- зона должна быть сконфигурирована до того как интерфейс будет включён в неё.
- интерфейс может быть привязан только к одной зоне безопасности.
- весь трафик в и из данного интерфейса по умолчанию блокируется когда интерфейс привязывается к зоне, исключая трафик из и в другие интерфейсы, находящиеся в той же зоне и трафик к любому интерфейсу роутера.
- по умолчанию весь трафик между интерфейсами, находящимися в одной зоне, разрешён.
- для того чтобы разрешить трафик в и из интерфейса принадлежащего зоне, политика разрешающая или проверяющая должна быть сконфигурирована между этой зоной и любой другой зоной.
- собственная зона (self zone) является единственным исключением для запрещающей всё политике по умолчанию. Весь трафик к любому интерфейсу роутера разрешён пока он не будет явно запрещён.
- трафик не может перемещаться между интерфейсом, принадлежащим какой-либо зоне и любым интерфейсом, не являющимся членом зоны. Действия пропустить, проверять или отбросить могут быть применены только между двумя зонами.
- интерфейсы, которые не привязали к зоне, функционируют как обычные интерфейсы маршрутизатора и могут использовать классическую проверку состояния/конфигурацию CBAC
- если требуется, чтобы не был частью политики зоны/фаирвола, то всё равно необходимо поместить этот интерфейс в зону и сконфигурировать политику , которая будет разрешать весь трафик между этой зоной и любой другой зоной, в которую хочется перемещать трафик.
- из вышесказанного следует, что если трафик перемещается между всеми интерфейсами в роутере, то все интерфейсы должны быть частью модели зонирования (каждый интерфейс должен быть членом той или иной зоны).
- единственное исключение из предыдущего подхода по умолчанию отбрасывать трафик является входящий и исходящий трафик маршрутизатора, который разрешён по умолчанию. Для ограничения такого трафика надо явно задать политику.
1. Определить зоны:
