北京華為防火墻代理商介紹,防火墻通俗講是用于控網絡之間的隔離,準確講是用于保護一個安全區域免受另外一個安全區域的網絡攻擊和入擊行為。從防火墻的定義中可以看出防火墻是基于安全區域的,其它廠商(Cisco,Juniper等)都是有這個概念的。
什么是安全區域呢?
北京華為防火墻代理商指出,安全區域(Security Zone),也稱為區域(Zone),是一個邏輯概念,用于管理防火墻設備上安全需求相同的多個接口,也就是說它是一個或多個接口的集合。
管理員將安全需求相同的接口進行分類,并劃分到不同的安全域,能夠實現安全策略的統一管理。
講安全區域前講我們先了解一個術語,安全級別(Security Level),在華為防火墻上,每個安全區域都有一個的安全級別,用1-100 的字表示,數字越大,則代表該區域內的網絡越可信。
對于默認的安全區域,它們的安全級別是固定的:Local 區域的安全級別是100,Trust 區域的安全級別是85,DMZ 區域的安全級別是50,Untrust 區域的安全級別是5。
華為防火墻默認預定義了四個固定的安全區域,分別為:
Trust: 該區域內網絡的受信任程度高,通常用來定義內部用戶所在的網絡。
Untrust: 該區域代表的是不受信任的網絡,通常用來定義Internet 等不安全的網絡。
DMZ(Demilitarized非軍事區): 該區域內網絡的受信任程度中等,通常用來定義內部服務器(公司OA系統,ERP系統等)所在的網絡。
(說明:DMZ這一術語起源于,指的是介于嚴格的軍事管制區和松散的公共區域之間的一種有著部分管制的區域。)
Local: 防火墻上提供了Local 區域,代表防火墻本身。比如防火墻主動發起的報文(我們在防火墻執行ping測試)以及抵達防火墻自身的報文(我們要網管防火墻telnet、ssh、http、https)。
(注意:默認的安全區域無需創建,也不能刪除,同時安全級別也不能重新配置。USG防火墻最多支持32個安全區域。)
Local 區域中不能添加任何接口,但防火墻上所有接口本身都隱含屬于Local 區域。也就是說,報文通過接口去往某個網絡時,目的安全區域是該接口所在的安全區域;報文通過接口到達防火墻本身時,目的安全區域是Local 區域。
安全區域分析,如下圖:
從圖中我們可以看出防火墻1號接口和2號接口聯接到兩個不同的運營商,它們屬于同一個安全區域Untrust, 防火墻3號接口屬于Trust安全區域,防火墻4號接口屬于DMZ安全區域。
當內部用戶訪問互聯網時,源區域是Trust,目的區域是Untrust;當互聯網用戶訪問DMZ服務器時,源區域是Untrust,目的區域是DMZ;當互聯網用戶網管防火墻時,源區域是Untrust,目的區域是Local;當防火墻向DMZ服務器發起ICMP流量時,源區域是Local,目的區域是DMZ。
了解安全區域之間的數據包流動對后續安全策略是很有幫助的。
1、創建安全區域
[NGFW]firewallzone name ISP1
[NGFW-zone-ISP1]setpriority 80
[NGFW-zone-ISP1]addinterface g1/0/1
注:區域里必須要有的安全級別(Cisco ASA安全級別可以相同),相應的接口要加入到區域,可以是物理接口和邏輯接口(Vlanif、Tunnel)。
2、查看安全區域
<NGFW>displayzone
local
priority is 100
trust
priority is 85
interface of the zone is (1):
GigabitEthernet0/0/0
untrust
priority is 5
interface of the zone is (0):
dmz
priority is 50
interface of the zone is (0):
ISP1
priority is 80
interface of the zone is (1):
GigabitEthernet1/0/1
以上就是華為防火墻安全區域介紹及配置,希望對大家有所幫助。北京華為防火墻代理商長期致力于華為防火墻產品和技術服務,根據客戶需求提供一站式解決方案,以高質量的產品和技術服務客戶。如果您有需求,歡迎聯系我們。
