防火墙中的安全区域是什么意思(Firewall Security Zone)
防火墙中的安全区域是什么意思?安全区域(Security Zone),简称为区域(Zone),是防火墙的重要概念,一个 Zone 是防火墙若干接口所连网络的集合(注意,防火墙接口不属于安全区域)。
防火墙大部分的安全策略都基于 Zone 来实施,一个 Zone 内的用户具有相同的安全属性。
安全区域特性
安全区域有以下特性:
1)华为防火墙确认已创建四个默认区域,名称均为小写字母,大小写敏感,不能删除,也不允许修改安全优先级;
2)用户可根据自己的需求创建自定义的 Zone;
3)每个 Zone 都必须设置一个安全优先级(Priority),值越大,则 Zone 的安全优先级越高。在思科中,高优先级可以访问低优先级,在华为中完全隔离,无法互访。
默认安全区域
华为防火墙确认已创建四个默认区域:
1)本地区域(local),Local区域定义的是设备本身,例如设备的接口。Local区域是最高安全级别区域,优先级为100。
local区域定义的是设备本身,包括设备的各接口本身。凡是由设备构造并主动发出的报文均可认为是从Local区域中发出,凡是需要设备响应并处理(而不仅是检测或直接转发)的报文均可认为是由local区域接收。用户不能改变local区域本身的任何配置,包括向其中添加接口。由于local区域的特殊性,在很多需要设备本身进行报文收发的应用中,需要开放对端所在安全区域与local区域之间的安全策略。
2)受信区域(trust),较高安全级别区域,优先级为85。
通常用于定义内网终端用户所在区域。
3)非军事化区域(dmz),中等安全级别区域,优先级为50。
通常用于定义内网服务器所在区域。因为这种设备虽然部署在内网,但是经常需要被外网访问,存在较大安全隐患,同时一般又不允许其主动访问外网,所以将其部署一个优先级比trust低,但是比untrust高的安全区域中。DMZ(Demilitarized Zone)起源于军方,是介于严格的军事管制区和松散的公共区域之间的一种有着部分管制的区域。防火墙设备引用了这一术语,指代一个逻辑上和物理上都与内部网络和外部网络分离的安全区域。DMZ安全区域很好地解决了服务器的放置问题。该安全区域可以放置需要对外提供网络服务的设备,如WWW服务器、FTP服务器等。上述服务器如果放置于内部网络,外部恶意用户则有可能利用某些服务的安全漏洞攻击内部网络;如果放置于外部网络,则无法保障它们的安全。
4)非受信区域(untrust),低安全级别区域,优先级为 5;
通常用于定义Internet等不安全的网络。
区域间(Interzone)
流量的源、目的地址决定互访的区域。
PC访问 Firewall Interface 的流量实际上是从 trust zone 到达 local zone;
PC访问 Internet 的流量实际上是从 trust zone 到达 untrust zone;
The post 「Firewall」- 安全区域(Security Zone) appeared first on K4NZ BLOG.
随机文章
SEO小小课堂网SEO教程
搜素引擎算法
GEO培训
SEO小小课堂网
SEO教程
友情链接交换
搜素引擎算法
百度搜索“网赚联盟”即可找到本站,微信搜索“小小课堂网”关注小小课堂网公众号。网赚联盟( wangzhuan.org.cn )欢迎用户投稿,发布者:用户投稿,文章版权归作者所有,投稿文章不代表网赚联盟立场,中二少年发布为网赚联盟原创文章,转载请注明出处:https://wangzhuan.org.cn/210368.html
微信扫一扫
支付宝扫一扫
