Module 10 : Pare-feu de

stratégie basés sur les zones

MOMO AUDREY
Formatrice en Sécurité et
Cybersécurité
Objectifs du module
Titre du module : Pare-feu de stratégie basés sur les zones

Objectif du module: Implémentez le pare-feu de stratégie basé sur les zones à l'aide de la CLI.

Titre du sujet Objectif du sujet

Présentation de ZPF Expliquez comment les pare-feu basés sur les zones sont utilisés pour
aider à sécuriser un réseau.

Opération ZPF Expliquez le fonctionnement d'un pare-feu de stratégie basé sur les
zones.

Configurer un ZPF Configurez un pare-feu basé sur les zones avec CLI.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 2
10.1 Présentation de ZPF

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 3
Présentation de ZPF
10.1.1 Avantages d'un ZPF
Il existe deux modèles de configuration pour le pare-feu Cisco IOS :
• Pare-feu classique - Le modèle de configuration traditionnel dans lequel la politique de
pare-feu est appliquée sur les interfaces.
• Pare-feu de stratégie basé sur les zones (ZPF) - Le nouveau mode de configuration
dans lequel les interfaces sont affectées aux zones de sécurité et la politique de pare-
feu est appliquée au trafic circulant entre les zones.
Il y a plusieurs avantages d'un ZPF :
• Il ne dépend pas des ACL.
• La posture de sécurité du routeur est de bloquer, sauf autorisation explicite.
• Les stratégies sont faciles à lire et à dépanner avec Cisco Common Classification
Policy Language (C3PL). C3PL est une méthode structurée pour créer des politiques de
trafic basées sur des événements, des conditions et des actions. Cela offre une
évolutivité car une stratégie affecte un trafic donné, au lieu d'avoir besoin de plusieurs
ACL et actions d'inspection pour différents types de trafic.
• Les interfaces virtuelles et physiques peuvent être regroupées en zones.
• Les politiques sont appliquées au trafic unidirectionnel entre les zones.
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 4
Présentation de ZPF
10.1.2 Conception ZPF
La conception de ZPF implique plusieurs étapes :

Étape 1. Déterminez les zones. Une zone définit une limite où le trafic est soumis à
des restrictions de politique lorsqu'il traverse une autre région du réseau.

Étape 2. Établir des politiques entre les zones. Définissez les sessions que les
clients des zones sources peuvent demander aux serveurs des zones de destination.

Étape 3. Concevoir l'infrastructure physique. Cela comprend la dictée du nombre

de périphériques entre les zones les plus sécurisées et les moins sécurisées et
la détermination des périphériques redondants.

Étape 4. Identifiez les sous-ensembles au sein des zones et fusionnez les

exigences de trafic. Bien qu'il s'agisse d'une considération importante, la mise en
œuvre de sous-ensembles de zones dépasse le cadre de ce programme.
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 5
Présentation de ZPF
10.1.2 Conception ZPF (suite)
Exemple de réseau local vers
Internet

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 6
Présentation de ZPF
10.1.2 Conception ZPF (suite)
Pare-feu avec serveurs publics Exemple 1

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 7
Présentation de ZPF
10.1.2 Conception ZPF (suite)
Pare-feu avec serveurs publics Exemple 2

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 8
Présentation de ZPF
10.1.2 Conception ZPF (suite)
Pare-feu redondants

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 9
Présentation de ZPF
10.1.2 Conception ZPF (suite)
Pare-feu complexe

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 10
10.2 Fonctionnement du ZPF

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 11
Opération ZPF
10.2.1 Actions ZPF
Les stratégies identifient les actions que le ZPF effectuera sur le trafic réseau. Trois
actions possibles peuvent être configurées pour traiter le trafic par protocole, zones
source et destination (paires de zones) et autres critères.

• Inspect (Inspecter)- Effectue une inspection des paquets avec état Cisco
IOS.
• Drop (rejeter) - Analogue à un Deny dans une ACL. Un Log (Journal) est
disponible pour enregistrer les paquets rejetés.
• Pass (Passe ou autorise) - Analogue à un permit dans une ACL. L'action pass
ne suit pas l'état des connexions ou des sessions dans le trafic.
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 12
Opération ZPF
10.2.2 Règles pour le trafic de transit
Le trafic transitant par les interfaces des
routeurs est soumis à plusieurs règles
régissant le comportement des interfaces.
Pour l'exemple de trafic de transit, reportez-
vous à la topologie illustrée dans la figure.

