防火墙技术之安全区域

已于 2024-04-28 11:42:21 修改
阅读量1.1w 收藏 50
点赞数 8
分类专栏: # 安全杂项 文章标签: 安全 网络 华为 防火墙
于 2022-09-12 19:29:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Gherbirthday0916/article/details/126821115
版权

防火墙技术之安全区域

1.安全区域的概念

安全区域(Security Zone),简称为区域(Zone)。安全区域是一个或多个接口的集合,防火墙通过安全区域来划分网络、标识报文流动的“路线”。一般来说,当报文在不同的安全区域之间流动时才会受到控制。

默认情况下,报文在不同的安全区域之间流动时受到控制,报文在同一个安全区域内流动时不受控制

防火墙通过接口来连接网络,将接口划分到安全区域后,通过接口就能把安全区域和网络关联起来。通常说某个安全区域,也可以表示该安全区域中接口所连接的网络。

在这里插入图片描述

2.华为防火墙的安全区域实践

华为防火墙上已经默认为大家提供三个安全区域,分别是Trust、DMZ和Untrust。光从名字看就知道这三个安全区域很有内涵。

  • Trust区域。该区域内网络的受信任程度高,通常用来定义内部用户所在的网络。
  • DMZ区域。该区域内网络的受信任程度中等,通常用来定义内部服务器所在的网络
  • Untrust区域。该区域代表的是不受信任的网络,通常用来定义Internet等不安全的网络。

在这里插入图片描述

当内部网络中的用户访问Internet时,报文在防火墙上的路线是从Trust区域到Untrust区域;当Internet上的用户访问内部服务器时,报文在防火墙上的路线是从Untrust区域到DMZ区域。

3.防火墙Local区域

防火墙上提供Local区域,代表防火墙本身。凡是由防火墙主动发出的报文均可认为是从Local区域中发出,凡是需要防火墙响应并处理(而不是转发)的报文均可认为是由Local区域接收。

在这里插入图片描述

4.报文在安全区域之间流动的方向

在华为防火墙上,每个安全区域都必须有一个安全级别,该安全级别是唯一的,用1~100的数字表示,数字越大,则代表该区域内的网络越可信。对于默认的安全区域,它们的安全级别是固定的:Local区域的安全级别是100, Trust区域的安全级别是85, DMZ区域的安全级别是50, Untrust区域的安全级别是5。

报文从低级别的安全区域向高级别的安全区域流动时为入方向(Inbound),报文从由高级别的安全区域向低级别的安全区域流动时为出方向(Outbound)
在这里插入图片描述

那么,防火墙如何判断报文在哪两个安全区域之间流动呢?

源安全区域很容易确定,防火墙从哪个接口接收到报文,该接口所属的安全区域就是报文的源安全区域。

确定目的安全区域时分两种情况:

  • 三层模式下,防火墙通过查找路由表确定报文将要从哪个接口发出,该接口所属的安全区域就是报文的目的安全区域;
  • 二层模式下,防火墙通过查找MAC地址转发表确定报文将要从哪个接口发出,该接口所属的安全区域就是报文的目的安全区域。源安全区域和目的安全区域确定后,就可以知道报文是在哪两个安全区域之间流动了。

源安全区域不能简单地根据收到报文的接口来确定,此时防火墙会采用“反向查找路由表”的方式来确定原始报文的源安全区域。具体来说,防火墙会把原始报文中的源地址假设成是目的地址,然后通过查找路由表确定这个目的地址的报文将要从哪个接口发出,该接口所属的安全区域是报文将要去往的安全区域。反过来说,报文也就是从该安全区域发出的,所以反查路由表得到的这个安全区域就是报文的源安全区域

5.安全区域的配置

物理接口的配置

安全区域的配置主要包括创建安全区域以及将接口加入安全区域,下面给出了创建一个新的安全区域test,然后将接口GE0/0/1加入该安全区域的过程。接口GE0/0/1可以工作在三层模式也可以工作在二层模式。

