防火墙区域

防火墙区域 对于路由器设备，各个接口所连接的网络在安全上可以视为是平等的，没有明显的内外之分，所以即使进行一定程度的，也是在接口上完成的。这样，一个数据流单方向通过路由器时有可能需要进行两次安全规则的检查，以便使其符合每个接口上独立的安全定义。而这种思路对于防火墙设备来说就不是很合适，防火墙所承担的责任是保护内部网络不受外部网络上非法行为的伤害，有着明确的内外之分。当一个数据流通过防火墙设备的时候，根据其发起方向的不同，所引起的操作是截然不同的。由于这种安全级别上的差别，再采用在接口上检查安全策略的方式已经不适用，可能会造成用户在配置上的混乱。 因此，防火墙提出了安全区域的概念。一个安全区域是一个或多个接口的一个组合，具有一个安全级别。在设备内部，这个安全级别通过一个0-100的数字来示，数字越大表示安全级别越高，不存在两个具有相同安全级别的区。只有当数据在分属于两个不同安全级别的接口之间流动的时候，才会激活防火墙的安全规则检查功能。数据在属于同一个安全域的不同接口间流动的时候将被直接转发，不会触发ACL等检查。 Eudemon防火墙上保留四个安全区域: ? 非受信区(Untrust):低级的安全区域，其安全优先级为5。 ? 非军事化区(DMZ):中度级别的安全区域，其安全优先级为50。 ? 受信区(Trust):较高级别的安全区域，其安全优先级为85。 ? 本地区域(Local):最高级别的安全区域，其安全优先级为100。 除了本地域，每个区域可以关联一个或多个防火墙接口。如认为有必要，用户还可以自行设置新的安全区域并定义其安全优先级别。最多16个安全区域。 一般情况下，受信区接口连接用户要保护的内部网络，非受信区连接外部网络，非军事化区连接用户向外部提供服务的部分网络。 在以接口为基础进行安全检查的路由器上，进入接口的报文称为inbound方向，流出接口的报文称为outbound方向，针对每个方向，可以配置一组ACL规则，分别进行检查。可以看出来，这种方向的判定是以路由器自身为参照物，将路由器看作网络上的一个结点。而防火墙上的检查是发生在属于不同优先级别的两个接口之间的，我们可以将防火墙理解为一个边界，对于方向的判定是由防火墙所连接的不同网络为基准的。对于防火墙上任意两个域来说，高安全级别一侧为内，低安全级别一侧为外。当数据从高安全级别的进入而从低安全级别的接口流出的时候，称之为出方向(Outbound);反之，当数据从低安全级别的接口进入防火墙而从高安全级别的接口流出的时候，称之为入方向(Inbound)。举例来说，当数据从属于DMZ的接口进入防火墙，从属于Untrust的接口流出的时候，这个流是出方向的流;而当数据从同样的接口进入防火墙，从属于Trust的接口流出的时候，这个流的方向就变成入方向了。在每个方向上，我们都可以设置一组ACL，对报文进行安全检查。 一个域可以有一个或多个接口，一个接口只能属于一个域，二者是一对多的关系。