原标题:H3C防火墙:安全区域
传统防火墙通常都基于接口进行策略配置,网络管理员需要为每一个接口配置安全策略。
防火墙的端口朝高密度方向发展,基于接口的策略配置方式给网络管理员带来了极大的负担,安全策略的维护工作量成倍增加,从而也增加了因为配置引入安全风险的概率。
和传统防火墙基于接口的策略配置方式不同,业界主流防火墙通过围绕安全区域(security zone)来配置安全策略的方式解决上述问题。
安全区域是按照接口划分,可以包含三层普通物理接口和逻辑接口,也可以包括二层物理trunk接口+vlan,划分到同一个安全区域中的接口通常在安全策略控制中具有一致的安全需求。
SecPath防火墙上保留四个安全区域:
非受信区(Untrust):低级的安全区域,其安全优先级为 5。
非军事化区(DMZ):中度级别的安全区域,其安全优先级为50。
受信区(Trust):较高级别的安全区域,其安全优先级为85。
本地区域(Local):最高级别的安全区域,其安全优先级为100。
备注:DMZ这一术语起源于军方,指的是介于严格的军事管制区域和松散的公共区域之间的一种有着部分管制的区域。
安全区域中引用这一术语,指代一个逻辑上和物理上都与内部网络和外部网络分离的区域。
通常部署网络时,将那些需要被公共访问的设备(如web服务器,FTP服务器,邮件服务器)放置于此。
接口、网络与安全区域的关系
除了Local区域以外,在使用其他所有安全区域时,需要将安全区域分别与防火墙的特定接口相关联&#