Я ценю объекты адресов брандмауэра и группы адресов - они упрощают управление, позволяя мне давать имя группе адресов.
Но я не понимаю, что зоны межсетевого экрана (LAN, WAN, DMZ и т. Д.) Делают для меня по группам адресов. Я знаю, что они есть во всех брандмауэрах, поэтому должна быть веская причина. Но что я могу получить, заявив, что правило применяется ко всему трафику из зоны LAN в зону WAN, который идет из группы адресов LAN в группу адресов WAN? Почему бы просто не упомянуть группы адресов?
Каждая зона межсетевого экрана соответствует определенному требованию безопасности. Группа сетевых блоков может соответствовать одному и тому же заданному требованию безопасности. Зона межсетевого экрана может вмещать группу сетевых блоков или объектов. Брандмауэр - это устройство сетевой безопасности, оно использует зоны для разделения сети.
LAN и WAN не являются именами зон межсетевого экрана. Доверие и недоверие - это названия зон брандмауэра или условия сетевой безопасности.
Зоны межсетевого экрана помогают документировать происходящее. Стандартные группы имеют стандартные ограничения. Выявить ошибку в этом правиле очень легко.
Allow port 80 from NET to LAN
Непонятно, когда это у вас есть
Allow port 80 from 0.0.0.0/0 to 192.0.2.0/16
Обычно зоны назначаются интерфейсам или vlan с адресными ограничениями или без них. С жесткими наборами правил машины в неправильной зоне могут отказываться работать правильно.
Группы адресов традиционно представляют собой последовательные IP-адреса, например 192.168.0.0./24, но ваша локальная сеть может состоять из 192.168.0.0/24 и 10.1.1.0/24, и не все межсетевые экраны позволяют объединить их в одну группу.
Во-вторых, сегменты LAN не всегда определяются IP-адресом, но есть устройства, которые назначают обозначения физическим портам. Таким образом, все, что входит в порт 1, идет из DMZ, а порт 2 - из локальной сети, а порт 3 - это Интернет (Snapgear SG530 - первое устройство, которое я могу придумать, настроенное таким образом ).