#华为 #usg 华为防火墙安全区域的概念
简介
安全区域(Security Zone),或者简称为区域(Zone),是设备所引入的一个安全概念,大部分的安全策略都基于安全区域实施。
定义
一个安全区域是若干接口所连网络的集合,这些网络中的用户具有相同的安全属性。
目的
在网络安全的应用中,如果网络安全设备对所有报文都进行逐包检测,会导致设备资源的大量消耗和性能的急剧下降。而这种对所有报文都进行检查的机制也是没有必要的。所以在网络安全领域出现了基于安全区域的报文检测机制。
引入安全区域的概念之后,网络管理员可以将具有相同优先级的网络设备划入同一个安全区域。由于同一安全区域内的网络设备是“同样安全”的,FW认为在同一安全区域内部发生的数据流动是不存在安全风险的,不需要实施任何安全策略。只有当不同安全区域之间发生数据流动时,才会触发设备的安全检查,并实施相应的安全策略。
所以FW在支持报文直接转发的基础上,还支持了安全区域的创建,并且允许网络管理员在安全区域的基础上实施各种特殊的报文检测与安全功能。
安全区域有优先级的区分。优先级通过1~100的数字表示,数字越大表示优先级越高。
(系统默认的安全区域不能被删除,优先级也无法被重新配置或者删除。用户可以根据实际组网需要,自行创建安全区域并定义其优先级。)
设备上缺省的安全区域如表1所示。
|
区域名称 |
优先级 |
说明 |
|---|---|---|
|
非受信区域(untrust) |
低安全级别的安全区域,优先级为5。 |
通常用于定义Internet等不安全的网络。 |
|
非军事化区域(dmz) |
中等安全级别的安全区域,优先级为50。 |
通常用于定义内网服务器所在区域。因为这种设备虽然部署在内网,但是经常需要被外网访问,存在较大安全隐患,同时一般又不允许其主动访问外网,所以将其部署一个优先级比trust低,但是比untrust高的安全区域中。 说明: dmz(Demilitarized Zone)起源于军方,是介于严格的军事管制区和松散的公共区域之间的一种有着部分管制的区域。FW设备引用了这一术语,指代一个逻辑上和物理上都与内部网络和外部网络分离的安全区域。 dmz安全区域很好地解决了服务器的放置问题。该安全区域可以放置需要对外提供网络服务的设备,如WWW服务器、FTP服务器等。上述服务器如果放置于内部网络,外部恶意用户则有可能利用某些服务的安全漏洞攻击内部网络;如果放置于外部网络,则无法保障它们的安全。 |
|
受信区域(trust) |
较高安全级别的安全区域,优先级为85。 |
通常用于定义内网终端用户所在区域。 |
|
本地区域(local) |
最高安全级别的安全区域,优先级为100。 |
local区域定义的是设备本身,包括设备的各接口本身。凡是由设备构造并主动发出的报文均可认为是从local区域中发出,凡是需要设备响应并处理(而不仅是检测或直接转发)的报文均可认为是由local区域接收。 用户不能改变local区域本身的任何配置,包括向其中添加接口。 说明: 由于local区域的特殊性,在很多需要设备本身进行报文收发的应用中,需要开放对端所在安全区域与local区域之间的安全策略。包括:
向安全区域中添加接口,只是认为该接口所连的网络属于该安全区域,而接口本身还是属于local区域。 |
安全域间与方向
安全域间这个概念用来描述流量的传输通道,它是两个“区域”之间的唯一“道路”。如果希望对经过这条通道的流量进行检测等,就必须在通道上设立“关卡”,如ASPF等功能。
任意两个安全区域都构成一个安全域间(Interzone),并具有单独的安全域间视图。
安全域间的数据流动具有方向性,包括入方向(Inbound)和出方向(Outbound)。
入方向:数据由低优先级的安全区域向高优先级的安全区域传输。
出方向:数据由高优先级的安全区域向低优先级的安全区域传输。
通常情况下,通信双方一定会交互报文,即安全域间的两个方向上都有报文的传输。而判断一条流量的方向应以发起该条流量的第一个报文为准。
例如,发起连接的终端位于trust区域,它向位于untrust区域的Web服务器发送了第一个报文,以请求建立HTTP连接。由于untrust区域的优先级比trust区域低,所以FW设备将认为这个报文属于Outbound方向,并根据Outbound方向上的域间配置决定是否匹配并进一步处理该数据流。
##本文参考自华为官方usg产品文档##
#华为 #usg 华为防火墙安全区域的概念相关推荐
- 华为USG系列防火墙能ping通不能打开网页的解决方案
华为USG系统防火墙经常能ping通网页,DNS也没有问题,就是不能正常打开网页,经过多次工作中实践得知,需要更改防火墙的mss值才能正常.命令是 firewall tcp-mss 1200
- 华为USG系列防火墙配置-网页端登录管理
笔者测试的华为防火墙型号为:HUAWEI USG 6305. 华为USG防火墙默认有一个MGMT端口用来网页端配置管理,端口的IP一般默认是192.168.0.1,端口标识为MGMT,如果无独立MGM ...
