安全域相关介绍
- 安全域(Security Zone),用于管理防火墙设备上安全需求的一些接口。
管理员将安全需求相同的接口进行分类,并划分到不同安全域,从而实现安全策略的统一管理。 - 防火墙出厂的确省安全域
H3C防火墙出厂存在的确省安全域:Local 、DMZ、Trust、Untrust、Management。
缺省安全域不可删除,且域中没有端口。
[H3C]security-zone name ?
STRING<1-31> Security zone name
Local
Trust
DMZ
Untrust
Management- 安全域说明及安全等级
Trust(信任) 安全等级是85,一般连接是连接内网的端口。
Untrust(非信任) 安全等级是5,一般用于连接外网的端口。
DMZ(Demilitarized Zone,隔离区或非军事区) 安全等级是50,一般为连接服务器的端口。
Local(本地) 安全等级为100,指的是防火墙的哥哥各个端口,用户不可改变Local区域本身的任何配置,包括向其添加接口。
Management(管理) 安全等级是100,指的是通过Telnet、http或https等方式管理防火墙的端口。 - 安全域接口下的报文转发规则
i. 一个安全域中的接口与一个不属于任何安全域的接口之间的报文,将被丢弃。
ii. 属于同一个安全域的各接口之间的报文缺省会被丢弃。
iii. 安全域之间的报文由安全控制策略进行安全检查,并根据检查结果放行或丢弃。如若安全策略不存在或不生效,则报文被丢弃。
iiii.非安全域的接口之间的报文被丢弃。
iiiii.目的地址或源地址为本机的地址,缺省会被丢弃;如若该报文匹配安全策略,则根据策略判断丢弃或放行。
实验拓扑
实验要求
- 搭建如图拓扑,并连接。
- 配置相关IP地址。
interface GigabitEthernet1/0/0 //配置相关IP
ip address 192.168.56.2 255.255.255.0- 创建安全域,将GE_0/0端口配置为Management端口。
security-zone name management //创建Management安全域
import interface g1/0/1 //域中添加接口- 创建ACL作为安全策略检测
acl basic 2000 //创建ACL,抓取相关数据流
rule permit source 192.168.56.0 0.0.0.255- 配置Management到Local安全域之间的域间实例
zone-pair security source Management destination Local //创建域间实例
packet-filter 2000 //绑定ACL- 配置Telnet、http协议。
telnet server enable
ip http enable
ip https enable //全部默认开启
local-user admin class manage //用户admin为默认配置
password hash $h$6$UbIhNnPevy //密码为admin
service-type telnet terminal http //服务类型默认为Telnet、http
authorization-attribute user-role level-3
authorization-attribute user-role network-admin
authorization-attribute user-role network-operator实验效果
- 在物理机上测试Telnet登陆,用户名与密码均为admin。
2. web http页面登陆,用户名密码均为admin。
- web https登陆
local-user admin class manage
service-type https //增加服务类型https
本文章为转载内容,我们尊重原作者对文章享有的著作权。如有内容错误或侵权问题,欢迎原作者联系我们进行内容更正或删除文章。
