
Zone destination |
| self |
Spécifie la zone définie par le système. Indique si le trafic va vers ou depuis le routeur lui-même. |
Assigner les zones au interfaces
FW1(config-if)# zone-member security <zone-name>
Exemple
FW1(config)# zone security PRIVATE
FW1(config)# zone security PUBLIC
FW1(config)#
FW1(config)# class-map type inspect match-any HTTP-TRAFFIC
FW1(config-cmap)# match protocol http
FW1(config-cmap)# match protocol https
FW1(config-cmap)# match protocol dns
FW1(config-cmap)# exit
FW1(config)#
FW1(config)# policy-map type inspect PRIV-TO-PUB-POLICY
FW1(config-pmap)# class type inspect HTTP-TRAFFIC
FW1(config-pmap-c)# inspect
FW1(config-pmap-c)# exit
FW1(config)#
FW1(config)# zone-pair security PRIV-PUB source PRIVATE destination PUBLIC
FW1(config-sec-zone-pair)# service-policy type inspect PRIV-TO-PUB-POLICY
FW1(config)#
FW1(config)# interface GigabitEthernet 0/0
FW1(config-if)# zone-member security PRIVATE
FW1(config)# interface Serial 0/0/0
FW1(config-if)# zone-member security PUBLIC
Vérification
Affichage de la configuration
show running-config | begin class-map
Liste des zones
show zone security
Liste des class-map
show class-map type inspect
Liste des policy-map
show policy-map type inspect
Liste des zone-pair
show zone-pair security
Inspection de la table de session
show policy-map type inspect zone-pair sessions