- 华为AR路由器防火墙特性--区域
firewall zone XX:在普通视图下创建一个安全区域 [Huawei-zone-fuck]priority 0---15:设置该区域对应的安全级别 zone xxx:将某个接口规划到对应的安 ...
- 华为USG系列防火墙配置-带宽管理
新建带宽通道 设置每个通道允许放行的最大带宽和设备带宽分配策略 新建带宽策略 新建WIFI限速带宽策略,源类型和目的类型分别选择接口 入接口为AC连接的上行接口,出接口为Wlan接口 勾选限流,并选择 ...
- 华为5500网络限流配置_华为USG防火墙综合解决方案
1. 防火墙的现状与挑战 防火墙作为传统网络安全设备,是在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合.它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的 ...
- #华为 #usg USG6000双链路透明部署实验(一)
目录 一.实验背景 二.实验环境 三.实验步骤 1.在所有交换机创建对应vlan 2.在核心交换机创建网关,所有的网段IP都是254.网段是10.10.10.0/24-10.10.13.0/24 3. ...
- 华为usg6000配置手册_带你了解防火墙安全区域的作用及简单的配置,小白不要错过了...
上一篇文章<防火墙入门基础之登录Web配置界面>已经简单的介绍了关于华为防火墙的如何配置Web登录,也开始接触了关于防火墙安全区域的基本概念.其实防火墙安全区域是一个非常重要的概念,简称为 ...
- 华为USG防火墙及NGFW高可用性的规划与实施详解
华为USG防火墙及NGFW高可用性的规划与实施详解 课程目标: 该课程程为卷B,它紧接卷A所描述的基础内容,开始进入防火墙的高可性的规划与实施,本课程卷B的核心目标是:一.从真正意义上去理解防火墙的双 ...
- 华为USG防火墙-建立安全策略禁止上班时间访问其他网站
新建域名组 点击对象-域名组-创建,输入名称:上班禁止访问的网址,输入域名,点击确定.不同的域名之间用回车. 新建安全策略 点击策略-安全策略-新建安全策略 目的地址/地区-选择上班禁止访问的网址 时 ...
最新文章
- 高级转录组分析和R数据可视化第11期(报名线上课还可免费参加线下课2020.6)
- 如何从零构建实时的个性化推荐系统?
- 解锁并设置远程登录尝试次数
- Swift语言快速入门
- 【linux 06】 linux中的用户权限、文件权限与目录权限
- SAP CDS view 单元测试框架 Test Double 介绍
- CVE-2022-0847-DirtyPipe-Exploit
- Excel中的数组函数
- Scikit-Learn库概述
- 版本控制工具(GIT)
- 西安电子科技大学-随机信号分析大作业
- C#+AE 空间插值
- g120xa正反转参数_原创分享 | 西门子G120变频器的参数备份
- C - Copy (hdu)
- ESP32 学习笔记(七)I2S - Inter—IC Sound
- 第 11 章 基于小波技术进行图像融合--MATLAB人工智能深度学习模块
- 【报告分享】 2020年汽车产销数据及汽车工业运行情况-中国汽车工业协会(附下载)
- QT的QList排序
- 东师计算机基础20春在线作业2,计算机应用基础(高起专)计算机应用基础东师20春在线作业2...
- CTFshow_命令执行