防火墙的主要作用是划分网络安全边界,实现关键系统与外部环境的安全隔离,保护内部网络免受外部攻击.
与路由器相比防火墙提供了更丰富的安全防御策略,提高了安全策略下数据报转发速率。由于防火墙用于安全边界,因此往往兼备NAT、VPN等功能,并且在这方面的相比路由器更加强劲。
Huawei USG6650-AC
防火墙区域
- 非受信区(Untrust) :低级的安全区域,安全优先级为5。 通常用于定义Internet等不安全的网络
- 非军事化区(DMZ):中度级别的安全区域,安全优先级为50。通常用于定义内网服务器所在区域。因为这种设备虽然部署在内网,但是经常需要被外网访问 ,存在较大安全隐患,同时一般又不允许其主动访问外网,所以将其部署一个安全级别比Trust低 ,但是比Untrust高的安全区域中。 •
- 受信区(Trust) :较高级别的安全区域,安全优先级为85。 通常用于定义内网终端用户所在区域。
- 本地区域(Local) :最高级别的安全区域,安全优先级为100。 防火墙自身为Local区域
Local 区域定义的是设备本身,包括设备的各接口本身。凡是由设备构造并主动发出的报文均可认为是从Local区域中发岀,凡是需要设备响应并处理(而不仅是检测或直接转发)的报文均可认为是由Local区域接受。 用户不能改变Local区域本身的任何配置,包括向其中添加接口。
安全区域的规则
- 用于可自定义安全区域,也可使用系统自带的安全区域,防火墙的一个接口只能属于一个特定区域,而一个区域可以包含多个接口,接口只有划分到区域中才能正常处理报文。
- Local Zone指的是设备本身,包括设备的各接口。凡是发给防火墙的都可认为是发向Local 的 ,而防火墙始发的数据可以理解为来自LocaL因此若要访问防火墙端口IP , 需开放与 Local域之间的策略 • 内部网络应安排在安全级别较高的区域
- 内部网络应安排在安全级别较高的区域
- 外部网络应安排在安全级别最低的区域
- 一些可对外部提供有条件服务的网络应安排在安全级别中等的DMZ区域
安全区域的限制
- 防火墙不能够有两个拥有相同安全级别的区域
- 防火墙的一个物理接口只能属于一个安全区域
- 防火墙的多个接口可以同时属于一个安全区域
- 系统自带的安全区域不能删除。我们可以根据实际环境的需求配置自定义的安全区域。
- 相同区域内的不同接口间报文不过滤直接转发;
- 一个报文如果在进、出端口时相同,该报文将被丢弃;
- 接口没有加入安全区域之前不能转发包文。
评论区