防火牆使用安全區域來區分一個網絡是否安全。

防火牆有4個默認的安全區域。

Local

Local表示本地，防火牆所有的接口都屬于local區域。即使防火牆接口劃分到了其他的安全區域，那麼接口永遠也屬于local區域。

trust

Trust為受信任的區域，一般會把防火牆連接内網的接口劃分到trust區域。

DMZ

Dmz為非軍事化區域。一般把連接到數據中心的接口劃分到dmz區域。這個區域的信任程度優于untrust，次于trust。因為服務器是内部的設備認為是可信的，可是服務器又會有讓外網用戶訪問的需求，所以把dmz區域定義為中等信任的區域。

Untrust

Untrust為不受信任的區域，由于Internet非常不安全，所以一般把連接Internet的接口劃分到untrust區域。

每個安全區域都會有一個優先級，默認安全區域優先級從高到低為：local>trust>dmz>untrust

防火牆除了以上4個默認的安全區域之外，用戶還可以根據自己的需求自行創建安全區域，創建的安全區域需要設置安全區域優先級，優先級不可以和已有的安全區域優先級相同。

缺省情況下，相同安全區域之間的網絡需要進行訪問，默認是可以通信的。

如圖，PC1和PC2都是屬于trust區域，他們之間是可以相互通信的。但是如果需要PC1或者PC2去訪問另一個安全區域untrust的網絡，這個時候默認是隔離的。

如果需要讓不同安全區域也可以進行通信，那麼就需要使用到安全策略。

安全策略是由匹配條件（五元組、用戶、時間段等）和動作組成的控制規則，防火牆收到流量後，對流量的屬性（五元組、用戶、時間段等）進行識别，并将流量的屬性與安全策略的匹配條件進行匹配。

security-policy rule name 1 source-zone trust destination-zone untrust action permit #

現在給防火牆添加一條安全策略：定義從源區域trust訪問untrust的流量允許通過，那麼trust區域就可以訪問到untrust區域了。

當報文匹配安全策略後從防火牆轉發出去時，防火牆會為這個流量添加一條會話表。會話表記錄了不同安全區域之間經過防火牆的流量。

[USG6000V1]dis firewall session table 2022-07-02 05:39:25.630 Current Total Sessions : 3 icmp VPN: public --> public 192.168.1.1:5594 --> 192.168.3.1:2048 icmp VPN: public --> public ID: c487fbb5af74c20289762bfda0f Zone: trust --> untrust TTL: 00:00:20 Left: 00:00:06 Recv Interface: GigabitEthernet1/0/0 Interface: GigabitEthernet1/0/2 NextHop: 192.168.3.1 MAC: 5489-9817-06d6 <--packets: 1 bytes: 60 --> packets: 1 bytes: 60 192.168.1.1:6106 --> 192.168.3.1:2048 PolicyName: 1

從這一條會話表可以知道，這個流量是匹配中的哪一條安全策略等信息。

如果防火牆接收到一個數據包，那麼會根據下面的流程進行處理：

如果報文從某個接口接收到或者準備從這個接口發送出去的時候，檢查這個接口是否加入了安全區域，如果這個接口并沒有加入任何的安全區域，那麼這個直接把這個報文丢棄；如果該接口已經加入了安全區域，解析報文的目的IP地址在防火牆的路由表是否可以查詢到對應的出接口，如果查詢不到也是直接丢棄；如果有路由則查詢防火牆的會話表，如果會話表有匹配的條目那麼可以直接根據會話表進行轉發，就不需要匹配安全策略了；如果會話表沒有，那麼就需要匹配安全策略了！

安全策略匹配機制

報文匹配安全策略，先檢查這個報文是否符合第一條安全策略的條件，如果符合就按照安全策略定義的規則動作執行，動作有permit和deny，也就是允許轉發和不允許轉發。如果第一條安全策略沒有命中，那麼繼續匹配其他的安全策略。如果匹配完所有的安全策略都沒有命中，那麼将執行默認的安全策略動作（deny）。

在配置安全策略的時候簡曆把精細的策略寫到前面，沒那麼精細的策略放到後面，否則可能會先命中粗略的策略，進而報文匹配不到精細的策略，無法實現我們的需求。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!