Безопасность сети с Cisco Zone Bazed Firewall

Zone Based Firewall (ZBF) представляет собой современное ПО, которое работает на Cisco IOS. Данная программа отвечает за конфигурирование параметров доступа среди сетей. До использования данной программы фильтрация трафика осуществлялась через протоколы ACL и CBAC. Они использовались исключительно для физических интерфейсов, из-за чего случаются ошибки в гибкости и масштабе решения. 

Это связано с тем, что проходящий трафик, имеет одинаковые правила инспекции. Подобная модель создает препятствия в распознавании правил межсетевого экрана. Из-за нее также происходит путаница по части корректности использования правил межсетевого экранирования. В наибольшей степени это проявляется в случаях, когда данная политика обязана использоваться несколькими интерфейсами.


Ключевые особенности программы


Cisco ZFW отвечает за изменения конфигурации межсетевого экрана. Программа позволяет изменить устаревший интерфейс на обновленный, который является более гибким и безопасным.

Набор из нескольких интерфейсов формирует безопасную зону, в которой должен быть одинаковый уровень безопасности (уровень доверия). В дальнейшем настройка всех правил происходит исходя из наиболее эффективной работы между зонами. Это упрощает дальнейшие настройки экрана. Помимо этого, в политике ZBFприменяется CPL, что дает более гибко настраивать параметры межсетевого трафика.


Особенности безопасности 


Зона формирует области безопасности для сети. Зона позволяет установить ту границу, после перехода которой трафик будет ограничен, если он уйдет в иную зону.

Первоначально, трафик нельзя использовать среди разных зон и может использоваться в одной из них. Трафик среди интерфейсов разных зон строго запрещается. К интерфейсу можно использовать правила ACL и CBAC.

На маршрутизаторах имеется зона, где действуют стандартные параметры. Она называется self-зона. В нее включены все IP-адреса маршрутизатора. Трафик среди этих зон возможен в стандартных настройках. Однако, данные параметры можно легко изменить. 

Если вы хотите использовать политику к трафику, проходящим между зонами, то стоит знать ключевое правило: политики касаются зоновой пары. В то же время пары {A,B} отличаются от {B,A}. Первая является областью источником, а вторая – областью назначения. Если вы используете правила экранирования между сетями к паре, то она используется к трафику от источника к назначению.


Важные детали для использования Cisco ZBF


Интерфейсы, принадлежащие зонам, подчиняются перечню правил, которые регулируют действия интерфейса во время движения трафика:

·      До назначения интерфейсов области безопасности, она обязана быть сконфигурирована.

·      Интерфейс назначается лишь для одной зоны.

·      Интерфейсы вне зависимости от их количества могут принадлежать одной зоне.

·      В областях зоны полный трафик разрешается.

·      Стандартная политика среди зон deny any any.

·      Сгенерированный или первоначальный трафик для маршрутизатора первоначально разрешен.

·      Запрещен трафик среди интерфейсов, которые находятся в разных зонах.

·      Интерфейсы, работающие как стандартные порты маршрутизатора, имеют возможность применить CBAC. 


Индивидуальная консультация!
Дадим рекомендации, а так же подберем оптимальный вариант под Ваш запрос.