【廣告】
華為防火墻的特點
在USG系列的防火墻上默認是沒有安全策略的,也就是說,不管是什么區(qū)域之間相互訪問,都必須要配置安全策略,除非是同一區(qū)域報文傳遞。
同一域間或域內應用多條安全策略,那么防火墻在轉發(fā)報文時,將按照配置安全策略規(guī)則的順序從上到下依次匹配
華為防火墻有以下特點:
任何兩個安全區(qū)域的優(yōu)先級不能相同。
本域內不同接口間的報文不過濾直接轉發(fā)。
接口沒有加入域之前不能轉發(fā)報文。
華為防火墻狀態(tài)化信息的含義
在防火墻技術中,通常把兩個方向的流量區(qū)別對待,因為防火墻的狀態(tài)化檢測機制,所以針對數據流通常只重點處理首ge報文,安全策略一旦允許首ge報文允許通過,那么將會形成一個會話表,后續(xù)報文和返回的報文如果匹配到會話表將會直接放行,而不再查看策略,華三H3C防火墻硬件設備,從而提高了防火墻的轉發(fā)效率。如,Trust區(qū)域的客戶端訪問UNtrust區(qū)域的互聯網,只需要在Trust到UNtrust的Outbound方向應用安全策略即可,華為防火墻硬件設備,不需要做UNtrust到Trust區(qū)域的安全策略。
防火墻通過五元組來唯yi的區(qū)分一個數據流,即源IP、目標IP、協議、源端口號、目標端口。防火墻把具有相同五元組內容的數據當做一個數據流,數據包必須同時匹配zhi定的五元組才算匹配到這條策略,否則會繼續(xù)匹配后續(xù)策略,它的匹配規(guī)則同樣是匹配即停。
前面說到,在防火墻上,首ge報文通過后會創(chuàng)建一個會話表,該會話表只能匹配元組相同的流量,無法匹配其他流量(可能目標IP不同,可能目標端口不同),這也正保證了同一會話的數據流gao效轉發(fā)及嚴格的安全策略檢查。需要注意的是,會話表是動態(tài)生成的,但不是長久存在的,如果長時間沒有報文匹配該會話,則證明通信雙方已經斷開了連接,不再需要這條會話,為了節(jié)約系統資源,會在一定時間后刪除該會話,這個時間被稱為會話的老化時間。一般不會太久,記得Cisco防火墻上的會話表默認老化時間好像是300s。
什么是華為防火墻
防火墻,顧名思義,阻擋的是火,這一名詞起源于建筑領域,北京防火墻硬件設備,其作用是隔離火災,阻止火勢從一個區(qū)域蔓延到另一個區(qū)域。
引入到通信領域,防火墻也形象化地體現了這一特點:防火墻這一具體的網絡設備,通常用于兩個網絡之間的隔離。當然,這種隔離是高明的,隔離的是“火”的蔓延,華為防火墻硬件設備,而又保證“人”能穿墻而過。這里的“火”是指網絡中的各種攻擊,而“人”是指正常的通信報文。
那么,用通信語言來定義,防火墻主要用于保護一個網絡免受來自另一個網絡的攻擊和ru侵行為。因其隔離、防守的屬性,防火墻靈活應用于網絡邊界、子網隔離等位置,如企業(yè)網絡出口、大型網絡內部子網隔離、數據中心邊界等。
企業(yè): 北京盈富邁勝科技發(fā)展有限公司
手機: 18510006032
電話: 010-62926210
地址: 北京市昌平區(qū)北清路1號珠江摩爾6號樓2單元1110