安全區域

上一篇，我們做了一個小實驗，以路由器的部署方式來部署防火墻，發現是哪都不通！！這一篇我們來學習下防火墻的一個重要特性。在網絡中防火墻的主要作用就是起到控制與隔離的作用，那么想要控制數據報文防火墻就需要區分這些流量來至于哪個地方，在目前主流的廠商都引入了一個概念叫做安全區域。安全區域里面包含了一個或者多個接口的集合，當數據報文在不同的安全區域之間轉發的時候，就會去匹配安全策略的檢測，從而我們可以通過安全策略去控制，這個是防火墻的主要特性。

在實際應用中，防火墻是通過接口來連接不同的網絡，通過把接口加入不同的區域后，區域下面所在接口的網絡就跟這個區域進行了關聯。比如防火墻的1口加入了區域A，那么區域A就跟員工網絡進行了關聯，接口2加入了區域B，區域B就跟服務器區域進行了關聯，接口3加入了區域C，區域C就跟外網區域進行了關聯。

了解數據包的區域方向

接口跟區域劃分后，當某個區域訪問其他區域的時候，就有了數據包的區域方向，比如上面員工網絡區域A想要訪問區域C的internet，數據包在防火墻的區域路線是從區域A到區域C，當出差員工需要遠程撥入來訪問內網服務器資源的時候，數據包在防火墻的區域路線是區域C到區域B。了解了數據包的區域方向后，當某個區域的數據包去往其他地方的時候，防火墻可以很快的根據數據包的走向來判斷這個數據包是從哪個區域去往哪個區域，然后查找對應的安全策略，執行后續操作。

防火墻是如何知道數據包來自于哪個區域，從哪個區域出去的呢？

還是以上面的圖為例，當區域A的員工網絡想上外網的時候，數據包經過防火墻，防火墻從1號口收到，防火墻會查找1號口所關聯的區域，得到源區域是區域A，在通過查找目的地址的路由表，發現報文的目的地址是從3號口發出，得到3號口對應的區域是區域C，那么區域C就是目的區域，得到了源目區域后，防火墻會進行安全策略檢查，然后根據結果來放行該數據包流量。（確定好源目區域對于我們后續實施安全策略有很大的幫助，也是前提，只有確定了區域我們才能夠準確跟精準的配置安全策略的內容）

華為防火墻的默認安全區域

從早期的防火墻一直到現在的下一代，華為產品默認內置了四個安全區域，這些區域出廠就內置了，不能刪除、更改里面的默認參數，只能添加跟刪除接口關聯。

1、Trust區域：受信任區域，通常內部用戶所在的網絡區域

2、DMZ區域：信任程度一般，通常用于接入服務器所在的網絡

3、UNtrust區域：不受信任的網絡，通常用于接入外部所在的網絡（比如Internet、專線等）

4、Local區域：這個區域比較特殊，代表的是防火墻自身，比如其他網絡ping、HTTPS、telnet等流量抵達防火墻，那么這個報文是由Local區域接受處理，而防火墻主動發起的報文，比如防火墻ping其他網絡、與其他分支建立IPSEC的報文，都是從Local區域發送出去。

華為防火墻的區域的安全等級

不同的安全區域有不同的信任程度，在華為的防火墻中信任程度使用安全等級來表示，數字1~100，數字越大，則表示該區域的網絡越可信，對于內置的4個區域，默認都有對應的等級，Local是100，Trust是85，DMZ是50，Untrust是5。還需要注意的是，區域是必須有一個安全等級的，默認的區域系統已經規劃了等級，如果我們新建的安全區域，默認是沒有的，需要給它定義它才能夠關聯接口。而且華為防火墻把數據包從低等級安全區域發往高等級的安全區域的方向為入方向（inbound），報文從高等級安全區域發往低等級安全區域的方向為出方向（Oubound），這個知識點對于下一代防火墻其實了解了解就好了，在UTM的防火墻里面則非常重要，因為寫任何策略的內容必須先判斷方向，然后來決定是Inbound還是outbound流量，下一代防火墻簡化了這些操作，這里提及下，大家在看官方文檔或者防火墻技術漫談的時候都會提到這個內容，因為寫的時候是基于UTM的產品為主講解的，避免產生疑惑。

安全區域的實際案例配置

我們就緊接著以上次那個案例直接進行講解，上次以路由器形式配置后是哪都不通，從這篇學習完防火墻區域的概念后，應該就有一個認知了，就是之前我們沒有把對應的防火墻接口劃入到區域里面去！，下面就以這個案例為背景來把區域進行劃分，順便熟悉熟悉安全區域的配置。

