(K) Konfiguracja funkcji ZBF*
Konfiguracja funkcji ZBF
Tworzenie oraz przypisywanie stref (Zone)
(config)# zone security nazwa-strefy
Tworzy nową strefę (Zone).
(config-sec-zone)# descryption opis
Dodaje opis względem konfigurowanej strefy (Zone).
(config-sec-zone)# interface interfejs
Przechodzi do poziomu konfiguracji interfejsu sieciowego.
(config-if)# zone-member security nazwa-strefy
Przypisuje wskazaną strefę (Zone) do konfigurowanego interfejsu sieciowego.
# show zone security
Wyświetla podstawowe informację dotyczące konfiguracji stref (Zone). Nazwę, opis jak i powiązane ze strefą interfejsy sieciowe.
(config)# ip inspect log drop-pkt
Wyświetla logi systemowe w przypadku porzucenia pakietu przez funkcję ZBF.
Po przypisaniu stref (Zone) do interfejsów sieciowych, wszelki ruch nadchodzący do rutera ZBF będzie blokowany. w przypadku aktywowania komendy [ip inspect log drop-pkt] ruter wyświetli następujący komunikat [*Feb 19 21:12:43.709: %FW-6-DROP_PKT: Dropping icmp session 192.168.2.13:0 1.1.1.1:0 due to policy match failure with ip ident 0]
Tworzenie parowania pomiędzy strefami (Zone)
(config)# zone-pair security nazwa-parowania(Zone pair) source nazwa-strefy(Strefa źródłowa) destination nazwa-strefy(Strefa docelowa)
Xxx
(config-sec-zone-pair)# descryption opis
Dodaje opis względem konfigurowanej strefy (Zone).
(config-sec-zone-pair)# xxx
Xxx
# show running-config | {include / section} zone-pair
Xxx
Class Map
(config)# class-map type inspect {match-any / match-all} nazwa-klasy(Class Map)
Xxx
* match-any – Aby konfigurowana klasa (Class) zadziałała, musi być spełniony przyjemniej jeden warunek (Match).
* match-all – Aby konfigurowana klasa (Class) zadziałała, muszą zostać spełnione wszystkie warunki (Match).
(config-cmap)# match access-group ACL
Xxx
(config-cmap)# match protocol protokół
Xxx
(config-cmap)# xxx
Xxx
(config-cmap)# xxx
Xxx
(config-cmap)# xxx
Xxx
(config-cmap)# xxx
Xxx
# show running-config | {include / section} class-map
Xxx
Policy Map
(config)# policy-map type inspect nazwa-polisy(Policy Map)
Xxx
(config-pmap)# class type inspect nazwa-klasy(Class Map)
Xxx
(config-pmap-c)# {drop / inspect / pass}
Xxx
(config-pmap)# xxx
Xxx
(config-pmap)# xxx
Xxx
(config-pmap)# xxx
Xxx
(config-pmap)# zone-pair security nazwa-parowania(Zone pair) source nazwa-strefy(Strefa źródłowa) destination nazwa-strefy(Strefa docelowa)
Xxx
(config-sec-zone-pair)# service-policy type inspect nazwa-polisy(Policy Map)
Xxx
# show policy-map type inspect zone-pair [nazwa-parowania(Zone pair)]
Xxx
# show running-config | {include / section} policy-map
Xxx
Xxx
(config)# xxx
Xxx
(config)# xxx
Xxx
(config)# xxx
Xxx
(config)# xxx
Xxx