【防火墙技术连载4】强叔侃墙 基础知识篇 安全区域:划地而治 等级森严

digest [复制链接]
发表于 : 2014-3-21 17:57:05 最新回复:2019-11-14 18:24:57
51937 71
强叔侃墙
强叔侃墙 官方号

各位好,前几期强叔和大家聊了防火墙的概念和发展历史,并为大家介绍了华为的防火墙产品,相信大家对防火墙已经有了一个初步的认识。从今天开始,强叔将为大家讲解防火墙的技术知识,继续探究防火墙的精彩世界。

在第一篇贴子中我们提到,防火墙主要部署在网络边界起到隔离的作用,那么在防火墙上如何来区分不同的网络呢?

为此,我们在防火墙上引入了一个重要的概念:安全区域(Security Zone),简称为区域(Zone)。安全区域是一个或多个接口的集合,是防火墙区别于路由器的主要特性。防火墙通过安全区域来划分网络、标识报文流动的“路线”,当报文在不同的安全区域之间流动时,才会触发安全检查1

我们都知道,防火墙通过接口来连接网络,将接口划分到安全区域后,通过接口就把安全区域和网络关联起来。通常说某个安全区域,就可以表示该安全区域中接口所连接的网络。接口、网络和安全区域的关系所下图所示。

 

通过把接口划分到不同的安全区域中,就可以在防火墙上划分出不同的网络。如下图所示,我们把接口1和接口2放到安全区域A中,接口3放到安全区域B中,接口4放到安全区域C中,这样在防火墙上就存在了三个安全区域,对应三个网络。

 

华为防火墙产品上默认已经为大家提供了三个安全区域,分别是Trust、DMZ和Untrust,光从名字看就知道这三个安全区域很有内涵,下面强叔就为大家逐一介绍:

  • Trust区域,该区域内网络的受信任程度高,通常用来定义内部用户所在的网络。
  • DMZ区域2,该区域内网络的受信任程度中等,通常用来定义内部服务器所在的网络。
  • Untrust区域,该区域代表的是不受信任的网络,通常用来定义Internet等不安全的网络。

在网络数量较少、环境简单的场合中,使用默认提供的安全区域就可以满足划分网络的需求。当然,在网络数量较多的场合,您还可以根据需要创建新的安全区域。
如下图所示,假设接口1和接口2连接的是内部用户,那我们就把这两个接口划分到Trust区域中;接口3连接内部服务器,将它划分到DMZ区域;接口4连接Internet,将它划分到Untrust区域。

 

 

由此我们可以得知,不同网络间互访时报文在防火墙上所走的路线。例如,当内部网络中的用户访问Internet时,报文在防火墙上的路线是从Trust区域到Untrust区域;当Internet上的用户访问内部服务器时,报文在防火墙上的路线是从Untrust区域到DMZ区域。
除了在不同网络之间流动的报文之外,还存在从某个网络到达防火墙本身的报文(例如我们登录到防火墙上进行配置),以及从防火墙本身发出的报文,如何在防火墙上标识这类报文的路线呢?
如下图所示,防火墙上提供了Local区域,代表防火墙本身。凡是由防火墙主动发出的报文均可认为是从Local区域中发出,凡是需要防火墙响应并处理(而不是转发)的报文均可认为是由Local区域接收。

 

关于Local区域,强叔还要再提醒一句,Local区域中不能添加任何接口,但防火墙上所有接口本身都隐含属于Local区域。也就是说,报文通过接口去往某个网络时,目的安全区域是该接口所在的安全区域;报文通过接口到达防火墙本身时,目的安全区域是Local区域。


现在我们就可以把经过防火墙的流量和防火墙本身的流量都标识出来了,前面介绍过,不同的网络受信任的程度不同,在防火墙上用安全区域来表示网络后,怎么来判断一个安全区域的受信任程度呢?在华为防火墙上,每个安全区域都有一个唯一的安全级别,用1~100的数字表示,数字越大,则代表该区域内的网络越可信。对于默认的安全区域,它们的安全级别是固定的:Local区域的安全级别是100,Trust区域的安全级别是85,DMZ区域的安全级别是50,Untrust区域的安全级别是5。

 

级别确定之后,安全区域就被分成了三六九等,高低有别。报文在两个安全区域之间流动时,我们规定:报文从低级别的安全区域向高级别的安全区域流动时为入方向(Inbound)报文从由高级别的安全区域向低级别的安全区域流动时为出方向(Outbound)。报文在两个方向上流动时,将会触发不同的安全检查。下图标明了Local区域、Trust区域、DMZ区域和Untrust区域间的方向。

 

