· 安全區(qū)域介紹
防火墻通俗講是用于控網(wǎng)絡(luò)之間的隔離,專業(yè)講是用于保護(hù)一個安全區(qū)域免受另外一個安全區(qū)域的網(wǎng)絡(luò)攻擊和入擊行為。從防火墻的定義中可以看出防火墻是基于安全區(qū)域的,其它廠商(Cisco,Juniper等)都是有這個概念的。
什么是安全區(qū)域呢?
安全區(qū)域(Security Zone),也稱為區(qū)域(Zone),是一個邏輯概念,用于管理防火墻設(shè)備上安全需求相同的多個接口,也就是說它是一個或多個接口的集合。
管理員將安全需求相同的接口進(jìn)行分類,并劃分到不同的安全域,能夠?qū)崿F(xiàn)安全策略的統(tǒng)一管理。
講安全區(qū)域前講我們先了解一個術(shù)語,安全級別(Security Level),在華為防火墻上,每個安全區(qū)域都有一個唯一的安全級別,用1-100 的字表示,數(shù)字越大,則代表該區(qū)域內(nèi)的網(wǎng)絡(luò)越可信。
對于默認(rèn)的安全區(qū)域,它們的安全級別是固定的:Local 區(qū)域的安全級別是100,Trust 區(qū)域的安全級別是85,DMZ 區(qū)域的安全級別是50,Untrust 區(qū)域的安全級別是5。
華為防火墻默認(rèn)預(yù)定義了四個固定的安全區(qū)域,分別為:
Trust: 該區(qū)域內(nèi)網(wǎng)絡(luò)的受信任程度高,通常用來定義內(nèi)部用戶所在的網(wǎng)絡(luò)。
Untrust: 該區(qū)域代表的是不受信任的網(wǎng)絡(luò),通常用來定義Internet 等不安全的網(wǎng)絡(luò)。
DMZ(Demilitarized非軍事區(qū)): 該區(qū)域內(nèi)網(wǎng)絡(luò)的受信任程度中等,通常用來定義內(nèi)部服務(wù)器(公司OA系統(tǒng),ERP系統(tǒng)等)所在的網(wǎng)絡(luò)。
(說明:DMZ這一術(shù)語起源于軍方,指的是介于嚴(yán)格的軍事管制區(qū)和松散的公共區(qū)域之間的一種有著部分管制的區(qū)域。)
Local: 防火墻上提供了Local 區(qū)域,代表防火墻本身。比如防火墻主動發(fā)起的報文(我們在防火墻執(zhí)行ping測試)以及抵達(dá)防火墻自身的報文(我們要網(wǎng)管防火墻telnet、ssh、http、https)。
(注意:默認(rèn)的安全區(qū)域無需創(chuàng)建,也不能刪除,同時安全級別也不能重新配置。USG防火墻最多支持32個安全區(qū)域。)
Local 區(qū)域中不能添加任何接口,但防火墻上所有接口本身都隱含屬于Local 區(qū)域。也就是說,報文通過接口去往某個網(wǎng)絡(luò)時,目的安全區(qū)域是該接口所在的安全區(qū)域;報文通過接口到達(dá)防火墻本身時,目的安全區(qū)域是Local 區(qū)域。
安全區(qū)域分析,如下圖:
從圖中我們可以看出防火墻1號接口和2號接口聯(lián)接到兩個不同的運營商,它們屬于同一個安全區(qū)域Untrust, 防火墻3號接口屬于Trust安全區(qū)域,防火墻4號接口屬于DMZ安全區(qū)域。
當(dāng)內(nèi)部用戶訪問互聯(lián)網(wǎng)時,源區(qū)域是Trust,目的區(qū)域是Untrust;當(dāng)互聯(lián)網(wǎng)用戶訪問DMZ服務(wù)器時,源區(qū)域是Untrust,目的區(qū)域是DMZ;當(dāng)互聯(lián)網(wǎng)用戶網(wǎng)管防火墻時,源區(qū)域是Untrust,目的區(qū)域是Local;當(dāng)防火墻向DMZ服務(wù)器發(fā)起ICMP流量時,源區(qū)域是Local,目的區(qū)域是DMZ。
了解安全區(qū)域之間的數(shù)據(jù)包流動對后續(xù)安全策略是很有幫助的。
· 配置安全區(qū)域
1、創(chuàng)建安全區(qū)域
[NGFW]firewallzone name ISP1
[NGFW-zone-ISP1]setpriority 80
[NGFW-zone-ISP1]addinterface g1/0/1
注:區(qū)域里必須要有唯一的安全級別(Cisco ASA安全級別可以相同),相應(yīng)的接口要加入到區(qū)域,可以是物理接口和邏輯接口(Vlanif、Tunnel)。
2、查看安全區(qū)域
<NGFW>displayzone
local
priority is 100
trust
priority is 85
interface of the zone is (1):
GigabitEthernet0/0/0
untrust
priority is 5
interface of the zone is (0):
dmz
priority is 50
interface of the zone is (0):
ISP1
priority is 80
interface of the zone is (1):
GigabitEthernet1/0/1
