Notes sur la zone based-policy firewall, Notes de Fondements informatiques
Gabrielle89
Gabrielle899 January 2014

Notes sur la zone based-policy firewall, Notes de Fondements informatiques

PDF (350.6 KB)
15 pages
1Numéro de téléchargement
880Numéro de visites
Description
Notes de fondements informatiques sur la Zone Based-Policy Firewall. Les principaux thèmes abordés sont les suivants: Définition, Exemples, Principes, Configuration ZPF, Etude de cas 1 et 2
20points
Points de téléchargement necessaire pour télécharger
ce document
Télécharger le document
Aperçu3 pages / 15
Ceci c'est un aperçu avant impression
Chercher dans l'extrait du document
Ceci c'est un aperçu avant impression
Chercher dans l'extrait du document
Aperçu avant impression terminé
Chercher dans l'extrait du document
Ceci c'est un aperçu avant impression
Chercher dans l'extrait du document
Ceci c'est un aperçu avant impression
Chercher dans l'extrait du document
Aperçu avant impression terminé
Chercher dans l'extrait du document

Zone Based-Policy Firewall

ZPF Définition  ZPF permettant de filtrer nos communications en nous basant sur des zones, en effet lors de l’implémentation de ZPF nous allons segmenter notre réseau en plusieurs zones.

Puis, nous allons définir la politique à appliquer entre chaque zones c’est-à-dire qu’on va spécifier le trafic autorisé ou interdit entre la zone A et la zone B mais aussi le trafic entre B et A.

ZPF présente plusieurs avantages :

ZPF ne dépend pas des interfaces

Nous permet de visualiser notre réseau facilement grâce aux différentes zones.

Utilise le C3PL (Cisco Common Classification Policy Language) ce qui rend la configuration de notre politique facile à comprendre et à débugger.

ZPF Exemple1

ZPF Exemple2

ZPF Principes  Regrouper les interfaces sous forme de zones, et de spécifier quel type de trafic peut

passer d’une zone à une autre. Cela utilise des service-policy et class map (cisco MQF).

Application des politiques de sécurité entre les zones, pas par interfaces (une zone peut être constituée d’une ou plusieurs interfaces)

Il y a une politiques deny all par défaut (donc pas besoin d’ACL).

On peut, via l’utilisation de classmap, spécifier des politiques différentes par host et par subnet, ou par protocoles

Il faut configurer les zones avant d’y ajouter des interfaces. et une interface ne peut faire partie que d’une seule zone à la fois. Les commandes pour créer une zone et y affecter des interfaces

Router(config)#zone security zone_securisee Router(config-sec-zone)#description zone securise! Router(config-sec-zone)#exit Router(config)#interface fastEthernet 0/1 Router(config-if)#zone-member security zone_securisee

ZPF Principes Par défaut, le trafic sera supprimé entre:

Une interface membre d’une zone vers une interface membre d’une autre zone

Une interface membre d’une zone vers une interface non membre d’aucune zone; Ce traffic ne pourra être autorisé, même avec des ACL ou des service-policy, une interface faisant partie d’une zone ne peux communiquer qu’avec des interfaces dansune zone selon la configuration

Et le trafic sera autorisé entre:

Deux interface d’une même zone

Deux interface ne faisant partie d’aucune zone (comportement normal, sauf ACL)

D’une interface membre d’une zone vers le routeur (= zone « self« , correspond aux paquets destinés aux interfaces du routeur : on peut utilisée cette zone spéciale pour modifier le comportement du routeur)

ZPF Principes D’une zone à l’autre, trois actions peuvent être prises :

Pass: Le trafic est autorisé à transiter d’une zone à l’autre

Inspect: Autoriser le trafic et inspecter le trafic retour (= ip inspect)

Drop: Supprimer le trafic

Ces actions peuvent bien sur être appliquée différemment selon le type de trafic (à régler par les class-map).

Pour réguler le trafic entre deux zones, il faut créer une zone-pair, que l’on va créer entre deux zone. Une zone pair est unidirectionnelle, il faudra donc créer deux zone-pair pour autoriser le trafic dans les deux sens. Pour autoriser le trafic, on utilisera des service policy, qui utiliseront des class-maps.

ZPF Principes Création d’une zone-pair (après création d’une

seconde zone) :

Router(config)#zone security zone_non_securisee Router(config-sec-zone)#exit Router(config)#int f0/0 Router(config-if)#zone-member security zone_non_securisee Router(config-if)#exit Router(config)#zone-pair security secure_vers_unsecure

source zone_securisee destination zone_non_securisee Router(config-sec-zone-pair)#service-policy type inspect

XXX Router(config-sec-zone-pair)#exit

Configuration ZPF La configuration de ZPF se fait en plusieurs étapes :

• Création des zones.

• Création d’une class-map.

• Création d’une policy-map.

• Création des zones paire.

• Affecter les interfaces à une zone.

Etude de cas 1

Etude de cas 1

Etude de cas 1

Etude de cas 2

Etude de cas 2

Etude de cas 2

commentaires (0)
Aucun commentaire n'a été pas fait
Écrire ton premier commentaire
Ceci c'est un aperçu avant impression
Chercher dans l'extrait du document
Docsity n'est pas optimisée pour le navigateur que vous utilisez. Passez à Google Chrome, Firefox, Internet Explorer ou Safari 9+! Téléchargez Google Chrome