目 錄1 安全域管理.........................................................................................

目 錄

1 安全域管理........................................................................................................................................ 1-1

1.1 概述................................................................................................................................................... 1-1

1.2 配置安全域........................................................................................................................................ 1-1

1.2.1 配置概述................................................................................................................................. 1-1

1.2.2 創(chuàng)建安全域.............................................................................................................................. 1-2

1.2.3 添加接口到安全域................................................................................................................... 1-3

1.3 安全域典型配置舉例.......................................................................................................................... 1-4

i

1 安全域管理

1.1 概述

傳統(tǒng)的防火墻的策略配置通常都是圍繞報(bào)文入接口、出接口展開的，這在早期的雙穴防火墻中還比較普遍。隨著防火墻的不斷發(fā)展，已經(jīng)逐漸擺脫了只連接外網(wǎng)和內(nèi)網(wǎng)的角色，出現(xiàn)了內(nèi)網(wǎng)/外網(wǎng)/DMZ（Demilitarized Zone，非軍事區(qū)）的模式，并且向著提供高端口密度的方向發(fā)展。一臺(tái)高端防火墻通常能夠提供十幾個(gè)以上的物理接口，同時(shí)連接多個(gè)邏輯網(wǎng)段。在這種組網(wǎng)環(huán)境中，傳統(tǒng)基于接口的策略配置方式需要為每一個(gè)接口配置安全策略，給網(wǎng)絡(luò)管理員帶來了極大的負(fù)擔(dān)，安全策略的維護(hù)工作量成倍增加，從而也增加了因?yàn)榕渲靡氚踩L(fēng)險(xiǎn)的概率。

和傳統(tǒng)防火墻基于接口的策略配置方式不同，業(yè)界主流防火墻通過圍繞安全域（Security Zone）來配置安全策略的方式解決上述問題。所謂安全域，是一個(gè)抽象的概念，它可以包含普通物理接口和邏輯接口，也可以包括二層物理Trunk 接口 VLAN，劃分到同一個(gè)安全區(qū)域中的接口通常在安全策略控制中具有一致的安全需求。引入安全區(qū)域的概念之后，安全管理員將安全需求相同的接口進(jìn)行分類（劃分到不同的區(qū)域），能夠?qū)崿F(xiàn)策略的分層管理。比如，首先可以將防火墻上連接到研發(fā)不同網(wǎng)段的四個(gè)接口加入安全域Zone_RND，連接服務(wù)器區(qū)的兩個(gè)接口加入安全域Zone_DMZ，這樣管理員之需要部署這兩個(gè)域之間的安全策略即可。同時(shí)如果后續(xù)網(wǎng)絡(luò)變化，只需要調(diào)整相關(guān)域內(nèi)的接口，而安全策略不需要修改。可見，通過引入安全域的概念，不但簡(jiǎn)化了策略的維護(hù)復(fù)雜度，同時(shí)也將網(wǎng)絡(luò)業(yè)務(wù)和安全業(yè)務(wù)的分離。

圖1-1 安全區(qū)域劃分示意圖

1.2 配置安全域

1.2.1 配置概述

用戶登錄到Web 網(wǎng)管界面后，在界面左側(cè)的導(dǎo)航欄中選擇“設(shè)備管理 > 安全域”，進(jìn)入如圖1-2所示的界面。

1-1

圖1-2 安全域管理Web 界面

安全域配置的推薦步驟如表1-1所示。

表1-1 安全域配置步驟 步驟 配置任務(wù)

可選

1 說明 1.2.2 創(chuàng)建安全域 缺省情況下，ROOT 虛擬防火墻有以下幾個(gè)安全域：

Management 、Local 、Trust 、DMZ 、Untrust

必選

2 1.2.3 添加接口到安全域 添加指定的接口（包括物理接口、三層子接口、二層子接口、VLAN

虛接口、二層以太網(wǎng)接口 VLAN）到已創(chuàng)建的安全域，可添加的

接口和VLAN 必須與安全域在同一個(gè)虛擬防火墻中

1.2.2 創(chuàng)建安全域

在導(dǎo)航欄中選擇“設(shè)備管理 > 安全域”，單擊<新建>按鈕，進(jìn)入安全域的創(chuàng)建頁面。 圖1-3 創(chuàng)建安全域

創(chuàng)建安全域的詳細(xì)配置如表1-2所示。

表1-2 創(chuàng)建安全域的詳細(xì)配置

配置項(xiàng)

安全域ID

安全域名 說明 安全域ID 在同一個(gè)虛擬防火墻中必須唯一 安全域名稱

1-2

配置項(xiàng)

優(yōu)先級(jí)

共享 設(shè)置安全域的優(yōu)先級(jí)

缺省情況下，允許從高優(yōu)先級(jí)安全域到低優(yōu)先級(jí)安全域方向的報(bào)文通過 指定安全域是否可以被其他虛擬防火墻訪問

說明

可點(diǎn)擊返回“表1-1 安全域配置步驟”。

1.2.3 添加接口到安全域

在導(dǎo)航欄中選擇“設(shè)備管理 > 安全域”，單擊需要修改的安全域?qū)?yīng)的編輯圖標(biāo)全域頁面。

圖1-4 修改安全域 ，進(jìn)入修改安

安全域的詳細(xì)配置如表1-3所示。

表1-3 添加接口到安全域的詳細(xì)配置 配置項(xiàng)

