区域(zone)是防火墙产品所引入的一个安全概念,是防火墙产品区别于路由器的主要特征。一个安全区域包括一个或多个接口的组合,具有一个安全级别。在设备内部,安全级别通过0~100的数字来表示,数字越大表示安全级别越高。
V3平台:安全域不存在两个具有相同安全级别的区域。中低端防火墙缺省有Trust、Untrust、DMZ、local 4个安全域,同时还可以自定义12个区域。
V5平台:安全域可以允许两个相同安全级别的区域,缺省有Trust、Untrust、DMZ、local和Management5个安全域,同时可以自定义256个区域,并且只能在Web页面进行配置。
安全级别由高到低依次为Local、Trust、DMZ、Untrust
Local区域代表防火墙本地系统,所有发往防火墙自身IP地址的报文,都被看作发往防火墙的Local区域;
Trust代表用户网络中的私有网络;
Untrust代表公共网络或不安全的网络,如Internet;
DMZ(Demilitarized Zone,非军事区域)区域是一个既不属于内部网络,也不属于外部网络的一个相对独立的区域,它处于内部网络与外部网络之间。例如,在一个提供电子商务服务的网络中,某些主机需要对外提供服务,如Web服务器、FTP服务器和邮件服务器等。为了更好地提供优质的服务,同时又要有效保护内部网络的安全,就需要将这些对外提供服务的主机与内部网络进行隔离,即放入DMZ区域中。这样可以有针对性地对内部网络中的设备和这些提供对外服务的主机应用不同的防火墙策略,可以在提供友好的对外服务的同时,最大限度地保护了内部网络。
从访问策略上,我会这样设置:
1、untrust可以访问DMZ,不可以访问trust。
2、DMZ可以访问trust和untrust。
3、untrust不可以直接访问trust,trust也不可以直接访问untrust
这样的话就很清晰了,我需要保护重要信息不能被用户直接访问,那么,我就将这些服务放置在trust区域,如果这些服务既要保护又要让用户访问,那么,我将这些服务放置在DMZ区。
一般网络分成内网和外网,也就是LAN和WAN,那么,当你有1台物理位置上的1台服务器,需要被外网访问,并且,也被内网访问的时候,那么,有2种方法,一种是放在LAN中,一种是放在DMZ。因为防火墙默认情况下,是为了保护内网的,所以,一般的策略是禁止外网访问内网,许可内网访问外网。但如果这个服务器能被外网所访问,那么,就意味着这个服务器已经处于不可信任的状态,那么,这个服务器就不能(主动)访问内网。所以,如果服务器放在内网(通过端口重定向让外网访问),一旦这个服务器被攻击,则内网将会处于非常不安全的状态。但DMZ就是为了让外网能访问内部的资源,也就是这个服务器,而内网呢,也能访问这个服务器,但这个服务器是不能主动访问内网的。DMZ就是这样的一个区域。为了让物理位置在内网的,并且,希望能被外网所访问的这样的一个区域。
安全区域
- 安全区域是防火墙区别于普通网络设备的基本特征之一。以接口为边界,按照安全级别不同将业务分成若干区域,防火墙的策略(如域间策略、攻击防范等)在区域或者区域之间下发
- 接口只有加入了业务安全区域后才会转发数据
omware V7防火墙安全区域
默认安全区域有:Local、Trust、DMZ、Untrust、Management(带外管理)
Comware V7平台取消了安全域优先级的概念
各安全区域间及安全区域内默认域间策略为禁止任何流量通过
必须配置其它安全区域与Local区域之间的允许策略,才能访问防火墙特别注意,诸如IPSec和L2TP等VPN业务都涉及到上送防火墙本地进行加解封装的操作,故一定要配置VPN流量所在域到Local域和相应反向的域间策略,确保VPN流量不被默认域间策略所拒绝