防火墻基本作用

對于剛接觸網絡防火墻的時候，我們可以把防火墻和我們實際建筑的防火墻想到一起，在商場或辦公區每隔一段就會有一個防火門，這個防火門的作用就是防止一個區域起火然后蔓延到另外一個區域。

當然在網絡中，網絡防火墻的作用也是防止一個區域起火，這里的起火就是中病毒，當一個區域中病毒之后，不會蔓延到另外一個區域。

那防火墻，在沒有起火的時候，人流可以正常穿越每個區域，當起火的時候，這時防火墻降落，阻止人流和火蔓延。

在網絡中，人流就相當于正常的上網流量，而火就相當于病毒攻擊。防火墻也是這樣的，人流通過，就是正常的網絡上網流量可以正常通過，但是有病毒攻擊時，這時網絡防火墻不像實際的防火墻一樣，將網絡正常上網流量和病毒攻擊流量都阻止掉，而網絡防火墻可以將正常的上網流量放行，而是將病毒攻擊流量阻止。

什么是防火的區域？

因為我們實際現實中防火墻，也是劃分區域的，所以在網絡中，也參考了實際現實中的防火墻，也需要將網絡劃分區域，英文名稱是Zone。

安全區域在網絡中，當一個設備的一個或多個接口都加入到一個區域的集合。當上網的流量在不同的區域流動時，這時防火墻會就檢測不同區域之間流動的網絡包，是否有病毒。默認情況下，在同一個區域電腦設備之間的數據傳輸，不經過防火墻檢測。

防火墻劃分區域是為了實現更精細化的網絡安全策略和訪問控制。通過劃分區域，可以將不同的網絡資源和用戶劃分到不同的安全域中，從而實現更細粒度的安全控制和隔離。

防火墻劃分區域的幾個主要原因：

1.分隔內外網絡：防火墻通常用于隔離內部網絡（如企業內部網絡）和外部網絡（如互聯網）。通過劃分不同的區域，可以限制來自外部網絡的訪問和攻擊，保護內部網絡的安全。

2.實現安全域隔離：通過劃分不同的區域，可以將不同的網絡資源（如數據庫服務器、應用服務器、用戶終端等）劃分到不同的安全域中。這樣可以限制不同安全級別的資源之間的訪問，減少潛在的攻擊面和安全風險。

3.精細控制訪問權限：防火墻區域劃分可以根據需求和安全策略，對不同的區域設置不同的訪問控制規則。例如，可以允許某個區域的用戶訪問特定的資源，而禁止其他區域的用戶訪問。這樣可以實現更精細化的權限控制和安全策略實施。

4.簡化管理和審計：通過劃分區域，可以將網絡劃分成更小的部分，簡化了防火墻的管理和配置。同時，針對不同的區域可以設置不同的日志和審計策略，便于對網絡流量和安全事件進行監控和審計。

通過把接口劃分到不同的安全區域中，就可以在防火墻上劃分出不同的網絡區域。

我們把接口1和接口2放到安全區域A中，接口3放到安全區域B中，接口4放到安全區域C中，這樣在防火墻上就存在了三個安全區域，對應三個網絡。

基本上所有防火墻都默認為指定了三個安全區域，Trust、DMZ、Untrust區域，那這三個區域都有什么作用呢？

Trust區域，該區域內網絡的受信任程度高，通常用來定義內部用戶所在的網絡。

DMZ區域，該區域內網絡的受信任程度中等，通常用來定義內部服務器所在的網絡。

Untrust區域，該區域代表的是不受信任的網絡，通常用來定義Internet等不安全的網絡。

如下圖所示，假設接口1和接口2連接的是內部用戶，那我們就把這兩個接口劃分到Trust區域中；接口3連接內部服務器，將它劃分到DMZ區域；接口4連接Internet，將它劃分到Untrust區域。

這時我們電腦如果在trust區域，去訪問外部的百度或者其它網站，這樣，電腦的數據就是從Trust區域到Untrust區域。假如公司有一臺共享NAS服務器，當你在外地出差，想訪問公司的NAS服務器文件時，這時數據就是從Untrust區域訪問到Trust區域。

這時又出現一個問題，如果把NAS服務器放在Trust區域，這時當你出差時從Untrust訪問trust區域時，是經過防火墻的保護的。但是假如你出差電腦中毒了，然后回到公司，電腦又接入到Trust區域，這時電腦從Trust訪問在Trust區域的NAS服務器，這數據流量是不需要經過防火墻檢測的。這時NAS服務器就很容易中毒。

所以DMZ區域就是專門設計出來，把公司的服務器都放在DMZ區域，無論Untrust區域訪問DMZ區域，或者Trust區域訪問DMZ區域的服務器，都需要經過防火墻檢測。

當然，除了不同區域之前的數據流量之外，還有一個可能性的存在，就是假如你電腦現在中毒了，這個制作病毒的人也很聰明，他這個病毒，當你電腦訪問公司NAS服務器的時候，你是從Untrust區域訪問到DMZ區域，這時這個病毒肯定要經過防火墻檢測。但現在這個病毒不攻擊你的NAS服務器，不訪問DMZ區域，我先攻擊你防火墻本身，把你防火墻本身攻破后，可以做任何修改。

假如你電腦現在中毒了，你電腦又是公司管理員，你要輸入防火墻用戶名和密碼進行防火墻配置，這時如果沒有檢測也很危險，那這時你的區域怎么劃分呢？無論你是在公司或者不在公司，數據是從trust到防火墻本身，或數據是從untrust到防火墻的本身，那這個流量怎么認定呢？

這時就我們就把防火墻本身，防火墻自己劃分到Local區域，本地區域。你現在輸入IP地址，登錄到防火墻，防火墻給你回應一個web界面。當防火墻給你回應的這個數據包，就是從防火墻本身Local區域發出來的，這個數據包，并不是從哪個設備要通過防火墻轉發給你的，就是防火墻本身回應你的。

對于防火墻本身的local區域，在local區域中，是不能添加任何接口的，trust，DMZ，untrust區域，都是工作在接口下面的。而local代表防火墻本身，不含任何接口。

假如你在公司，登錄防火墻，你是在trust接口下，那么你就是trust區域訪問local區域。你的源就是trust，目的是local。

區域我們都劃分出來了，這時還需要給這四個區域定義一下安全等級，哪個區域很危險，哪個區域一般，哪個區域較安全，哪個區域非常安全。

默認的情況是這樣定義的，Local區域的安全級別是100，Trust區域的安全級別是85，DMZ區域的安全級別是50，Untrust區域的安全級別是5。安全級別越高，說明這個區域更被信任，信任這個區域里面的病毒更少，更安全。

firewall zone local

set priority 100

firewall zone trust

set priority 85

add interface GigabitEthernet0/0/0

firewall zone untrust

set priority 5

firewall zone dmz

set priority 50

防火墻數據分方向

在現實中的建筑防火墻，也會區分，火是從哪個房間傳過來了，或者火是從這個房間傳過去的。

當然，在網絡中，也是分數據或者病毒是從哪傳到哪的，我們訪問公司服務器，假如我們訪問公司服務器的共享文件，你訪問公司服務器流量和服務器回你的流量是有不同的安全策略的。

我們規定：報文從低級別的安全區域向高級別的安全區域流動時為入方向（Inbound），報文從由高級別的安全區域向低級別的安全區域流動時為出方向（Outbound）。報文在兩個方向上流動時，將會觸發不同的安全檢查。下圖標明了Local區域、Trust區域、DMZ區域和Untrust區域間的方向。

基于防火的基架構的網絡拓撲圖下圖所示：

什么是dmz區域？

DMZ（Demilitarized Zone）區域，又稱為中間區域或非軍事化區域，是位于網絡邊界防火墻內部的一個獨立的子網絡。DMZ區域提供了一種安全隔離的環境，用于放置公共服務和對外可訪問的資源，同時保護內部網絡免受來自互聯網的攻擊。

DMZ區域通常用于部署一些對外提供服務的服務器，如Web服務器、郵件服務器、FTP服務器等。這些服務器需要與外部網絡（如互聯網）進行通信，但同時也需要受到一定程度的安全保護。通過將這些服務器放置在DMZ區域，可以實現以下優勢：

1.隔離內外網絡：DMZ區域位于網絡邊界防火墻內部，將互聯網和內部網絡進行隔離。只有經過防火墻允許的流量才能進入DMZ區域，從而保護內部網絡的安全。

2.提供公共服務：DMZ區域中的服務器通常是對公眾或外部用戶提供服務的，如Web服務、郵件服務等。這些服務器需要與外部網絡進行通信，而DMZ區域提供了一種安全的環境，以限制對內部網絡的訪問。

3.強化安全策略：通過在DMZ區域中配置防火墻規則和安全策略，可以實現對DMZ區域內部服務器的安全保護。這些服務器可以與互聯網進行通信，但其訪問權限和流量必須經過嚴格的控制和審核。

需要注意的是，DMZ區域本身并不是絕對安全的，仍然需要進行安全管理和監控。同時，DMZ區域內的服務器也需要定期進行安全補丁和更新，以保持其安全性。

DMZ區域是一個位于網絡邊界防火墻內部的獨立子網絡，用于放置對外提供服務的服務器。通過將這些服務器放置在DMZ區域，可以實現對內部網絡的隔離和保護，同時提供公共服務。

為什么防火墻本身的local區域的信任是100？

防火墻本身的Local區域信任級別被設置為100，是因為Local區域代表了防火墻本身的運行環境和本地資源。

防火墻的Local區域是指防火墻設備本身所在的網絡和本地資源。這些資源可能包括管理接口、配置文件、系統日志、管理工具等。為了確保防火墻設備的正常運行和管理，Local區域的信任級別被設置為最高，即100。

設置Local區域的信任級別為100有以下幾個原因：

1.管理和配置：防火墻設備需要被授權訪問和管理，以進行配置、監控和維護。將Local區域信任級別設置為100，確保了防火墻本身具有足夠的權限來進行這些操作。

2.本地資源訪問：防火墻設備可能需要訪問本地資源，如系統日志、配置文件等。通過設置Local區域的信任級別為100，防火墻可以自由地訪問和管理這些資源，以滿足其運行和管理的需求。

3.避免誤操作：設置Local區域的信任級別為最高，可以避免誤操作或未經授權的訪問對防火墻設備和本地資源造成的損害。只有經過授權的用戶或系統才能訪問Local區域，從而提高了防火墻的安全性。

需要注意的是，盡管Local區域的信任級別被設置為100，但仍然需要采取額外的安全措施來保護防火墻設備和本地資源。這包括限制對Local區域的訪問、強化身份驗證和訪問控制、定期更新和審查設備配置等。

將防火墻本身的Local區域信任級別設置為100是為了確保防火墻設備本身具有足夠的權限來進行管理和訪問本地資源，同時避免未經授權的訪問和誤操作對設備和資源造成的風險。