安全區(qū)域

上一篇，我們做了一個小實驗，以路由器的部署方式來部署防火墻，發(fā)現(xiàn)是哪都不通??！這一篇我們來學(xué)習(xí)下防火墻的一個重要特性。在網(wǎng)絡(luò)中防火墻的主要作用就是起到控制與隔離的作用，那么想要控制數(shù)據(jù)報文防火墻就需要區(qū)分這些流量來至于哪個地方，在目前主流的廠商都引入了一個概念叫做安全區(qū)域。安全區(qū)域里面包含了一個或者多個接口的集合，當數(shù)據(jù)報文在不同的安全區(qū)域之間轉(zhuǎn)發(fā)的時候，就會去匹配安全策略的檢測，從而我們可以通過安全策略去控制，這個是防火墻的主要特性。

在實際應(yīng)用中，防火墻是通過接口來連接不同的網(wǎng)絡(luò)，通過把接口加入不同的區(qū)域后，區(qū)域下面所在接口的網(wǎng)絡(luò)就跟這個區(qū)域進行了關(guān)聯(lián)。比如防火墻的1口加入了區(qū)域A，那么區(qū)域A就跟員工網(wǎng)絡(luò)進行了關(guān)聯(lián)，接口2加入了區(qū)域B，區(qū)域B就跟服務(wù)器區(qū)域進行了關(guān)聯(lián)，接口3加入了區(qū)域C，區(qū)域C就跟外網(wǎng)區(qū)域進行了關(guān)聯(lián)。

了解數(shù)據(jù)包的區(qū)域方向

接口跟區(qū)域劃分后，當某個區(qū)域訪問其他區(qū)域的時候，就有了數(shù)據(jù)包的區(qū)域方向，比如上面員工網(wǎng)絡(luò)區(qū)域A想要訪問區(qū)域C的internet，數(shù)據(jù)包在防火墻的區(qū)域路線是從區(qū)域A到區(qū)域C，當出差員工需要遠程撥入來訪問內(nèi)網(wǎng)服務(wù)器資源的時候，數(shù)據(jù)包在防火墻的區(qū)域路線是區(qū)域C到區(qū)域B。了解了數(shù)據(jù)包的區(qū)域方向后，當某個區(qū)域的數(shù)據(jù)包去往其他地方的時候，防火墻可以很快的根據(jù)數(shù)據(jù)包的走向來判斷這個數(shù)據(jù)包是從哪個區(qū)域去往哪個區(qū)域，然后查找對應(yīng)的安全策略，執(zhí)行后續(xù)操作。

防火墻是如何知道數(shù)據(jù)包來自于哪個區(qū)域，從哪個區(qū)域出去的呢？

還是以上面的圖為例，當區(qū)域A的員工網(wǎng)絡(luò)想上外網(wǎng)的時候，數(shù)據(jù)包經(jīng)過防火墻，防火墻從1號口收到，防火墻會查找1號口所關(guān)聯(lián)的區(qū)域，得到源區(qū)域是區(qū)域A，在通過查找目的地址的路由表，發(fā)現(xiàn)報文的目的地址是從3號口發(fā)出，得到3號口對應(yīng)的區(qū)域是區(qū)域C，那么區(qū)域C就是目的區(qū)域，得到了源目區(qū)域后，防火墻會進行安全策略檢查，然后根據(jù)結(jié)果來放行該數(shù)據(jù)包流量。 （確定好源目區(qū)域?qū)τ谖覀兒罄m(xù)實施安全策略有很大的幫助，也是前提，只有確定了區(qū)域我們才能夠準確跟精準的配置安全策略的內(nèi)容）

華為防火墻的默認安全區(qū)域

從早期的防火墻一直到現(xiàn)在的下一代，華為產(chǎn)品默認內(nèi)置了四個安全區(qū)域，這些區(qū)域出廠就內(nèi)置了，不能刪除、更改里面的默認參數(shù)，只能添加跟刪除接口關(guān)聯(lián)。

1、Trust區(qū)域：受信任區(qū)域，通常內(nèi)部用戶所在的網(wǎng)絡(luò)區(qū)域

2、DMZ區(qū)域：信任程度一般，通常用于接入服務(wù)器所在的網(wǎng)絡(luò)

