6.4.2 Módulo 6 – Prueba de firewalls basados en zonas respuestas

Última actualización: mayo 8, 2025

6.4.2 Módulo 6 – Prueba de firewalls basados en zonas Respuestas Español

1. ¿Qué enunciado describe una función de un firewall de políticas basado en zonas?

  • No depende de las ACL.
  • Utiliza una estructura de datos plana y no jerárquica que facilita la configuración y la solución de problemas.
  • La postura de seguridad del router es permitir el tráfico a menos que se bloquee explícitamente.
  • Todo el tráfico a través de una interfaz determinada está sujeto a la misma inspección.
Explicación: Un firewall de políticas basado en zonas (ZPF) no requiere el uso de ACL complejas. De manera predeterminada, el tráfico que viaja entre zonas está bloqueado a menos que se permita específicamente, y los diferentes tipos de tráfico pueden inspeccionarse de manera diferente incluso en la misma interfaz. ZPF utiliza C3PL para la configuración de políticas, que es jerárquica y permite una configuración y una solución de problemas más sencillas.

2. ¿Qué enunciado describe una zona al implementar ZPF en un router de Cisco?

  • Una zona se utiliza para definir políticas de seguridad para una interfaz única en el router.
  • Solo se puede asociar una zona a una sola interfaz.
  • Una zona establece una frontera de seguridad de una red.
  • Una zona se utiliza para implementar el filtrado de tráfico para TCP o UDP.
Explicación: El primer paso para implementar ZPF es determinar las zonas. Las zonas establecen las fronteras de seguridad de la red. Una zona define una frontera donde el tráfico se somete a las restricciones de las políticas al pasar a otra región de la red. La política entre zonas puede establecerse para restringir varias sesiones de protocolo, como TCP, UDP e ICMP. Una consideración de diseño es identificar subconjuntos dentro de las zonas y fusionar los requisitos de tráfico porque varias zonas pueden conectarse indirectamente a una sola interfaz de un firewall.

3. El diseño de una ZPF requiere varios pasos. ¿Qué paso implica la definición de los límites en los que el tráfico está sujeto a las restricciones de la política cuando cruza a otra región de la red?

  • establecer políticas entre zonas
  • determinar las zonas
  • diseñar la infraestructura física
  • identificar subconjuntos dentro de las zonas y unificar los requisitos de tráfico
Explicación: El diseño de ZPF implica varios pasos:

  • Paso 1Determinar las zonas – el administrador se centra en la separación de la red en zonas. Las zonas establecen las fronteras de seguridad de la red.
  • Paso 2Establecer políticas entre zonas – Para cada par de zonas «origen-destino», definir las sesiones que los clientes de las zonas de origen pueden solicitar a los servidores de las zonas de destino.
  • Paso 3Diseño de la infraestructura física – después de identificar las zonas y documentar los requisitos de tráfico entre ellas, el administrador debe diseñar la infraestructura física. Esto incluye dictar la cantidad de dispositivos entre las zonas más seguras y las menos seguras y determinar los dispositivos redundantes.
  • Paso 4Identificar subconjuntos dentro de las zonas y combinar los requisitos de tráfico – para cada dispositivo de firewall en el diseño, el administrador debe identificar los subconjuntos de zonas que están conectados a sus interfaces y combinar los requisitos de tráfico para esas zonas.

4. ¿Cuál enunciado describe una de las reglas que rigen el comportamiento de las interfaces en el contexto de la implementación de una configuración de política de Firewall basado en zonas (zone-based policy firewall configuration)?

  • Un administrador puede asignar una interfaz a varias zonas de seguridad.
  • Un administrador puede asignar interfaces a zonas, independientemente de si la zona haya sido configurada.
  • Por defecto, es permitido que el tráfico fluya entre una interfaz que es miembro de una zona y cualquier interfaz que no es un miembro de esa zona.
  • Por defecto, es permitido que el tráfico fluya entre las interfaces que son miembros de la misma zona.
Explicación: Una interfaz puede pertenecer solo a una zona. Crear una zona es el primer paso para configurar una política de Firewall basado en zonas. No se puede asignar una zona a una interfaz si la zona no ha sido creada. El tráfico nunca puede fluir entre una interfaz asignada a una zona y una interfaz que no ha sido asignada a una zona.

5. ¿Qué tres afirmaciones describen las reglas de firewall de políticas basadas en zonas que rigen el comportamiento de la interfaz y el tráfico que se mueve entre las interfaces de los miembros de la zona? (Escoja tres opciones).

  • Si el tráfico debe fluir entre todas las interfaces en un router, cada interfaz debe ser miembro de una zona.
  • Por defecto, se impide implícitamente que el tráfico fluya entre las interfaces que son miembros de la misma zona.
  • Para permitir el tráfico hacia y desde la interfaz miembro de una zona, debe configurarse una política que permita o inspeccione el tráfico entre esa zona y cualquier otra.
  • Las opciones pass, inspect y descarta solo se pueden aplicar entre dos zonas.
  • Las interfaces se pueden asignar a una zona antes de crear la zona.
  • Una interfaz puede ser asignada a varias zonas de seguridad.
Explicación: Algunas de las reglas que rigen las interfaces en las zonas son las siguientes:

  • Cree una política que permita o inspeccione el tráfico para que pueda fluir entre esa zona y cualquier otra zona.
  • Cree zonas antes de asignarlas a una interfaz.
  • Si el tráfico debe fluir entre todas las interfaces en un router, cada interfaz debe ser miembro de una zona.
  • El tráfico no puede fluir entre una interfaz que ha sido asignada a una zona y otra que no ha sido asignada a una zona. Las acciones pass, inspect y descarta solo se pueden aplicar entre dos zonas.
  • Las interfaces que pertenecen a la misma zona permiten el flujo de tráfico entre ellas de manera predeterminada.

