Está en la página 1de 2

Zone-Based Policy Firewall

Qu es?
ZBPF es una herramienta propietaria de cisco que permite inspeccionar el trfico que circula por
medio de una interfaz y que est destinado a otro dispositivo que posea otra interfaz distinta del
de origen, bajo esta herramienta podemos definir como el trafico puede cruzar el Router y alcance
algn destino en especfico.

Cmo funciona?
ZBPF funciona por medio de zonas, en donde en una de estas zonas se asigna una o ms interfaces,
y las decisiones del Router con el que se realizar con el trfico que es recibido por medio de las
zonas y que ser posteriormente destinado a otra zona dependiendo de qu zona se configure.
Existen dos tipos de zonas las cuales se pueden configurar como lo son la Outisde e Inside. En el
caso que se requiera implementar la seguridad dentro de una red interna tal sea como una oficina
se tendr que configurar como Inside, en el caso que se tenga que hacer la seguridad afuera de la
red de la empresa en la cual se va a implementar, se tiene que usar la zona Outisde, ac en los
cuales generalmente se hace afuera de la red en la que se est haciendo la configuracin. Otra
zona utilizada es la Self Zone, cual es usada para el trfico originado y destinado para el control
del equipo en cuestin. Por default se permite todo el trfico.

Con respecto al filtrado del trfico, ZBPF permite 3 tipos de filtrado los cuales son: Intra, el cual es
el trafico originado en una misma zona y este llegue a un host de destino, mayormente se utiliza
cuando se tienen mltiples interfaces asignadas a una misma zona, el segundo es Inter, el cual el
trfico se origina en una zona y este est destinada a un host de otra zona (Inside a Outisde). Por
default se restringe todo el trfico.

Y por ltimo est el Self, que todo el trfico destinado y originado por la zona self es permitida

Opciones adicionales
Otras acciones que se pueden realizar dentro de la configuracin por medio de class maps, son
Inspect, Pass, Log y Police.

Inspect, permite el trfico que ingresa y est basado bajo tabla de estados.
Pass, permite todo el trfico de salida, pero no permite el trfico de entrada.
Log, nicamente genera un mensaje syslog
Police, limita el trfico.

Bien, como podemos apreciar, ZBPF es una herramienta bastante til al momento de querer
implementar nuestra red, ya que permite un control del trfico de red que circula dentro y fuera de
las instalaciones de la clnica, el cual permitir clasificar las interfaces y dispositivos para que
cuando se necesite de permitir o denegar el acceso a la red sea de la manera ms ptima y limpia,
para entonces cuando se requiera denegar o permitir el flujo de red se pueda hacer la
configuracion respectiva dentro de la red.