3、UNtrust區(qū)域：不受信任的網(wǎng)絡(luò)，通常用于接入外部所在的網(wǎng)絡(luò)（比如Internet、專線等）

4、Local區(qū)域：這個區(qū)域比較特殊，代表的是防火墻自身，比如其他網(wǎng)絡(luò)ping、HTTPS、telnet等流量抵達防火墻，那么這個報文是由Local區(qū)域接受處理，而防火墻主動發(fā)起的報文，比如防火墻ping其他網(wǎng)絡(luò)、與其他分支建立IPSEC的報文，都是從Local區(qū)域發(fā)送出去。

華為防火墻的區(qū)域的安全等級

不同的安全區(qū)域有不同的信任程度，在華為的防火墻中信任程度使用安全等級來表示，數(shù)字1~100，數(shù)字越大，則表示該區(qū)域的網(wǎng)絡(luò)越可信，對于內(nèi)置的4個區(qū)域，默認都有對應(yīng)的等級，Local是100，Trust是85，DMZ是50，Untrust是5。還需要注意的是，區(qū)域是必須有一個安全等級的，默認的區(qū)域系統(tǒng)已經(jīng)規(guī)劃了等級，如果我們新建的安全區(qū)域，默認是沒有的，需要給它定義它才能夠關(guān)聯(lián)接口。而且華為防火墻把數(shù)據(jù)包從低等級安全區(qū)域發(fā)往高等級的安全區(qū)域的方向為入方向（inbound），報文從高等級安全區(qū)域發(fā)往低等級安全區(qū)域的方向為出方向（Oubound），這個知識點對于下一代防火墻其實了解了解就好了，在UTM的防火墻里面則非常重要，因為寫任何策略的內(nèi)容必須先判斷方向，然后來決定是Inbound還是outbound流量，下一代防火墻簡化了這些操作，這里提及下，大家在看官方文檔或者防火墻技術(shù)漫談的時候都會提到這個內(nèi)容，因為寫的時候是基于UTM的產(chǎn)品為主講解的，避免產(chǎn)生疑惑。

安全區(qū)域的實際案例配置

我們就緊接著以上次那個案例直接進行講解，上次以路由器形式配置后是哪都不通，從這篇學(xué)習(xí)完防火墻區(qū)域的概念后，應(yīng)該就有一個認知了，就是之前我們沒有把對應(yīng)的防火墻接口劃入到區(qū)域里面去！，下面就以這個案例為背景來把區(qū)域進行劃分，順便熟悉熟悉安全區(qū)域的配置。

完整的配置參考第二篇，這里就不在重復(fù)了，之前我們測試的結(jié)果就是ping網(wǎng)關(guān)都不通??！接下來先看看防火墻默認的安全區(qū)域。

通過display zone可以看到有四個區(qū)域，也就是上面介紹的華為默認的四個，并且包含了 優(yōu)先級，細心的你可能發(fā)現(xiàn)了一個不同的地方，就是Trust這個區(qū)域默認存在一個接口，而其余的則沒有。在第二篇的時候我留下了一個思考的作業(yè)，就是防火墻默認的管理口能否正常通信，相信看到了上面這個圖后，就有了答案，那肯定是可以的，因為接口屬于了Trust，收到來自于這個接口的流量后，查詢該接口已經(jīng)加入安全區(qū)域，防火墻可以正常處理數(shù)據(jù)包，而案例里面的G1/0/0、G1/0/1、G1/0/2沒有加入任何的安全區(qū)域，防火墻在收到來自于這些口報文后，由于沒有加入?yún)^(qū)域，無法判斷報文的路線跟方向，防火墻就會直接丟棄報文，導(dǎo)致我們最終不通的現(xiàn)象。了解了這個后，那么接下來我們把接口加入安全區(qū)域就可以解決了，帶來的另外一個問題就是，加入哪個區(qū)域呢？

從主流防火墻的邏輯思維（華為、思科、H3C、juniper都是這樣），優(yōu)先級高的區(qū)域用于連接內(nèi)網(wǎng)網(wǎng)絡(luò)區(qū)域 ，所以上圖這里把辦公區(qū)域規(guī)劃了進Trust，而接外網(wǎng)的部分屬于外部區(qū)域，安全性未知，就劃分進了Untrust，實際來配置下。

[USG6000V1] firewall zone trust

[USG6000V1-zone-trust]add interface g1/0/1

[USG6000V1-zone-trust]add interface g1/0/2

[USG6000V1]firewall zone untrust

[USG6000V1-zone-untrust]add interface g1/0/0

配置很簡單的，進入對應(yīng)的區(qū)域，然后添加接口加入?yún)^(qū)域就完成了，加入后，我們在來看看能否通信。

可以發(fā)現(xiàn)現(xiàn)在還是不通的，但是這個不通就跟之前的不通不一樣了，這里是由于防火墻的接口管理特性阻斷了，所以導(dǎo)致不通，我們開啟允許Ping（后面還會提及這個功能）