完整的配置參考第二篇，這里就不在重復了，之前我們測試的結果就是ping網關都不通！！接下來先看看防火墻默認的安全區域。

通過display zone可以看到有四個區域，也就是上面介紹的華為默認的四個，并且包含了優先級，細心的你可能發現了一個不同的地方，就是Trust這個區域默認存在一個接口，而其余的則沒有。在第二篇的時候我留下了一個思考的作業，就是防火墻默認的管理口能否正常通信，相信看到了上面這個圖后，就有了答案，那肯定是可以的，因為接口屬于了Trust，收到來自于這個接口的流量后，查詢該接口已經加入安全區域，防火墻可以正常處理數據包，而案例里面的G1/0/0、G1/0/1、G1/0/2沒有加入任何的安全區域，防火墻在收到來自于這些口報文后，由于沒有加入區域，無法判斷報文的路線跟方向，防火墻就會直接丟棄報文，導致我們最終不通的現象。了解了這個后，那么接下來我們把接口加入安全區域就可以解決了，帶來的另外一個問題就是，加入哪個區域呢？

從主流防火墻的邏輯思維（華為、思科、H3C、juniper都是這樣），優先級高的區域用于連接內網網絡區域，所以上圖這里把辦公區域規劃了進Trust，而接外網的部分屬于外部區域，安全性未知，就劃分進了Untrust，實際來配置下。

[USG6000V1] firewall zone trust

[USG6000V1-zone-trust]add interface g1/0/1

[USG6000V1-zone-trust]add interface g1/0/2

[USG6000V1]firewall zone untrust

[USG6000V1-zone-untrust]add interface g1/0/0

配置很簡單的，進入對應的區域，然后添加接口加入區域就完成了，加入后，我們在來看看能否通信。

可以發現現在還是不通的，但是這個不通就跟之前的不通不一樣了，這里是由于防火墻的接口管理特性阻斷了，所以導致不通，我們開啟允許Ping（后面還會提及這個功能）

[USG6000V1]interface g1/0/1

[USG6000V1-GigabitEthernet1/0/1]service-manage ping permit

[USG6000V1-GigabitEthernet1/0/1]int g1/0/2

[USG6000V1-GigabitEthernet1/0/2]service-manage ping permit

現在發現通了！！

內網互通也是可以的，可以在驗證下，防火墻的接口如果沒加入區域，開啟了允許Ping的情況。

[USG6000V1-GigabitEthernet1/0/2]display this

2020-11-04 08:41:48.820

interface GigabitEthernet1/0/2

undo shutdown

ip address 192.168.12.254 255.255.255.0

service-manage ping permit

dhcp select interface

dhcp server ip-range 192.168.12.1 192.168.12.200

dhcp server gateway-list 192.168.12.254

dhcp server DNS-list 223.5.5.5 114.114.114.114

目前該接口是開啟了Ping功能允許的

[USG6000V1]firewall zone trust

[USG6000V1-zone-trust]undo add interface g1/0/2

把一個接口從某個區域刪除，直接undo add interface，跟對應的接口號

現在看trust里面是沒有G1/0/2了的，在來測試下。

可以看到G1/0/2下面的PC不管是訪問網關，還是別的接口來訪問這個接口的流量都已經不通了。因為防火墻已經不管是收到來自于這個接口的數據包還是發往這個接口的包，由于該接口沒有加入區域，防火墻區沒法判斷報文怎么安排，直接就丟棄了。

當我們拿到防火墻第一件事需要干嘛？

還是以這個案例來說，當我們拿到防火墻第一件事，除了了解好客戶的需求以外，我們還需要對網絡進行區域規劃，哪些口屬于Trust，哪些口屬于Untrust，規劃好后，在配置的時候直接按規劃的進行配置，這樣思路會非常清晰不會亂，并且防火墻的接口不加入任何區域的話，是沒法工作的??！這個對于剛學習防火墻的朋友來說非常有幫助的，當然，等你已經對防火墻熟悉了，拿到網絡拓撲跟客戶需求，心里就有一個清晰的規劃了。

“承上啟下”

通過學習防火墻的區域特性跟劃分已經了解了安全區域的重要性，對于常見的組網使用華為默認自帶的區域就已經夠了，但也存在多個網絡區域，需要劃分不同的安全區域，這個時候自帶的就不夠用了，需要自定義！另外上面的案例只講解到三層接口如何加入安全區域，如果內網對接是二層模式，配置了多個VLANIF充當網關的場景呢？可以先想想哦~答案下一篇認真學，可以解決這個疑問！~