CiscoIOS防火墙传统和基于区域虚拟防火墙应用程序配置.PDF

Cisco IOS 防火墙传统和基于区域的虚拟防火墙应 用程序配置示例 目录 简介 先决条件 要求 使用的组件 规则 背景信息 功能支持 VRF 配置 VRF 感知 IOS 防火墙的常见用途概述 不支持的配置 配置 VRF 感知 Cisco IOS 传统防火墙 VRF 感知 Cisco IOS 区域策略 IOS 防火墙 结论 验证 故障排除 相关信息 简介 本文档介绍了有关 VRF 感知虚拟防火墙功能、配置过程以及各种应用方案的使用案例等方面的技术 背景。 Cisco IOS软件版本12.3(14)T介绍的虚拟(VRF感知)防火墙，延伸虚拟路由转发(VRF)除存在VPN、 NAT、QoS和其他VRF感知功能之外，功能家族提供有状态的包侦测，透明防火墙、应用检查和 URL过滤。多数可预见的应用方案将应用 NAT 和其他功能。如果不需要 NAT，则可以在 VRF 间应 用路由，以提供 VRF 间连接。Cisco IOS 软件在 Cisco IOS 传统防火墙和 Cisco IOS 区域策略防火 墙中均提供了 VRF 感知功能，本文档提供了这两种配置模型的示例。本文将重点介绍区域策略防火 墙配置。 先决条件 要求 本文档没有任何特定的要求。 使用的组件 本文档不限于特定的软件和硬件版本。 规则 有关文档规则的详细信息，请参阅 Cisco 技术提示规则。 背景信息 功能支持 在高级安全镜像、高级 IP 服务镜像和高级企业镜像以及带有 o3 标识的传统命名原则镜像（该标识 表示它集成了 Cisco IOS 防火墙功能集）中均提供了 VRF 感知防火墙。在 12.4 中，VRF 感知防火 墙功能已被合并到 Cisco IOS 软件主线版本中。要应用 VRF 感知区域策略防火墙，您需要使用 Cisco IOS 软件版本 12.4 (6)T 或更高版本。Cisco IOS基于区域的策略防火墙不与有状态故障切换 一起使用。 VRF 配置 Cisco IOS 软件在相同配置文件中维护全局 VRF 和所有专用 VRF 的配置。如果用户通过命令行界 面访问路由器配置，则在 CLI 视图功能中提供的基于角色的访问控制可以用于限制路由器操作和管 理人员的能力。管理应用例如Cisco Security Manager (CSM)也提供基于任务的访问控制保证操作 人员限制对适当级别功能。 VRF 感知 IOS 防火墙的常见用途概述 VRF感知防火墙添加有状态的包侦测到Cisco IOS虚拟路由/转发(VRF)功能。IPSec VPN，网络地址 转换(NAT)/端口地址转换(PAT)，入侵防御系统(IPS)和其他Cisco IOS安全安全性服务可以与VRF感 知防火墙一起提供在VRF的完全的一套安全服务。VRF 支持利用重叠 IP 地址编号实现的多路由空 间，因此可以将路由器分成多个分离的路由实例，以进行数据流分离。VRF 感知防火墙在路由器跟 踪的所有检查活动的会话信息中包含一个 VRF 标签，从而可以区分可能在其他各方面都相同的连接 状态信息。VRF 感知防火墙可以检查一个 VRF 中的接口，也可以检查不同 VRF 中的接口（例如在 数据流跨越 VRF 边界的环境中），从而可以非常灵活地对 VRF 内和 VRF 间的数据流进行防火墙 检查。 VRF 感知 Cisco IOS 防火墙应用可以分为两种基本类别： 多租户单站点 — 使用位于一个位置的重叠地址空间或分离路由空间实现多租户 Internet 访问。 状态防火墙应用于每个 VRF 的 Internet 连接，以进一步降低通过开放 NAT 连接带来威胁的可 能性。可以应用端口转发以允许连接到 VRF 中的服务器。 本 文档针对 VRF 感知传统防火墙配置模型和 VRF 感知区域防火墙配置模型分别提供了一个多租 户单站点应用的示例。 多租户多站点 — 共享大型网络中设备的多个租户需要通过 VPN 或 WAN 连接来连接位于不同 站点的多个租户的 VRF，从而在多个站点间建立连接。位于一个或多个站点的各个租户可能需 要能够访问 Internet。为了简化管理，多个部门可以将其网络整合为每个站点具有一个访问路由 器，但不同部门需要具有独立的地址空间。