Interface source Membre Interface de destination La paire de zones existe-t- La politique existe-t-elle ? Résultat
de la zone ? Membre de la zone ? elle ?
NON NON N/A N/A PASS
OUI NON N/A N/A DROP
NON OUI N/A N/A DROP
OUI (privé) OUI (privé) N/A N/A PASS
OUI (privé) OUI (public) NON N/A DROP
OUI (privé) OUI (public) OUI NON PASS
OUI (privé) OUI (public) OUI OUI INSPECT
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 13
Opération ZPF
ZPF 10.2.3 Règles de circulation vers la Self Zone
La zone self est le routeur lui-même et comprend toutes les adresses IP attribuées aux
interfaces du routeur. Il s'agit du trafic qui provient du routeur ou qui est adressé à une interface
de routeur.

Les règles varient selon que le routeur est la source ou la destination du trafic, comme indiqué
dans le tableau.
Interface source Membre Interface de destination La paire de zones existe-t- La politique existe-t-elle ? Résultat
de la zone ? Membre de la zone ? elle ?

OUI (zone personnelle) OUI NON N/A PASS

OUI (zone personnelle) OUI OUI NON PASS

OUI (zone personnelle) OUI OUI OUI INSPECT

OUI OUI (zone personnelle) NON N/A PASS

OUI OUI (zone personnelle) OUI NON PASS

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 14
OUI OUI (zone personnelle) OUI OUI INSPECT
10.3 Configurer un ZPF

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 15
Configurer un ZPF
10.3.1 Configurer un ZPF
La topologie et les étapes illustrées dans la figure seront utilisées dans le reste de cette rubrique
pour illustrer la configuration ZPF.

Étape 1 : Créez les zones.

Étape 2 : Identifiez le trafic avec une class-map..
Étape 3 : Définir une action avec une policy-map.
Étape 4 : identifiez une paire de zones et associez-la à une policy-map
Étape 5 : Attribuez des zones aux interfaces appropriées.
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 16
Configurer un ZPF
10.3.2 Étape 1. Créer des zones
La première étape consiste à créer les zones. Cependant, avant de créer les zones, répondez à
quelques questions :
• Quelles interfaces doivent être incluses dans les zones ?
• Quel sera le nom de chaque zone ?
• Quel trafic est nécessaire entre les zones et dans quel sens ?

Dans l'exemple de topologie, nous avons deux interfaces, deux zones et un trafic circulant dans
une direction. Le trafic provenant de la zone publique ne sera pas autorisé. Créez les zones
privées et publiques pour le pare-feu avec la commande de sécurité de zone, comme illustré ici.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 17
Configurer un ZPF
10.3.3 Étape 2. Identifiez le trafic
La deuxième étape consiste à utiliser une class-map pour identifier le trafic auquel une
politique sera appliquée.
La figure montre la syntaxe de la commande class-map . Il existe plusieurs types de class-
maps. Pour une configuration ZPF, utilisez le mot-clé inspect pour définir une class-map.
Déterminez comment les paquets sont évalués lorsque plusieurs critères de correspondance
existent. Les paquets doivent répondre à l'un des critères de correspondance (match-any ou
tous les critères de correspondance (match-all) pour être considéré comme un membre du
groupe.

Paramètre La description
match-any Les paquets doivent répondre à l'un des critères de correspondance pour être considérés comme
membres de la classe.
match-all Les paquets doivent répondre à tous les critères de correspondance pour être considérés comme
membres de la classe.
class-map-name Nom du class-map qui sera utilisé pour configurer la politique de la© classe dans
2021 Cisco and/or le policy-map.
its affiliates. All rights reserved. Cisco Confidential 18
Configurer un ZPF
10.3.3 Étape 2. Identifiez le trafic (suite)
La figure montre la syntaxe des instructions de correspondance en mode de sous-configuration
class-map. Faites correspondre le trafic à une liste de contrôle d'accès, à un protocole
spécifique ou même à un autre mappage de classe.

Paramètre La description
match access-group Configure les critères de correspondance pour un mappage de classe en fonction du
numéro ou du nom d'ACL spécifié.
match protocol Configure les critères de correspondance pour un mappage de classe en fonction du
protocole spécifié.
match class-map Utilise une autre class-map pour identifier le trafic.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 19
Configurer un ZPF
10.3.4 Étape 3. Définir une action
La troisième étape consiste à utiliser une carte de politique pour définir l'action à
entreprendre pour le trafic membre d'une classe. La figure montre la syntaxe de
commande pour configurer un policy-map. Une action est une fonctionnalité
spécifique. Il est généralement associé à une classe de trafic. Par exemple, inspect,
drop, et pass sont des actions.

