防火墙按安全级别不同,可划分为内网、外网和 DMZ 区。
内网是防火墙的重点保护区域,包含单位网络内部的所有网络设备和主机。该区域是可信的,内网发出的连接较少进行过滤和审计。
外网是防火墙重点防范的对象,针对单位外部访问用户、服务器和终端。外网发起的通信必须按照防火墙设定的规则进行过滤和审计,不符合条件的则不允许访问。
DMZ 区是一个逻辑区,从内网中划分出来,包含向外网提供服务的服务器集合DMZ 中的服务器有 Web 服务器、邮件服务器、FTP 服务器、外部 DNS 服务器等。DMZ 区保护级别较低,可以按要求放开某些服务和应用。
二、安全域间与方向
防火墙的安全防范能力取决于防火墙中设置的安全策略。防火墙中任意两个安全区域之间构成一个安全域间 (Interzone) ,防火墙的大部分安全策略都是在安全域间配置的。在同一个安全域间内转发的流量,安全域间设置的安全策略是不起作用的。安全域间的数据流动具有方向性,包括入方向 (Ibound) 和出方向( utbound)。
1) 入方向:数据由低优先级的安全区域向高优先级的安全区域传输。
2) 出方向: 数据由高优先级的安全区域向低优先级的安全区域传输。
通常情况下,安全域间的两个方向上都有信息传输。在判断方向时,以发起该条流量的第一个报文为准。例如,在 Trust 区域的一台主机发起向 Untrust 区域的某服务器的连接请求。由于 Untrust 区域的安全级别比 Trust 区域低,所以防火墙认为这个报文属于 Outbound 方向,并根据 Outbound 方向上的安全策略决定是放行还是丢弃。
(1) 配置接口的 IP 地址和到对端的静态路由,保证两端路由可达。
(2)配置 ACL,以定义需要 IPSec 保护的数据流。
(3) 配置 IPSec 安全提议,定义 IPSec 的保护方法。
(4)配置 IKE 对等体,确定对等体间 IKE 协商时的参数。
(5) 配置安全策略,并引用 ACL、IPSec 安全提议和 IKE 对等体,确定对每种数据流采取的保护方法。
(6) 在接口上应用安全策略组,使接口具有 IPSec 的保护功能。
本部分的相关知识点有:服务访问点的定义和组成;OSI 参考模型各层的定义、功能和数据单位;OSI参考模型各子层对应的具体协议。
国际标准化组织提出了一个互联的标准框架,即著名的开放系统互连参考模型,简称OSI模型。开放系统互连参考模型分七层,从低到高分别是物理层、数据链路层、网络层、传输层、
会话层、表示层和应用层。
物理层位于OSI/RM参考模型的最底层,为数据链路层实体提供建立、传输、释放所必需的物理连接,并且提供透明的比特流传输。
数据链路可以理解为数据的通道,是物理链路加上必要的通信协议而组成的逻辑链路。数据链路层的数据单位是帧,具有流量控制功能。而链路是相邻两结点间的物理线路。局域网中的数据链路层可以分为逻辑链路控制和介质访问控制两个子层。
网络层控制子网的通信,其主要功能是提供路由选择,即选择到达目的主机的最优路径,并沿着该路径传输数据包。
传输层利用实现可靠的端到端的数据传输能实现数据分段、传输和组装,还提供差错控制和流量/拥塞控制等功能。
会话层允许不同机器上的用户之间建立会话。
表示层提供一种通用的数据描述格式,便于不同系统间的机器进行信息转换和相互操作,如表示层完成 EBCDIC编码(大型机上使用)和 ASCII码(PC 机上使用)之间的转换。表示层的主要功能有:数据语法转换、语法表示、数据加密和解密、数据压缩和解压。
应用层位于OSI/RM 参考模型的最高层,直接针对用户的需要。应用层向应用程序提供服务这些服务按其向应用程序提供的特性分成组,并称为服务元素。网络工程师考试涉及的重要考点及概念:
OSI/RM参考模型的许多层都使用特定方式描述信道中来回传送的数据。数据在从高层向低层传送的过程中,每层都对接收到的原始数据添加信息,通常是附加一个报头和报尾,这个过程称为封装。
网络协议(简称协议)是网络中的数据交换建立的一系列规则、标准或约定协议是控制两个(或多个)对等实体进行通信的集合。网络协议由语法、语义和时序关系三个要素组成。
协议数据单元是指对等层次之间传送的数据单位。
TCP/IP 参考模型包含应用层、传输层、网际层和网络接口层。本部分的相关知识点有:各种常见的协议对应的层次关系。
TCP/IP 参考模型的应用层包含了所有高层协议。该层与OSI的会话层、表示层和应用层相对应。
TCP/P 参考模型的传输层与 OSI的传输层相对应。该层允许源主机与目标主机上的对等体之间进行对话。该层定义了两个端到端的传输协议:TCP协议和UDP协议。
TCP/IP 参考模型的网际层对应OSI的网络层。该层负责为经过逻辑互联网络路
径的数据进行路由选择。
TCP/IP 参考模型的最底层是网络接口层,该层在 TCP/IP 参考模型中并没有明确规定。