当前位置: 首页 > news >正文

复习防火墙(一)

防火墙默认的四个区域:

1. 信任区域(Trusted Zone)
  • 别名:内部区域(Internal)、内网区
  • 安全级别:最高(通常安全级别值为 100,不同厂商可能用数字或标签表示)
  • 作用
    • 连接用户信任的内部网络(如企业内网、办公网、服务器集群等)。
    • 默认允许区域内设备自由通信,限制外部区域对信任区的主动访问,仅允许信任区主动发起的流量返回。
2. 非信任区域(Untrusted Zone)
  • 别名:外部区域(External)、互联网区
  • 安全级别:最低(通常安全级别值为 10 或 0)
  • 作用
    • 连接不可信的外部网络(如互联网)。
    • 默认禁止非信任区主动访问其他区域,仅允许响应信任区或 DMZ 区主动发起的流量(如用户访问网页后的返回数据)。
3. DMZ 区域(Demilitarized Zone,隔离区)
  • 别名:非军事区、中立区
  • 安全级别:介于信任区和非信任区之间(通常安全级别值为 50 或 70)
  • 作用
    • 放置需要对外提供服务的服务器(如 Web 服务器、邮件服务器、FTP 服务器等)。
    • 允许非信任区访问 DMZ 的特定服务端口(如 HTTP/HTTPS),同时限制 DMZ 访问信任区的内部资源,避免服务器被入侵后成为攻击跳板。
4. 本地区域(Local Zone)或管理区域(Management Zone)
  • 本地区域(Local)
    • 代表防火墙自身的接口和系统,用于处理防火墙与自身的通信(如防火墙主动发起的连接、日志传输等)。
    • 安全级别通常最高(与信任区同级或更高),默认允许防火墙自身访问其他区域,但禁止其他区域主动访
    • 防火墙上的所有接口都属于这个区域,将一个接口划入某一个区域,则代表将这个接口所连接的网络划分到对应区域中,而接口本身,永远属于Local。

例:

  • GE0/0 连接内网,被划入 Trust 区

    • 内网(对端网络)属于 Trust 区,允许 Trust 区设备主动访问其他区域。
    • GE0/0 接口本身属于 Local 区,当防火墙通过 GE0/0 发送路由更新时,流量源是 Local 区,而非 Trust 区。
  • GE0/1 连接互联网,被划入 Untrust 区

    • 互联网(对端网络)属于 Untrust 区,默认禁止主动访问其他区域。
    • GE0/1 接口本身仍属于 Local 区,防火墙通过该接口接收互联网流量时,需检查 Untrust 区到其他区域的策略,但接口自身的管理访问(如通过 HTTPS 远程管理)仍需通过 Local 区的安全规则授权。

优先级---1-100                                                                                                                                   从优先级高的区域到优先级低的区域----出方向---Outbound
从优先级低的区域到优先级高的区域--入方向----inbound

防火墙常用的四种部署模式

1)路由模式(网关模式,Routing Mode)

工作原理

  • 防火墙作为 三层设备(路由器)接入网络,每个接口配置独立的 IP 地址,充当不同子网的网关。
  • 流量通过三层路由转发,支持 NAT、ACL、路由协议(如 OSPF、BGP)等功能。

部署场景

  • 网络边界防护(如企业互联网出口):防火墙作为内外网的网关,实现内外网隔离和访问控制。
  • 多子网互联:连接不同网段(如内网、DMZ、外网),通过路由策略控制跨子网流量。

①接口配IP地址,区域划分
②写内网的汇报路由
③安全策略
④内到外的NAT
⑤服务器映射

2)透明模式

工作原理

  • 防火墙作为 二层设备(网桥)接入网络,不改变原有网络的三层架构(IP 地址、子网划分等)。
  • 接口无需配置 IP 地址,流量通过二层 MAC 地址转发,防火墙在 OSI 模型的第 2 层(数据链路层)处理流量。

部署场景

  • 网络中已有成熟的三层架构(如路由器、三层交换机),希望在不改变 IP 规划的前提下增加安全过滤。
  • 适用于 串联在两个二层网络之间(如服务器区与内网之间),透明地对流量进行检测和控制。

上面的路由器是边界,下面的路由器是办公区和生产区的网关。上面的路由器+防火墙+下面的路由器是一整个网段(比如12.0.0.0的网段)。防火墙作为 二层设备接入。此时防火墙在12.0.0.0中相当于交换机。

此时防火墙需要的配置:
①接口配置vlan,以及划分区域
②安全策略
③增加设备的管理接口,用于控制管理设备以及设备的自我升级

3)旁路模式

工作原理

  • 防火墙 不直接串联在流量路径中,而是通过端口镜像(SPAN)或分光器获取流量,仅用于监控、审计或入侵检测(如 IDS/IPS 功能),不进行流量转发和过滤。

部署场景

  • 流量监控与审计:无需干预正常流量,仅分析数据以满足合规性要求(如日志记录)。
  • 入侵检测系统(IDS)部署:被动监听流量,发现攻击行为后报警,不主动阻断(与 IPS 的主动阻断不同)。

上面镜像走的是二层下面管理走的是三层

4)混合模式(Hybrid Mode)

工作原理

  • 防火墙同时存在 透明模式接口 和 路由模式接口,部分接口作为二层网桥,部分接口作为三层网关。
  • 适用于复杂网络环境,兼顾透明接入和三层路由需求。

部署场景

  • 大型网络分区:例如,内网核心区域采用透明模式接入(保持原有 IP),对外连接互联网的接口采用路由模式(配置 NAT 和网关)。
  • 服务器区与 DMZ 混合架构:服务器区接口透明接入,DMZ 接口作为路由节点连接外部网络。

安全策略

传统包过滤技术——其本质就是ACL访问控制列表,根据数据包的特征进行过滤,对比规则,执行对应的动作;
这里数据包的特征——数据包的五元组——源IP,目标IP,源端口,目标端口,协议

新时代安全策略技术

安全策略的核心组成要素
防火墙策略通常由 ** 条件(匹配规则)和动作(执行结果)** 两部分构成,具体包括:

流量方向
基于防火墙区域(如 Trust、Untrust、DMZ、Local)定义流量方向,例如 “从 Trust 区域到 Untrust 区域”“从 DMZ 到 Trust”。

源 / 目的地址
支持 IP 地址(单地址、网段、地址组)、MAC 地址(二层场景)、用户 / 用户组(结合认证服务器)。

协议与端口
明确匹配的网络协议(如 TCP、UDP、ICMP)及端口号(如 80、443、3389),支持端口范围(如 1000-2000)或 “Any”。

动作
允许(Permit):符合条件的流量通过防火墙。
拒绝(Deny):阻断符合条件的流量,通常返回 ICMP 不可达消息。
记录日志(Log):对匹配规则的流量生成日志,用于审计(常与允许 / 拒绝动作结合)。
 

时间 / 用户条件(可选)
限制策略生效时间(如工作日 9:00-18:00),或仅对特定用户 / 组生效(需集成 Radius、AD 等认证系统)。

例子:

在安全策略中,可以执行两块内容,第一块做访问控制,允许或者拒绝通过;第二块是在允许通过的情况下,可以进行内容安全的检测,一体化检测。

   

http://www.dtcms.com/a/121847.html

相关文章:

  • 知微·智研重磅发布:AI加持的智能化研发管理,革新科技组织数字化转型
  • 4.9复习记
  • Flutter Invalid constant value.
  • 【Java设计模式】第3章 软件设计七大原则
  • ragflow开启https访问:添加证书后,使用浏览器还是有警告,如何解决?
  • [ AI工具库 ] 宝藏级 AI 工具合集
  • MySQL多表查询、事务与索引的实践与应用
  • C++字符串复习
  • 如何在Dify中安装运行pandas、numpy库(离线、在线均支持,可提供远程指导)
  • 每日定投40刀BTC(13)20250404 - 20250408
  • vue3中watch的使用示例
  • 算法小练习
  • git仓库设置访问公钥
  • [leetcode]求最大公约数和最小公倍数(gcd和lcm算法)
  • 【场景应用2】speech_recognition: 微调语音模型
  • 深度学习、图像算法学习记录
  • 【Proteus仿真】【32单片机-A009】矩阵按键系统设计
  • 代码随想录-动态规划24
  • 【Windows】Win2008服务器SQL服务监控重启脚本
  • golang gmp模型分析
  • 【Game】Powerful——Martial Arts Challenge(6)
  • 数据库实践题目:在线书店管理系统
  • 高性能服务开发利器:redis+lua
  • Spring 框架的核心基础:IoC 和 AOP
  • 【算法竞赛】回文字符串+思维模拟(蓝桥杯真题·回文字符串·代码清晰易懂)
  • 巧记英语四级单词 Unit3-上【晓艳老师版】
  • 【SpringCloud】从入门到精通(下)
  • TCP 与 UDP
  • Qt 开发时可以在函数内引用的头文件
  • 国网B接口协议调阅实时视频接口流程详解以及检索失败原因(电网B接口)