企业网络安全域配置攻略：防火墙篇

企业网络安全域配置攻略：防火墙篇

引用

CSDN

等

10

来源

1.

https://blog.csdn.net/cainiaoxiaojian/article/details/142070575

2.

https://blog.csdn.net/m0_74823434/article/details/144973474

3.

https://blog.csdn.net/zhanglongquan/article/details/141028774

4.

https://blog.csdn.net/weixin_72584149/article/details/136161045

5.

https://blog.csdn.net/qq_39241682/article/details/138153960

6.

https://blog.csdn.net/Richardlygo/article/details/121510614

7.

https://info.support.huawei.com/hedex/api/pages/EDOC1100331440/AZM10131/04/resources/dc/dc_fd_fw_0004.html

8.

https://www.cisco.com/c/zh_cn/support/docs/security/ios-firewall/98628-zone-design-guide.html

9.

https://www.cnblogs.com/alwaysz/articles/18264926

10.

https://help.aliyun.com/zh/ecs/use-cases/windows-system-firewall-policy-configuration-guide

随着企业网络环境日益复杂，如何有效管理网络安全成为一大挑战。防火墙安全域配置作为企业网络安全的重要组成部分，能够帮助企业实现对不同接口的安全需求分类管理。本文将详细讲解如何在企业网络中通过防火墙设置安全域，实现对不同接口的安全需求分类管理。从创建安全域到配置域间策略，我们将一步步指导你完成整个过程，帮助你的企业构建更加稳固的网络安全防线。

防火墙的安全域（Security Zone）是一种逻辑概念，用于管理具有相同安全需求的多个接口。通过将安全需求相似的接口分类并划分到不同的安全域，可以实现安全策略的统一管理。这种基于安全域的策略配置方式简化了网络管理员的配置和维护工作，因为只需为每个安全域配置策略，而不是每个单独的接口。

在防火墙中，通常会有以下几个默认的安全域：

• Trust（受信区域）：通常用于内部网络，被认为是安全的网络环境。
• Untrust（非受信区域）：通常用于连接到不安全的网络，如互联网。
• DMZ（非军事化区域）：用于放置需要从外部网络访问的服务器，如Web服务器和邮件服务器，同时保护内部网络不受直接访问。
• Local（本地区域）：通常指的是防火墙设备本身，包括设备的接口。
• Management（管理区域）：用于设备管理，如通过Web界面或控制台进行配置。

1. 创建安全域

首先进入系统视图：

system-view

创建安全域（如果尚未创建）：

security-zone name [zone-name]

其中 [zone-name] 是你为安全域指定的名称。

2. 添加接口成员

向安全域中添加成员，这可以是三层接口、二层接口和VLAN，或者是IPv4/IPv6子网。例如，向安全域中添加一个三层接口成员的命令是：

import interface [interface-type] [interface-number]

其中 [interface-type] 是接口类型，比如 GigabitEthernet，[interface-number] 是接口编号。

如果是添加VLAN成员，可以使用：

import vlan [vlan-list]

其中 [vlan-list] 是VLAN的编号列表。

3. 配置域间策略

任何两个安全区域都构成一个安全域间（Interzone），并具有单独的安全域间视图，大部分的防火墙配置都在安全域间视图下配置。例如：配置了安全区域zone1和zone2，则在zone1和zone2的安全域间视图中，可以配置ACL包过滤功能，表示对zone1和zone2之间发生的数据流动实施ACL包过滤。

在安全域间使能防火墙功能后，当高优先级的用户访问低优先级区域时，防火墙会记录报文的IP、VPN等信息，生成一个流表。当报文返回时，设备会查看报文的IP、VPN等信息，因为流表里记录有发出报文的信息，所以有对应的表项，返回的报文能通过。低优先级的用户访问高优先级用户时，默认是不允许访问的。因此，把内网设置为高优先级区域，外网设置为低优先级区域，内网用户可以主动访问外网，外网用户则不能主动访问内网。

4. 设置安全优先级

每个安全区域具有全局唯一的安全优先级。默认的安全区域不能删除，也不允许修改安全优先级。用户可根据自己的需求创建自定义的Zone。防火墙默认安全区域均为小写字母，且大小写敏感，包括：

• 非受信区域（untrust）：通常用于定义Internet等不安全的网络。
• 非军事化区域（dmz）：通常用于定义内网服务器所在区域。因为这种设备虽然部署在内网，但是经常需要被外网访问，存在较大安全隐患，同时一般又不允许其主动访问外网，所以将其部署一个优先级比trust低，但是比untrust高的安全区域中。
• DMZ（Demilitarized Zone）起源于军方，是介于严格的军事管制区和松散的公共区域之间的一种有着部分管制的区域。防火墙设备引用了这一术语，指代一个逻辑上和物理上都与内部网络和外部网络分离的安全区域。
• DMZ安全区域很好地解决了服务器的放置问题。该安全区域可以放置需要对外提供网络服务的设备，如WWW服务器、FTP服务器等。上述服务器如果放置于内部网络，外部恶意用户则有可能利用某些服务的安全漏洞攻击内部网络；如果放置于外部网络，则无法保障它们的安全。
• 受信区域（trust）：通常用于定义内网终端用户所在区域。
• 本地区域（local）：local区域定义的是设备本身，包括设备的各接口本身。凡是由设备构造并主动发出的报文均可认为是从Local区域中发出，凡是需要设备响应并处理（而不仅是检测或直接转发）的报文均可认为是由local区域接收。用户不能改变local区域本身的任何配置，包括向其中添加接口。由于local区域的特殊性，在很多需要设备本身进行报文收发的应用中，需要开放对端所在安全区域与local区域之间的安全策略。

安全策略配置顺序

当配置多条安全策略规则时，安全策略的匹配按照策略列表的顺序执行，即从策略列表顶端开始逐条向下匹配。如果流量匹配了某个安全策略，将不再进行下一个策略的匹配。安全策略的配置顺序很重要，需要先配置条件精确的策略，再配置宽泛的策略。

系统默认存在一条缺省安全策略default。缺省安全策略位于策略列表的最底部，优先级最低，所有匹配条件均为任意（any），动作为拒绝（deny）。这条缺省安全策略确保了在没有显式允许的情况下，所有流量都将被拒绝，从而实现了“默认拒绝”的安全原则。

不同场景下的安全域划分建议

• 对于小型企业网络，可以采用简单的两层结构：Trust（内网）和Untrust（外网）。
• 对于中大型企业网络，建议增加DMZ区域，用于部署对外提供服务的服务器。
• 对于有多个分支机构的企业，可以为每个分支机构创建独立的安全域，并根据实际需求配置域间策略。

常见问题及解决方案

• 问题1：安全策略不生效

  • 检查安全策略的配置顺序是否正确
  • 确认源地址、目的地址和端口等匹配条件是否准确
  • 检查是否有更优先的策略覆盖了当前策略

• 问题2：无法访问特定服务

  • 确认安全策略中是否放行了相应的服务端口
  • 检查是否有其他安全设备（如IPS、IDS）拦截了流量
  • 确认目标服务器是否正常运行

华为防火墙配置实例

# 创建安全域
security-zone name trust
security-zone name untrust
security-zone name dmz

# 添加接口成员
interface GigabitEthernet0/0/1
 port link-mode route
 ip address 192.168.1.1 255.255.255.0
 security-zone trust

interface GigabitEthernet0/0/2
 port link-mode route
 ip address 10.0.0.1 255.255.255.0
 security-zone untrust

interface GigabitEthernet0/0/3
 port link-mode route
 ip address 172.16.1.1 255.255.255.0
 security-zone dmz

# 配置域间策略
security-policy
 rule name trust_to_untrust
  source-zone trust
  destination-zone untrust
  source-address 192.168.1.0 mask 255.255.255.0
  destination-address 10.0.0.0 mask 255.255.255.0
  action permit

 rule name untrust_to_trust
  source-zone untrust
  destination-zone trust
  source-address 10.0.0.0 mask 255.255.255.0
  destination-address 192.168.1.0 mask 255.255.255.0
  action deny

Cisco防火墙配置实例

Cisco IOS防火墙引入了基于区域的配置模型（ZFW），弃用了传统的基于接口的配置模型。这种配置模型提供了更高的灵活性和精细度，使得管理员能够更精确地控制不同区域间的流量。

以下是Cisco防火墙安全域配置的基本步骤：

1. 定义安全区域

zone security trust
zone security untrust
zone security dmz

2. 将接口分配给安全区域

interface GigabitEthernet0/0
 description LAN Interface
 ip address 192.168.1.1 255.255.255.0
 zone-member security trust

interface GigabitEthernet0/1
 description WAN Interface
 ip address 10.0.0.1 255.255.255.0
 zone-member security untrust

interface GigabitEthernet0/2
 description DMZ Interface
 ip address 172.16.1.1 255.255.255.0
 zone-member security dmz

3. 配置区域间策略

policy-map type inspect zone-to-zone trust_to_untrust
 class type inspect class-default
  inspect

policy-map type inspect zone-to-zone untrust_to_trust
 class type inspect class-default
  drop

policy-map type inspect zone-to-zone dmz_to_trust
 class type inspect class-default
  inspect

zone-pair security trust_to_untrust source trust destination untrust service-policy type inspect trust_to_untrust
zone-pair security untrust_to_trust source untrust destination trust service-policy type inspect untrust_to_trust
zone-pair security dmz_to_trust source dmz destination trust service-policy type inspect dmz_to_trust

通过以上配置，Cisco防火墙将实现以下安全策略：

• 从Trust区域到Untrust区域的流量将被检查（inspect）
• 从Untrust区域到Trust区域的流量将被丢弃（drop）
• 从DMZ区域到Trust区域的流量将被检查（inspect）

这种基于区域的配置模型提供了更精细的控制能力，使得管理员能够根据实际需求灵活配置不同区域间的访问策略。同时，这种模型还支持多种高级安全功能，如状态数据包检查、URL过滤、DoS防护等，进一步增强了网络安全性。

通过以上步骤，企业可以有效地利用防火墙安全域功能，实现对网络流量的精细化管理，提高网络安全性和韧性。合理规划安全域和部署资源，有助于提高网络的安全性和韧性。例如，可以将需要交互的不同安全等级的系统部署在不同的安全区域，并在它们之间开放严格的安全策略。