防火墙的安全区域
安全区域介绍
? 安全区域是一个或多个接口 (物理和逻辑接口) 的集合 是防火墙区别于路由器的主要特征
? 防火墙是不允许同一物理接口分属于两个不同的安全区域
? 防火墙不允许一个接口不属于任何区域
? 防火墙的不同接口可以属于同一个安全区域
? NGFW 认为在同一安全区域内部发生的数据流动是不存在安全风险的, 不需要实施任何安全策略
? 只有当不同安全区域之间发生数据流动时, 才会触发设备的安全检查, 并实施相应的安全策略
? 系统预定义 Local,Trust,DMZ,Untrust 共 4 个安全区域
? 4 个安全区域无需创建 也不能删除 防火墙最多支持 32 个安全区域
安全区域的优先级
? 每个安全区域都有一个唯一的安全级别 用 1-100 的数字表示 NGFW 中的这个数字只具有管理意义
? Local 区域优先级为 100 trust 区域优先级为 85 untrust 区域优先级为 5 dmz 区域优先级为 50
? 只能为自定义的安全区域设定安全级别
? 同一个防火墙 (系统) 上面 两个安全区域不允许配置相同的安全级别
? 新建的安全区域 未设定其安全级别前 系统规定其安全级别为 0
安全区域的用法
LOCAL 区域
? 优先级是 100 local 区域中不能添加任何接口 但防火墙上的所有接口 (物理和逻辑) 都是本地区域
? 从防火墙 LOCAL 去往任意区域, 都需要安全策略(security-policy)
? 从任意区域访问防火墙 LOACL 区域, 也需要安全策略(除了管理访问几个 ping SSH telnet http https snmp)
TRUST 区域
? 优先级是 85 信任区域 一般连接公司内部网络
UNTRUST 区域
? 优先级是 5 不信任区域 一般连接外部网络(运营商网络)
DMZ 区域
? 优先级是 50 非军事区域 一般连接公司内网服务器
安全区域的配置
firewall zone name key
set priority 1 ------------ 只是管理意义, 无其它意义. 但必须配置, 不能 100 85 50 5
检查防火墙的区域
- [FW1]display zone
- 21:43:48 2019/03/05
- local
- priority is 100
- #
- trust
- priority is 85
- interface of the zone is (2):
- GigabitEthernet0/0/0
- #
- untrust
- priority is 5
- interface of the zone is (1):
- #
- dmz
- priority is 50
- interface of the zone is (1):
- #
- key
- priority is 1
- interface of the zone is (0):
注意: 删除 ZONE, 只能是自定义的 ZONE, 不能是默认的
- [FW1]undo firewall zone name local
- 20:35:33 2019/09/05
- Error: The security zone defined by system, can't delete.
- [FW1]undo firewall zone name key
来源: http://www.bubuko.com/infodetail-3483791.html