6. En el diseño de ZPF, ¿qué se describe como self zone?

  • un clúster predefinido de servidores con interfaces configuradas
  • un clúster predefinido de routers con interfaces configuradas
  • el propio router, incluidas todas las interfaces con direcciones IP asignadas
  • la interfaz de salida en el router de borde
Explicación: La self zone es el propio router e incluye todas las direcciones IP asignadas a las interfaces del mismo.

7. ¿Cómo maneja ZPF el tráfico entre una interfaz que es miembro de una zona y otra interfaz que no pertenece a ninguna zona?

  • permitir
  • inspeccionar
  • terminal multipuerto
  • pasar
Explicación: Las reglas para que un firewall basado en zonas administre el tráfico de tránsito dependen de si las interfaces de entrada y salida son miembros de las zonas o no. Si una interfaz es miembro de una zona, pero la otra no, la acción resultante es eliminar el tráfico, independientemente de si existe un par de zonas.

8. ¿Qué enunciado describe un factor a tener en cuenta al configurar un firewall de políticas basado en zonas?

  • Una zona debe configurarse con el comando global zone security antes de que pueda utilizarse en el comando zone-member security.
  • El comando de firewall clásico ip inspect puede coexistir con ZPF siempre que se utilice en interfaces que se encuentren en las mismas zonas de seguridad.
  • El router siempre filtra el tráfico entre las interfaces en la misma zona.
  • Una interfaz puede pertenecer a varias zonas.
Explicación: Una interfaz no puede pertenecer a varias zonas. Un firewall nunca filtra el tráfico entre las interfaces configuradas para la misma zona. La manera en que un firewall de políticas basado en zonas coexiste con una configuración de firewall de clase es que las interfaces que no son miembros de una zona de seguridad aún pueden tener el comando de firewall clásico ip inspect aplicado y operativo.

9. ¿Qué enunciado describe con precisión el funcionamiento del firewall de políticas basado en zonas de Cisco IOS?

  • La acción pass funciona en una sola dirección.
  • Una interfaz de router puede pertenecer a varias zonas.
  • Las políticas de servicio se aplican en el modo de configuración de la interfaz.
  • Las interfaces de administración del router deben asignarse manualmente a la self zone.
Explicación: La acción pass en CCP es similar al parámetro permit en una entrada de ACL. La acción pass solo permite el tráfico en una dirección.

10. Cuando se configura un firewall de políticas basado en zonas de Cisco IOS, ¿qué dos acciones se pueden aplicar a una clase de tráfico? (Elija dos opciones).

  • Archivo de registro
  • Copiar
  • terminal multipuerto
  • inspeccionar
  • desviar
  • Retener
Explicación: Las tres acciones que se pueden aplicar son inspeccionar, descartar y aprobar. La acción inspect CCP es similar al clásico comando de firewall ip inspect en el sentido de que inspecciona el tráfico que atraviesa el firewall y permite que el tráfico de retorno que forma parte del mismo flujo pase a través del firewall. La acción descarta es similar al parámetro Denegar en una ACL. Esta acción descarta el tráfico que se ajuste a la política definida. La acción pass es similar a una instrucción de ACL permit: el tráfico puede pasar porque cumple con los criterios de la instrucción de política definida.

11. ¿En qué etapa de la configuración del firewall de políticas basado en zonas se identifica el tráfico para la aplicación de políticas?

  • configurar mapas de clase
  • definir las zonas.
  • creación de mapas de políticas
  • asignar mapas de políticas a zonas
Explicación: Durante la etapa de configuración de los mapas de clase se identifica el tráfico interesante para la posterior aplicación de políticas.

12. Al configurar un mapa de clase para un firewall de políticas basado en zonas, ¿cómo se aplican los criterios de coincidencia al usar el parámetro match-all?

  • El tráfico debe coincidir con todos los criterios definidos exclusivamente por las ACL.
  • El tráfico debe coincidir con el primer criterio de la declaración.
  • El tráfico debe coincidir con al menos una de las declaraciones de criterios de coincidencia.
  • El tráfico debe coincidir con todos los criterios de coincidencia especificados en la declaración.
Explicación: En el paso de identificación de tráfico de una configuración de ZPF, la sintaxis del comando class-map type inspect tiene dos parámetros, match-any y match-all. El parámetro match-all establece que los paquetes deben cumplir con todos los criterios de coincidencia para ser considerados miembros de la clase.

 

 

Subscribe
Notify of
guest

0 Comments
Inline Feedbacks
View all comments
0
¿Tienes otra pregunta? Por favor comentax