防火牆的安全區域
安全區域介紹
安全區域是一個或多個接口(物理和邏輯接口)的集合 是防火牆區別於路由器的主要特徵
防火牆是不允許同一物理接口分屬於兩個不同的安全區域
防火牆不允許一個接口不屬於任何區域
防火牆的不同接口可以屬於同一個安全區域
NGFW認爲在同一安全區域內部發生的數據流動是不存在安全風險的,不需要實施任何安全策略
只有當不同安全區域之間發生數據流動時,纔會觸發設備的安全檢查,並實施相應的安全策略
系統預定義Local、Trust、DMZ、Untrust共4個安全區域
4個安全區域無需創建 也不能刪除 防火牆最多支持32個安全區域
安全區域的優先級
每個安全區域都有一個唯一的安全級別 用1-100的數字表示 NGFW中的這個數字只具有管理意義
Local區域優先級爲100 trust區域優先級爲85 untrust區域優先級爲5 dmz區域優先級爲50
只能爲自定義的安全區域設定安全級別
同一個防火牆(系統)上面 兩個安全區域不允許配置相同的安全級別
新建的安全區域 未設定其安全級別前 系統規定其安全級別爲0
安全區域的用法
LOCAL區域
優先級是100 local區域中不能添加任何接口 但防火牆上的所有接口(物理和邏輯)都是本地區域
從防火牆LOCAL去往任意區域,都需要安全策略(security-policy)
從任意區域訪問防火牆LOACL區域,也需要安全策略(除了管理訪問幾個 ping ssh telnet http https snmp)
TRUST區域
優先級是85 信任區域 一般連接公司內部網絡
UNTRUST區域
優先級是5 不信任區域 一般連接外部網絡(運營商網絡)
DMZ區域
優先級是50 非軍事區域 一般連接公司內網服務器
安全區域的配置
firewall zone name key
set priority 1 ------------只是管理意義,無其它意義。但必須配置,不能100 85 50 5檢查防火牆的區域
[FW1]display zone
21:43:48 2019/03/05
local
priority is 100
#
trust
priority is 85
interface of the zone is (2):
GigabitEthernet0/0/0
#
untrust
priority is 5
interface of the zone is (1):
#
dmz
priority is 50
interface of the zone is (1):
#
key
priority is 1
interface of the zone is (0):注意:刪除ZONE,只能是自定義的ZONE,不能是默認的
[FW1]undo firewall zone name local
20:35:33 2019/09/05
Error: The security zone defined by system, can't delete.
[FW1]undo firewall zone name key