네트워크 보안 - ZBFW

<영역 기반 방화벽>

- Zone Based FireWall, 멀티포트를 지원하는 CBAC보다 한 술 더뜨는 방화벽 기법 

- 라우터에 인터페이스가 많을 경우 (20개~), 각 인터페이스별로 정책을 개별적으로 적용해야 하는 단점이 존재한다.

- 영역 단위로 필터링을 수행하기 때문에 영역의 개념이 중요하다.

 

1. 영역의 특징

- 각 인터페이스는 단 하나의 영역에만 소속된다. 

- 영역 내의 인터페이스 간에는 통신이 허용되나, 다른 영역 간에는 제한된다.

 

2. 기본영역

- 관리자가 아닌 시스템이 생성한 특수 영역으로 시스템 관리와 관련된 텔넷, SSH, SNMP 등 시스템 트래픽 처리와 관련이 있다.

- 다른 모든 영역과 무소속 인터페이스와 항상 통신이 가능하다.

 

3. 존 페어, Zone Fair

- 영역 간 통신은 2개 방향으로 나뉘어 생각해볼 수 있다.

- 존 페어는 단방향성을 지닌다.

- 존 페어는 상태기반으로 동작하므로 응답 트래픽은 자동으로 허용된다. ★

 

4. 명령어

- 영역 생성 명령어 : zone security zone-name

- 영역 멤버 지정 명령어 : zone-member security zone-name, 인터페이스를 지정한 후 해당 명령어를 입력한다.

- 존 페어 지정 명령어 : zone-pair security zone-pair-name source zone-name1 destination zone-name2

 

5. C3PL (Cisco Common Classification Policy Language)

- 트래픽 분류 기법으로 시스코 장비에서 트래픽을 분류해서 정책을 사용하는데 사용

- 순서는 트래픽 분류(class-map), 정책 정의(policy-map), 정책 적용(service-policy) 순으로 이루어진다.