VPN 방화벽 (12/27)

ZBF 방화벽 - 지역 간의 방화벽만 존재, 일반적인 방화벽에는 Security 방화벽이 존재한다.

(인터페이스에서 지정을 하지는 않음, 인터페이스는 지역 이름만 설정해준다. 나머지는 terminal에서 작업)

 

<실습>

 

● 지역 이름을 먼저 만들어 준다. (대문자는 이름, 명령어 X)

 

● interface에 LAN 지역 이름과 WAN 지역 이름을 등록해준다.

 

● security가 활성화 된 순간부터는 ping이 가지 않는다. (지역 간의 통신만 가능)

 

● LAN에서 WAN으로 가는 zone pair와 WAN에서 LAN으로 가는 zone pair를 만들어준다.

 

● 라우터에 걸려있는 zone pair 보안 정책 보는 명령어

 

 

※ IN -> OUT_C는 클래스 맵 이름

● 조건들을 만들어 주는 구간 - class map

 

● match protocol icmp는 ping 통신을 가능하게 한다.

 

● policy-map - 액션을 취하게 하는 것(막을거냐, 통과시킬거냐)

 

● policy-map을 inspect로 적용한다.

※ inspect -> 나갔다가 들어오는 것을 막거나 허가해주는 것

 

● zone-pair LAN -> WAN 구간으로 Policy를 서비스 한다.

 

● 정책 설정 후 정책이 적용된 것을 확인 할 수 있다. (이렇게 정책만 설정해놓으면 우선 적으로 R1 -> R3로 ping 통신은 가능하다. 그러나, R3에서는 정책이 적용이 되어 있지 않기 때문에 ping이 가지 않는다.)

 

● ICMP만 match 시켜놨기 때문에 R3에서 telnet 설정을 하더라도, R1에서 telnet 연결을 하려고 하면 연결이 되지 않는다.

 

● class map에서 telnet protocol만 추가해주면, telnet 연결이 가능하게 된다.