Zone-Base Policy FW工作模式
Zone-Base Policy FW可以运行两种模式
路由模式(默认):3层防火墙,基于IP地址转发流量。透明模式:
2层防火墙,基于MAC地址转发流量;所有路由决策均通过邻接的路由器和主机来完成。
VRF感知型防火墙
ZBF支持VRF-aware的CiscoIOS虚拟化技术:
·可以配置Zones到VRF激活的接口上,来实现虚拟化的ZBF策略。
·不需要特殊的ZBF配置。
ZBF和NAT整合
当控制去往被NAT转换后的主机时:
- 配置NAT规则和标识接口为NAT的inside或outside
- Class-MAP中匹配流量的目的,应M该为真实的地址,而非转换后的地址。
ZBF对运用层访问的控制
应用层访问控制特性
应用层访问控制能够:
- 防止恶意协议级的流量被传递到终端
- 防止恶意内容被传递到终端
- 防止隐秘隧道
- 多重的终端控制并提供深度防御
应用层控制的方法
HTTP监控器介绍
能够粒度的分析HTTP请求和回应,并且允许特殊的值和正则表达式来匹配。
此外,监控器可以验证HTTP协议的遵守,一些内置的签名来检测或防止节点到节点,即时消息,和其他隧道。
请求检查的选项
层次化C3PL
User-Based FW
ZBF支持基于在线认证(认证代理)的用户策略
- 使用C3PL配置本地感知用户组的策略
- 配置关于HTTP,FTP以及TELNET会话的监控
- 指定用户到用户组并基于本地或远程AAA认证
show命令
show ip admission cache
show user-group
show epm session ip 10.1.1.1
SHOW命令
show ip admission cache
