防火墙区域讲解

防火墙的主要作用是划分网络安全边界,实现关键系统与外部环境的安全隔离,保护内部网络免受外部攻击.

与路由器相比防火墙提供了更丰富的安全防御策略,提高了安全策略下数据报转发速率。由于防火墙用于安全边界,因此往往兼备NAT、VPN等功能,并且在这方面的相比路由器更加强劲。

6.jpg

Huawei USG6650-AC

防火墙区域

  1. 非受信区(Untrust) :低级的安全区域,安全优先级为5。 通常用于定义Internet等不安全的网络
  2. 非军事化区(DMZ):中度级别的安全区域,安全优先级为50。通常用于定义内网服务器所在区域。因为这种设备虽然部署在内网,但是经常需要被外网访问 ,存在较大安全隐患,同时一般又不允许其主动访问外网,所以将其部署一个安全级别比Trust低 ,但是比Untrust高的安全区域中。 •
  3. 受信区(Trust) :较高级别的安全区域,安全优先级为85。 通常用于定义内网终端用户所在区域。
  4. 本地区域(Local) :最高级别的安全区域,安全优先级为100。 防火墙自身为Local区域

7.jpg

Local 区域定义的是设备本身,包括设备的各接口本身。凡是由设备构造并主动发出的报文均可认为是从Local区域中发岀,凡是需要设备响应并处理(而不仅是检测或直接转发)的报文均可认为是由Local区域接受。 用户不能改变Local区域本身的任何配置,包括向其中添加接口。

安全区域的规则

  1. 用于可自定义安全区域,也可使用系统自带的安全区域,防火墙的一个接口只能属于一个特定区域,而一个区域可以包含多个接口,接口只有划分到区域中才能正常处理报文。
  2. Local Zone指的是设备本身,包括设备的各接口。凡是发给防火墙的都可认为是发向Local 的 ,而防火墙始发的数据可以理解为来自LocaL因此若要访问防火墙端口IP , 需开放与 Local域之间的策略 • 内部网络应安排在安全级别较高的区域
  3. 内部网络应安排在安全级别较高的区域
  4. 外部网络应安排在安全级别最低的区域
  5. 一些可对外部提供有条件服务的网络应安排在安全级别中等的DMZ区域

安全区域的限制

  1. 防火墙不能够有两个拥有相同安全级别的区域
  2. 防火墙的一个物理接口只能属于一个安全区域
  3. 防火墙的多个接口可以同时属于一个安全区域
  4. 系统自带的安全区域不能删除。我们可以根据实际环境的需求配置自定义的安全区域。
  5. 相同区域内的不同接口间报文不过滤直接转发;
  6. 一个报文如果在进、出端口时相同,该报文将被丢弃;
  7. 接口没有加入安全区域之前不能转发包文。