Cisco Zone-Based FW介绍
Zone特性介绍:
Zone-Based Policy Actions
1.Inspect 进行状态化监控
2.Drop 丢弃相应流量
3.Pass 允许相应流量(不进行状态话监控)
4.Police 对相应流量执行限速
5.Service-policy DPI(执行深度运用层控制)
拓扑图及需求如下所示:
Outbound traffic:
监控http/smtp/ftp/telnet/icmp协议
限制tcp三次握手必须在15秒内完成
进行半开连接限制(high:1000/low:800)
Inbound traffic:
放行访问内部服务器的http流量
进行半开连接限制(high:100/low:80)
将确定拥有相同安全功能的接口划入到相同的security zones里并配置zone security决定zone间穿越的流量。
在zone pairs指派policy maps
定义class maps 匹配zones间流量进行inspect。
配置zone pairs 参数限制最大握手时间和半开连接数。
配置policy maps关联class maps匹配的流量和pairs匹配的限制规则,并运用drop动作。
最后验证outside除了http流量外其他流量不可达!
而inside可正常访问outside服务,域间安全策略inspect监控放行同一连接的出入数据流!