Создание зоны
host(config)# zone security ZONE_NAME
Правила
- зона должна быть сконфигурирована до того как интерфейс будет включён в неё.
- интерфейс может быть привязан только к одной зоне безопасности.
- весь трафик в и из данного интерфейса по умолчанию блокируется когда интерфейс привязывается к зоне, исключая трафик из и в другие интерфейсы, находящиеся в той же зоне и трафик к любому интерфейсу роутера.
- по умолчанию весь трафик между интерфейсами, находящимися в одной зоне, разрешён.
- для того чтобы разрешить трафик в и из интерфейса принадлежащего зоне, политика разрешающая или проверяющая должна быть сконфигурирована между этой зоной и любой другой зоной.
- собственная зона (self zone) является единственным исключением для запрещающей всё политике по умолчанию. Весь трафик к любому интерфейсу роутера разрешён пока он не будет явно запрещён.
- трафик не может перемещаться между интерфейсом, принадлежащим какой-либо зоне и любым интерфейсом, не являющимся членом зоны. Действия пропустить, проверять или отбросить могут быть применены только между двумя зонами.
- интерфейсы, которые не привязали к зоне, функционируют как обычные интерфейсы маршрутизатора и могут использовать классическую проверку состояния/конфигурацию CBAC
- если требуется, чтобы не был частью политики зоны/фаирвола, то всё равно необходимо поместить этот интерфейс в зону и сконфигурировать политику , которая будет разрешать весь трафик между этой зоной и любой другой зоной, в которую хочется перемещать трафик.
- из вышесказанного следует, что если трафик перемещается между всеми интерфейсами в роутере, то все интерфейсы должны быть частью модели зонирования (каждый интерфейс должен быть членом той или иной зоны).
- единственное исключение из предыдущего подхода по умолчанию отбрасывать трафик является входящий и исходящий трафик маршрутизатора, который разрешён по умолчанию. Для ограничения такого трафика надо явно задать политику.
Посмотреть сконфигурированные зоны и их привязку к интерфейсам
host# show zone security [ZONE_NAME]
Политика доступа для зоны SELF по умолчанию
| интерфейс источник член зоны? |
интерфейс приёмник член зоны? |
пара для зон существует? |
политика существует? |
результат |
|---|---|---|---|---|
| SELF | да | нет | - | разрешить |
| SELF | да | да | нет | разрешить |
| SELF | да | да | да | применить действия политики |
| да | SELF | нет | - | разрешить |
| да | SELF | да | нет | разрешить |
| да | SELF | да | да | применить действия политики |
Поддержите проект, если он помог вам
Проект продвигается за счёт личных средств и времени авторского коллектива. Если вы нашли здесь то, что искали, то вы можете выразить свою благодарность финансово. Даже небольшой платёж помогает авторам в их труде, сохраняя их вовлечённость и высокую мотивацию чтобы строить открытый мир равных возможностей для всех неравнодушных людей вокруг.