Como se mencionó, los firewalls se utilizan para aislar redes de diferentes niveles de seguridad. Un firewall identifica diferentes redes por zona de seguridad. Al asignar interfaces de firewall a diferentes zonas de seguridad, las redes conectadas a las interfaces se clasifican en diferentes niveles de seguridad. Las interfaces del firewall deben agregarse a las zonas de seguridad (excepto las interfaces de administración independientes en algunos modelos) para procesar el tráfico.
Las zonas de seguridad están diseñadas para reducir las superficies de ataque de la red. Una vez que se definen las zonas de seguridad, el tráfico no puede fluir entre las zonas de seguridad a menos que el administrador especifique reglas de acceso válidas. Para ser específico, si una subred es comprometida o vulnerada, los atacantes solo pueden acceder a los recursos en una zona de seguridad correspondiente a la subred. Por lo tanto, se recomienda que las zonas de seguridad se utilicen para un particionamiento de red refinado.
Agregar una interfaz a una zona de seguridad significa que la red conectada a la interfaz se agrega a la zona de seguridad, no la interfaz en sí. La Figura 1 muestra las relaciones entre la interfaz, la red y la zona de seguridad.
Figura 1 Interfaz, red y zona de seguridad
Las zonas de seguridad de los firewalls se dividen en niveles de seguridad del 1 al 100. Un número mayor indica un nivel de seguridad más alto. El firewall proporciona cuatro zonas de seguridad predeterminadas: Trust, DMZ, Untrust y local. Los administradores también pueden personalizar las zonas de seguridad para implementar un control detallado. Por ejemplo, una empresa divide las zonas de seguridad del firewall de acuerdo con la Figura 2. La interfaz de la intranet se agrega a la zona Trust, la interfaz de la extranet se agrega a la zona Untrust y la interfaz del servidor se agrega a la DMZ. Además, una zona de seguridad denominada visitante se define como zona de invitados.
Se puede agregar una interfaz a una sola zona de seguridad. Se pueden agregar múltiples interfaces a una zona de seguridad.
Figura 2 División de zonas de seguridad
Como se muestra en la figura anterior, existe una zona de seguridad especial denominada local. El nivel de seguridad máximo es 100. La zona local indica el servidor de seguridad en sí. No se puede agregar ninguna interfaz a la zona local, pero todas las interfaces del firewall pertenecen a la zona local. Se puede considerar que los paquetes enviados por el firewall se originan en la zona local y los recibidos (no reenviados) por el firewall están destinados a la zona local.
Además de las interfaces físicas, el firewall también admite interfaces lógicas, como subinterfaces, interfaces VLANIF e interfaces de túnel, que también deben agregarse a las zonas de seguridad.
Saludos.
FIN.
También te puede interesar:
Conoce como operar y mantener la solución NIP6000 de Huawei
Compilación de publicaciones sobre configuraciones rápidas para firewalls de Huawei
Una introducción a las zonas de seguridad en un firewall de Huawei
Conoce más de esta línea de productos en:
O pregúntale al robot inteligente de Huawei, conócelo aquí:
Infografía: Conoce a iKnow, el robot inteligente