Close Menu
Subscribe

6.4.2 Module 6: Quiz sur les pare-feu basés sur des zones

Aucun commentaire Network Defense

1. Quelle affirmation décrit une fonctionnalité d’un pare-feu de politique basé sur les zones?

  • Le niveau de sécurité du routeur consiste à autoriser le trafic, sauf s’il est explicitement bloqué.
  • Il utilise une structure de données plate et non hiérarchique, ce qui facilite la configuration et le dépannage.
  • Tout le trafic via une interface donnée est soumis à la même inspection.
  • Il ne dépend pas des listes de contrôle d’accès.

Explication: Un pare-feu de politiques basé sur les zones (ZPF) ne nécessite pas l’utilisation de listes de contrôle d’accès complexes. Par défaut, le trafic circulant entre les zones est bloqué, sauf autorisation spécifique, et différents types de trafic peuvent être inspectés différemment, même sur la même interface. ZPF utilise C3PL pour la configuration des politiques, qui est hiérarchique et facilite la configuration et le dépannage.

2. Quelle déclaration décrit une zone lors de la mise en œuvre de ZPF sur un routeur Cisco?

  • Une zone permet de définir des politiques de sécurité pour une interface unique sur le routeur.
  • Une zone est utilisée pour implémenter le filtrage du trafic pour TCP ou UDP.
  • Une zone définit la frontière de sécurité d’un réseau.
  • Une seule zone peut être associée à une même interface.

Explication: La première étape de la mise en œuvre de ZPF consiste à déterminer les zones. Les zones définissent les limites de sécurité d’un réseau. Une zone définit une limite où le trafic est soumis à des restrictions de politique lorsqu’il passe vers une autre région du réseau. La politique entre les zones peut être établie pour restreindre plusieurs sessions de protocole telles que TCP, UDP et ICMP. L’une des considérations de conception consiste à identifier les sous-ensembles dans les zones et à fusionner les besoins en matière de trafic, car plusieurs zones peuvent être indirectement associées à une seule interface d’un pare-feu.

3. La conception d’une ZPF s’effectue en plusieurs étapes. Quelle étape implique de définir les limites du trafic soumis à des restrictions de politique lorsqu’il passe dans une autre région du réseau?

  • concevoir l’infrastructure physique
  • établir des politiques entre les zones
  • identifier les sous-ensembles dans les zones et fusionner les besoins en matière de trafic
  • déterminer les zones

Explication: La conception d’une ZPF comprend plusieurs étapes:

  • Étape 1Déterminer les zones – l’administrateur se concentre sur la séparation du réseau en zones. Les zones définissent les limites de sécurité d’un réseau.
  • Étape 2Établir des politiques entre les zones – pour chaque paire de zones « source-destination », définissez les sessions que les clients des zones sources peuvent demander aux serveurs des zones de destination.
  • Étape 3 Concevoir l’infrastructure physique – une fois les zones identifiées et les besoins en matière de trafic documentés, l’administrateur doit concevoir l’infrastructure physique. Il s’agit notamment de déterminer le nombre de périphériques entre les zones les plus sécurisées et les moins sécurisées et de déterminer les périphériques redondants.
  • Étape 4Identifier les sous-ensembles dans les zones et fusionner les exigences en matière de trafic – pour chaque pare-feu de la conception, l’administrateur doit identifier les sous-ensembles de zones connectés à ses interfaces et fusionner les exigences en matière de trafic pour ces zones.

4. Quelle instruction décrit l’une des règles qui régissent le comportement de l’interface dans le contexte de l’implémentation d’une configuration de pare-feu de stratégie basée sur une zone?

  • Par défaut, le trafic est autorisé à circuler entre une interface membre de zone et toute interface qui n’est pas un membre de zone.
  • Un administrateur peut attribuer des interfaces à des zones, que la zone ait été configurée ou non.
  • Par défaut, le trafic est autorisé à circuler entre les interfaces qui sont membres de la même zone.
  • Un administrateur peut affecter une interface à plusieurs zones de sécurité.

Explication: Une interface ne peut appartenir qu’à une seule zone. La création d’une zone est la première étape de la configuration d’un pare-feu de stratégie basé sur une zone. Une zone ne peut pas être affectée à une interface si la zone n’a pas été créée. Le trafic ne peut jamais circuler entre une interface affectée à une zone et une interface qui n’a pas été affectée à une zone.

5. Quelles sont les trois instructions qui décrivent les règles de pare-feu de politique basée sur les zones qui régissent le comportement des interfaces et le trafic entre les interfaces des membres des zones? (Choisissez trois propositions.)

  • Les options de réussite, d’inspection et d’abandon ne peuvent être appliquées qu’entre deux zones.
  • Par défaut, le trafic est autorisé à circuler entre les interfaces qui sont membres de la même zone.
  • Les interfaces peuvent être attribuées à une zone avant sa création.
  • Un administrateur peut affecter une interface à plusieurs zones de sécurité.
  • Pour que le trafic circule entre toutes les interfaces d’un routeur, chaque interface doit être membre d’une zone.
  • Pour autoriser le trafic vers et depuis une interface de membre de zone, une politique autorisant ou inspectant le trafic doit être configurée entre cette zone et toute autre zone.

