思科SD-WAN Zone Based Firewall(ZBF)區域防火牆
阿新 • • 發佈:2021-01-20
思科SD-WANZone Based Firewall(ZBF)區域防火牆
一、vEdge VPN和安全分割槽
- 基於區域而不是特定IP進行匹配
- VPN之間彼此隔離,每個VPN都可以定義為唯一的區域
- VPN之間通訊將受到ZB-FW規則的約束
- 比如DIA、Extranet、Shared Services (e.g. Printer based on IP)
二、ZB-FW:區域內安全性
- VPN1內的使用者可以互訪
三、ZB-FW:區域間安全性
- 預設VPN1之前可以互訪
- 若需要不同VPN間(VON1和VPN2)互訪,採用路由洩露(Route Leaking)
四、ZB-FW:DIA/DCA安全性
- 預設相同VPN之間互通,不同VPN之間是不可以互訪。
- VPN1和VPN2可以位於同一個安全區域中 。
- 如果VPN1和VPN2之間採用路由洩露(互訪),則需要區域內安全性。
五、ZB-FW: 策略規則
policy
lists data-prefix-list list-name ip-prefix prefix/length
zone source-zone-name vpn vpn-id [one or more VPNs]
zone destination-zone-name vpn vpn-id [one or more VPNs]
zone-to-no-zone-internet (allow | deny)
zone-pair pair-name
source-zone source-zone-name
destination-zone destination-zone-name
zone-policy policy-name
zone-based-policy policy-name sequence number
match ip-address or port only; protocol match-parameters
action
inspect (allows a return connection),drop, pass (does not allow return connection), log other actions
default-action (drop | pass | inspect) [default is drop] 六、ZB-FW: 配置示例
第①步:在vEdge上面本地策略----安全策略
第②步:建立一個安全策略
第③步:定義一個Interest組
第④步:配置ZB-FW的策略
第⑤步:對區域應用基於區域的策略
第⑥步:將策略附加到vEdge/Template 或者 將模板附件到vEdge