华为防火墙安全区域介绍及配置
安全区域介绍
防火墙通俗讲是用于控网络之间的隔离,专业讲是用于保护一个安全区域免受另外
一个安全区域的网络***和入击行为。从防火墙的定义中可以看出防火墙是基于安
全区域的,其它厂商(Cisco,Juniper 等)都是有这个概念的。
什么是安全区域呢?
安全区域(Security Zone),也称为区域(Zone),是一个逻辑概念,用于管理
防火墙设备上安全需求相同的多个接口,也就是说它是一个或多个接口的集合。
管理员将安全需求相同的接口进行分类,并划分到不同的安全域,能够实现安全策
略的统一管理。
讲安全区域前讲我们先了解一个术语,安全级别(Security Level),在华为防火墙
上,每个安全区域都有一个唯一的安全级别,用1-100 的字表示,数字越大,则
代表该区域内的网络越可信。
对于默认的安全区域,它们的安全级别是固定的:Local 区域的安全级别是100,
Trust 区域的安全级别是85,DMZ 区域的安全级别是50,Untrust 区域的安全
级别是5。
华为防火墙默认预定义了四个固定的安全区域,分别为:
Trust: 该区域内网络的受信任程度高,通常用来定义内部用户所在的网络。
Untrust: 该区域代表的是不受信任的网络,通常用来定义Internet 等不安全的网
络。
DMZ(Demilitarized 非军事区): 该区域内网络的受信任程度中等,通常用来定
义内部服务器(公司OA 系统,ERP 系统等)所在的网络。
(说明:DMZ 这一术语起源于军方,指的是介于严格的军事管制区和松散的公共
区域之间的一种有着部分管制的区域。)
Local: 防火墙上提供了Local 区域,代表防火墙本身。比如防火墙主动发起的报
文(我们在防火墙执行ping 测试)以及抵达防火墙自身的报文(我们要网管防火
墙telnet、ssh、http、https)。
(注意:默认的安全区域无需创建,也不能删除,同时安全级别也不能重新配置。
USG 防火墙最多支持32 个安全区域。)
Local 区域中不能添加任何接口,但防火墙上所有接口本身都隐含属于Local 区
域。也就是说,报文通过接口去往某个网络时,目的安全区域是该接口所在的安全
区域;报文通过接口到达防火墙本身时,目的安全区域是Local 区域。
安全区域分析,如下图:
从图中我们可以看出防火墙1 号接口和2 号接口联接到两个不同的运营商,它们属
于同一个安全区域Untrust, 防火墙3 号接口属于Trust 安全区域,防火墙4 号接口
属于DMZ 安全区域。
当内部用户访问互联网时,源区域是Trust,目的区域是Untrust;当互联网用户访问
DMZ 服务器时,源区域是Untrust,目的区域是DMZ;当互联网用户网管防火墙时,
源区域是Untrust,目的区域是Local;当防火墙向DMZ 服务器发起ICMP 流量时,
源区域是Local,目的区域是DMZ。
了解安全区域之间的数据包流动对后续安全策略是很有帮助的。
配置安全区域
1、创建安全区域
[NGFW]firewallzone name ISP1
[NGFW-zone-ISP1]setpriority 80
[NGFW-zone-ISP1]addinterface g1/0/1
注:区域里必须要有唯一的安全级别(Cisco ASA 安全级别可以相同),相应的接口要加入到区域,可以是物理接口和逻辑接口(Vlanif、Tunnel)。
2、查看安全区域
<NGFW>displayzone
local
priority is 100
trust
priority is 85
interface of the zone is (1):
GigabitEthernet0/0/0
untrust
priority is 5
interface of the zone is (0):
dmz
priority is 50
interface of the zone is (0):
ISP1
priority is 80
interface of the zone is (1):
GigabitEthernet1/0/1
华为防火墙安全区域介绍及配置相关推荐
- 华为防火墙安全区域介绍
1. 安全区域介绍 防火墙通俗讲是用于控网络之间的隔离,专业讲是用于保护一个安全区域免受另外一个安全区域的网络攻击和入击行为.从防火墙的定义中可以看出防火墙是基于安全区域的,其它厂商(Cisco,Ju ...
