H3C防火墙配置.doc

word安全区域2.1.1 安全区域的概念    安全区域zone是防火墙产品所引入的一个安全概念，是防火墙产品区别于路由器的主要特征。    对于路由器，各个接口所连接的网络在安全上可以视为是平等的，没有明显的内外之分，所以即使进展一定程度的安全检查，也是在接口上完成的。这样，一个数据流单方向通过路由器时有可能需要进展两次安全规如此的检查入接口的安全检查和出接口的安全检查，以便使其符合每个接口上独立的安全定义。而这种思路对于防火墙来说不很适合，因为防火墙所承当的责任是保护内部网络不受外部网络上非法行为的侵害，因而有着明确的内外之分。    当一个数据流通过secpath防火墙设备的时候，根据其发起方向的不同，所引起的操作是截然不同的。由于这种安全级别上的差异，再采用在接口上检查安全策略的方式已经不适用，将造成用户在配置上的混乱。因此，secpath防火墙提出了安全区域的概念。    一个安全区域包括一个或多个接口的组合，具有一个安全级别。在设备内部，安全级别通过0100的数字来表示，数字越大表示安全级别越高，不存在两个具有一样安全级别的区域。只有当数据在分属于两个不同安全级别的区域或区域包含的接口之间流动的时候，才会激活防火墙的安全规如此检查功能。数据在属于同一个安全区域的不同接口间流动时不会引起任何检查。    2.1.2 secpath防火墙上的安全区域    1. 安全区域的划分    secpath防火墙上保存四个安全区域：    1 非受信区untrust：低级的安全区域，其安全优先级为5。    2 非军事化区dmz：中度级别的安全区域，其安全优先级为50。    3 受信区trust：较高级别的安全区域，其安全优先级为85。    4 本地区域local：最高级别的安全区域，其安全优先级为100。    此外，如认为有必要，用户还可以自行设置新的安全区域并定义其安全优先级别。    dmzde militarized zone，非军事化区这一术语起源于军方，指的是介于严格的军事管制区和松散的公共区域之间的一种有着局部管制的区域。防火墙引用了这一术语，指代一个逻辑上和物理上都与内部网络和外部网络别离的区域。通常部署网络时，将那些需要被公共访问的设备例如， server、ftp server等放置于此。    因为将这些服务器放置于外部网络如此它们的安全性无法保障；放置于内部网络，外部恶意用户如此有可能利用某些服务的安全漏洞攻击内部网络。因此，dmz区域的出现很好地解决了这些服务器的放置问题。    2. 接口、网络与安全区域的关系    除了local区域以外，在使用其他所有安全区域时，需要将安全区域分别与防火墙的特定接口相关联，即将接口参加到区域。    系统不允许两个安全区域具有一样的安全级别；并且同一接口不可以分属于两个不同的安全区域。    安全区域与各网络的关联遵循下面的原如此：    1 内部网络应安排在安全级别较高的区域    2 外部网络应安排在安全级别最低的区域    3 一些可对外部提供有条件服务的网络应安排在安全级别中等的dmz区    具体来说，trust所属接口用于连接用户要保护的网络；untrust所属接口连接外部网络；dmz区所属接口连接用户向外部提供服务的局部网络；从防火墙设备本身发起的连接即是从local区域发起的连接。相应的所有对防火墙设备本身的访问都属于向local区域发起访问连接。区域之间的关系如如下图所示：       3. 入方向与出方向    不同级别的安全区域间的数据流动都将激发防火墙进展安全策略的检查，并且可以为不同流动方向设置不同的安全策略。域间的数据流分两个方向：    1 入方向inbound：数据由低级别的安全区域向高级别的安全区域传输的方向；    2 出方向outbound：数据由高级别的安全区域向低级别的安全区域传输的方向。    在secpath防火墙上，判断数据传输是出方向还是入方向，总是相对高安全级别的一侧而言。根据上图所示，可以得到如下结论：    1 从dmz区到untrust区域的数据流为出方向，反之为入方向；    2 从trust区域到dmz区的数据流为出方向，反之为入方向；    3 从trust区域到untrust区域的数据流为出方向，反之为入方向。    路由器上数据流动方向的判定是以接口为主：由接口发送的数据方向称为出方向；由接口接收的数据方向称为入方向。这也是路由器有别于防火墙的重要特征。    在防火墙中，当报文从高优先级区域向低优先级区域发起连接时，即从trust区域向untrust区域和dmz区发起数据连接，或dmz区域向untrust区域发起连接时，必须明确配置缺省过滤规如此。    由防火墙本地local区域发起或终止的报文不进展状态检测，这类报文的过滤由包过滤机制来完成。    2.1.3 安全区域的配置    安全区域的配置包括：    创建安全区域并进入安全区域视图    配置安全区域的安全优先级    配置安全区域的隶属接口    进入域间视图    1. 创建安全区域并进入安全区域视图    系统缺省保存四个安全区域：本地区域local、受信区域trust、非军事化区dmz和非受信区域untrust，这四个区域无需创建也不能删除。    创建新的安全区域时，需要使用name关键字；进入保存的或已建立的安全区域视图时如此不需要使用该关键字。    请在系统视图下进展如下配置。       缺省情况下，系统预定义了四个安全区域，即local、trust、dmz和untrust区域。系统最大支持16个安全区域包括四个保存的区域。    2. 配置安全区域的安全优先级    只能为用户自己创建的安全区域才能配置安全优先级。系统保存四个安全区域本地区域local、受信区域trust、非军事化区dmz和非受信区域untrust的安全优先级分别是100、85、50和5，优先级不可以重新配置。同一系统中，两个安全区域不允许配置一样的安全优先级。    请在安全区域视图下进展如下配置。       缺省情况下，用户自定义的安全区域优先级为0。安全区域优先级一旦设定后，不允许再更改。    3. 配置安全区域的隶属接口    除了local区域以外，使用其他所有安全区域时需要将安全区域分别与防火墙的特定接口相关联，即需要将接口参加到区域。该接口既可以是物理接口，也可以是逻辑接口。可屡次使用该命令为安全区域指定多个接口，一个安全区域能够支持的最大接口数量为1024。    请在安全区域视图下进展如下配置。       缺省情况下，安全区域中不包含任何接口，所有隶属关系都需要通过该add interface命令手工配置。    4. 进入域间视图    当数据流在安全区域之间流动时，才会激发secpath防火墙进展安全策略的检查，即secpath防火墙的安全策略实施都是基于域间例如untrust区域和trust区域之间的，不同的区域之间可以设置不同的安全策略例如包过滤策略、状态过滤策略等等。因此，为了在区域间设置不同的安全策略，第一步就是要进入域间视图。    进入域间视图后的安全策略的设置将在后文的各章中逐一介绍。    请在系统视图下进展如下配置。       2.1.4 安全区域的显示与调试    在完成上述配置后，在所有视图下执行display命令可以显示安全区域的配置情况，通过查看显示信息验证配置的效果。       2.1.5 安全区域的典型配置举例    1. 组网需求    某公司以secpath防火墙作为网络边防设备，设置三个安全区域：公司内部网络部署在trust区域，secpath防火墙的以太网口ethernet 0/0/0与之相连；公司对外提供服务的 server、ftp server等部署在dmz区，secpath防火墙的以太网口ethernet 1/0/0与之相连；外部网络如此属于untrust区域，由secpath防火墙的以太网口ethernet 2/0/0连接。    现需要对防火墙进展一些根本配置，以为后面的安全策略的设置做好准备。    2. 组网图       3. 配置步骤    # 配置防火墙接口ethernet 0/0/0。    secpath interface ethernet 0/0/0    secpath-ethernet0/0/0 ip address 192.168.1.1 255.255.255.0     secpath-ethernet0/0/0 quit    # 配置防火墙接口ethernet 1/0/0。    secpath interface ethernet 1/0/0    secpath-ethernet1/0/0 ip address 202.1.0.1 255.255.0.0     secpath-ethernet1/0/0 quit    # 配置防火墙接口ethernet 2/0/0。    secpath interface ethernet 2/0/0    secpath-ethernet2/0/0 ip address 210.78.245.1 255.255.255.0     secpath-ethernet2/0/0 quit    # 配置接口ethernet 0/0/0参加防火墙trust区域。    secpath firewall zone trust    secpath-zone-trust add interface ethernet 0/0/0    secpath-zone-trust quit    # 配置接口ethernet 1/0/0参加防火墙dmz域。    secpath firewall zone dmz    secpath-zone-dmz add interface ethernet 1/0/0    secpath-zone-dmz quit    # 配置接口ethernet2/0/0参加防火墙untrust区域。    secpath firewall zone untrust    secpath-zone-untrust add interface ethernet 2/0/0    secpath-zone-untrust quit    # 进入域间视图例如进入trust和untrust的域间视图准备配置安全策略注：安全策略的配置后文各章讲述，本处不进展举例。    secpath firewall interzone trust untrust    secpath-interzone-trust-untrust7 / 7