上一篇文章《防火墙入门基础之登录Web配置界面》已经简单的介绍了关于华为防火墙的如何配置Web登录,也开始接触了关于防火墙安全区域的基本概念。其实防火墙安全区域是一个非常重要的概念,简称为区域(Zone)。
安全区域是一个或多个接口的集合,是防火墙区别于路由器的主要特征。
除了以上三个安全区域外,我们可以根据自身的业务来规划不能安全区域,可以通过以下命令添加。
[USG6000V1]firewall zone name yewu
添加完需要对安全区域设置优先级,可以执行如下命令,
优先级的范围为0-100。
[USG6000V1-zone-yewu]set priority 30
我们还可以通过web页面添加安全区域,以华为USG6000为例,如下图
安全区域的优先级的作用
每个安全区域都有自己的优先级,
用1-100的数字表示,数字越大,则代表该区域内的网络越可信。
报文在两个安全区域之间流动时,我们规定:报文从低级别的安全区域向高级别的安全区域流动时为入方向(Inbound)
,报文从由高级别的安全区域向低级别的安全区域流动时为出方向(Outbound)
。报文在两个方向上流动时,将会触发不同的安全检查。下面通过一个案例,来看看安全区的数据的流动。
关键配置
把GE1/0/0接口添加到trust安全区域,并配置接口IP地址为192.168.1.1
[USG6000V1]firewall zone trust [USG6000V1-zone-trust]add interface GigabitEthernet 1/0/0[USG6000V1-GigabitEthernet1/0/0]ip address 192.168.1.1 24
把GE1/0/1接口添加到untrust安全区域,并配置接口IP地址为192.168.2.1
[USG6000V1]firewall zone untrust [USG6000V1-zone-untrust]add interface GigabitEthernet 1/0/1[USG6000V1-GigabitEthernet1/0/1]ip address 192.168.2.1 24
同一个安全区域的内,是否会触发数据包的检查?
PC1和PC2属于同一安全区域的,而PC1、PC2和PC3属于不同的区域的。在没有配置任何安全策略的情况下,我们先看看同一个安全区域的是否能ping通。
PC1主机PingPC2主机
通过以上测试结果,我们发现PC1能正常Ping通PC2。这样就说明了,在同一个安全区内,不会触发安全检查。
那么不同安全区域呢,又如何呢?接着我们通过测试PC1和PC3的相互访问,验证不同安全区域的情况。
PC1主机Ping不通PC3主机
通过以上结果,
证明了报文在不同的安全区域之间流动时,才会触发安全检查。
如果让PC1能正常访问PC3,我们可以通过配置安全策略来实现。
我们先配置允许trust区域流量去往untrust。
添加完这一条安全策略,PC1能访问PC3吗?我们先来看看效果
从上图可以看到,PC1能正常PingPC3,说明这个策略是起作用了。我们还可以通过查看策略的命中率。
如果想让PC3也能正常Ping通PC1,也需要添加一条untrust区域流量去往trust的安全策略。
关于安全策略可以做到很精细的匹配,我这里为了演示方便,就把策略放的很宽,在生产环境中,安全策略是严格把控的,所有在学习防火墙重点是在安全策略上。
1.《放火墙 防火墙安全区域的作用及简单的配置》援引自互联网,旨在传递更多网络信息知识,仅代表作者本人观点,与本网站无关,侵删请联系页脚下方联系方式。
2.《放火墙 防火墙安全区域的作用及简单的配置》仅供读者参考,本网站未对该内容进行证实,对其原创性、真实性、完整性、及时性不作任何保证。
3.文章转载时请保留本站内容来源地址,https://www.lu-xu.com/keji/345909.html