Como se mencionó, los firewalls se utilizan para aislar redes de diferentes niveles de seguridad. Un firewall identifica diferentes redes por zona de seguridad. Al asignar interfaces de firewall a diferentes zonas de seguridad, las redes conectadas a las interfaces se clasifican en diferentes niveles de seguridad. Las interfaces en el firewall deben agregarse a las zonas de seguridad (excepto las interfaces de administración independientes en algunos modelos) para procesar el tráfico.
​

Las zonas de seguridad están diseñadas para reducir las superficies de ataque de la red. Una vez que se definen las zonas de seguridad, el tráfico no puede fluir entre zonas de seguridad a menos que el administrador especifique reglas de acceso válidas. Para ser específicos, si se invade una subred, los atacantes solo pueden acceder a los recursos en una zona de seguridad correspondiente a la subred. Por lo tanto, se recomienda que las zonas de seguridad se utilicen para particiones de red refinadas.

Agregar una interfaz a una zona de seguridad significa que la red conectada a la interfaz se agrega a la zona de seguridad, no la interfaz en sí. La Figura 1-2 muestra las relaciones entre la interfaz, la red y la zona de seguridad.

Figura 1-2 Interfaz, red y zona de seguridad

Las zonas de seguridad de los cortafuegos se dividen en niveles de seguridad del 1 al 100. Un número mayor indica un nivel de seguridad más alto. El cortafuegos proporciona cuatro zonas de seguridad predeterminadas: confianza, dmz, untrust y local. Los administradores también pueden personalizar las zonas de seguridad para implementar un control detallado. Por ejemplo, una empresa divide las zonas de seguridad del cortafuegos según la Figura 1-3 . La interfaz de intranet se agrega a la zona de confianza, la interfaz de extranet se agrega a la zona no confiable y la interfaz del servidor se agrega a la DMZ. Además, una zona de seguridad llamada visitante se define como zona de invitados.

Se puede agregar una interfaz a una sola zona de seguridad. Se pueden agregar varias interfaces a una zona de seguridad.

Figura 1-3 División de zonas de seguridad
​

Como se muestra en la figura anterior, existe una zona de seguridad especial llamada local . El nivel máximo de seguridad es 100. local indica el propio firewall. No se puede agregar ninguna interfaz a la zona local, pero todas las interfaces en el firewall pertenecen a la zona local. Se puede considerar que los paquetes enviados por el firewall tienen su origen en la zona local y los que recibe (no reenvía) el firewall tienen como destino la zona local.

Además de las interfaces físicas, el firewall también admite interfaces lógicas, como subinterfaces, interfaces VLANIF e interfaces de túnel, que también deben agregarse a las zonas de seguridad.
​

Como se mencionó anteriormente, un firewall controla el tráfico a través de reglas, que se denominan políticas de seguridad. Las políticas de seguridad son un concepto básico y una función central de los firewalls. Los firewall proporcionan capacidades de gestión y control de la seguridad a través de políticas de seguridad.

Como se muestra en la Figura 1-4 , una política de seguridad consta de condiciones coincidentes, una acción y un perfil de seguridad de contenido. Puede realizar funciones de detección de seguridad de contenido, como antivirus y prevención de intrusiones, para el tráfico permitido.

Figura 1-4 Composición de la política de seguridad e interfaz de usuario web
​

Cada condición coincidente anterior es opcional en una política de seguridad. Las condiciones de coincidencia configuradas se combinan con AND bit a bit. Es decir, se considera que el tráfico coincide con una política de seguridad solo cuando coincide con todas las condiciones de la política de seguridad. Si se configuran varios valores en una condición coincidente, los valores se marcan con OR bit a bit. Es decir, el tráfico coincide con la condición siempre que coincida con cualquier valor.

Las condiciones de coincidencia más específicas en una política de seguridad filtrarán el tráfico con mayor precisión. Puede usar solo la tupla de 5 (direcciones IP de origen y destino, puertos de origen y destino y protocolo) como condiciones coincidentes. Para configurar las políticas de seguridad con mayor precisión, agregue más condiciones coincidentes, como la identificación de la aplicación y del usuario.
​

El tráfico que pasa a través de un firewall, el tráfico enviado por un firewall y el tráfico recibido por un firewall están controlados por políticas de seguridad. Como se muestra en la Figura 1-5 , una PC de intranet necesita iniciar sesión y administrar el firewall a través de Telnet y acceder a Internet a través del firewall. En este caso, debe configurar políticas de seguridad para los dos tipos de tráfico.
​

Figura 1-5 Política de seguridad basada en firewall y política de seguridad local
​

Tabla 1-1 Configuraciones de la política de seguridad basada en firewall y la política de seguridad local.
​

En particular, esta sección describirá las políticas de seguridad locales, es decir, las políticas de seguridad relacionadas con la zona local. En el ejemplo anterior, la PC en la zona Trust inicia sesión en el firewall y configura una política de seguridad para que la zona Trust acceda a la red local. Si el firewall accede de manera proactiva a objetos en otras zonas de seguridad, por ejemplo, cuando el firewall informa registros a un servidor de registros o se conecta a un centro de seguridad para actualizar las bases de datos de firmas, debe configurar políticas de seguridad desde la zona local a otras zonas de seguridad. Para identificar a qué zonas pertenecen el firewall y las redes externas, tenga en cuenta que el propio firewall está en la zona local. Agregar una interfaz a una zona de seguridad indica que solo la red conectada a la interfaz pertenece a esta zona de seguridad.
​

El firewall tiene una política de seguridad predeterminada denominada default , que bloquea todo el tráfico entre zonas de forma predeterminada. La política predeterminada siempre está al final de una lista de políticas y no se puede eliminar.

De forma predeterminada, las políticas de seguridad creadas por los usuarios se muestran de arriba a abajo en orden ascendente por hora de creación, y la política de seguridad más reciente es anterior a la política de seguridad predeterminada. Después de recibir el tráfico, el cortafuegos compara el tráfico con las políticas de seguridad de arriba a abajo. Una vez que una política de seguridad coincide con éxito, el cortafuegos deja de coincidir y procesa el tráfico de acuerdo con la acción especificada en la política de seguridad. Si ninguna de las políticas de seguridad creadas manualmente coincide, se utiliza la política de seguridad predeterminada.

Por lo tanto, el orden para enumerar las políticas de seguridad determina si las políticas se comparan según lo esperado. Después de crear una política de seguridad, debe ajustar manualmente su posición en la lista.

La dirección IP de un servidor dentro de la red empresarial es 10.1.1.1. Los usuarios en el área de la oficina en el segmento de red 10.2.1.0/24 pueden acceder al servidor. La política de seguridad policy1 está configurada. Después de ejecutarse durante un período de tiempo, dos PC de oficina temporales (10.2.1.1 y 10.2.1.2) tienen prohibido acceder al servidor.

La política de zona de seguridad recién configurada policy2 se encuentra debajo de policy1 . Debido a que el rango de direcciones de la política 1 contiene el rango de direcciones de la política 2 , no se puede hacer coincidir la política 2.

Debe mover manualmente policy2 antes de policy1 . Después del ajuste, las políticas de seguridad son las siguientes:
​

Por lo tanto, al configurar una política de seguridad, asegure la secuencia de lo específico antes que lo general para las políticas de seguridad. Si se agrega una nueva política de seguridad, preste atención a la relación entre la nueva política de seguridad y las existentes. Si la secuencia no es la esperada, ajústela.