Zone-Based Policy Firewall – Part 1

Zone-Based Policy Firewall Özellikleri

2006 yılında Cisco 12.4(6)T IOS ile Zone-Based Policy Firewall yapılandırma modelini sundu. Bu yeni model ile interface’ler zone’lara atanır ve zone’lar arasındaki trafiğe bir inspection policy uygulanır. Zone based firewall bir interface’teki değişik kullanıcı gruplarına farklı policy’ler uygulamaya imkan tanır. Bunun yanında default deny-all policy sayesinde varsayılanda zone’lar arasındaki trafiğin yasaklanmasını da sağlar.
Zone-based policy firewall ZPF, ZBF ya da ZFW gibi kısaltmalarla anılır. ZPF statefull packet inspection, application inspection, URL filtreleme ve DOS etkisizleştirilmesi gibi standart firewall teknolojilerini destekler.

Firewall policy’leri Cisco Common Classification Policy Language (C3PL) kullanılarak yapılandırılır. C3PL hiyerarşik bir yapıda network protocol inspection tanımlar ve kullanıcıların tek bir inspection policy altında gruplanmasını sağlar.

Network profesyonellerinin ZPF modeline geçişinin temel nedeni yapısı ve kullanım kolaylığıdır.CBAC karışık ve zordur. CBAC ZPF gibi hiyerarşik veri yapıları ile modülerliği sağlamaz. Ayrıca CBAC aşağıdaki kısıtlamalara sahiptir:

-Her interface’te ayrı ayrı inspection policyler ve ACL’ler bulunduğundan bu interface’ler arasındaki trafiğe uygun policy’lerin ilişkilendirilmesi zordur.
-Bir interface’e gelen tüm trafik aynı inspection’a tabi tutulur, kullanıcı grubu ya da subnet’e özgü inspection yapılamaz.
-Süreç ağırlıklı olarak ACL’lere bağlıdır.

Zone’lar networkün güvenlik sınırlarını oluştururlar. Trafik bir zone’dan başka bir zone’a geçerken policy yaptırımlarıyla karşılaşır. ZPF varsayılanda aksi belirtilmedikçe zone’lar arasındaki trafiği bloklar. Bu da ZPF ve CBAC modeli arasındaki önemli bir farktır. CBAC aksi belirtilmedikçe trafiği iletimine izin verir.

Çoğu ZPF komutu CBAC komutlarına benziyor gözükse de aynı değildir. ZPF’in C3PL şeklinde adlandırılan modüler yapılandırma policy dilini kullanması CBAC ile arasındaki 2. önemli farktır. ZPF’in faydaları aşağıdaki gibidir:

-ACL’lere bağımlı değildir.
-Haricen izin belirtilmedikçe router’ın güvenlik duruşu trafiğin bloklanmasıdır.
-C3PL kullanıldığından policy’lerin okunması ve problem giderilmesi kolaydır.
– Birden çok ACL ve inspection kullanımı yerine bir policy istenilen herhangi bir trafiğe müdahale edebilir.

CBAC ya da ZPF yapılandırma modelleri aynı anda router üzerinde devreye alınabilse de tek bir interface’te iki model birden kullanılamaz. Yani aynı interface hem bir zone üyesi olarak hem de ip inspection için yapılandırılamaz.

Zone-based firewall tasarlanmasında aşağıdaki adımlar dikkate alınmalıdır:

1.Adım – Zone’ların belirlenmesi: Internetwork altyapısı güvenlik düzeyleri dikkate alınarak ayrı zone’ lara bölünmelidir. Bu adımda firewall’un fiziksel uygulamasını değil altyapının zone’lara ayrılmasına odaklanılmalıdır.

2.Adım – Zone’lar arasında policy’lerin uygulanması: Zone’ların her “kaynak-hedef” çifti için istemcilerin bulunduğu kaynak zone’lardan sunucuların bulunduğu hedef zone’lara yapabileceği istek oturumları(session’ları) tanımlanmalıdır. Bu oturumlar çoğu zaman TCP ve UDP oturumlarıdır fakat ICMP echo gibi ICMP oturumları da olabilir. IPsec Encapsulating Security Payload [ESP] gibi oturum kavramına dayalı olmayan trafik için ise network yöneticisi kaynaktan hedefe ve tam tersine tek yönlü trafik akışlarını tanımlamalıdır. 1. adımda olduğu gibi bu adımda da fiziksel yapıyla değil zone’lar arasındaki trafik ihtiyaçlarıyla ilgilenilir.

3. Adım – Fiziksel Altyapının tasarlanması: Zone’lar tanımlanıp bu zone’lar arasındaki trafik ihtiyaçları belirlendikten sonra güvenlik ve erişilebilirlik göz önünde bulundurularak fiziksel altyapı tasarlanmalıdır. Bu adım en güvenli ve en güvensiz zone’lar arasındaki cihaz sayısını ve yedek cihazları saptamayı içermektedir.

4.Adım – Zone’lardaki altkümelerin tanımlaması ve trafik ihtiyaçlarının bir araya getirilmesi: Tasarımdaki her firewall interface’lerine bağlı zone altkümeleri tanımlamalı ve zone’ların trafik ihtiyaçları birleştirilmelidir. Örnek olarak birden çok zone dolaylı yoldan firewall’un bir interface’ine bağlı olabilir.

Sınmaz KETENCİ

Yazının tamamına PDF formatında erişmek için tıklayınız.

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir