HuaWei ❀ Firewalld 安全区域
Posted 国家级干饭型选手°
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了HuaWei ❀ Firewalld 安全区域相关的知识,希望对你有一定的参考价值。
1、安全区域
防火墙的安全域包括安全区域和安全域间;
在防火墙中,安全区域(security zone)简称为区域(zone),是一个或者多个接口的组合,这些接口所包含的用户具有相同的安全属性,每个安全区域具体全局唯一的安全优先级,即不存在两个具有相同优先级的安全区域;
设备认为在同一安全区域内部发生的数据流动是可信的,不需要实施任何安全策略,只有当不同安全区域之间发生数据流动时,才会触发防火墙的安全检查,并实施相应的安全策略;
2、安全域间
任何两个安全区域都构成一个安全域间(interzone),并具有单独的安全域间视图,大部分的防火墙配置都在安全域间视图下配置;
例如:配置了安全区域zone1和zone2,则在zone1和zone2的安全域间视图中,可以配置ACL包过滤功能,表示对zone1和zone2之间发生的数据流动实施ACL包过滤;
在安全域间使用防火墙功能后,当高优先级的用户访问低优先级区域时,防火墙会记录报文的IP、VPN等信息,生成一个流表,当报文返回时,设备会查看报文的IP、VPN等信息,因为流表里记录有发出报文的信息,所以有对应的表项,返回的报文能通过;低优先级的用户访问高优先级的用户时,默认是不允许访问的;因此把内网设置为高优先级区域,外网设置为低优先级区域,内网用户可以主动访问外网,外网用户则不能主动访问内网;
3、基于安全域的防火墙的优点
传统的交换机/路由器的策略配置通常都是围绕报文入接口、出接口展开的,随着防火墙的不断发展,已经逐渐摆脱了只连接外网和内网的角色,出现了内网/外网/DMZ(Demilitarized Zone)的模式,并且向着提供高端口密度的方向发展,在这种组网环境中,传统基于接口的策略配置方式给网络管理员带来了极大的负担,安全策略的维护工作量成倍增加,从而也增加了因为配置引入安全风险的概率;
除了复杂的基于接口的安全策略配置,某些防火墙支持全局的策略配置,全局策略配置的缺点是配置粒度过粗,一台设备只能配置同样的安全策略,满足不了用户在不同安全区域或者不同接口上实施不同安全策略的要求,使用上具有明显的局限性;
基于安全域的防火墙支持基于安全区域的配置方式,所有攻击检测策略均配置在安全区域上,配置简洁又不失灵活性,既降低网络管理员的配置负担,又能满足复杂组网情况下针对安全区域实施不同攻击防范策略的要求;
以上是关于HuaWei ❀ Firewalld 安全区域的主要内容,如果未能解决你的问题,请参考以下文章