談談防火牆的安全區域

談談防火牆的安全區域

安全區域介紹

安全區域概念

安全區域（zone）是防火牆產品所引入的一個安全概念，是防火牆產品區別於路由器的主要特徵。

對於路由器，各個接口所鏈接的網絡在安全上能夠視爲是平等的，沒有明顯的內外之分，因此即便進行必定程度的安全檢查也是在接口上完成的。這樣，一個數據流單向經過路由器時有可能須要進行兩次安全規則的檢查（入接口的安全檢查和出接口的安全檢查），以便使其符合每一個接口上獨立的安全定義。而這種思路對於防火牆來講是很不合適的，由於防火牆所承擔的責任是保護內部網絡不受外部網絡上非法行爲的侵害，於是有着明確的內外之分。

當一個數據流經過SecPath防火牆的時候，根據其發起方向的不一樣，所引用的操做是大相徑庭的。這種安全級別上的差別，再採用在接口上檢查安全策略的方式已經不適用，將形成用戶在配置上的混亂。所以，SecPath防火牆提出了安全區域的概念。

一個安全區域包括一個或多個接口的組合，具備一個安全級別。在設備內，安全級別經過0~100的數字來表示，數字越大表示安全級別越高，不存在兩個具備相同安全級別的區域。當數據在分屬於兩個不一樣安全級別的區域（或區域包含的接口）之間流動的時候，纔會激活防火牆的安全規則檢查功能。數據在屬於同一個安全區域的不一樣接口間流動時不會引發任何檢查。

安全區域劃分

SecPath防火牆上缺省保留四個區域，見圖

① 非受信區域 （Untrust）：低級的安全區域，其安全優先級爲5。

② 非軍事化區域（DMZ）：中度級別的安全區域，其安全優先級別爲50。

DMZ（De Militarized Zone，非軍事化區），這一術語起源於軍方，指得是介於嚴格的軍事管制區和鬆散的公共區域之間的一種有着部分管制的區域。防火牆引用這一術語，指在一個邏輯上和物理上都與內部網絡和外部網絡分離的區域。一般部署網絡時，將那些須要被公共訪問的設備，例如WWW 服務器、FTP 服務器等放置於此。若是將這些服務器放置於外部網絡側他們的安全性沒法保障；若是放置於內部網絡，則外部惡意用戶有可能利用某些服務器的安全漏洞***內部網絡。所以，DMZ區域的出現很好的解決了這些服務器的放置問題。

③ 受信區（Trust）：較高級別的安全區域，其安全優先級爲85。

④ 本地區域（Local）：最高級別的安全區域，其安全優先級100。

此外，如認爲有必要，用戶也可自行設置新的安全區域並定義其安全優先級別。

接口、網絡和安全區域的關聯

除了Local區域之外，在使用其餘全部安全區域時，須要將安全區域分別與防火的特定接口相關聯，即將接口加入到安全域。

值得注意的是，系統不容許兩個安全區域具備相同的安全級別；並且同一接口又不容許分屬於兩個不一樣的安全區域。

具體來講，Trust所屬接口用於鏈接用戶要保護的網絡；Untrust所屬接口鏈接外部網絡；DMZ區所屬接口鏈接用戶向外部提供服務的部分網絡；從防火牆設備自己發起的鏈接便是從Local區域發起的鏈接。相應的全部對防火牆自己的訪問都屬於向Local區域發起的訪問鏈接。

另外安全區域與各網絡的關聯遵循一些原則：

• 內部網絡應安排在安全級別較高的區域；
• 外部網絡應安排在安全級別最低的區域；
• 一些可對外部提供有條件服務的網絡應安排在安全級別中等的DMZ區域。

域間的數據流方向

不一樣級別的安全區域間的數據流動都將激發防火牆進行按安全策略的檢測，管理員能夠爲不一樣流動方向設置不一樣的安全策略。域間的數據流分兩個方向：

• 入方向（inboud）：數據由低級別的安全區域向高級別的安全區域傳輸的方向；
• 出方向（outbound）：數據由高級別的安全區域向低級別的安全區域傳輸的方向。
  

在H3C SecPath防火牆上，判斷數據傳輸是出方向仍是入方向，老是相對高級別的一側而言，即由高級別區域向低級別區域的數據流動爲出方向，由低級別區域向高級別區域數據流動爲入方向。

根據圖所示，能夠獲得以下結論：

• 從DMZ區到Untrust區域的數據流爲出方向，反之爲入方向；
• 從Trust區域到DMZ區的數據流爲出方向，反之爲入方向；
• 從Trust區域到Untrust區域的數據流爲出方向，反之爲入方向。

注意：路由器數據流動方向的斷定是以接口爲主：由接口發出的數據方向稱爲出方向；由接口接收數據的方向爲入方向。這也是路由器有別於防火牆的重要特徵。

說明：在防火牆中，當報文從高優先級別區域向低優先級別區域發起鏈接時，即從Trust區域向Untrust區域和DMZ區域發起數據鏈接，或DMZ區域向Untrust區域發起鏈接時，必須明確配置缺省過濾規則。

由防火牆本地（Local區域）發起或終止的報文不進行狀態檢測，這類報文的過濾由包過濾機制來完成。

安全區域的基本配置

安全區域基本配置包括

• 建立安全區域
• 進入安全區域視圖
• 進入區域間視圖
• 爲安全區域添加接口
• 設置安全區域的優先級

建立安全區域

缺省狀況下，系統預先定義了四個安全區域：Local、Trust、Untrust和DMZ。這些系統定義的安全區域是不能被刪除的。

操做

命令

建立安全區域

firewall zone name zonename 

刪除安全區域 

undo firewall zone name zonename 

進入安全區域視圖

操做	命令
進入安全區域視圖	firewall zone zonename

進入某安全區域視圖的目的：主要是進行添加/刪除接口和設置區域優先級別的操做。

進入區域間視圖

操做	命令
進入區域間視圖	firewall interzone zone1 zone2

爲安全區域添加接口

操做	命令
將接口添加到安全區域	add interface interface-type interface-number
將接口從安全區域中刪除	undo add interface interface-type interface-number

缺省狀況系，全部接口不屬於任何安全區域。

一個接口只能屬於一個安全區域。將接口加入到一個安全區域中前，這個接口不能已經屬於其餘的安全區域，不然須要先將此接口從其餘區域中刪除。

設置安全區域的優先級

能夠爲安全區域設置一個優先級別，優先級別值越高，表示此區域的安全性越高。

此命令在區域視圖下進行下列配置：

操做	命令
設置安全的優先級	set priority number

缺省狀況下，Local區域的優先級別爲100，Trust區域的優先級別爲85，Untrust區域的優先級別爲5，DMZ區域的優先級別爲50。系統定義的這些區域的優先級別是不能被更改的。

 

技

術

是

用

來

學

的

，

不

是

用

來

收

藏

的

！