防火墻基本作用

對于剛接觸網(wǎng)絡(luò)防火墻的時(shí)候，我們可以把防火墻和我們實(shí)際建筑的防火墻想到一起，在商場或辦公區(qū)每隔一段就會(huì)有一個(gè)防火門，這個(gè)防火門的作用就是防止一個(gè)區(qū)域起火然后蔓延到另外一個(gè)區(qū)域。

當(dāng)然在網(wǎng)絡(luò)中，網(wǎng)絡(luò)防火墻的作用也是防止一個(gè)區(qū)域起火，這里的起火就是中病毒，當(dāng)一個(gè)區(qū)域中病毒之后，不會(huì)蔓延到另外一個(gè)區(qū)域。

那防火墻，在沒有起火的時(shí)候，人流可以正常穿越每個(gè)區(qū)域，當(dāng)起火的時(shí)候，這時(shí)防火墻降落，阻止人流和火蔓延。

在網(wǎng)絡(luò)中，人流就相當(dāng)于正常的上網(wǎng)流量，而火就相當(dāng)于病毒攻擊。防火墻也是這樣的，人流通過，就是正常的網(wǎng)絡(luò)上網(wǎng)流量可以正常通過，但是有病毒攻擊時(shí)，這時(shí)網(wǎng)絡(luò)防火墻不像實(shí)際的防火墻一樣，將網(wǎng)絡(luò)正常上網(wǎng)流量和病毒攻擊流量都阻止掉，而網(wǎng)絡(luò)防火墻可以將正常的上網(wǎng)流量放行，而是將病毒攻擊流量阻止。

什么是防火的區(qū)域？

因?yàn)槲覀儗?shí)際現(xiàn)實(shí)中防火墻，也是劃分區(qū)域的，所以在網(wǎng)絡(luò)中，也參考了實(shí)際現(xiàn)實(shí)中的防火墻，也需要將網(wǎng)絡(luò)劃分區(qū)域，英文名稱是Zone。

安全區(qū)域在網(wǎng)絡(luò)中，當(dāng)一個(gè)設(shè)備的一個(gè)或多個(gè)接口都加入到一個(gè)區(qū)域的集合。當(dāng)上網(wǎng)的流量在不同的區(qū)域流動(dòng)時(shí)，這時(shí)防火墻會(huì)就檢測不同區(qū)域之間流動(dòng)的網(wǎng)絡(luò)包，是否有病毒。默認(rèn)情況下，在同一個(gè)區(qū)域電腦設(shè)備之間的數(shù)據(jù)傳輸，不經(jīng)過防火墻檢測。

防火墻劃分區(qū)域是為了實(shí)現(xiàn)更精細(xì)化的網(wǎng)絡(luò)安全策略和訪問控制。通過劃分區(qū)域，可以將不同的網(wǎng)絡(luò)資源和用戶劃分到不同的安全域中，從而實(shí)現(xiàn)更細(xì)粒度的安全控制和隔離。

防火墻劃分區(qū)域的幾個(gè)主要原因：

1.分隔內(nèi)外網(wǎng)絡(luò)：防火墻通常用于隔離內(nèi)部網(wǎng)絡(luò)（如企業(yè)內(nèi)部網(wǎng)絡(luò)）和外部網(wǎng)絡(luò)（如互聯(lián)網(wǎng)）。通過劃分不同的區(qū)域，可以限制來自外部網(wǎng)絡(luò)的訪問和攻擊，保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。

2.實(shí)現(xiàn)安全域隔離：通過劃分不同的區(qū)域，可以將不同的網(wǎng)絡(luò)資源（如數(shù)據(jù)庫服務(wù)器、應(yīng)用服務(wù)器、用戶終端等）劃分到不同的安全域中。這樣可以限制不同安全級(jí)別的資源之間的訪問，減少潛在的攻擊面和安全風(fēng)險(xiǎn)。

3.精細(xì)控制訪問權(quán)限：防火墻區(qū)域劃分可以根據(jù)需求和安全策略，對不同的區(qū)域設(shè)置不同的訪問控制規(guī)則。例如，可以允許某個(gè)區(qū)域的用戶訪問特定的資源，而禁止其他區(qū)域的用戶訪問。這樣可以實(shí)現(xiàn)更精細(xì)化的權(quán)限控制和安全策略實(shí)施。

4.簡化管理和審計(jì)：通過劃分區(qū)域，可以將網(wǎng)絡(luò)劃分成更小的部分，簡化了防火墻的管理和配置。同時(shí)，針對不同的區(qū)域可以設(shè)置不同的日志和審計(jì)策略，便于對網(wǎng)絡(luò)流量和安全事件進(jìn)行監(jiān)控和審計(jì)。

通過把接口劃分到不同的安全區(qū)域中，就可以在防火墻上劃分出不同的網(wǎng)絡(luò)區(qū)域。

我們把接口1和接口2放到安全區(qū)域A中，接口3放到安全區(qū)域B中，接口4放到安全區(qū)域C中，這樣在防火墻上就存在了三個(gè)安全區(qū)域，對應(yīng)三個(gè)網(wǎng)絡(luò)。

基本上所有防火墻都默認(rèn)為指定了三個(gè)安全區(qū)域，Trust、DMZ、Untrust區(qū)域，那這三個(gè)區(qū)域都有什么作用呢？

Trust區(qū)域，該區(qū)域內(nèi)網(wǎng)絡(luò)的受信任程度高，通常用來定義內(nèi)部用戶所在的網(wǎng)絡(luò)。

DMZ區(qū)域，該區(qū)域內(nèi)網(wǎng)絡(luò)的受信任程度中等，通常用來定義內(nèi)部服務(wù)器所在的網(wǎng)絡(luò)。

Untrust區(qū)域，該區(qū)域代表的是不受信任的網(wǎng)絡(luò)，通常用來定義Internet等不安全的網(wǎng)絡(luò)。

如下圖所示，假設(shè)接口1和接口2連接的是內(nèi)部用戶，那我們就把這兩個(gè)接口劃分到Trust區(qū)域中；接口3連接內(nèi)部服務(wù)器，將它劃分到DMZ區(qū)域；接口4連接Internet，將它劃分到Untrust區(qū)域。

這時(shí)我們電腦如果在trust區(qū)域，去訪問外部的百度或者其它網(wǎng)站，這樣，電腦的數(shù)據(jù)就是從Trust區(qū)域到Untrust區(qū)域。假如公司有一臺(tái)共享NAS服務(wù)器，當(dāng)你在外地出差，想訪問公司的NAS服務(wù)器文件時(shí)，這時(shí)數(shù)據(jù)就是從Untrust區(qū)域訪問到Trust區(qū)域。

這時(shí)又出現(xiàn)一個(gè)問題，如果把NAS服務(wù)器放在Trust區(qū)域，這時(shí)當(dāng)你出差時(shí)從Untrust訪問trust區(qū)域時(shí)，是經(jīng)過防火墻的保護(hù)的。但是假如你出差電腦中毒了，然后回到公司，電腦又接入到Trust區(qū)域，這時(shí)電腦從Trust訪問在Trust區(qū)域的NAS服務(wù)器，這數(shù)據(jù)流量是不需要經(jīng)過防火墻檢測的。這時(shí)NAS服務(wù)器就很容易中毒。

所以DMZ區(qū)域就是專門設(shè)計(jì)出來，把公司的服務(wù)器都放在DMZ區(qū)域，無論Untrust區(qū)域訪問DMZ區(qū)域，或者Trust區(qū)域訪問DMZ區(qū)域的服務(wù)器，都需要經(jīng)過防火墻檢測。

當(dāng)然，除了不同區(qū)域之前的數(shù)據(jù)流量之外，還有一個(gè)可能性的存在，就是假如你電腦現(xiàn)在中毒了，這個(gè)制作病毒的人也很聰明，他這個(gè)病毒，當(dāng)你電腦訪問公司NAS服務(wù)器的時(shí)候，你是從Untrust區(qū)域訪問到DMZ區(qū)域，這時(shí)這個(gè)病毒肯定要經(jīng)過防火墻檢測。但現(xiàn)在這個(gè)病毒不攻擊你的NAS服務(wù)器，不訪問DMZ區(qū)域，我先攻擊你防火墻本身，把你防火墻本身攻破后，可以做任何修改。

假如你電腦現(xiàn)在中毒了，你電腦又是公司管理員，你要輸入防火墻用戶名和密碼進(jìn)行防火墻配置，這時(shí)如果沒有檢測也很危險(xiǎn)，那這時(shí)你的區(qū)域怎么劃分呢？無論你是在公司或者不在公司，數(shù)據(jù)是從trust到防火墻本身，或數(shù)據(jù)是從untrust到防火墻的本身，那這個(gè)流量怎么認(rèn)定呢？

這時(shí)就我們就把防火墻本身，防火墻自己劃分到Local區(qū)域，本地區(qū)域。你現(xiàn)在輸入IP地址，登錄到防火墻，防火墻給你回應(yīng)一個(gè)web界面。當(dāng)防火墻給你回應(yīng)的這個(gè)數(shù)據(jù)包，就是從防火墻本身Local區(qū)域發(fā)出來的，這個(gè)數(shù)據(jù)包，并不是從哪個(gè)設(shè)備要通過防火墻轉(zhuǎn)發(fā)給你的，就是防火墻本身回應(yīng)你的。

對于防火墻本身的local區(qū)域，在local區(qū)域中，是不能添加任何接口的，trust，DMZ，untrust區(qū)域，都是工作在接口下面的。而local代表防火墻本身，不含任何接口。

假如你在公司，登錄防火墻，你是在trust接口下，那么你就是trust區(qū)域訪問local區(qū)域。你的源就是trust，目的是local。

區(qū)域我們都劃分出來了，這時(shí)還需要給這四個(gè)區(qū)域定義一下安全等級(jí)，哪個(gè)區(qū)域很危險(xiǎn)，哪個(gè)區(qū)域一般，哪個(gè)區(qū)域較安全，哪個(gè)區(qū)域非常安全。

默認(rèn)的情況是這樣定義的，Local區(qū)域的安全級(jí)別是100，Trust區(qū)域的安全級(jí)別是85，DMZ區(qū)域的安全級(jí)別是50，Untrust區(qū)域的安全級(jí)別是5。安全級(jí)別越高，說明這個(gè)區(qū)域更被信任，信任這個(gè)區(qū)域里面的病毒更少，更安全。

firewall zone local

set priority 100

firewall zone trust

set priority 85

add interface GigabitEthernet0/0/0

firewall zone untrust

set priority 5

firewall zone dmz

set priority 50

防火墻數(shù)據(jù)分方向

在現(xiàn)實(shí)中的建筑防火墻，也會(huì)區(qū)分，火是從哪個(gè)房間傳過來了，或者火是從這個(gè)房間傳過去的。

當(dāng)然，在網(wǎng)絡(luò)中，也是分?jǐn)?shù)據(jù)或者病毒是從哪傳到哪的，我們訪問公司服務(wù)器，假如我們訪問公司服務(wù)器的共享文件，你訪問公司服務(wù)器流量和服務(wù)器回你的流量是有不同的安全策略的。

我們規(guī)定：報(bào)文從低級(jí)別的安全區(qū)域向高級(jí)別的安全區(qū)域流動(dòng)時(shí)為入方向（Inbound），報(bào)文從由高級(jí)別的安全區(qū)域向低級(jí)別的安全區(qū)域流動(dòng)時(shí)為出方向（Outbound）。報(bào)文在兩個(gè)方向上流動(dòng)時(shí)，將會(huì)觸發(fā)不同的安全檢查。下圖標(biāo)明了Local區(qū)域、Trust區(qū)域、DMZ區(qū)域和Untrust區(qū)域間的方向。

基于防火的基架構(gòu)的網(wǎng)絡(luò)拓?fù)鋱D下圖所示：

什么是dmz區(qū)域？

DMZ（Demilitarized Zone）區(qū)域，又稱為中間區(qū)域或非軍事化區(qū)域，是位于網(wǎng)絡(luò)邊界防火墻內(nèi)部的一個(gè)獨(dú)立的子網(wǎng)絡(luò)。DMZ區(qū)域提供了一種安全隔離的環(huán)境，用于放置公共服務(wù)和對外可訪問的資源，同時(shí)保護(hù)內(nèi)部網(wǎng)絡(luò)免受來自互聯(lián)網(wǎng)的攻擊。

DMZ區(qū)域通常用于部署一些對外提供服務(wù)的服務(wù)器，如Web服務(wù)器、郵件服務(wù)器、FTP服務(wù)器等。這些服務(wù)器需要與外部網(wǎng)絡(luò)（如互聯(lián)網(wǎng)）進(jìn)行通信，但同時(shí)也需要受到一定程度的安全保護(hù)。通過將這些服務(wù)器放置在DMZ區(qū)域，可以實(shí)現(xiàn)以下優(yōu)勢：

