安全区域(Security Zone):
它是一个或多个接口的集合,是防火墙区别于路由器的主要特性。
防火墙通过安全区域来划分网络、标识报文流动的“路线”,当报文在不同的安全区域之间流动时,才会触发后续的安全检查、
默认的安全区域有以下几个:
Trust区域:
网络的受信任程度高;
通常用来定义内部用户所在的网络。
DMZ区域:
网络的受信任程度中等;
通常用来定义内部服务器所在的网络。
Untrust区域:
网络的受信任程度低;
通常用来定义Internet等不安全的网络。
Local安全区域:
防火墙上提供的Local区域,代表防火墙本身
基于ensp进行区域划分实验:
- 首先启动防火墙USG6000V
- 进入防火墙(需要输入账号密码——默认账号为admin,默认密码为Admin@123)
- 进入系统视图——system-view
- 进行划分
[USG6000V1]firewall zone trust(选择不同的安全区域)
[USG6000V1-zone-trust]add interface GigabitEthernet 1/0/0(将接口加入不同的安全区域,实现划分)
这些区域,虽然都是默认存在,但是其受信程度各不相同(以下为排列顺序):
Local > Trust > DMZ > Untrust;
当然由于实际需求,用户可以根据需要,自行创建安全区域并定义其优先级
创建方式如下:
[USG6000V1]firewall zone name 666(自行取名)
[USG6000V1-zone-666]set priority 66(设置区域的优先级)