基于區域的思科IOS防火墻的應用分析和網絡設計

陳園園 帥志軍

摘要：文章主要介紹了基于區域的思科IOS防火墻的概念及基本策略的詳細實施，然后結合綜合網絡設計重點利用基于區域的思科IOS的防火墻在路由器上進行設計安全策略來實施企業的安全性，實現不同區域間的安全訪問或者阻止訪問。

關鍵詞：ZFW；區域；防火墻；安全策略

一、網絡需求分析

網絡安全問題日與劇增，設計一個行之有效的安全策略勢在必得。基于區域的防火墻（Zone-Based Firewall）ZFW技術對CBAC（Context-Base Access Control，基于上下文的訪問列表）功能的一種增強，ZWF規則策略防火墻改變了原有的在接口下的一種固有配置模式，ZWF的配置方法提供的是區域與區域的配置模式，即需要將接口加入到某個區域，設計安全策略用來針對于各個區域內部流量[1]。

二、ZFW的概述和應用分析

ZFW是一種基于區域的防火墻，經典的IOS的CBAC檢測規則是在接口上進行配置，所以有一定的局限性對于不同用戶組對象沒有辦法做到使用不相同的安全規則。ZFW的安全策略不存在這種情況，可以使用不用的過濾策略。基于區域的防火墻的特點和概念與硬件防火墻非常相似，對于不同的用戶對象會調用不同的安全策略去允許區域間的流量 [2]。

（一）ZFW的工作原理

1.路由器Router某些接口將被劃入安全區域。

2.在同一區域內流經路由器的流量是允許自由通行，對于不同區域間的流量默認的情況下是阻止的。

3.某個接口（被劃入安全區域）和某個接口（沒有劃入安全區域）之間存在的流量也是被阻止的。

4.如果兩個不同區域之間需要允許流量通行，必須設計安全策略，配置對應的接口。

（二）ZFW的基本配置步驟

1.創建zone和關聯zone到對應的接口

Firewall（config）zone security zone-name

接口模式下使用命令zone-member security zone-name將路由器接口劃入正確的zone

2.創建class map去匹配區域間的安全策略

Firewall（config）class-map type inspect match-all match-name

FireWall（config-cmap）#match protocol protocol-name

3.創建policy map并關聯class map來對區域間的流量進行管理

Firewall（config）policy-map type inspect policy-name

Firewall（config-pmap）class type inspect zone-name

Firewall（config-pmap-c）inspect

將創建的class map關聯到policy map。

4.創建區域對（zone-pair），然后在正確的zone-pair上調用policy map

Firewall（config）zone-pair security name source source-zone-name destination desination-zone-name

Firewall（config）service-policy type inspect policy-name

三、ZFW思科IOS防火墻的綜合設計

有一個綜合網絡，用一個路由器模仿防火墻連接三個區域Private（內部網絡）、Internet（外部網絡）、DMZ（非軍事化）區域。其中規定內網中的主機能訪問Internet和DMZ區域；DMZ區域不能訪問Internet和內網；Internet中的主機不能訪問內網和DMZ區域，但是外網能隨時訪問DMZ區域的web服務，實現以上功能的主要代碼如下：

Firewall（config）zone security Private/ Internet /DMZ

FireWall（config）#class-map type inspect match-all

FireWall（config-cmap）#match protocol http /icmp / tcp /udp

注意 class map使用match-all關鍵字同時匹配DMZ區域中Server的HTTP協議。

FireWall（config）#class-map type inspect match-all Internet-To-DMZ

FireWall（config-cmap）#match protocol http /tcp

FireWall（config）#policy-map type inspect 1

FireWall（config-pmap）#class type inspect Private-To-Internet

FireWall（config-pmap-c）#inspect

FireWall（config）#zone-pair security Private-Internet source Private destination Internet

四、結束語

越來越多的企業重視安全問題，為了保證內部數據和資源的安全性，本篇中主要介紹了基于區域的思科IOS防火墻的概述和綜合設計，通過最終的測試，可以很好地通過防火墻的安全策略實現內部網絡、外部網絡和DMZ區域三個區域的安全訪問。

參考文獻：

[1]遲恩宇.網絡安全與防護[M].高等教育出版社，2014.7.

[2]郭冰；楊海艷. 淺談一種改進的綜合包過濾防火墻的設計與應用 [J]. 網絡安全技術與應用， 2017，（6）.

[3]袁玉珠. 計算機網絡防火墻的安全設計與應用研究[J]. 數字通信世界， 2016，（6）.

作者簡介：

1.陳園園（1985-），女，江西南昌，講師，江西現代職業技術學院教師，碩士，主要研究方向：計算機應用、網絡。

2.帥志軍（1977-），男，江西南昌，副教授，江西現代職業技術學院教師，碩士，主要研究方向：計算機網絡、硬件。