华为防火墙工作模式及安全区域划分
一、防火墙工作模式?
华为防火墙具有三种工作模式:路由模式、透明模式、混合模式。
1.路由模式
如果华为防火墙连接网络的接口配置IP地址,则防火墙工作在透明模式下。
2.透明模式
如果防火墙物理接口工作在二层,则防火墙工作在透明模式下。
3.引入库
华为防火墙存在工作在路由模式的接口(接口具有IP地址),又存在工作在透明模式的接口(接口无IP地址),则防火墙工作在混合模式下。
二、防火墙安全区域
防火墙通过安全区域来划分网络,并基于这些控制区域间报文传递。当数据报文在不同的安全区域传输是,将会触发安全策略检查。
防火墙靠优先级来评定一个区域的安全等级,优先级越高表明区域越安全(1-100),优先级不可以重复使用,同安全等级的区域内通信默认不进行安全检查,不同安全等级的区域间通信默认拒绝所有,需要通过安全策略放行通信。
涉及登录防火墙本地的协议,不能通过安全策略来完成,必须在接口放行。
1.Trust区域:
可靠,可信区域,主要用于连接公司内部网络,优先级为85,安全等级较高
2.读入数据
Dmz区域:非军事化区域,一般将服务器放置该区域,用于对外提供服务。其安全性介于Trust和Untrust区域之间,优先级为50
3. Untrust区域:
通常定义外部网络,优先级为5,安全级别很低。一般把internet等不安全网络划入Untrust区域。
4. Local区域:
通常定义防火墙本身,优先级为100。
一个区域可以划分多个接口,一个接口只能属于一个区域,系统安全区域不可删除,不可更改,新建安全区域可删可改。
创建区域,添加接口
[USG6000V1] firewall zone trust // 选择安全区域
[USG6000V1-zone-trust] add interface GE0/0/0// 添加到安全区域
[USG6000V1] firewall zone name telnet //进入已有区域不加name
[USG6000V1-zone-telnet]set priority 10//设置优先级
设置安全策略
[USG6000V1]security-policy //安全策略
[USG6000V1-policy-security]rule name rule1 //设置安全区域的名字为:rulel
[USG6000V1-policy-security-rule-rule1]source-zone trust //如果是域内策略,则为源端口
[USG6000V1-policy-security-rule-rule1]destination-zone untrust //如果域内策略,为目的端
[USG6000V1-policy-security-rule-rule1]source-address 192.168.1.132[USG6000V1-policy-security-rule-rule1]action deny //不允许放行
[USG6000V1-policy-security-rule-rule1]action permit //允许放行
[USG6000V1-policy-security-rule-rule1]action icmp //允许ping通
查询命令
[USG6000V1] display security-policy rule ll //显示所有安全策略顺序
[FW1] display ip interface brief // 查默认接口信息
[FW1] display zone // 显示防火墙区域
[FW1] display firewall session table // 显示当前会话
[FW1] display security-policy rule all// 显示安全策略
防火墙的Indound和Outbound
入方向(Indound):
数据由低级别的安全区域向高级别的安全区域传输的方向。需要进行严谨的防护
出方向(Outbound)
数据由高级别的安全区域向低级别的安全区域传输的方向。防护行为适当即可
版权归原作者 旭日东升&刘旭东 所有, 如有侵权,请联系我们删除。