Создание зоны

Правила

• зона должна быть сконфигурирована до того как интерфейс будет включён в неё.
• интерфейс может быть привязан только к одной зоне безопасности.
• весь трафик в и из данного интерфейса по умолчанию блокируется когда интерфейс привязывается к зоне, исключая трафик из и в другие интерфейсы, находящиеся в той же зоне и трафик к любому интерфейсу роутера.
• по умолчанию весь трафик между интерфейсами, находящимися в одной зоне, разрешён.
• для того чтобы разрешить трафик в и из интерфейса принадлежащего зоне, политика разрешающая или проверяющая должна быть сконфигурирована между этой зоной и любой другой зоной.
• собственная зона (self zone) является единственным исключением для запрещающей всё политике по умолчанию. Весь трафик к любому интерфейсу роутера разрешён пока он не будет явно запрещён.
• трафик не может перемещаться между интерфейсом, принадлежащим какой-либо зоне и любым интерфейсом, не являющимся членом зоны. Действия пропустить, проверять или отбросить могут быть применены только между двумя зонами.
• интерфейсы, которые не привязали к зоне, функционируют как обычные интерфейсы маршрутизатора и могут использовать классическую проверку состояния/конфигурацию CBAC
• если требуется, чтобы не был частью политики зоны/фаирвола, то всё равно необходимо поместить этот интерфейс в зону и сконфигурировать политику , которая будет разрешать весь трафик между этой зоной и любой другой зоной, в которую хочется перемещать трафик.
• из вышесказанного следует, что если трафик перемещается между всеми интерфейсами в роутере, то все интерфейсы должны быть частью модели зонирования (каждый интерфейс должен быть членом той или иной зоны).
• единственное исключение из предыдущего подхода по умолчанию отбрасывать трафик является входящий и исходящий трафик маршрутизатора, который разрешён по умолчанию. Для ограничения такого трафика надо явно задать политику.

Посмотреть сконфигурированные зоны и их привязку к интерфейсам

Политика доступа для зоны SELF по умолчанию