防火墙默认的四个区域:
1. 信任区域(Trusted Zone)
- 别名:内部区域(Internal)、内网区
- 安全级别:最高(通常安全级别值为 100,不同厂商可能用数字或标签表示)
- 作用:
- 连接用户信任的内部网络(如企业内网、办公网、服务器集群等)。
- 默认允许区域内设备自由通信,限制外部区域对信任区的主动访问,仅允许信任区主动发起的流量返回。
2. 非信任区域(Untrusted Zone)
- 别名:外部区域(External)、互联网区
- 安全级别:最低(通常安全级别值为 10 或 0)
- 作用:
- 连接不可信的外部网络(如互联网)。
- 默认禁止非信任区主动访问其他区域,仅允许响应信任区或 DMZ 区主动发起的流量(如用户访问网页后的返回数据)。
3. DMZ 区域(Demilitarized Zone,隔离区)
- 别名:非军事区、中立区
- 安全级别:介于信任区和非信任区之间(通常安全级别值为 50 或 70)
- 作用:
- 放置需要对外提供服务的服务器(如 Web 服务器、邮件服务器、FTP 服务器等)。
- 允许非信任区访问 DMZ 的特定服务端口(如 HTTP/HTTPS),同时限制 DMZ 访问信任区的内部资源,避免服务器被入侵后成为攻击跳板。
4. 本地区域(Local Zone)或管理区域(Management Zone)
- 本地区域(Local):
- 代表防火墙自身的接口和系统,用于处理防火墙与自身的通信(如防火墙主动发起的连接、日志传输等)。
- 安全级别通常最高(与信任区同级或更高),默认允许防火墙自身访问其他区域,但禁止其他区域主动访
- 防火墙上的所有接口都属于这个区域,将一个接口划入某一个区域,则代表将这个接口所连接的网络划分到对应区域中,而接口本身,永远属于Local。
例:
-
GE0/0 连接内网,被划入 Trust 区:
- 内网(对端网络)属于 Trust 区,允许 Trust 区设备主动访问其他区域。
- GE0/0 接口本身属于 Local 区,当防火墙通过 GE0/0 发送路由更新时,流量源是 Local 区,而非 Trust 区。
-
GE0/1 连接互联网,被划入 Untrust 区:
- 互联网(对端网络)属于 Untrust 区,默认禁止主动访问其他区域。
- GE0/1 接口本身仍属于 Local 区,防火墙通过该接口接收互联网流量时,需检查 Untrust 区到其他区域的策略,但接口自身的管理访问(如通过 HTTPS 远程管理)仍需通过 Local 区的安全规则授权。
优先级---1-100 从优先级高的区域到优先级低的区域----出方向---Outbound
从优先级低的区域到优先级高的区域--入方向----inbound
防火墙常用的四种部署模式
1)路由模式(网关模式,Routing Mode)
工作原理
- 防火墙作为 三层设备(路由器)接入网络,每个接口配置独立的 IP 地址,充当不同子网的网关。
- 流量通过三层路由转发,支持 NAT、ACL、路由协议(如 OSPF、BGP)等功能。
部署场景
- 网络边界防护(如企业互联网出口):防火墙作为内外网的网关,实现内外网隔离和访问控制。
- 多子网互联:连接不同网段(如内网、DMZ、外网),通过路由策略控制跨子网流量。
①接口配IP地址,区域划分
②写内网的汇报路由
③安全策略
④内到外的NAT
⑤服务器映射
2)透明模式
工作原理
- 防火墙作为 二层设备(网桥)接入网络,不改变原有网络的三层架构(IP 地址、子网划分等)。
- 接口无需配置 IP 地址,流量通过二层 MAC 地址转发,防火墙在 OSI 模型的第 2 层(数据链路层)处理流量。
部署场景
- 网络中已有成熟的三层架构(如路由器、三层交换机),希望在不改变 IP 规划的前提下增加安全过滤。
- 适用于 串联在两个二层网络之间(如服务器区与内网之间),透明地对流量进行检测和控制。
上面的路由器是边界,下面的路由器是办公区和生产区的网关。上面的路由器+防火墙+下面的路由器是一整个网段(比如12.0.0.0的网段)。防火墙作为 二层设备接入。此时防火墙在12.0.0.0中相当于交换机。
此时防火墙需要的配置:
①接口配置vlan,以及划分区域
②安全策略
③增加设备的管理接口,用于控制管理设备以及设备的自我升级
3)旁路模式
工作原理
- 防火墙 不直接串联在流量路径中,而是通过端口镜像(SPAN)或分光器获取流量,仅用于监控、审计或入侵检测(如 IDS/IPS 功能),不进行流量转发和过滤。
部署场景
- 流量监控与审计:无需干预正常流量,仅分析数据以满足合规性要求(如日志记录)。
- 入侵检测系统(IDS)部署:被动监听流量,发现攻击行为后报警,不主动阻断(与 IPS 的主动阻断不同)。
上面镜像走的是二层下面管理走的是三层
4)混合模式(Hybrid Mode)
工作原理
- 防火墙同时存在 透明模式接口 和 路由模式接口,部分接口作为二层网桥,部分接口作为三层网关。
- 适用于复杂网络环境,兼顾透明接入和三层路由需求。
部署场景
- 大型网络分区:例如,内网核心区域采用透明模式接入(保持原有 IP),对外连接互联网的接口采用路由模式(配置 NAT 和网关)。
- 服务器区与 DMZ 混合架构:服务器区接口透明接入,DMZ 接口作为路由节点连接外部网络。
安全策略
传统包过滤技术——其本质就是ACL访问控制列表,根据数据包的特征进行过滤,对比规则,执行对应的动作;
这里数据包的特征——数据包的五元组——源IP,目标IP,源端口,目标端口,协议
新时代安全策略技术
安全策略的核心组成要素
防火墙策略通常由 ** 条件(匹配规则)和动作(执行结果)** 两部分构成,具体包括:
流量方向
基于防火墙区域(如 Trust、Untrust、DMZ、Local)定义流量方向,例如 “从 Trust 区域到 Untrust 区域”“从 DMZ 到 Trust”。
源 / 目的地址
支持 IP 地址(单地址、网段、地址组)、MAC 地址(二层场景)、用户 / 用户组(结合认证服务器)。
协议与端口
明确匹配的网络协议(如 TCP、UDP、ICMP)及端口号(如 80、443、3389),支持端口范围(如 1000-2000)或 “Any”。
动作
允许(Permit):符合条件的流量通过防火墙。
拒绝(Deny):阻断符合条件的流量,通常返回 ICMP 不可达消息。
记录日志(Log):对匹配规则的流量生成日志,用于审计(常与允许 / 拒绝动作结合)。
时间 / 用户条件(可选)
限制策略生效时间(如工作日 9:00-18:00),或仅对特定用户 / 组生效(需集成 Radius、AD 等认证系统)。
例子:
在安全策略中,可以执行两块内容,第一块做访问控制,允许或者拒绝通过;第二块是在允许通过的情况下,可以进行内容安全的检测,一体化检测。