Zone-Based Policy Firewall – Part 2
Zone-Based Policy Firewall Çalışma Yapısı
Cisco IOS zone-based policy firewall Cisco SDM kullanılarak yapılandırıldığı zaman 3 farklı davranış sergiler:
Inspect: Cisco IOS stateful packet inspection’ı yapılandırır. Bu davranış CBAC ip inspect komutuna karşılık gelir. Dönüş trafiğine ve olası ICMP mesajlarına otomatik olarak izin verir. FTP ya da H.323 gibi birden çok paralel veri ve sinyalizasyon oturumuna ihtiyaç duyan protokoller için gerekli oturum kurulumu işlemlerini yapar.
Drop: ACL’deki deny ifadesi ile benzer işleve sahiptir. İstenmesi halinde reddedilen paketlerin loglanmasını sağlayan log seçeneği vardır.
Pass: ACL’deki permit ifadesi ile benzer işleve sahiptir. Pass davranışı trafiğin içerdiği bağlantı ya da oturumun durumunu incelemez. Sadece tek bir yönde bağlantıya izin verir. Dönüş trafiğine izin verilmesi için diğer yönde de ilgili kural uygulanmalıdır.
Belirli bir class’ın trafiğine rate limit(bandwitdh sınırlaması) uygulanmak istenirse inspect ya da pass komutunun yanında police komutu da kullanılmalıdır.
Zone-Based Policy Firewall – Part 1
Zone-Based Policy Firewall Özellikleri
2006 yılında Cisco 12.4(6)T IOS ile Zone-Based Policy Firewall yapılandırma modelini sundu. Bu yeni model ile interface’ler zone'lara atanır ve zone'lar arasındaki trafiğe bir inspection policy uygulanır. Zone based firewall bir interface’teki değişik kullanıcı gruplarına farklı policy’ler uygulamaya imkan tanır. Bunun yanında default deny-all policy sayesinde varsayılanda zone’lar arasındaki trafiğin yasaklanmasını da sağlar.
Zone-based policy firewall ZPF, ZBF ya da ZFW gibi kısaltmalarla anılır. ZPF statefull packet inspection, application inspection, URL filtreleme ve DOS etkisizleştirilmesi gibi standart firewall teknolojilerini destekler.
Firewall policy’leri Cisco Common Classification Policy Language (C3PL) kullanılarak yapılandırılır. C3PL hiyerarşik bir yapıda network protocol inspection tanımlar ve kullanıcıların tek bir inspection policy altında gruplanmasını sağlar.
