ZBF - Kilka pytań

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)

Moderatorzy: mikrobi, aron, garfield, gangrena, Seba, Wojtachinho

Wiadomość
Autor
lukewisniewski
wannabe
wannabe
Posty: 54
Rejestracja: 04 sty 2016, 20:36

ZBF - Kilka pytań

#1

#1 Post autor: lukewisniewski » 04 kwie 2019, 20:56

Cześć,
Mam kilka pytań na temat ZBFa, będę wdzięczny na odpowiedź.
1.Strefa Self - na IOS XE z serii 16.X ruch do i z self jest dozwolony on default. Po stworzeniu pary stref oczywiście wszystko zależy jaką police przypiszemy do pary.
Natomiast czy istnieje sposób na defaultowe globalne zablokowanie ruchu do selfa? Bez definiowania każdorazowo dla kazdej ze strefy pary self i dana strefa?
Mam parę Outside-Self i oczywiście wszystko bardzo dobrze blokuje. Natomiast co powinienem zrobić aby zablokować ruch przez inne interfejsy do selfa globalnie?
2.Czy istnieje magiczna strefa czy sposób definicji dla strefy, która zablokuje dany rodzaj ruchu wychodzący z danej strefy niezależnie od pary strefy docelowej?
Chodzi mi o sytuacje gdzie mamy strefę LAN i nie zależnie do jakiej strefy pary będzie szedł ruch to z LANu nie wyjdzie ruch np. do wskaznego IP czy usługi.
Takie stare access-group ACL_IN in i konkretna regułka blokująca dany ruch.
3.Czy jeżeli mamy dwa interfejsy w ramach tej samej strefy to ruch jest dopuszczony. Czy istnieje możliwość aby zmienić to domyślne zachowanie i ruch między interfejsami w tej samej strefie nie był dopuszczony?
Pozdrawiam

Kyniu
wannabe
wannabe
Posty: 3490
Rejestracja: 04 lis 2006, 16:23
Kontakt:

Re: ZBF - Kilka pytań

#2

#2 Post autor: Kyniu » 05 kwie 2019, 00:38

Generalnie to Twoje pytanie nr 1 przeczy idei ZBF. Masz zony nie interfejsy. Więc po prostu te "inne" interfejsy wrzucasz do zony "inne" i tyle.

Jeśli chcesz kontrolować ruch między interfejsami w ramach zony (czyli Intrazone ) to .......... robisz zone pair w której source i destination to ta sama zona - z tym, że to działa dopiero powyżej IOS 15 coś tam.
Always start with why do you need this?, not how will we do it?.
CCNA: R&S, Security, Wireless, Collaboration. MCSE: Cloud Platform and Infrastructure, Server Infrastructure. ITIL: Foundation. PPL(A)

ODPOWIEDZ