防火墙部署安全区域

最新推荐文章于 2024-04-11 15:05:37 发布
最新推荐文章于 2024-04-11 15:05:37 发布
阅读量1.7k 收藏 16
点赞数 21
分类专栏: 网络安全之防御保护 文章标签: 安全 网络安全 huawei
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61802503/article/details/135624377
版权

目录

为什么需要安全区域

在这里插入图片描述

防火墙主要部署在网络边界起到隔离的作用

在防火墙上如何来区分不同的网络

在这里插入图片描述

防火墙通过安全区域来划分网络、标识报文流动的“路线”

  • 为了在防火墙上区分不同的网络,我们在防火墙上引入了一个重要的概念:安全区域(Security Zone),简称为区域(Zone)。安全区域是一个或多个接口的集合,是防火墙区别于路由器的主要特性。防火墙通过安全区域来划分网络、标识报文流动的“路线”,一般来说,当报文在不同的安全区域之间流动时,才会受到控制。
  • 我们都知道,防火墙通过接口来连接网络,将接口划分到安全区域后,通过接口就把安全区域和网络关联起来。通常说某个安全区域,就可以表示该安全区域中接口所连接的网络。接口、网络和安全区域的关系如图所示。

将接口划分到安全区域

在这里插入图片描述

通过把接口划分到不同的安全区域中,就可以在防火墙上划分出不同的网络

  • 通过把接口划分到不同的安全区域中,就可以在防火墙上划分出不同的网络。如图所示,我们把接口1和接口2放到安全区域A中,接口3放到安全区域B中,接口4放到安全区域C中,这样在防火墙上就存在了三个安全区域,对应三个网络。
  • 在华为防火墙上,一个接口只能加入到一个安全区域中。

安全区域、受信任程度与安全级别

安全区域安全级别说明
Local100设备本身,包括设备的各接口本身
Trust85通常用于定义内网终端用户所在区域
DMZ50通常用于定义内网服务器所在区域
Untrust5通常用于定义Internet等不安全的网络

受信任程度:Local > Trust > DMZ > Untrust

不同的网络受信任的程度不同,在防火墙上用安全区域来表示网络后,怎么来判断一个安全区域的受信任程度呢?

  • 在华为防火墙上,每个安全区域都有一个唯一的安全级别,用1~100的数字表示,数字越大,则代表该区域内的网络越可信。
  • 对于默认的安全区域,它们的安全级别是固定的:Local区域的安全级别是100Trust区域的安全级别是85DMZ区域的安全级别是50Untrust区域的安全级别是5

安全域间、安全策略与报文流动的方向

在这里插入图片描述

  • 任意两个安全区域都构成一个安全域间(Interzone),并具有单独的安全域间视图,大部分的安全策略都需要在安全域间视图下配置。
  1. 安全域间这个概念用来描述流量的传输通道。它是两个“区域”之间的唯一“道路”,如果希望对经过这条通道的流量进行控制,就必须在通道上设立“关卡”,也就是安全策略。报文在两个安全区域之间流动时,我们规定:报文从低级别的安全区域向高级别的安全区域流动时为入方向(Inbound),报文从由高级别的安全区域向低级别的安全区域流动时为出方向(Outbound)。报文在两个方向上流动时,将会触发不同的安全检查。图中标明了Local区域、Trust区域、DMZ区域和Untrust区域间的方向。
  • 通常情况下,通信双方一定会交互报文,即安全域间的两个方向上都有报文的传输。而判断一条流量的方向应以发起该条流量的第一个报文为准。
  • 通过设置安全区域,防火墙上的各个安全区域之间有了等级明确的域间关系。不同的安全区域代表不同的网络,防火墙成为连接各个网络的节点。以此为基础,防火墙就可以对各个网络之间流动的报文实施管控。

安全区域配置案例

在这里插入图片描述

↑ 如图所示,在一个测试用的网络环境中,NGFW作为安全网关。为了使10.1.1.0/24网段的用户可以正常访问Server(1.1.1.10 ),需要在NGFW上配置安全区域。网络环境如图所示 ↓
在这里插入图片描述

  • GigabitEthernet1/0/1配置
interface GigabitEthernet1/0/1
 ip address 10.1.1.1 255.255.255.0 
#
interface GigabitEthernet1/0/2
 ip address 1.1.1.1 255.255.255.0
#
firewall zone trust
 set priority 85
 add interface GigabitEthernet1/0/1
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet1/0/2
  • 测试结果:
PC>ping 1.1.1.10

Ping 1.1.1.10: 32 data bytes, Press Ctrl_C to break
Request timeout!
Request timeout!
Request timeout!
Request timeout!
Request timeout!

