我很欣赏防火墙地址对象和地址组 - 它们让我可以给一组地址命名,从而简化管理。
但我不明白防火墙区域(LAN、WAN、DMZ 等)比地址组对我有什么作用。我知道所有防火墙都有这些区域,所以一定有充分的理由。但是,通过声明规则适用于从 LAN 区域到 WAN 区域(从 LAN 地址组到 WAN 地址组)的所有流量,我能得到什么好处呢?为什么不直接提到地址组呢?
答案1
防火墙区域有助于记录正在发生的事情。标准组有标准限制。在此规则中识别错误要容易得多。
Allow port 80 from NET to LAN
不清楚你什么时候有这个
Allow port 80 from 0.0.0.0/0 to 192.0.2.0/16
通常,区域将被分配到具有或不具有地址限制的接口或 VLAN。如果规则集很严格,错误区域中的机器可能会拒绝正常运行。
答案2
每个防火墙区域对应一个指定的安全要求。一组网络块可能对应相同的指定安全要求。一个防火墙区域可以容纳一组网络块或对象。防火墙是一种网络安全设备,它使用区域来隔离网络。
LAN 和 WAN 不是防火墙区域名称。Trust 和 untrust 是防火墙区域名称或网络安全术语。
答案3
地址组传统上是连续的 IP 地址,例如 192.168.0.0./24,但您的 LAN 可能由 192.168.0.0/24 和 10.1.1.0/24 组成,并且并非所有防火墙都允许将它们合并到一个组中
其次,LAN 段并不总是由 IP 地址定义的,但有些设备会为物理端口分配名称。因此,端口 1 上的所有入站数据都来自 DMZ,端口 2 来自 LAN,端口 3 是 Internet(我能想到的第一个这样配置的设备是 Snapgear SG530)。