Zone-Based Policy Firewall – Part 2

Zone-Based Policy Firewall Çalışma Yapısı

Cisco IOS zone-based policy firewall Cisco SDM kullanılarak yapılandırıldığı zaman 3 farklı davranış sergiler:

Inspect: Cisco IOS stateful packet inspection’ı yapılandırır. Bu davranış CBAC ip inspect komutuna karşılık gelir. Dönüş trafiğine ve olası ICMP mesajlarına otomatik olarak izin verir. FTP ya da H.323 gibi birden çok paralel veri ve sinyalizasyon oturumuna ihtiyaç duyan protokoller için gerekli oturum kurulumu işlemlerini yapar.

Drop: ACL’deki deny ifadesi ile benzer işleve sahiptir. İstenmesi halinde reddedilen paketlerin loglanmasını sağlayan log seçeneği vardır.

Pass: ACL’deki permit ifadesi ile benzer işleve sahiptir. Pass davranışı trafiğin içerdiği bağlantı ya da oturumun durumunu incelemez. Sadece tek bir yönde bağlantıya izin verir. Dönüş trafiğine izin verilmesi için diğer yönde de ilgili kural uygulanmalıdır.

Belirli bir class’ın trafiğine rate limit(bandwitdh

sınırlaması) uygulanmak istenirse inspect ya da pass komutunun yanında police komutu da kullanılmalıdır.

Router’ın network interface’lerinin zone’lara ait olması belli kuralara tabidir, zone interface’leri arasında akan trafik aşağıdaki kurallara uymalıdır.

-Network yöneticisi interfaceleri bir zone’a atamadan önce o zone yaratılmalıdır.
-Eğer router’ın tüm interface’lerinden trafik akacak ise her interface bir zone’a atanmalıdır.
-Bir interface sadece bir güvenlik zone’una atanabilir.
-Aynı zone üyesi olan interfaceler arasındaki trafik akışına zımmen(implicitly) izin verilmiştir. Haricen izin verilmesine gerek yoktur.
-Bir zone’a giren ya da çıkan trafiğe izin vermek için o zone ve diğer zone’lar arasında izin veren ya da inspect eden bir policy yapılandırılmalıdır.
– Bir zone’a ait bir interface ve herhangi bir zone’a ait olmayan bir interface arasında trafik akışı olmaz. Network yöneticisi sadece iki zone arasında pass, inspect ve drop davranışlarından birini seçebilir.
-Herhangi bir zone ‘a atanmamış interfaceler CBAC stateful packet inspection kullanabilir.

Kaynak Interface Zone’a üye mi? Hedef Interface Zone’a üye mi? Zone-pair tanımlı mı? Policy tanımlı mı? Sonuç
Evet (zone IC) Evet (zone IC) n/a* n/a PASS
Evet Hayır n/a n/a DROP
Hayır Evet n/a n/a DROP
Evet (zone IC) Evet (zone DIS) Hayır n/a DROP
Evet (zone IC) Evet (zone DIS) Evet Hayır DROP
Evet (zone IC) Evet (zone DIS) Evet Evet Policy yaptırımları

*Zone-pair farklı kaynak ve hedef zone’lardan oluşmalıdır.

Router’ın interface’lerinden biri bir zone’a atandığı zaman o interface’e bağlı kullanıcılar da zone’a dahil olurlar fakat bu zone’lar router’in interface’lerinin kaynak ya da hedef olduğu trafiği etkilemezler. Bunun yerine router’in tüm IP interface’leri otomatik olarak self-zone şeklinde adlandırılan zone’a dahildir. Farklı zone’lardan router’ın IP adreslerine gelen trafik için policy uygulanarak kısıtlama getirilmelidir. Policy’ler, diğer zone’lar ve self-zone arasındaki trafiğin engellenmesi(block), izin verilmesi(allow), incelenmesi(inspect) şeklinde yapılandırılabilir. Eğer self-zone ve diğer zone’lar arasında bir policy uygulanmamışsa tüm trafiğe izin verilir.

Self-zone, kaynak ya da hedef zone olarak kullanılması ile policy tanımlanabilir. Self-zone sistem-tanımlıdır yani interfacelerin self-zone’a atanması söz konusu değildir. Self-zone içeren zone çiftleri router’a gelen ya da router’ın yarattığı trafiğe etki eder, yönlendirilen trafiğe etki etmez.

Bir interface bir zone’a dahil edildiği zaman o interface’e gelen ve o interface’ten giden tüm trafik router tarafından bloklanmış (implicitly blocked) olur. Sadece aynı zone’a ait interface’ler arasındaki trafik ve router’in interface’lerine hedefli trafiğe izin vardır.

ZPF devreye alındığı zaman router’ın tüm interface’leri otomatik olarak self-zone’a dahil olur. Self zone varsayılan deny all policy dışında kalan tek zone’dur. Aksi tanımlanmadıkça herhangi bir router IP interface’ine gelen tüm trafiğe izin verilir.

Kaynak Interface Zone’a üye mi? Hedef Interface Zone’a üye mi? Zone-pair tanımlı mı? Policy tanımlı mı? Sonuç
Router Evet Hayır n/a PASS
Router Evet Evet Hayır PASS
Router Evet Evet Evet Policy yaptırımları
Evet Router Hayır n/a DROP
Evet Router Evet Hayır DROP
Evet Router Evet Evet Policy yaptırımları
Kaynak Interface Zone’a üye mi? Kaynak Interface Zone’a üye mi? Zone-pair tanımlı mı? Policy tanımlı mı? Sonuç
Evet (zone IC) Evet (zone IC) n/a* n/a PASS
Evet Hayır n/a n/a DROP
Hayır Evet n/a n/a DROP
Evet (zone IC) Evet (zone DIS) hayır n/a DROP
Evet (zone IC) Evet (zone DIS) Evet Hayır DROP
Evet (zone IC) Evet (zone DIS) Evet Hayır policy yaptırımları

Sınmaz KETENCİ

Yazının tamamına PDF formatında erişmek için tıklayınız.

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir