01

了解防火墙基本机制

配置防火墙之前请了解防火墙基本工作机制。

1.1 什么是防火墙

防火墙是一种网络安全设备，通常位于网络边界，用于隔离不同安全级别的网络，保护一个网络免受来自另一个网络的攻击和入侵。这种“隔离”不是一刀切，是有控制地隔离，允许合法流量通过防火墙，禁止非法流量通过防火墙。

如图1-1所示，防火墙位于企业Internet出口保护内网安全。在防火墙上可以指定规则，允许内网10.1.1.0/24网段的PC访问Internet，禁止Internet用户访问IP地址为192.168.1.2的内网主机。

图1-1 防火墙控制流量转发由上文可见，防火墙与路由器、交换机是有区别的。路由器用来连接不同的网络，通过路由协议保证互联互通，确保将报文转发到目的地；交换机通常用来组建局域网，作为局域网通信的重要枢纽，通过二层/三层交换快速转发报文；而防火墙主要部署在网络边界，对进出网络的访问行为进行控制，安全防护是其核心特性。路由器与交换机的本质是转发，防火墙的本质是控制。

防火墙控制网络流量的实现主要依托于安全区域和安全策略，下文详细介绍。

1.2 接口与安全区域

前文提到防火墙用于隔离不同安全级别的网络，那么防火墙如何识别不同网络呢？答案就是安全区域（Security Zone）。通过将防火墙各接口划分到不同的安全区域，从而将接口连接的网络划分为不同的安全级别。防火墙上的接口必须加入安全区域（部分机型的独立管理口除外）才能处理流量。

安全区域的设计理念可以减少网络攻击面，一旦划分安全区域，流量就无法在安全区域之间流动，除非管理员指定了合法的访问规则。如果网络被入侵，攻击者也只能访问同一个安全区域内的资源，这就把损失控制在一个比较小的范围内。因此建议通过安全区域为网络精细化分区。

接口加入安全区域代表接口所连接的网络加入安全区域，而不是指接口本身。接口、网络和安全区域的关系如图1-2所示。

图1-2 接口、网络和安全区域防火墙的安全区域按照安全级别的不同从1到100划分安全级别，数字越大表示安全级别越高。防火墙缺省存在trust、dmz、untrust和local四个安全区域，管理员还可以自定义安全区域实现更细粒度的控制。例如，一个企业按图1-3划分防火墙的安全区域，内网接口加入trust安全区域，外网接口加入untrust安全区域，服务器区接口加入dmz安全区域，另外为访客区自定义名称为guest的安全区域。

一个接口只能加入到一个安全区域，一个安全区域下可以加入多个接口。