自学思科SD-WAN Zone Based Firewall(ZBF)区域防火墙
自学思科SD-WAN Zone Based Firewall(ZBF)区域防火墙
一、vEdge VPN和安全分区
- 基于区域而不是特定IP进行匹配
- VPN之间彼此隔离,每个VPN都可以定义为唯一的区域
- VPN之间通信将受到ZB-FW规则的约束
- 比如DIA、Extranet、Shared Services (e.g. Printer based on IP)
二、ZB-FW:区域内安全性
- VPN1内的用户可以互访
三、ZB-FW:区域间安全性
- 默认VPN1之前可以互访
- 若需要不同VPN间(VON1和VPN2)互访,采用路由泄露(Route Leaking)
四、ZB-FW:DIA/DCA安全性
- 默认相同VPN之间互通,不同VPN之间是不可以互访。
- VPN1和VPN2可以位于同一个安全区域中 。
- 如果VPN1和VPN2之间采用路由泄露(互访),则需要区域内安全性。
五、ZB-FW: 策略规则
policy lists data-prefix-list list-name ip-prefix prefix/length zone source-zone-name vpn vpn-id [one or more VPNs] zone destination-zone-name vpn vpn-id [one or more VPNs] zone-to-no-zone-internet (allow | deny) zone-pair pair-name source-zone source-zone-name destination-zone destination-zone-name zone-policy policy-name zone-based-policy policy-name sequence number match ip-address or port only; protocol match-parameters action inspect (allows a return connection),drop, pass (does not allow return connection), log other actions default-action (drop | pass | inspect) [default is drop]
六、ZB-FW: 配置示例
第①步:在vEdge上面本地策略----安全策略
第②步:创建一个安全策略
第③步:定义一个Interest组
第④步:配置ZB-FW的策略
第⑤步:对区域应用基于区域的策略
第⑥步:将策略附加到vEdge/Template 或者 将模板附件到vEdge
作者:CARLOS_CHIANG
出处:http://www.cnblogs.com/yaoyaojcy/
本文版权归作者和博客园共有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文链接。
posted on 2021-01-20 11:53 CARLOS_KONG 阅读(943) 评论(0) 编辑 收藏 举报