HCIE-Security Day2:防火墙安全区域、安全级别的理解


目录

什么是防火墙

安全区域和安全级别

系统预定义安全区域

用户自定义安全区域

安全级别Priority

安全区域的作用

防火墙安全区域和接口的关系

安全区域的简单配置

实验一:将g1/0/1下连网络加入和移除untrust区域

实验二:新增自定义安全区域

安全区域的方向

小结


什么是防火墙

通过防火墙将网络划分多个安全区域,基于安全策略限制区域间流量进出的设备。

进出:流量的控制可以是单向的。

防火墙与路由交换的区别

防火墙的本质是监管和控制流量

路由器和交换机的本质是转发

安全区域和安全级别

安全区域:一个安全区域是若干接口所连网络的集合,这些网络中的用户具有相同的安全属性。一般可以将具有相同优先级(安全级别)的网络设备划入同一个安全区域。

通过设置安全区域,将网络通过防火墙不同接口划分为不同等级安全级别的区域。

NGFW认为在同一个安全区域内部发生的数据流动是不存在安全风险的,不需要实施任何安全策略。只有当不同安全区域之间发生数据流动时,才会触发设备的安全检查,并实施相应的安全策略。

系统预定义安全区域

防火墙支持多个安全区域,缺省支持非受信区域(untrust)、非军事化区域(DMZ)、受信区域(trust)、本地区域(local),这四个安全区域无需创建,也不能删除,安全级别也不能再设置。

local

最高安全级别的安全区域,安全级别为100。

定义的是设备本身,local区域中不能添加任何接口,但是防火墙上所有接口本身都隐含属于(display zone的时候不会在local区域中显示这些接口)local区域,用户不能改变local区域本身的任何配置,包括向其中添加接口。

凡是由设备构造并主动发出的报文(报文源地址是防火墙某个接口的ip地址)都是从loca

  • 6
    点赞
  • 39
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 5
    评论
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

信封同学

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值