当路由器上配置完 zone,并将接口关联到 zone 后,不同 zone 之间是不能通信的。
3.创建安全策略
R3(config)#class-map type inspect match-any INSIDE_INTERNET
R3(config-cmap)#match protocol icmp
R3(config-cmap)#match protocol tcp
R3(config-cmap)#match protocol udp
R3(config-cmap)#match protocol http
R3(config)#class-map type inspect match-any INSIDE_CUSTOMER
R3(config-cmap)#match protocol icmp
R3(config-cmap)#match protocol tcp
R3(config-cmap)#match protocol udp
R3(config-cmap)#match protocol http
R3(config)#class-map type inspect match-any CUSTOMER_INTERNET
R3(config-cmap)#match protocol http
创建类映射并匹配相应流量。信任 INSIDE(内部)区域,我们允许所有主要协议。不完全信任 CUSTOMER(客户) 区域,我们只允许HTTP互联网流量。
R3(config)#policy-map type inspect INSIDE_TO_INTERNET
R3(config-pmap)#class type inspect INSIDE_INTERNET
R3(config-pmap-c)#inspect
R3(config)#policy-map type inspect INSIDE_TO_CUSTOMER
R3(config-pmap)#class type inspect INSIDE_CUSTOMER
R3(config-pmap-c)#inspect
R3(config)#policy-map type inspect CUSTOMER_TO_INTERNET
R3(config-pmap)#class type inspect CUSTOMER_INTERNET
R3(config-pmap-c)#inspect
创建策略关联之前创建的类映射,检查匹配的数据包。
4.应用安全策略
R3(config)#zone-pair security INSIDE_TO_INTERNET source INSIDE destination INTERNET
R3(config-sec-zone-pair)#service-policy type inspect INSIDE_TO_INTERNET
R3(config)#zone-pair security INSIDE_TO_CUSTOMER source INSIDE destination CUSTOMER
R3(config-sec-zone-pair)#service-policy type inspect INSIDE_TO_CUSTOMER
R3(config)#zone-pair security CUSTOMER_TO_INTERNET source CUSTOMER destination INTERNET
R3(config-sec-zone-pair)#service-policy type inspect CUSTOMER_TO_INTERNET
创建区域对,区域对允许两个安全区域之间指定单向防火墙策略,流量的方向由源和目的区域,指定并将策略映射应用于区域对。
配置完成后,验证ZBF的有效性。
1.互联网区域无法访问内部区域和客户区域。Server1 Ping P3不通;Server1 Ping P4不通;
2.内部区域PC3可以访问互联网区域Server1和客户区域PC4;
3.客户区域PC4只允许访问互联网区域的HTTP流量其他流量不允许。PC4无法ping通PC3和Server1。
