2 防火墙安全域

2.1.1  安全域介绍

防火墙基于安全域进行访问控制，将从接口的访问控制上升到基于安全域的访问控制。防火墙从体系结构上抛弃了传统防火墙的内外概念，各个域间的默认安全级别是一样的，之间的安全差异由用户来定制，具有极大的灵活性。防火墙可以根据企业的安全需求将不同网段划分成独立的安全域，通过在这些安全域间加载独立的访问控制策略来限制不同信任度网络之间的相互访问，也就是说，防火墙提供了更加细粒度的安全控制，这样即使某个低安全等级的区域出现了安全裂缝，但由于受到防火墙的控制，其它安全域也不会受其影响。

2.1.2  安全域分类

防火墙默认分为5个安全区域：untrust、dmz、trust、local、management，安全域名称不同对应的功能也有区别：

untrust(不信任域):

通常用来定义Internet等不安全的网络，用于网络入口线的接入。

dmz(隔离区):

通常用来定义内部服务器所在网络，作用是把WEB,E-mail,等允许外部访问的服务器单独接在该区端口，使整个需要保护的内部网络接在信任区端口后，不允许任何访问，实现内外网分离，达到用户需求。DMZ可以理解为一个不同于外网或内网的特殊网络区域，DMZ内通常放置一些不含机密信息的公用服务器，比如Web、Mail、FTP等。这样来自外网的访问者可以访问DMZ中的服务，但不可能接触到存放在内网中的公司机密或私人信息等，即使DMZ中服务器受到破坏，也不会对内网中的机密信息造成影响。

trust(信任域):通常用来定义内部用户所在的网络，也可以理解为应该是防护最严密的地区。

local(本地):local就是防火墙本身的区域,比如ping指令等网际控制协议的回复，需要local域的权限，总结为以下两点：
1、凡是由防火墙主动发出的报文均可认为是从Local区域中发出
​​​​​​2、​凡是需要防火墙响应并处理（而不是转发）的报文均可认为是由Local区域接收

management(管理):除了console控制接口对设备进行配置,如果防火墙设备可以通过web界面配置的话，需要一根双绞线连接到管理接口，键入用户名和密码进行配置。

2.1.3  安全域访问规则

缺省情况下（除management区域）所有安全域之间均不能互访、同安全区域间终端也无法互访，安全域之间互访必须使用安全策略来实现。

举例：现场设备已经放通了Any域到Any域的安全策略后发现trust域内用户无法互访？

zone-pair security source Any destination Any

packet-filter 3000

#

acl advanced 3000

rule 0 permit ip

.#

答案是Any域到Any域不包括trust域到trust域、trust域到local域、local域到trust域，因此需要放通同安全域间安全策略，放通同安全域安全策略有两种方法：

1、通过“security-zone intra-zone default permit”命令放通同安全域间的数据互访。

<H3C>system-view

[H3C]security-zone intra-zone default permit

2、配置同安全域间安全策略。

zone-pair security source trust destination trust

packet-filter 3000

#

acl advanced 3000

rule 0 permit ip

#