配置命令非常简单,唯一需要注意的是,新创建的安全区域是没有安全级别的,我们必须为其设置安全级别,然后才能将接口加入安全区域。当然,鉴于安全级别的唯一性,设置的安全级别不能和已经存在的安全区域的级别相同。

[FW]firewall zone name test                       //创建安全区域test
[FW-zone-test]set priority 10                       //将安全级别设置为10
[FW-zone-test]add interface GigabitEthernet 0/0/1       //将接口GE0/0/1加入安全区域

前面我们介绍的都是将物理接口加入安全区域的内容,除了物理接口,防火墙还支持逻辑接口,如子接口、VLANIF接口等,这些逻辑接口在使用时也需要加入安全区域。下面给出了将子接口和VLANIF接口加入安全区域的示例。

子接口的配置

如图所示,PC A和PC B属于不同的子网,交换机上通过两个VLAN将PC A和PC B所属的子网隔离,交换机连接到防火墙的接口GE0/0/1上。对于防火墙来说,这种组网是典型的“单臂”环境。

在这里插入图片描述

我们在接口GE0/0/1下创建两个子接口GE0/0/1.10和GE0/0/1.20,分别对应VLAN 10和VLAN 20,然后将这两个子接口划分到不同的安全区域,而接口GE0/0/1不用加入安全区域,即可实现将PC A和PC B划分到不同安全区域的目的

在这里插入图片描述

其具体配置如下:

[FW]interface GigabitEthernet 0/0/1.10
[FW-GigabitEthernet0/0/1.10]vlan-type dot1q 10
[FW-GigabitEthernet0/0/1.10]ip address 192.168.10.1 24
[FW-GigabitEthernet0/0/1.10]quit
[FW]interface GigabitEthernet 0/0/1.20
[FW-GigabitEthernet0/0/1.20]vlan-type dot1q 20
[FW-GigabitEthernet0/0/1.20]ip address 192.168.20.1 24
[FW-GigabitEthernet0/0/1.20]quit
[FW]firewall zone name trust1
[FW-zone-trust1]set priority 10
[FW-zone-trust1]add interface GigabitEthernet 0/0/1.10
[FW-zone-trust1]quit
[FW]firewall zone name trust2
[FW-zone-trust2]set priority 20
[FW-zone-trust2]add interface GigabitEthernet 0/0/1.20
[FW-zone-trust2]quit

VLANIF接口的配置

我们可以在防火墙上创建两个VLAN并为各自的VLANIF接口配置IP地址,然后配置接口GE0/0/1工作在二层模式(透明模式),允许VLAN 10和VLAN 20的报文通过。将VLANIF10和VLANIF20划分到不同的安全区域,而接口GE0/0/1不用加入安全区域,即可实现将PC A和PC B划分到不同安全区域的目的

其具体配置如下:

