H3C防火墙配置
更新时间:2024-02-03 08:58:01 阅读量: 教育文库 文档下载
安全区域
2.1.1 安全区域的概念
安全区域(zone)是防火墙产品所引入的一个安全概念,是防火墙产品区别于路由器的主要特征。
对于路由器,各个接口所连接的网络在安全上可以视为是平等的,没有明显的内外之分,所以即使进行一定程度的安全检查,也是在接口上完成的。这样,一个数据流单方向通过路由器时有可能需要进行两次安全规则的检查(入接口的安全检查和出接口的安全检查),以便使其符合每个接口上独立的安全定义。而这种思路对于防火墙来说不很适合,因为防火墙所承担的责任是保护内部网络不受外部网络上非法行为的侵害,因而有着明确的内外之分。
当一个数据流通过secpath防火墙设备的时候,根据其发起方向的不同,所引起的操作是截然不同的。由于这种安全级别上的差别,再采用在接口上检查安全策略的方式已经不适用,将造成用户在配置上的混乱。因此,secpath防火墙提出了安全区域的概念。
一个安全区域包括一个或多个接口的组合,具有一个安全级别。在设备内部,安全级别通过0~100的数字来表示,数字越大表示安全级别越高,不存在两个具有相同安全级别的区域。只有当数据在分属于两个不同安全级别的区域(或区域包含的接口)之间流动的时候,才会激活防火墙的安全规则检查功能。数据在属于同一个安全区域的不同接口间流动时不会引起任何检查。
2.1.2 secpath防火墙上的安全区域
1. 安全区域的划分
secpath防火墙上保留四个安全区域:
1 非受信区(untrust):低级的安全区域,其安全优先级为5。
2 非军事化区(dmz):中度级别的安全区域,其安全优先级为50。
3 受信区(trust):较高级别的安全区域,其安全优先级为85。
4 本地区域(local):最高级别的安全区域,其安全优先级为100。
此外,如认为有必要,用户还可以自行设置新的安全区域并定义其安全优先级别。
dmz(de militarized zone,非军事化区)这一术语起源于军方,指的是介于严格的军事管制区和松散的公共区域之间的一种有着部分管制的区域。防火墙引用了这一术语,指代一个逻辑上和物理上都与内部网络和外部网络分离的区域。通常部署网络时,将那些需要被公共访问的设备(例如,www server、ftp server等)放置于此。
因为将这些服务器放置于外部网络则它们的安全性无法保障;放置于内部网络,外部恶意用户则有可能利用某些服务的安全漏洞攻击内部网络。因此,dmz区域的出现很好地解决了这些服务器的放置问题。
2. 接口、网络与安全区域的关系
除了local区域以外,在使用其他所有安全区域时,需要将安全区域分别与防火墙的特定接口相关联,即将接口加入到区域。
系统不允许两个安全区域具有相同的安全级别;并且同一接口不可以分属于两个不同的安全区域。
安全区域与各网络的关联遵循下面的原则:
1 内部网络应安排在安全级别较高的区域
2 外部网络应安排在安全级别最低的区域
3 一些可对外部提供有条件服务的网络应安排在安全级别中等的dmz区
具体来说,trust所属接口用于连接用户要保护的网络;untrust所属接口连接外部网络;dmz区所属接口连接用户向外部提供服务的部分网络;从防火墙设备本身发起的连接即是从local区域发起的连接。相应的所有对防火墙设备本身的访问都属于向local区域发起访问连接。区域之间的关系如下图所示:
3. 入方向与出方向
不同级别的安全区域间的数据流动都将激发防火墙进行安全策略的检查,并且可以为不同流动方向设置不同的安全策略。域间的数据流分两个方向:
1 入方向(inbound):数据由低级别的安全区域向高级别的安全区域传输的方向;
2 出方向(outbound):数据由高级别的安全区域向低级别的安全区域传输的方向。
在secpath防火墙上,判断数据传输是出方向还是入方向,总是相对高安全级别的一侧而言。根据上图所示,可以得到如下结论:
1 从dmz区到untrust区域的数据流为出方向,反之为入方向;
2 从trust区域到dmz区的数据流为出方向,反之为入方向;
3 从trust区域到untrust区域的数据流为出方向,反之为入方向。
路由器上数据流动方向的判定是以接口为主:由接口发送的数据方向称为出方向;由接口接收的数据方向称为入方向。这也是路由器有别于防火墙的重要特征。
在防火墙中,当报文从高优先级区域向低优先级区域发起连接时,即从trust区域向untrust区域和dmz区发起数据连接,或dmz区域向untrust区域发起连接时,必须明确配置缺省过滤规则。
由防火墙本地(local区域)发起或终止的报文不进行状态检测,这类报文的过滤由包过滤机制来完成。
2.1.3 安全区域的配置
安全区域的配置包括:
创建安全区域并进入安全区域视图
配置安全区域的安全优先级
配置安全区域的隶属接口
进入域间视图
1. 创建安全区域并进入安全区域视图
系统缺省保留四个安全区域:本地区域(local)、受信区域(trust)、非军事化区(dmz)和非受信区域(untrust),这四个区域无需创建也不能删除。
创建新的安全区域时,需要使用name关键字;进入保留的或已建立的安全区域视图时则不需要使用该关键字。
请在系统视图下进行下列配置。
缺省情况下,系统预定义了四个安全区域,即local、trust、dmz和untrust区域。系统最大支持16个安全区域(包括四个保留的区域)。
2. 配置安全区域的安全优先级
只能为用户自己创建的安全区域才能配置安全优先级。系统保留四个安全区域本地区域(local)、受信区域(trust)、非军事化区(dmz)和非受信区域(untrust)的安全优先级分别是100、85、50和5,优先级不可以重新配置。同一系统中,两个安全区域不允许配置相同的安全优先级。
请在安全区域视图下进行下列配置。
缺省情况下,用户自定义的安全区域优先级为0。安全区域优先级一旦设定后,不允许再更改。
3. 配置安全区域的隶属接口
除了local区域以外,使用其他所有安全区域时需要将安全区域分别与防火墙的特定接口相关联,即需要将接口加入到区域。该接口既可以是物理接口,也可以是逻辑接口。可多次使用该命令为安全区域指定多个接口,一个安全区域能够支持的最大接口数量为1024。
请在安全区域视图下进行下列配置。
缺省情况下,安全区域中不包含任何接口,所有隶属关系都需要通过该add interface命令手工配置。
4. 进入域间视图
当数据流在安全区域之间流动时,才会激发secpath防火墙进行安全策略的检查,即secpath防火墙的安全策略实施都是基于域间(例如untrust区域和trust区域之间)的,不同的区域之间可以设置不同的安全策略(例如包过滤策略、状态过滤策略等等)。因此,为了在区域间设置不同的安全策略,第一步就是要进入域间视图。
进入域间视图后的安全策略的设置将在后文的各章中逐一介绍。
请在系统视图下进行下列配置。
2.1.4 安全区域的显示与调试
在完成上述配置后,在所有视图下执行display命令可以显示安全区域的配置情况,通过查看显示信息验证配置的效果。
正在阅读:
H3C防火墙配置02-03
20句最IN英文流行语05-20
调查报告范文3000字12-25
关于人生哲理的格言摘抄11-20
五年级上教科版品社教学计划04-23
辽宁省鞍山市2019-2020学年九年级上学期期末英语试题(含答案解析)06-04
XXX水库除险加固工程主体工程投使验收(施工单位报告)05-05
汽车电器半期考试复习05-18
党课讲话材料(修改)04-15
钢筋实际用量台账明细08-25
- exercise2
- 铅锌矿详查地质设计 - 图文
- 厨余垃圾、餐厨垃圾堆肥系统设计方案
- 陈明珠开题报告
- 化工原理精选例题
- 政府形象宣传册营销案例
- 小学一至三年级语文阅读专项练习题
- 2014.民诉 期末考试 复习题
- 巅峰智业 - 做好顶层设计对建设城市的重要意义
- (三起)冀教版三年级英语上册Unit4 Lesson24练习题及答案
- 2017年实心轮胎现状及发展趋势分析(目录)
- 基于GIS的农用地定级技术研究定稿
- 2017-2022年中国医疗保健市场调查与市场前景预测报告(目录) - 图文
- 作业
- OFDM技术仿真(MATLAB代码) - 图文
- Android工程师笔试题及答案
- 生命密码联合密码
- 空间地上权若干法律问题探究
- 江苏学业水平测试《机械基础》模拟试题
- 选课走班实施方案
- 防火墙
- 配置
- H3C
- 大方县国民经济和社会发展
- 大自然的语言
- 汽车制造工艺期末备考资料
- 教科版小学科学六年级上册《桥的形状和结构》教学实录
- 新视野大学英语(第二版)快速阅读
- 高中生物生物技术在食品加工中的应用第6课时泡菜的腌制和亚硝酸盐的测定同步备课教学案浙科版选修一
- 消防工作的“三懂二会”的要求
- 曲线运动、运动的合成与分解全方位总结
- 传染病复习试题
- 课本实验指导书
- 商品房买卖合同补充协议范本-筑房网
- win7系统administrator用户提示没有管理员权限,造装驱动安装错误,软件无法使用
- 大学生旅游产品需求市场调查报告
- 《金属加工与实训》期中试题
- 澳洲墨尔本大学预科
- 肾内科护理知识试题集2016版
- 胶带大巷施工组织设计 - 图文
- MyPower 交换机操作手册 - 09 - 安全功能操作
- 生活会前谈心谈话提纲(100条)及谈话主要内容记录(16份)
- 二甲等级评审医务科相关条款 - 图文