防火墙必须掌握的区域特性与划分( 二 ) _防火墙

安全区域的实际案例配置

文章插图

我们就紧接着以上次那个案例直接进行讲解，上次以路由器形式配置后是哪都不通，从这篇学习完防火墙区域的概念后，应该就有一个认知了，就是之前我们没有把对应的防火墙接口划入到区域里面去！，下面就以这个案例为背景来把区域进行划分，顺便熟悉熟悉安全区域的配置。

文章插图

文章插图

完整的配置参考第二篇，这里就不在重复了，之前我们测试的结果就是ping网关都不通！！接下来先看看防火墙默认的安全区域。

文章插图

通过display zone可以看到有四个区域，也就是上面介绍的华为默认的四个，并且包含了优先级，细心的你可能发现了一个不同的地方，就是Trust这个区域默认存在一个接口，而其余的则没有。在第二篇的时候我留下了一个思考的作业，就是防火墙默认的管理口能否正常通信，相信看到了上面这个图后，就有了答案，那肯定是可以的，因为接口属于了Trust ，收到来自于这个接口的流量后，查询该接口已经加入安全区域，防火墙可以正常处理数据包，而案例里面的G1/0/0、G1/0/1、G1/0/2没有加入任何的安全区域，防火墙在收到来自于这些口报文后，由于没有加入区域，无法判断报文的路线跟方向，防火墙就会直接丢弃报文，导致我们最终不通的现象。了解了这个后，那么接下来我们把接口加入安全区域就可以解决了，带来的另外一个问题就是，加入哪个区域呢？

文章插图

从主流防火墙的逻辑思维（华为、思科、H3C、juniper都是这样），优先级高的区域用于连接内网网络区域，所以上图这里把办公区域规划了进Trust ，而接外网的部分属于外部区域，安全性未知，就划分进了Untrust ，实际来配置下。

[USG6000V1] firewall zone trust
[USG6000V1-zone-trust]add interface g1/0/1
[USG6000V1-zone-trust]add interface g1/0/2

[USG6000V1]firewall zone untrust
[USG6000V1-zone-untrust]add interface g1/0/0

文章插图

配置很简单的，进入对应的区域，然后添加接口加入区域就完成了，加入后，我们在来看看能否通信。

文章插图

可以发现现在还是不通的，但是这个不通就跟之前的不通不一样了，这里是由于防火墙的接口管理特性阻断了，所以导致不通，我们开启允许Ping（后面还会提及这个功能）

[USG6000V1]interface g1/0/1
[USG6000V1-GigabitEthernet1/0/1]service-manage ping permit
[USG6000V1-GigabitEthernet1/0/1]int g1/0/2
[USG6000V1-GigabitEthernet1/0/2]service-manage ping permit

文章插图

现在发现通了！！

文章插图

内网互通也是可以的，可以在验证下，防火墙的接口如果没加入区域，开启了允许Ping的情况。

[USG6000V1-GigabitEthernet1/0/2]display this
2020-11-04 08:41:48.820
#
interface GigabitEthernet1/0/2
undo shutdown
ip address 192.168.12.254 255.255.255.0
service-manage ping permit
dhcp select interface
dhcp server ip-range 192.168.12.1 192.168.12.200
dhcp server gateway-list 192.168.12.254
dhcp server DNS-list 223.5.5.5 114.114.114.114

目前该接口是开启了Ping功能允许的

[USG6000V1]firewall zone trust
[USG6000V1-zone-trust]undo add interface g1/0/2