2 防火墙安全域

2.1.1  安全域介绍

防火墙基于安全域进行访问控制，将从接口的访问控制上升到基于安全域的访问控制。防火墙从体系结构上抛弃了传统防火墙的内外概念，各个域间的默认安全级别是一样的，之间的安全差异由用户来定制，具有极大的灵活性。防火墙可以根据企业的安全需求将不同网段划分成独立的安全域，通过在这些安全域间加载独立的访问控制策略来限制不同信任度网络之间的相互访问，也就是说，防火墙提供了更加细粒度的安全控制，这样即使某个低安全等级的区域出现了安全裂缝，但由于受到防火墙的控制，其它安全域也不会受其影响。

2.1.2  安全域分类

防火墙默认分为5个安全区域：untrust、dmz、trust、local、management，安全域名称不同对应的功能也有区别：

untrust(不信任域):

通常用来定义Internet等不安全的网络，用于网络入口线的接入。

dmz(隔离区):

通常用来定义内部服务器所在网络，作用是把WEB,E-mail,等允许外部访问的服务器单独接在该区端口，使整个需要保护的内部网络接在信任区端口后，不允许任何访问，实现内外网分离，达到用户需求。DMZ可以理解为一个不同于外网或内网的特殊网络区域，DMZ内通常放置一些不含机密信息的公用服务器，比如Web、Mail、FTP等。这样来自外网的访问者可以访问DMZ中的服务，但不可能接触到存放在内网中的公司机密或私人信息等，即使DMZ中服务器受到破坏，也不会对内网中的机密信息造成影响。

trust(信任域):通常用来定义内部用户所在的网络，也可以理解为应该是防护最严密的地区。

local(本地):local就是防火墙本身的区域,比如ping指令等网际控制协议的回复，需要local域的权限，总结为以下两点：
1、凡是由防火墙主动发出的报文均可认为是从Local区域中发出
​​​​​​2、​凡是需要防火墙响应并处理（而不是转发）的报文均可认为是由Local区域接收

management(管理):除了console控制接口对设备进行配置,如果防火墙设备可以通过web界面配置的话，需要一根双绞线连接到管理接口，键入用户名和密码进行配置。

2.1.3  安全域访问规则

缺省情况下（除management区域）所有安全域之间均不能互访、同安全区域间终端也无法互访，安全域之间互访必须使用安全策略来实现。

举例：现场设备已经放通了Any域到Any域的安全策略后发现trust域内用户无法互访？

zone-pair security source Any destination Any

packet-filter 3000

#

acl advanced 3000

rule 0 permit ip

.#

答案是Any域到Any域不包括trust域到trust域、trust域到local域、local域到trust域，因此需要放通同安全域间安全策略，放通同安全域安全策略有两种方法：

1、通过“security-zone intra-zone default permit”命令放通同安全域间的数据互访。

<H3C>system-view

[H3C]security-zone intra-zone default permit

2、配置同安全域间安全策略。

zone-pair security source trust destination trust

packet-filter 3000

#

acl advanced 3000

rule 0 permit ip

#

3 安全策略与对象策略

3.1  H3C 防火墙安全策略与域间策略

3.1.1  域间策略

1. 域间策略介绍

防火墙加入安全域的概念之后，安全管理员将安全需求相同的接口或IP地址进行分类（划分到不同的域），能够实现策略的分层管理，管理员只需要部署各域之间的域间策略即可。

域间策略是一种安全策略，应用于域间实例之间。域间实例用于指定安全策略所需检测报文流的源安全域和目的安全域，即首个报文要进入的安全域和要离开的安全域。在域间实例上应用域间策略可实现对报文流的检查，并根据检查结果允许或拒绝其通过。域间策略通过配置域间策略规则实现。

一个域间策略中可以包含多条用于识别报文流的规则，称为域间策略规则。这里的规则是指通过指定对象组来描述报文匹配条件的判断语句，匹配条件可以是报文的源地址、目的地址、服务类型等。设备依照这些规则识别出特定的报文，并根据设定的动作对其进行处理。

IPv4域间策略规则可以指定引用的对象，包括以下几种：

1、源IP地址对象：用于与报文的源IP地址进行匹配

2、目的IP地址对象：用于与报文的目的IP地址进行匹配

3、服务对象：用于与报文携带的服务类型进行匹配，如ICMP、TCP

4、VPN实例：用于与报文的VPN实例进行匹配

当一个域间策略中包含多条规则时，报文会按照一定的顺序与这些规则进行匹配，一旦匹配上某条规则便结束匹配过程。域间策略规则的匹配顺序与规则的创建顺序有关，先创建的规则优先进行匹配。域间策略规则的显示顺序与匹配顺序一致，从上到下依次匹配。同时可以通过命令移动规则位置来调整规则的匹配顺序。

2. 域间策略实现

NGFW防火墙上配置域间策略有两种方式，一种是基于ACL的包过滤策略，一种是基于对象组的对象策略。两者同时配置时对象策略的优先级高于包过滤策略。

1、基于ACL的包过滤策略：

zone-pair security source trust destination untrust

packet-filter 3000

2、基于对象组的对象策略

zone-pair security source trust destination untrust

object-policy apply ip market-1

3.1.2  安全策略

1. 安全策略介绍

与基于域间实例的包过滤策略、对象策略相比，安全策略具有如下优势：

1、与包过滤策略相比，安全策略不仅可以通过五元组对报文进行控制，还可以有效区分协议（如HTTP协议）上承载的不同应用（如基于网页的游戏、视频和购物），使网络管理更加精细和准确。

2、与对象策略相比，安全策略可以基于用户对报文进行控制，使网络管理更加灵活和可视。

3、安全策略的加速功能可用于提高安全策略规则的匹配速度。当有大量用户同时通过设备新建连接时，如果安全策略内包含大量规则，加速功能可以提高规则的匹配速度，保证网络通畅。

4、安全策略不再局限于一对一的域间实例下的引用，可以匹配一对多、多对一以及多对多等情况下安全域之间的访问。

H3C NGFW防火墙新Web版本支持安全策略，同时也仍然支持域间策略。当两种同样功能的策略同时存在时必然是有优先顺序：安全策略功能与对象策略功能在设备上不能同时使用，开启安全策略功能后，对象策略功能立即失效；当安全策略与包过滤策略同时配置时，由于安全策略对报文的处理在包过滤策略之前，报文与安全策略规则匹配成功后，不再进行包过滤处理。

2. 安全策略实现

安全策略配置举例：

security-policy ip

rule 0 name market

   action pass

   source-zone trust

   destination-zone untrust

profile 8_IPv4

source-ip market

service http