Zone-Based Policy Firewall – Part 4

Örnek Konfigurasyon:

Aşağıdaki class-map’ler ile belirtilen protokollerden herhangi biri ile eşleşen trafik IC_policy’de tanımlanmış politikalara göre ele alınır. Class-map’ler tanımlanırken dikkat edilmesi gereken önemli bir nokta match-any ve match-all parametreleridir. Match-any ile tanımlanmış bir class-map’teki satırlardan herhangi birinin sağlanması durumunda policy’de o class için tanımlanmış davranış sergilenir. Match-all ile tanımlanmış bir class-map’te ise class-map’te belirtilen tüm satırların sağlanması gerekir. Buna göre 10.0.0.0/24 network’ünden yapılacak http, dns, telnet, https ve icmp istekleri inspect edilip içeriden dışarıya izin verilecek aynı zamanda geri dönüş trafiği için de ters yönde izinler belirlenip uygulanacaktır. Diğer yandan 10.0.0.0/24 network’ünden yapılacak ftp istekleri inspect edilip içeriden dışarıya izin verilecek aynı zamanda geri dönüş trafiği için de ters yönde izinler belirlenip uygulanacaktır. Bunun yanında ftp trafiği için 1 Mbps’lik bantgenişliği sınırlaması da uygulanacaktır.

class-map type inspect match-any IC_kaynak
match protocol http
match protocol dns
match protocol telnet
match protocol https
match protocol icmp
!
class-map type inspect match-all IC_ftp
match protocol ftp
!
policy-map type inspect IC_policy
class type inspect IC_kaynak
inspect
class type inspect IC_ftp
inspect
police rate 1024000 burst 32768
class class-default
drop
!
zone security IC
description IC_network
zone security DIS
description DIS_network
zone-pair security IC-DIS source IC destination DIS
description IC_ten_DIS_a_trafik
service-policy type inspect IC_policy
!
interface FastEthernet0/0
ip address 160.75.5.250 255.255.255.0
zone-member security DIS
!
interface FastEthernet0/1
ip address 10.0.0.254 255.255.255.0
zone-member security IC

Zone-Based Policy Firewall Sorun Giderme

show policy-map type inspect zone-pair session komutu kullanılarak ZPF durum tablosundaki aktif bağlantılar görüntülenebilir. Aşağıdaki çıktı 10.0.0.1 IP adresi kaynaklı kurulmuş aktif FTP, HTTP, DNS bağlantılarını göstermektedir.

ZPF_SINMAZ#sh policy-map type inspect zone-pair sessions

policy exists on zp IC-DIS
Zone-pair: IC-DIS
Service-policy inspect : IC_policy
Class-map: IC_kaynak (match-any)
Match: protocol http

3 packets, 84 bytes
30 second rate 0 bps
Match: protocol dns
3 packets, 131 bytes
30 second rate 0 bps

Match: protocol telnet
0 packets, 0 bytes
30 second rate 0 bps

Match: protocol https
0 packets, 0 bytes
30 second rate 0 bps

Match: protocol icmp
0 packets, 0 bytes
30 second rate 0 bps

Match: protocol ftp
1 packets, 28 bytes
30 second rate 0 bps

Inspect
Number of Established Sessions = 8
Established Sessions
Session 4889FD80 (10.0.0.1:2356)=>(160.75.100.7:21) ftp:tcp SIS_OPEN
Created 00:00:36, Last heard 00:00:36
Bytes sent (initiator:responder) [200:324]
Session 48899580 (10.0.0.1:2357)=>(160.75.100.7:58167) ftp-data:tcp SIS_OPEN
Created 00:00:36, Last heard 00:00:07
Bytes sent (initiator:responder) [0:96195]
Session 48894F80 (10.0.0.1:61240)=>(160.75.2.20:53) dns:udp SIS_OPEN
Created 00:00:02, Last heard 00:00:02
Bytes sent (initiator:responder) [32:116]
Session 48897980 (10.0.0.1:2358)=>(74.125.87.99:80) http:tcp SIS_OPEN
Created 00:00:02, Last heard 00:00:02
Bytes sent (initiator:responder) [444:125]
Session 4889CD80 (10.0.0.1:64215)=>(160.75.2.20:53) dns:udp SIS_OPEN
Created 00:00:02, Last heard 00:00:02
Bytes sent (initiator:responder) [35:147]
Session 4889FB80 (10.0.0.1:2359)=>(74.125.87.104:80) http:tcp SIS_OPEN
Created 00:00:02, Last heard 00:00:01
Bytes sent (initiator:responder) [1583:4456]
Session 488A0380 (10.0.0.1:57697)=>(160.75.2.20:53) dns:udp SIS_OPEN
Created 00:00:01, Last heard 00:00:01
Bytes sent (initiator:responder) [40:138]
Session 4889FF80 (10.0.0.1:2360)=>(74.125.87.102:80) http:tcp SIS_OPEN
Created 00:00:01, Last heard 00:00:01
Bytes sent (initiator:responder) [635:125]

Police
rate 1024000 bps,32768 limit
conformed 170 packets, 115738 bytes; actions: transmit
exceeded 19 packets, 22950 bytes; actions: drop
conformed 2000 bps, exceed 0 bps
Class-map: class-default (match-any)
Match: any
Drop
0 packets, 0 bytes

Sınmaz KETENCİ

Yazının tamamına PDF formatında erişmek için tıklayınız.

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir