(K) Konfiguracja funkcji ZBF*

Konfiguracja funkcji ZBF

Tworzenie oraz przypisywanie stref (Zone)

(config)# zone security nazwa-strefy

Tworzy nową strefę (Zone).

(config-sec-zone)# descryption opis

Dodaje opis względem konfigurowanej strefy (Zone).

(config-sec-zone)# interface interfejs

Przechodzi do poziomu konfiguracji interfejsu sieciowego.

(config-if)# zone-member security nazwa-strefy

Przypisuje wskazaną strefę (Zone) do konfigurowanego interfejsu sieciowego.

# show zone security

Wyświetla podstawowe informację dotyczące konfiguracji stref (Zone). Nazwę, opis jak i powiązane ze strefą interfejsy sieciowe.

(config)# ip inspect log drop-pkt

Wyświetla logi systemowe w przypadku porzucenia pakietu przez funkcję ZBF.
Po przypisaniu stref (Zone) do interfejsów sieciowych, wszelki ruch nadchodzący do rutera ZBF będzie blokowany. w przypadku aktywowania komendy [ip inspect log drop-pkt] ruter wyświetli następujący komunikat [*Feb 19 21:12:43.709: %FW-6-DROP_PKT: Dropping icmp session 192.168.2.13:0 1.1.1.1:0  due to  policy match failure with ip ident 0]

Tworzenie parowania pomiędzy strefami (Zone)

(config)# zone-pair security nazwa-parowania(Zone pair) source nazwa-strefy(Strefa źródłowa) destination nazwa-strefy(Strefa docelowa)

Xxx

(config-sec-zone-pair)# descryption opis

Dodaje opis względem konfigurowanej strefy (Zone).

(config-sec-zone-pair)# xxx

Xxx

# show running-config | {include / section} zone-pair

Xxx

Class Map

(config)# class-map type inspect {match-any / match-all} nazwa-klasy(Class Map)

Xxx
* match-any – Aby konfigurowana klasa (Class) zadziałała, musi być spełniony przyjemniej jeden warunek (Match).
* match-all – Aby konfigurowana klasa (Class) zadziałała, muszą zostać spełnione wszystkie warunki (Match).

(config-cmap)# match access-group ACL

Xxx

(config-cmap)# match protocol protokół

Xxx

(config-cmap)# xxx

Xxx

(config-cmap)# xxx

Xxx

(config-cmap)# xxx

Xxx

(config-cmap)# xxx

Xxx

# show running-config | {include / section} class-map

Xxx

Policy Map

(config)# policy-map type inspect nazwa-polisy(Policy Map)

Xxx

(config-pmap)# class type inspect nazwa-klasy(Class Map)

Xxx

(config-pmap-c)# {drop / inspect / pass}

Xxx

(config-pmap)# xxx

Xxx

(config-pmap)# xxx

Xxx

(config-pmap)# xxx

Xxx

(config-pmap)# zone-pair security nazwa-parowania(Zone pair) source nazwa-strefy(Strefa źródłowa) destination nazwa-strefy(Strefa docelowa)

Xxx

(config-sec-zone-pair)# service-policy type inspect nazwa-polisy(Policy Map)

Xxx

# show policy-map type inspect zone-pair [nazwa-parowania(Zone pair)]

Xxx

# show running-config | {include / section} policy-map

Xxx

Xxx

(config)# xxx

Xxx

(config)# xxx

Xxx

(config)# xxx

Xxx

(config)# xxx

Xxx

Pozostałe artykuły dotyczące funkcji Zone Based Firewall

PDFPRINT

Robert T Kucharski

Cisco Network Engineer in GPW.

Dodaj komentarz