[USG6000V1]interface g1/0/1

[USG6000V1-GigabitEthernet1/0/1]service-manage ping permit

[USG6000V1-GigabitEthernet1/0/1]int g1/0/2

[USG6000V1-GigabitEthernet1/0/2]service-manage ping permit

現(xiàn)在發(fā)現(xiàn)通了??！

內(nèi)網(wǎng)互通也是可以的，可以在驗證下，防火墻的接口如果沒加入?yún)^(qū)域，開啟了允許Ping的情況。

[USG6000V1-GigabitEthernet1/0/2]display this

2020-11-04 08:41:48.820

#

interface GigabitEthernet1/0/2

undo shutdown

ip address 192.168.12.254 255.255.255.0

service-manage ping permit

dhcp select interface

dhcp server ip-range 192.168.12.1 192.168.12.200

dhcp server gateway-list 192.168.12.254

dhcp server DNS-list 223.5.5.5 114.114.114.114

目前該接口是開啟了Ping功能允許的

[USG6000V1]firewall zone trust

[USG6000V1-zone-trust]undo add interface g1/0/2

把一個接口從某個區(qū)域刪除，直接undo add interface，跟對應(yīng)的接口號

現(xiàn)在看trust里面是沒有G1/0/2了的，在來測試下。

可以看到G1/0/2下面的PC不管是訪問網(wǎng)關(guān)，還是別的接口來訪問這個接口的流量都已經(jīng)不通了。因為防火墻已經(jīng)不管是收到來自于這個接口的數(shù)據(jù)包還是發(fā)往這個接口的包，由于該接口沒有加入?yún)^(qū)域，防火墻區(qū)沒法判斷報文怎么安排，直接就丟棄了。

當我們拿到防火墻第一件事需要干嘛？

還是以這個案例來說，當我們拿到防火墻第一件事，除了了解好客戶的需求以外，我們還需要對網(wǎng)絡(luò)進行區(qū)域規(guī)劃，哪些口屬于Trust，哪些口屬于Untrust，規(guī)劃好后，在配置的時候直接按規(guī)劃的進行配置，這樣思路會非常清晰不會亂，并且防火墻的接口不加入任何區(qū)域的話，是沒法工作的??！這個對于剛學(xué)習(xí)防火墻的朋友來說非常有幫助的，當然，等你已經(jīng)對防火墻熟悉了，拿到網(wǎng)絡(luò)拓撲跟客戶需求，心里就有一個清晰的規(guī)劃了。

“承上啟下”

通過學(xué)習(xí)防火墻的區(qū)域特性跟劃分已經(jīng)了解了安全區(qū)域的重要性，對于常見的組網(wǎng)使用華為默認自帶的區(qū)域就已經(jīng)夠了，但也存在多個網(wǎng)絡(luò)區(qū)域，需要劃分不同的安全區(qū)域，這個時候自帶的就不夠用了，需要自定義！另外上面的案例只講解到三層接口如何加入安全區(qū)域，如果內(nèi)網(wǎng)對接是二層模式，配置了多個VLANIF充當網(wǎng)關(guān)的場景呢？可以先想想哦~答案下一篇認真學(xué)，可以解決這個疑問！~

介紹

《華為下一代USG防火墻（由淺入深實際案例系列）》是博主原創(chuàng)的針對華為廠商下一代USG防火墻組網(wǎng)系列應(yīng)用部署為主的系列課程，結(jié)合實際環(huán)境出發(fā)，加上了博主部署經(jīng)驗以及會遇到哪些問題等進行綜合，做到學(xué)以致用，給各位看官朋友一個不一樣的學(xué)習(xí)體驗。

如果大家有任何疑問或者文中有錯誤跟疏忽的地方，歡迎大家留言指出，博主看到后會第一時間修改，謝謝大家的支持，更多技術(shù)文章盡在網(wǎng)絡(luò)之路Blog，版權(quán)歸網(wǎng)絡(luò)之路Blog所有，原創(chuàng)不易，侵權(quán)必究，覺得有幫助的，關(guān)注、轉(zhuǎn)發(fā)、點贊支持下！~。