H3C-安全域-整本手册

i目录1安全域管理........................................................................................................................................1-11.1概述...................................................................................................................................................1-11.2配置安全域........................................................................................................................................1-11.2.1配置概述.................................................................................................................................1-11.2.2创建安全域..............................................................................................................................1-21.2.3添加接口到安全域...................................................................................................................1-31.3安全域典型配置举例..........................................................................................................................1-41-11安全域管理1.1概述传统的防火墙的策略配置通常都是围绕报文入接口、出接口展开的，这在早期的双穴防火墙中还比较普遍。随着防火墙的不断发展，已经逐渐摆脱了只连接外网和内网的角色，出现了内网/外网/DMZ（DemilitarizedZone，非军事区）的模式，并且向着提供高端口密度的方向发展。一台高端防火墙通常能够提供十几个以上的物理接口，同时连接多个逻辑网段。在这种组网环境中，传统基于接口的策略配置方式需要为每一个接口配置安全策略，给网络管理员带来了极大的负担，安全策略的维护工作量成倍增加，从而也增加了因为配置引入安全风险的概率。和传统防火墙基于接口的策略配置方式不同，业界主流防火墙通过围绕安全域（SecurityZone）来配置安全策略的方式解决上述问题。所谓安全域，是一个抽象的概念，它可以包含普通物理接口和逻辑接口，也可以包括二层物理Trunk接口+VLAN，划分到同一个安全区域中的接口通常在安全策略控制中具有一致的安全需求。引入安全区域的概念之后，安全管理员将安全需求相同的接口进行分类（划分到不同的区域），能够实现策略的分层管理。比如，首先可以将防火墙上连接到研发不同网段的四个接口加入安全域Zone_RND，连接服务器区的两个接口加入安全域Zone_DMZ，这样管理员之需要部署这两个域之间的安全策略即可。同时如果后续网络变化，只需要调整相关域内的接口，而安全策略不需要修改。可见，通过引入安全域的概念，不但简化了策略的维护复杂度，同时也将网络业务和安全业务的分离。图1-1安全区域划分示意图1.2配置安全域1.2.1配置概述用户登录到Web网管界面后，在界面左侧的导航栏中选择“设备管理安全域”，进入如图1-2所示的界面。1-2图1-2安全域管理Web界面安全域配置的推荐步骤如表1-1所示。表1-1安全域配置步骤步骤配置任务说明11.2.2创建安全域可选缺省情况下，ROOT虚拟防火墙有以下几个安全域：Management、Local、Trust、DMZ、Untrust21.2.3添加接口到安全域必选添加指定的接口（包括物理接口、三层子接口、二层子接口、VLAN虚接口、二层以太网接口+VLAN）到已创建的安全域，可添加的接口和VLAN必须与安全域在同一个虚拟防火墙中1.2.2创建安全域在导航栏中选择“设备管理安全域”，单击新建按钮，进入安全域的创建页面。图1-3创建安全域创建安全域的详细配置如表1-2所示。表1-2创建安全域的详细配置配置项说明安全域ID安全域ID在同一个虚拟防火墙中必须唯一安全域名安全域名称1-3配置项说明优先级设置安全域的优先级缺省情况下，允许从高优先级安全域到低优先级安全域方向的报文通过共享指定安全域是否可以被其他虚拟防火墙访问可点击返回“表1-1安全域配置步骤”。1.2.3添加接口到安全域在导航栏中选择“设备管理安全域”，单击需要修改的安全域对应的编辑图标，进入修改安全域页面。图1-4修改安全域安全域的详细配置如表1-3所示。表1-3添加接口到安全域的详细配置配置项说明ID/域名/虚拟设备安全域的ID、域名和所属的虚拟设备不可以修改优先级指定安全域的优先级缺省情况下，允许从高优先级安全域到低优先级安全域方向的报文通过共享指定安全域是否可以被其他虚拟设备引用接口已经添加到安全域的接口处于选中状态；可以添加到安全域但还没有添加的接口处于未选中状态接口所属VLAN如果是二层以太网接口，必须同时指定添加到安全域的VLAN范围。VLAN必须已经添加到安全域所属虚拟防火墙中，且没有被添加到其他的安全区域中可点击返回“表1-1安全域配置步骤”。1-41.3安全域典型配置举例1.组网需求某公司以SecBlade防火墙作为网络边界防火墙，连接公司内部网络和Internet。公司需要对外提供服务。现需要对防火墙进行一些安全域的基本配置，为后面的安全策略的设置做好准备。图1-5配置安全域组网图DMZUntrustTrustSecBladeGE0/0.1GE0/0.2GE0/0.3FTPserver配置思路(1)公司内部网络属于可信任网络，可以自由访问服务器和外部网络。可以将内部网络部署在优先级相对较高的Trust区域，由防火墙的以太网口Ten-GigabitEthernet0/0.1与之相连。(2)外部网络属于不可信任网络，需要使用严格的安全规则来限制外部网络对公司内部网络和服务器的访问。可以将外部网络部署在优先级相对较低的Untrust区域，由防火墙的以太网口Ten-GigabitEthernet0/0.3与之相连。(3)公司对外提供服务的、FTPServer等，如果将这些服务器放置于外部网络则它们的安全性无法保障；如果放置于内部网络，外部恶意用户则有可能利用某些服务的安全漏洞攻击内部网络。可以将服务器部署在优先级处于Trust和Untrust之间的DMZ区域，由防火墙的以太网口Ten-GigabitEthernet0/0.1与之相连。这样，处于DMZ区域的服务器可以自由访问处于优先级较低的Untrust区域的外部网络，但在访问处于优先级较高的Turst区域的公司内部网络时，则要受到严格的安全规则的限制。3.配置步骤缺省情况下，系统已经创建了Trust、DMZ和Untrust安全域。因此不需要创建这些安全域，只需对其进行部署即可。(1)部署Turst安全域#添加Ten-GigabitEthernet0/0.1接口到Trust域。z在导航栏中选择“系统管理-安全域管理”。z单击Trust安全域的编辑图标。z选中Ten-GigabitEthernet0/0.1。1-5z单击确定按钮。(2)部署DMZ安全域#添加Ten-GigabitEthernet0/0.2接口到DMZ域。z在导航栏中选择“系统管理-安全域管理”。z单击DMZ安全域的编辑图标。z选中Ten-GigabitEthernet0/0.2。z单击确定按钮。(3)部署Unturst安全域#添加Ten-GigabitEthernet0/0.3接口到Unturst域。z在导航栏中选择“系统管理-安全域管理”。z单击Unturst安全域的编辑图标。z选中Ten-GigabitEthernet0/0.3。z单击确定按钮。