Explication: Certaines des règles qui régissent les interfaces dans les zones sont les suivantes:

  • Créez une politique autorisant ou inspectant le trafic afin que le trafic puisse circuler entre cette zone et toute autre zone.
  • Créez des zones avant de les attribuer à une interface.
  • Pour que le trafic circule entre toutes les interfaces d’un routeur, chaque interface doit être membre d’une zone.
  • Le trafic ne peut jamais circuler entre une interface affectée à une zone et une interface qui n’a pas été affectée à une zone. Les actions de réussite, d’inspection ou d’abandon ne peuvent être appliquées qu’entre deux zones.
  • Les interfaces qui appartiennent à la même zone autorisent le trafic entre elles par défaut.

6. Dans la conception ZPF, qu’est-ce qui est décrit comme une zone personnelle?

  • le routeur lui-même, y compris toutes les interfaces avec des adresses IP attribuées
  • un cluster prédéfini de serveurs avec des interfaces configurées
  • l’interface tournée vers l’extérieur sur le routeur de périphérie
  • un cluster prédéfini de routeurs avec des interfaces configurées

Explication: La zone auto est le routeur lui-même et comprend toutes les adresses IP de l’interface du routeur.

7. Commentaire ZPF gère-t-il le trafic entre une interface qui est membre d’une zone et une autre interface qui n’appartient à aucune zone?

  • inspecter
  • autoriser
  • goutte
  • passer

Explication: Les règles permettant à un pare-feu de politique basé sur des zones de gérer le trafic de transit dépendent de l’appartenance ou non des interfaces d’entrée et de sortie à des zones. Si une interface est membre d’une zone, mais pas l’autre, l’action qui en résulte est l’abandon du trafic, qu’il existe ou non une paire de zones.

8. Quelle affirmation décrit un facteur à prendre en compte lors de la configuration d’un pare-feu de politique basé sur les zones?

  • Le routeur filtre toujours le trafic entre les interfaces dans la même zone.
  • La commande classique de firewall ip inspect peut coexister avec ZPF tant qu’elle est utilisée sur des interfaces qui se trouvent dans les mêmes zones de sécurité.
  • Une interface ne peut pas appartenir à plusieurs zones.
  • Une zone doit être configurée avec la commande zone security global avant de pouvoir être utilisée dans la commande zone-member security.

Explication: Une interface ne peut pas appartenir à plusieurs zones. Un pare-feu ne filtre jamais le trafic entre les interfaces qui ont été configurées pour la même zone. La façon dont un pare-feu de politique basée sur des zones coexiste avec une configuration de pare-feu de classe est que les interfaces qui ne sont pas membres d’une zone de sécurité peuvent toujours avoir la commande classique firewall ip inspect appliquée et opérationnelle.

9. Quelle affirmation décrit avec précision le fonctionnement du pare-feu de politique basé sur les zones de Cisco IOS?

  • Les interfaces de gestion des routeurs doivent être attribuées manuellement à la zone autonome.
  • Une interface de routeur peut appartenir à plusieurs zones.
  • Les politiques de service sont appliquées en mode de configuration d’interface.
  • L’action de passe ne fonctionne que dans une seule direction.

Explication: L’action pass dans CCP est similaire au paramètre permit dans une entrée de liste de contrôle d’accès. Pass autorise la circulation dans une seule direction.

10. Lorsqu’un pare-feu de politique basé sur les zones Cisco IOS est configuré, quelles actions peuvent être appliquées à une classe de trafic? (Choisissez deux propositions.)

  • inspecter
  • journal
  • copie
  • goutte
  • transférer
  • tenir

Explication: Les trois actions qui peuvent être appliquées sont inspecter, abandonner et réussir. L’action inspect CCP est similaire à la commande classique de pare-feu ip inspect en ce sens qu’elle inspecte le trafic passant par le pare-feu et permet au trafic de retour qui fait partie du même flux de passer à travers le pare-feu. L’action drop est similaire au paramètre démentir d’une liste de contrôle d’accès. Cette action supprime tout le trafic correspondant à la politique définie. L’action pass est similaire à une instruction permit (ACL): le trafic est autorisé à passer, car il répond aux critères de l’instruction de politique définie.

11. À quelle étape de la configuration du pare-feu de politique basée sur les zones le trafic est-il identifié pour l’application de la politique?

  • configuration des mappages de classes
  • définition des zones
  • attribution de mappages de politiques aux zones
  • création de cartes de politiques

Explication: Au cours de la phase de configuration des mappages de classes, le trafic intéressant est identifié pour une application ultérieure des politiques.

12. Lors de la configuration d’un mappage de classe pour un pare-feu de politique basé sur les zones, commentaire les critères de correspondance sont-ils appliqués lors de l’utilisation du paramètre match-all?

  • Le trafic doit correspondre à tous les critères définis uniquement par les listes de contrôle d’accès.
  • Le trafic doit correspondre aux premiers critères de l’instruction.
  • Le trafic doit correspondre à au moins l’une des déclarations de critères de correspondance.
  • Le trafic doit correspondre à tous les critères de correspondance spécifiés dans l’instruction.

Explication: À l’étape d’identification du trafic d’une configuration ZPF, la syntaxe de la commande class-map type inspect a deux paramètres, match-any et match-all. Le paramètre match-all indique que les paquets doivent répondre à tous les critères de correspondance pour être considérés comme membres de la classe.

Articles liés

S’abonner
Notification pour
guest

0 Comments
Le plus récent
Le plus ancien Le plus populaire
Commentaires en ligne
Afficher tous les commentaires