- 华为防火墙的NAT介绍及配置详解
一.华为防火墙NAT的六个分类 华为防火墙的NAT分类: NAT No-PAT:类似于Cisco的动态转换,只转换源IP地址,不转换端口,属于多对多转换,不能节约公网IP地址,使用情况较少. NAPT ...
- 华为防火墙安全区域及安全策略配置
学习目的 掌握防火墙安全区域的配置方法 掌握安全策略配置方法 拓扑图 防火墙区域配置 场景 你是你们公司的网络管理员.公司总部的网络分成了三个区域,包括内部区域(Trust).外部区域(Untrust ...
- 华为防火墙安全区域及安全策略配置举例
场景 你是公司的网络管理员.公司总部的网络分成了三个区域,包括内部区域(Trust).外部区域(Untrust)和服务器区域(DMZ).你设计通过防火墙来实现对数据的控制,确保公司内部网络安全,并通过 ...
- 华为防火墙实现双机热备配置详解
一提到防火墙,一般都会想到企业的边界设备,是内网用户与互联网的必经之路.防火墙承载了非常多的功能,比如:安全规则.IPS.文件类型过滤.内容过滤.应用层过滤等.也正是因为防火墙如此的重要,如果防火墙一 ...
- 防火墙系列---华为防火墙图形界面与基本配置
2019/7/1 - - - 本次文章是关于华为防火墙的基本配置与图形化界面的向导设置 有关ensp的使用–>>请查看这篇文章<Ensp的使用> 实验拓扑: 步骤一: 初始化防 ...
- 华为防火墙USG6300轻松4步配置
华为防火墙配置包可以用.版本信息:USG6300 V100R001C30SPC600,轻松4步,实现安全防护 1.登录默认admin admin,你需要查到管理口,就是0口,这个点很重要. 2.接口地 ...
- 华为防火墙与二层交换机对接配置VLAN上网设置
拓扑图 一.防火墙设置 1.G1/0/0接口设置IP,G1/0/1接口切换二层口设置VLAN,G1/0/0 桥接了本地无线网卡来模拟公网地址 <USG6000V1>sys [USG6000 ...
- #华为 #usg 华为防火墙安全区域的概念
简介 安全区域(Security Zone),或者简称为区域(Zone),是设备所引入的一个安全概念,大部分的安全策略都基于安全区域实施. 定义 一个安全区域是若干接口所连网络的集合,这些网络中的用户 ...
- 华为防火墙SSL虚拟专网配置客户端所有访问流量路由全部走公司网络
一.SSL配置请参考华为案例: 组网需求 企业网络如图1所示,企业希望公司外的移动办公用户能够通过SSL**隧道访问公司内网的各种资源. 图1 移动办公用户使用SecoClient通过SSL **隧道 ...
最新文章
- Socket IO与NIO(二)
- 这21 个刁钻的HashMap 面试题,我把阿里面试官吊打了!
- python︱HTML网页解析BeautifulSoup学习笔记
- mysql增加修改字段
- [蓝桥杯2018初赛]第几天-日期计算(水题)
- potplayer 多个进程_创建守护进程的步骤
- iOS中的中间人-NSURLProtocol 的原理和使用实例
- 关于安全校验代码的一些心得
- 新版WIFI分销微信小程序源码+亲测可用
- 什么是Apple Pay?
- ios微信浏览器扫码进入页面加载完成失效
- 青少年怎么学计算机,青少年编程的正确学习路线
- iOS 11 正式发布!最全功能介绍 + 视频 ...
- 使用DataGrip连接神通数据库
- 实现安全登录的两种方法
- Y430P拆机:安装固态硬盘+内存+重装系统梳理
- 中招报名网站服务器错误,中考报名显示密码错误 中考网上报名说我密码错误怎么办...
- 【测试用例练习】八、淘宝网站测试用例
- 2004-6-6 0:03:43 死得其所
- 第七届青年地学论坛女科学家论坛学习