ID/域名/虛擬設(shè)備 安全域的ID 、域名和所屬的虛擬設(shè)備

不可以修改

指定安全域的優(yōu)先級(jí)

缺省情況下，允許從高優(yōu)先級(jí)安全域到低優(yōu)先級(jí)安全域方向的報(bào)文通過

指定安全域是否可以被其他虛擬設(shè)備引用

接口

接口

所屬

VLAN 如果是二層以太網(wǎng)接口，必須同時(shí)指定添加到安全域的VLAN 范圍。VLAN 必須已經(jīng)添加到安全域所屬虛擬防火墻中，且沒有被添加到其他的安全區(qū)域中 已經(jīng)添加到安全域的接口處于選中狀態(tài)；可以添加到安全域但還沒有添加的接口處于未選中狀態(tài) 說明 優(yōu)先級(jí) 共享

可點(diǎn)擊返回“表1-1 安全域配置步驟”。

1-3

1.3 安全域典型配置舉例

1. 組網(wǎng)需求

某公司以SecBlade 防火墻作為網(wǎng)絡(luò)邊界防火墻，連接公司內(nèi)部網(wǎng)絡(luò)和Internet 。公司需要對(duì)外提供WWW 和FTP 服務(wù)。

現(xiàn)需要對(duì)防火墻進(jìn)行一些安全域的基本配置，為后面的安全策略的設(shè)置做好準(zhǔn)備。

圖1-5 配置安全域組網(wǎng)圖

2. 配置思路

(1) 公司內(nèi)部網(wǎng)絡(luò)屬于可信任網(wǎng)絡(luò)，可以自由訪問服務(wù)器和外部網(wǎng)絡(luò)。可以將內(nèi)部網(wǎng)絡(luò)部署在優(yōu)

先級(jí)相對(duì)較高的

Trust 區(qū)域，由防火墻的以太網(wǎng)口Ten-GigabitEthernet 0/0.1與之相連。

(2) 外部網(wǎng)絡(luò)屬于不可信任網(wǎng)絡(luò)，需要使用嚴(yán)格的安全規(guī)則來限制外部網(wǎng)絡(luò)對(duì)公司內(nèi)部網(wǎng)絡(luò)和服

務(wù)器的訪問?？梢詫⑼獠烤W(wǎng)絡(luò)部署在優(yōu)先級(jí)相對(duì)較低的Untrust 區(qū)域，由防火墻的以太網(wǎng)口Ten-GigabitEthernet 0/0.3與之相連。

(3) 公司對(duì)外提供服務(wù)的WWW Server、FTP Server等，如果將這些服務(wù)器放置于外部網(wǎng)絡(luò)則它

們的安全性無法保障；如果放置于內(nèi)部網(wǎng)絡(luò)，外部惡意用戶則有可能利用某些服務(wù)的安全漏洞攻擊內(nèi)部網(wǎng)絡(luò)?？梢詫⒎?wù)器部署在優(yōu)先級(jí)處于Trust 和Untrust 之間的DMZ 區(qū)域，由防火墻的以太網(wǎng)口Ten-GigabitEthernet 0/0.1與之相連。這樣，處于DMZ 區(qū)域的服務(wù)器可以自由訪問處于優(yōu)先級(jí)較低的Untrust 區(qū)域的外部網(wǎng)絡(luò)，但在訪問處于優(yōu)先級(jí)較高的Turst 區(qū)域的公司內(nèi)部網(wǎng)絡(luò)時(shí)，則要受到嚴(yán)格的安全規(guī)則的限制。

3. 配置步驟

缺省情況下，系統(tǒng)已經(jīng)創(chuàng)建了Trust 、DMZ 和Untrust 安全域。因此不需要?jiǎng)?chuàng)建這些安全域，只需對(duì)其進(jìn)行部署即可。

(1) 部署Turst 安全域

# 添加Ten-GigabitEthernet 0/0.1接口到Trust 域。

z 在導(dǎo)航欄中選擇“系統(tǒng)管理->安全域管理”。

單擊Trust 安全域的編輯圖標(biāo)。 z

z 選中Ten-GigabitEthernet 0/0.1。

1-4

z 單擊<確定>按鈕。

(2) 部署DMZ 安全域

# 添加Ten-GigabitEthernet 0/0.2接口到DMZ 域。 z 在導(dǎo)航欄中選擇“系統(tǒng)管理->安全域管理”。

單擊DMZ

安全域的編輯圖標(biāo)。 z

z

z 選中Ten-GigabitEthernet 0/0.2。 單擊<確定>按鈕。

(3) 部署Unturst 安全域

# 添加Ten-GigabitEthernet 0/0.3接口到Unturst 域。 z 在導(dǎo)航欄中選擇“系統(tǒng)管理->安全域管理”。

單擊Unturst

安全域的編輯圖標(biāo)。 z

z

z 選中Ten-GigabitEthernet 0/0.3。 單擊<確定>按鈕。

1-5