華為防火墻安全策略的相關(guān)概念

防火墻的基本作用是保護(hù)特定網(wǎng)絡(luò)免受“不信任”的網(wǎng)絡(luò)的威脅，但是同時(shí)還必須允許兩個(gè)網(wǎng)絡(luò)之間可以進(jìn)行合法的通信。安全策略的作用就是對(duì)通過防火墻的數(shù)據(jù)流進(jìn)行檢驗(yàn)，符合安全策略的合法流量才能通過防火墻?？梢栽诓煌挠蜷g方向應(yīng)用不同的安全策略進(jìn)行不同的控制。

華為針對(duì)當(dāng)前的網(wǎng)絡(luò)需求，提出了一體化安全策略，目前USG6000系列防火墻的V100R001版本采用的是一體化安全策略。所謂一體化，可以體現(xiàn)在兩個(gè)方面，其一是配置上的一體化，防御系統(tǒng)設(shè)備，如反 病 毒，郵件過濾、內(nèi)容過濾、應(yīng)用行為過濾等安全檢查通過在策略中引用配置文件實(shí)現(xiàn)，其二是業(yè)務(wù)上的一體化，一體化的策略只對(duì)報(bào)文進(jìn)行一次檢測(cè)，多業(yè)務(wù)功能可以并行處理，從而提高處理效率。而傳統(tǒng)的防火墻如UTM產(chǎn)品，采用串行方式，流量每經(jīng)過一個(gè)模塊便進(jìn)行一次檢測(cè)。

華為新一代防火墻對(duì)報(bào)文的檢測(cè)除了基于傳統(tǒng)的五元組（源IP、目的IP、源端口、目的端口、協(xié)議）之外，還可以基于應(yīng)用、內(nèi)容、時(shí)間、用戶、威脅及位置對(duì)流量進(jìn)行深層探測(cè)，真正實(shí)現(xiàn)quan方位立體化的檢測(cè)能力及準(zhǔn)確的訪問控制等。

一體化的安全策略是多個(gè)規(guī)則組成，而規(guī)則由條件、動(dòng)作、配置文件和選項(xiàng)構(gòu)成，其中配置文件的作用是對(duì)報(bào)文進(jìn)行內(nèi)容安全檢測(cè)，其中包括反 病 毒、URL過濾、文件過濾、內(nèi)容過濾、應(yīng)用行為控制及郵件過濾。一條規(guī)則可以引用一個(gè)或多個(gè)配置文件。配置文件只有在動(dòng)作允許時(shí)，才能夠被引用。

華為防火墻的策略及管理方式

華為防火墻的策略有以下四點(diǎn)：

1.任何兩個(gè)安全區(qū)域的優(yōu)先級(jí)不能相同。

2.本域內(nèi)不同接口的報(bào)文不過濾直接轉(zhuǎn)發(fā)

3.接口沒有加入域之前不能做轉(zhuǎn)發(fā)

4.在USG6000系列的防火墻默認(rèn)是沒有安全策略的，也就是說，華三H3C防御系統(tǒng)硬件設(shè)備，不管哪個(gè)區(qū)域都可以互相訪問

華為防火墻常見的管理方式有：

通過控制臺(tái)方式管理，屬于帶外管理，不占用用戶帶寬，適用于新設(shè)備。

通過Telnet方式管理，屬于帶內(nèi)管理，配置簡(jiǎn)單，安全性低。

通過Web方式管理，屬于帶內(nèi)管理，可以基于圖形化管理，更適用于新手配置設(shè)備

通過SSH方式管理，屬于帶內(nèi)管理，配置復(fù)雜，湖南防御系統(tǒng)，安全性高，資源占用少。

華為防火墻的主要優(yōu)點(diǎn)

（1）華為防火墻能強(qiáng)化安全策略。

（2）華為防火墻能有效地記錄Internet上的活動(dòng)。

（3）華為防火墻限制暴露用戶點(diǎn)。防火墻能夠用來隔開網(wǎng)絡(luò)中一個(gè)網(wǎng)段與另一個(gè)網(wǎng)段。這樣，能夠防止影響一個(gè)網(wǎng)段的問題通過整個(gè)網(wǎng)絡(luò)傳播。

（4）華為防火墻是一個(gè)安全策略的檢查站。所有進(jìn)出的信息都必須通過防火墻，防火墻便成為安全問題的檢查點(diǎn)，使嫌疑的訪問被拒絕于門外。

華三H3C防御系統(tǒng)硬件設(shè)備-北京盈富邁勝(推薦商家)由北京盈富邁勝科技發(fā)展有限公司提供。北京盈富邁勝科技發(fā)展有限公司是北京 北京市 ,交換機(jī)的見證者，多年來，公司貫徹執(zhí)行科學(xué)管理、創(chuàng)新發(fā)展、誠(chéng)實(shí)守信的方針，滿足客戶需求。在北京盈富邁勝領(lǐng)導(dǎo)攜全體員工熱情歡迎各界人士垂詢洽談，共創(chuàng)北京盈富邁勝更加美好的未來。