مفهوم Zone و Zone Pair در فایروال Zone Based سیسکو چیست؟
یک zone یک محل منطقی است که در آن دستگاه ها با درجه اطمینان و شرایط یکسان در آن قرار دارند به طور مثال ، یک zone برای DMZ در نظر گرفته می شود که در این zone دستگاه های DMZ قرار دارند. یک zone توسط مدیر ایجاد می شود و سپس اینترفیس ها با آن اختصاص می یابند. یک zone می تواند یک یا چند اینترفیس داشته باشد. هر اینترفیس فقط می تواند به یک zone متعلق باشد. یک zone پیش فرص وجود دارد که به آن self zone گفته می شود که یک zone منطقی است.
دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
هر بسته ای که مقصد آن خود روتر باشد به عنوان ترافیک ورودی به self zone می باشد. همچنین ترافیک هایی که توسط روتر ایجاد می گردد به عنوان ترافیک خروجی از self zone در نظر گرفته می شود. به صورت پیش تمام ترافیک از یا به self zone اجازه عبور دارد اما می توانید آنرا تغییر دهید.برای باقی zone ها که توسط مدیر ایجاد می شود هیچ ترافیکی اجازه عبور را ندارد. برای اینترفیس هایی که عضو یک zone هستند به صورت پیش فرض اجازه عبور ترافیک بین آنها وجود دارد.
در اینجاست که اگر شما بخواهید اجازه عبور ترافیک بین دو zone را بدهید به طور مثال بین inside و outside ، باید سیاست ها را برای ترافیک بین دو zone مشخص کنید و در اینجاست که به zone pair نیاز پیدا می شود. یک zone pair مبدا و مقصد ترافیک را مشخص می کند. سپس مدیر شبکه مجموعه ای از سیاست ها را به این zone pair که یکطرفه است اعمال می کند.یک سازمان کوچک که دارای تعدادی کاربر در شبکه داخلی خود است و این کاربران نیاز به استفاده از اینترنت دارند را در نظر بگیرد ، برای این سازمان باید دو zone ایجاد کرد یک zone برای شبکه داخلی و zone دیگر برای شبکه خارجی یا به عبارتی شبکه اینترنت.
سپس اینترفیس متصل به شبکه داخلی را به zone شبکه داخلی اختصاص داد و همینطور اینترفیس متصل به اینترنت را به zone شبکه خارجی اختصاص داد. سپس یک policy باید ایجاد شود و ترافیک های مورد نیاز کاربران به شبکه اینترنت را در آن مشخص کرد تا این ترافیک inspected شود و اطلاعات آن در دیتابیس stateful قرار گیرد. سپس این policy را به یک zone pair اعمال می کنیم تا ترافیک شبکه داخلی به خارجی را شناسایی کند. یک سازمان بزرگتر ممکن است سرورهای عمومی داشته باشد و این سرورها از طریق اینترنت قابل دسترسی باشند.
برای این حالت سه اینترفیس و سه zone نیاز است و می توان آنها را inside ، outside و DMZ در نظر گرفت. در مقایسه با سازمان کوچک ، این سازمان حداقل نیاز به یک zone pair اضافه دارد (از شبکه اینترنت به DMZ) و policy مورد نظر برای اجازه ورود ترافیک از شبکه اینترنت به DMZ توسط این policy به zone pair اعمال می شود و این zone pair امکان دسترسی به سرورهای عمومی سازمان را برای کاربران از طریق اینترنت فراهم می کند.تصویر زیر یک مثال از یک سازمان متوسط با DMZ را نشان می دهد.
