ZFW(Zone-Based FirewWall) -> 존 기반 방화벽

ZFW(Zone-Based FirewWall) -> 존 기반 방화벽이란?

일반장비를 방화벽으로 만들어줄 수 있는 가장 강력한 패킷

 

존을 먼저 생성해야하고 어떤 존에 어떤 인터페이스가 소속이 되는지 설정해야한다.

 

---

R1

conf t
zone security inside
exit
zone security outside
exit
int f0/0	인터페이스 접속
zone-member security inside
int f0/1
zone-member security outside
sh zone security

 

R2에서 4.4.4.4(R4)로 핑을 때려보면 통신이 되지 않는다.

zone이 다르면 통신이 안된다는 뜻이다.

 

 

이제 outside에서 inside로 이어지는 트래픽을 설정해본다.

 

 

---

R1

zone-pair security in-out source inside destination outside	트래픽의 방향 지정 명령어
end
sh zone-pair security
	아직 service-policy가 적용되지 않음
conf t
ip access-list extended acltest
permit ip any any
exit
	트래픽 분류 명령어
class-map type inspect classtest	classtest라는 이름으로 확인하고 검사해라
match access-group name acltest	acltest 라는 이름이 acltest의 정책과 일치하는지
exit
policy-map type inspect policytest
class type inspect classtest	classtest라는 이름의 클래스라면 확인하고 검사해라
	갖가지 기능들이 있다.
exit	config 모드로
exit

zone-pair는 트래픽의 방향을 설정해둔 것이다. 근데 방금 설정된 것을 적용하게 되면 f0/1의 트래픽에서만 적용이 된다고 생각하면 된다.

 

---

정책 적용하기

zone-pair secuirty in-out
service-policy type inspect policytest	마지막엔 내가 지정한 정책 이름 즉 policytest라고 설정한 이 정책을 적용하겠다.

 

 

---

순서요약

-       zone 생성(zone 및 interface 설정)

-       zone pair 생성(제어하고자 하는 트래픽 방향)

-       트래픽 분류 지정(ACL, Class-map)

-       정책 설정(policy-map)

-       정책 적용(zone pair에 적용 {대상은 policy-map에서 설정한 이름})

 

 

---

테스트

R2

이제는 zone-fw를 설정했기 때문에 inside -> outside로 가는 것에 대해서 허용을 했기 때문에 핑이 잘 간다.

 

 

하지만 outside -> inside로 들어오는 트래픽들은 아직 허용이 안됐기 때문에 통신이 안된다.

 

 

R1

sh policy-map type inspect ?
sh policy-map type inspect policytest	마지막엔 내가 설정한 정책이름
sh policy-map type inspect zone-pair sessions	zone-pair 설정도 확인해볼 수 있다.

---

반대로 통신되게 하는 경우

반대로 통신 (4.4.4.4 -> 1.1.1.1)이 되게 하려면 zone-pair security 설정과정에서 inside와 outside를 바꿔 설정한 뒤 나머지 정책 적용 등을 해주면 통신이 되게 된다.