ZBF(Zone Based Firewall)

ZPF'leri tasarlamak birkaç adımı içerir:

Adım 1 . Zone alanlarını belirleyin. Zone, trafiğin ağın başka bir bölgesine geçerken politika kısıtlamalarına tabi olduğu bir sınırı tanımlar.

Adım 2 . Zone alanları arasında politikalar(policy) oluşturun. Kaynak zone'daki istemcilerin hedef zonedakid sunuculardan isteyebileceği oturumları tanımlayın.

Adım 3 . Fiziksel altyapıyı tasarlayın. Bu, en güvenli ve en az güvenli bölgeler arasındaki aygıt sayısı ve yedek aygıtların belirlenmesini içerir.

Adım 4 . Zone içindeki alt kümeleri belirleyin ve trafik gereksinimlerini birleştirin.

ZPF Eylemleri

Inspect : Belirli bir trafik gittiğinde,ağından çıktığında gelecek olan trafik onun cevabı niteliğindeyse geçmesini izin ver. Yani çıkan trafik önce incelenir. Ardından o doğrultuda trafiği izin verilip verilmeyeceği kontrol edilmiş olur.

Drop: ACL'deki Deny benzetebiliri. Trafik geçmesi. Log anahtar kelimesi ile de kullanabiliriz. Hangi paketlerin,Zone'lar arasında ne tür trafiklerin drop edildiğini loglayabiliyoruz.

Pass: ACL'deki Permit benzetebiliriz. Trafik geçsin

İnterfaceleri Zone gruplarına üye yaparız. Sonra Zone Pair'lar oluştururuz ve Zone çiftleri arasında da Policy'lerimizi uygularız.

Self Zone

Yönlendiricinin kendisidir ve yönlendirici interfacesine atanan tüm IP adreslerini içerir. Bu, yönlendiriciden kaynaklanan veya bir yönlendirici interfacesine yönlendirilen trafiktir.

Kurallar, tabloda gösterildiği gibi, yönlendiricinin trafiğin kaynağı mı yoksa hedefi mi olduğuna bağlıdır.

Router'dan kaynaklı bir trafik bir yere gidiyorsa ya da bir trafik routera geliyorsa bu durumda policyler varsa paketler inspect edilir.

ZPF Konfigurasyonu

Adım 1: Zone oluşturun.

Adım 2: Ne tür trafikleri tanımlayacağımı belirtiriz. (Class-Map). Bizim için önemli trafikleri class-map ile tanımlarız.

Adım 3: Policy-Map uygulanır. Yani politika uygulanır. Bu trafiğe ne yapmak istiyorsak. Drop,Inspect,Pass

Adım 4: Zone-Pair oluşturulur. Nereden nereye (Destination ve Source) ve Policy Map oraya uygulayacağız.

Adım 5: Hangi interface hangi zone'da olacak.

Zone Oluşturma

Trafiği Tanımlama

Class map oluşturduktan sonra ne tür bir trafik tanımlayacağımızı yazıyoruz.

İlişkilendirme yapıyoruz. Bunlar ACL,Protokol veya başka bir Class-Map olabilir.

Eylem Tanımlama

Action oluşturma. Örnek olarak ben bir class-map oluşturdum. Bunu bir ACL ile ilişkilendirdim ya da bir protokol ile ilişkilendirdim. Şimdi onun üzeriden uygulayacağım Aksiyon nedir.

Zone Pair(Çifti) Belirleyin ve Bir Policy ile Eşleştirin

Oluşturmuş olduğum kuralı. Policy Map'i burada uygulayacağım.

Interfacelere Zone Atama

Üye yapıyoruz sonrasında interface altına atama yapıyoruz.

Doğrulama Yapma

show class-map type inspect show zone security show zone-pair security show policy-map type inspect

PreviousSNMPNextVPN

Last updated