码上快乐

相关内容   简体   繁体

自学思科SD-WAN Zone Based Firewall(ZBF)区域防火墙

本文转载自  查看原文  2021-01-20 11:53  338 

点击返回:思科SD-WAN实战课

自学思科SD-WAN Zone Based Firewall(ZBF)区域防火墙

 

一、vEdge VPN和安全分区

  • 基于区域而不是特定IP进行匹配

 

  • VPN之间彼此隔离,每个VPN都可以定义为唯一的区域
  • VPN之间通信将受到ZB-FW规则的约束
  • 比如DIA、Extranet、Shared Services (e.g. Printer based on IP)

二、ZB-FW:区域内安全性

 

  •  VPN1内的用户可以互访

三、ZB-FW:区域间安全性

 

  • 默认VPN1之前可以互访 
  • 若需要不同VPN间(VON1和VPN2)互访,采用路由泄露(Route Leaking)

四、ZB-FW:DIA/DCA安全性

 

  • 默认相同VPN之间互通,不同VPN之间是不可以互访。
  • VPN1和VPN2可以位于同一个安全区域中 。
  • 如果VPN1和VPN2之间采用路由泄露(互访),则需要区域内安全性。

五、ZB-FW:  策略规则

policy
 lists data-prefix-list list-name  ip-prefix prefix/length

 zone source-zone-name  vpn vpn-id [one or more VPNs]

 zone destination-zone-name vpn vpn-id  [one or more VPNs]
  
 zone-to-no-zone-internet (allow | deny)

 zone-pair pair-name
   source-zone source-zone-name
   destination-zone destination-zone-name
   zone-policy policy-name

 zone-based-policy policy-name sequence number
   match ip-address or port only; protocol match-parameters

 action
    inspect (allows a return connection),drop, pass (does not allow return connection), log other actions
 
default-action (drop | pass | inspect)  [default is drop]  

 六、ZB-FW: 配置示例

 第①步:在vEdge上面本地策略----安全策略

 

 第②步:创建一个安全策略

 

 第③步:定义一个Interest组

第④步:配置ZB-FW的策略

第⑤步:对区域应用基于区域的策略

第⑥步:将策略附加到vEdge/Template    或者 将模板附件到vEdge


免责声明!

本站转载的文章为个人学习借鉴使用,本站对版权不负任何法律责任。如果侵犯了您的隐私权益,请联系本站邮箱yoyou2525@163.com删除。



猜您在找 自学思科SD-WAN控制层面 自学思科SD-WAN数据层面 自学思科SD-WAN理论知识(共13篇) 自学思科SD-WAN设备集、产品线 自学思科SD-WAN架构概念和基本术语介绍 自学思科SD-WAN OMP协议原理详解(Overlay Management Protocol) 自学思科SD-WAN策略框架-集中式控制策略 自学思科SD-WAN Application Aware Routing(AAR)应用感知路由 自学思科SD-WAN策略框架-本地策略(控制策略+数据策略) 自学思科SD-WAN Zero Touch Provisioning(ZTP)零接触配置
 
粤ICP备18138465号  © 2018-2025 CODEPRJ.COM