防火墙区域及工作模式（防火墙区域及工作模式选择）

防火墙区域及工作模式（防火墙区域及工作模式选择）

域（zone）是防火墙上的重要概念，防火墙通常放置在网络的边界，路由器通过接口来连接不同网段，

防火墙则通过域来表示不同的网络

。

安全策略：通过将接口加入域并且在安全区域之间启动安全检查，从而对流经不同安全区域的信息流进行安全过滤。常用的安全检查包括基于ACL和应用层状态的检查， 华为防火墙默认有5个安全区域，并且每个安全区域均设置了安全优先级。分别是：（1）虚拟区（Vzone）是虚拟防火墙所支持的区域，安全优先级为0；（2）非受信区（Untrust）是低级的安全区域，其安全优先级为5；（3）非军事化区（DMZ）是中级的安全区域，其安全优先级为50；（4）受信区（Trust）是较高级的安全区域，其安全优先级为85；（5）本地区（Local）是最高级的安全区域，其安全优先级为100。当然，用户也可以自行设置新的安全区域，定义其安全优先级别，系统最多支持包括5个保留区域在内的16个安全区域。除Local区域外，使用其他安全区域前，都需要将安全区域分别与防火墙的特定接口关联，即将接口加入安全区域。并且一个接口只能加入到一个安全区域，该接口既可以是物理接口，也可以是逻辑接口，一个安全区域能够支持的最大接口数为1024个。

安全区域与各个网络的关联原则为：内部网络安排在安全级别较高的区域，外部网络安排在安全级别较低的区域，可以对外部提供有条件服务的网络安排在安全级别中等的DMZ区域，对每个安全区域要定义安全优先级，目的是用来区分安全区域间数据流的方向。入方向（Inbound）指数据由低级别的安全区域向高级别的安全区域传输，出方向（Outbound）指数据由高级别的安全区域向低级别的安全区域传输。当数据流在安全区域间流动时，会激发防火墙进行安全策略检查，不同区域之间可设置不同的安全策略。

华为防火墙的工作模式分为：路由模式、透明模式和混合模式。 （1） 路由模式：如果防火墙通过第三层对外连接（接口具有IP地址），则防火墙工作在路由模式下，当防火墙位于内部网络和外部网络之间时，需要将防火墙与内部网络、外部网络以及DMZ这3个区域相连的接口分别配置成不同网段的IP地址，重新规划原有的网络拓扑，此时相当于一台路由器。采用路由模式时，可以完成ACL包过滤、ASPF动态过滤、NAT转换等功能。它需要对网络拓扑进行修改，比如内部用户需要更改网关、路由器配置等；（2）透明模式：如果防火墙通过第二层对外连接（接口无IP地址），则防火墙工作在透明模式下，内部网络和外部网络处于同一个子网中，这时只需要在网络中插入该防火墙设备即可，无需修改任何已有的配置，而报文在防火墙中可以做高层分析处理；（3）混合模式：如果USG防火墙既存在以路由模式工作的接口，又存在以透明模式工作的接口， 则防火墙工作在混合模式下，这种工作模式目前只用于透明模式下提供双机热备的特殊应用中，其他场景不建议使用。

敲黑板：防火墙默认有5个区域，安全优先级越大越安全，最多增加到16个安全区域，华为防火墙有三种工作模式，分别是路由、透明和混合。

21世纪会淘汰有学历的人，永远不会淘汰有学习力的人！谁把学习当做最重要的事，未来就是最重要的人！

-end-

要想不错过消息，记得点个赞，和“再看"呀

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。