前沿拓展:
什么是防火墻
墻為名的電影。
在網(wǎng)絡(luò)陣營(yíng)中,一直有三大劍客存在。路由器用來(lái)連接不同的網(wǎng)絡(luò),通過(guò)路由協(xié)議保證互聯(lián)互通,確保將報(bào)文轉(zhuǎn)發(fā)到目的地;交換機(jī)則通常用來(lái)組建局域網(wǎng),作為局域網(wǎng)通信的重要樞紐,通過(guò)二層/三層交換快速轉(zhuǎn)發(fā)報(bào)文;而防火墻主要部署在網(wǎng)絡(luò)邊界,對(duì)進(jìn)出網(wǎng)絡(luò)的訪問(wèn)行為進(jìn)行控制,安全防護(hù)是其核心特性。
華為AR2200系列路由器
提到防火墻還有一個(gè)名詞叫UTM。UTM(United Threat Management,統(tǒng)一威脅管理)的概念,將傳統(tǒng)防火墻、入侵檢測(cè)、防**、URL過(guò)濾、應(yīng)用程序控制、郵件過(guò)濾等功能融合到一臺(tái)防火墻上,實(shí)現(xiàn)全面的安全防護(hù)。
華為S5700系列交換機(jī)
防火墻中有一個(gè)非常重要的概念:安全區(qū)域(Security Zone),簡(jiǎn)稱(chēng)為區(qū)域(Zone)。安全區(qū)域是一個(gè)或多個(gè)接口的**,是防火墻區(qū)別于路由器的主要特性。防火墻通過(guò)安全區(qū)域來(lái)劃分網(wǎng)絡(luò)、標(biāo)識(shí)報(bào)文流動(dòng)的“路線”,當(dāng)報(bào)文在不同的安全區(qū)域之間流動(dòng)時(shí),才會(huì)觸發(fā)安全檢查。防火墻通過(guò)接口來(lái)連接網(wǎng)絡(luò),將接口劃分到安全區(qū)域之后,通過(guò)接口將安全區(qū)域和網(wǎng)絡(luò)關(guān)聯(lián)起來(lái)。
華為USG6000系列防火墻
通過(guò)將不同的接口劃分到不同的安全區(qū)域,就可以在防火墻上劃分出不同的網(wǎng)絡(luò)。
防護(hù)墻劃分區(qū)域一般分為T(mén)rust區(qū)域(inside)、DMZ區(qū)域以及Untrust區(qū)域(Outside)。Trust區(qū)域:該區(qū)域內(nèi)網(wǎng)絡(luò)的受信任程度高,通常用來(lái)定義內(nèi)部用戶(hù)所在的網(wǎng)絡(luò)。
DMZ區(qū)域:該區(qū)域內(nèi)網(wǎng)絡(luò)的受信任程度中等,通常用來(lái)定義內(nèi)部服務(wù)器所在的網(wǎng)絡(luò)。
Untrust區(qū)域:該區(qū)域代表的是不受信任的網(wǎng)絡(luò),通常用來(lái)定義Internet等不安全的網(wǎng)絡(luò)。
在網(wǎng)絡(luò)數(shù)量較多的場(chǎng)合下,還可以通過(guò)靈活使用安全等級(jí)來(lái)創(chuàng)建新的安全區(qū)域,滿(mǎn)足劃分網(wǎng)絡(luò)的需求。
除此之外,防火墻還提供了Local區(qū)域。Local區(qū)域,代表防火墻本身。凡是由防火墻主動(dòng)發(fā)出的報(bào)文均可以認(rèn)為是從Local區(qū)域中發(fā)出,凡是需要防火墻響應(yīng)并處理(而不是轉(zhuǎn)發(fā))的報(bào)文(如需登錄到發(fā)那個(gè)火墻上進(jìn)行配置)均可以認(rèn)為是由Local區(qū)域接收。
注:Local區(qū)域中不能添加任何接口,但防火墻上所有接口本身都隱含屬于Local區(qū)域。
拓展知識(shí):
原創(chuàng)文章,作者:九賢生活小編,如若轉(zhuǎn)載,請(qǐng)注明出處:http://xiesong.cn/14240.html