前言
前面我们讲解了什么是防火墙,18图详解防火墙和路由器、交换机的区别,今天继续介绍下防火墙的基本原理,主要从安全区域、安全策略、会话表、server-map四个方面说起。
安全区域
1、什么是安全区域
安全区域是防火墙中重要的概念,防火墙可以将不同的接口划分到不同的安全区域。
一个安全区域可以说就是若干个接口的集合,一个安全区域里面的接口具有相同的安全属性。
如下图所示:防火墙把不同的接口分成3个安全区域,出口区为untrust区域,内网区分为trust区和DMZ区;
2、默认安全区域
华为防火墙划分了4个默认的安全区域:
(1)受信区域(trust):通过将内网终端用户所在区域划分为trust区域;
(2)非受信区域(untrust):通常将Internet等不安全的网络划分为untrust区域;
(3)非军事化区域(dmz):通常将内网服务器所在区域划分为DMZ区域;
(4)本地区域(local):设备本身,包括设备的各接口本身;
3、默认安全区域优先级
默认的安全区域不能够删除,每个安全区域都设置了固定的优先级。优先级值越大,表示优先级越高。
用户也可以根据自己的需求创建安全区域;
4、不同安全区域间通信举例
如上图所示:
PC连接防火墙的G0/0/1口,防火墙将G0/0/1口划分在trust区域;
运营商网络连接防火墙的G0/0/2口,防火墙将G0/0/2划分在untrust区域;
那么如果PC需要访问internet是否能够通过防火墙呢?这个就和防火墙的安全策略有关。下面我们就来讲下安全策略。
安全策略
1、什么是安全策略
安全策略是防火墙中对流量转发、以及对流量中的内容进行安全一体化检测的策略。
当防火墙收到流量后,会对流量的属性(包括五元组、用户、时间段等)进行识别,从而和安全策略进行匹配,如果能够匹配上,则执行相应的动作。
如上图所示:PC访问internet,匹配到防火墙安全策略,动作为permit,因此流量可以通过防火墙。如果动作为deny,则流量不能够通过防火墙。
2、安全策略组成
安全策略由匹配条件、动作、安全配置文件组成。
(1)匹配条件:
匹配条件包括五元组(源地址、目的地址、源端口、目的端口、协议)、VLAN、源安全区域、目的安全区域、用户、时间段等
(2)动作:
动作包括允许和禁止。
如果动作为“允许”:
