文章目录
一、DMZ是什么?
二、防火墙
1.防火墙的一些基本知识
2.防火墙的优先级
总结
一、DMZ是什么?
DMZ(非军事区)=Untrust(非信任区),国内俗称的停火区,与军事区和信任区相对应。
非信任区,作用是把WEB,e-mail,等允许外部访问的服务器单独接在该区端口,使整个需要保护的内部网络接在信任区端口后,不允许任何访问,实现内外网分离,达到用户需求
在防火墙的概念中,停火区相当于一个既不属于内部网络,也不属于外部网络的一个相对独立的网段。一般而言,停火区处于内部网络与外部网络之间。
为什么须要DMZ:在实际的运用中,某些主机需要对外提供服务,为了更好地提供优质的服务,并同时又要有效地保护内部网络的安全,将这些需要对外开放的主机与内部的众多网络设备分隔开来,根据不同的需要,有针对性地采取相应的防火措施,这样便能在对外提供友好的服务的同时最大限度地保护了内部网络。
二、防火墙
1.防火墙的一些基本知识
1、防火墙主要实现内部信任网络与公共不可信任的网络隔离,进行访问控制。【关键词:区域隔离、访问控制】
2、防火墙主要可以串行部署(主流),也可以旁路部署。串行部署可以检测所有通过防火墙的流量,旁路部署只能检测通过策略路由等方式引流通过防火墙的流量。需要区别IDS和IPS,IDS旁路部署,只能检测安全威胁,不能阻断攻击。IPS串行部署,既可以检测安全威胁,也可以阻断攻击。
2.防火墙的优先级
4、防火墙区域与优先级
(1)华为防火墙默认有四个安全域:Trust、Untrust、DMZ和Local,即信任区域、非信任区域、非军事化区域和本地区域。
- 信任区域:用于连接内部网络
- 非信任区域:用于连接Internet互联网
- DMZ区域:用于连接对外提供访问的服务器
- Local区域:指防火墙自身
区域 | 安全 | 优先级 |
非受信区(Untrust) | 低级的安全区域 | 5 |
非军事化区(DMZ) | 中度级别的安全区域 | 50 |
受信区(Trust) | 较高级别的安全区域 | 85 |
本地区域(Local) | 最高级别的安全区域 (防火墙本身) | 100 |
优先级越大越优先
总结
注意如下几点:
① local、trust、DMZ、untrust这四个是系统自带不能删除,除了这四个域之外,还可以自定义域。
② 安全域等级Local>Trust>DMZ>Untrust,自定义的域的优先级是可以自己调节的。
③ 域与域之间如果不做策略默认是deny,即任何数据如果不做策略是通不过的,如果是在同一区域的就相当于二层交换机一样直接转发。
④ 优先级低的域向优先级高的域方向就是inbound,反之就是outbound。