[FW]vlan 10
[FW-vlan-10]quit
[FW]interface Vlanif 10
[FW-Vlanif10]quit
[FW]vlan 20
[FW-vlan-20]quit
[FW]interface Vlanif 20
[FW-Vlanif20]quit
[FW]interface GigabitEthernet 0/0/1
[FW-GigabitEthernet0/0/1]portswitch
[FW-GigabitEthernet0/0/1]port link-type trunk
[FW-GigabitEthernet0/0/1]port trunk permit vlan 10 20
[FW-GigabitEthernet0/0/1]quit
[FW]firewall zone name trust1
[FW-zone-trust1]set priority 10
[FW-zone-trust1]add interface Vlanif 10
[FW-zone-trust1]quit
[FW]firewall zone name trust2
[FW-zone-trust2]set priority 20
[FW-zone-trust2]add interface Vlanif 20
[FW-zone-trust2]quit
世界尽头与你
关注
专栏目录
防火墙安全区域
是江涛呀的博客
03-27 4669
防火墙安全区域 安全区域是一个或几个接口的集合,对流量的检测是基于安全区域的而非接口 防火墙的默认模式如上图所示 创建新的区域的命令是[USG6000V1]firewall zone name 123 查看新创建的区域 发现已经建立了新的安全区域123 安全区域配置 firewall zone trust //进入安全区域 set priority 85 //设置安全区域优先级 add interface GigabitEthernet0/0/0 add interface Gigab
华为防火墙安全区域介绍及配置
热门推荐
lzs
04-25 1万+
安全区域介绍 防火墙通俗讲是用于控网络之间的隔离,专业讲是用于保护一个安全区域免受另外 一个安全区域网络***和入击行为。从防火墙的定义中可以看出防火墙是基于安 全区域的,其它厂商(Cisco,Juniper 等)都是有这个概念的。 什么是安全区域呢? 安全区域(Security Zone),也称为区域(Zone),是一个逻辑概念,用于管理 防火墙设备上安全需求相同的多个接口,也就是说它是一个或多个接口的集合。 管理员将安全需求相同的接口进行分类,并划分到不同的安全域,能够实现安全策 略的统一管理。 讲
firewalld防火墙中的zone
qq_41904061的博客
09-03 1187
https://wenku.baidu.com/view/68fc5b7cbceb19e8b9f6ba20.html
安全防御之防火墙基础】
dzqxwzoe的博客
01-24 1079
防火墙主要一个网络免受另一个网络的攻击和入侵行为。防火墙灵活应用于网络边界、子网隔离等位置。例如:企业网络出口、大型网络内部子网隔离、数据中心边界。
防火墙安全策略(基本配置)
2301_78439235的博客
07-10 3413
此时,即使配置了接口所在安全域允许访问local区域安全策略,也不能通过该接口访问本地防火墙。所以服务器回包时候,会直接查询会话表,实现通信,所以防火墙只需要放行一边就行,流量能出去能建立会话,流量就可以按照会话回来。firewall zone name命令用来创建安全区域,并进入安全区域视图。id表示安全区域ID,取值4~99,默认递增。安全区域在使用时需要与防火墙的特定接口相关联,即需要将接口加入到安全区域。和交换机、路由器相同,interface命令用来创建接口或进入指定的接口视图。
防火墙部署安全区域
Code-5的博客
01-16 1839
为了在防火墙上区分不同的网络,我们在防火墙上引入了一个重要的概念:安全区域(Security Zone),简称为区域(Zone)。安全区域是一个或多个接口的集合,是防火墙区别于路由器的主要特性。防火墙通过安全区域来划分网络、标识报文流动的“路线”,一般来说,当报文在不同的安全区域之间流动时,才会受到控制。 我们都知道,防火墙通过接口来连接网络,将接口划分到安全区域后,通过接口就把安全区域网络关联起来。通常说某个安全区域,就可以表示该安全区域中接口所连接的网络。接口、网络安全区域的关系如图所示。
网路安全-防火墙安全区域简介
最新发布
weixin_57370131的博客
08-20 1039
安全区域安全区域分类、安全区域级别、安全区域的作用、安全区域流动方向、实战、自定义安全区域
一、防火墙-安全区域
u012451051的博客
11-21 1524
