上一篇文章《防火墻入門基礎之登錄Web配置界面》已經(jīng)簡單的介紹了關于華為防火墻的如何配置Web登錄,也開始接觸了關于防火墻安全區(qū)域的基本概念。其實防火墻安全區(qū)域是一個非常重要的概念,簡稱為區(qū)域(Zone)。

安全區(qū)域是一個或多個接口的集合,是防火墻區(qū)別于路由器的主要特征。

除了以上三個安全區(qū)域外,我們可以根據(jù)自身的業(yè)務來規(guī)劃不能安全區(qū)域,可以通過以下命令添加。

[USG6000V1]firewall zone name yewu

添加完需要對安全區(qū)域設置優(yōu)先級,可以執(zhí)行如下命令,

優(yōu)先級的范圍為0-100。

[USG6000V1-zone-yewu]set priority 30

我們還可以通過web頁面添加安全區(qū)域,以華為USG6000為例,如下圖

安全區(qū)域的優(yōu)先級的作用

每個安全區(qū)域都有自己的優(yōu)先級,

用1-100的數(shù)字表示,數(shù)字越大,則代表該區(qū)域內(nèi)的網(wǎng)絡越可信。

報文在兩個安全區(qū)域之間流動時,我們規(guī)定:

報文從低級別的安全區(qū)域向高級別的安全區(qū)域流動時為入方向(Inbound)

,

報文從由高級別的安全區(qū)域向低級別的安全區(qū)域流動時為出方向(Outbound)

。報文在兩個方向上流動時,將會觸發(fā)不同的安全檢查。

下面通過一個案例,來看看安全區(qū)的數(shù)據(jù)的流動。

關鍵配置

把GE1/0/0接口添加到trust安全區(qū)域,并配置接口IP地址為192.168.1.1

[USG6000V1]firewall zone trust [USG6000V1-zone-trust]add interface GigabitEthernet 1/0/0[USG6000V1-GigabitEthernet1/0/0]ip address 192.168.1.1 24

把GE1/0/1接口添加到untrust安全區(qū)域,并配置接口IP地址為192.168.2.1

[USG6000V1]firewall zone untrust [USG6000V1-zone-untrust]add interface GigabitEthernet 1/0/1[USG6000V1-GigabitEthernet1/0/1]ip address 192.168.2.1 24

同一個安全區(qū)域的內(nèi),是否會觸發(fā)數(shù)據(jù)包的檢查?

PC1和PC2屬于同一安全區(qū)域的,而PC1、PC2和PC3屬于不同的區(qū)域的。在沒有配置任何安全策略的情況下,我們先看看同一個安全區(qū)域的是否能ping通。

PC1主機PingPC2主機

通過以上測試結果,我們發(fā)現(xiàn)PC1能正常Ping通PC2。這樣就說明了,在同一個安全區(qū)內(nèi),不會觸發(fā)安全檢查。

那么不同安全區(qū)域呢,又如何呢?

接著我們通過測試PC1和PC3的相互訪問,驗證不同安全區(qū)域的情況。

PC1主機Ping不通PC3主機

通過以上結果,

證明了報文在不同的安全區(qū)域之間流動時,才會觸發(fā)安全檢查。

如果讓PC1能正常訪問PC3,我們可以通過配置安全策略來實現(xiàn)。

我們先配置允許trust區(qū)域流量去往untrust。

添加完這一條安全策略,PC1能訪問PC3嗎?我們先來看看效果

從上圖可以看到,PC1能正常PingPC3,說明這個策略是起作用了。我們還可以通過查看策略的命中率。

如果想讓PC3也能正常Ping通PC1,也需要添加一條untrust區(qū)域流量去往trust的安全策略。

關于安全策略可以做到很精細的匹配,我這里為了演示方便,就把策略放的很寬,在生產(chǎn)環(huán)境中,安全策略是嚴格把控的,所有在學習防火墻重點是在安全策略上。

1.《放火墻 防火墻安全區(qū)域的作用及簡單的配置》援引自互聯(lián)網(wǎng),旨在傳遞更多網(wǎng)絡信息知識,僅代表作者本人觀點,與本網(wǎng)站無關,侵刪請聯(lián)系頁腳下方聯(lián)系方式。

2.《放火墻 防火墻安全區(qū)域的作用及簡單的配置》僅供讀者參考,本網(wǎng)站未對該內(nèi)容進行證實,對其原創(chuàng)性、真實性、完整性、及時性不作任何保證。

3.文章轉載時請保留本站內(nèi)容來源地址,http://f99ss.com/keji/345909.html