防火墙用于网络之间的隔离,专业的讲用于保护一个安全区域免于另外一个安全区域的网络攻击和入侵行为。防火墙是基于安全区域的,一般厂商都是有这个概念的。安全区域(Security Zone),也称之为区域(Zone),是一个逻辑的概念。用于管理防火墙设备安全需求相同的多个接口。它是一个或者多个的接口集合,管理员需要对安全需求相同的接口进行分类。并划分到不同的安全域,以实现安全策略的统一管理。
安全级别(Security Level)在华为防火墙上,每一个安全区域都有一个唯一的级别设定。用1~100的数字表示,数字越大,说明该区域的网络越可信。对于默认的安全区域,它们的安全级别是固定的。
local:区域的安全级别是100
trust:区域的安全级别是85
DMZ:区域的安全级别是50
Untrust:区域的安全级别是5
华为防火墙默认定义了四个固定的安全区域
Trust:该区域的网络受信任程度高,通常用来定义内部用户所在的网络。
Untrust:该区域代表的是不受信任的网络,通常用来定义Internet。
DMZ:(Demilitarized非军事区):该区域的网络受信任程度中等,通常用来定义内部服务器(如ERP,OA等)所在网络。
说明:DMZ这一术语起源于军方,指的是介于严格的军事管制区和松散的公共区域之间的一种有着部分管制的区域。
Local:防火墙上提供了Local区域,代表防火墙本身。比如防火墙主动发起的报文(如防火墙上执行ping)以及抵达防火墙自身的报文(我们要网管防火墙http、https、ssh、telnet)
PS:默认的安全区域无需创建,也不能被删除,同时安全级别也不能重新分配。USG防火墙最多支持32个安全区域。
local区域中不能添加任何接口,但是防火墙上所有接口都隐含属于lacal区域。也就是说,报文通过接口去往某网站时,目标安全区域也就是该接口local安全区域;报文通过接口到达防火墙本身时。目标安全区域也就是该接口的Local安全区域。
安全区域分析,如下图;
从图中我们可以看出防火墙1号接口和2号接口联接到两个不同的运营商,它们属于同一个安全区域Untrust,防火墙3号接口属于Trust安全区域,
防火墙4号接口属于DMZ安全区域。当内部用户访问互联网时,源区域是Trust,目的区域是Untrust;当互联网用户访问DMZ服务器时,源区域是Untrust,目的区域是DMZ;当互联网用户网管防火墙时,源区域是Untrust,目的区域是Local;当防火墙向DMZ服务器发起ICMP流量时,源区域是Local,目的区域是DMZ。了解安全区域之间的数据包流动对后续安全策略是很有帮助的。