2013年9月,华为在企业网络大会发布了下一代防火墙USG6600,标志着华为进入新的历史发展阶段。防火墙主要用户保护一个网络免受来自另一个网络的攻击和入侵行为,因其隔离、防守的属性,防火墙灵活用于网络边界、子网隔离等位置。路由器用来连接不同的网络,通过路由协议来保证互联互通,确保将报文转发到目的地。交换机通常用于组建局域网,作为局域网的重要枢纽,通过二三层交换机快速转发报文。防火墙主要部署在网络边界,对进出网络的访问行为进行控制,安全防护是其核心特性。路由器和交换机本质是转发,防火墙本质是控制。
信息安全技术基础:防火墙的DMZ区域.pptx
11-01
信息安全技术基础
安全防护技术】防火墙技术
msmxsd的博客
05-26 643
防火墙技术防火墙基本介绍概念与作用发展历程工作原理部署方式 防火墙基本介绍 概念与作用 防火墙是在网络间【内部/外部网络、不同信息级别】提供安全连接的设备,用于实现和执行网络之间通信的安全策略。 防火墙定义:一种高级访问控制设备,用于不同安全域之间通过相关的安全策略来控制(允许、拒绝、监视、记录)进出网络的访问行为。防止内部网络信息资源的非法访问。 发展历程 从技术发展阶段,分为包过滤、应用代理、状态检测等几大类型 工作原理 处理数据流:快速转发——>接收处理——>规则匹配——&
H3C NGFW防火墙——从域间策略到安全策略
01-08
H3C NGFW防火墙——从域间策略到安全策略,非常好的华三防火墙安全配置视频,网上很少有
防火墙之服务器安全检测和防御技术
weixin_53946822的博客
12-01 1323
DoS攻击——Denial of Service, 是一种拒绝服务攻击,常用来使服务器或网络瘫痪。DDoS攻击——Distributed Denial of Service, 分布式拒绝服务攻击。
安全技术之防火墙
Stephencurr的博客
11-01 639
目录一、安全技术和防火墙1.1安全技术1.2防火墙的分类二、防火墙工具2.1 Iptables2.2 firewalld2.3 nftables2.4 nftables 特点2.5 netfilter中五个钩子函数和报文流向2.5.1 Netfilter概述2.5.2 三种报文流向三、firewalld服务3.1firewalld介绍3.2 查看现有firewall设置3.3设置查看默认区3.4添加源地址(网段)及端口及服务3.5管理rich规则四、bond4.1 nmli命令5.2实操 一、安全技术和防火
防火墙防火墙安全区域概述
Perfect886的博客
11-22 2043
目录 防火墙概述 防火墙安全区域的作用 防火墙概述 “防火墙”一词起源于建筑领域,用来隔离火灾,阻止火势从一个区域蔓延到另一个区域。引入到通信领域,防火墙这一具体设备通常用于两个网络之间有针对性的、逻辑意义上的隔离。这种隔离是选择性的,隔离“火”的蔓延,而又保证“人”可以穿墙而过。这里的“火”是指网络中的各种攻击,而“人”是指正常的通信报文。 什么是防火墙? 在通信领域,防火墙是一种安全设备。它用于保护一个网络区域免受来自另一个网络区域的攻击和入侵,通常被应用于网络边界,例如企业互联网出口、企业
2、什么是安全区域_什么是安全区域 (1),网络安全开发热门前沿知识
2401_84159688的博客
04-09 1858
防火墙默认提供的安全区域包括受信区域(Trust Zone,也称为内部区域)、非军事化区域(DMZ区域)和非受信区域(Untrust Zone,也称为外部区域)。这些区域分别用于定义内部用户所在的网络、内部服务器所在的网络以及不受信任的网络(如Internet)。此外,还可以根据具体需求自定义安全区域。例如,可以创建一个自定义区域(Custom Zone),只允许特定部门的员工访问。这种区域划分和管理方式有助于增强网络安全性。
2、什么是安全区域_什么是安全区域
2401_83974087的博客
04-11 795
源码讲义、实战项目、讲解视频,并且后续会持续更新**
H3C防火墙-安全
MAsunshine的博客
10-19 5256
一. 基本概念 安全域:是一个逻辑概念,用于管理安全防护设备上的安全需求相 同的多个接口,便于实现安全控制策略的统一管理。 缺省安全域:当首次创建安全策略或域间策略时,系统会自动创建 以下安全域:local、trust、DMZ,Management和untrust。缺省安全域不能被删掉。 DMZ:指介于严格的军事管制区域和松散的公共区域之间的一种有 着部分管制的区域安全域中引用这一术语,指代一个逻辑上和物理 上都与内部网络和外部网络分离的区域。通常部署网络时,将那些需 要被公共访问的设备(如
5014.网络安全__防火墙安全策略和安全区域划分
weixin_33991727的博客
05-06 353
5014.网络安全__防火墙安全策略和安全区域划分 网络安全__防火墙安全策略 网络安全__防火墙安全区域划分 转载于:https://blog.51cto.com/sop2008/854553...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

世界尽头与你

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值