安全区域2.1.1安全区域的概念安全区域(zone)是防火墙产品所引入的一个安全概念,是防火墙产品区别于路由器的主要特征。对于路由器,各个接口所连接的网络在安全上可以视为是平等的,没有明显的内外之分,所以即使进行一定程度的安全检查,也是在接口上完成的。这样,一个数据流单方向通过路由器时有可能需要进行两次安全规则的检查(入接口的安全检查和出接口的安全检查),以便使其符合每个接口上独立的安全定义。而这种思路对于防火墙来说不很适合,因为防火墙所承担的责任是保护内部网络不受外部网络上非法行为的侵害,因而有着明确的内外之分。当一个数据流通过secpath防火墙设备的时候,根据其发起方向的不同,所引起的操作是截然不同的。由于这种安全级别上的差别,再采用在接口上检查安全策略的方式已经不适用,将造成用户在配置上的混乱。因此,secpath防火墙提出了安全区域的概念。一个安全区域包括一个或多个接口的组合,具有一个安全级别。在设备内部,安全级别通过0~100的数字来表示,数字越大表示安全级别越高,不存在两个具有相同安全级别的区域。只有当数据在分属于两个不同安全级别的区域(或区域包含的接口)之间流动的时候,才会激活防火墙的安全规则检查功能。数据在属于同一个安全区域的不同接口间流动时不会引起任何检查。2.1.2secpath防火墙上的安全区域1.安全区域的划分secpath防火墙上保留四个安全区域:1非受信区(untrust):低级的安全区域,其安全优先级为5。2非军事化区(dmz):中度级别的安全区域,其安全优先级为50。3受信区(trust):较高级别的安全区域,其安全优先级为85。4本地区域(local):最高级别的安全区域,其安全优先级为100。此外,如认为有必要,用户还可以自行设置新的安全区域并定义其安全优先级别。dmz(demilitarizedzone,非军事化区)这一术语起源于军方,指的是介于严格的军事管制区和松散的公共区域之间的一种有着部分管制的区域。防火墙引用了这一术语,指代一个逻辑上和物理上都与内部网络和外部网络分离的区域。通常部署网络时,将那些需要被公共访问的设备(例如,、ftpserver等)放置于此。因为将这些服务器放置于外部网络则它们的安全性无法保障;放置于内部网络,外部恶意用户则有可能利用某些服务的安全漏洞攻击内部网络。因此,dmz区域的出现很好地解决了这些服务器的放置问题。2.接口、网络与安全区域的关系除了local区域以外,在使用其他所有安全区域时,需要将安全区域分别与防火墙的特定接口相关联,即将接口加入到区域。系统不允许两个安全区域具有相同的安全级别;并且同一接口不可以分属于两个不同的安全区域。安全区域与各网络的关联遵循下面的原则:1内部网络应安排在安全级别较高的区域2外部网络应安排在安全级别最低的区域3一些可对外部提供有条件服务的网络应安排在安全级别中等的dmz区具体来说,trust所属接口用于连接用户要保护的网络;untrust所属接口连接外部网络;dmz区所属接口连接用户向外部提供服务的部分网络;从防火墙设备本身发起的连接即是从local区域发起的连接。相应的所有对防火墙设备本身的访问都属于向local区域发起访问连接。区域之间的关系如下图所示:3.入方向与出方向不同级别的安全区域间的数据流动都将激发防火墙进行安全策略的检查,并且可以为不同流动方向设置不同的安全策略。域间的数据流分两个方向:1入方向(inbound):数据由低级别的安全区域向高级别的安全区域传输的方向;2出方向(outbound):数据由高级别的安全区域向低级别的安全区域传输的方向。在secpath防火墙上,判断数据传输是出方向还是入方向,总是相对高安全级别的一侧而言。根据上图所示,可以得到如下结论:1从dmz区到untrust区域的数据流为出方向,反之为入方向;2从trust区域到dmz区的数据流为出方向,反之为入方向;3从trust区域到untrust区域的数据流为出方向,反之为入方向。路由器上数据流动方向的判定是以接口为主:由接口发送的数据方向称为出方向;由接口接收的数据方向称为入方向。这也是路由器有别于防火墙的重要特征。在防火墙中,当报文从高优先级区域向低优先级区域发起连接时,即从trust区域向untrust区域和dmz区发起数据连接,或dmz区域向untrust区域发起连接时,必须明确配置缺省过滤规则。由防火墙本地(local区域)发起或终止的报文不进行状态检测,这类报文的过滤由包过滤机制来完成。2.1.3安全区域的配置安全区域的配置包括:创建安全区域并进入安全区域视图配置安全区域的安全优先级配置安全区域的隶属接口进入域间视图1.创建安全区域并进入安全区域视图系统缺省保留四个安全区域:本地区域(local)、受信区域(trust)、非军事化区(dmz)和非受信区域(untrust),这四个区域无需创建也不能删除。