반갑습니다. 후티입니다.
ZFW(Zone-based policy FireWall)는 Zone(존) 기반의 정책을 통한 트래픽을 제어하며 이후에 실습하게 될 방화벽 솔루션(ASAv)과 유사하게 동작이 가능하도록 만들어줍니다. 앞선 ACL과 다른 점은 존 기반 설정을 통해 제어가 이루어진다는 점이며 실습 토폴로지는 이전의 RACL/DACL 토폴로지를 그대로 사용할 예정이며 실습한 ACL 설정 내용은 삭제 후 진행하도록 하겠습니다.
내. 외부의 경계망에 있는 R2장비에서 설정할 예정으로 inside, outside zone을 생성하고 인터페이스를 각 존에 할당하도록 하겠습니다.
R2(config)#zone security inside
R2(config)#zone security outside - inside/outside zone 생성하기
R2(config)#int fa0/0
R2(config-if)#zone-member security inside ( 내부 인터페이스를 inside 존에 할당 )
R2(config)#int fa0/1
R2(config-if)#zone-member security outside ( 외부 인터페이스를 outside 존에 할당 )
#show zone security - 존 및 인터페이스 확인
여기까지 설정하면 기본적으로 같은 존에 소속된 장비간에는 접속이 되지만 다른 존에 소속된 장비간의 접속은 되지 않습니다. 이것으로 존이 다르면 서로 통신이 되지 않는다는 것을 알 수 있으며 통신이 가능하게 하기 위해서는 부가적인 설정이 필요함을 알 수 있습니다.
만약 inside zone 에서 outside zone으로 갔다가 돌아오는 트래픽을 제어하기 위해서는 zone pair(존 페어)설정을 통해 방향을 지정하고 보안정책을 설정한 후 적용하면 되겠습니다.
R2(config)#zone-pair security in-out source inside destination outside ( inside -> outside 존으로 방향 지정 )
#show zone-pair security - 존 페어 확인
R2(config)#ip access-list extended acltest
R2(config-ext-nacl)#permit ip any any
R2(config)#class-map type inspect classtest
R2(config-cmap)#match access-group name acltest (class-map 을 통해 트래픽 분류)
R2(config)#policy-map type inspect policytest
R2(config-pmap)#class type inspect classtest
R2(config-pmap)#inspect (policy-map 을 통해 보안 정책 설정)
R2(config)#zone-pair security in-out
R2(config)#service-policy type inspect policytest (service-policy 를 통해 보안 정책 적용)
명령어를 정리하면 존 생성 및 인터페이스 할당 후 트래픽 제어를 위한 방향 지정을 존 페어 명령어로 생성하고 ACL 및 클래스 맵을 통해 처리할 트래픽을 분류 지정한 뒤 폴리시 맵에서 지정된 트래픽에 대해 어떻게 제어할 것인지 정책을 설정하여 정해진 방향(존 페어)에 적용하면 되겠습니다.
- 존 생성
- 트래픽 방향 설정
- 트래픽 분류 지정
- 정책 설정
- 정책 적용
여기까지 설정하면 이제는 inside zone에서 outside zone으로 통신이 가능한 상태가 되며 #show policy-map type inspect zone-pair sessions 명령어를 통해 정보를 확인할 수 있으며 #show run #show class-map #show policy-map 을 통해 각 정책 내용도 확인할 수 있습니다.
이러한 방식을 활용하여 다수 존 간의 트래픽 처리를 설정할 수 있는데 실습에서는 전체 트래픽에 대하여 적용을 해봤지만 inside -> outside로의 http트래픽 또는 outside -> inside로의 telnet 트래픽 등의 제어가 설정할 수 있습니다.
직접 다양한 시나리오를 구성하여 테스트해본다면 정책 설정을 이해하는데 도움이 될 듯 하며 관련 내용은 유튜브 채널 'https://www.youtube.com/에듀쉐어'를 통해 영상으로 확인이 가능하고 구독 및 좋아요 항상 감사드립니다.^^
'IT강좌 > 정보보안' 카테고리의 다른 글
| L3(라우터) 보안 설정(패킷 필터링) - CBAC (0) | 2021.04.22 |
|---|---|
| 라우터 보안 설정(패킷 필터링) - RACL / DACL (0) | 2021.03.14 |
| 방화벽 다루기 - 4장. GNS3에 Cisco ASAv 등록하기 (0) | 2020.06.08 |
| #. GNS3 네트워크와 호스트 연결하기 - MS 루프백 어댑터 이용 (0) | 2020.06.07 |
| #. 네트워크 시뮬레이터 툴 GNS3와 VM(가상 머신) 연동하기 - GNS VM (0) | 2020.01.07 |