华为防火墙:平安区域是什么?若何设置?

华为防火墙:平安区域是什么?若何设置?

又安全了?谷歌撤掉了Edge浏览器访问Chrome网上应用店时的安全警告

平安区域先容

 

防火墙通俗讲是用于控网络之间的隔离,专业讲是用于珍爱一个平安区域免受另外一个平安区域的网络攻击和入击行为。从防火墙的界说中可以看出防火墙是基于平安区域的,其它厂商(Cisco,Juniper等)都是有这个观点的。

 

什么是平安区域呢?

 

平安区域(Security Zone),也称为区域(Zone),是一个逻辑观点,用于治理防火墙装备上平安需求相同的多个接口,也就是说它是一个或多个接口的聚集。

 

治理员将平安需求相同的接口举行分类,并划分到差别的平安域,能够实现平安策略的统一治理。

 

讲平安区域前讲我们先领会一个术语,平安级别(Security Level),在华为防火墙上,每个平安区域都有一个唯一的平安级别,用1-100 的字示意,数字越大,则代表该区域内的网络越可信。

 

对于默认的平安区域,它们的平安级别是牢固的:Local 区域的平安级别是100,Trust 区域的平安级别是85,DMZ 区域的平安级别是50,Untrust 区域的平安级别是5。

 

华为防火墙默认预界说了四个牢固的平安区域,分别为:

 

Trust: 该区域内网络的受信托水平高,通常用来界说内部用户所在的网络。

 

Untrust: 该区域代表的是不受信托的网络,通常用来界说Internet 等不平安的网络。

 

DMZ(Demilitarized非军事区): 该区域内网络的受信托水平中等,通常用来界说内部服务器(公司OA系统,ERP系统等)所在的网络。

(说明:DMZ这一术语起源于军方,指的是介于严酷的军事管制区和松散的公共区域之间的一种有着部门管制的区域。)

 

Local: 防火墙上提供了Local 区域,代表防火墙自己。好比防火墙自动提议的报文(我们在防火墙执行ping测试)以及抵达防火墙自身的报文(我们要网管防火墙telnet、ssh、http、https)。

(注重:默认的平安区域无需建立,也不能删除,同时平安级别也不能重新设置。USG防火墙最多支持32个平安区域。)

 

Local 区域中不能添加任何接口,但防火墙上所有接口自己都隐含属于Local 区域。也就是说,报文通过接口去往某个网络时,目的平安区域是该接口所在的平安区域;报文通过接口到达防火墙自己时,目的平安区域是Local 区域。

 

平安区域分析,如下图:

 

「干货」华为防火墙:平安区域是什么?若何设置?

 

 

从图中我们可以看出防火墙1号接口和2号接口联接到两个差别的运营商,它们属于同一个平安区域Untrust, 防火墙3号接口属于Trust平安区域,防火墙4号接口属于DMZ平安区域。

物联网编程之通信框架-Netty(一)

 

当内部用户接见互联网时,源区域是Trust,目的区域是Untrust;当互联网用户接见DMZ服务器时,源区域是Untrust,目的区域是DMZ;当互联网用户网管防火墙时,源区域是Untrust,目的区域是Local;当防火墙向DMZ服务器提议ICMP流量时,源区域是Local,目的区域是DMZ。

 

领会平安区域之间的数据包流动对后续平安策略是很有辅助的。

 

· 设置平安区域

 

1、建立平安区域

 

[NGFW]firewallzone name ISP1

[NGFW-zone-ISP1]setpriority 80

[NGFW-zone-ISP1]addinterface g1/0/1

注:区域里必须要有唯一的平安级别(Cisco ASA平安级别可以相同),响应的接口要加入到区域,可以是物理接口和逻辑接口(Vlanif、Tunnel)。

 

2、查看平安区域

 

<NGFW>displayzone

local

priority is 100

trust

priority is 85

interface of the zone is (1):

GigabitEthernet0/0/0

untrust

priority is 5

interface of the zone is (0):

dmz

priority is 50

interface of the zone is (0):

ISP1

priority is 80

interface of the zone is (1):

GigabitEthernet1/0/1

迎接关注我的头条号,私信交流,学习更多网络技术!

谷歌浏览器v80版打开文件选择对话框出现模糊问题 附临时解决办法

分享到 :
相关推荐

发表评论

登录... 后才能评论