--- 1.1.1.10 ping statistics ---
  5 packet(s) transmitted
  0 packet(s) received
  100.00% packet loss
CyberSecure
关注
  • 21
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
防火墙安全区域
是江涛呀的博客
03-27 4594
防火墙安全区域 安全区域是一个或几个接口的集合,对流量的检测是基于安全区域的而非接口 防火墙的默认模式如上图所示 创建新的区域的命令是[USG6000V1]firewall zone name 123 查看新创建的区域 发现已经建立了新的安全区域123 安全区域配置 firewall zone trust //进入安全区域 set priority 85 //设置安全区域优先级 add interface GigabitEthernet0/0/0 add interface Gigab
计算机网络-防火墙工作原理与安全策略
Linux基础知识、计算机网络基础学习分享。
02-21 1495
流量的转发有区域内和区域间,通过安全策略进行控制,安全策略匹配五元组、时间、用户等条件,匹配完成后进行允许或拒绝的动作,以此实现流量过滤。因为这种设备虽然部署在内网,但是经常需要被外网访问,存在较大安全隐患,同时一般又不允许其主动访问外网,所以将其部署一个优先级比trust低,但是比untrust高的安全区域中。一个安全区域防火墙若干接口所连网络的集合,一个区域内的用户具有相同的安全属性。当防火墙收到流量后,对流量的属性(五元组、用户、时间段等)进行识别,然后与安全策略的条件进行匹配。
防火墙技术之安全区域
热门推荐
大河之犬的博客
09-12 1万+
我们在接口GE0/0/1下创建两个子接口GE0/0/1.10和GE0/0/1.20,分别对应VLAN 10和VLAN 20,然后将这两个子接口划分到不同的安全区域,而接口GE0/0/1不用加入安全区域,即可实现将PC A和PC B划分到不同安全区域的目的。安全区域的配置主要包括创建安全区域以及将接口加入安全区域,下面给出了创建一个新的安全区域test,然后将接口GE0/0/1加入该安全区域的过程。源安全区域很容易确定,防火墙从哪个接口接收到报文,该接口所属的安全区域就是报文的源安全区域
H3C的防火墙一配置举例
weixin_33940102的博客
09-13 1425
H3C的防火墙必须把接口加到域里面去 # 配置接口Ethernet 0/0/0 加入防火墙Trust 域。 [H3C] firewall zone trust [H3C-zone-trust] add interface Ethernet 0/0/0 H3C 防火墙的域(zone) 区域(zone)是防火墙产品所引入的一个安全概念,是防火墙产品区别于路由器的主要特征...
防火墙防火墙安全区域概述
Perfect886的博客
11-22 1977
目录 防火墙概述 防火墙安全区域的作用 防火墙概述 “防火墙”一词起源于建筑领域,用来隔离火灾,阻止火势从一个区域蔓延到另一个区域。引入到通信领域,防火墙这一具体设备通常用于两个网络之间有针对性的、逻辑意义上的隔离。这种隔离是选择性的,隔离“火”的蔓延,而又保证“人”可以穿墙而过。这里的“火”是指网络中的各种攻击,而“人”是指正常的通信报文。 什么是防火墙? 在通信领域,防火墙是一种安全设备。它用于保护一个网络区域免受来自另一个网络区域的攻击和入侵,通常被应用于网络边界,例如企业互联网出口、企业
如何部署H3C安全防火墙系统.rar
08-09
第三章安全区域 第四章访问控制列表ACL 第五章包过滤技术 第六章地址转换(NAT) 第七章报文统计与攻击防范 第八章运行模式 第九章防火墙典型组网及常见故障诊断 第十章 SecPath防火墙特性测试实验指导
防火墙升级方案.docx
03-26
1. 安全域策略:将外网设定为 untrust 区域,将内网设定为 trust 区域,服务器区域为 DMZ。 2. 流量控制:整体流量控制将划分为第一层流控、第二层流控,每一层流控下再划分三个根管道,根管道下面再划分子管道,子...
