防火墙基本概念科普

防火墙安全区域是什么？跟着思博，我们先了解了防火墙是什么之后，再来说一说安全区域。防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway）。



通俗点讲，防火墙是用于控网络之间的隔离，专业讲是用于保护一个安全区域免受另外一个安全区域的网络攻击和入击行为。那么我们从防火墙的定义中就可以看出防火墙是基于安全区域的。
 

安全区域（Security Zone）

安全区域（Security Zone），也称为区域（Zone），是一个逻辑概念，它是一个或多个接口的集合，是防火墙区别于路由器的主要特性。防火墙通过安全区域来划分网络、标识报文流动的“路线”，当报文在不同的安全区域之间流动时，才会触发安全检查。

安全级别（Security Level）

说到安全区域，其实还关系到一个专业的术语，叫作安全级别（Security Level），就拿华为防火墙来说，每个安全区域都有一个唯一的安全级别，用1-100 的字表示，数字越大，则代表该区域内的网络越可信，也就是越安全。

最具含金量网络工程师证书：HCIE认证

自我增值必要投资：HCIE认证费用多少钱

华为认证备考须知：HCIE 备考指南

思博全新课程上架：HCIE-安全 课程

思博华为认证课程安排表：最新开班

华为安全级别举例介绍

例如华为防火墙的安全区域默认有4个，它们分别是：Local、Trust、DMZ、Untrust。Local 区域的安全级别是100，Trust 区域的安全级别是85，DMZ 区域的安全级别是50，Untrust 区域的安全级别是5。

华为Trust区域

在Trust区域内，网络的受信任程度高，通常用来定义内部用户所在的网络；

华为DMZ区域

DMZ（Demilitarized非军事区）区域内，网络的受信任程度中等，通常用来定义内部服务器（公司OA系统，ERP系统等）所在的网络；

华为Untrust区域

Untrust区域代表的是不受信任的网络，通常用来定义Internet等不安全的网络。

华为Local区域

而Local区域比较特殊， 防火墙上提供了Local 区域，代表防火墙本身。Local 区域中不能添加任何接口，但防火墙上所有接口本身都隐含属于Local 区域。

内部用户访问对应的源、目的区域

* 当内部用户访问互联网时，源区域是Trust，目的区域是Untrust;
* 当互联网用户访问DMZ服务器时，源区域是Untrust，目的区域是DMZ;
* 当互联网用户网管防火墙时，源区域是Untrust，目的区域是Local;
* 当防火墙向DMZ服务器发起ICMP流量时，源区域是Local，目的区域是DMZ。

通过以上内容，相信大家已经大概了解了防火墙安全区域是什么了吧，了解安全区域，了解安全区域之间的数据包流动等等内容，对后续安全策略是很有帮助的。

相关课程内容推荐 

思博IE课程安排表： HCIE-DATACOM 课表

网络工程师进阶分析：hcie认证难考吗

自我增值必要投资：HCIE认证费用多少钱

HCIE认证时间：HCIE认证培训时间要多久?

HCIE是什么？HCIE认证详细介绍