上一篇文章《防火墙入门基础之登录Web配置界面》已经简单的介绍了关于华为防火墙的如何配置Web登录 , 也开始接触了关于防火墙安全区域的基本概念 。其实防火墙安全区域是一个非常重要的概念 , 简称为区域(Zone) 。安全区域是一个或多个接口的集合 , 是防火墙区别于路由器的主要特征 。
文章插图
防火墙默认情况下为我们提供了三个安全区域 , 分别是Trust、DMZ和Untrust 。
- Trust区域 , 该区域内网络的受信任程度高 , 通常用来定义内部用户所在的网络 。
- DMZ区域 , 该区域内网络的受信任程度中等 , 通常用来定义内部服务器所在的网络 。
- Untrust区域 , 该区域代表的是不受信任的网络 , 通常用来定义Internet等不安全的网络
文章插图
【防火墙安全区域的作用及简单的配置】除了以上三个安全区域外 , 我们可以根据自身的业务来规划不能安全区域 , 可以通过以下命令添加 。
[USG6000V1]firewall zone name yewu 添加完需要对安全区域设置优先级 , 可以执行如下命令 , 优先级的范围为0-100 。
[USG6000V1-zone-yewu]set priority 30我们还可以通过web页面添加安全区域 , 以华为USG6000为例 , 如下图
文章插图
安全区域的优先级的作用每个安全区域都有自己的优先级 , 用1-100的数字表示 , 数字越大 , 则代表该区域内的网络越可信 。报文在两个安全区域之间流动时 , 我们规定:报文从低级别的安全区域向高级别的安全区域流动时为入方向(Inbound) , 报文从由高级别的安全区域向低级别的安全区域流动时为出方向(Outbound) 。报文在两个方向上流动时 , 将会触发不同的安全检查 。
文章插图
下面通过一个案例 , 来看看安全区的数据的流动 。
文章插图
关键配置
把GE1/0/0接口添加到trust安全区域 , 并配置接口IP地址为192.168.1.1
[USG6000V1]firewall zone trust [USG6000V1-zone-trust]add interface GigabitEthernet 1/0/0[USG6000V1-GigabitEthernet1/0/0]ip address 192.168.1.1 24把GE1/0/1接口添加到untrust安全区域 , 并配置接口IP地址为192.168.2.1
[USG6000V1]firewall zone untrust [USG6000V1-zone-untrust]add interface GigabitEthernet 1/0/1[USG6000V1-GigabitEthernet1/0/1]ip address 192.168.2.1 24同一个安全区域的内 , 是否会触发数据包的检查?PC1和PC2属于同一安全区域的 , 而PC1、PC2和PC3属于不同的区域的 。在没有配置任何安全策略的情况下 , 我们先看看同一个安全区域的是否能ping通 。
文章插图
PC1主机PingPC2主机
通过以上测试结果 , 我们发现PC1能正常Ping通PC2 。这样就说明了 , 在同一个安全区内 , 不会触发安全检查 。
那么不同安全区域呢 , 又如何呢?接着我们通过测试PC1和PC3的相互访问 , 验证不同安全区域的情况 。
文章插图
PC1主机Ping不通PC3主机
通过以上结果 , 证明了报文在不同的安全区域之间流动时 , 才会触发安全检查 。
如果让PC1能正常访问PC3 , 我们可以通过配置安全策略来实现 。
我们先配置允许trust区域流量去往untrust 。
文章插图
添加完这一条安全策略 , PC1能访问PC3吗?我们先来看看效果
文章插图
从上图可以看到 , PC1能正常PingPC3 , 说明这个策略是起作用了 。我们还可以通过查看策略的命中率 。
文章插图
如果想让PC3也能正常Ping通PC1 , 也需要添加一条untrust区域流量去往trust的安全策略 。
推荐阅读
- 动态路由协议之OSPF简介及单区域基本配置
- Dr.safety趋势安全大师 Mac版
- 品牌 安全 平价铸安溪铁观音十大知名品牌
- 福建提升"区域品牌"台湾经验值得借鉴
- 为什么现在很多软件都要求读取相册、位置等权限,安全吗?
- 行程卡有星号怎么办,行程卡有星号是不是代表风险区域
- 蚊香跟蚊香液哪个效果好 蚊香液比蚊香安全吗
- 区域茶叶品牌如何全国化
- 我要有安全感的爱情 什么叫安全感
- 临沧市部分区域茶叶价格大幅增长