3,720 Views
安全区域的基本概念
安全区域(Security Zone),习惯性称为区域(Zone)。一般来说,同一区域间的报文不使用安全策略进行控制,当报文在不同区域间传送时使用安全策略进行控制。
华为USG防火墙缺省保留4个安全区域:
- 本地区域(Local): 该区域代表防火墙本身,默认安全级别为100;
- 信任区域(Trust):该区域一般用于定义内部网络,默认安全级别为85;
- 非信任区域(Untrust):该区域一般用于定义Internet网络或非内部网络,默认安全级别为5;
- 非军事化区域(DMZ):该区域一般用于定义内部服务器所在的网络,默认安全级别为50;
对于生产环境来说,可以根据实际情况定义多个区域,如果是较小的生产环境,可以直接使用缺省的安全区域即可。需要注意的是,华为USG防火墙安全区域都有一个级别,该级别是唯一的,用1-100数字表示,数字越大,表示该区域的网络可信度越高,缺省的安全级别是固定的,可以根据实际情况定义不同的安全级别。
其他厂商防火墙可能不存在本地区域(Local)概念,华为USG防火墙提供本地区域(Local),代表防火墙本身,由防火墙主动发出的报文均可理解是从本地区域(Local)发出的,华为USG防火墙最多支持32个安全区域。
确定安全区域后,还需要了解数据流入流出方向问题,数据在安全区域之间流动一般分为两种情况:
- 入方向(Inbound):报文从低级别安全区域向高级别安全区域流动时为入方向;
- 出方向(Outbound):报文从高级别安全区域向低级别安全区域流动时为出方向;
好文章!666,学习了