原标题:H3C防火墙:安全区域

传统防火墙通常都基于接口进行策略配置,网络管理员需要为每一个接口配置安全策略。

防火墙的端口朝高密度方向发展,基于接口的策略配置方式给网络管理员带来了极大的负担,安全策略的维护工作量成倍增加,从而也增加了因为配置引入安全风险的概率。

和传统防火墙基于接口的策略配置方式不同,业界主流防火墙通过围绕安全区域(security zone)来配置安全策略的方式解决上述问题。

安全区域是按照接口划分,可以包含三层普通物理接口和逻辑接口,也可以包括二层物理trunk接口+vlan,划分到同一个安全区域中的接口通常在安全策略控制中具有一致的安全需求。

SecPath防火墙上保留四个安全区域:

非受信区(Untrust):低级的安全区域,其安全优先级为 5。

非军事化区(DMZ):中度级别的安全区域,其安全优先级为50。

受信区(Trust):较高级别的安全区域,其安全优先级为85。

本地区域(Local):最高级别的安全区域,其安全优先级为100。

备注:DMZ这一术语起源于军方,指的是介于严格的军事管制区域和松散的公共区域之间的一种有着部分管制的区域。

安全区域中引用这一术语,指代一个逻辑上和物理上都与内部网络和外部网络分离的区域。

通常部署网络时,将那些需要被公共访问的设备(如web服务器,FTP服务器,邮件服务器)放置于此。

接口、网络与安全区域的关系

除了Local区域以外,在使用其他所有安全区域时,需要将安全区域分别与防火墙的特定接口相关联,即将接口加入到区域。

安全区域与各网络的关联遵循下面的原则:

内部网络应安排在安全级别较高的区域

外部网络应安排在安全级别最低的区域

一些可对外部提供有条件服务的网络应安排在安全级别中等的DMZ区

具体来说,Trust所属接口用于连接用户要保护的网络;Untrust所属接口连接外部网络;DMZ区所属接口连接用户向外部提供服务的部分网络;从防火墙设备本身发起的连接即是从Local区域发起的连接。相应的所有对防火墙设备本身的访问都属于向Local区域发起访问连接。区域之间的关系如下图所示:

Comware V5版本防火墙上默认的安全区域访问控制策略:

高优先级安全区域可以访问低优先级区域;

低优先级安全区域不允许访问高优先级区域;

相同优先级安全区域可以相互访问;

相同安全区域内可以相互访问;

默认情况下,其它所有安全区域都可以访问Local域;

Comware V7防火墙访问控制策略:

Comware V7 防火墙域间策略采用比 Comware V5 更严格的过滤规则,接口若不加入安全域和配置域间策略,无论是访问设备本地的流量还是需要设备转发的流量均无法访问或转发。

Comware V7 防火墙不存在域的优先级的概念,亦不存在相同域间不配置域间策略即可转发的概念,所有需要防火墙处理的流量均需要配置安全域和域间策略。

Comware V7 防火墙域间实例间不配置域间策略默认 Deny 所有流量。返回搜狐,查看更多

责任编辑:

防火墙邮件服务器h3c,H3C防火墙:安全区域相关推荐

  1. 防火墙dhcp服务器性能,F100-A-G 防火墙当做DHCP服务器,下接E528交换机,能不能划分多个VLAN?...

    E528 交换机支持三层功能, E528交换机作为核心交换机,所有的vlan建在交换机上,并建立三层接口,将相应的端口加入相应的vlan,比如: vlan 10 port g1/0/10 vlan 1 ...

  2. 54款开源服务器软件(内容管理、数据库、电子商务、邮件服务器、文件传输、操作系统、安全、小公司服务 .

    本文逐一介绍了内容管理.数据库.电子商务.邮件服务器.文件传输.操作系统.安全.小公司服务器.服务器日志文件监控和分析.存储.虚拟化.Web服务器.维基/协作及其他方面的开源服务器软件. 据斯坦福大学 ...

  3. 利用CMailServer搭建邮件服务器

    1. 邮件服务器需要具备的三大条件: 1) 国际域名(基于稳定性考虑,不推荐用户用免费域名来搭建邮件系统)     2) 公网IP         (1) 公网固定IP.         (2) 公网 ...

