华为防火墙安全区域介绍

小乔

防火墙用于网络之间的隔离，专业的讲用于保护一个安全区域免于另外一个安全区域的网络攻击和入侵行为。防火墙是基于安全区域的，一般厂商都是有这个概念的。安全区域（Security Zone），也称之为区域（Zone），是一个逻辑的概念。用于管理防火墙设备安全需求相同的多个接口。它是一个或者多个的接口集合，管理员需要对安全需求相同的接口进行分类。并划分到不同的安全域，以实现安全策略的统一管理。

安全级别（Security Level）在华为防火墙上，每一个安全区域都有一个唯一的级别设定。用1~100的数字表示，数字越大，说明该区域的网络越可信。对于默认的安全区域，它们的安全级别是固定的。

local：区域的安全级别是100

trust：区域的安全级别是85

DMZ：区域的安全级别是50

Untrust：区域的安全级别是5

华为防火墙默认定义了四个固定的安全区域

Trust：该区域的网络受信任程度高，通常用来定义内部用户所在的网络。

Untrust：该区域代表的是不受信任的网络，通常用来定义Internet。

DMZ：（Demilitarized非军事区）：该区域的网络受信任程度中等，通常用来定义内部服务器（如ERP,OA等）所在网络。

说明：DMZ这一术语起源于军方，指的是介于严格的军事管制区和松散的公共区域之间的一种有着部分管制的区域。

Local：防火墙上提供了Local区域，代表防火墙本身。比如防火墙主动发起的报文（如防火墙上执行ping）以及抵达防火墙自身的报文（我们要网管防火墙http、https、ssh、telnet）

防火墙默认安全区域均为小写字母，且大小写敏感，包括：
•非受信区域（untrust）：通常用于定义Internet等不安全的网络。
•非军事化区域（dmz）：通常用于定义内网服务器所在区域。因为这种设备虽然部署在内网，但是经常需要被外网访问，存在较大安全隐患，同时一般又不允许其主动访问外网，所以将其部署一个优先级比trust低，但是比untrust高的安全区域中。
▫DMZ（Demilitarized Zone）起源于军方，是介于严格的军事管制区和松散的公共区域之间的一种有着部分管制的区域。防火墙设备引用了这一术语，指代一个逻辑上和物理上都与内部网络和外部网络分离的安全区域。
▫DMZ安全区域很好地解决了服务器的放置问题。该安全区域可以放置需要对外提供网络服务的设备，如WWW服务器、FTP服务器等。上述服务器如果放置于内部网络，外部恶意用户则有可能利用某些服务的安全漏洞攻击内部网络；如果放置于外部网络，则无法保障它们的安全。
•受信区域（trust）：通常用于定义内网终端用户所在区域。
•本地区域（local）：local区域定义的是设备本身，包括设备的各接口本身。凡是由设备构造并主动发出的报文均可认为是从Local区域中发出，凡是需要设备响应并处理（而不仅是检测或直接转发）的报文均可认为是由local区域接收。用户不能改变local区域本身的任何配置，包括向其中添加接口。
▫由于local区域的特殊性，在很多需要设备本身进行报文收发的应用中，需要开放对端所在安全区域与local区域之间的安全策略。


华为防火墙从高的安全级别区域访问低的安全级别区域为outbound方向；默认安全区域 trust安全级别为85、DMZ安全级别为50、UNtrust安全级别为5、local安全 级别为100。所以正确答案是“从Trust区域访问Untrust区域为outboud 方向”、“Trust的安全级别是85 ”。

yhhw1234

谢谢分享，支持

liyou60

华为认证，值得拥有！