创建新的安全区域时,需要使用name关键字;进入保留的或已建立的安全区域视图时则不需要使用该关键字。请在系统视图下进行下列配置。缺省情况下,系统预定义了四个安全区域,即local、trust、dmz和untrust区域。系统最大支持16个安全区域(包括四个保留的区域)。2.配置安全区域的安全优先级只能为用户自己创建的安全区域才能配置安全优先级。系统保留四个安全区域本地区域(local)、受信区域(trust)、非军事化区(dmz)和非受信区域(untrust)的安全优先级分别是100、85、50和5,优先级不可以重新配置。同一系统中,两个安全区域不允许配置相同的安全优先级。请在安全区域视图下进行下列配置。缺省情况下,用户自定义的安全区域优先级为0。安全区域优先级一旦设定后,不允许再更改。3.配置安全区域的隶属接口除了local区域以外,使用其他所有安全区域时需要将安全区域分别与防火墙的特定接口相关联,即需要将接口加入到区域。该接口既可以是物理接口,也可以是逻辑接口。可多次使用该命令为安全区域指定多个接口,一个安全区域能够支持的最大接口数量为1024。请在安全区域视图下进行下列配置。缺省情况下,安全区域中不包含任何接口,所有隶属关系都需要通过该addinterface命令手工配置。4.进入域间视图当数据流在安全区域之间流动时,才会激发secpath防火墙进行安全策略的检查,即secpath防火墙的安全策略实施都是基于域间(例如untrust区域和trust区域之间)的,不同的区域之间可以设置不同的安全策略(例如包过滤策略、状态过滤策略等等)。因此,为了在区域间设置不同的安全策略,第一步就是要进入域间视图。进入域间视图后的安全策略的设置将在后文的各章中逐一介绍。请在系统视图下进行下列配置。2.1.4安全区域的显示与调试在完成上述配置后,在所有视图下执行display命令可以显示安全区域的配置情况,通过查看显示信息验证配置的效果。2.1.5安全区域的典型配置举例1.组网需求某公司以secpath防火墙作为网络边防设备,设置三个安全区域:公司内部网络部署在trust区域,secpath防火墙的以太网口ethernet0/0/0与之相连;公司对外提供服务的、ftpserver等部署在dmz区,secpath防火墙的以太网口ethernet1/0/0与之相连;外部网络则属于untrust区域,由secpath防火墙的以太网口ethernet2/0/0连接。现需要对防火墙进行一些基本配置,以为后面的安全策略的设置做好准备。2.组网图3.配置步骤#配置防火墙接口ethernet0/0/0。[secpath]interfaceethernet0/0/0[secpath-ethernet0/0/0]ipaddress192.168.1.1255.255.255.0[secpath-ethernet0/0/0]quit#配置防火墙接口ethernet1/0/0。[secpath]interfaceethernet1/0/0[secpath-ethernet1/0/0]ipaddress202.1.0.1255.255.0.0[secpath-ethernet1/0/0]quit#配置防火墙接口ethernet2/0/0。[secpath]interfaceethernet2/0/0[secpath-ethernet2/0/0]ipaddress210.78.245.1255.255.255.0[secpath-ethernet2/0/0]quit#配置接口ethernet0/0/0加入防火墙trust区域。[secpath]firewallzonetrust[secpath-zone-trust]addinterfaceethernet0/0/0[secpath-zone-trust]quit#配置接口ethernet1/0/0加入防火墙dmz域。[secpath]firewallzonedmz[secpath-zone-dmz]addinterfaceethernet1/0/0[secpath-zone-dmz]quit#配置接口ethernet2/0/0加入防火墙untrust区域。[secpath]firewallzoneuntrust[secpath-zone-untrust]addinterfaceethernet2/0/0[secpath-zone-untrust]quit#进入域间视图(例如进入trust和untrust的域间视图)准备配置安全策略(注:安全策略的配置后文各章讲述,本处不进行举例)。[secpath]firewallinterzonetrustuntrust[secpath-interzone-trust-untrust]