HCIE-Security Day2:防火墙安全区域理解实验
Posted 小梁L同学
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了HCIE-Security Day2:防火墙安全区域理解实验相关的知识,希望对你有一定的参考价值。
安全区域和安全级别
通过设置安全区域,将网络通过防火墙不同接口划分为不同等级安全级别的区域。
1、本地逻辑安全区域的概念。
2、一个或者多个接口所连接的网络。
防火墙支持多个安全区域,缺省支持非受信区域(untrust)、非军事化区域(DMZ)、受信区域(trust)、本地区域(local),这四个安全区域无需创建,也不能删除,安全级别也不能再设置。除以上四个,还支持用户自定义安全区域。USG防火墙最多支持32个安全区域,不同区域的安全级别必须不同。
安全级别代表了这个区域的受信任程度,越大代表越高。不能保证安全级别越高,安全性越高,它只代表对于网络管理者而言的区分,具体的安全性还需要看其安全策略。
untrust:低安全级别的安全区域,安全级别为5
DMZ:中安全级别的安全区域,安全级别为50
trust:较高安全级别的安全区域,安全级别为85
local:最高安全级别的安全区域,安全级别为100
dis zone
安全区域的作用
1、安全策略都是基于安全区域来实施的
2、在同一个安全区域内部发生的数据流动是不存在安全风险的,不需要实施任何安全策略。
3、只有当不同安全区域之间发生数据流动时,才会触发设备的安全检查,并实施相应的安全策略。
4、在防火墙中,同一个接口所连网络的所有网络设备一定位于同一安全区域中,而一个安全区域可以包含多个接口所连接的网络。
防火墙安全区域和接口的关系
依托接口来划分区域的操作,可以理解为将某个接口所连接网络加入了某个安全区域中,但是需要注意的是,该接口本身仍然属于系统预留用来代表设备本身的local安全区域。
防火墙是否存在两个具有完全相同安全级别的安全区域?
不能。会报错。
防火墙是否允许同一物理接口分属两个不同的安全区域?
可以。同一个接口所连的网络的所有网络设备一定位于同一安全区域中。但是可以通过子接口或者vlanif等逻辑接口等方式实现将同一物理接口划分为多个逻辑接口,逻辑接口所连的不同网段的用户可以划入不同的安全区域。
防火墙的不同接口是否可以分属同一个安全区域?
可以。一个安全区域可以包含多个接口所连的网络。
trust区域一般用于连接企业内网或者只为内网提供服务的服务器,如数据中心。
untrust区域一般用于连接企业外网。
但是具体问题具体处理,也可以反着来设计,最终是将安全策略部署在安全区域。
dmz区域一般用于同时连接为内外网用户同时提供服务的设备。
local区域代表防火墙本身,凡是目的ip是防火墙接口地址的报文都认为是进入local区域的流量。凡是源ip地址是防火墙接口地址的报文都算是从local区域发送出去的流量。
安全区域的简单配置
[USG6000V1]firewall zone trust
[USG6000V1-zone-trust]dis this
2022-01-27 14:34:26.640
#
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
#
return
[USG6000V1-zone-trust]firewall zone untrust
[USG6000V1-zone-untrust]dis this
2022-01-27 14:34:51.770
#
firewall zone untrust
set priority 5
#
return
[USG6000V1-zone-untrust]firewall zone dmz
[USG6000V1-zone-dmz]dis this
2022-01-27 14:35:01.910
#
firewall zone dmz
set priority 50
#
return
[USG6000V1-zone-dmz]firewall zone local
[USG6000V1-zone-local]dis this
2022-01-27 14:35:09.170
#
firewall zone local
set priority 100
#
return
add interface g0/0/0的含义是将接口所连接区域添加进某个区域,而不是将接口添加进某个区域,接口永远都在local区域中。
实验一:将g1/0/1下连网络加入和移除untrust区域
[USG6000V1]firewall zone untrust
[USG6000V1-zone-untrust]add inter g1/0/1
[USG6000V1-zone-untrust]undo add interface g1/0/1
实验二:新增自定义安全区域
[USG6000V1]firewall zone name zone1
[USG6000V1-zone-zone1]set priority 90
[USG6000V1-zone-zone1]dis this
2022-01-27 14:59:00.530
#
firewall zone name zone1 id 4
set priority 90
add interface GigabitEthernet1/0/2
#
return
安全区域的方向
入方向inbound:数据由低安全级别的安全区域向高安全级别的安全区域传输的方向。
出方向outbound:数据由高安全级别的安全区域向低安全级别的安全区域传输的方向。
不同级别的安全区域间的数据流动都将激发防火墙进行安全策略检查。同一安全区域不同方向可以设置不同的安全策略,数据的出入就会触发不同的安全策略。
小结
四个区域:trust、untrust、dmz、local。
一域多网:一个安全域中可以包含多个接口的网络,但是一个接口下的网络最多只能属于一个安全域。
网在域中:连接到防火墙的网络必须要划分到某个区域中,没有划分到任何一个区域的网络无法通过防火墙和其他区域互访。
域间隔离:默认情况下,不同区域的网络通过防火墙双向隔离。
域内互访:默认情况下,相同区域的网络可以通过防火墙互访
以上是关于HCIE-Security Day2:防火墙安全区域理解实验的主要内容,如果未能解决你的问题,请参考以下文章
HCIE-Security Day1:防火墙了解实验环境搭建三种方式管理防火墙
#yyds干货盘点# HCIE-Security Day11:初步学习防火墙双机热备和VGMP概念
#yyds干货盘点#HCIE-Security Day15:防火墙双机热备实验防火墙透明接入,上下行连接交换机
#yyds干货盘点#HCIE-Security Day14:防火墙双机热备实验防火墙直路部署,上下行连接路由器