传统IOS FW的一些问题
- 通过运用很多监控策略和ACL到不同的接口,来控制穿越多个接口之间的流量是很困难的!
- 监控策略对流量的控制粒度很差
- 策略不能够使用ACL运用到特定主机或者子网。所有进入给定接口的所有流量都会被运用相同的监控策略
- 传统状态监控策略很严重的依赖ACLS
Zone-Base Policy Firewall介绍
- ZBF是一种功能,它允许一个路由器在区域 (即安全域))之间来充当一个状态化防火墙
- 一个ZBF的区域,是通过一个或多个路由器接口抵达的一系列网络。
- ZBF允许你配置 每一个zone对之间的访问控制规则
特性:
- 一个接口只能属于一个zone
- 一个zone可以有多个接口
- 没有zone的接口可以正常通信
- zone接口和非zone接口无法通信
- 相同zone的接口可以自由通信
配置Zone-Based Policy防火墙步骤
1. Identify interfaces that share the same function security and group them into the same security zones.(确定拥有相同安全功能的接口,并且把他们放入相同的security zones内)
2. Determine the required traffic flow between zones in both directions.(决定在zone间双向需要穿越的流量)
3. Set up zones.(配置zones)
4. Set up zone pairs for any policy other than deny all.(配置zone pairs,如果某一个方向没有任何流量需要放行就不用配置了)
5. Define class maps to describe traffic between zones.(定义class maps匹配zones间流量)
6. Associate class maps with policy maps to define actions applied to specific policies.(配置policy maps关联class maps匹配的流量,并且运用适当的actions)
7. Assign policy maps to zone pairs.(在zone pairs指派policy maps)
Zone-Based Policy Actions
1.lnspect进行状态化监控
2.Drop丢弃相应流量
3.Pass允许相应流量(不进行状态化监控)
4.Police对相应流量执行限速
5.Service-policyDPI(执行深度应用层控制)
Class-map介绍
Class maps可以基于描述 (类型)和流量组进行分类
基于一个或多个条件匹配
能基于ACL,PAM协议或其他clasSmap匹配
条件之间可以使用OR(默认),AND和NOT操作符
Policy-map介绍
Policymaps决定防火墙策略应用到哪一个class
可以使用允许,拒绝,日志消息或特殊行为
按照Class-Map进行评估
一个policymap被运用到每一个zonepair上
默认zone间策略
监控计时器
- 会话通常在连接表项中被删除,基于TCP连接关闭事件(FIN,RST)或闲置超时 (UDP,DNS,Ping)
- 连接表项基于额外的超时时间,对TCP连接执行资源回收。
- 对于特殊的应用程序,这些时间或许过于激进。可以全局调整它们的超时时间,推荐根据源目对儿进行调整。
1.创建监控类型参数MAP
parameter-map type inspect Outbound.params
audit-trail on(激活审计功能)
tcp idle-time 7200
tcp finwait-time 30
tcp synwait-time 10
sessions maximum 500
2.应用监控类型参数MAP到ClasS,并使用inspect行为。
policy-map type inspect In-to-Out.policy
class type inspect In-to-Out.protocol
inspect Outbound.params
3.全局配置“out-of-order”类型的参数MAP
parameter-map type ooo global
tcp reassembly timeout 3
tcp reassembly queue length 50
tcp reassembly alarm on
Intrazone访问控制
- 在15.0(1)M之前,,区域内流量是允许通讯并不做监控的。
- 15.0(1)M开始,可以监控相同区域内接口之间的流量(换句话说,可以做策略了)
- 默认情况下,所有intrazone的流量是允许互访的。
- 使用一个zone pair,并且具有相同的源和目的区域。
4.定义IPACL,匹配主机间的Telnet/SSH流量
ip access-list extended Intrazone.traffic
permit tcp host 172.16.1.1 host 10.1.1.1 eq telnet
permit tcp host 10.1.1.1 host 172.16.1.1 eq 22
5.创建监控类型的class-map,调用IPACL。
class-map type inspect match-all Intrazone.class
match access-group name Intrazone.traffic
6.创建监控类型的policy-map,调用class-map,并做相应的行为。
policy-map type inspect Intrazone.policy
class type inspect Intrazone.class
inspect
class class-default
drop log
7.在zone pair中,调用policy-map。
zone-pair jsecurity Intrazone source Inside destination Inside
service-policy type inspect Intrazone.policy
Self Zone监控
Self Zone是一个特殊的区域
- 代表路由器的控制和管理层面
- 用于控制抵达路由器自身的流量和源自于路由器(自身发起)的流量
- Zone-basePolicy Firewall同样能够状态化追踪这些会话
限制:
1.tcp、udp、icmp、h.232可以
2.7层得inspect 不行
3.限速、参数map 不行
