#华为 #usg 华为防火墙安全区域的概念

这篇具有很好参考价值的文章主要介绍了#华为 #usg 华为防火墙安全区域的概念。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

简介

安全区域(Security Zone),或者简称为区域(Zone),是设备所引入的一个安全概念,大部分的安全策略都基于安全区域实施。

定义

一个安全区域是若干接口所连网络的集合,这些网络中的用户具有相同的安全属性。

目的

在网络安全的应用中,如果网络安全设备对所有报文都进行逐包检测,会导致设备资源的大量消耗和性能的急剧下降。而这种对所有报文都进行检查的机制也是没有必要的。所以在网络安全领域出现了基于安全区域的报文检测机制。

引入安全区域的概念之后,网络管理员可以将具有相同优先级的网络设备划入同一个安全区域。由于同一安全区域内的网络设备是“同样安全”的,FW认为在同一安全区域内部发生的数据流动是不存在安全风险的,不需要实施任何安全策略。只有当不同安全区域之间发生数据流动时,才会触发设备的安全检查,并实施相应的安全策略。

所以FW在支持报文直接转发的基础上,还支持了安全区域的创建,并且允许网络管理员在安全区域的基础上实施各种特殊的报文检测与安全功能。

安全区域有优先级的区分。优先级通过1~100的数字表示,数字越大表示优先级越高。

(系统默认的安全区域不能被删除,优先级也无法被重新配置或者删除。用户可以根据实际组网需要,自行创建安全区域并定义其优先级。)

设备上缺省的安全区域如表1所示。

表1 设备缺省划分的安全区域

区域名称

优先级

说明

非受信区域(untrust)

低安全级别的安全区域,优先级为5。

通常用于定义Internet等不安全的网络。

非军事化区域(dmz)

中等安全级别的安全区域,优先级为50。

通常用于定义内网服务器所在区域。因为这种设备虽然部署在内网,但是经常需要被外网访问,存在较大安全隐患,同时一般又不允许其主动访问外网,所以将其部署一个优先级比trust低,但是比untrust高的安全区域中。

说明:

dmz(Demilitarized Zone)起源于军方,是介于严格的军事管制区和松散的公共区域之间的一种有着部分管制的区域。FW设备引用了这一术语,指代一个逻辑上和物理上都与内部网络和外部网络分离的安全区域。

dmz安全区域很好地解决了服务器的放置问题。该安全区域可以放置需要对外提供网络服务的设备,如WWW服务器、FTP服务器等。上述服务器如果放置于内部网络,外部恶意用户则有可能利用某些服务的安全漏洞攻击内部网络;如果放置于外部网络,则无法保障它们的安全。

受信区域(trust)

较高安全级别的安全区域,优先级为85。

通常用于定义内网终端用户所在区域。

本地区域(local)

最高安全级别的安全区域,优先级为100。

local区域定义的是设备本身,包括设备的各接口本身。凡是由设备构造并主动发出的报文均可认为是从local区域中发出,凡是需要设备响应并处理(而不仅是检测或直接转发)的报文均可认为是由local区域接收。

用户不能改变local区域本身的任何配置,包括向其中添加接口。

说明:

由于local区域的特殊性,在很多需要设备本身进行报文收发的应用中,需要开放对端所在安全区域与local区域之间的安全策略。包括:

  • 需要对设备本身进行管理的情况。例如Telnet登录、Web登录、接入SNMP网管等。
  • 设备本身作为某种服务的客户端或服务器,需要主动向对端发起请求或处理对端发起的请求的情况。例如FTP,PPPoE拨号,NTP以及IPSec VPN等。

向安全区域中添加接口,只是认为该接口所连的网络属于该安全区域,而接口本身还是属于local区域。

安全域间与方向

安全域间这个概念用来描述流量的传输通道,它是两个“区域”之间的唯一“道路”。如果希望对经过这条通道的流量进行检测等,就必须在通道上设立“关卡”,如ASPF等功能。

任意两个安全区域都构成一个安全域间(Interzone),并具有单独的安全域间视图。

安全域间的数据流动具有方向性,包括入方向(Inbound)和出方向(Outbound)。

  • 入方向:数据由低优先级的安全区域向高优先级的安全区域传输。

  • 出方向:数据由高优先级的安全区域向低优先级的安全区域传输。

通常情况下,通信双方一定会交互报文,即安全域间的两个方向上都有报文的传输。而判断一条流量的方向应以发起该条流量的第一个报文为准。

例如,发起连接的终端位于trust区域,它向位于untrust区域的Web服务器发送了第一个报文,以请求建立HTTP连接。由于untrust区域的优先级比trust区域低,所以FW设备将认为这个报文属于Outbound方向,并根据Outbound方向上的域间配置决定是否匹配并进一步处理该数据流。

##本文参考自华为官方usg产品文档##文章来源地址https://www.toymoban.com/news/detail-405716.html

到了这里,关于#华为 #usg 华为防火墙安全区域的概念的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 华为USG防火墙配置命令

    其实防火墙配置,只需要配置到能使用web方式管理,剩下的都在网页上配置即可,有人喜欢用命令配置,但我说下用命令配置的弊端,首先是安全策略的备注不好写,还有就是策略的顺序不方便调整,需要提前规划好,还有就是容易出错,真的完全没有必要,你又不是配置交

    2024年02月05日
    浏览(54)
  • 华为eNSP防火墙USG5500基本配置

    华为eNSP防火墙USG5500基本配置 实验设备 防火墙采用eNSP自带USG5500,不需要导入操作系统;eNSP同时提供防火墙USG6000,它不能打开,提示需要导入防火墙系统。交换机采用的是5700,交换机上创建了3个VLan,Vlan5用来连接防火墙,Vlan10是PC13所在的网络,Vlan20是PC14所在的网络。 实验

    2024年02月05日
    浏览(55)
  • 华为防火墙(以USG6330为例)公网直接访问问题解决

    以华为防火墙作为公司网络出口设备,连接ISP网络。在公网输入公司的公网IP地址,会自动添加端口号,跳转到防火墙外网登录界面。 【策略-NAT策略-服务器映射】列表中并没有将防火墙映射到公网。 (一)方案一:映射到错误的IP地址上         在【策略-NAT策略-服务器

    2024年02月13日
    浏览(40)
  • 防火墙USG5500安全实验-网络地址转换实验

    防火墙USG5500安全实验-网络地址转换实验 实验目的 通过本实验,你将了解NAT outbound 的工作原理及详细配置。 组网设备 USG防火墙一台,PC机两台。 实验拓扑图 实验步骤 - 1 配置PC1、PC3和PC2的IP地址分别为192.168.1.11/24、10.1.1.11/24、2.2.2.11/24。 2 设置防火墙GE0/0/0、GE0/0/3和GE0/0/1的

    2024年02月03日
    浏览(48)
  • 华为---登录USG6000V防火墙---console、web、telnet、ssh方式登录

    目录 一、环境搭建 二、第一次登录USG6000V防火墙,即通过console方式登录 三、通过web管理界面创建用户 四、web登录USG6000V防火墙         1. 用web创建的用户通过web方式登录USG6000V防火墙         2. 命令行创建的用户通过web方式登录USG6000V防火墙 五、ssh方式登录USG6000V防

    2024年02月03日
    浏览(48)
  • 华为防火墙区域配置

    防火墙区域配置 trust区域内R1上的业务网段192.168.0.0/24和192.168.1.0/24仅能访问DMZ区域的web服务器 trust区域内R1上的业务网段192.168.2.0/24和192.168.3.0/24仅能访问DMZ区域的ftp服务器 位于untrust区域的全部外部网段都能够访问dmz区域的web服务器和ftp服务器 trust区域内除192.168.0.0/24以外所有

    2024年02月06日
    浏览(44)
  • 华为防火墙USG6000V---内网访问外网---外网访问内网服务器(NAT服务器)示例配置

      目录 一、配置要求  二、配置步骤 1. ping通防火墙接口IP地址的条件 2. 内网ping通外网终端的条件 3. 内网ping通DMZ(内网服务器)的条件 三、命令解析 内网可以ping通防火墙; 内网可以访问外网; 外网可以访问内网服务器。 1. ping通防火墙接口IP地址的条件 配置接口IP地址;

    2024年02月04日
    浏览(54)
  • 防火墙部署安全区域

    防火墙主要部署在网络边界起到隔离的作用 防火墙通过安全区域来划分网络、标识报文流动的“路线” 为了在防火墙上区分不同的网络,我们在防火墙上引入了一个重要的概念:安全区域(Security Zone),简称为区域(Zone)。安全区域是一个或多个接口的集合,是防火墙区别

    2024年01月17日
    浏览(55)
  • 华为TD-LTE无线数据终端(4G路由器)L二TP对接防火墙USG6650E解决校车(车辆)数据回传问题

    问题:一卡通消费机安装在校车上,校车在全市范围内移动,消费机需要远程连接一卡通服务器才能实现刷校园码、微信、支付宝等功能,由于消费机自身不具备4G、5G模块功能(就算有也要解决问题),只能WIFI,且一卡通服务器位于内网,不提供公网IP映射,因此,要使得校

    2024年02月09日
    浏览(44)
  • 网络安全基础 之 防火墙 双机热备、防火墙类型、组网方式、工作模式、逻辑区域划分

    目录 概念: 特征: 作用:     基本功能: 防火墙的分类:     性能划分:     设备形态分类:     技术划分:         包过滤防火墙:             ACL七元组: 逻辑区域: 配置方式:     自定义安全区域:     删除自定义安全区域: 防火墙组网方式: 防火

    2024年02月05日
    浏览(56)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包