Paramètre La description
inspect Une action qui offre un contrôle du trafic basé sur l'état. Le routeur
conserve les informations de session pour TCP et UDP et autorise le trafic
de retour.

drop Ignore le trafic indésirable

pass Une action sans état qui permet au routeur de transférer
© 2021 Ciscole trafic
and/or d'une
its affiliates. All rights reserved. Cisco Confidential 20
zone à une autre
Configurer un ZPF
10.3.5 Étape 4. Identifiez une zone-paire et faites correspondre à une stratégie
La quatrième étape consiste à identifier une paire de zones et à associer cette
paire de zones à une policy-map. La figure montre la syntaxe de la commande.
Créez une paire de zones avec la commande zone-pair security. Utilisez ensuite la
commande service-policy type inspect pour attacher un policy-map et son action
associée à la zone-pair.

Paramètre La description
source source-zone-name Spécifie le nom de la zone d'où provient le trafic.
destination destination-zone- Spécifie le nom de la zone à laquelle le trafic est destiné.
name
self Spécifie la zone définie par le système.© Indique si le trafic ira vers ou depuis
le routeur lui-même.
2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 21
Configurer un ZPF
10.3.6 Étape 5. Attribuez des zones aux interfaces
La cinquième étape consiste à affecter des zones aux interfaces appropriées. L'association
d'une zone à une interface appliquera immédiatement la politique de service qui a été associée à
la zone. Si aucune politique de service n'est encore configurée pour la zone, tout le trafic de
transit sera abandonné. Utilisez la commande zone-member security pour affecter une zone à
une interface. Dans l'exemple, GigabitEthernet 0/0 se voit attribuer la zone PRIVATE et Serial
0/0/0 se voit attribuer la zone PUBLIC.

Dans l'exemple suivant, GigabitEthernet 0/0 se voit attribuer la zone PRIVATE et Serial 0/0/0 se
voit attribuer la zone PUBLIC.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 22
Configurer un ZPF
10.3.7 Vérifier une configuration ZPF

Vérifiez une configuration ZPF en

affichant la configuration en cours.
Notez que la class-map est
répertoriée en premier. Ensuite, la
policy-map utilise le class-map.

Les configurations de zone suivent

les configurations de carte de
stratégie avec le nommage de
zone, l'appariement de zone et
l'association d'une stratégie de
service à la paire de zones.

Enfin, les interfaces se voient

attribuer des zones. © 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 23
Configurer un ZPF
10.3.7 Vérifier une configuration ZPF (suite)
L'exemple montre des informations de vérification
après un test de la configuration ZPF. Un hôte de zone
PRIVÉ 192.168.1.3 a établi une session HTTPS avec
un serveur Web à 10.1.1.2. Notez plus bas dans la
sortie de la commande que quatre paquets
correspondent au class class-default. . Ces
informations de vérification ont été générées en
demandant à l'hôte 192.168.1.3 d'envoyer un ping au
serveur Web à l'adresse 10.1.1.2.

Les autres commandes incluent :

• show class-map type inspect
• show zone security
• show zone-pair security
• show policy-map type inspect
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 24
Configurer un ZPF
10.3.9 Considérations relatives à la configuration ZPF
Lors de la configuration d'un ZPF avec la CLI, plusieurs facteurs doivent être pris en compte :

• Le routeur ne filtre jamais le trafic entre les interfaces d'une même zone.
• Une interface ne peut pas appartenir à plusieurs zones. Pour créer une union de zones de
sécurité, spécifiez une nouvelle zone et des paires de carte de stratégie et de zone
appropriées.
• ZPF peut coexister avec le pare-feu classique bien qu'ils ne puissent pas être utilisés sur la
même interface. Retirer la commande ip inspect de configuration d'interface avant d'appliquer
la commande zone-member security. Le trafic ne peut jamais circuler entre une interface
affectée à une zone et une interface sans affectation de zone. Sachez que l’application de la
commande zone-member entraîne toujours une interruption temporaire du service jusqu'à
ce que l'autre membre de la zone soit configuré.
• La stratégie inter-zone par défaut consiste à supprimer tout le trafic, sauf autorisation
spécifique contraire de la stratégie de service configurée pour la paire de zones.
• La commande zone-member ne protège pas le routeur lui-même (le trafic vers et depuis le
routeur n'est pas affecté) à moins que les paires de zones ne soient configurées à l'aide de la
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
zone self prédéfinie.
25
Configurer un ZPF
Packet Tracer - Configurer ZPF

Dans ce Packet Tracer, vous atteindrez les objectifs suivants :

• Vérifiez la connectivité entre les appareils avant la configuration du

pare-feu.
• Configurez un ZPF sur le routeur R3.
• Vérifiez la fonctionnalité ZPF à l'aide de ping, Telnet et un navigateur
Web.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 26
Configurer un ZPF
Atelier - Configurer les ZPF

Dans cet atelier, vous atteindrez les objectifs suivants :

• Effectuez une configuration de base du routeur.

• Utiliser la CLI pour configurer un ZPF
• Utilisez la CLI pour vérifier la configuration.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 27