基礎知識篇 安全區域

【防火牆技術連載4】強叔侃牆 基礎知識篇 安全區域：劃地而治 等級森嚴  

http://www.huawei.com/ecommunity/bbs/10182879.html原地址

各位好，前幾期強叔和大家聊了防火牆的概念和發展歷史，併爲大家介紹了華爲的防火牆產品，相信大家對防火牆已經有了一個初步的認識。從今天開始，強叔將爲大家講解防火牆的技術知識，繼續探究防火牆的精彩世界。

在第一篇貼子中我們提到，防火牆主要部署在網絡邊界起到隔離的作用，那麼在防火牆上如何來區分不同的網絡呢？

爲此，我們在防火牆上引入了一個重要的概念：安全區域（Security Zone），簡稱爲區域（Zone）。安全區域是一個或多個接口的集合，是防火牆區別於路由器的主要特性。防火牆通過安全區域來劃分網絡、標識報文流動的“路線”，當報文在不同的安全區域之間流動時，纔會觸發安全檢查¹。

我們都知道，防火牆通過接口來連接網絡，將接口劃分到安全區域後，通過接口就把安全區域和網絡關聯起來。通常說某個安全區域，就可以表示該安全區域中接口所連接的網絡。接口、網絡和安全區域的關係所下圖所示。

 

通過把接口劃分到不同的安全區域中，就可以在防火牆上劃分出不同的網絡。如下圖所示，我們把接口1和接口2放到安全區域A中，接口3放到安全區域B中，接口4放到安全區域C中，這樣在防火牆上就存在了三個安全區域，對應三個網絡。

 

華爲防火牆產品上默認已經爲大家提供了三個安全區域，分別是Trust、DMZ和Untrust，光從名字看就知道這三個安全區域很有內涵，下面強叔就爲大家逐一介紹：

• Trust區域，該區域內網絡的受信任程度高，通常用來定義內部用戶所在的網絡。

• DMZ區域²，該區域內網絡的受信任程度中等，通常用來定義內部服務器所在的網絡。

• Untrust區域，該區域代表的是不受信任的網絡，通常用來定義Internet等不安全的網絡。

在網絡數量較少、環境簡單的場合中，使用默認提供的安全區域就可以滿足劃分網絡的需求。當然，在網絡數量較多的場合，您還可以根據需要創建新的安全區域。
如下圖所示，假設接口1和接口2連接的是內部用戶，那我們就把這兩個接口劃分到Trust區域中；接口3連接內部服務器，將它劃分到DMZ區域；接口4連接Internet，將它劃分到Untrust區域。

 

 

由此我們可以得知，不同網絡間互訪時報文在防火牆上所走的路線。例如，當內部網絡中的用戶訪問Internet時，報文在防火牆上的路線是從Trust區域到Untrust區域；當Internet上的用戶訪問內部服務器時，報文在防火牆上的路線是從Untrust區域到DMZ區域。
除了在不同網絡之間流動的報文之外，還存在從某個網絡到達防火牆本身的報文（例如我們登錄到防火牆上進行配置），以及從防火牆本身發出的報文，如何在防火牆上標識這類報文的路線呢？
如下圖所示，防火牆上提供了Local區域，代表防火牆本身。凡是由防火牆主動發出的報文均可認爲是從Local區域中發出，凡是需要防火牆響應並處理（而不是轉發）的報文均可認爲是由Local區域接收。

 

關於Local區域，強叔還要再提醒一句，Local區域中不能添加任何接口，但防火牆上所有接口本身都隱含屬於Local區域。也就是說，報文通過接口去往某個網絡時，目的安全區域是該接口所在的安全區域；報文通過接口到達防火牆本身時，目的安全區域是Local區域。

現在我們就可以把經過防火牆的流量和防火牆本身的流量都標識出來了，前面介紹過，不同的網絡受信任的程度不同，在防火牆上用安全區域來表示網絡後，怎麼來判斷一個安全區域的受信任程度呢？在華爲防火牆上，每個安全區域都有一個唯一的安全級別，用1～100的數字表示，數字越大，則代表該區域內的網絡越可信。對於默認的安全區域，它們的安全級別是固定的：Local區域的安全級別是100，Trust區域的安全級別是85，DMZ區域的安全級別是50，Untrust區域的安全級別是5。

 

級別確定之後，安全區域就被分成了三六九等，高低有別。報文在兩個安全區域之間流動時，我們規定：報文從低級別的安全區域向高級別的安全區域流動時爲入方向（Inbound），報文從由高級別的安全區域向低級別的安全區域流動時爲出方向（Outbound）。報文在兩個方向上流動時，將會觸發不同的安全檢查。下圖標明瞭Local區域、Trust區域、DMZ區域和Untrust區域間的方向。

 

通過安全區域，防火牆上劃分出了等級森嚴、關係明確的網絡，防火牆成爲連接各個網絡的節點。以此爲基礎，防火牆就可以對各個網絡之間流動的報文進行安全檢查和實施管控策略。
下面給出了防火牆部署在企業內部的真實環境組網圖。從圖中我們可以看出，企業內部網絡中的用戶、服務器，以及位於外部的Internet，都被劃分到不同的安全區域中了，防火牆對各個安全區域之間流動的報文進行安全檢查。

 

上面我們花了很大的篇幅來介紹安全區域，主要目的還是要說明安全區域的重要性。希望通過強叔的介紹，可以讓大家瞭解安全區域的作用，掌握安全區域之間的關係，爲後面進一步學習防火牆知識打好基礎。

 

1：默認情況下，報文在不同的安全區域之間流動時，纔會觸發安全檢查，在同一個安全區域中流動時，不會觸發安全檢查。同時，華爲的防火牆也支持對同一個安全區域內經過防火牆的流量進行安全檢查，更加靈活實用。
2：DMZ（Demilitarized Zone）起源於軍方，是介於嚴格的軍事管制區和鬆散的公共區域之間的一種部分管制的區域。防火牆引用了這一術語，指代一個與內部網絡和外部網絡分離的安全區域。

 

強叔提問：
如下圖所示，安全區域的名稱和級別都已經註明，請問A、B、C之間互訪時報文流動的路線（包括方向）是什麼樣的呢？
強叔先給出一個例子：A訪問B時的路線是Trust區域到Untrust區域的Outbound方向。