安全區(qū)域介紹
防火墻通俗講是用于控網(wǎng)絡(luò)之間的隔離,專業(yè)講是用于保護(hù)一個(gè)安全區(qū)域免受另外一個(gè)安全區(qū)域的網(wǎng)絡(luò)攻擊和入擊行為。從防火墻的定義中可以看出防火墻是基于安全區(qū)域的,其它廠商(Cisco,Juniper等)都是有這個(gè)概念的。
什么是安全區(qū)域呢?
安全區(qū)域(Security Zone),也稱為區(qū)域(Zone),是一個(gè)邏輯概念,用于管理防火墻設(shè)備上安全需求相同的多個(gè)接口,也就是說(shuō)它是一個(gè)或多個(gè)接口的集合。
管理員將安全需求相同的接口進(jìn)行分類,并劃分到不同的安全域,能夠?qū)崿F(xiàn)安全策略的統(tǒng)一管理。
講安全區(qū)域前講我們先了解一個(gè)術(shù)語(yǔ),安全級(jí)別(Security Level),在華為防火墻上,每個(gè)安全區(qū)域都有一個(gè)唯一的安全級(jí)別,用1-100 的字表示,數(shù)字越大,則代表該區(qū)域內(nèi)的網(wǎng)絡(luò)越可信。
對(duì)于默認(rèn)的安全區(qū)域,它們的安全級(jí)別是固定的:Local 區(qū)域的安全級(jí)別是100,Trust 區(qū)域的安全級(jí)別是85,DMZ 區(qū)域的安全級(jí)別是50,Untrust 區(qū)域的安全級(jí)別是5。
華為防火墻默認(rèn)預(yù)定義了四個(gè)固定的安全區(qū)域,分別為:
Trust: 該區(qū)域內(nèi)網(wǎng)絡(luò)的受信任程度高,通常用來(lái)定義內(nèi)部用戶所在的網(wǎng)絡(luò)。
Untrust: 該區(qū)域代表的是不受信任的網(wǎng)絡(luò),通常用來(lái)定義Internet 等不安全的網(wǎng)絡(luò)。
DMZ(Demilitarized非軍事區(qū)): 該區(qū)域內(nèi)網(wǎng)絡(luò)的受信任程度中等,通常用來(lái)定義內(nèi)部服務(wù)器(公司OA系統(tǒng),ERP系統(tǒng)等)所在的網(wǎng)絡(luò)。
(說(shuō)明:DMZ這一術(shù)語(yǔ)起源于軍方,指的是介于嚴(yán)格的軍事管制區(qū)和松散的公共區(qū)域之間的一種有著部分管制的區(qū)域。)
Local: 防火墻上提供了Local 區(qū)域,代表防火墻本身。比如防火墻主動(dòng)發(fā)起的報(bào)文(我們?cè)诜阑饓?zhí)行ping測(cè)試)以及抵達(dá)防火墻自身的報(bào)文(我們要網(wǎng)管防火墻telnet、ssh、http、https)。
(注意:默認(rèn)的安全區(qū)域無(wú)需創(chuàng)建,也不能刪除,同時(shí)安全級(jí)別也不能重新配置。USG防火墻最多支持32個(gè)安全區(qū)域。)
Local 區(qū)域中不能添加任何接口,但防火墻上所有接口本身都隱含屬于Local 區(qū)域。也就是說(shuō),報(bào)文通過(guò)接口去往某個(gè)網(wǎng)絡(luò)時(shí),目的安全區(qū)域是該接口所在的安全區(qū)域;報(bào)文通過(guò)接口到達(dá)防火墻本身時(shí),目的安全區(qū)域是Local 區(qū)域。
安全區(qū)域分析,如下圖:
從圖中我們可以看出防火墻1號(hào)接口和2號(hào)接口聯(lián)接到兩個(gè)不同的運(yùn)營(yíng)商,它們屬于同一個(gè)安全區(qū)域Untrust, 防火墻3號(hào)接口屬于Trust安全區(qū)域,防火墻4號(hào)接口屬于DMZ安全區(qū)域。
當(dāng)內(nèi)部用戶訪問(wèn)互聯(lián)網(wǎng)時(shí),源區(qū)域是Trust,目的區(qū)域是Untrust;當(dāng)互聯(lián)網(wǎng)用戶訪問(wèn)DMZ服務(wù)器時(shí),源區(qū)域是Untrust,目的區(qū)域是DMZ;當(dāng)互聯(lián)網(wǎng)用戶網(wǎng)管防火墻時(shí),源區(qū)域是Untrust,目的區(qū)域是Local;當(dāng)防火墻向DMZ服務(wù)器發(fā)起ICMP流量時(shí),源區(qū)域是Local,目的區(qū)域是DMZ。
了解安全區(qū)域之間的數(shù)據(jù)包流動(dòng)對(duì)后續(xù)安全策略是很有幫助的。
· 配置安全區(qū)域
1、創(chuàng)建安全區(qū)域
[NGFW]firewallzone name ISP1
[NGFW-zone-ISP1]setpriority 80
[NGFW-zone-ISP1]addinterface g1/0/1
注:區(qū)域里必須要有唯一的安全級(jí)別(Cisco ASA安全級(jí)別可以相同),相應(yīng)的接口要加入到區(qū)域,可以是物理接口和邏輯接口(Vlanif、Tunnel)。
2、查看安全區(qū)域
<NGFW>displayzone
local
priority is 100
trust
priority is 85
interface of the zone is (1):
GigabitEthernet0/0/0
untrust
priority is 5
interface of the zone is (0):
dmz
priority is 50
interface of the zone is (0):
ISP1
priority is 80
interface of the zone is (1):
GigabitEthernet1/0/1
歡迎關(guān)注我的頭條號(hào),私信交流,學(xué)習(xí)更多網(wǎng)絡(luò)技術(shù)!
