浪潮商用服务将以多年累积的技术实力为基础,利用智慧化技术,不断提升能力和服务水平,升级客户体验,打造新时代下的智慧商用服务。

地址:北京市海淀区东北旺南路26号

电话:138 1088 0324 186 0006 3555(郭经理)

联系我们

技术支持 当前位置: 首页 > 新闻资讯  > 技术支持
华为防火墙安全区域介绍

信息来源:www.bjhasj.com | 发布时间:2017年06月11日

一、安全区域介绍

      上篇咱们聊了华为防火墙设备登录,设备登录是设备上架前比较重要的一个环节,咱们把设备放到机房里,然后通过遥远的互联网对设备进行管理。今天咱们聊下防火墙安全区域。

      防火墙通俗讲是用于控网络之间的隔离,专业讲是用于保护一个安全区域免受另外一个安全区域的网络攻击和入击行为。从防火墙的定义中可以看出防火墙是基于安全区域的,其它厂商(Cisco,Juniper,H3C等)都是有这个概念的。什么是安全区域呢?安全区域(Security Zone),也称为区域(Zone),是一个逻辑概念,用于管理防火墙设备上安全需求相同的多个接口,也就是说它是一个或多个接口的集合。管理员将安全需求相同的接口进行分类,并划分到不同的安全域,能够实现安全策略的统一管理。

     讲安全区域前讲我们先了解一个术语,安全级别(Security Level),在华为防火墙上,每个安全区域都有一个唯一的安全级别,用1-100 的字表示,数字越大,则代表该区域内的网络越可信。对于默认的安全区域,它们的安全级别是固定的:Local 区域的安全级别是100,Trust 区域的安全级别是85,DMZ 区域的安全级别是50,Untrust 区域的安全级别是5。


华为防火墙默认预定义了四个固定的安全区域,分别为:

Trust:该区域内网络的受信任程度高,通常用来定义内部用户所在的网络。

Untrust:该区域代表的是不受信任的网络,通常用来定义Internet 等不安全的网络。

DMZ(Demilitarized非军事区):该区域内网络的受信任程度中等,通常用来定义内部服务器(公司OA系统,ERP系统等)所在的网络。

 

 

 

 

从图中我们可以看出防火墙1号接口和2号接口联接到两个不同的运营商,它们属于同一个安全区域Untrust,防火墙3号接口属于Trust安全区域, 防火墙4号接口属于DMZ安全区域。当内部用户访问互联网时,源区域是Trust,目的区域是Untrust;当互联网用户访问DMZ服务器时,源区域是Untrust,目的区域是DMZ;当互联网用户网管防火墙时,源区域是Untrust,目的区域是Local;当防火墙向DMZ服务器发起ICMP流量时,源区域是Local,目的区域是DMZ。了解安全区域之间的数据包流动对后续安全策略是很有帮助的。

 

 

二、配置安全区域

2.1 创建安全区域

[NGFW]firewallzone name ISP1

[NGFW-zone-ISP1]setpriority 80

[NGFW-zone-ISP1]addinterface g1/0/1

注:区域里必须要有唯一的安全级别(Cisco ASA安全级别可以相同),相应的接口要加入到区域,可以是物理接口和逻辑接口(Vlanif、Tunnel)。

2.2 查看安全区域

<NGFW>displayzone

local

 priority is 100

trust

 priority is 85

 interface of the zone is (1):

    GigabitEthernet0/0/0

untrust

 priority is 5

 interface of the zone is (0):

dmz

 priority is 50

 interface of the zone is (0):

ISP1

 priority is 80

 interface of the zone is (1):

    GigabitEthernet1/0/1