谈谈防火墙的安全区域
作者:互联网
谈谈防火墙的安全区域
安全区域介绍
安全区域概念
安全区域(zone)是防火墙产品所引入的一个安全概念,是防火墙产品区别于路由器的主要特征。
对于路由器,各个接口所连接的网络在安全上可以视为是平等的,没有明显的内外之分,所以即使进行一定程度的安全检查也是在接口上完成的。这样,一个数据流单向通过路由器时有可能需要进行两次安全规则的检查(入接口的安全检查和出接口的安全检查),以便使其符合每个接口上独立的安全定义。而这种思路对于防火墙来说是很不合适的,因为防火墙所承担的责任是保护内部网络不受外部网络上非法行为的侵害,因而有着明确的内外之分。
当一个数据流通过SecPath防火墙的时候,根据其发起方向的不同,所引用的操作是截然不同的。这种安全级别上的差异,再采用在接口上检查安全策略的方式已经不适用,将造成用户在配置上的混乱。因此,SecPath防火墙提出了安全区域的概念。
一个安全区域包括一个或多个接口的组合,具有一个安全级别。在设备内,安全级别通过0~100的数字来表示,数字越大表示安全级别越高,不存在两个具有相同安全级别的区域。当数据在分属于两个不同安全级别的区域(或区域包含的接口)之间流动的时候,才会激活防火墙的安全规则检查功能。数据在属于同一个安全区域的不同接口间流动时不会引起任何检查。
安全区域划分
SecPath防火墙上缺省保留四个区域,见图
① 非受信区域 (Untrust):低级的安全区域,其安全优先级为5。
② 非军事化区域(DMZ):中度级别的安全区域,其安全优先级别为50。
DMZ(De Militarized Zone,非军事化区),这一术语起源于军方,指得是介于严格的军事管制区和松散的公共区域之间的一种有着部分管制的区域。防火墙引用这一术语,指在一个逻辑上和物理上都与内部网络和外部网络分离的区域。通常部署网络时,将那些需要被公共访问的设备,例如WWW 服务器、FTP 服务器等放置于此。如果将这些服务器放置于外部网络侧他们的安全性无法保障;如果放置于内部网络,则外部恶意用户有可能利用某些服务器的安全漏洞***内部网络。因此,DMZ区域的出现很好的解决了这些服务器的放置问题。
③ 受信区(Trust):较高级别的安全区域,其安全优先级为85。
④ 本地区域(Local):最高级别的安全区域,其安全优先级100。
此外,如认为有必要,用户也可自行设置新的安全区域并定义其安全优先级别。
接口、网络和安全区域的关联
除了Local区域以外,在使用其他所有安全区域时,需要将安全区域分别与防火的特定接口相关联,即将接口加入到安全域。
值得注意的是,系统不允许两个安全区域具有相同的安全级别;而且同一接口又不允许分属于两个不同的安全区域。
具体来说,Trust所属接口用于连接用户要保护的网络;Untrust所属接口连接外部网络;DMZ区所属接口连接用户向外部提供服务的部分网络;从防火墙设备本身发起的连接即是从Local区域发起的连接。相应的所有对防火墙本身的访问都属于向Local区域发起的访问连接。
另外安全区域与各网络的关联遵循一些原则:
- 内部网络应安排在安全级别较高的区域;
- 外部网络应安排在安全级别最低的区域;
- 一些可对外部提供有条件服务的网络应安排在安全级别中等的DMZ区域。
域间的数据流方向
不同级别的安全区域间的数据流动都将激发防火墙进行按安全策略的检测,管理员可以为不同流动方向设置不同的安全策略。域间的数据流分两个方向:
- 入方向(inboud):数据由低级别的安全区域向高级别的安全区域传输的方向;
- 出方向(outbound):数据由高级别的安全区域向低级别的安全区域传输的方向。
在H3C SecPath防火墙上,判断数据传输是出方向还是入方向,总是相对高级别的一侧而言,即由高级别区域向低级别区域的数据流动为出方向,由低级别区域向高级别区域数据流动为入方向。
根据图所示,可以得到如下结论:
- 从DMZ区到Untrust区域的数据流为出方向,反之为入方向;
- 从Trust区域到DMZ区的数据流为出方向,反之为入方向;
- 从Trust区域到Untrust区域的数据流为出方向,反之为入方向。
注意:路由器数据流动方向的判定是以接口为主:由接口发出的数据方向称为出方向;由接口接收数据的方向为入方向。这也是路由器有别于防火墙的重要特征。
说明:在防火墙中,当报文从高优先级别区域向低优先级别区域发起连接时,即从Trust区域向Untrust区域和DMZ区域发起数据连接,或DMZ区域向Untrust区域发起连接时,必须明确配置缺省过滤规则。
由防火墙本地(Local区域)发起或终止的报文不进行状态检测,这类报文的过滤由包过滤机制来完成。
安全区域的基本配置
安全区域基本配置包括
- 创建安全区域
- 进入安全区域视图
- 进入区域间视图
- 为安全区域添加接口
- 设置安全区域的优先级
创建安全区域
缺省情况下,系统预先定义了四个安全区域:Local、Trust、Untrust和DMZ。这些系统定义的安全区域是不能被删除的。
操作
命令
创建安全区域
firewall zone name zonename
删除安全区域
undo firewall zone name zonename
进入安全区域视图
操作 | 命令 |
进入安全区域视图 | firewall zone zonename |
进入某安全区域视图的目的:主要是进行添加/删除接口和设置区域优先级别的操作。
进入区域间视图
操作 | 命令 |
进入区域间视图 | firewall interzone zone1 zone2 |
为安全区域添加接口
操作 | 命令 |
将接口添加到安全区域 | add interface interface-type interface-number |
将接口从安全区域中删除 | undo add interface interface-type interface-number |
缺省情况系,所有接口不属于任何安全区域。
一个接口只能属于一个安全区域。将接口加入到一个安全区域中前,这个接口不能已经属于其他的安全区域,否则需要先将此接口从其他区域中删除。
设置安全区域的优先级
可以为安全区域设置一个优先级别,优先级别值越高,表示此区域的安全性越高。
此命令在区域视图下进行下列配置:
操作 | 命令 |
设置安全的优先级 | set priority number |
缺省情况下,Local区域的优先级别为100,Trust区域的优先级别为85,Untrust区域的优先级别为5,DMZ区域的优先级别为50。系统定义的这些区域的优先级别是不能被更改的。
技
术
是
用
来
学
的
,
不
是
用
来
收
藏
的
!
标签:防火墙,接口,安全,谈谈,区域,安全级别,DMZ 来源: https://blog.51cto.com/15047492/2560991