Zone-Based Firewall

目录

配置步骤：

1,确定拥有相同功能的接口：如内网，外网，服务器

2,决定zone间流量的流向：如内网需要出去到外网和服务器；而外网和服务器不需要主动连接内网，外能需要能访问服务器

3,设置zone

4,设置zone-pair；如果一个方向没有任何流量需要放行，则不需要设置

5,定义class-map，匹配zone间的流量

6,定义policy-map，关联class-map并做出action

7,在zone-pair 指派policy-map

Policy的行为：

1, inspect ，进行状态化监控，用于in->out的情况，维护状态化信息，出去的能回来

2, Drop 丢弃相应流量

3, pass，不做监控，保证数据能出去

4, Police ，对相应流量执行限速

5, Service-Policy：DPI 执行深度运用层控制

配置Zone：

zone security Inside
zone security Outside
int f0/0
zone-menber security Inside
int f0/1
zone-member security Outside

class-map type inspect match-any  In-Out.traffic
默认动作是match-all