12思科SD-WAN Zone Based Firewall(ZBF)区域防火墙

小乔

思科SD-WAN Zone Based Firewall(ZBF)区域防火墙

一、vEdge VPN和安全分区

• 基于区域而不是特定IP进行匹配
  

• VPN之间彼此隔离，每个VPN都可以定义为唯一的区域
• VPN之间通信将受到ZB-FW规则的约束
• 比如DIA、Extranet、Shared Services (e.g. Printer based on IP)
  

二、ZB-FW：区域内安全性

• VPN1内的用户可以互访
  

三、ZB-FW：区域间安全性

• 默认VPN1之前可以互访
• 若需要不同VPN间（VON1和VPN2）互访，采用路由泄露（Route Leaking）
  

四、ZB-FW：DIA/DCA安全性

• 默认相同VPN之间互通，不同VPN之间是不可以互访。
• VPN1和VPN2可以位于同一个安全区域中 。
• 如果VPN1和VPN2之间采用路由泄露（互访），则需要区域内安全性。
  

五、ZB-FW：  策略规则

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21

policy lists data-prefix-list list-name  ip-prefix prefix/length zone source-zone-name  vpn vpn-id [one or more VPNs] zone destination-zone-name vpn vpn-id  [one or more VPNs]     zone-to-no-zone-internet (allow | deny) zone-pair pair-name    source-zone source-zone-name    destination-zone destination-zone-name    zone-policy policy-name zone-based-policy policy-name sequence number    match ip-address or port only; protocol match-parameters action     inspect (allows a return connection),drop, pass (does not allow return connection), log other actions    default-action (drop | pass | inspect)  [default is drop]

六、ZB-FW： 配置示例

第①步：在vEdge上面本地策略----安全策略

第②步：创建一个安全策略

第③步：定义一个Interest组

第④步：配置ZB-FW的策略

第⑤步：对区域应用基于区域的策略

第⑥步：将策略附加到vEdge/Template    或者 将模板附件到vEdge

作者：CARLOS_CHIANG
出处：http://www.cnblogs.com/yaoyaojcy/


作者：CARLOS_CHIANG
出处：http://www.cnblogs.com/yaoyaojcy/


来源: 01思科SD-WAN架构概念和基本术语介绍
来源: 02思科SD-WAN控制层面连接的建立过程
来源: 03SD-WAN控制层面连接的建立过程
来源: 04思科SD-WAN OMP协议原理详解（Overlay Management Protocol）
来源: 05思科SD-WAN Segmentation
来源: 06思科SD-WAN 设备集、产品线
来源: 07思科SD-WAN 策略框架概论
来源: 08思科SD-WAN策略框架-集中式控制策略
来源: 09思科SD-WAN策略框架-集中式数据策略

来源: 10思科SD-WAN策略框架-本地策略（控制策略+数据策略）
来源: 11思科SD-WAN Application Aware Routing（AAR）应用感知路由