安全區域和安全級别
通過設定安全區域,将網絡通過防火牆不同接口劃分為不同等級安全級别的區域。
1、本地邏輯安全區域的概念。
2、一個或者多個接口所連接配接的網絡。
防火牆支援多個安全區域,預設支援非受信區域(untrust)、非軍事化區域(DMZ)、受信區域(trust)、本地區域(local),這四個安全區域無需建立,也不能删除,安全級别也不能再設定。除以上四個,還支援使用者自定義安全區域。USG防火牆最多支援32個安全區域,不同區域的安全級别必須不同。
安全級别代表了這個區域的受信任程度,越大代表越高。不能保證安全級别越高,安全性越高,它隻代表對于網絡管理者而言的區分,具體的安全性還需要看其安全政策。
untrust:低安全級别的安全區域,安全級别為5
DMZ:中安全級别的安全區域,安全級别為50
trust:較高安全級别的安全區域,安全級别為85
local:最高安全級别的安全區域,安全級别為100
dis zone 安全區域的作用
1、安全政策都是基于安全區域來實施的
2、在同一個安全區域内部發生的資料流動是不存在安全風險的,不需要實施任何安全政策。
3、隻有當不同安全區域之間發生資料流動時,才會觸發裝置的安全檢查,并實施相應的安全政策。
4、在防火牆中,同一個接口所連網絡的所有網絡裝置一定位于同一安全區域中,而一個安全區域可以包含多個接口所連接配接的網絡。
防火牆安全區域和接口的關系
依托接口來劃分區域的操作,可以了解為将某個接口所連接配接網絡加入了某個安全區域中,但是需要注意的是,該接口本身仍然屬于系統預留用來代表裝置本身的local安全區域。
防火牆是否存在兩個具有完全相同安全級别的安全區域?
不能。會報錯。
防火牆是否允許同一實體接口分屬兩個不同的安全區域?
可以。同一個接口所連的網絡的所有網絡裝置一定位于同一安全區域中。但是可以通過子接口或者vlanif等邏輯接口等方式實作将同一實體接口劃分為多個邏輯接口,邏輯接口所連的不同網段的使用者可以劃入不同的安全區域。
防火牆的不同接口是否可以分屬同一個安全區域?
可以。一個安全區域可以包含多個接口所連的網絡。
trust區域一般用于連接配接企業内網或者隻為内網提供服務的伺服器,如資料中心。
untrust區域一般用于連接配接企業外網。
但是具體問題具體處理,也可以反着來設計,最終是将安全政策部署在安全區域。
dmz區域一般用于同時連接配接為内外網使用者同時提供服務的裝置。
local區域代表防火牆本身,凡是目的ip是防火牆接口位址的封包都認為是進入local區域的流量。凡是源ip位址是防火牆接口位址的封包都算是從local區域發送出去的流量。
安全區域的簡單配置
[USG6000V1]firewall zone trust
[USG6000V1-zone-trust]dis this
2022-01-27 14:34:26.640
#
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
#
return
[USG6000V1-zone-trust]firewall zone untrust
[USG6000V1-zone-untrust]dis this
2022-01-27 14:34:51.770
#
firewall zone untrust
set priority 5
#
return
[USG6000V1-zone-untrust]firewall zone dmz
[USG6000V1-zone-dmz]dis this
2022-01-27 14:35:01.910
#
firewall zone dmz
set priority 50
#
return
[USG6000V1-zone-dmz]firewall zone local
[USG6000V1-zone-local]dis this
2022-01-27 14:35:09.170
#
firewall zone local
set priority 100
#
return add interface g0/0/0的含義是将接口所連接配接區域添加進某個區域,而不是将接口添加進某個區域,接口永遠都在local區域中。
實驗一:将g1/0/1下連網絡加入和移除untrust區域
[USG6000V1]firewall zone untrust
[USG6000V1-zone-untrust]add inter g1/0/1
[USG6000V1-zone-untrust]undo add interface g1/0/1 實驗二:新增自定義安全區域
[USG6000V1]firewall zone name zone1
[USG6000V1-zone-zone1]set priority 90
[USG6000V1-zone-zone1]dis this
2022-01-27 14:59:00.530
#
firewall zone name zone1 id 4
set priority 90
add interface GigabitEthernet1/0/2
#
return 安全區域的方向
入方向inbound:資料由低安全級别的安全區域向高安全級别的安全區域傳輸的方向。
出方向outbound:資料由高安全級别的安全區域向低安全級别的安全區域傳輸的方向。
不同級别的安全區域間的資料流動都将激發防火牆進行安全政策檢查。同一安全區域不同方向可以設定不同的安全政策,資料的出入就會觸發不同的安全政策。
小結
四個區域:trust、untrust、dmz、local。
一域多網:一個安全域中可以包含多個接口的網絡,但是一個接口下的網絡最多隻能屬于一個安全域。
網在域中:連接配接到防火牆的網絡必須要劃分到某個區域中,沒有劃分到任何一個區域的網絡無法通過防火牆和其他區域互訪。