H3C-安全域-整本手册
目 录1 安全域管理.........................................................................................
目 录
1 安全域管理........................................................................................................................................ 1-1
1.1 概述................................................................................................................................................... 1-1
1.2 配置安全域........................................................................................................................................ 1-1
1.2.1 配置概述................................................................................................................................. 1-1
1.2.2 创建安全域.............................................................................................................................. 1-2
1.2.3 添加接口到安全域................................................................................................................... 1-3
1.3 安全域典型配置举例.......................................................................................................................... 1-4
i
,1 安全域管理
1.1 概述
传统的防火墙的策略配置通常都是围绕报文入接口、出接口展开的,这在早期的双穴防火墙中还比较普遍。随着防火墙的不断发展,已经逐渐摆脱了只连接外网和内网的角色,出现了内网/外网/DMZ(Demilitarized Zone,非军事区)的模式,并且向着提供高端口密度的方向发展。一台高端防火墙通常能够提供十几个以上的物理接口,同时连接多个逻辑网段。在这种组网环境中,传统基于接口的策略配置方式需要为每一个接口配置安全策略,给网络管理员带来了极大的负担,安全策略的维护工作量成倍增加,从而也增加了因为配置引入安全风险的概率。
和传统防火墙基于接口的策略配置方式不同,业界主流防火墙通过围绕安全域(Security Zone)来配置安全策略的方式解决上述问题。所谓安全域,是一个抽象的概念,它可以包含普通物理接口和逻辑接口,也可以包括二层物理Trunk 接口 VLAN,划分到同一个安全区域中的接口通常在安全策略控制中具有一致的安全需求。引入安全区域的概念之后,安全管理员将安全需求相同的接口进行分类(划分到不同的区域),能够实现策略的分层管理。比如,首先可以将防火墙上连接到研发不同网段的四个接口加入安全域Zone_RND,连接服务器区的两个接口加入安全域Zone_DMZ,这样管理员之需要部署这两个域之间的安全策略即可。同时如果后续网络变化,只需要调整相关域内的接口,而安全策略不需要修改。可见,通过引入安全域的概念,不但简化了策略的维护复杂度,同时也将网络业务和安全业务的分离。
图1-1 安全区域划分示意图
1.2 配置安全域
1.2.1 配置概述
用户登录到Web 网管界面后,在界面左侧的导航栏中选择“设备管理 > 安全域”,进入如图1-2所示的界面。
1-1
,图1-2 安全域管理Web 界面
安全域配置的推荐步骤如表1-1所示。
表1-1 安全域配置步骤 步骤 配置任务
可选
1 说明 1.2.2 创建安全域 缺省情况下,ROOT 虚拟防火墙有以下几个安全域:
Management 、Local 、Trust 、DMZ 、Untrust
必选
2 1.2.3 添加接口到安全域 添加指定的接口(包括物理接口、三层子接口、二层子接口、VLAN
虚接口、二层以太网接口 VLAN)到已创建的安全域,可添加的
接口和VLAN 必须与安全域在同一个虚拟防火墙中
1.2.2 创建安全域
在导航栏中选择“设备管理 > 安全域”,单击<新建>按钮,进入安全域的创建页面。 图1-3 创建安全域
创建安全域的详细配置如表1-2所示。
表1-2 创建安全域的详细配置
配置项
安全域ID
安全域名 说明 安全域ID 在同一个虚拟防火墙中必须唯一 安全域名称
1-2
,配置项
优先级
共享 设置安全域的优先级
缺省情况下,允许从高优先级安全域到低优先级安全域方向的报文通过 指定安全域是否可以被其他虚拟防火墙访问
说明
可点击返回“表1-1 安全域配置步骤”。
1.2.3 添加接口到安全域
在导航栏中选择“设备管理 > 安全域”,单击需要修改的安全域对应的编辑图标全域页面。
图1-4 修改安全域 ,进入修改安
安全域的详细配置如表1-3所示。
表1-3 添加接口到安全域的详细配置 配置项
ID/域名/虚拟设备 安全域的ID 、域名和所属的虚拟设备
不可以修改
指定安全域的优先级
缺省情况下,允许从高优先级安全域到低优先级安全域方向的报文通过
指定安全域是否可以被其他虚拟设备引用
接口
接口
所属
VLAN 如果是二层以太网接口,必须同时指定添加到安全域的VLAN 范围。VLAN 必须已经添加到安全域所属虚拟防火墙中,且没有被添加到其他的安全区域中 已经添加到安全域的接口处于选中状态;可以添加到安全域但还没有添加的接口处于未选中状态 说明 优先级 共享
可点击返回“表1-1 安全域配置步骤”。
1-3
,1.3 安全域典型配置举例
1. 组网需求
某公司以SecBlade 防火墙作为网络边界防火墙,连接公司内部网络和Internet 。公司需要对外提供WWW 和FTP 服务。
现需要对防火墙进行一些安全域的基本配置,为后面的安全策略的设置做好准备。
图1-5 配置安全域组网图
2. 配置思路
(1) 公司内部网络属于可信任网络,可以自由访问服务器和外部网络。可以将内部网络部署在优
先级相对较高的
Trust 区域,由防火墙的以太网口Ten-GigabitEthernet 0/0.1与之相连。
(2) 外部网络属于不可信任网络,需要使用严格的安全规则来限制外部网络对公司内部网络和服
务器的访问。可以将外部网络部署在优先级相对较低的Untrust 区域,由防火墙的以太网口Ten-GigabitEthernet 0/0.3与之相连。
(3) 公司对外提供服务的WWW Server、FTP Server等,如果将这些服务器放置于外部网络则它
们的安全性无法保障;如果放置于内部网络,外部恶意用户则有可能利用某些服务的安全漏洞攻击内部网络。可以将服务器部署在优先级处于Trust 和Untrust 之间的DMZ 区域,由防火墙的以太网口Ten-GigabitEthernet 0/0.1与之相连。这样,处于DMZ 区域的服务器可以自由访问处于优先级较低的Untrust 区域的外部网络,但在访问处于优先级较高的Turst 区域的公司内部网络时,则要受到严格的安全规则的限制。
3. 配置步骤
缺省情况下,系统已经创建了Trust 、DMZ 和Untrust 安全域。因此不需要创建这些安全域,只需对其进行部署即可。
(1) 部署Turst 安全域
# 添加Ten-GigabitEthernet 0/0.1接口到Trust 域。
z 在导航栏中选择“系统管理->安全域管理”。
单击Trust 安全域的编辑图标。 z
z 选中Ten-GigabitEthernet 0/0.1。
1-4
,z 单击<确定>按钮。
(2) 部署DMZ 安全域
# 添加Ten-GigabitEthernet 0/0.2接口到DMZ 域。 z 在导航栏中选择“系统管理->安全域管理”。
单击DMZ
安全域的编辑图标。 z
z
z 选中Ten-GigabitEthernet 0/0.2。 单击<确定>按钮。
(3) 部署Unturst 安全域
# 添加Ten-GigabitEthernet 0/0.3接口到Unturst 域。 z 在导航栏中选择“系统管理->安全域管理”。
单击Unturst
安全域的编辑图标。 z
z
z 选中Ten-GigabitEthernet 0/0.3。 单击<确定>按钮。
1-5