防火墙对安全区域的划分：防火墙基础安全区域

逗爷 2023-02-21 12:01:05 534

防火墙对安全区域的划分：防火墙基础安全区域3、GE0/0/2未配置网络地址转换NAT；2、对外到ISP1、ISP2的路由均为缺省路由。2、路由条目则是配置了两条缺省。由此，配置不完整，存在三个问题：1、GE0/0/2没有加入任何安全区域，因此也就更未配置安全策略。

前段时间一位朋友的单位网络新增加了一条的外网线路（在本文中称为ISP2），在防火墙上摸索着配置了地址和路由，但无法访问对应的的业务（在本文中称为Srv2），于是找我帮忙看看该如何配置。其单位网络拓扑大致模拟如图1：

防火墙对安全区域的划分：防火墙基础安全区域(1)

图1

经远程登录防火墙FW1查看，该设备是华为USG2110，针对ISP2上的业务做了如下配置：

1、GE0/0/2正确配置了地址；

2、路由条目则是配置了两条缺省。

由此，配置不完整，存在三个问题：

1、GE0/0/2没有加入任何安全区域，因此也就更未配置安全策略。

2、对外到ISP1、ISP2的路由均为缺省路由。

3、GE0/0/2未配置网络地址转换NAT；

其中出现第1个问题估计只是把防火墙当成了普通路由器进行了配置。第2个问题则可能因为负载均衡问题，造成报文往返路径不一致进一步导致对外业务不通。第3个问题大概是没注意私有IP地址和公有IP地址。

首先让我们来看一下什么是防火墙的安全区域：

它是防火墙上一个或多个接口的集合，防火墙通过安全区域来划分网络、标识报文流动的方向和路线。一般说某个安全区域，可认为指的是该安全区域中接口所连接的网络。因此FW1上连接ISP2的GE0/0/2应加入某个安全区域。另外华为防火墙的一个接口（可以是物理接口、也可以是逻辑接口）只能加入到一个安全区域（Local区域除外）中。
每个安全区域都必须有一个唯一的安全级别，用1～100的数字表示，数字越大表示该区域内的网络越可信。
华为防火墙默认提供四个安全区域：

1. Local区域：代表防火墙本身，安全级别100。防火墙主动发出的报文——从Local 区域发出，防火墙响应并处理（而不是转发）的报文——由Local区域接收。防火墙上所有接口本身都隐含的属于Local 区域。

2. Trust 区域：安全级别85。一般用来连接单位内部用户所在的网络。在图1中连接了单位内部局域网。

3. DMZ 区域：安全级别50。一般用来连接单位内部服务器所在的网络。

4. Untrust区域：安全级别5。一般用来连接Internet 等不安全的网络。在图1中连接了到ISP1的网络。

华为防火墙在默认情况下，报文在不同的安全区域之间流动时受控于安全策略（或者说安全规则），在同一安全区域内流动时不受控制；但也支持对同一个安全区域内流动的报文进行控制。报文从低级别的安全区域向高级别的安全区域流动时是入方向（Inbound），报文从高级别的安全区域向低级别的安全区域流动时是出方向（Outbound）。

接下来让我们再来看一下防火墙的安全策略：

安全策略（规则）对防火墙接收、发送、转发的报文进行控制，由条件和动作两部分组成。
安全策略的条件，可包含多个过滤字段，如源地址、目的地址、源端口、目的端口、协议等，只有报文中的信息匹配上所有字段，才算命中该条件。如果同一个过滤字段中有多个匹配项，例如同时有2个源地址，则只要报文匹配了其中的1项，就算命中该条件。
如果报文命中了某一条安全策略，防火墙就会执行该安全策略中的动作，或允许通过或拒绝通过，不会再继续向下查找；如果报文没有命中某条安全策略，则会向下继续查找。
华为防火墙默认情况下，在最后有一条缺省包过滤规则，动作是拒绝通过。该规则可以更改。
和ACL相似，配置安全策略遵循“先细致，后粗略”的原则。

最后对防火墙的配置进行完善，以便内网局域网的PC1（192.168.0.1）能够访问到ISP2的Srv2（50.1.1.1）的HTTP业务。

1. 配置安全区域：

为了与ISP1区分开，在防火墙上添加一个名为ISP2的安全区域，安全级别设置为3，将接口G0/0/2加入到该区域。

[FW1]firewall zone name isp2

[FW1-zone-isp2]set priority 3

[FW1-zone-isp2]add interface GigabitEthernet 0/0/2

[FW1-zone-isp2]quit

2. 配置源NAT：

原理和路由器相同，但是命令形式可能和普通路由器不同。与上面介绍的安全策略配置方式有些相似。首先需要NAT转换的报文流动也是在区域间并且存在方向，然后在具体策略中指定哪些IP地址需要进行源NAT转换（本文中仅允许PC1的192.168.0.1），方式是IP地址和端口都进行转换，指定转换用的公网地址或地址池（本文使用的是接口G0/0/2的IP地址）。

[FW1]nat-policy interzone trust isp2 outbound

[FW1-nat-policy-interzone-trust-isp2-outbound]policy 1

[FW1-nat-policy-interzone-trust-isp2-outbound-1]policy source 192.168.0.1 0

[FW1-nat-policy-interzone-trust-isp2-outbound-1]action source-nat

[FW1-nat-policy-interzone-trust-isp2-outbound-1]easy-ip GigabitEthernet 0/0/2

[FW1-nat-policy-interzone-trust-isp2-outbound-1]quit

[FW1-nat-policy-interzone-trust-isp2-outbound]quit

3. 配置安全策略

首先是报文流动是在trust、isp2安全区域之间并且方向是outbound，然后在具体策略中指定哪些源IP地址（本文中仅允许PC1的192.168.0.1）、可以访问哪些目的IP地址（本文是Srv2的50.1.1.1）以及提供的服务（本文是Srv2提供的HTTP），动作是否允许通过（本文是允许）。

[FW1]policy interzone trust isp2 outbound

[FW1-policy-interzone-trust-isp2-outbound]policy 1

[FW1-policy-interzone-trust-isp2-outbound-1]policy source 192.168.0.1 0

[FW1-policy-interzone-trust-isp2-outbound-1]policy destination 50.1.1.1 0

[FW1-policy-interzone-trust-isp2-outbound-1]policy service service-set http

[FW1-policy-interzone-trust-isp2-outbound-1]action permit

[FW1-policy-interzone-trust-isp2-outbound-1]quit

[FW1-policy-interzone-trust-isp2-outbound]quit

4. 修改去往Srv2的50.1.1.1的路由配置

之前配置的两条缺省路由，会被认为是等价路由，也就是说当PC1访问Srv2时，有可能报文会从防火墙的G0/0/1口发出去，应答报文可能会从ISP2的R2返回，从而因为往返路径不一致导致网络不通。因此需要配置更详细的路由条目。

[FW1]undo ip route-static 0.0.0.0 0.0.0.0 2.2.2.1

[FW1]ip route-static 50.1.1.1 32 2.2.2.1