В прошлой статье из цикла о виртуальных сетях мы рассматривали один из очень надежных и важных механизмов безопасности – файрвол на основе инструмента CBAC (Context-Based Access Control). Фактически данный механизм помогает контролировать какому трафику разрешено проходить из доверенной части сети во внешнюю через файрвол и возвращаться обратно. Таким образом, сеть надежно защищена, потому что сессии могут быть инициированы только из доверенной части сети. На внешний интерейс мы можем повесить самый надежный список доступа (access-list): «access-list 101 deny ip any any». Для задач подключения небольшого офиса к сети Интернет такого функционала хватит. В то же время, если у нас появляется такая часть сети, как DMZ (DeMilitarized Zone), то сложность правил у нас возрастает и нам требуется более гибкий механизм, который будет учитывать аж 6 потоков трафика (inside – outside, outside – inside, inside – dmz, dmz – inside, outside – dmz, dmz – outside). Цель данной статьи познакомить Вас с таким механизмом и дать представление о его настройке в виртуальных сетях. Название его, а точнее аббревиатура, в разных источниках разная: это и Cisco ZBF, и Cisco ZFW. Полное же название его выглядит так: Cisco Zone-Based Firewall.
{readmorelink}То ли про ZFW, то ли про ZBF{/readmorelink}
