Local:防火墙上提供了Local 区域,代表防火墙本身。比如防火墙主动发起的报文(我们在防火墙执行ping测试)以及抵达防火墙自身的报文(我们要网管防火墙telnet、ssh、http、https)。
(注意:默认的安全区域无需创建,也不能删除,同时安全级别也不能重新配置。USG防火墙最多支持32个安全区域。)
Local 区域中不能添加任何接口,但防火墙上所有接口本身都隐含属于Local 区域。也就是说,报文通过接口去往某个网络时,目的安全区域是该接口所在的安全区域;报文通过接口到达防火墙本身时,目的安全区域是Local 区域。
安全区域分析,如下图:
从图中我们可以看出防火墙1号接口和2号接口联接到两个不同的运营商,它们属于同一个安全区域Untrust, 防火墙3号接口属于Trust安全区域,防火墙4号接口属于DMZ安全区域。
当内部用户访问互联网时,源区域是Trust,目的区域是Untrust;当互联网用户访问DMZ服务器时,源区域是Untrust,目的区域是DMZ;当互联网用户网管防火墙时,源区域是Untrust,目的区域是Local;当防火墙向DMZ服务器发起ICMP流量时,源区域是Local,目的区域是DMZ。
了解安全区域之间的数据包流动对后续安全策略是很有帮助的。
配置安全区域
01创建安全区域
[NGFW]firewallzone name ISP1
[NGFW-zone-ISP1]setpriority 80
[NGFW-zone-ISP1]addinterface g1/0/1
注:区域里必须要有唯一的安全级别(Cisco ASA安全级别可以相同),相应的接口要加入到区域,可以是物理接口和逻辑接口(Vlanif、Tunnel)。
02查看安全区域
local
priority is 100
trust
priority is 85
interface of the zone is (1):
GigabitEthernet0/0/0
untrust
priority is 5
interface of the zone is (0):
dmz
priority is 50
interface of the zone is (0):
ISP1
priority is 80
interface of the zone is (1):
GigabitEthernet1/0/1返回搜狐,查看更多