由此我们可以得知,不同网络间互访时报文在防火墙上所走的路线。例如,当内部网络中的用户访问Internet时,报文在防火墙上的路线是从Trust区域到Untrust区域;当Internet上的用户访问内部服务器时,报文在防火墙上的路线是从Untrust区域到DMZ区域。
除了在不同网络之间流动的报文之外,还存在从某个网络到达防火墙本身的报文(例如我们登录到防火墙上进行配置),以及从防火墙本身发出的报文,如何在防火墙上标识这类报文的路线呢?
如下图所示,防火墙上提供了Local区域,代表防火墙本身。凡是由防火墙主动发出的报文均可认为是从Local区域中发出,凡是需要防火墙响应并处理(而不是转发)的报文均可认为是由Local区域接收。
关于Local区域,强叔还要再提醒一句,Local区域中不能添加任何接口,但防火墙上所有接口本身都隐含属于Local区域。也就是说,报文通过接口去往某个网络时,目的安全区域是该接口所在的安全区域;报文通过接口到达防火墙本身时,目的安全区域是Local区域。这样既可以使每个接口下的其他设备能够访问防火墙自身,也能更明确Local区域和各个安全区域的域间关系,可谓一举两得。
现在我们就可以把经过防火墙的流量和防火墙本身的流量都标识出来了,前面介绍过,不同的网络受信任的程度不同,在防火墙上用安全区域来表示网络后,怎么来判断一个安全区域的受信任程度呢?在华为防火墙上,每个安全区域都有一个唯一的安全级别,用1~100的数字表示,数字越大,则代表该区域内的网络越可信。对于默认的安全区域,它们的安全级别是固定的:Local区域的安全级别是100,Trust区域的安全级别是85,DMZ区域的安全级别是50,Untrust区域的安全级别是5。
级别确定之后,安全区域就被分成了三六九等,高低有别。报文在两个安全区域之间流动时,我们规定:报文从低级别的安全区域向高级别的安全区域流动时为入方向(Inbound),报文从由高级别的安全区域向低级别的安全区域流动时为出方向(Outbound)。报文在两个方向上流动时,将会触发不同的安全检查。下图标明了Local区域、Trust区域、DMZ区域和Untrust区域间的方向。
通过安全区域,防火墙上划分出了等级森严、关系明确的网络,防火墙成为连接各个网络的节点。以此为基础,防火墙就可以对各个网络之间流动的报文进行安全检查和实施管控策略。
下面给出了防火墙部署在企业内部的真实环境组网图。从图中我们可以看出,企业内部网络中的用户、服务器,以及位于外部的Internet,都被划分到不同的安全区域中了,防火墙对各个安全区域之间流动的报文进行安全检查。
上面我们花了很大的篇幅来介绍安全区域,主要目的还是要说明安全区域的重要性。希望通过强叔的介绍,可以让大家了解安全区域的作用,掌握安全区域之间的关系,为后面进一步学习防火墙知识打好基础。
1:默认情况下,报文在不同的安全区域之间流动时,才会触发安全检查,在同一个安全区域中流动时,不会触发安全检查。同时,华为的防火墙也支持对同一个安全区域内经过防火墙的流量进行安全检查,更加灵活实用。
2:DMZ(Demilitarized Zone)起源于军方,是介于严格的军事管制区和松散的公共区域之间的一种部分管制的区域。防火墙引用了这一术语,指代一个与内部网络和外部网络分离的安全区域。
强叔提问:
如下图所示,安全区域的名称和级别都已经注明,请问A、B、C之间互访时报文流动的路线(包括方向)是什么样的呢?
强叔先给出一个例子:A访问B时的路线是Trust区域到Untrust区域的Outbound方向。
