数据中心解决方案安全技术白皮书(11)

SecPath防火墙默认提供四个安全区域：trust、untrust、DMZ、local，在提供三个最常用的安全逻辑区域的基础上还新增加了本地逻辑安全区域，本地安全区域可以定义到防火墙本身的报文，保证了防火墙本身的安全防护，使得对防火墙本身的安全保护得到加强。例如，通过对本地安全区域的报文控制，可以很容易的防止不安全区域对防火墙本身的Telnet、ftp等访问。SecPath防火墙还提供自定义安全区域，可以最大定义16个安全区域，每个安全区域都可以加入独立的接口。

SecPath系列防火墙支持根据不同的安全区域之间的访问设计不同的安全策略组，每条安全策略组支持若干个独立的规则。这样的规则体系使得防火墙的策略十分容易管理，方面用户对各种逻辑安全区域的独立管理。部分防火墙还是采用基于接口的安全策略管理机制，如图。

图10 防火墙安全区域管理

两个接口：trust接口和DMZ接口共享untrust接口访问internet，如果在接口上使用安全策略进行控制，则会导致策略混乱。因为在untrust接口流量中，即有从DMZ和internet之间的流量，也有从trust和internet之间的流量。这样的策略控制模型不适合用户进行策略配置。而基于安全区域的策略控制模型，可以清晰的分别定义从trust到untrust、从DMZ到untrust之间的各种访问，这样的策略控制模型使得SecPath防火墙的网络隔离功能具有很好的管理能力。

3.    防火墙DOS/DDOS防御

Dos（Deny of service）是一类攻击方式的统称（DDos也是Dos的一种），其攻击的基本原理就是通过发送各种垃圾报文导致网络的阻塞、服务的瘫痪。Dos攻击方式其利用IP无连接的特点，可以制造各种不同的攻击手段，而且攻击方式非常简单。

在Internet上非常流行，对企业网、甚至骨干网都造成了非常严重的影响，引发很大的

网络事故，因此优秀的Dos攻击防范功能是防火墙的必备功能。现在几乎所有的防火墙设备都宣传具有Dos攻击防御功能，但是那么为什么Dos攻击导致网络瘫痪的攻击事件为什么还是层出不穷呢？一个优秀的Dos攻击防御体系，应该具有如下最基本的特征：

l         防御手段的健全和丰富。因为Dos攻击手段种类比较多，因此必须具有丰富的防御手段，才可以保证真正的抵御Dos攻击。