  4. 使用动态IP+MDaemon架设邮件服务器

    最近和几个朋友以前在捣鼓MDaemon,在慢慢看教程跟摸索的情况下,了解了MD最基本的一些应用,下面我们就一步一步来做,目标是建立一个能收发外网的拥有顶级域名的内部邮件服务器.像我这样的属于穷鬼一族, ...

  5. 邮件服务器IP被列黑名单的解决思路

    1.什么是邮件黑名单? 随着互联网的不断普及和扩大,在它带给人们方便的时候,也给了一些黑客从事非法活动提供了很隐蔽的方式.黑客经常利用一些木马.病毒程序从事非法活动,对企事业单位经常会造成不可想象的损 ...

  6. centos7搭建 Postfix邮件服务器

    目录 检查系统版本 修改主机名称未邮件服务器域名 关闭防火墙 关闭seliunx 安装DNS 介绍postfix.dovecot 配置postfix 安装 .配置dovecot 安装Postfix前, ...

  7. RHCE(十三)用postfix搭建邮件服务器

    搭建邮件服务器 postfix 邮件系统的组成 邮件服务工作流程 三种协议 SMTP POP3 IMAP POP3 和 IMAP 区别 常用端口 mail命令 邮件群发 搭建框架 Linux系统上搭建 ...

  8. 护航中小企业 H3C F100-C-A5防火墙微评测

    当企业业务对网络的依赖性越来越大,安全问题也随之而来.不少企业选择通过叠加安全硬件产品来提升企业业务的安全性.而防火墙就是主要的安全硬件产品之一,在企业网络安全中始终发挥着重要作用.但放眼整个安全市场 ...

  9. 华三防火墙h3cf100配置双宽带_华三防火墙主备配置 h3c f100防火墙配置教程

    怎么进入H3C的防火墙配置? 使用discur命令查看当前配置 1.首先进入H3C防火墙界面,然后进入web将界面改为两层模式.2将二层模式的接口转移到信任安全域.三.单击界面左侧快捷菜单栏中的防火墙 ...

最新文章

  1. 2022-2028年中国装备制造产业深度分析及发展规划咨询建议报告(全卷)
  2. 复杂问题需要系统思维
  3. 页面重新加载_Chrome为PWA应用加入了返回和重新加载按钮
  4. 【Linux】1.shell各个命令
  5. python中fit内参数的类型_Python fit
  6. php组合设计模式(composite pattern)
  7. 跳房子(ybtoj-单调队列)
  8. python小结教学_Python Str内部功能-个人课堂笔记,课后总结
  9. VC++6.0环境下调试c语言代码的方法和步骤_附图
  10. 最简单的YUV422转jpg的例程
  11. Github emoji 表情包大全
  12. web前端学习135-144(盒子模型---网页布局,盒子模型组成,边框,表格细线边框,盒子实际大小,内边距)
  13. mysql 1032 1062_mysql slave频繁报1032_1062错误
  14. linux 信号sigabrt,關於Linux中的SIGABRT信號
  15. 转载 100本软件开发最佳书籍排行榜
  16. 数据库——sql修改主键
  17. 明日方舟系统拆解脑图
  18. 关于AD转换设计中的基本问题
  19. Flutter 关于图片的保存以及权限申请及安卓配置
  20. linux vim基础设置

热门文章

  1. 人才招聘系统phpyun6.0_v6.0.1_6.0.2新增阿里云方案短信插件支持短信群发视频面试聊天插件
  2. 论文阅读:Spectral Networks and Deep Locally Connected Networks on Graphs
  3. 推荐系统知识梳理——FM
  4. 最老程序员创业札记:全文检索、数据挖掘、推荐引擎应用9
  5. 13个人围成一圈,从第1个人开始顺序报号1、2、3,凡报到3的人退出圈子。找出最后留在圈子里的人原来的序号。
  6. 没错是你想知道的——人工智能学习方向
  7. 用Python爬取陈奕迅歌曲10万条评论的新发现
  8. python 判断x是否为英文字母 数字 空格
  9. 基于Android的儿童绘本阅读与收听APP的设计与实现【附项目源码+论文说明】
  10. view桌面模板控制usb权限