基于區(qū)域的思科IOS防火墻的應(yīng)用分析和網(wǎng)絡(luò)設(shè)計(jì)

陳園園 帥志軍

摘要：文章主要介紹了基于區(qū)域的思科IOS防火墻的概念及基本策略的詳細(xì)實(shí)施，然后結(jié)合綜合網(wǎng)絡(luò)設(shè)計(jì)重點(diǎn)利用基于區(qū)域的思科IOS的防火墻在路由器上進(jìn)行設(shè)計(jì)安全策略來(lái)實(shí)施企業(yè)的安全性，實(shí)現(xiàn)不同區(qū)域間的安全訪問(wèn)或者阻止訪問(wèn)。

關(guān)鍵詞：ZFW；區(qū)域；防火墻；安全策略

一、網(wǎng)絡(luò)需求分析

網(wǎng)絡(luò)安全問(wèn)題日與劇增，設(shè)計(jì)一個(gè)行之有效的安全策略勢(shì)在必得?；趨^(qū)域的防火墻（Zone-Based Firewall）ZFW技術(shù)對(duì)CBAC（Context-Base Access Control，基于上下文的訪問(wèn)列表）功能的一種增強(qiáng)，ZWF規(guī)則策略防火墻改變了原有的在接口下的一種固有配置模式，ZWF的配置方法提供的是區(qū)域與區(qū)域的配置模式，即需要將接口加入到某個(gè)區(qū)域，設(shè)計(jì)安全策略用來(lái)針對(duì)于各個(gè)區(qū)域內(nèi)部流量[1]。

二、ZFW的概述和應(yīng)用分析

ZFW是一種基于區(qū)域的防火墻，經(jīng)典的IOS的CBAC檢測(cè)規(guī)則是在接口上進(jìn)行配置，所以有一定的局限性對(duì)于不同用戶組對(duì)象沒(méi)有辦法做到使用不相同的安全規(guī)則。ZFW的安全策略不存在這種情況，可以使用不用的過(guò)濾策略?；趨^(qū)域的防火墻的特點(diǎn)和概念與硬件防火墻非常相似，對(duì)于不同的用戶對(duì)象會(huì)調(diào)用不同的安全策略去允許區(qū)域間的流量 [2]。

（一）ZFW的工作原理

1.路由器Router某些接口將被劃入安全區(qū)域。

2.在同一區(qū)域內(nèi)流經(jīng)路由器的流量是允許自由通行，對(duì)于不同區(qū)域間的流量默認(rèn)的情況下是阻止的。

3.某個(gè)接口（被劃入安全區(qū)域）和某個(gè)接口（沒(méi)有劃入安全區(qū)域）之間存在的流量也是被阻止的。

4.如果兩個(gè)不同區(qū)域之間需要允許流量通行，必須設(shè)計(jì)安全策略，配置對(duì)應(yīng)的接口。

（二）ZFW的基本配置步驟

1.創(chuàng)建zone和關(guān)聯(lián)zone到對(duì)應(yīng)的接口

Firewall（config）zone security zone-name

接口模式下使用命令zone-member security zone-name將路由器接口劃入正確的zone

2.創(chuàng)建class map去匹配區(qū)域間的安全策略

Firewall（config）class-map type inspect match-all match-name

FireWall（config-cmap）#match protocol protocol-name

3.創(chuàng)建policy map并關(guān)聯(lián)class map來(lái)對(duì)區(qū)域間的流量進(jìn)行管理

Firewall（config）policy-map type inspect policy-name

Firewall（config-pmap）class type inspect zone-name

Firewall（config-pmap-c）inspect

將創(chuàng)建的class map關(guān)聯(lián)到policy map。

4.創(chuàng)建區(qū)域?qū)Γ▃one-pair），然后在正確的zone-pair上調(diào)用policy map

Firewall（config）zone-pair security name source source-zone-name destination desination-zone-name

Firewall（config）service-policy type inspect policy-name

三、ZFW思科IOS防火墻的綜合設(shè)計(jì)

有一個(gè)綜合網(wǎng)絡(luò)，用一個(gè)路由器模仿防火墻連接三個(gè)區(qū)域Private（內(nèi)部網(wǎng)絡(luò)）、Internet（外部網(wǎng)絡(luò)）、DMZ（非軍事化）區(qū)域。其中規(guī)定內(nèi)網(wǎng)中的主機(jī)能訪問(wèn)Internet和DMZ區(qū)域；DMZ區(qū)域不能訪問(wèn)Internet和內(nèi)網(wǎng)；Internet中的主機(jī)不能訪問(wèn)內(nèi)網(wǎng)和DMZ區(qū)域，但是外網(wǎng)能隨時(shí)訪問(wèn)DMZ區(qū)域的web服務(wù)，實(shí)現(xiàn)以上功能的主要代碼如下：

Firewall（config）zone security Private/ Internet /DMZ

FireWall（config）#class-map type inspect match-all

FireWall（config-cmap）#match protocol http /icmp / tcp /udp

注意 class map使用match-all關(guān)鍵字同時(shí)匹配DMZ區(qū)域中Server的HTTP協(xié)議。

FireWall（config）#class-map type inspect match-all Internet-To-DMZ

FireWall（config-cmap）#match protocol http /tcp

FireWall（config）#policy-map type inspect 1

FireWall（config-pmap）#class type inspect Private-To-Internet

FireWall（config-pmap-c）#inspect

FireWall（config）#zone-pair security Private-Internet source Private destination Internet

四、結(jié)束語(yǔ)

越來(lái)越多的企業(yè)重視安全問(wèn)題，為了保證內(nèi)部數(shù)據(jù)和資源的安全性，本篇中主要介紹了基于區(qū)域的思科IOS防火墻的概述和綜合設(shè)計(jì)，通過(guò)最終的測(cè)試，可以很好地通過(guò)防火墻的安全策略實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)和DMZ區(qū)域三個(gè)區(qū)域的安全訪問(wèn)。

參考文獻(xiàn)：

[1]遲恩宇.網(wǎng)絡(luò)安全與防護(hù)[M].高等教育出版社，2014.7.

[2]郭冰；楊海艷. 淺談一種改進(jìn)的綜合包過(guò)濾防火墻的設(shè)計(jì)與應(yīng)用 [J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用， 2017，（6）.

[3]袁玉珠. 計(jì)算機(jī)網(wǎng)絡(luò)防火墻的安全設(shè)計(jì)與應(yīng)用研究[J]. 數(shù)字通信世界， 2016，（6）.

作者簡(jiǎn)介：

1.陳園園（1985-），女，江西南昌，講師，江西現(xiàn)代職業(yè)技術(shù)學(xué)院教師，碩士，主要研究方向：計(jì)算機(jī)應(yīng)用、網(wǎng)絡(luò)。

2.帥志軍（1977-），男，江西南昌，副教授，江西現(xiàn)代職業(yè)技術(shù)學(xué)院教師，碩士，主要研究方向：計(jì)算機(jī)網(wǎng)絡(luò)、硬件。