安全区域
上一篇,我们做了一个小实验,以路由器的部署方式来部署防火墙,发现是哪都不通!!这一篇我们来学习下防火墙的一个重要特性。在网络中防火墙的主要作用就是起到控制与隔离的作用,那么想要控制数据报文防火墙就需要区分这些流量来至于哪个地方,在目前主流的厂商都引入了一个概念叫做安全区域。安全区域里面包含了一个或者多个接口的集合,当数据报文在不同的安全区域之间转发的时候,就会去匹配安全策略的检测,从而我们可以通过安全策略去控制,这个是防火墙的主要特性。
在实际应用中,防火墙是通过接口来连接不同的网络,通过把接口加入不同的区域后,区域下面所在接口的网络就跟这个区域进行了关联。比如防火墙的1口加入了区域A,那么区域A就跟员工网络进行了关联,接口2加入了区域B,区域B就跟服务器区域进行了关联,接口3加入了区域C,区域C就跟外网区域进行了关联。
了解数据包的区域方向
接口跟区域划分后,当某个区域访问其他区域的时候,就有了数据包的区域方向,比如上面员工网络区域A想要访问区域C的internet,数据包在防火墙的区域路线是从区域A到区域C,当出差员工需要远程拨入来访问内网服务器资源的时候,数据包在防火墙的区域路线是区域C到区域B。了解了数据包的区域方向后,当某个区域的数据包去往其他地方的时候,防火墙可以很快的根据数据包的走向来判断这个数据包是从哪个区域去往哪个区域,然后查找对应的安全策略,执行后续操作。
防火墙是如何知道数据包来自于哪个区域,从哪个区域出去的呢?
还是以上面的图为例,当区域A的员工网络想上外网的时候,数据包经过防火墙,防火墙从1号口收到,防火墙会查找1号口所关联的区域,得到源区域是区域A,在通过查找目的地址的路由表,发现报文的目的地址是从3号口发出,得到3号口对应的区域是区域C,那么区域C就是目的区域,得到了源目区域后,防火墙会进行安全策略检查,然后根据结果来放行该数据包流量。 (确定好源目区域对于我们后续实施安全策略有很大的帮助,也是前提,只有确定了区域我们才能够准确跟精准的配置安全策略的内容)
华为防火墙的默认安全区域
从早期的防火墙一直到现在的下一代,华为产品默认内置了四个安全区域,这些区域出厂就内置了,不能删除、更改里面的默认参数,只能添加跟删除接口关联。
1、Trust区域:受信任区域,通常内部用户所在的网络区域
2、DMZ区域:信任程度一般,通常用于接入服务器所在的网络
3、UNtrust区域:不受信任的网络,通常用于接入外部所在的网络(比如Internet、专线等)
4、Local区域:这个区域比较特殊,代表的是防火墙自身,比如其他网络ping、HTTPS、telnet等流量抵达防火墙,那么这个报文是由Local区域接受处理,而防火墙主动发起的报文,比如防火墙ping其他网络、与其他分支建立IPSEC的报文,都是从Local区域发送出去。
华为防火墙的区域的安全等级
不同的安全区域有不同的信任程度,在华为的防火墙中信任程度使用安全等级来表示,数字1~100,数字越大,则表示该区域的网络越可信,对于内置的4个区域,默认都有对应的等级,Local是100,Trust是85,DMZ是50,Untrust是5。还需要注意的是,区域是必须有一个安全等级的,默认的区域系统已经规划了等级,如果我们新建的安全区域,默认是没有的,需要给它定义它才能够关联接口。而且华为防火墙把数据包从低等级安全区域发往高等级的安全区域的方向为入方向(inbound),报文从高等级安全区域发往低等级安全区域的方向为出方向(Oubound),这个知识点对于下一代防火墙其实了解了解就好了,在UTM的防火墙里面则非常重要,因为写任何策略的内容必须先判断方向,然后来决定是Inbound还是outbound流量,下一代防火墙简化了这些操作,这里提及下,大家在看官方文档或者防火墙技术漫谈的时候都会提到这个内容,因为写的时候是基于UTM的产品为主讲解的,避免产生疑惑。
我们就紧接着以上次那个案例直接进行讲解,上次以路由器形式配置后是哪都不通,从这篇学习完防火墙区域的概念后,应该就有一个认知了,就是之前我们没有把对应的防火墙接口划入到区域里面去!,下面就以这个案例为背景来把区域进行划分,顺便熟悉熟悉安全区域的配置。
完整的配置参考第二篇,这里就不在重复了,之前我们测试的结果就是ping网关都不通!!接下来先看看防火墙默认的安全区域。
通过display zone可以看到有四个区域,也就是上面介绍的华为默认的四个,并且包含了 优先级,细心的你可能发现了一个不同的地方,就是Trust这个区域默认存在一个接口,而其余的则没有。在第二篇的时候我留下了一个思考的作业,就是防火墙默认的管理口能否正常通信,相信看到了上面这个图后,就有了答案,那肯定是可以的,因为接口属于了Trust,收到来自于这个接口的流量后,查询该接口已经加入安全区域,防火墙可以正常处理数据包,而案例里面的G1/0/0、G1/0/1、G1/0/2没有加入任何的安全区域,防火墙在收到来自于这些口报文后,由于没有加入区域,无法判断报文的路线跟方向,防火墙就会直接丢弃报文,导致我们最终不通的现象。了解了这个后,那么接下来我们把接口加入安全区域就可以解决了,带来的另外一个问题就是,加入哪个区域呢?
从主流防火墙的逻辑思维(华为、思科、H3C、juniper都是这样),优先级高的区域用于连接内网网络区域 ,所以上图这里把办公区域规划了进Trust,而接外网的部分属于外部区域,安全性未知,就划分进了Untrust,实际来配置下。
[USG6000V1] firewall zone trust
[USG6000V1-zone-trust]add interface g1/0/1
[USG6000V1-zone-trust]add interface g1/0/2
[USG6000V1]firewall zone untrust
[USG6000V1-zone-untrust]add interface g1/0/0
配置很简单的,进入对应的区域,然后添加接口加入区域就完成了,加入后,我们在来看看能否通信。
可以发现现在还是不通的,但是这个不通就跟之前的不通不一样了,这里是由于防火墙的接口管理特性阻断了,所以导致不通,我们开启允许Ping(后面还会提及这个功能)
[USG6000V1]interface g1/0/1
[USG6000V1-GigabitEthernet1/0/1]service-manage ping permit
[USG6000V1-GigabitEthernet1/0/1]int g1/0/2
[USG6000V1-GigabitEthernet1/0/2]service-manage ping permit
现在发现通了!!
内网互通也是可以的,可以在验证下,防火墙的接口如果没加入区域,开启了允许Ping的情况。
[USG6000V1-GigabitEthernet1/0/2]display this
2020-11-04 08:41:48.820
#
interface GigabitEthernet1/0/2
undo shutdown
ip address 192.168.12.254 255.255.255.0
service-manage ping permit
dhcp select interface
dhcp server ip-range 192.168.12.1 192.168.12.200
dhcp server gateway-list 192.168.12.254
dhcp server DNS-list 223.5.5.5 114.114.114.114
目前该接口是开启了Ping功能允许的
[USG6000V1]firewall zone trust
[USG6000V1-zone-trust]undo add interface g1/0/2
把一个接口从某个区域删除,直接undo add interface,跟对应的接口号
现在看trust里面是没有G1/0/2了的,在来测试下。
可以看到G1/0/2下面的PC不管是访问网关,还是别的接口来访问这个接口的流量都已经不通了。因为防火墙已经不管是收到来自于这个接口的数据包还是发往这个接口的包,由于该接口没有加入区域,防火墙区没法判断报文怎么安排,直接就丢弃了。
还是以这个案例来说,当我们拿到防火墙第一件事,除了了解好客户的需求以外,我们还需要对网络进行区域规划,哪些口属于Trust,哪些口属于Untrust,规划好后,在配置的时候直接按规划的进行配置,这样思路会非常清晰不会乱,并且防火墙的接口不加入任何区域的话,是没法工作的!!这个对于刚学习防火墙的朋友来说非常有帮助的,当然,等你已经对防火墙熟悉了,拿到网络拓扑跟客户需求,心里就有一个清晰的规划了。
通过学习防火墙的区域特性跟划分已经了解了安全区域的重要性,对于常见的组网使用华为默认自带的区域就已经够了,但也存在多个网络区域,需要划分不同的安全区域,这个时候自带的就不够用了,需要自定义!另外上面的案例只讲解到三层接口如何加入安全区域,如果内网对接是二层模式,配置了多个VLANIF充当网关的场景呢?可以先想想哦~答案下一篇认真学,可以解决这个疑问!~
《华为下一代USG防火墙(由浅入深实际案例系列)》是博主原创的针对华为厂商下一代USG防火墙组网系列应用部署为主的系列课程,结合实际环境出发,加上了博主部署经验以及会遇到哪些问题等进行综合,做到学以致用,给各位看官朋友一个不一样的学习体验。
如果大家有任何疑问或者文中有错误跟疏忽的地方,欢迎大家留言指出,博主看到后会第一时间修改,谢谢大家的支持,更多技术文章尽在网络之路Blog,版权归网络之路Blog所有,原创不易,侵权必究,觉得有帮助的,关注、转发、点赞支持下!~。