안녕하세요.

해당 문서는 SD-WAN vManage 장비에서 CLI Add-on template 기능을 통해 Zone-based Firewall (ZBFW) 정책을 설정하는 방법에 대한 설명입니다.

 

이 문서에 작성에 사용된 모든 장비는 Default 설정 전제하에서 진행되었고 이미 사용중인 Production network 일 경우 아래 설정 명령의 잠재적인 영향을 고려해야 됩니다.

 

테스트 환경 및 버전:

SD-WAN vManage:  20.9.3.2 버전

IOS-XE Catalyst Edge:  17.6.5a 버전

 

방화벽 정책은 TCP, UDP 및 ICMP 데이터 트래픽 흐름에 대한 상태 저장 검사를 허용하는 일종의 지역화된 보안 정책입니다.

이는 영역 개념(Zones)을 사용하므로 특정 영역에서 시작된 트래픽 흐름은 두 영역 간의 정책에 따라 다른 영역으로 전송할 수 있습니다.

ZBFW 기능의 Zone 유형:  Source Zone  ;  Destination Zone  ;  Interzone  ;  Intrazone  ;  Selfzone

ZBFW 에서 사용되는 또 다른 개념은 Source Zone 을 Destination Zone 과 연결하고 두 존 간의 트래픽에 방화벽 정책을 적용하는 컨테이너인 존 페어입니다.

 

Zone-Pair 정의되면 트래픽에 대해 아래와 같은 적용이 실행됩니다.

Drop:  매칭되는 트래픽을 drop 합니다.

Pass:  패킷 전송을 허용합니다.

Inspect:  Source 에서 Destination zone 으로 흐르는 트래픽에 대한 상태 기반 검사를 허용하고 트래픽 흐름이 자동으로 반환되도록 허용합니다.

 

ZBFW 에 대한 자세한 내용은 아래 링크 접속하여 참고하시기 바랍니다.

https://www.cisco.com/c/en/us/td/docs/routers/sdwan/configuration/security/ios-xe-17/security-book-xe/m-firewall-17.html

https://www.cisco.com/c/en/us/support/docs/routers/sd-wan/217758-cisco-sd-wan-zone-based-firewall-zbfw.html

 

Configuration 방법

 

1) 구성 및 연결:

2) 설정:

SD-WAN에서는 ZBFW를 Data-plan 에 적용하도록 구성합니다. 하지만 Control-plan 이 설정되어 있고 장치가 SD-WAN 컨트롤러와 통신하여 제어 연결을 구축할 수 있는지 확인해야 합니다.

주의:  WAN 인터페이스의 DHCP 설정 여부와 관계없이, 장비가 다시 로드되고 라우터가 새로운 IP 주소를 받아야 하는 경우 self-zone 영역이 Next-hop IP 주소에 도달할 수 있도록 새 규칙을 추가해야 합니다.

 

3) Control Plane

3-1) Inspect parameter map 생성

max-incomplete tcp <timeout> 설정 명령은 tcp 세션이 종료되기 전에 완료되지 않은 최대 연결 수를 지정하는 데 사용됩니다.

multi-tenancy 설정 명령은 ZBFW config에 필요한 global 매개변수입니다.

vManage GUI를 통해 ZBFW를 구성하면 기본적으로 해당 라인이 추가되고 CLI를 통해 ZBFW를 구성하는 경우 해당 명령을 추가해야 합니다.

 

3-2) WAN-Zone 을 생성

 

3-3) source-zone 과 destination-zone 에 대한 object 그룹을 생성 (self-zone 은 default 로 자동 생성되기에 추가 설정 필요없음)

 

3-4) IP access-list 생성

 

3-5) class-map 생성

 

3-6) zone-pair 에 추가할 policy map 을 생성

 

3-7) zone-pair 영역을 생성하고 해당 영역에 policy map 을 연동

control-plan 의 트래픽이 허용된후 data-plan 의 설정을 적용할수 있습니다.

 

3-8) control-connections 의 상태를 체크하려면

Device# show sdwan control connections

 

3-9) self-zone 과 wan-zone 영역이 정상적으로 설정 안되었을 경우 장비의 control-connection 이 끊어지고 다음과 같은 콘솔 오류가 발생할수 있습니다.

*May 11 00:00:00.000: %IOSXE-6-PLATFORM: R0/0: cpp_cp: QFP:0.0 Thread:000 TS:00000004865486441431 %FW-6-DROP_PKT: Dropping udp pkt from internal0/0/rp:0 10.10.10.10:32168 => 10.10.10.11:32168(target:class)-(none:none) due to Zone-pair without policy with ip ident 62472 (srcvpn:dstvpn)-(65534:0)

 

4) Data Plane

4-1) 필요에 따라 모든 VRF 영역에 각각 security-zone 생성

 

4-2) source-zone 과 destination-zone 에 대한 object 그룹을 생성

 

4-3) IP access-list 생성

4-4) class-map 생성

4-5) zone-pair 에 추가할 policy map 을 생성

 

4-6) zone-pair 영역을 생성하고 해당 영역에 policy map 을 연동

'CLI Add-On Feature Templates' 와 'CLI template' 에 대한 자세한 설명은 아래 링크 참고하시기 바랍니다.

https://www.cisco.com/c/en/us/td/docs/routers/sdwan/configuration/system-interface/ios-xe-17/systems-interfaces-book-xe-sdwan/cli-template.html

https://www.cisco.com/c/en/us/td/docs/routers/sdwan/configuration/system-interface/ios-xe-17/systems-interfaces-book-xe-sdwan/cli-add-on-feature-template.html

 

5) 검증 및 트러블슈팅 명령어

Device# show class-map type inspect

Device# show policy-map type inspect

Device# show zone-pair security

Device# show ip access-list

Device# show object-group

Device# show sdwan zonebfwdp sessions

Device# show sdwan zbfw zonepair-statistics

Device# show sdwan zbfw drop-statistics

Device# show platform hardware qfp active statistic drop

Device# show platform hardware qfp active feature firewall drop all

 

이상입니다.