自学思科SD-WAN Zone Based Firewall(ZBF)区域防火墙

点击返回:思科SD-WAN实战课

自学思科SD-WAN Zone Based Firewall(ZBF)区域防火墙

 

一、vEdge VPN和安全分区

  • 基于区域而不是特定IP进行匹配

 

  • VPN之间彼此隔离,每个VPN都可以定义为唯一的区域
  • VPN之间通信将受到ZB-FW规则的约束
  • 比如DIA、Extranet、Shared Services (e.g. Printer based on IP)

二、ZB-FW:区域内安全性

 

  •  VPN1内的用户可以互访

三、ZB-FW:区域间安全性

 

  • 默认VPN1之前可以互访 
  • 若需要不同VPN间(VON1和VPN2)互访,采用路由泄露(Route Leaking)

四、ZB-FW:DIA/DCA安全性

 

  • 默认相同VPN之间互通,不同VPN之间是不可以互访。
  • VPN1和VPN2可以位于同一个安全区域中 。
  • 如果VPN1和VPN2之间采用路由泄露(互访),则需要区域内安全性。

五、ZB-FW:  策略规则

policy
 lists data-prefix-list list-name  ip-prefix prefix/length

 zone source-zone-name  vpn vpn-id [one or more VPNs]

 zone destination-zone-name vpn vpn-id  [one or more VPNs]
  
 zone-to-no-zone-internet (allow | deny)

 zone-pair pair-name
   source-zone source-zone-name
   destination-zone destination-zone-name
   zone-policy policy-name

 zone-based-policy policy-name sequence number
   match ip-address or port only; protocol match-parameters

 action
    inspect (allows a return connection),drop, pass (does not allow return connection), log other actions
 
default-action (drop | pass | inspect)  [default is drop]  

 六、ZB-FW: 配置示例

 第①步:在vEdge上面本地策略----安全策略

 

 第②步:创建一个安全策略

 

 第③步:定义一个Interest组

第④步:配置ZB-FW的策略

第⑤步:对区域应用基于区域的策略

第⑥步:将策略附加到vEdge/Template    或者 将模板附件到vEdge

posted on 2021-01-20 11:53  CARLOS_KONG  阅读(943)  评论(0编辑  收藏  举报

导航