配置接口及安全区域
背景信息
安全区域(Security Zone),简称为区域(Zone),是一个或多个接口所连网络的集合,这些网络中的用户具有相同的安全属性。大部分的安全策略都基于安全区域实施。通过安全区域,防火墙上划分出了等级森严、关系明确的网络,防火墙成为连接各个网络的节点。防火墙通过安全区域来划分网络、标识报文流动的“路线”,当报文在不同的安全区域之间流动时,才会触发安全检查,并实施相应的安全策略。安全区域之间默认是隔离的。
一般可以认为园区内网是安全的,安全威胁主要来自外界,所以把Internet划分为Untrust区域,园区内网划分为Trust区域,在园区出口位置部署安全设备来做内外网隔离,抵御外网威胁。数据中心区域一般划分为DMZ区域,在DMZ区域部署防火墙来做园区内网与数据中心各服务器之间的流量隔离。图5-5为出口网络接口的规划示意图。
规划样例
设备 |
接口名称 |
接口类型 |
虚拟系统 |
安全区域 |
模式 |
成员接口 |
其他选项 |
|---|---|---|---|---|---|---|---|
FW-a |
Eth-Trunk1 |
接口汇聚 |
public |
- |
路由 |
GE1/0/1; GE1/0/2 |
缺省 |
FW-b |
Eth-Trunk1 |
接口汇聚 |
public |
- |
路由 |
GE1/0/1; GE1/0/2 |
缺省 |
设备 |
接口名称 |
虚拟系统 |
安全区域 |
模式 |
VLAN Tag |
连接类型 |
IP地址 |
默认网关 |
其他选项 |
备注 |
|---|---|---|---|---|---|---|---|---|---|---|
FW-a |
GE1/0/3 |
public |
dmz |
路由 |
- |
静态IP |
192.168.150.1/30 |
- |
缺省 |
防火墙双机热备的心跳线互连接口。 |
GE1/0/4 |
public |
untrust |
路由 |
- |
静态IP |
192.0.2.2/24 |
192.0.2.1 |
缺省 |
防火墙FW-a连接ISP1的接口。 |
|
GE1/0/5 |
public |
untrust |
路由 |
- |
静态IP |
198.51.100.2/24 |
198.51.100.1 |
缺省 |
防火墙FW-a连接ISP2的接口。 |
|
Eth-Trunk1 |
public |
trust |
路由 |
1800 |
静态IP |
192.168.10.2/24 |
- |
缺省 |
园区内网与外部互通的接口。 |
|
FW-b |
GE1/0/3 |
public |
dmz |
路由 |
- |
静态IP |
192.168.150.2/30 |
- |
缺省 |
防火墙双机热备的心跳线互连接口。 |
GE1/0/4 |
public |
untrust |
路由 |
- |
静态IP |
192.0.2.3/24 |
192.0.2.1 |
缺省 |
防火墙FW-b连接ISP1的接口。 |
|
GE1/0/5 |
public |
untrust |
路由 |
- |
静态IP |
198.51.100.3/24 |
198.51.100.1 |
缺省 |
防火墙FW-b连接ISP2的接口。 |
|
Eth-Trunk1 |
public |
trust |
路由 |
1800 |
静态IP |
192.168.10.3/24 |
- |
缺省 |
园区内网与外部互通的接口。 |
操作步骤
- 选择“网络 > 接口”。单击“新建”,完成Eth-Trunk接口的创建。
- 单击待配置的接口所在行的
,修改对应接口的配置。
,修改对应接口的配置。
