Zone-Based Policy Firewall – Part 3

CLI kullanarak Zone-Based Firewall Yapılandırması

1- zone security komutu ile firewall için gerekli zone’lar yaratılır.

2- class-map type inspect komutu ile trafik sınıfları tanımlanır.

3- policy-map type inspect komutu ile firewall policyleri belirlenir.

4- zone-pair security komutu ile kaynak ve hedef zone çiftlerine belirlenen policyler uygulanır.

5- zone-member security komutu ile router interfaceleri zone’lara atanır.

CLI ile ZPF yapılandırırken dikkat edilmesi gerekenler:

-Sadece type inspect komutu ile tanımlanmış policy map’ler zone-pair security komutu ile kullanılabilir.
type inspect policy map’ler sadece type inspect ile tanımlanmış class map’ler ile kullanılabilir.
-Aynı isimde bir QoS class map ve inspect class map olamaz.
-Bir zone, zone-member security interface configuration komutu ile kullanılmadan önce zone security global configuration mode komutu ile oluşturulmalıdır.
-Bir interface birden çok zone’a atanamaz.
-Zone-based policy firewall CBAC yerine getirilen bir yeniliktir. ZPF devreye almadan önce CBAC kullanılıyorsa interface configuration komutu olan ip inspect kaldırımalıdır ve zone-member security komutu ile ZPF devreye alınmalıdır.
– Bir router’da ZPF ve CBAC aynı interface’lerde kullanılmamak koşulu ile beraber kullanılabilir. Herhangi bir security zone’una üye olmayan interface’lerde ip inspect komutu ile CBAC devreye alınır.
-Belirli bir zone’a ait bir interface ve herhangi bir zone’a atanmamış bir interface arasında trafik akışı olmaz. Bu nedenle zone-member interface configuration komutu kullanımı sırasında verilen hizmetlerde geçici bir kesinti yaşanır.
-Varsayılanda zone’lar arası trafik akışına zone-pair komutu ile zone çiftleri tanımlanmadıkça izin verilmez.
-Router hiçbir zaman aynı zone’a üye interface’ler arasındaki trafiği filtrelemez.
-Zone-member komutu router’in kendisini korumaz. Yani router’a gelen ve router kaynaklı trafik etkilenmez. Öntanımlı gelen self zone ile zone pair’ları oluşturularak gerekli önlem alınabilir.

CBAC dinamik olarak ip inspect komutu uygulanan interface’lerdeki ACL’lerde ilgili değişikliklerin gerektirdiği satırları yaratır. ZPF ACL’lerde herhangi bir değişiklik yapmaz. Bu nedenle zone-member komutu girilmeden önce interface’deki ACL kullanımı gözden geçirilmelidir.

1) Zone’ların Yaratılması

Network yöneticisi firewall için gerekli zone’ları zone security komutu ile yaratır. İsteğe bağlı olan description kullanılması tavsiye edilir.

Router(config)# zone security zone-name
Router(config-sec-zone)# description line-of-description

2) Trafik Sınıflarının Tanımlanması

ZPF trafik sınıflarının tanımlanması aşağıdaki gibidir.

Router(config)# class-map type inspect [match-any | match-all] class-map-name

3. ve 4. katman, top-level class map, için match-any seçeneği varsayılandır.

Router(config)# class-map type inspect protocol-name [match-any | match-all] class-map-name

7. katman, application-specific class map, ise yukarıdaki gibi tanımlanır.

Class map configuration mode’da istenilen ACL’lerin kullanılması ise aşağıdaki komutla sağlanır.

Router(config-cmap)# match access-group {access-group | name access-group-name}

Class map içinde protokollerin eşleştirilmesinde aşağıdaki komut kullanılır.

Router(config-cmap)# match protocol protocol-name

Yine class map configuration mode’da başka bir class map’in referans alınması ise aşağıdaki komutla sağlanır.

Router(config-cmap)# match class-map class-map-name

ZPF’nin class map’lerin birbiri içinde(nested) kullanılarak hiyerarşik bir yapı oluşturabilme imkanı sunması Cisco IOS Firewall’ların oluşturulması açısından önemli bir güçtür.

3) Firewall Policy’lerinin Belirlenmesi

Network yöneticisinin istenilen class’lar ile eşleşen trafiğin nasıl ele alınacağını belirlemesi gerekir. Seçenekler pass, inspect, drop ve police’dir.

ZFP policy map’lerinin oluşturulması için aşağıdaki komut kullanılır.

Router(config)# policy-map type inspect policy-map-name

Firewall’un ilgili class’larla eşleşen trafik için sergileyeceği davranışı tanımlamak için öncelikle policy-map configuration mode’dayken aşağıdaki komut girilerek ilgili class belirtilir.

Router(config-pmap)# class type inspect class-name

Default class (class’lar ile tanımlanan trafiğin dışında kalan tüm trafik) ise aşağıdaki gibi belirtilir.

Router(config-pmap)# class class-default

Son olarak ilgili trafiğin nasıl ele alınacağı belirtilir.

Router(config-pmap-c)# pass | inspect | drop [log] | police

4) Firewall Policy’lerinin uygulanması

Firewall policy yapılandırması tamamlandıktan sonra zone çiftleri arasındaki trafiğe ilgili policy zone-pair security komutu kullanılarak uygulanır. Bu işlem, kaynak zone, hedef zone ve bu zone’lar arasındaki trafiği ele alıcak policy’nin belirtilmesini kapsar.

Öncelikle zone çiftleri tanımlanır.

Router(config)# zone-pair security zone-pair-name [source source-zone-name | self] destination [self | destination-zone-name]

Daha sonra yukarıdaki gibi zone-pair security komutu girildikten sonra ilgili zone çiftleri için service-policy type inspect policy-map-name komutu ile istenilen policy ve onun yaptırımları bir önceki adımda belirtilen zone çiftine uygulanmış olur.

Deep-packet inspection (top-level security policy’e 7 katman policy map dahil etmek) Cisco IOS Release 12.4(20)T ve sonrası IOS’larda aşağıdaki komut ile uygulanabilir.

Router(config-pmap-c)# service-policy {h323 | http | im | imap | p2p | pop3 | sip | smtp | sunrpc | urlfilter} policy-map

Policy-map, 3. ya da 4. katman top-level policy map içinde uygulanan 7. katman policy-map’in adıdır.

5) Interface’lerin Atanması

Son olarak ilgili interface’lerin zone-member interface configrutaion mode komutu ile uygun security zone’larına atanması gerekir.

Router(config-if)# zone-member security zone-name

zone-member security komutu uygulandığı interface’i belirtilen security zone’a dahil eder. Bir interface herhangi bir security zone’a dahil olduğu zaman o interface’e giren ve o interface’ten çıkan tüm trafik reddedilir(drop edilir). Router’a giren ya da router tarafından oluşturulan trafik bu durumun dışında kalır(predefined self zone). Bir zone’a üye olan bir interface trafik akışının sağlanması için ait olunan zone’un bir zone çifti ile tanımlanmış olması ve bu zone çifti için uygulanan policy’nin trafiğe izin veriyor(pass ya da inspect) olması gerekir.

ZFP yapılandırılması CLI ile yapılabildiği gibi Cisco SDM ile de yapılabilmektedir.

Sınmaz KETENCİ

Yazının tamamına PDF formatında erişmek için tıklayınız.

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir