您当前的位置:首页 > 电脑百科 > 安全防护 > 软件工具

防火墙必须掌握的区域特性与划分

时间:2021-03-01 11:57:47  来源:  作者:

安全区域

上一篇,我们做了一个小实验,以路由器的部署方式来部署防火墙,发现是哪都不通!!这一篇我们来学习下防火墙的一个重要特性。在网络中防火墙的主要作用就是起到控制与隔离的作用,那么想要控制数据报文防火墙就需要区分这些流量来至于哪个地方,在目前主流的厂商都引入了一个概念叫做安全区域。安全区域里面包含了一个或者多个接口的集合,当数据报文在不同的安全区域之间转发的时候,就会去匹配安全策略的检测,从而我们可以通过安全策略去控制,这个是防火墙的主要特性。

3、防火墙必须掌握的区域特性与划分

 

在实际应用中,防火墙是通过接口来连接不同的网络,通过把接口加入不同的区域后,区域下面所在接口的网络就跟这个区域进行了关联。比如防火墙的1口加入了区域A,那么区域A就跟员工网络进行了关联,接口2加入了区域B,区域B就跟服务器区域进行了关联,接口3加入了区域C,区域C就跟外网区域进行了关联。

 

了解数据包的区域方向

接口跟区域划分后,当某个区域访问其他区域的时候,就有了数据包的区域方向,比如上面员工网络区域A想要访问区域C的internet,数据包在防火墙的区域路线是从区域A到区域C,当出差员工需要远程拨入来访问内网服务器资源的时候,数据包在防火墙的区域路线是区域C到区域B。了解了数据包的区域方向后,当某个区域的数据包去往其他地方的时候,防火墙可以很快的根据数据包的走向来判断这个数据包是从哪个区域去往哪个区域,然后查找对应的安全策略,执行后续操作。

 

防火墙是如何知道数据包来自于哪个区域,从哪个区域出去的呢?

还是以上面的图为例,当区域A的员工网络想上外网的时候,数据包经过防火墙,防火墙从1号口收到,防火墙会查找1号口所关联的区域,得到源区域是区域A,在通过查找目的地址的路由表,发现报文的目的地址是从3号口发出,得到3号口对应的区域是区域C,那么区域C就是目的区域,得到了源目区域后,防火墙会进行安全策略检查,然后根据结果来放行该数据包流量。 (确定好源目区域对于我们后续实施安全策略有很大的帮助,也是前提,只有确定了区域我们才能够准确跟精准的配置安全策略的内容)

 

华为防火墙的默认安全区域

从早期的防火墙一直到现在的下一代,华为产品默认内置了四个安全区域,这些区域出厂就内置了,不能删除、更改里面的默认参数,只能添加跟删除接口关联。

 

1、Trust区域:受信任区域,通常内部用户所在的网络区域

2、DMZ区域:信任程度一般,通常用于接入服务器所在的网络

3、UNtrust区域:不受信任的网络,通常用于接入外部所在的网络(比如Internet、专线等)

4、Local区域:这个区域比较特殊,代表的是防火墙自身,比如其他网络ping、HTTPS、telnet等流量抵达防火墙,那么这个报文是由Local区域接受处理,而防火墙主动发起的报文,比如防火墙ping其他网络、与其他分支建立IPSEC的报文,都是从Local区域发送出去。

 

华为防火墙的区域的安全等级

不同的安全区域有不同的信任程度,在华为的防火墙中信任程度使用安全等级来表示,数字1~100,数字越大,则表示该区域的网络越可信,对于内置的4个区域,默认都有对应的等级,Local是100,Trust是85,DMZ是50,Untrust是5。还需要注意的是,区域是必须有一个安全等级的,默认的区域系统已经规划了等级,如果我们新建的安全区域,默认是没有的,需要给它定义它才能够关联接口。而且华为防火墙把数据包从低等级安全区域发往高等级的安全区域的方向为入方向(inbound),报文从高等级安全区域发往低等级安全区域的方向为出方向(Oubound),这个知识点对于下一代防火墙其实了解了解就好了,在UTM的防火墙里面则非常重要,因为写任何策略的内容必须先判断方向,然后来决定是Inbound还是outbound流量,下一代防火墙简化了这些操作,这里提及下,大家在看官方文档或者防火墙技术漫谈的时候都会提到这个内容,因为写的时候是基于UTM的产品为主讲解的,避免产生疑惑。

 

安全区域的实际案例配置

3、防火墙必须掌握的区域特性与划分

 

我们就紧接着以上次那个案例直接进行讲解,上次以路由器形式配置后是哪都不通,从这篇学习完防火墙区域的概念后,应该就有一个认知了,就是之前我们没有把对应的防火墙接口划入到区域里面去!,下面就以这个案例为背景来把区域进行划分,顺便熟悉熟悉安全区域的配置。

3、防火墙必须掌握的区域特性与划分

 


3、防火墙必须掌握的区域特性与划分

 

完整的配置参考第二篇,这里就不在重复了,之前我们测试的结果就是ping网关都不通!!接下来先看看防火墙默认的安全区域。

3、防火墙必须掌握的区域特性与划分

 

通过display zone可以看到有四个区域,也就是上面介绍的华为默认的四个,并且包含了 优先级,细心的你可能发现了一个不同的地方,就是Trust这个区域默认存在一个接口,而其余的则没有。在第二篇的时候我留下了一个思考的作业,就是防火墙默认的管理口能否正常通信,相信看到了上面这个图后,就有了答案,那肯定是可以的,因为接口属于了Trust,收到来自于这个接口的流量后,查询该接口已经加入安全区域,防火墙可以正常处理数据包,而案例里面的G1/0/0、G1/0/1、G1/0/2没有加入任何的安全区域,防火墙在收到来自于这些口报文后,由于没有加入区域,无法判断报文的路线跟方向,防火墙就会直接丢弃报文,导致我们最终不通的现象。了解了这个后,那么接下来我们把接口加入安全区域就可以解决了,带来的另外一个问题就是,加入哪个区域呢?

3、防火墙必须掌握的区域特性与划分

 

从主流防火墙的逻辑思维(华为、思科、H3C、juniper都是这样),优先级高的区域用于连接内网网络区域 ,所以上图这里把办公区域规划了进Trust,而接外网的部分属于外部区域,安全性未知,就划分进了Untrust,实际来配置下。

 

[USG6000V1] firewall zone trust

[USG6000V1-zone-trust]add interface g1/0/1

[USG6000V1-zone-trust]add interface g1/0/2

 

[USG6000V1]firewall zone untrust

[USG6000V1-zone-untrust]add interface g1/0/0

3、防火墙必须掌握的区域特性与划分

 

配置很简单的,进入对应的区域,然后添加接口加入区域就完成了,加入后,我们在来看看能否通信。

3、防火墙必须掌握的区域特性与划分

 

可以发现现在还是不通的,但是这个不通就跟之前的不通不一样了,这里是由于防火墙的接口管理特性阻断了,所以导致不通,我们开启允许Ping(后面还会提及这个功能)

 

[USG6000V1]interface g1/0/1

[USG6000V1-GigabitEthernet1/0/1]service-manage ping permit

[USG6000V1-GigabitEthernet1/0/1]int g1/0/2

[USG6000V1-GigabitEthernet1/0/2]service-manage ping permit

3、防火墙必须掌握的区域特性与划分

 

现在发现通了!!

3、防火墙必须掌握的区域特性与划分

 

内网互通也是可以的,可以在验证下,防火墙的接口如果没加入区域,开启了允许Ping的情况。

 

[USG6000V1-GigabitEthernet1/0/2]display this

2020-11-04 08:41:48.820

#

interface GigabitEthernet1/0/2

undo shutdown

ip address 192.168.12.254 255.255.255.0

service-manage ping permit

dhcp select interface

dhcp server ip-range 192.168.12.1 192.168.12.200

dhcp server gateway-list 192.168.12.254

dhcp server DNS-list 223.5.5.5 114.114.114.114

 

目前该接口是开启了Ping功能允许的

 

[USG6000V1]firewall zone trust

[USG6000V1-zone-trust]undo add interface g1/0/2

把一个接口从某个区域删除,直接undo add interface,跟对应的接口号

3、防火墙必须掌握的区域特性与划分

 

现在看trust里面是没有G1/0/2了的,在来测试下。

3、防火墙必须掌握的区域特性与划分

 

可以看到G1/0/2下面的PC不管是访问网关,还是别的接口来访问这个接口的流量都已经不通了。因为防火墙已经不管是收到来自于这个接口的数据包还是发往这个接口的包,由于该接口没有加入区域,防火墙区没法判断报文怎么安排,直接就丢弃了。

 

当我们拿到防火墙第一件事需要干嘛?

3、防火墙必须掌握的区域特性与划分

 

还是以这个案例来说,当我们拿到防火墙第一件事,除了了解好客户的需求以外,我们还需要对网络进行区域规划,哪些口属于Trust,哪些口属于Untrust,规划好后,在配置的时候直接按规划的进行配置,这样思路会非常清晰不会乱,并且防火墙的接口不加入任何区域的话,是没法工作的!!这个对于刚学习防火墙的朋友来说非常有帮助的,当然,等你已经对防火墙熟悉了,拿到网络拓扑跟客户需求,心里就有一个清晰的规划了。

 

“承上启下”

通过学习防火墙的区域特性跟划分已经了解了安全区域的重要性,对于常见的组网使用华为默认自带的区域就已经够了,但也存在多个网络区域,需要划分不同的安全区域,这个时候自带的就不够用了,需要自定义!另外上面的案例只讲解到三层接口如何加入安全区域,如果内网对接是二层模式,配置了多个VLANIF充当网关的场景呢?可以先想想哦~答案下一篇认真学,可以解决这个疑问!~

介绍

《华为下一代USG防火墙(由浅入深实际案例系列)》是博主原创的针对华为厂商下一代USG防火墙组网系列应用部署为主的系列课程,结合实际环境出发,加上了博主部署经验以及会遇到哪些问题等进行综合,做到学以致用,给各位看官朋友一个不一样的学习体验。

 

如果大家有任何疑问或者文中有错误跟疏忽的地方,欢迎大家留言指出,博主看到后会第一时间修改,谢谢大家的支持,更多技术文章尽在网络之路Blog,版权归网络之路Blog所有,原创不易,侵权必究,觉得有帮助的,关注、转发、点赞支持下!~。



Tags:防火墙   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
一、背景介绍大家在Linux的日常使用中都晓得如何通过命令行去配置Linux的端口开放规则,但是大家知道如何配置Windows入站出站规则吗?有哪些常见的危险端口呢?如何解决上述问题...【详细内容】
2021-12-01  Tags: 防火墙  点击:(30)  评论:(0)  加入收藏
一、背景介绍大家在Linux的日常使用中都晓得如何通过命令行去配置Linux的端口开放规则,但是大家知道如何配置Windows入站出站规则吗?有哪些常见的危险端口呢?如何解决上述问题...【详细内容】
2021-11-15  Tags: 防火墙  点击:(38)  评论:(0)  加入收藏
介绍其实Iptables服务不是真正的防火墙,只是用来定义防火墙规则功能的"防火墙管理工具",将定义好的规则交由内核中的netfilter即网络过滤器来读取,从而真正实现防火墙功能。fil...【详细内容】
2021-10-18  Tags: 防火墙  点击:(52)  评论:(0)  加入收藏
waf拦截在打某市 Hvv 第一天就找到一个文件上传的点,经过测试,可以直接任意文件上传,没有什么道理。 直接尝试上传 Php 文件,被 waf 拦截了 2021最新整理网络安全/渗透测试/安...【详细内容】
2021-10-11  Tags: 防火墙  点击:(56)  评论:(0)  加入收藏
防火墙一般布置在逻辑区域的入口处,位于三层网络架构的核心和汇聚之间,起到隔离逻辑区域,为逻辑区域创建安全策略的作用。 上面就是应用区的防火墙布置方式,他布置在应用区,可以...【详细内容】
2021-09-03  Tags: 防火墙  点击:(109)  评论:(0)  加入收藏
从实现原理上分,防火墙的技术包括四大类:网络级防火墙、应用级网关、电路级网关和规则检查防火墙。1、网络级防火墙一般是基于源地址和目的地址、应用、协议以及每个IP包的端...【详细内容】
2021-07-20  Tags: 防火墙  点击:(225)  评论:(0)  加入收藏
防火墙是网络和万维网之间的关系,位于网络的入口和出口。它评估网络流量,只允许某些流量进出。防火墙分析网络数据包头,包括关于进出网络流量的信息。然后,根据防火墙配置的策略...【详细内容】
2021-06-22  Tags: 防火墙  点击:(101)  评论:(0)  加入收藏
Windows防火墙是Windows操作系统的组成部分,它管理流经计算机网络端口的流量,以确保未被注意的数据包不会进入计算机并确保其安全。它还负责打开和关闭或侦听网络端口。Window...【详细内容】
2021-04-30  Tags: 防火墙  点击:(215)  评论:(0)  加入收藏
随着越来越多的企业陆续上云,并通过云平台为用户提供服务,云端的 Web 应用程序防火墙(WAF)服务开始逐渐变得流行起来。面对与传统部署截然不同的环境和新的安全威胁,云端 WAF 服...【详细内容】
2021-04-25  Tags: 防火墙  点击:(246)  评论:(0)  加入收藏
为什么要关闭防火墙防火墙对电脑的安全起着重要的保护作用,为什么这一节小课堂会教你如何关闭防火墙呢?因为防火墙在电脑与其他电脑通信的时候会起到保护作用,但是在我们进行一...【详细内容】
2021-03-19  Tags: 防火墙  点击:(199)  评论:(0)  加入收藏
▌简易百科推荐
已经观察到一种新的基于JavaScript的远程访问木马(RAT)利用社会工程学传播,采用隐蔽的"无文件"技术作为其逃避检测和分析的方法。该恶意软件由Prevalyion的对抗性反情报团队(PA...【详细内容】
2021-12-17  网安老葫    Tags:恶意软件   点击:(13)  评论:(0)  加入收藏
关于windows Defender防病毒的问题升级win10后,我们会经常遇到打开或下载文件时弹出提示框提示你下载的文件是病毒之类,直接给你删除。你好不容易找了个激活工具,你刚打开发现...【详细内容】
2021-11-08  IT小哥吧    Tags:defender   点击:(46)  评论:(0)  加入收藏
喽!大家好,我是小易,欢迎来到我的知识分享站!今天给大家分享5个杀毒神器,让你的电脑干干净净,建议收藏起来哟! 1、Windows Defender随着Win10系统的更新已经日趋完善,它可以很好的解...【详细内容】
2021-11-08  知识与技能    Tags:流氓软件   点击:(74)  评论:(0)  加入收藏
介绍其实Iptables服务不是真正的防火墙,只是用来定义防火墙规则功能的"防火墙管理工具",将定义好的规则交由内核中的netfilter即网络过滤器来读取,从而真正实现防火墙功能。fil...【详细内容】
2021-10-18  互联网IT技术全栈    Tags:   点击:(52)  评论:(0)  加入收藏
什么是Nessus?Nessus 是目前全世界最多人使用的系统漏洞扫描与分析软件。总共有超过75,000个机构使用Nessus 作为扫描该机构电脑系统的软件步骤如下:查看当前kali系统内核版本...【详细内容】
2021-09-09  TestGO    Tags:Nessus   点击:(112)  评论:(0)  加入收藏
http 头部信息http头部信息经常包含着主机服务的一些版本信息,经常使用的字段信息有:Server, X-Powered-By, X-AspNet-Version工具可采用curl进行curl --location --head $URL...【详细内容】
2021-08-19  80后IT老民工    Tags:渗透   点击:(225)  评论:(0)  加入收藏
一、杀软常见的三种方式二、免杀的三种常用方式三、利用工具实现免杀1、veil工具基础实现免杀+进阶2、venom免杀3、利用kali自带的shellter进行免杀4、利用avet实现免杀四、...【详细内容】
2021-08-18  白帽hacker淬炼    Tags:免杀   点击:(81)  评论:(0)  加入收藏
关于工具现有工具现在,现成的污点分析工具已经有很多了。其中,我最感兴趣的是Triton和bincat,因为两者已经相当成熟。然而,我们却无法使用这两种工具,因为它们不支持目标设备所...【详细内容】
2021-08-12  Hbo涵    Tags:安全漏洞   点击:(93)  评论:(0)  加入收藏
从实现原理上分,防火墙的技术包括四大类:网络级防火墙、应用级网关、电路级网关和规则检查防火墙。1、网络级防火墙一般是基于源地址和目的地址、应用、协议以及每个IP包的端...【详细内容】
2021-07-20  趣谈文化  搜狐号  Tags:防火墙   点击:(225)  评论:(0)  加入收藏
一、VMware部分1、Vmware简介虚拟机就是一个用来模拟真实的物理机环境的一个软件,可以在虚拟机中安装不同版本的操作系统。就是一个把下载好的ISO安装在物理机操作系统的一个...【详细内容】
2021-07-12  Kali与编程  公众号  Tags:Kali Linux   点击:(112)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条