如何配置防火墙防火墙的基本配置方法 _知识分享

如何配置防火墙，防火墙的基本配置方法。欲强网带你了解更多相关信息。
1.1 什么是防火墙
防火墙是一种网络安全设备，通常位于网络边界，用于隔离不同安全级别的网络，保护一个网络免受来自另一个网络的攻击和入侵。这种“隔离”不是一刀切，是有控制地隔离，允许合法流量通过防火墙，禁止非法流量通过防火墙。
如图1.1所示，防火墙位于企业Internet出口保护内网安全。在防火墙上可以指定规则，允许内网10.1.1.0/24网段的PC访问Internet ，禁止Internet用户访问IP地址为192.168.1.2的内网主机。

文章插图
1.1
由上文可见，防火墙与路由器、交换机是有区别的。路由器用来连接不同的网络，通过路由协议保证互联互通，确保将报文转发到目的地；交换机通常用来组建局域网，作为局域网通信的重要枢纽，通过二层/三层交换快速转发报文；而防火墙主要部署在网络边界，对进出网络的访问行为进行控制，安全防护是其核心特性。路由器与交换机的本质是转发，防火墙的本质是控制。
防火墙控制网络流量的实现主要依托于安全区域和安全策略，下文详细介绍。
1.2 接口与安全区域
前文提到防火墙用于隔离不同安全级别的网络，那么防火墙如何识别不同网络呢？答案就是安全区域（Security Zone）。通过将防火墙各接口划分到不同的安全区域，从而将接口连接的网络划分为不同的安全级别。防火墙上的接口必须加入安全区域（部分机型的独立管理口除外）才能处理流量。
【如何配置防火墙防火墙的基本配置方法】 安全区域的设计理念可以减少网络攻击面，一旦划分安全区域，流量就无法在安全区域之间流动，除非管理员指定了合法的访问规则。如果网络被入侵，攻击者也只能访问同一个安全区域内的资源，这就把损失控制在一个比较小的范围内。因此建议通过安全区域为网络精细化分区。
接口加入安全区域代表接口所连接的网络加入安全区域，而不是指接口本身。接口、网络和安全区域的关系如图1.2所示。

文章插图
1.2
防火墙的安全区域按照安全级别的不同从1到100划分安全级别，数字越大表示安全级别越高。防火墙缺省存在trust、dmz、untrust和local四个安全区域，管理员还可以自定义安全区域实现更细粒度的控制。例如，一个企业按图1-3划分防火墙的安全区域，内网接口加入trust安全区域，外网接口加入untrust安全区域，服务器区接口加入dmz安全区域，另外为访客区自定义名称为guest的安全区域。
一个接口只能加入到一个安全区域，一个安全区域下可以加入多个接口。

文章插图
1.3
上图中有一个特殊的安全区域local ，安全级别最高为100 。local代表防火墙本身， local区域中不能添加任何接口，但防火墙上所有接口本身都隐含属于local区域。凡是由防火墙主动发出的报文均可认为是从local安全区域发出，凡是接收方是防火墙的报文（非转发报文）均可认为是由local安全区域接收。
另外除了物理接口，防火墙还支持逻辑接口，如子接口、VLANIF、Tunnel接口等，这些逻辑接口在使用时也需要加入安全区域。
1.3 安全策略
前文提到防火墙通过规则控制流量，这个规则在防火墙上被称为“安全策略” 。安全策略是防火墙产品的一个基本概念和核心功能，防火墙通过安全策略来提供安全管控能力。
如图1-4所示，安全策略由匹配条件、动作和内容安全配置文件组成，针对允许通过的流量可以进一步做反病毒、入侵防御等内容安全检测。

如何配置防火墙 防火墙的基本配置方法

如何配置防火墙防火墙的基本配置方法