防火墙让流量从A到B,需要三样东西同时到位(系列第1篇)
文章目录
- 一、防火墙跟路由器到底有什么区别
- 二、安全域——防火墙上独有的概念
- 2.1 什么是安全域
- 2.2 接口加入安全域
- 三、三要素:流量从A到B的三个必要条件
- 3.1 条件一:路由——防火墙得知道路怎么走
- 3.2 条件二:安全域——接口得在正确的域里
- 3.3 条件三:安全策略——必须有明确的 permit
- 四、完整实战:让内网Trust的PC上网
- 4.1 拓扑
- 4.2 配置三要素
- 4.3 验证
- 五、排障三步法——内网到外网不通,先查这三个
- 第1步:查路由——有没有
- 第2步:查安全域——接口在不在正确的域里
- 第3步:查策略——有没有 permit,命中了没有
- 六、排障案例:防火墙换了之后内网全部断网
- 案例背景
- 故障现象
- 排查过程
- 根因分析
- 经验总结
- 七、总结
防火墙是网络设备里最特殊的存在——路由器交换机你配错了最多不通,防火墙配错了可能是该通的没通、该拦的没拦住、甚至把自己关在了外面。
聊防火墙的很多,但能把这个逻辑讲通的文章不多。今天开一个防火墙系列,第一篇从最核心的概念讲起——安全域、路由和策略这三样东西是怎么配合让流量从A到B的。
一、防火墙跟路由器到底有什么区别
路由器的逻辑是:收到一个包 → 查路由表 → 找到下一跳 → 发出去。只要路由通,流量就过。
防火墙的逻辑是:收到一个包 → 查路由表 → 查安全策略 → 策略放行才发出去。路由是基础,但策略是最后一道裁决。
| 对比 | 路由器 | 防火墙 |
|---|---|---|
| 转发逻辑 | 有路由就转发 | 有路由 + 有放行策略才转发 |
| 默认行为 | 路由不通才丢 | 没有策略就丢弃(哪怕是直连的) |
| 核心概念 | 路由表 | 安全域 + 路由表 + 安全策略 |
| 状态检测 | 不关心 | 有会话表,匹配到会话直接转发 |
防火墙最核心的差异在于它是状态检测设备——它会记住每一个流量的会话状态,回程流量不需要再配一条策略,防火墙自己能认出来。
二、安全域——防火墙上独有的概念
2.1 什么是安全域
安全域(Security Zone)是防火墙上对接口的逻辑分组。每个接口必须加入一个安全域,不能裸奔。
华为防火墙默认有四个安全域:
| 安全域 | 优先级 | 含义 | 典型接什么 |
|---|---|---|---|
Trust | 85 | 受信任区域 | 内网办公区、服务器区 |
Untrust | 5 | 不受信任区域 | 互联网出口 |
DMZ | 50 | 中间区域 | 对外提供服务的服务器(Web/邮件) |
Local | 100 | 防火墙自己 | 防火墙本身的接口IP |
优先级不是路由的Preference——它是安全策略默认方向的参考值。从高优先级域到低优先级域(Trust→Untrust)是出方向,反向是入方向。
2.2 接口加入安全域
# 创建安全域并加入接口[Huawei]firewall zone trust[Huawei-zone-trust]addinterface GigabitEthernet0/0/1# 内网口[Huawei]firewall zone untrust[Huawei-zone-untrust]addinterface GigabitEthernet0/0/2# 外网口[Huawei]firewall zone dmz[Huawei-zone-dmz]addinterface GigabitEthernet0/0/3# DMZ口# 查看接口属于哪个安全域<Huawei>display firewall zone --- Zone: trust Interface: GigabitEthernet0/0/1 Zone: untrust Interface: GigabitEthernet0/0/2 Zone: dmz Interface: GigabitEthernet0/0/3一个接口只能属于一个安全域。这是防火墙架构的硬约束——也是新手最容易搞错的地方。