由此我們可以得知,不同網絡間互訪時封包在防火牆上所走的路線。例如,當内部網絡中的使用者通路Internet時,封包在防火牆上的路線是從Trust區域到Untrust區域;當Internet上的使用者通路内部伺服器時,封包在防火牆上的路線是從Untrust區域到DMZ區域。
除了在不同網絡之間流動的封包之外,還存在從某個網絡到達防火牆本身的封包(例如我們登入到防火牆上進行配置),以及從防火牆本身發出的封包,如何在防火牆上辨別這類封包的路線呢?
如下圖所示,防火牆上提供了Local區域,代表防火牆本身。凡是由防火牆主動發出的封包均可認為是從Local區域中發出,凡是需要防火牆響應并處理(而不是轉發)的封包均可認為是由Local區域接收。
關于Local區域,強叔還要再提醒一句,Local區域中不能添加任何接口,但防火牆上所有接口本身都隐含屬于Local區域。也就是說,封包通過接口去往某個網絡時,目的安全區域是該接口所在的安全區域;封包通過接口到達防火牆本身時,目的安全區域是Local區域。這樣既可以使每個接口下的其他裝置能夠通路防火牆自身,也能更明确Local區域和各個安全區域的域間關系,可謂一舉兩得。
現在我們就可以把經過防火牆的流量和防火牆本身的流量都辨別出來了,前面介紹過,不同的網絡受信任的程度不同,在防火牆上用安全區域來表示網絡後,怎麼來判斷一個安全區域的受信任程度呢?在華為防火牆上,每個安全區域都有一個唯一的安全級别,用1~100的數字表示,數字越大,則代表該區域内的網絡越可信。對于預設的安全區域,它們的安全級别是固定的:Local區域的安全級别是100,Trust區域的安全級别是85,DMZ區域的安全級别是50,Untrust區域的安全級别是5。
級别确定之後,安全區域就被分成了三六九等,高低有别。封包在兩個安全區域之間流動時,我們規定:封包從低級别的安全區域向進階别的安全區域流動時為入方向(Inbound),封包從由進階别的安全區域向低級别的安全區域流動時為出方向(Outbound)。封包在兩個方向上流動時,将會觸發不同的安全檢查。下圖示明了Local區域、Trust區域、DMZ區域和Untrust區域間的方向。
通過安全區域,防火牆上劃分出了等級森嚴、關系明确的網絡,防火牆成為連接配接各個網絡的節點。以此為基礎,防火牆就可以對各個網絡之間流動的封包進行安全檢查和實施管控政策。
下面給出了防火牆部署在企業内部的真實環境組網圖。從圖中我們可以看出,企業内部網絡中的使用者、伺服器,以及位于外部的Internet,都被劃分到不同的安全區域中了,防火牆對各個安全區域之間流動的封包進行安全檢查。
上面我們花了很大的篇幅來介紹安全區域,主要目的還是要說明安全區域的重要性。希望通過強叔的介紹,可以讓大家了解安全區域的作用,掌握安全區域之間的關系,為後面進一步學習防火牆知識打好基礎。
1:預設情況下,封包在不同的安全區域之間流動時,才會觸發安全檢查,在同一個安全區域中流動時,不會觸發安全檢查。同時,華為的防火牆也支援對同一個安全區域内經過防火牆的流量進行安全檢查,更加靈活實用。
2:DMZ(Demilitarized Zone)起源于軍方,是介于嚴格的軍事管制區和松散的公共區域之間的一種部分管制的區域。防火牆引用了這一術語,指代一個與内部網絡和外部網絡分離的安全區域。