通过安全区域,防火墙上划分出了等级森严、关系明确的网络,防火墙成为连接各个网络的节点。以此为基础,防火墙就可以对各个网络之间流动的报文进行安全检查和实施管控策略。
下面给出了防火墙部署在企业内部的真实环境组网图。从图中我们可以看出,企业内部网络中的用户、服务器,以及位于外部的Internet,都被划分到不同的安全区域中了,防火墙对各个安全区域之间流动的报文进行安全检查。

 

上面我们花了很大的篇幅来介绍安全区域,主要目的还是要说明安全区域的重要性。希望通过强叔的介绍,可以让大家了解安全区域的作用,掌握安全区域之间的关系,为后面进一步学习防火墙知识打好基础。

 

1:默认情况下,报文在不同的安全区域之间流动时,才会触发安全检查,在同一个安全区域中流动时,不会触发安全检查。同时,华为的防火墙也支持对同一个安全区域内经过防火墙的流量进行安全检查,更加灵活实用。
2:DMZ(Demilitarized Zone)起源于军方,是介于严格的军事管制区和松散的公共区域之间的一种部分管制的区域。防火墙引用了这一术语,指代一个与内部网络和外部网络分离的安全区域。

 

强叔提问:
如下图所示,安全区域的名称和级别都已经注明,请问A、B、C之间互访时报文流动的路线(包括方向)是什么样的呢?
强叔先给出一个例子:A访问B时的路线是Trust区域到Untrust区域的Outbound方向。

 

 

 

上一篇 基础知识篇 华为防火墙产品一览

下一篇 基础知识篇 状态检测和会话机制

汇总贴】 

本帖被以下专题推荐:

  • x
  • 常规:

点评 回复

跳转到指定楼层
死亡之ping
死亡之ping   发表于 2014-5-28 16:58:04 已赞(0) 赞(0)

强叔,必须得顶起来
  • x
  • 常规:

点评 回复

lzh_127
lzh_127   发表于 2014-7-18 14:39:51 已赞(0) 赞(0)

讲解很透彻,继续跟着强叔思路走
  • x
  • 常规:

点评 回复

千山鸟飞绝
千山鸟飞绝  导师 发表于 2014-5-8 20:09:29 已赞(0) 赞(0)

墙叔家里是不是也珍藏着几台墙呢?
  • x
  • 常规:

点评 回复

强叔侃墙
强叔侃墙 官方号 发表于 2014-5-8 20:18:00 已赞(0) 赞(0)

引用 17 楼

墙叔家里是不是也珍藏着几台墙呢?
千山鸟飞绝 发表于 2014-05-08 20:09

强叔也想珍藏,太贵了买不起 :(~~

  • x
  • 常规:

点评 回复

POZHENZI
POZHENZI  新锐 发表于 2014-9-11 10:34:33 已赞(0) 赞(0)

回复 4 楼

ping的时候有回包啊,也就是说A访问B(A ping B),是trust 到 untrust 的inbound和outbound。

所以我觉得只是inbound好像有些片面啊。

  • x
  • 常规:

点评 回复

风吹菜花
风吹菜花  新锐 发表于 2014-7-1 11:06:37 已赞(0) 赞(0)

我是一个新手,有个疑问:所有跨网络的报文不是都需要经过防火墙吗?为什么报文路线中不需要包括Local区域呢?

ps:

3ms回帖编辑框如果直接跟在文后就更容易操作了,想一边回复一边看原帖还要往上拉页面。

  • x
  • 常规:

点评 回复

dingbao2012
dingbao2012   发表于 2014-5-12 11:07:54 已赞(0) 赞(0)

学习了,不错
  • x
  • 常规:

点评 回复

强叔侃墙
强叔侃墙 官方号 发表于 2014-7-1 20:12:26 已赞(0) 赞(0)

回复 28 楼

在防火墙上,Local区域指代的防火墙本身,只有到达防火墙本身、或者防火墙本身发出的报文才涉及Local区域,比如管理员使用Telnet、SSH或Web方式登录防火墙进行管理,这个时候报文会经过Local区域,其他经由防火墙转发的报文是不经过Local区域的。
  • x
  • 常规:

点评 回复

周中斌
周中斌   发表于 2014-8-20 14:49:19 已赞(0) 赞(0)

eudemon防火墙还有一个默认VZONE的区域,级别为0,其它防火墙没有这个默认区域吗?
  • x
  • 常规:

点评 回复

发表回复
您需要登录后才可以回帖 登录 | 注册

警告 内容安全提示:尊敬的用户您好,为了保障您、社区及第三方的合法权益,请勿发布可能给各方带来法律风险的内容,包括但不限于政治敏感内容,涉黄赌毒内容,泄露、侵犯他人商业秘密的内容,侵犯他人商标、版本、专利等知识产权的内容,侵犯个人隐私的内容等。也请勿向他人共享您的账号及密码,通过您的账号执行的所有操作,将视同您本人的行为,由您本人承担操作后果。详情请参看“隐私声明
如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!
登录参与交流分享

登录参与交流分享

登录