目录
什么是防火墙
通过防火墙将网络划分多个安全区域,基于安全策略限制区域间流量进出的设备。
进出:流量的控制可以是单向的。
防火墙与路由交换的区别
防火墙的本质是监管和控制流量
路由器和交换机的本质是转发
安全区域和安全级别
安全区域:一个安全区域是若干接口所连网络的集合,这些网络中的用户具有相同的安全属性。一般可以将具有相同优先级(安全级别)的网络设备划入同一个安全区域。
通过设置安全区域,将网络通过防火墙不同接口划分为不同等级安全级别的区域。
NGFW认为在同一个安全区域内部发生的数据流动是不存在安全风险的,不需要实施任何安全策略。只有当不同安全区域之间发生数据流动时,才会触发设备的安全检查,并实施相应的安全策略。
系统预定义安全区域
防火墙支持多个安全区域,缺省支持非受信区域(untrust)、非军事化区域(DMZ)、受信区域(trust)、本地区域(local),这四个安全区域无需创建,也不能删除,安全级别也不能再设置。
local
最高安全级别的安全区域,安全级别为100。
定义的是设备本身,local区域中不能添加任何接口,但是防火墙上所有接口本身都隐含属于(display zone的时候不会在local区域中显示这些接口)local区域,用户不能改变local区域本身的任何配置,包括向其中添加接口。
凡是由设备构造并主动发出的报文(报文源地址是防火墙某个接口的ip地址)都是从loca