基于区域的防火墙

防火墙是一种网络安全系统，它能够根据预先定义的规则来监控和处理进出网络的各个数据包。防火墙可以是硬件设备，也可以是软件程序。
对于那些无法负担硬件防火墙设备的组织来说，他们可以选择其他解决方案。例如，可以在Cisco IOS路由器上实现防火墙功能，或者使用CBAC或基于区域的防火墙来实现这一目的。CBAC其实是一种基于区域的防火墙的前身技术。
基于区域的防火墙 –
基于区域的防火墙是一种先进的状态检测防火墙技术。在状态检测防火墙中，会维护一个状态数据库，其中记录了源IP地址、目标IP地址以及源端口号和目标端口号等信息。因此，只有来自网络内部的流量才能被允许返回到网络外部。也就是说，只有当流量来自网络内部时，才允许将其返回到网络外部。
Cisco IOS路由器可以通过两种方法来实现防火墙功能：

1. 通过使用CBAC，可以创建一个访问列表，并将其应用于各个接口上。在创建访问列表时，需要明确哪些流量可以被允许或拒绝，以及这些流量的传输方向。不过，这样做会为管理员带来额外的管理工作量。
2. 使用基于区域的防火墙。

条款/条件：

区域/地带所谓“区域”，指的是具有相同信任级别的设备所共同存在的逻辑空间。在创建了一个区域之后，会为该区域分配一个接口。默认情况下，一个区域内的设备与另一个区域内的设备之间是无法进行通信的。

例如，首先，我们创建一个名为“inside”的区域。如果路由器接口fa0/0位于我们称之为“inside”的最可信赖的网络上，那么fa0/0接口就会被分配到“inside”这个区域中。

2. 区域对 –这些政策定义了如何识别不同类型的流量，以及应该采取何种措施（如拒绝检查、授予许可等）。然后，我们必须将这些政策应用到某个区域对上。而一个区域对总是具有单向性的。如果我们希望实现双向性，那么就需要再创建一个区域对。
例如，如果我们希望允许来自网络内部的流量流向网络外部，那么我们就需要创建一个区域对。如果我们选择了“检查”操作，那么只有当流量来自网络内部时，才允许从网络外部发起的流量进入网络（即采用状态过滤机制）。

现在，如果我们希望让外部网络中的流量能够到达内部网络，那么我们就需要创建一个独立的区域对。这个区域对可以确保，只有当流量来自外部网络时，它才能被允许进入内部网络。
3. 自我区域——那些指向路由器本身的流量，无论是由哪个设备发送的，都被称为“自区域”内的流量。而由路由器产生的流量则被称为来自“自区域”的流量。流向路由器的流量则被视为进入“自区域”的流量。默认情况下，进入或离开“自区域”的流量是被允许的，不过也可以根据所应用的策略来进行调整。

工作：
首先，需要定义并命名这些区域。不过，我们可以根据合理的命名规则来为这些区域命名。建议将这些区域分别命名为“内部”、“外部”和“DMZ”。

• 里面：最可靠的（私有）网络。
• 外面：最不可信的（公共）网络。
• 非军事区：（公共区域）包含诸如服务器之类的设备。

现在，随着各个区域的命名，相应的政策也被制定出来了。这些政策规定了允许从网络内部传输到外部网络的各类流量，以及对于这些流量应采取何种处理措施（例如实施状态检查等）。

这些动作可以是：

• 检查：对于那些已经应用了相关策略的协议，将会在状态数据库中进行相应的记录。这样，来自内部网络的回复就可以被返回了。
• 掉落：如果流量与策略不匹配，则执行默认操作。
• 通过/传递：车辆可以在一个区域与另一个区域之间通行，但是不会保持任何会话状态。

那些不符合政策的流量将会因为默认政策而被丢弃。这些政策是针对某个方向上的流量而设定的，比如从内部区域到外部区域的流量。
如果条件要求允许双向的流量流动（即从内网到外网，或者从外网到内网），那么将会创建两个独立的区域对，并分别应用相应的策略。
优点——其中一些优势包括：

1. 默认情况下，与CBAC不同，该防火墙会阻止流量。在基于区域的防火墙中，一个区域内的流量无法流向另一个区域；而在CBAC中，如果未指定具体的ACL规则的话，所有流量都是可以被允许的。
2. 与CBAC不同，基于区域的防火墙并不过于依赖ACL机制来运作。
3. 添加另一个接口非常简单，因为只需要声明该接口所属的区域即可。因为所有的策略都将与之前为该区域所应用的策略相同。