安全区域
上一篇 , 我们做了一个小实验 , 以路由器的部署方式来部署防火墙 , 发现是哪都不通!!这一篇我们来学习下防火墙的一个重要特性 。在网络中防火墙的主要作用就是起到控制与隔离的作用 , 那么想要控制数据报文防火墙就需要区分这些流量来至于哪个地方 , 在目前主流的厂商都引入了一个概念叫做安全区域 。安全区域里面包含了一个或者多个接口的集合 , 当数据报文在不同的安全区域之间转发的时候 , 就会去匹配安全策略的检测 , 从而我们可以通过安全策略去控制 , 这个是防火墙的主要特性 。
文章插图
在实际应用中 , 防火墙是通过接口来连接不同的网络 , 通过把接口加入不同的区域后 , 区域下面所在接口的网络就跟这个区域进行了关联 。比如防火墙的1口加入了区域A , 那么区域A就跟员工网络进行了关联 , 接口2加入了区域B , 区域B就跟服务器区域进行了关联 , 接口3加入了区域C , 区域C就跟外网区域进行了关联 。
了解数据包的区域方向
接口跟区域划分后 , 当某个区域访问其他区域的时候 , 就有了数据包的区域方向 , 比如上面员工网络区域A想要访问区域C的internet , 数据包在防火墙的区域路线是从区域A到区域C , 当出差员工需要远程拨入来访问内网服务器资源的时候 , 数据包在防火墙的区域路线是区域C到区域B 。了解了数据包的区域方向后 , 当某个区域的数据包去往其他地方的时候 , 防火墙可以很快的根据数据包的走向来判断这个数据包是从哪个区域去往哪个区域 , 然后查找对应的安全策略 , 执行后续操作 。
防火墙是如何知道数据包来自于哪个区域 , 从哪个区域出去的呢?
还是以上面的图为例 , 当区域A的员工网络想上外网的时候 , 数据包经过防火墙 , 防火墙从1号口收到 , 防火墙会查找1号口所关联的区域 , 得到源区域是区域A , 在通过查找目的地址的路由表 , 发现报文的目的地址是从3号口发出 , 得到3号口对应的区域是区域C , 那么区域C就是目的区域 , 得到了源目区域后 , 防火墙会进行安全策略检查 , 然后根据结果来放行该数据包流量 。 (确定好源目区域对于我们后续实施安全策略有很大的帮助 , 也是前提 , 只有确定了区域我们才能够准确跟精准的配置安全策略的内容)
华为防火墙的默认安全区域
从早期的防火墙一直到现在的下一代 , 华为产品默认内置了四个安全区域 , 这些区域出厂就内置了 , 不能删除、更改里面的默认参数 , 只能添加跟删除接口关联 。
1、Trust区域:受信任区域 , 通常内部用户所在的网络区域
2、DMZ区域:信任程度一般 , 通常用于接入服务器所在的网络
3、UNtrust区域:不受信任的网络 , 通常用于接入外部所在的网络(比如Internet、专线等)
4、Local区域:这个区域比较特殊 , 代表的是防火墙自身 , 比如其他网络ping、HTTPS、telnet等流量抵达防火墙 , 那么这个报文是由Local区域接受处理 , 而防火墙主动发起的报文 , 比如防火墙ping其他网络、与其他分支建立IPSEC的报文 , 都是从Local区域发送出去 。
华为防火墙的区域的安全等级
不同的安全区域有不同的信任程度 , 在华为的防火墙中信任程度使用安全等级来表示 , 数字1~100 , 数字越大 , 则表示该区域的网络越可信 , 对于内置的4个区域 , 默认都有对应的等级 , Local是100 , Trust是85 , DMZ是50 , Untrust是5 。还需要注意的是 , 区域是必须有一个安全等级的 , 默认的区域系统已经规划了等级 , 如果我们新建的安全区域 , 默认是没有的 , 需要给它定义它才能够关联接口 。而且华为防火墙把数据包从低等级安全区域发往高等级的安全区域的方向为入方向(inbound) , 报文从高等级安全区域发往低等级安全区域的方向为出方向(Oubound) , 这个知识点对于下一代防火墙其实了解了解就好了 , 在UTM的防火墙里面则非常重要 , 因为写任何策略的内容必须先判断方向 , 然后来决定是Inbound还是outbound流量 , 下一代防火墙简化了这些操作 , 这里提及下 , 大家在看官方文档或者防火墙技术漫谈的时候都会提到这个内容 , 因为写的时候是基于UTM的产品为主讲解的 , 避免产生疑惑 。
推荐阅读
- 零基础学太极 如何快速掌握动作要领
- 如何掌握正则表达式这一开发利器,看这篇就够了
- 化妆时要掌握哪些小技巧?
- 防火墙基础与配置
- 如何在Linux安装防火墙,你可能不会见到这么详细的教程。
- 优秀程序员必备以下五点能力,你都掌握了吗?
- 安静与悠闲的茶室,轻松掌握茶室中的花道
- 如何快速掌握Web前端技术?
- 2021年Web开发必须知道的7大顶级趋势
- 防火墙配置——Web 认证 /会话控制