# ZPF

## Zonas de Seguridad (ZPF - Zone-Based Firewall)

El **ZPF** es una forma de implementar seguridad en un router utilizando **zonas**. En lugar de aplicar reglas de filtrado a interfaces o direcciones IP específicas, se agrupan las interfaces de red en **zonas**. Esto facilita la configuración y gestión del tráfico entre las interfaces, haciendo más sencillo aplicar políticas de seguridad.

<figure><img src="/files/rAy9dmrFwlujcSoTX3Q5" alt=""><figcaption></figcaption></figure>

**Definición de Zonas de Seguridad**:

* Las **zonas de seguridad** agrupan interfaces de un dispositivo en diferentes niveles de confianza.
  * **IN-ZONE** (zona interna) incluye la interfaz donde se encuentran las máquinas de la red interna (por ejemplo, la LAN).
  * **OUT-ZONE** (zona externa) incluye la interfaz conectada a la red externa o internet (por ejemplo, la WAN).

***

## Par de Zonas y Políticas de Inspección (Policy Maps)

### Par de Zonas

El **par de zonas** define cómo se puede mover el tráfico entre diferentes zonas. Por ejemplo, si el tráfico de la **IN-ZONE** (zona interna) debe acceder a la **OUT-ZONE** (zona externa), se configura un par de zonas. Se define una política para controlar cómo se maneja este tráfico (qué se permite o qué se bloquea).

Ejemplo de configuración:

```bash
Router(config)# zone-pair security IN-2-OUT-ZPAIR source IN-ZONE destination OUT-ZONE
```

### Política de Inspección (Policy Map)

Una **política de inspección** se utiliza para determinar cómo se debe manejar el tráfico entre las zonas. En este caso, configuramos un **policy-map** de tipo **inspect** que inspecciona el tráfico entre las zonas. En este mapa, se definen las **clases de tráfico** que deben ser inspeccionadas y qué acciones tomar sobre ellas. Por ejemplo, permitir tráfico de ciertas aplicaciones (HTTP, SSH) o bloquear tráfico como ICMP (ping).

Ejemplo de política:

```bash
R3(config)# policy-map type inspect IN-2-OUT-PMAP
```

***

## Aplicación de Políticas a un Par de Zonas

Una vez creada la política de inspección, se asocia al **par de zonas** para que se aplique a todo el tráfico entre las zonas **IN-ZONE** y **OUT-ZONE**.

Ejemplo de aplicación de la política a un par de zonas:

```bash
R3(config-sec-zone-pair)# service-policy type inspect IN-2-OUT-PMAP
```

***

## Comprobaciones y Diagnóstico

Para asegurarte de que todo está configurado correctamente, se utilizan varios comandos para verificar la configuración y el tráfico:

### Verificar el estado de las políticas

```bash
R3# show zone-pair security
```

Esto te da información sobre el par de zonas y si hay políticas asociadas.

### Verificar el estado de las políticas de inspección

```bash
R3# show policy-map IN-2-OUT-PMAP
```

Esto muestra los detalles sobre las políticas aplicadas a las clases de tráfico, como si se permite o bloquea el tráfico.

### Verificar las sesiones de tráfico inspeccionado

```bash
R3# show policy-map type inspect zone-pair sessions
```

Esto te da detalles sobre el tráfico que ha sido inspeccionado por las políticas, permitiendo verificar si hay conexiones activas y cómo se están manejando.


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://bibliotek.gitbook.io/miwiki/info-util/redes/zpf.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.