防火墙区域间报文流动讲解

防火墙区域间报文流动讲解

Scroll Down

把防火墙区域间报文流动讲解单独出来讲解是因为在防火请具体的配置是需要清晰的知道流动方向,后期配置思路清晰!

我们知道防火墙的四个区域:

  • local,最高级别的安全区域,其安全优先级为100。
  • trust, 较高级别的安全区域,其安全优先级为85。
  • dmz,中度级别的安全区域,其安全优先级为50。
  • untrust,低级的安全区域,其安全优先级为 5

8.jpg

防火墙区域

区域间报文流动

任意两个安全区域都构成一个安全域间(Interzone),并具有单独的安全域间视图,大部分的安全策略都需要在安全域间视图下配置。

安全域间的数据流动具有方向性,包括入方向(Inbound)和出方向(Outbound)。

  1. 报文从低级别的安全区域向高级别的安全区域流动时为入方向(Inbound)
  2. 报文从由高级别的安全区域向低级别的安全区域流动时为出方向(Outbound)

这里的接口既可以是物理接口,也可以是逻辑接口。所以可以通过子接口或者VLAN IF等逻辑接口实现将同一物理接口所连的不同网段的用户划入不同安全区域的功能。需要注意的是,将接口加入安全区域这个操作,实际上意味着将该接口所连网络加入到安全区域中,而该接口本身仍然属于系统预留用来代表设备本身的Local安全区域

9.jpg

区域间报文流动

如图所示,每两个安全区域又可以构成一个域间(Interzone)关系。一个安全区域创建之后,这个安全区域与其他安全区域之间的域间关系也就自动创建好了。

安全域间这个概念用来描述流量的传输通道。它是两个“区域”之间的唯一“道路”,如果希望对经过这条通道的流量进行控制,就必须在通道上设立“关卡”,也就是安全策略。但是对于不需要经过这条通道的流量,例如在同一个安全域间内转发的流量,在安全域间下发的安全策略是不起作用的。

通常情况下,通信双方一定会交互报文,即安全域间的两个方向上都有报文的传输。而判断一条流量的方向应以发起该条流量的第一个报文为准。

例如,发起连接的终端位于Trust区域,它向位于Untrust区域的Web服务器发送了第一个报文,以请求建立Http连接。由于Untrust区域的安全级别比Trust区域低,所以USG设备将认为这个报文属于Outbound方向,并根据Outbound方向上的安全策略决定是放行还是丢弃。如果这个连接能够建立,那么设备将为其建立一条会话表。会话表项中记录了这条连接的五元组:源和目的IP地址,源和目的端口号,协议类型。

如果用户只开放了Trust和Untrust的Outbound方向上的包过滤,而关闭了Inbound方向上的包过滤,那么效果是:

  • Trust区域内的终端可以主动向Untrust区域内的终端发起连接,即使是Untrust返回的报文也可以正常通过。

  • Untrust区域内的终端不能主动向Trust区域内的终端发起连接,只能被动接受Trust区域内的用户发起的连接。