使用安全区域划分网络

安全区域指的是具有类似安全要求和安全等级的子网。虽然安全区域是防火墙产品的一个特有概念，但是其根源于网络分段设计思想，在数据通信网络中具有普遍意义。网络分段是指将以太网按照一定的规则划分为若干个子网络（即子网），不同子网之间互相隔离。数据报文仅在约定的子网内传播，而不是发送给网络中的所有设备。网络分段提升了网络性能，并提供了一定的安全性。防火墙部署在分段网络中，自然继承了网络分段的思想，并使用安全区域来增强其安全性。

防火墙默认提供Untrust、Trust、DMZ，通常分别用于连接外网、内网和具有中间状态的DMZ区。缺省情况下，同一个安全区域内的设备可以互相访问，不同安全区域内的设备互访需要开放安全策略。这种设计在性能和安全性之间取得了良好的平衡。如果网络被入侵，攻击者只能访问同一个安全区域内的资源，这就把损失控制在一个比较小的范围内。攻击者必须突破安全区域和安全策略的控制，才能访问其他资源。

合理规划安全区域和部署资源，有助于提高网络的安全性和韧性。一些原则性的建议如下：

• 安全区域越多，网络访问控制越精确，网络越安全。但是管理复杂度也会相应提高。
• 对于彼此之间没有交互的系统，不要将它们置于同一子网中。否则，攻击者只要突破外围防御措施，就可以更轻松地访问所有内容。
• 把具有相同安全级别的设备和业务资源部署在同一个安全区域中。然后，根据安全区域来为设备分配地址。地址集可以反映出网络分段情况，也意味着具有相同业务属性和安全等级的一组设备。在安全策略中使用地址集，可以使安全策略更易理解，简化安全策略的管理。
• 对于需要交互的不同安全等级的系统，请部署在不同安全区域，并开放严格的安全策略。例如，所有对外提供服务的服务器（如Web服务器、邮件服务器）应该部署在一个专用区域（通常为DMZ），不应该被外网直接访问的服务器（如数据库）必须部署在内部服务器区。

下面将通过一个例子来解释安全区域划分和资源部署的最佳实践。

图4-1 安全区域划分和资源部署

在这个例子中，防火墙把网络划分为四个安全区域。除了默认的Trust、DMZ和Untrust，新增了一个Isolated区域。箭头表示允许的流量方向。其中：

• Web服务器前端、代理服务器、邮件服务器等部署在DMZ区域。这些服务器需要面向Internet提供服务，因此需要在防火墙上开放相应的策略。面向Internet的服务器最容易受到攻击，需要与其他服务器服务器隔离。
• Web服务器后端，通常包括应用服务器、数据库服务器等，存储重要数据，部署在专门的Isolated区域内。DMZ区域的服务器可以访问Isolated区域的特定服务。
• DHCP服务器、DNS服务器、AD服务器等不需要面向Internet的网络基础设施，需要接收来自内网客户端的访问，把它们部署在Trust区域，默认可以互相通信。内网客户端需要通过代理服务器访问Internet。

这样，即使面向Internet的服务器受到攻击，也能把威胁控制在DMZ区域内，把损害降到最低。