Cisco IOS это довольно многофункциональна платформа, а не только ОС
для роутера, на ней можно развернуть и IP-телефонию и полноценный Firewall. Первое я уже где-то описывал, а со вторым не
сталкивался, но этот момент не заставил себя ждать. Итак, есть такая интересная
незатронутая тема, как Zone-based firewall (ZBF).
В основе всей этой концепции лежит разбиение сети на
отдельные участки или зоны. Самый яркий пример, это когда у нас в сети есть
обычные пользователи, есть общедоступные сервера и, разумеется, выход в
интернет. Само собою понятно, что извне не должно быть доступа к хостам
пользователей, но должен быть доступ к серверам ну и имеется еще ряд нюансов.
Это все можно сделать с помощью списков доступа (
ACL), но как-то это все будет слишком уж
коряво выглядеть и так же работать.
Таким образом, чтобы реализовать
ZBF, надо первым делом разделить сеть на зоны, в нашем случае
это:
- внутренняя, где расположены пользователи (
inside)
- внешняя, непосредственно Интернет (outside)
- демилитаризованная зона, где расположены наши сервера (dmz)
Это общие стандартные названия, называть зоны можно как угодно и создавать их
сколько угодно.