H3C部署安全防火墙系统学习指导书.rar
08-25
第三章 安全区域 21 第四章 访问控制列表ACL 26 第五章 包过滤技术 33 第六章 地址转换(NAT) 44 第七章 报文统计与攻击防范 50 第八章 运行模式 68 第九章 防火墙典型组网及常见故障诊断 79 第十章 SecPath防火墙...
防火墙与网络安全.pptx
06-10
1 控制在计算机网络中,不同信任程度区域间传送的数据流 2 网络安全的屏障 3 强化网络安全策略 4 防止内部信息的外泄 防火墙的功能 5 监控网络存取和访问 防火墙与网络安全全文共23页,当前为第7页。 防火墙的功能 ...
H3C NGFW防火墙——从域间策略到安全策略
01-08
H3C NGFW防火墙——从域间策略到安全策略,非常好的华三防火墙安全配置视频,网上很少有
安全区域边界篇.pdf
06-12
整改建议是部署安全准入产品,以检查、定位并阻断非授权接入。 4. **内部用户非授权外联**: - 关键设备如重要核心管理终端和业务终端,如果没有检查或限制非授权外联到外部网络的行为,也构成高风险。建议安装...
H3C防火墙-安全
MAsunshine的博客
10-19 5153
一. 基本概念 安全域:是一个逻辑概念,用于管理安全防护设备上的安全需求相 同的多个接口,便于实现安全控制策略的统一管理。 缺省安全域:当首次创建安全策略或域间策略时,系统会自动创建 以下安全域:local、trust、DMZ,Management和untrust。缺省安全域不能被删掉。 DMZ:指介于严格的军事管制区域和松散的公共区域之间的一种有 着部分管制的区域安全域中引用这一术语,指代一个逻辑上和物理 上都与内部网络和外部网络分离的区域。通常部署网络时,将那些需 要被公共访问的设备(如
2、什么是安全区域_什么是安全区域 (1),网络安全开发热门前沿知识
2401_84159688的博客
04-09 1525
防火墙默认提供的安全区域包括受信区域(Trust Zone,也称为内部区域)、非军事化区域(DMZ区域)和非受信区域(Untrust Zone,也称为外部区域)。这些区域分别用于定义内部用户所在的网络、内部服务器所在的网络以及不受信任的网络(如Internet)。此外,还可以根据具体需求自定义安全区域。例如,可以创建一个自定义区域(Custom Zone),只允许特定部门的员工访问。这种区域划分和管理方式有助于增强网络的安全性。
防火墙安全策略&&防火墙安全区域的划分
weixin_63245990的博客
09-29 2353
安全区域的划分和安全策略的配置
防火墙安全区域安全策略、NAT 配置
Qconfig100的博客
10-18 2439
公司总部的网络分成了三个区域,包括内部区域(Trust)、外部区域(Untrust)和服务器区域(DMZ)。你设计通过防火墙来实现对数据的控制,确保公司内部网络安全,并通过DMZ区域对外网提供服务。并且需要将DMZ区域中的一台服务器(IP地址为10.0.3.3)提供的Telnet服务和FTP服务发布出去,对外公开的地址为10.0.10.254/24。
2、什么是安全区域_什么是安全区域
最新发布
2401_83974087的博客
04-11 709
源码讲义、实战项目、讲解视频,并且后续会持续更新**
防火墙详解
weixin_63543838的博客
03-17 1239
它可以通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。(3)DMZ(Demilitarized非军事区): 该区域内网络的受信任程度中等,通常用来定义内部服务器(公司OA系统,ERP系统等)所在的网络。(2)Untrust: 该区域代表的是不受信任的网络,通常用来定义Internet 等不安全的网络。
防火墙基础知识
woo233的博客
07-07 6206
(1).包过滤防火墙 (2)代理防火墙 (3)状态检测防火墙逐包检测方式 通常在web、mail上使用 外部主动发送到主机上的信息不接受,但主机输出到服务器,服务器返回的信息会接受,省去了逐包检查。安全区域(Zone)是一个或多个接口的集合,是防火墙区别于路由器的主要特征。 防火墙默认情况下为我们提供了三个安全区域,分别是 受信区域Trust、非军事化区域DMZ和 非受信区域Untrust。 Trust区域,该区域内网络的受信任程度高,通常用来定义内部用户所在的网络。 DMZ区域,该区域内网络的受信任程度中
