Zone-Based Policy Firewall(ZBF)

견해·2025년 2월 26일

개념정리 시스코 보안 아카데미

개념 정리

목록 보기

7/7

참고문서

Zone-Based Policy Firewall(ZBF)란?

Zone-Based Policy Firewall(ZBF)는 Zone을 설정하고, Zone 간의 트래픽 흐름을 정책적으로 제어하는 Cisco IOS에서 제공하는 보안 기능.

이는 다중 인터페이스를 가진 라우터에 방화벽 정책 적용을 가능하게 한다.

ZBF의 구성 단계는
1. Zone 설정
2. 인터페이스 할당
3. Class-Map 생성
4. Policy-Map 생성
5. Zone-Pair 설정 및 Policy 적용 => Zone 간 트래픽 흐름을 정의하고, Policy 적용
(기기 configuration 과정에 따라 공식문서와는 다르게 정리하였습니다.)

1. Zone 설정 및

zone security INSIDE
zone security OUTSIDE
zone security DMZ

2. 인터페이스 할당

interface GigabitEthernet0/0
 ip address 192.168.0.1 255.255.255.0
 ip nat inside
 zone-member security INSIDE
!
interface GigabitEthernet0/1
 ip address 203.230.7.1 255.255.255.0
 ip nat outside
 zone-member security OUTSIDE
!
interface GigabitEthernet0/2
 ip address 203.230.8.1 255.255.255.0
 zone-member security DMZ
!
ip access-list standard 1
 10 permit 192.168.0.0 0.0.0.255
!
ip nat inside source list 1 interface GigabitEthernet0/1 overload
!
3.	Class-Map 생성
class-map type inspect match-any ALLOW-INSIDE-TO-OUTSIDE
 match protocol icmp
!
class-map type inspect match-any ALLOW-ICMP
 match protocol icmp
!

해당 class-map은 icmp를 식별할 것이라는 의미

4. Policy-Map 생성

policy-map type inspect INSIDE-TO-OUTSIDE-POLICY
 class type inspect ALLOW-INSIDE-TO-OUTSIDE
  inspect
!
policy-map type inspect OUTSIDE-TO-INSIDE-POLICY
 class class-default
  drop
!
policy-map type inspect OUTSIDE-TO-DMZ-POLICY
class type inspect ALLOW-ICMP
   inspect
!
policy-map type inspect INSIDE-TO-DMZ-POLICY
class type inspect ALLOW-ICMP
   inspect
!

INSIDE-TO-OUTSIDE-POLICY에선 icmp를 검사(나가고 들어오는 것을 계속해서 follow해서 추가 ACL없이 내부에서 보낸 icmp에 대한 응답의 입장을 허용한다는 의미)
OUTSIDE-TO-INSIDE-POLICY에선 모든 트래픽을 차단(drop)

5. Zone-Pair 설정 및 Policy 적용

zone-pair security INSIDE-TO-OUTSIDE source INSIDE destination OUTSIDE
 service-policy type inspect INSIDE-TO-OUTSIDE-POLICY
!
zone-pair security OUTSIDE-TO-INSIDE source OUTSIDE destination INSIDE
 service-policy type inspect OUTSIDE-TO-INSIDE-POLICY
!
zone-pair security OUTSIDE-TO-DMZ source OUTSIDE destination DMZ
 service-policy type inspect OUTSIDE-TO-DMZ-POLICY
!
zone-pair security INSIDE-TO-DMZ source INSIDE destination DMZ
 service-policy type inspect INSIDE-TO-DMZ-POLICY
!