「乾貨」華為防火牆安全區域介紹及配置

· 安全區域介紹

防火牆通俗講是用於控網路之間的隔離，專業講是用於保護一個安全區域免受另外一個安全區域的網路攻擊和入擊行為。從防火牆的定義中可以看出防火牆是基於安全區域的，其它廠商（Cisco，Juniper等）都是有這個概念的。

什麼是安全區域呢？

安全區域（Security Zone），也稱為區域（Zone），是一個邏輯概念，用於管理防火牆裝置上安全需求相同的多個介面，也就是說它是一個或多個介面的集合。

管理員將安全需求相同的介面進行分類，並劃分到不同的安全域，能夠實現安全策略的統一管理。

講安全區域前講我們先了解一個術語，安全級別（Security Level），在華為防火牆上，每個安全區域都有一個唯一的安全級別，用1-100 的字表示，數字越大，則代表該區域內的網路越可信。

對於預設的安全區域，它們的安全級別是固定的：Local 區域的安全級別是100，Trust 區域的安全級別是85，DMZ 區域的安全級別是50，Untrust 區域的安全級別是5。

華為防火牆預設預定義了四個固定的安全區域，分別為：

Trust:

該區域內網路的受信任程度高，通常用來定義內部使用者所在的網路。

Untrust:

該區域代表的是不受信任的網路，通常用來定義Internet 等不安全的網路。

DMZ（Demilitarized非軍事區）:

該區域內網路的受信任程度中等，通常用來定義內部伺服器（公司OA系統，ERP系統等）所在的網路。

（說明：DMZ這一術語起源於軍方，指的是介於嚴格的軍事管制區和鬆散的公共區域之間的一種有著部分管制的區域。）

Local:

防火牆上提供了Local 區域，代表防火牆本身。比如防火牆主動發起的報文（我們在防火牆執行ping測試）以及抵達防火牆自身的報文（我們要網管防火牆telnet、ssh、http、https）。

（注意：預設的安全區域無需建立，也不能刪除，同時安全級別也不能重新配置。USG防火牆最多支援32個安全區域。）

Local 區域中不能新增任何介面，但防火牆上所有介面本身都隱含屬於Local 區域。也就是說，報文透過介面去往某個網路時，目的安全區域是該介面所在的安全區域；報文透過介面到達防火牆本身時，目的安全區域是Local 區域。

安全區域分析，如下圖：

從圖中我們可以看出防火牆1號介面和2號介面聯接到兩個不同的運營商，它們屬於同一個安全區域Untrust， 防火牆3號介面屬於Trust安全區域，防火牆4號介面屬於DMZ安全區域。

當內部使用者訪問網際網路時，源區域是Trust，目的區域是Untrust；當網際網路使用者訪問DMZ伺服器時，源區域是Untrust，目的區域是DMZ；當網際網路使用者網管防火牆時，源區域是Untrust，目的區域是Local；當防火牆向DMZ伺服器發起ICMP流量時，源區域是Local，目的區域是DMZ。

瞭解安全區域之間的資料包流動對後續安全策略是很有幫助的。

· 配置安全區域

1、建立安全區域

［NGFW］firewallzone name ISP1

［NGFW-zone-ISP1］setpriority 80

［NGFW-zone-ISP1］addinterface g1/0/1

注：區域裡必須要有唯一的安全級別（Cisco ASA安全級別可以相同），相應的介面要加入到區域，可以是物理介面和邏輯介面（Vlanif、Tunnel）。

2、檢視安全區域

displayzone

local

priority is 100

trust

priority is 85

interface of the zone is （1）：

GigabitEthernet0/0/0

untrust

priority is 5

interface of the zone is （0）：

dmz

priority is 50

interface of the zone is （0）：

ISP1

priority is 80

interface of the zone is （1）：

GigabitEthernet1/0/1

歡迎關注我的頭條號，私信交流，學習更多網路技術！