Zone-Based Policy Firewall (ZPF) là gì? Cách ứng dụng vào hệ thống doanh nghiệp

Zone-Based Policy Firewall (ZPF) là gì?

Zone-Based Policy Firewall (ZPF) là một cơ chế tường lửa (firewall) được Cisco phát triển nhằm phân chia mạng thành các vùng bảo mật (zones). Từng vùng sẽ có các chính sách bảo mật khác nhau, từ đó kiểm soát lưu lượng mạng dựa trên các quy tắc (policies) đã được định nghĩa giữa các vùng.

Tại sao cần Zone-Based Policy Firewall?

ZPF mang lại nhiều lợi ích quan trọng:

1. Kiểm soát chi tiết: ZPF cung cấp cơ chế kiểm soát bảo mật linh hoạt hơn so với việc sử dụng ACL (Access Control List) truyền thống.
2. Chính sách rõ ràng: Mỗi vùng mạng có thể được áp dụng các chính sách bảo mật cụ thể cho phép kiểm soát hướng lưu lượng giữa các vùng.
3. Stateful Inspection: ZPF hỗ trợ stateful inspection, nghĩa là kiểm tra trạng thái của các kết nối và chỉ cho phép lưu lượng hợp lệ đi qua.
4. Quản lý dễ dàng hơn: Bằng cách chia mạng thành các vùng, việc quản lý lưu lượng và bảo mật mạng trở nên trực quan và dễ cấu hình hơn.

Nguyên lý hoạt động của ZPF

1. Xác định vùng bảo mật (Zones): Các giao diện của router được chia thành các vùng logic (zones) như vùng bên ngoài (external), vùng nội bộ (internal), hoặc các vùng cụ thể cho từng phòng ban, dịch vụ.
2. Chính sách giữa các vùng (Zone Pairs): Lưu lượng mạng giữa các vùng khác nhau sẽ bị kiểm soát bởi các chính sách bảo mật (policy). Chính sách này xác định lưu lượng nào được phép đi qua, lưu lượng nào sẽ bị chặn hoặc kiểm tra (inspect).
3. Kiểm tra lưu lượng (Traffic Inspection): Khi lưu lượng từ một vùng đi qua một vùng khác, ZPF có thể thực hiện kiểm tra lưu lượng (inspect) để đảm bảo tính hợp lệ và an toàn trước khi cho phép hoặc chặn.
4. Hành động của chính sách (Actions): Có ba hành động chính cho lưu lượng khi đi qua các vùng:
   • Pass: Lưu lượng được cho phép đi qua mà không cần kiểm tra.
   • Drop: Lưu lượng bị từ chối và không cho phép đi qua.
   • Inspect: Lưu lượng sẽ được kiểm tra trạng thái trước khi quyết định có cho phép tiếp tục hay không.

Các bước cấu hình Zone-Based Policy Firewall

Để cấu hình ZPF trên router Cisco, cần thực hiện các bước sau:

Bước 1: Xác định các vùng bảo mật (Zones)

bashCopyEditRouter(config)# zone security INTERNAL
Router(config)# zone security EXTERNAL

Bước 2: Xác định chính sách giữa các vùng (Class Map và Policy Map)

• Class Map: Dùng để định nghĩa loại lưu lượng cần kiểm soát.

bashCopyEditRouter(config)# class-map type inspect match-all HTTP_TRAFFIC
Router(config-cmap)# match protocol http

• Policy Map: Xác định hành động áp dụng lên loại lưu lượng đã xác định ở bước Class Map.

bashCopyEditRouter(config)# policy-map type inspect ZONE_POLICY
Router(config-pmap)# class type inspect HTTP_TRAFFIC
Router(config-pmap-c)# inspect

Bước 3: Áp dụng chính sách vào các vùng (Zone Pairs)

• Tạo liên kết giữa các vùng và áp dụng chính sách.

bashCopyEditRouter(config)# zone-pair security ZONE_PAIR source INTERNAL destination EXTERNAL
Router(config-sec-zone-pair)# service-policy type inspect ZONE_POLICY

Bước 4: Gán giao diện mạng vào vùng (Assign Interfaces to Zones)

• Cuối cùng, gán các giao diện của router vào các vùng đã tạo.

bashCopyEditRouter(config)# interface gigabitethernet 0/0
Router(config-if)# zone-member security INTERNAL

Router(config)# interface gigabitethernet 0/1
Router(config-if)# zone-member security EXTERNAL