Zone-Based Policy Firewall – Part 4

Örnek Konfigurasyon:

Aşağıdaki class-map’ler ile belirtilen protokollerden herhangi biri ile eşleşen trafik IC_policy’de tanımlanmış politikalara göre ele alınır. Class-map’ler tanımlanırken dikkat edilmesi gereken önemli bir nokta match-any ve match-all parametreleridir. Match-any ile tanımlanmış bir class-map’teki satırlardan herhangi birinin sağlanması durumunda policy’de o class için tanımlanmış davranış sergilenir. Match-all ile tanımlanmış bir class-map’te ise class-map’te belirtilen tüm satırların sağlanması gerekir. Buna göre 10.0.0.0/24 network’ünden yapılacak http, dns, telnet, https ve icmp istekleri inspect edilip içeriden dışarıya izin verilecek aynı zamanda geri dönüş trafiği için de ters yönde izinler belirlenip uygulanacaktır. Diğer yandan 10.0.0.0/24 network’ünden yapılacak ftp istekleri inspect edilip içeriden dışarıya izin verilecek aynı zamanda geri dönüş trafiği için de ters yönde izinler belirlenip uygulanacaktır. Bunun yanında ftp trafiği için 1 Mbps’lik bantgenişliği sınırlaması da uygulanacaktır.

Okumaya devam et “Zone-Based Policy Firewall – Part 4”

Zone-Based Policy Firewall – Part 3

CLI kullanarak Zone-Based Firewall Yapılandırması

1- zone security komutu ile firewall için gerekli zone’lar yaratılır.

2- class-map type inspect komutu ile trafik sınıfları tanımlanır.

3- policy-map type inspect komutu ile firewall policyleri belirlenir.

4- zone-pair security komutu ile kaynak ve hedef zone çiftlerine belirlenen policyler uygulanır.

5- zone-member security komutu ile router interfaceleri zone’lara atanır.

CLI ile ZPF yapılandırırken dikkat edilmesi gerekenler: Okumaya devam et “Zone-Based Policy Firewall – Part 3”

Zone-Based Policy Firewall – Part 2

Zone-Based Policy Firewall Çalışma Yapısı

Cisco IOS zone-based policy firewall Cisco SDM kullanılarak yapılandırıldığı zaman 3 farklı davranış sergiler:

Inspect: Cisco IOS stateful packet inspection’ı yapılandırır. Bu davranış CBAC ip inspect komutuna karşılık gelir. Dönüş trafiğine ve olası ICMP mesajlarına otomatik olarak izin verir. FTP ya da H.323 gibi birden çok paralel veri ve sinyalizasyon oturumuna ihtiyaç duyan protokoller için gerekli oturum kurulumu işlemlerini yapar.

Drop: ACL’deki deny ifadesi ile benzer işleve sahiptir. İstenmesi halinde reddedilen paketlerin loglanmasını sağlayan log seçeneği vardır.

Pass: ACL’deki permit ifadesi ile benzer işleve sahiptir. Pass davranışı trafiğin içerdiği bağlantı ya da oturumun durumunu incelemez. Sadece tek bir yönde bağlantıya izin verir. Dönüş trafiğine izin verilmesi için diğer yönde de ilgili kural uygulanmalıdır.

Belirli bir class’ın trafiğine rate limit(bandwitdh

sınırlaması) uygulanmak istenirse inspect ya da pass komutunun yanında police komutu da kullanılmalıdır. Okumaya devam et “Zone-Based Policy Firewall – Part 2”