安全区域
2.1.1 安全区域的概念
安全区域(zone)是防火墙产品所引入的一个安全概念,是防火墙产品区别于路由器的主要特征。
对于路由器,各个接口所连接的网络在安全上可以视为是平等的,没有明显的内外之分,所以即使进行一定程度的安全检查,也是在接口上完成的。这样,一个数据流单方向通过路由器时有可能需要进行两次安全规则的检查(入接口的安全检查和出接口的安全检查),以便使其符合每个接口上独立的安全定义。而这种思路对于防火墙来说不很适合,因为防火墙所承担的责任是保护内部网络不受外部网络上非法行为的侵害,因而有着明确的内外之分。
当一个数据流通过secpath防火墙设备的时候,根据其发起方向的不同,所引起的操作是截然不同的。由于这种安全级别上的差别,再采用在接口上检查安全策略的方式已经不适用,将造成用户在配置上的混乱。因此,secpath防火墙提出了安全区域的概念。
一个安全区域包括一个或多个接口的组合,具有一个安全级别。在设备内部,安全级别通过0~100的数字来表示,数字越大表示安全级别越高,不存在两个具有相同安全级别的区域。只有当数据在分属于两个不同安全级别的区域(或区域包含的接口)之间流动的时候,才会激活防火墙的安全规则检查功能。数据在属于同一个安全区域的不同接口间流动时不会引起任何检查。
2.1.2 secpath防火墙上的安全区域
1. 安全区域的划分
secpath防火墙上保留四个安全区域:
1 非受信区(untrust):低级的安全区域,其安全优先级为5。
2 非军事化区(dmz):中度级别的安全区域,其安全优先级为50。
3 受信区(trust):较高级别的安全区域,其安全优先级为85。
4 本地区域(local):最高级别的安全区域,其安全优先级为100。
此外,如认为有必要,用户还可以自行设置新的安全区域并定义其安全优先级别。
dmz(de militarized zone,非军事化区)这一术语起源于军方,指的是介于严格的军事管制区和松散的公共区域之间的一种有着部分管制的区域。防火墙引用了这一术语,指代一个逻辑上和物理上都与内部网络和外部网络分离的区域。通常部署网络时,将那些需要被公共访问的设备(例如,www server、ftp server等)放置于此。
因为将这些服务器放置于外部网络则它们的安全性无法保障;放置于内部网络,外部恶意用户则有可能利用某些服务的安全漏洞攻击内部网络。因此,dmz区域的出现很好地解决了这些服务器的放置问题。
2. 接口、网络与安全区域的关系
除了local区域以外,在使用其他所有安全区域时,需要将安全区域分别与防火墙的特定接口相关联,即将接口加入到区域。
系统不允许两个安全区域具有相同的安全级别;并且同一接口不可以分属于两个不同的安全区域。
安全区域与各网络的关联遵循下面的原则:
1 内部网络应安排在安全级别较高的区域
2 外部网络应安排在安全级别最低的区域
3 一些可对外部提供有条件服务的网络应安排在安全级别中等的dmz区
具体来说,trust所属接口用于连接用户要保护的网络;untrust所属接口连接外部网络;dmz区所属接口连接用户向外部提供服务的部分网络;从防火墙设备本身发起的连接即是从local区域发起的连接。相应的所有对防火墙设备本身的访问都属于向local区域发起访问连接。区域之间的关系如下图所示:
3. 入方向与出方向
不同级别的安全区域间的数据流动都将激发防火墙进行安全策略的检查,并且可以为不同流动方向设置不同的安全策略。域间的数据流分两个方向:
1 入方向(inbound):数据由低级别的安全区域向高级别的安全区域传输的方向;
2 出方向(outbound):数据由高级别的安全区域向低级别的安全区域传输的方向。
在secpath防火墙上,判断数据传输是出方向还是入方向,总是相对高安全级别的一侧而言。根据上图所示,可以得到如下结论:
1 从dmz区到untrust区域的数据流为出方向,反之为入方向;
2 从trust区域到dmz区的数据流为出方向,反之为入方向;
3 从trust区域到untrust区域的数据流为出方向,反之为入方向。
路由器上数据流动方向的判定是以接口为主:由接口发送的数据方向称为出方向;由接口接收的数据方向称为入方向。这也是路由器有别于防火墙的重要特征。
在防火墙中,当报文从高优先级区域向低优先级区域发起连接时,即从trust区域向untrust区域和dmz区发起数据连接,或dmz区域向untrust区域发起连接时,必须明确配置缺省过滤规则。
由防火墙本地(local区域)发起或终止的报文不进行状态检测,这类报文的过滤由包过滤机制来完成。
2.1.3 安全区域的配置
安全区域的配置包括:
创建安全区域并进入安全区域视图
配置安全区域的安全优先级
配置安全区域的隶属接口
进入域间视图
1. 创建安全区域并进入安全区域视图
系统缺省保留四个安全区域:本地区域(local)、受信区域(trust)、非军事化区(dmz)和非受信区域(untrust),这四个区域无需创建也不能删除。
创建新的安全区域时,需要使用name关键字;进入保留的或已建立的安全区域视图时则不需要使用该关键字。
请在系统视图下进行下列配置。