Tweet
Công nghệ Cisco IOS Firewall stateful inspection cổ điển (trước đây còn được gọi là Context-Based Access Control - CBAC) được triển khai trên các cổng giao tiếp interface-based configuration model, và chính sách stateful inspection policy sẽ được áp trực tiếp trên từng cổng giao tiếp interface. Và đặc điểm này cũng chính là bất lợi của công nghệ Stateful Inspection cổ điển trên Cisco IOS nếu như Router có nhiều cổng giao tiếp.
Zone-Based Policy Firewall (còn được gọi là Zone-Policy Firewall, hoặc ZFW) thay đổi cấu hình firewall configuration để quá trình triển khai chính sách Policy trở nên linh hoạt hơn và dễ quản lý hơn. Các Interfaces sẽ được gom vào các zones tương ứng, và chính sách giám sát lưu lượng inspection policy được áp lên lưu lượng dữ liệu traffic khi chúng di chuyển từ Zone này sang Zone khác. Các chính sách Inter-zone policies cung cấp sự linh hoạt trong quá trình triển khai các chính sách Policy dựa vào các Zone thay vì phải áp lên từng cổng giao tiếp của Cisco Router.
Cấu hình cơ bản trên Router IOS Firewall.
- Sau khi cấu hình xong thì PC1 có thể truy cập được tới Server và Internet.
Code:
hostname IOS_Firewall interface e0/1 ip address dhcp ip nat outside no cdp enable no shutdown exit ip route 0.0.0.0 0.0.0.0 dhcp interface e0/2 ip address 172.31.0.1 255.255.255.0 ip nat inside no shutdown exit interface e0/3 ip address 192.168.1.1 255.255.255.0 ip nat inside no shutdown exit ip nat inside source list 1 interface e0/1 overload access-list 1 permit 172.31.0.0 0.0.255.255 access-list 1 permit 192.168.1.0 0.0.0.255 line vty 0 4 privilege level 15 no login exit line con 0 exec-timeout 0 0 no logging synchronous exit no ip domain-lookup
- Sau khi cấu hình xong thì PC1 không thể truy cập được tới Server và Internet được nữa. Lúc này ta cần phải định nghĩa ra các Zone-Pair Security để cho phép PC1 có thể truy cập được tới Server và Internet.
- zone security Inside.Zone: Định nghĩa Zone có tên là Inside.Zone.
- zone-member security Inside.Zone: Gán Interface vào Security Zone có tên là Inside.Zone.
Code:
zone security Internet.Zone exit zone security DMZ.Zone exit zone security Inside.Zone exit interface e0/1 zone-member security Internet.Zone exit interface e0/2 zone security DMZ.Zone exit interface e0/3 zone-member security Inside.Zone exit
- class-map type inspect match-any Inside-to-DMZ-class: Định nghĩa Service sẽ được giám sát Inspect bởi Policy.
- policy-map type inspect Inside-to-DMZ-Policy: Định nghĩa Firewall Action tương ứng với traffic.
- zone-pair security Inside-to-DMZ source Inside.Zone destination DMZ.Zone: Định nghĩa Zone-Pair Security và áp Policy lên Zone-Pair.
Code:
ip access-list extended Inside-to-DMZ-ACL permit ip 192.168.1.0 0.0.0.255 172.31.0.0 0.0.0.255 exit class-map type inspect match-any Inside-to-DMZ-class match access-group name Inside-to-DMZ-ACL exit policy-map type inspect Inside-to-DMZ-Policy class type inspect Inside-to-DMZ-class inspect exit class class-default drop exit exit zone-pair security Inside-to-DMZ source Inside.Zone destination DMZ.Zone service-policy type inspect Inside-to-DMZ-Policy exit
Code:
ip access-list extended Inside-to-Internet-ACL permit ip 192.168.1.0 0.0.0.255 any exit class-map type inspect match-any Inside-to-Internet-class match access-group name Inside-to-Internet-ACL exit policy-map type inspect Inside-to-Internet-Policy class type inspect Inside-to-Internet-class inspect exit class class-default drop exit exit zone-pair security Inside-to-Internet source Inside.Zone destination Internet.Zone service-policy type inspect Inside-to-Internet-Policy exit
Code:
ip access-list extended DMZ-to-Internet-ACL permit ip 172.31.0.0 0.0.0.255 any exit class-map type inspect match-any DMZ-to-Internet-class match access-group name DMZ-to-Internet-ACL exit policy-map type inspect DMZ-to-Internet-Policy class type inspect DMZ-to-Internet-class inspect exit class class-default drop exit exit zone-pair security DMZ-to-Internet source DMZ.Zone destination Internet.Zone service-policy type inspect DMZ-to-Internet-Policy exit