#华为 #usg 华为防火墙安全区域的概念-Toy模板网

这篇具有很好参考价值的文章主要介绍了#华为 #usg 华为防火墙安全区域的概念。希望对大家有所帮助。如果存在错误或未考虑完全的地方，请大家不吝赐教，您也可以点击"举报违法"按钮提交疑问。

简介

安全区域（Security Zone），或者简称为区域（Zone），是设备所引入的一个安全概念，大部分的安全策略都基于安全区域实施。

定义

一个安全区域是若干接口所连网络的集合，这些网络中的用户具有相同的安全属性。

目的

在网络安全的应用中，如果网络安全设备对所有报文都进行逐包检测，会导致设备资源的大量消耗和性能的急剧下降。而这种对所有报文都进行检查的机制也是没有必要的。所以在网络安全领域出现了基于安全区域的报文检测机制。

引入安全区域的概念之后，网络管理员可以将具有相同优先级的网络设备划入同一个安全区域。由于同一安全区域内的网络设备是“同样安全”的，FW认为在同一安全区域内部发生的数据流动是不存在安全风险的，不需要实施任何安全策略。只有当不同安全区域之间发生数据流动时，才会触发设备的安全检查，并实施相应的安全策略。

所以FW在支持报文直接转发的基础上，还支持了安全区域的创建，并且允许网络管理员在安全区域的基础上实施各种特殊的报文检测与安全功能。

安全区域有优先级的区分。优先级通过1～100的数字表示，数字越大表示优先级越高。

（系统默认的安全区域不能被删除，优先级也无法被重新配置或者删除。用户可以根据实际组网需要，自行创建安全区域并定义其优先级。）

设备上缺省的安全区域如表1所示。

表1 设备缺省划分的安全区域
区域名称	优先级	说明
非受信区域（untrust）	低安全级别的安全区域，优先级为5。	通常用于定义Internet等不安全的网络。
非军事化区域（dmz）	中等安全级别的安全区域，优先级为50。	通常用于定义内网服务器所在区域。因为这种设备虽然部署在内网，但是经常需要被外网访问，存在较大安全隐患，同时一般又不允许其主动访问外网，所以将其部署一个优先级比trust低，但是比untrust高的安全区域中。说明： dmz（Demilitarized Zone）起源于军方，是介于严格的军事管制区和松散的公共区域之间的一种有着部分管制的区域。FW设备引用了这一术语，指代一个逻辑上和物理上都与内部网络和外部网络分离的安全区域。 dmz安全区域很好地解决了服务器的放置问题。该安全区域可以放置需要对外提供网络服务的设备，如WWW服务器、FTP服务器等。上述服务器如果放置于内部网络，外部恶意用户则有可能利用某些服务的安全漏洞攻击内部网络；如果放置于外部网络，则无法保障它们的安全。
受信区域（trust）	较高安全级别的安全区域，优先级为85。	通常用于定义内网终端用户所在区域。
本地区域（local）	最高安全级别的安全区域，优先级为100。	local区域定义的是设备本身，包括设备的各接口本身。凡是由设备构造并主动发出的报文均可认为是从local区域中发出，凡是需要设备响应并处理（而不仅是检测或直接转发）的报文均可认为是由local区域接收。用户不能改变local区域本身的任何配置，包括向其中添加接口。说明：由于local区域的特殊性，在很多需要设备本身进行报文收发的应用中，需要开放对端所在安全区域与local区域之间的安全策略。包括：需要对设备本身进行管理的情况。例如Telnet登录、Web登录、接入SNMP网管等。设备本身作为某种服务的客户端或服务器，需要主动向对端发起请求或处理对端发起的请求的情况。例如FTP，PPPoE拨号，NTP以及IPSec VPN等。向安全区域中添加接口，只是认为该接口所连的网络属于该安全区域，而接口本身还是属于local区域。