· 安全區域介紹
防火牆通俗講是用於控網絡之間的隔離,專業講是用於保護一個安全區域免受另外一個安全區域的網絡攻擊和入擊行為。從防火牆的定義中可以看出防火牆是基於安全區域的,其它廠商(Cisco,Juniper等)都是有這個概念的。
什麼是安全區域呢?
安全區域(Security Zone),也稱為區域(Zone),是一個邏輯概念,用於管理防火牆設備上安全需求相同的多個接口,也就是說它是一個或多個接口的集合。
管理員將安全需求相同的接口進行分類,並劃分到不同的安全域,能夠實現安全策略的統一管理。
講安全區域前講我們先了解一個術語,安全級別(Security Level),在華為防火牆上,每個安全區域都有一個唯一的安全級別,用1-100 的字表示,數字越大,則代表該區域內的網絡越可信。
對於默認的安全區域,它們的安全級別是固定的:Local 區域的安全級別是100,Trust 區域的安全級別是85,DMZ 區域的安全級別是50,Untrust 區域的安全級別是5。
華為防火牆默認預定義了四個固定的安全區域,分別為:
Trust: 該區域內網絡的受信任程度高,通常用來定義內部用戶所在的網絡。
Untrust: 該區域代表的是不受信任的網絡,通常用來定義Internet 等不安全的網絡。
DMZ(Demilitarized非軍事區): 該區域內網絡的受信任程度中等,通常用來定義內部服務器(公司OA系統,ERP系統等)所在的網絡。
(說明:DMZ這一術語起源於軍方,指的是介於嚴格的軍事管制區和鬆散的公共區域之間的一種有著部分管制的區域。)
Local: 防火牆上提供了Local 區域,代表防火牆本身。比如防火牆主動發起的報文(我們在防火牆執行ping測試)以及抵達防火牆自身的報文(我們要網管防火牆telnet、ssh、http、https)。
(注意:默認的安全區域無需創建,也不能刪除,同時安全級別也不能重新配置。USG防火牆最多支持32個安全區域。)
Local 區域中不能添加任何接口,但防火牆上所有接口本身都隱含屬於Local 區域。也就是說,報文通過接口去往某個網絡時,目的安全區域是該接口所在的安全區域;報文通過接口到達防火牆本身時,目的安全區域是Local 區域。
安全區域分析,如下圖:
從圖中我們可以看出防火牆1號接口和2號接口聯接到兩個不同的運營商,它們屬於同一個安全區域Untrust, 防火牆3號接口屬於Trust安全區域,防火牆4號接口屬於DMZ安全區域。
當內部用戶訪問互聯網時,源區域是Trust,目的區域是Untrust;當互聯網用戶訪問DMZ服務器時,源區域是Untrust,目的區域是DMZ;當互聯網用戶網管防火牆時,源區域是Untrust,目的區域是Local;當防火牆向DMZ服務器發起ICMP流量時,源區域是Local,目的區域是DMZ。
瞭解安全區域之間的數據包流動對後續安全策略是很有幫助的。
· 配置安全區域
1、創建安全區域
[NGFW]firewallzone name ISP1
[NGFW-zone-ISP1]setpriority 80
[NGFW-zone-ISP1]addinterface g1/0/1
注:區域裡必須要有唯一的安全級別(Cisco ASA安全級別可以相同),相應的接口要加入到區域,可以是物理接口和邏輯接口(Vlanif、Tunnel)。
2、查看安全區域
<ngfw>displayzone/<ngfw>
local
priority is 100
trust
priority is 85
interface of the zone is (1):
GigabitEthernet0/0/0
untrust
priority is 5
interface of the zone is (0):
dmz
priority is 50
interface of the zone is (0):
ISP1
priority is 80
interface of the zone is (1):
GigabitEthernet1/0/1
閱讀更多 SPOTO—思科華為培訓 的文章
