728x90
반응형
ZBF(Zone-Based Firewall)는 Cisco에서 제공하는 정책 기반 보안 기능으로, 네트워크 인터페이스를 Zone(영역)으로 나누고, Zone 간의 트래픽 흐름을 제어하는 방식입니다.
기존 CBAC보다 구조적이고 정책 중심적이라 보안 설계에 더 유리하다.
핵심 개념
| 항목 | 설명 |
| 정의 | 인터페이스를 Zone으로 나누고 Zone간 트래픽을 정책(Policy)으로 제어하는 Stateful Firewall |
| 보안 방식 | 상태 기반 필터링(Stateful) + 정책 기반 제어 |
| 구성 방식 | Zone → Class-map → Policy-map → Service-policy |
| 주요 개념 | 1. Zone: 내부, 외부 등 영역 분할 2. Zone Pair 출발 Zone → 도착 Zone 설정 3. Policy-map: 어떤 트래픽을 허용/차단할지 결정 |
ZBF vs CBAC
| 항목 | CBAC | ZBF |
| 세션추적 | 가능 (Stateful) | 가능 (Stateful) |
| 설정 방식 | 인터페이스 기반 | Zone + Policy 기반 |
| 유연성 | 제한적(1:1방식) | 매우 높음 (Zone 간 다대다 설정 가능) |
| 최신성 | 구버전(Legacy) | Cisco r권장 최신 방식 |
| 정책 기반 | X | O |
설정 흐름 요약
1. Zone 생성
zone security INSIDE
zone security OUTSIDE2. 인터페이스에 Zone 지정
interface GigabitEthernet0/0
zone-member security INSIDE
interface GigabitEthernet0/1
zone-member security OUTSIDE3. Clss-map(트래픽 정의)
class-map type inpect match-any CM_HTTP
match protocol http
match protocol https4. Policy-map (행위 정의)
policy-map type inspect PM_WEB
class type inspect CM_HTTP
inspect5. Zone Pair 설정
zone-pair security ZP_IN_OUT source INSIDE detination OUTSIDE
service-policy type inspect PM_WAB장점
- CBAC보다 구조적이라 보안 정책 설계가 쉬움
- 다양한 트래픽 흐름을 정교하게 제어 가능
- CIsco에서도 ZBF를 공식 권장
- NAT, QoS 등과도 잘 연동됨
반응형
'네트워크 > 네트워크' 카테고리의 다른 글
| CBAC(Context-Based Access Control) (0) | 2025.07.25 |
|---|---|
| RALC DACL (2) | 2025.07.25 |
| NAT, PAT 실습(Static, Dynamic) (1) | 2025.07.23 |
| BGP (2) | 2025.07.22 |
| NAT (2) | 2025.07.22 |
