简介
安全区域(Security Zone),或者简称为区域(Zone),是设备所引入的一个安全概念,大部分的安全策略都基于安全区域实施。
定义
一个安全区域是若干接口所连网络的集合,这些网络中的用户具有相同的安全属性。
目的
在网络安全的应用中,如果网络安全设备对所有报文都进行逐包检测,会导致设备资源的大量消耗和性能的急剧下降。而这种对所有报文都进行检查的机制也是没有必要的。所以在网络安全领域出现了基于安全区域的报文检测机制。
引入安全区域的概念之后,网络管理员可以将具有相同优先级的网络设备划入同一个安全区域。由于同一安全区域内的网络设备是“同样安全”的,FW认为在同一安全区域内部发生的数据流动是不存在安全风险的,不需要实施任何安全策略。只有当不同安全区域之间发生数据流动时,才会触发设备的安全检查,并实施相应的安全策略。
所以FW在支持报文直接转发的基础上,还支持了安全区域的创建,并且允许网络管理员在安全区域的基础上实施各种特殊的报文检测与安全功能。
安全区域有优先级的区分。优先级通过1~100的数字表示,数字越大表示优先级越高。
(系统默认的安全区域不能被删除,优先级也无法被重新配置或者删除。用户可以根据实际组网需要,自行创建安全区域并定义其优先级。)
设备上缺省的安全区域如表1所示。
| 区域名称 | 优先级 | 说明 |
|---|---|---|
| 非受信区域(untrust) | 低安全级别的安全区域,优先级为5。 | 通常用于定义Internet等不安全的网络。 |
| 非军事化区域(dmz) | 中等安全级别的安全区域,优先级为50。 | 通常用于定义内网服务器所在区域。因为这种设备虽然部署在内网,但是经常需要被外网访问,存在较大安全隐患,同时一般又不允许其主动访问外网,所以将其部署一个优先级比trust低,但是比untrust高的安全区域中。 说明:dmz(Demilitarized Zone)起源于军方,是介于严格的军事管制区和松散的公共区域之间的一种有着部分管制的区域。FW设备引用了这一术语,指代一个逻辑上和物理上都与内部网络和外部网络分离的安全区域。 dmz安全区域很好地解决了服务器的放置问题。该安全区域可以放置需要对外提供网络服务的设备,如WWW服务器、FTP服务器等。上述服务器如果放置于内部网络,外部恶意用户则有可能利用某些服务的安全漏洞攻击内部网络;如果放置于外部网络,则无法保障它们的安全。 |
| 受信区域(trust) | 较高安全级别的安全区域,优先级为85。 | 通常用于定义内网终端用户所在区域。 |
| 本地区域(local) | 最高安全级别的安全区域,优先级为100。 | local区域定义的是设备本身,包括设备的各接口本身。凡是由设备构造并主动发出的报文均可认为是从local区域中发出,凡是需要设备响应并处理(而不仅是检测或直接转发)的报文均可认为是由local区域接收。 用户不能改变local区域本身的任何配置,包括向其中添加接口。 说明:由于local区域的特殊性,在很多需要设备本身进行报文收发的应用中,需要开放对端所在安全区域与local区域之间的安全策略。包括:
向安全区域中添加接口,只是认为该接口所连的网络属于该安全区域,而接口本身还是属于local区域。 |
安全域间与方向
安全域间这个概念用来描述流量的传输通道,它是两个“区域”之间的唯一“道路”。如果希望对经过这条通道的流量进行检测等,就必须在通道上设立“关卡”,如ASPF等功能。
任意两个安全区域都构成一个安全域间(Interzone),并具有单独的安全域间视图。
安全域间的数据流动具有方向性,包括入方向(Inbound)和出方向(Outbound)。
-
入方向:数据由低优先级的安全区域向高优先级的安全区域传输。
-
出方向:数据由高优先级的安全区域向低优先级的安全区域传输。
通常情况下,通信双方一定会交互报文,即安全域间的两个方向上都有报文的传输。而判断一条流量的方向应以发起该条流量的第一个报文为准。
例如,发起连接的终端位于trust区域,它向位于untrust区域的Web服务器发送了第一个报文,以请求建立HTTP连接。由于untrust区域的优先级比trust区域低,所以FW设备将认为这个报文属于Outbound方向,并根据Outbound方向上的域间配置决定是否匹配并进一步处理该数据流。
##本文参考自华为官方usg产品文档##
1266
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
