ZPF
Zonas de Seguridad (ZPF - Zone-Based Firewall)
El ZPF es una forma de implementar seguridad en un router utilizando zonas. En lugar de aplicar reglas de filtrado a interfaces o direcciones IP específicas, se agrupan las interfaces de red en zonas. Esto facilita la configuración y gestión del tráfico entre las interfaces, haciendo más sencillo aplicar políticas de seguridad.
Definición de Zonas de Seguridad:
Las zonas de seguridad agrupan interfaces de un dispositivo en diferentes niveles de confianza.
IN-ZONE (zona interna) incluye la interfaz donde se encuentran las máquinas de la red interna (por ejemplo, la LAN).
OUT-ZONE (zona externa) incluye la interfaz conectada a la red externa o internet (por ejemplo, la WAN).
Par de Zonas y Políticas de Inspección (Policy Maps)
Par de Zonas
El par de zonas define cómo se puede mover el tráfico entre diferentes zonas. Por ejemplo, si el tráfico de la IN-ZONE (zona interna) debe acceder a la OUT-ZONE (zona externa), se configura un par de zonas. Se define una política para controlar cómo se maneja este tráfico (qué se permite o qué se bloquea).
Ejemplo de configuración:
Router(config)# zone-pair security IN-2-OUT-ZPAIR source IN-ZONE destination OUT-ZONEPolítica de Inspección (Policy Map)
Una política de inspección se utiliza para determinar cómo se debe manejar el tráfico entre las zonas. En este caso, configuramos un policy-map de tipo inspect que inspecciona el tráfico entre las zonas. En este mapa, se definen las clases de tráfico que deben ser inspeccionadas y qué acciones tomar sobre ellas. Por ejemplo, permitir tráfico de ciertas aplicaciones (HTTP, SSH) o bloquear tráfico como ICMP (ping).
Ejemplo de política:
R3(config)# policy-map type inspect IN-2-OUT-PMAPAplicación de Políticas a un Par de Zonas
Una vez creada la política de inspección, se asocia al par de zonas para que se aplique a todo el tráfico entre las zonas IN-ZONE y OUT-ZONE.
Ejemplo de aplicación de la política a un par de zonas:
R3(config-sec-zone-pair)# service-policy type inspect IN-2-OUT-PMAPComprobaciones y Diagnóstico
Para asegurarte de que todo está configurado correctamente, se utilizan varios comandos para verificar la configuración y el tráfico:
Verificar el estado de las políticas
R3# show zone-pair securityEsto te da información sobre el par de zonas y si hay políticas asociadas.
Verificar el estado de las políticas de inspección
R3# show policy-map IN-2-OUT-PMAPEsto muestra los detalles sobre las políticas aplicadas a las clases de tráfico, como si se permite o bloquea el tráfico.
Verificar las sesiones de tráfico inspeccionado
R3# show policy-map type inspect zone-pair sessionsEsto te da detalles sobre el tráfico que ha sido inspeccionado por las políticas, permitiendo verificar si hay conexiones activas y cómo se están manejando.
Última actualización