防火牆用於網絡之間的隔離,專業的講用於保護一個安全區域免於另外一個安全區域的網絡攻擊和入侵行為。防火牆是基於安全區域的,一般廠商都是有這個概念的。安全區域(Security Zone),也稱之為區域(Zone),是一個邏輯的概念。用於管理防火牆設備安全需求相同的多個接口。它是一個或者多個的接口集合,管理員需要對安全需求相同的接口進行分類。並划分到不同的安全域,以實現安全策略的統一管理。
安全級別(Security Level)在華為防火牆上,每一個安全區域都有一個唯一的級別設定。用1~100的數字表示,數字越大,說明該區域的網絡越可信。對於默認的安全區域,它們的安全級別是固定的。
local:區域的安全級別是100
trust:區域的安全級別是85
DMZ:區域的安全級別是50
Untrust:區域的安全級別是5
華為防火牆默認定義了四個固定的安全區域
Trust:該區域的網絡受信任程度高,通常用來定義內部用戶所在的網絡。
Untrust:該區域代表的是不受信任的網絡,通常用來定義Internet。
DMZ:(Demilitarized非軍事區):該區域的網絡受信任程度中等,通常用來定義內部服務器(如ERP,OA等)所在網絡。
說明:DMZ這一術語起源於軍方,指的是介於嚴格的軍事管制區和松散的公共區域之間的一種有着部分管制的區域。
Local:防火牆上提供了Local區域,代表防火牆本身。比如防火牆主動發起的報文(如防火牆上執行ping)以及抵達防火牆自身的報文(我們要網管防火牆http、https、ssh、telnet)
PS:默認的安全區域無需創建,也不能被刪除,同時安全級別也不能重新分配。USG防火牆最多支持32個安全區域。
local區域中不能添加任何接口,但是防火牆上所有接口都隱含屬於lacal區域。也就是說,報文通過接口去往某網站時,目標安全區域也就是該接口local安全區域;報文通過接口到達防火牆本身時。目標安全區域也就是該接口的Local安全區域。
安全區域分析,如下圖;
從圖中我們可以看出防火牆1號接口和2號接口聯接到兩個不同的運營商,它們屬於同一個安全區域Untrust,防火牆3號接口屬於Trust安全區域,
防火牆4號接口屬於DMZ安全區域。當內部用戶訪問互聯網時,源區域是Trust,目的區域是Untrust;當互聯網用戶訪問DMZ服務器時,源區域是Untrust,目的區域是DMZ;當互聯網用戶網管防火牆時,源區域是Untrust,目的區域是Local;當防火牆向DMZ服務器發起ICMP流量時,源區域是Local,目的區域是DMZ。了解安全區域之間的數據包流動對后續安全策略是很有幫助的。