思科认证CCNA Security安全课程学习IOS防火墙总结归纳含示例实验

思科认证CCNA Security安全课程预约试听联系WOLF-LAB网络技术实验室

在一些小规模网络，业务吞吐量不大的场合，路由器也可充当防火墙，实现ASA的绝大多数

功能（但性能无法和ASA相提并论）。

经历过几代演进（访问控制列表---自反访问控制列表---CBAC---ZBF），现已比较成熟。我们重点介绍最新一代：

ZBF（Zone-Based Policy Firewall 基于区域策略的防火墙）

允许路由器在人为划定的区域之间充当状态化防火墙，根据策略放行流量

特点：

一个Zone（区域）是一个或多个接口的集合

每两个Zone定义成一个带方向的“Zone Pair”（区域对），调用部署区域间流量放行策略

Zone内访问不受限制；Zone间访问根据用户定义放行，默认全部阻止。

支持状态化包过滤，实现回程流量自动放行。

策略基于C3PL语法配置（Cisco Common Classification Policy Language = MQC =

MPF--modular policy  framework）

（1）class-map定义流量对象

（2）policy-map定义对不同对象执行的行为

（3）service-policy调用策略

Class-map规则：

每个class-map可以通过match条件工具匹配流量，根据访问控制列表（三四层头部特征）或

其他方式。一个class-map还可以定义一条或多条match条件。条件之间可以定义成“或”关

系（match-any）也可以定义成“与”关系（match-all）——或关系表示只要有一条match满

足即可， 与关系表示所有match条件都要同时满足才行。

C3PL语法：

Policy-map规则：

根据配置顺序，从上到下匹配class-map，匹配到哪个class-map就执行哪个对应的行为，所有class-map都匹配不到的，落入“class-default”，执行默认的Drop行为。

可用的行为有四种：

（1）Inspect  放行并做状态化记录，自动放行回程流量

（2）Pass 放行，但不做状态化记录，回程流量需要另外放行

（3）Drop  丢弃

（4）Log 只能组合Drop行为使用， Drop同时产生日志

如下图：当流量从Zone1到Zone2试图穿越时，根据service policy指定的Policy-map进行按序匹配，如果流量特征能满足policy-map中的第一个class-map，则按对应行为执行，如果不能满足第一个class-map，再看能否满足第二个class-map，以此类推，如果所有class- map都不能匹配，也有一个隐含的class-default（默认类）能匹配到所有剩余流量，并执行

默认行为（Drop）

思科认证CCNA Security安全课程-配置步骤：

1. 创建Zone

2. 将接口划入Zone

3. 在两个Zone之间形成关联（带方向）

4. 对特定流量归类

5. 制定策略行为

6. 将策略调用到Zone  pair

示例实验：

（1）按图配置地址

（2）INSIDE区域的PC允许所有流量访问OUTSIDE

（3）OUTSIDE区域只允许www流量访问DMZ里的服务器10.1.1.2

（4）INSIDE区域的PC可以telnet到DMZ里的服务器10.1.1.2

第一步：创建Zone R1(config)#zone security  INSIDE R1(config-sec-zone)#exit

R1(config)#zone security  DMZ R1(config-sec-zone)#exit R1(config)#zone security  OUTSIDE R1(config-sec-zone)#exit

第二步：将接口划入Zone

R1(config)#int f0/0

R1(config-if)#zone-member security  INSIDE

R1(config-if)#int f0/1

R1(config-if)#zone-member security  DMZ R1(config-if)#int f1/0

R1(config-if)#zone-member security  OUTSIDE

第三步：创建Zone-pair

R1(config)#zone-pair security  IN-OUT source INSIDE destination OUTSIDE R1(config-sec-zone-pair)#exit

R1(config)#zone-pair security  OUT-DMZ source OUTSIDE destination DMZ

R1(config-sec-zone-pair)#exit

R1(config)#zone-pair security  IN-DMZ source INSIDE destination DMZ

R1(config-sec-zone-pair)#exit

第四步：创建放行策略

（1）定义访问控制列表匹配流量 R1(config)#ip access-list extended IN-OUT R1(config-ext-nacl)#permit ip any any R1(config-ext-nacl)#exit

R1(config)#ip access-list extended OUT-DMZ

R1(config-ext-nacl)#permit tcp any host 10.1.1.2 eq 80

R1(config-ext-nacl)#exit

R1(config)#ip access-list extended IN-DMZ

R1(config-ext-nacl)#permit tcp any host 10.1.1.2 eq 23

R1(config-ext-nacl)#exit

（2）将流量归类

R1(config)#class-map type inspect IN-OUT

R1(config-cmap)#match access-group name IN-OUT R1(config-cmap)#exit

R1(config)#class-map type inspect OUT-DMZ

R1(config-cmap)#match access-group name OUT-DMZ

R1(config-cmap)#exit

R1(config)#class-map type inspect IN-DMZ

R1(config-cmap)#match access-group name IN-DMZ R1(config-cmap)#exit

（3）对各类流量设置行为

R1(config)#policy-map type inspect IN-OUT R1(config-pmap)#class IN-OUT

R1(config-pmap-c)#inspect R1(config-pmap-c)#exit R1(config-pmap)#exit

R1(config)#policy-map type inspect OUT-DMZ R1(config-pmap)#class OUT-DMZ

R1(config-pmap-c)#inspect R1(config-pmap-c)#exit R1(config-pmap)#exit

R1(config)#policy-map type inspect IN-DMZ R1(config-pmap)#class IN-DMZ

R1(config-pmap-c)#inspect R1(config-pmap-c)#exit R1(config-pmap)#exit

（4）调用到zone-pair

R1(config)#zone-pair security  IN-OUT

R1(config-sec-zone-pair)#service-policy type inspect IN-OUT R1(config-sec-zone-pair)#exit

R1(config)#zone-pair security  OUT-DMZ

R1(config-sec-zone-pair)#service-policy type inspect OUT-DMZ R1(config-sec-zone-pair)#exit

R1(config)#zone-pair security  IN-DMZ

R1(config-sec-zone-pair)#service-policy type inspect  IN-DMZ R1(config-sec-zone-pair)#exit 

思科认证CCNA Security安全课程咨询联系WOLF-LAB网络技术实验室https://www.wolf-lab.com/ 

WOLFLAB官方微信：17316362402

WOLFLAB官方QQ：2569790740