css IOS安全区域
09-21
### 回答1: IOS 安全区域是指在 IOS 设备上,屏幕顶部和底部会有一些边距,这些边距是为了留出手机顶部的状态栏(包括电量、时间等信息)和底部的 Home 按钮的空间。在网页布局中,我们可以使用 `padding` 属性来给元素添加内边距,从而避开安全区域。例如,在 IOS 设备上,我们可以使用如下 CSS 代码来为页面添加内边距,从而使内容不会被状态栏遮挡: ```css body { padding-top: env(safe-area-inset-top); padding-bottom: env(safe-area-inset-bottom); } ``` 注意,上述代码仅适用于 IOS 设备,对于其他平台可能不适用。 ### 回答2: CSS中的iOS安全区域是指在使用苹果设备上的浏览器显示网页时,屏幕顶部和底部的安全区域,以适应设备的刘海屏、圆角屏或者底部虚拟 Home 键的存在。 为了确保网页内容不被覆盖或者裁剪,我们可以使用CSS的属性来处理iOS安全区域。其中一种方法是使用`env(safe-area-inset-top)`和`env(safe-area-inset-bottom)`属性来获取设备的安全区域尺寸,并将元素的位置和尺寸进行调整,以适应安全区域。 例如,可以通过设置`padding-top: env(safe-area-inset-top);`和`padding-bottom: env(safe-area-inset-bottom);`来为具有固定定位的元素添加上下内边距,并确保元素的内容不会被遮挡。 另外,我们还可以使用JavaScript来检测设备的安全区域尺寸,并动态地为元素添加适应性的样式。通过监听窗口的`resize`事件或者使用`window.matchMedia`方法来检测设备的屏幕方向和尺寸变化,然后根据具体情况动态地修改CSS样式。 总之,通过使用CSS和JavaScript,我们可以轻松地处理iOS设备的安全区域,确保网页内容在各种设备上都能正常显示,提升用户的浏览体验。 ### 回答3: CSS中的IOS安全区域是指在IOS设备上,屏幕上显示实际内容的安全区域。由于不同的IOS设备具有不同的屏幕尺寸和宽高比,因此为了确保内容的显示效果,在设计网页时需要考虑IOS安全区域的限制。 IOS安全区域的大小和位置是由设备的屏幕尺寸决定的。在设计时,应该避免将重要的内容或交互元素放置在安全区域之外,以免被屏幕的刘海、圆角等特殊形状遮挡。 为了确保网页在不同的IOS设备上正常显示,可以使用CSS的媒体查询来检测IOS设备,并根据不同的设备尺寸和宽高比来设置元素的大小、位置和布局。可以使用“env(safe-area-inset-top)”、“env(safe-area-inset-right)”、“env(safe-area-inset-bottom)”和“env(safe-area-inset-left)”等CSS变量来获取安全区域距离屏幕边缘的距离,然后使用这些值来调整元素的位置和尺寸,以适应不同的IOS设备。 此外,还可以使用CSS的属性“padding-top”、“padding-right”、“padding-bottom”和“padding-left”来设置元素的内边距,并结合安全区域的距离值,使元素在IOS安全区域内正常显示。还可以使用“fixed”定位或“sticky”定位来确保元素始终在安全区域内可见。 总而言之,通过在设计和布局中考虑IOS安全区域的限制,并使用CSS的媒体查询和相关属性来适应不同的IOS设备,可以确保网页在IOS设备上具有良好的显示效果和用户体验。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

CyberSecure

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值