谈谈防火墙的安全区域

谈谈防火墙的安全区域

安全区域介绍

安全区域概念

安全区域（zone）是防火墙产品所引入的一个安全概念，是防火墙产品区别于路由器的主要特征。

对于路由器，各个接口所链接的网络在安全上能够视为是平等的，没有明显的内外之分，因此即便进行必定程度的安全检查也是在接口上完成的。这样，一个数据流单向经过路由器时有可能须要进行两次安全规则的检查（入接口的安全检查和出接口的安全检查），以便使其符合每一个接口上独立的安全定义。而这种思路对于防火墙来讲是很不合适的，由于防火墙所承担的责任是保护内部网络不受外部网络上非法行为的侵害，于是有着明确的内外之分。

当一个数据流经过SecPath防火墙的时候，根据其发起方向的不一样，所引用的操做是大相径庭的。这种安全级别上的差别，再采用在接口上检查安全策略的方式已经不适用，将形成用户在配置上的混乱。所以，SecPath防火墙提出了安全区域的概念。

一个安全区域包括一个或多个接口的组合，具备一个安全级别。在设备内，安全级别经过0~100的数字来表示，数字越大表示安全级别越高，不存在两个具备相同安全级别的区域。当数据在分属于两个不一样安全级别的区域（或区域包含的接口）之间流动的时候，才会激活防火墙的安全规则检查功能。数据在属于同一个安全区域的不一样接口间流动时不会引发任何检查。

安全区域划分

SecPath防火墙上缺省保留四个区域，见图

① 非受信区域 （Untrust）：低级的安全区域，其安全优先级为5。

② 非军事化区域（DMZ）：中度级别的安全区域，其安全优先级别为50。

DMZ（De Militarized Zone，非军事化区），这一术语起源于军方，指得是介于严格的军事管制区和松散的公共区域之间的一种有着部分管制的区域。防火墙引用这一术语，指在一个逻辑上和物理上都与内部网络和外部网络分离的区域。一般部署网络时，将那些须要被公共访问的设备，例如WWW 服务器、FTP 服务器等放置于此。若是将这些服务器放置于外部网络侧他们的安全性没法保障；若是放置于内部网络，则外部恶意用户有可能利用某些服务器的安全漏洞***内部网络。所以，DMZ区域的出现很好的解决了这些服务器的放置问题。

③ 受信区（Trust）：较高级别的安全区域，其安全优先级为85。

④ 本地区域（Local）：最高级别的安全区域，其安全优先级100。

此外，如认为有必要，用户也可自行设置新的安全区域并定义其安全优先级别。

接口、网络和安全区域的关联

除了Local区域之外，在使用其余全部安全区域时，须要将安全区域分别与防火的特定接口相关联，即将接口加入到安全域。

值得注意的是，系统不容许两个安全区域具备相同的安全级别；并且同一接口又不容许分属于两个不一样的安全区域。

具体来讲，Trust所属接口用于链接用户要保护的网络；Untrust所属接口链接外部网络；DMZ区所属接口链接用户向外部提供服务的部分网络；从防火墙设备自己发起的链接便是从Local区域发起的链接。相应的全部对防火墙自己的访问都属于向Local区域发起的访问链接。

另外安全区域与各网络的关联遵循一些原则：

• 内部网络应安排在安全级别较高的区域；
• 外部网络应安排在安全级别最低的区域；
• 一些可对外部提供有条件服务的网络应安排在安全级别中等的DMZ区域。

域间的数据流方向

不一样级别的安全区域间的数据流动都将激发防火墙进行按安全策略的检测，管理员能够为不一样流动方向设置不一样的安全策略。域间的数据流分两个方向：

• 入方向（inboud）：数据由低级别的安全区域向高级别的安全区域传输的方向；
• 出方向（outbound）：数据由高级别的安全区域向低级别的安全区域传输的方向。
  

在H3C SecPath防火墙上，判断数据传输是出方向仍是入方向，老是相对高级别的一侧而言，即由高级别区域向低级别区域的数据流动为出方向，由低级别区域向高级别区域数据流动为入方向。

根据图所示，能够获得以下结论：

• 从DMZ区到Untrust区域的数据流为出方向，反之为入方向；
• 从Trust区域到DMZ区的数据流为出方向，反之为入方向；
• 从Trust区域到Untrust区域的数据流为出方向，反之为入方向。

注意：路由器数据流动方向的断定是以接口为主：由接口发出的数据方向称为出方向；由接口接收数据的方向为入方向。这也是路由器有别于防火墙的重要特征。

说明：在防火墙中，当报文从高优先级别区域向低优先级别区域发起链接时，即从Trust区域向Untrust区域和DMZ区域发起数据链接，或DMZ区域向Untrust区域发起链接时，必须明确配置缺省过滤规则。

由防火墙本地（Local区域）发起或终止的报文不进行状态检测，这类报文的过滤由包过滤机制来完成。

安全区域的基本配置

安全区域基本配置包括

• 建立安全区域
• 进入安全区域视图
• 进入区域间视图
• 为安全区域添加接口
• 设置安全区域的优先级

建立安全区域

缺省状况下，系统预先定义了四个安全区域：Local、Trust、Untrust和DMZ。这些系统定义的安全区域是不能被删除的。

操做

命令

建立安全区域

firewall zone name zonename 

删除安全区域 

undo firewall zone name zonename 

进入安全区域视图

操做	命令
进入安全区域视图	firewall zone zonename

进入某安全区域视图的目的：主要是进行添加/删除接口和设置区域优先级别的操做。

进入区域间视图

操做	命令
进入区域间视图	firewall interzone zone1 zone2

为安全区域添加接口

操做	命令
将接口添加到安全区域	add interface interface-type interface-number
将接口从安全区域中删除	undo add interface interface-type interface-number

缺省状况系，全部接口不属于任何安全区域。

一个接口只能属于一个安全区域。将接口加入到一个安全区域中前，这个接口不能已经属于其余的安全区域，不然须要先将此接口从其余区域中删除。

设置安全区域的优先级

能够为安全区域设置一个优先级别，优先级别值越高，表示此区域的安全性越高。

此命令在区域视图下进行下列配置：

操做	命令
设置安全的优先级	set priority number

缺省状况下，Local区域的优先级别为100，Trust区域的优先级别为85，Untrust区域的优先级别为5，DMZ区域的优先级别为50。系统定义的这些区域的优先级别是不能被更改的。

 

技

术

是

用

来

学

的

，

不

是

用

来

收

藏

的

！