Ugrás a tartalomhoz

zone-based policy firewall

A Wikiszótárból, a nyitott szótárból
(ZBF szócikkből átirányítva)

Angol


Főnév

zone-based policy firewall (tsz. zone-based policy firewalls)

  1. (informatika) A Zone-Based Policy Firewall (ZPF vagy ZBF) egy korszerű, rugalmas tűzfalmegoldás a Cisco IOS rendszerekben, amely a régebbi Classic IOS Firewall ACL-alapú megközelítése helyett zónákra épülő szabályrendszert használ. A ZPF lehetővé teszi, hogy a hálózat különböző szegmenseit logikailag zónákba soroljuk, és ezek között határozzuk meg a forgalmi szabályokat. Ez a megközelítés jobban illeszkedik a modern hálózati architektúrákhoz, és világosabb szabálykezelést biztosít.


🧱 Alapfogalmak

Zóna (Zone)

Egy zóna a hálózati interfészek logikai csoportja. Egy interfész egyszerre csak egy zónába tartozhat. Általában a következő zónákat szokták használni:

  • INSIDE – belső, megbízható hálózat
  • OUTSIDE – külső, nem megbízható hálózat (pl. internet)
  • DMZ – demilitarizált zóna, ahol publikus szerverek helyezkednek el

Zóna-pár (Zone Pair)

A zóna-pár két zóna közötti kapcsolatot jelent (pl. INSIDE → OUTSIDE). Minden zóna-párhoz külön szabályokat (policy) rendelhetünk, amelyek meghatározzák, milyen forgalom engedélyezett vagy tiltott.

Policy (Szabály)

A policy tartalmazza az engedélyezett és tiltott forgalmi típusokat, valamint az alkalmazandó akciókat (inspect, drop, pass). Ezeket osztályokra bontva alkalmazzuk (class-map, policy-map).


⚙️ Működési elv

  1. Interfészek zónákhoz rendelése: Minden interfészt be kell sorolni egy zónába.
  2. Zóna-párok létrehozása: Meghatározzuk, mely zónák között engedélyezett a forgalom.
  3. Class-map definiálása: Milyen típusú forgalmat kezelünk (pl. HTTP, DNS, ICMP stb.).
  4. Policy-map definiálása: Meghatározzuk, mit tegyünk ezekkel a forgalmakkal (inspect, drop, pass).
  5. Szabály hozzárendelése a zóna-párhoz.


🧠 Fontos tudnivalók

  • Implicit deny: Minden olyan forgalom, amelyre nincs explicit szabály, alapból tiltva van a zónák között.
  • Inspect parancs: Állapotfigyelő (stateful) ellenőrzést jelent. A visszirányú forgalom automatikusan engedélyezett lesz, ha az előre irány meg lett vizsgálva.
  • Pass: Csak továbbengedi a forgalmat, de nem figyeli a kapcsolatot.
  • Drop: Eldobja a csomagot.


🔐 Példa konfiguráció (rövidített):

zone security INSIDE
zone security OUTSIDE

interface Gig0/0
 zone-member security INSIDE

interface Gig0/1
 zone-member security OUTSIDE

class-map type inspect match-any WEB_TRAFFIC
 match protocol http
 match protocol https

policy-map type inspect POLICY_INSIDE_TO_OUT
 class type inspect WEB_TRAFFIC
  inspect

zone-pair security ZP-IN-OUT source INSIDE destination OUTSIDE
 service-policy type inspect POLICY_INSIDE_TO_OUT

📌 Előnyök

  • Állapotfigyelés: A kapcsolat alapú forgalomkezelés biztonságosabb.
  • Könnyebb menedzsment: A zónaalapú szemlélet jól szervezhetővé teszi a hálózatot.
  • Finomhangolható szabályok: Lehetőség van protokoll-szintű és alkalmazás-szintű vezérlésre.


⚠️ Hátrányok

  • Bonyolultabb konfiguráció, mint a klasszikus ACL-alapú szabályozás.
  • Teljesítményigényesebb lehet, főleg ha sok kapcsolatot kell nyomon követni.


🎯 Felhasználási területek

  • Kisebb-nagyobb vállalati hálózatokban, ahol több zóna (belső, külső, DMZ) is van.
  • Olyan környezetekben, ahol fontos a részletes forgalomszabályozás és a visszairányú forgalom figyelése.
  • Cisco IOS alapú routereken, amelyek támogatják a ZBF-t.


Összegzés

A Zone-Based Policy Firewall egy modern, erőteljes megoldás a Cisco világában. Lehetővé teszi a hálózati forgalom zónaalapú, állapotfüggő szabályozását, ami sokkal precízebb és biztonságosabb, mint a hagyományos ACL-alapú megközelítés. Bár bevezetése több tervezést és bonyolultabb konfigurációt igényel, hosszú távon jobban átlátható és fenntartható tűzfalrendszert eredményez.


További információk

A lap eredeti címe: „https://hu.wiktionary.org/w/index.php?title=zone-based_policy_firewall&oldid=3494390