返回
H3C防火墙配置

H3C防火墙配置

ID:45741511

大小:154.00 KB

页数:8页

时间:2019-11-17

H3C防火墙配置_第1页
H3C防火墙配置_第2页
H3C防火墙配置_第3页
H3C防火墙配置_第4页
H3C防火墙配置_第5页
资源描述:

《H3C防火墙配置》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、......word......专业资料、精品文档安全区域2.1.1安全区域的概念   安全区域(zone)是防火墙产品所引入的一个安全概念,是防火墙产品区别于路由器的主要特征。   对于路由器,各个接口所连接的网络在安全上可以视为是平等的,没有明显的内外之分,所以即使进行一定程度的安全检查,也是在接口上完成的。这样,一个数据流单方向通过路由器时有可能需要进行两次安全规则的检查(入接口的安全检查和出接口的安全检查),以便使其符合每个接口上独立的安全定义。而这种思路对于防火墙来说不很适合,因为防火墙所

2、承担的责任是保护内部网络不受外部网络上非法行为的侵害,因而有着明确的内外之分。   当一个数据流通过secpath防火墙设备的时候,根据其发起方向的不同,所引起的操作是截然不同的。由于这种安全级别上的差别,再采用在接口上检查安全策略的方式已经不适用,将造成用户在配置上的混乱。因此,secpath防火墙提出了安全区域的概念。   一个安全区域包括一个或多个接口的组合,具有一个安全级别。在设备内部,安全级别通过0~100的数字来表示,数字越大表示安全级别越高,不存在两个具有相同安全级别的区域。只有当数据

3、在分属于两个不同安全级别的区域(或区域包含的接口)之间流动的时候,才会激活防火墙的安全规则检查功能。数据在属于同一个安全区域的不同接口间流动时不会引起任何检查。   2.1.2secpath防火墙上的安全区域   1.安全区域的划分   secpath防火墙上保留四个安全区域:   1非受信区(untrust):低级的安全区域,其安全优先级为5。   2非军事化区(dmz):中度级别的安全区域,其安全优先级为50。   3受信区(trust):较高级别的安全区域,其安全优先级为85。   4本地区域

4、(local):最高级别的安全区域,其安全优先级为100。   此外,如认为有必要,用户还可以自行设置新的安全区域并定义其安全优先级别。   dmz(demilitarizedzone,非军事化区)这一术语起源于军方,指的是介于严格的军事管制区和松散的公共区域之间的一种有着部分管制的区域。防火墙引用了这一术语,指代一个逻辑上和物理上都与内部网络和外部网络分离的区域。通常部署网络时,将那些需要被公共访问的设备(例如,wwwserver、ftpserver等)放置于此。   因为将这些服务器放置于外部网

5、络则它们的安全性无法保障;放置于内部网络,外部恶意用户则有可能利用某些服务的安全漏洞攻击内部网络。因此,dmz区域的出现很好地解决了这些服务器的放置问题。......供学习、参考、下载、分享......word......专业资料、精品文档   2.接口、网络与安全区域的关系   除了local区域以外,在使用其他所有安全区域时,需要将安全区域分别与防火墙的特定接口相关联,即将接口加入到区域。   系统不允许两个安全区域具有相同的安全级别;并且同一接口不可以分属于两个不同的安全区域。   安全区域与

6、各网络的关联遵循下面的原则:   1内部网络应安排在安全级别较高的区域   2外部网络应安排在安全级别最低的区域   3一些可对外部提供有条件服务的网络应安排在安全级别中等的dmz区   具体来说,trust所属接口用于连接用户要保护的网络;untrust所属接口连接外部网络;dmz区所属接口连接用户向外部提供服务的部分网络;从防火墙设备本身发起的连接即是从local区域发起的连接。相应的所有对防火墙设备本身的访问都属于向local区域发起访问连接。区域之间的关系如下图所示:      3.入方向与

7、出方向   不同级别的安全区域间的数据流动都将激发防火墙进行安全策略的检查,并且可以为不同流动方向设置不同的安全策略。域间的数据流分两个方向:......供学习、参考、下载、分享......word......专业资料、精品文档   1入方向(inbound):数据由低级别的安全区域向高级别的安全区域传输的方向;   2出方向(outbound):数据由高级别的安全区域向低级别的安全区域传输的方向。   在secpath防火墙上,判断数据传输是出方向还是入方向,总是相对高安全级别的一侧而言。根据上图

8、所示,可以得到如下结论:   1从dmz区到untrust区域的数据流为出方向,反之为入方向;   2从trust区域到dmz区的数据流为出方向,反之为入方向;   3从trust区域到untrust区域的数据流为出方向,反之为入方向。   路由器上数据流动方向的判定是以接口为主:由接口发送的数据方向称为出方向;由接口接收的数据方向称为入方向。这也是路由器有别于防火墙的重要特征。   在防火墙中,当报文从高优先级区域向低优先级区域发起连接时,即从trust区域向unt

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。