陈园园 帅志军

摘要：文章主要介绍了基于区域的思科IOS防火墙的概念及基本策略的详细实施，然后结合综合网络设计重点利用基于区域的思科IOS的防火墙在路由器上进行设计安全策略来实施企业的安全性，实现不同区域间的安全访问或者阻止访问。

关键词：ZFW；区域；防火墙；安全策略

一、网络需求分析

网络安全问题日与剧增，设计一个行之有效的安全策略势在必得。基于区域的防火墙（Zone-Based Firewall）ZFW技术对CBAC（Context-Base Access Control，基于上下文的访问列表）功能的一种增强，ZWF规则策略防火墙改变了原有的在接口下的一种固有配置模式，ZWF的配置方法提供的是区域与区域的配置模式，即需要将接口加入到某个区域，设计安全策略用来针对于各个区域内部流量[1]。

二、ZFW的概述和应用分析

ZFW是一种基于区域的防火墙，经典的IOS的CBAC检测规则是在接口上进行配置，所以有一定的局限性对于不同用户组对象没有办法做到使用不相同的安全规则。ZFW的安全策略不存在这种情况，可以使用不用的过滤策略。基于区域的防火墙的特点和概念与硬件防火墙非常相似，对于不同的用户对象会调用不同的安全策略去允许区域间的流量 [2]。

（一）ZFW的工作原理

1.路由器Router某些接口將被划入安全区域。

2.在同一区域内流经路由器的流量是允许自由通行，对于不同区域间的流量默认的情况下是阻止的。

3.某个接口（被划入安全区域）和某个接口（没有划入安全区域）之间存在的流量也是被阻止的。

4.如果两个不同区域之间需要允许流量通行，必须设计安全策略，配置对应的接口。

（二）ZFW的基本配置步骤

1.创建zone和关联zone到对应的接口

Firewall（config）zone security zone-name

接口模式下使用命令zone-member security zone-name将路由器接口划入正确的zone

2.创建class map去匹配区域间的安全策略

Firewall（config）class-map type inspect match-all match-name

FireWall（config-cmap）#match protocol protocol-name

3.创建policy map并关联class map来对区域间的流量进行管理

Firewall（config）policy-map type inspect policy-name

Firewall（config-pmap）class type inspect zone-name

Firewall（config-pmap-c）inspect

将创建的class map关联到policy map。

4.创建区域对（zone-pair），然后在正确的zone-pair上调用policy map

Firewall（config）zone-pair security name source source-zone-name destination desination-zone-name

Firewall（config）service-policy type inspect policy-name

三、ZFW思科IOS防火墙的综合设计

有一个综合网络，用一个路由器模仿防火墙连接三个区域Private（内部网络）、Internet（外部网络）、DMZ（非军事化）区域。其中规定内网中的主机能访问Internet和DMZ区域；DMZ区域不能访问Internet和内网；Internet中的主机不能访问内网和DMZ区域，但是外网能随时访问DMZ区域的web服务，实现以上功能的主要代码如下：

Firewall（config）zone security Private/ Internet /DMZ

FireWall（config）#class-map type inspect match-all

FireWall（config-cmap）#match protocol http /icmp / tcp /udp

注意 class map使用match-all关键字同时匹配DMZ区域中Server的HTTP协议。

FireWall（config）#class-map type inspect match-all Internet-To-DMZ

FireWall（config-cmap）#match protocol http /tcp

FireWall（config）#policy-map type inspect 1

FireWall（config-pmap）#class type inspect Private-To-Internet

FireWall（config-pmap-c）#inspect

FireWall（config）#zone-pair security Private-Internet source Private destination Internet

四、结束语

越来越多的企业重视安全问题，为了保证内部数据和资源的安全性，本篇中主要介绍了基于区域的思科IOS防火墙的概述和综合设计，通过最终的测试，可以很好地通过防火墙的安全策略实现内部网络、外部网络和DMZ区域三个区域的安全访问。

参考文献：

[1]迟恩宇.网络安全与防护[M].高等教育出版社，2014.7.

[2]郭冰；杨海艳. 浅谈一种改进的综合包过滤防火墙的设计与应用 [J]. 网络安全技术与应用， 2017，（6）.

[3]袁玉珠. 计算机网络防火墙的安全设计与应用研究[J]. 数字通信世界， 2016，（6）.

作者简介：

1.陈园园（1985-），女，江西南昌，讲师，江西现代职业技术学院教师，硕士，主要研究方向：计算机应用、网络。

2.帅志军（1977-），男，江西南昌，副教授，江西现代职业技术学院教师，硕士，主要研究方向：计算机网络、硬件。