防火墙的区域特性与划分（从实验中了解防火墙的特性）

防火墙的区域特性与划分（从实验中了解防火墙的特性）

引用

CSDN

1.

https://blog.csdn.net/weixin_46948473/article/details/141870814

防火墙的安全区域特性是其核心功能之一，通过将接口划分为不同的安全区域，防火墙能够更有效地控制和隔离网络流量。本文将详细介绍防火墙安全区域的概念、数据包的区域方向、华为防火墙的默认安全区域及其安全等级，并通过实际案例演示如何配置安全区域。

安全区域

在上一篇关于路由器部署防火墙的小实验中，我们发现了一个有趣的现象：所有网络连接都不通！这是因为我们忽略了防火墙的一个重要特性——安全区域。在网络中，防火墙的主要作用是控制和隔离流量。为了实现这一目标，防火墙需要区分不同来源的流量。目前主流的防火墙厂商都引入了安全区域的概念。

安全区域包含一个或多个接口的集合。当数据包在不同安全区域之间转发时，防火墙会匹配相应的安全策略进行检测。通过这种方式，我们可以精确控制不同区域之间的通信。

在实际应用中，防火墙通过接口连接不同的网络。将接口加入不同的区域后，该区域就与相应的网络关联起来。例如，防火墙的1号口加入区域A，区域A就与员工网络关联；接口2加入区域B，区域B就与服务器区域关联；接口3加入区域C，区域C就与外网区域关联。

了解数据包的区域方向

接口与区域划分后，当某个区域访问其他区域时，就会产生数据包的区域方向。例如，员工网络区域A访问外网区域C时，数据包的区域路线是从区域A到区域C。出差员工远程访问内网服务器资源时，数据包的区域路线是从区域C到区域B。

了解数据包的区域方向后，防火墙可以根据数据包的走向快速判断其来源和目的地，查找对应的安全策略，并执行后续操作。

防火墙如何识别数据包的区域

以之前的图为例，当区域A的员工网络访问外网时，数据包经过防火墙。防火墙从1号口收到数据包后，查找1号口所关联的区域，得到源区域是区域A。通过查找目的地址的路由表，发现报文需要从3号口发出，得到3号口对应的区域是区域C。确定源目区域后，防火墙会进行安全策略检查，根据结果决定是否放行该数据包流量。

确定好源目区域对于实施安全策略至关重要，只有明确了区域，才能准确配置安全策略的内容。

华为防火墙的默认安全区域

华为防火墙出厂时内置了四个安全区域，这些区域不能删除或更改默认参数，只能添加或删除接口关联：

1. Trust区域：受信任区域，通常用于内部用户所在的网络区域
2. DMZ区域：信任程度一般，通常用于接入服务器所在的网络
3. UNtrust区域：不受信任的网络，通常用于接入外部网络（如Internet、专线等）
4. Local区域：代表防火墙自身，处理来自其他网络的ping、HTTPS、telnet等流量，以及防火墙主动发起的报文

华为防火墙的区域安全等级

不同的安全区域有不同的信任程度，在华为防火墙中使用安全等级表示，数字范围是1~100，数字越大表示该区域的网络越可信。默认安全等级如下：

• Local：100
• Trust：85
• DMZ：50
• Untrust：5

需要注意的是，区域必须有一个安全等级。新建的安全区域默认没有安全等级，需要手动定义。华为防火墙规定，数据包从低等级安全区域发往高等级的安全区域的方向为入方向（inbound），报文从高等级安全区域发往低等级安全区域的方向为出方向（Oubound）。这个知识点在UTM防火墙中非常重要，但在下一代防火墙中已经简化了这些操作。

安全区域的实际案例配置

我们以上次路由器形式配置的案例为基础，当时测试结果是所有网络都不通。现在我们学习了防火墙区域的概念，可以理解为什么会出现这种情况：因为没有将对应的防火墙接口划入安全区域。

通过display zone命令可以看到华为防火墙默认的四个区域及其优先级。细心的读者可能注意到Trust区域默认包含一个接口，而其他区域则没有。这解释了为什么防火墙的管理口可以正常通信：因为它属于Trust区域，防火墙可以正常处理来自该接口的流量。

案例中的G1/0/0、G1/0/1、G1/0/2接口没有加入任何安全区域，因此防火墙无法判断报文的路线和方向，直接丢弃了所有报文。接下来，我们将这些接口加入相应的安全区域：

[USG6000V1] firewall zone trust
[USG6000V1-zone-trust]add interface g1/0/1
[USG6000V1-zone-trust]add interface g1/0/2
[USG6000V1]firewallzone untrust
[USG6000V1-zone-untrust]add interface g1/0/0

配置完成后，我们发现网络仍然不通，但这次的不通与之前不同：是由于防火墙的接口管理特性阻断了通信。我们需要开启允许Ping功能：

[USG6000V1]interface g1/0/1
[USG6000V1-GigabitEthernet1/0/1]service-manageping permit
[USG6000V1-GigabitEthernet1/0/1]intg1/0/2
[USG6000V1-GigabitEthernet1/0/2]service-manageping permit

现在网络已经恢复正常。为了验证防火墙接口未加入区域时的情况，我们将G1/0/2接口从Trust区域移除：

[USG6000V1]firewallzone trust
[USG6000V1-zone-trust]undoadd interface g1/0/2

此时，G1/0/2接口下的PC无法访问网关，也无法接收来自其他接口的流量，因为防火墙无法判断这些数据包的来源和目的地，直接丢弃了所有相关流量。

防火墙配置的第一步

拿到防火墙后，除了了解客户需求外，还需要对网络进行区域规划：哪些接口属于Trust区域，哪些接口属于Untrust区域。规划好后，按照规划进行配置，思路会更加清晰。需要注意的是，防火墙的接口如果不加入任何区域，将无法正常工作。

总结与展望

通过学习防火墙的区域特性与划分，我们了解了安全区域的重要性。对于常见的组网场景，使用华为默认自带的区域已经足够。但在复杂网络环境中，可能需要自定义更多安全区域。此外，本文只讲解了三层接口的配置，如果内网采用二层模式并配置了多个VLANIF作为网关，又该如何处理呢？这些问题将在后续文章中详细探讨。