華為防火墻的默認策略組合及方向

防火墻的默認策略組合

1.默認防火墻和內網區(qū)域允許進和出，華為下一代防火墻硬件設備，即相互通信;

2.防火墻和外網區(qū)域之間，只能出，不能進。即防火墻可以ping通外網，外網無法ping通防火墻；

3.同樣防火墻訪問DMZ也是只能出，不能進。即防火墻可以ping通DMZ的server，但server無法ping通防火墻。

防火墻策略的方向

1.outbound：高優(yōu)先級訪問低優(yōu)先級

2.inbound：低優(yōu)先級訪問高優(yōu)先級

注意：“訪問”僅指的是出包即主動發(fā)起的di一個報文，即建立會話（session）的過程。

默認高優(yōu)先級可以訪問低優(yōu)先級，但是低優(yōu)先級無法回包，相當于回執(zhí)路由回不來。所以無法ping通。但是我的確是訪問了，防火墻就會記錄這一條信息。

華為防火墻狀態(tài)化信息的含義

在防火墻技術中，通常把兩個方向的流量區(qū)別對待，因為防火墻的狀態(tài)化檢測機制，所以針對數(shù)據流通常只重點處理首ge報文，安全策略一旦允許首ge報文允許通過，華三H3C下一代防火墻硬件設備，那么將會形成一個會話表，后續(xù)報文和返回的報文如果匹配到會話表將會直接放行，而不再查看策略，從而提高了防火墻的轉發(fā)效率。如，Trust區(qū)域的客戶端訪問UNtrust區(qū)域的互聯(lián)網，只需要在Trust到UNtrust的Outbound方向應用安全策略即可，不需要做UNtrust到Trust區(qū)域的安全策略。

防火墻通過五元組來唯yi的區(qū)分一個數(shù)據流，即源IP、目標IP、協(xié)議、源端口號、目標端口。防火墻把具有相同五元組內容的數(shù)據當做一個數(shù)據流，數(shù)據包必須同時匹配zhi定的五元組才算匹配到這條策略，否則會繼續(xù)匹配后續(xù)策略，它的匹配規(guī)則同樣是匹配即停。

前面說到，在防火墻上，首ge報文通過后會創(chuàng)建一個會話表，該會話表只能匹配元組相同的流量，無法匹配其他流量（可能目標IP不同，可能目標端口不同），這也正保證了同一會話的數(shù)據流gao效轉發(fā)及嚴格的安全策略檢查。需要注意的是，會話表是動態(tài)生成的，山西下一代防火墻硬件設備，但不是長久存在的，如果長時間沒有報文匹配該會話，則證明通信雙方已經斷開了連接，不再需要這條會話，為了節(jié)約系統(tǒng)資源，華三H3C下一代防火墻硬件設備，會在一定時間后刪除該會話，這個時間被稱為會話的老化時間。一般不會太久，記得Cisco防火墻上的會話表默認老化時間好像是300s。

什么是華為防火墻

防火墻，顧名思義，阻擋的是火，這一名詞起源于建筑領域，其作用是隔離火災，阻止火勢從一個區(qū)域蔓延到另一個區(qū)域。

引入到通信領域，防火墻也形象化地體現(xiàn)了這一特點：防火墻這一具體的網絡設備，通常用于兩個網絡之間的隔離。當然，這種隔離是高明的，隔離的是“火”的蔓延，而又保證“人”能穿墻而過。這里的“火”是指網絡中的各種攻擊，而“人”是指正常的通信報文。

那么，用通信語言來定義，防火墻主要用于保護一個網絡免受來自另一個網絡的攻擊和ru侵行為。因其隔離、防守的屬性，防火墻靈活應用于網絡邊界、子網隔離等位置，如企業(yè)網絡出口、大型網絡內部子網隔離、數(shù)據中心邊界等。

山西下一代防火墻硬件設備-北京盈富邁勝科技公司由北京盈富邁勝科技發(fā)展有限公司提供。北京盈富邁勝科技發(fā)展有限公司為客戶提供“交換機,路由器,防火墻,無線AP,光模塊”等業(yè)務，公司擁有“華為,H3C,思科”等品牌，專注于交換機等行業(yè)。，在北京市昌平區(qū)北清路1號珠江摩爾6號樓2單元1110的名聲不錯。歡迎來電垂詢，聯(lián)系人：田經理。