1.隔離內(nèi)外網(wǎng)絡(luò)：DMZ區(qū)域位于網(wǎng)絡(luò)邊界防火墻內(nèi)部，將互聯(lián)網(wǎng)和內(nèi)部網(wǎng)絡(luò)進(jìn)行隔離。只有經(jīng)過防火墻允許的流量才能進(jìn)入DMZ區(qū)域，從而保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。

2.提供公共服務(wù)：DMZ區(qū)域中的服務(wù)器通常是對公眾或外部用戶提供服務(wù)的，如Web服務(wù)、郵件服務(wù)等。這些服務(wù)器需要與外部網(wǎng)絡(luò)進(jìn)行通信，而DMZ區(qū)域提供了一種安全的環(huán)境，以限制對內(nèi)部網(wǎng)絡(luò)的訪問。

3.強(qiáng)化安全策略：通過在DMZ區(qū)域中配置防火墻規(guī)則和安全策略，可以實(shí)現(xiàn)對DMZ區(qū)域內(nèi)部服務(wù)器的安全保護(hù)。這些服務(wù)器可以與互聯(lián)網(wǎng)進(jìn)行通信，但其訪問權(quán)限和流量必須經(jīng)過嚴(yán)格的控制和審核。

需要注意的是，DMZ區(qū)域本身并不是絕對安全的，仍然需要進(jìn)行安全管理和監(jiān)控。同時(shí)，DMZ區(qū)域內(nèi)的服務(wù)器也需要定期進(jìn)行安全補(bǔ)丁和更新，以保持其安全性。

DMZ區(qū)域是一個(gè)位于網(wǎng)絡(luò)邊界防火墻內(nèi)部的獨(dú)立子網(wǎng)絡(luò)，用于放置對外提供服務(wù)的服務(wù)器。通過將這些服務(wù)器放置在DMZ區(qū)域，可以實(shí)現(xiàn)對內(nèi)部網(wǎng)絡(luò)的隔離和保護(hù)，同時(shí)提供公共服務(wù)。

為什么防火墻本身的local區(qū)域的信任是100？

防火墻本身的Local區(qū)域信任級(jí)別被設(shè)置為100，是因?yàn)長ocal區(qū)域代表了防火墻本身的運(yùn)行環(huán)境和本地資源。

防火墻的Local區(qū)域是指防火墻設(shè)備本身所在的網(wǎng)絡(luò)和本地資源。這些資源可能包括管理接口、配置文件、系統(tǒng)日志、管理工具等。為了確保防火墻設(shè)備的正常運(yùn)行和管理，Local區(qū)域的信任級(jí)別被設(shè)置為最高，即100。

設(shè)置Local區(qū)域的信任級(jí)別為100有以下幾個(gè)原因：

1.管理和配置：防火墻設(shè)備需要被授權(quán)訪問和管理，以進(jìn)行配置、監(jiān)控和維護(hù)。將Local區(qū)域信任級(jí)別設(shè)置為100，確保了防火墻本身具有足夠的權(quán)限來進(jìn)行這些操作。

2.本地資源訪問：防火墻設(shè)備可能需要訪問本地資源，如系統(tǒng)日志、配置文件等。通過設(shè)置Local區(qū)域的信任級(jí)別為100，防火墻可以自由地訪問和管理這些資源，以滿足其運(yùn)行和管理的需求。

3.避免誤操作：設(shè)置Local區(qū)域的信任級(jí)別為最高，可以避免誤操作或未經(jīng)授權(quán)的訪問對防火墻設(shè)備和本地資源造成的損害。只有經(jīng)過授權(quán)的用戶或系統(tǒng)才能訪問Local區(qū)域，從而提高了防火墻的安全性。

需要注意的是，盡管Local區(qū)域的信任級(jí)別被設(shè)置為100，但仍然需要采取額外的安全措施來保護(hù)防火墻設(shè)備和本地資源。這包括限制對Local區(qū)域的訪問、強(qiáng)化身份驗(yàn)證和訪問控制、定期更新和審查設(shè)備配置等。

將防火墻本身的Local區(qū)域信任級(jí)別設(shè)置為100是為了確保防火墻設(shè)備本身具有足夠的權(quán)限來進(jìn)行管理和訪問本地資源，同時(shí)避免未經(jīng)授權(quán)的訪問和誤操作對設(shè)備和資源造成的風(fēng)險(xiǎn)。