华为防火墙的策略及管理方式
华为防火墙的策略有以下四点:
1.任何两个安全区域的优先级不能相同。
2.本域内不同接口的报文不过滤直接转发
3.接口没有加入域之前不能做转发
4.在USG6000系列的防火墙默认是没有安全策略的,也就是说,不管哪个区域都可以互相访问
华为防火墙常见的管理方式有:
通过控制台方式管理,属于带外管理,不占用用户带宽,适用于新设备。
通过Telnet方式管理,属于带内管理,配置简单,安全性低。
通过Web方式管理,属于带内管理,可以基于图形化管理,更适用于新手配置设备
通过SSH方式管理,属于带内管理,配置复杂,安全性高,资源占用少。
防火墙inbound和outbound不同区域之间可以设置不同的安全策略,域间的数据流分两个方向
入方向(Inbound):数据由低级别的安全区域向更高一层级别的安全区域传输的方向。
出方向(Outbound):数据由更高一层级别的安全区域向低级别的安全区域传输的方向。
因为防火墙的状态化检测机制,所以针对数据流通常只重点处理首报文,安全策略一旦允许首报文允许通过,那么将会形成一个会话表,后续报文和返回的报文如果匹配到会话表将会直接放行,而不再查看策略,从而提升防火墙的转发效率。如,Trust区域的客户端访问UNtrust区域的互联网,只需要在Trust到UNtrust的Outbound方向应用安全策略即可,不需要做UNtrust到Trust区域的安全策略。
华为防火墙安全策略
华为防火墙一条规则中,不需要配置所有的条件,可以一个或少数几个条件。如果配置规则的条件为源区域为Trust,目标区域为Untrust,而不配置其他条件,那就意味着其他条件为any,即源区域为Trust,目标区域为Untrust,用户任意、应用任意、服务任意、时间段任意的报文可以匹配该规则
条件中的各个元素如果在多条规则中重复调用,或者该元素本身包含多个相关内容,可以考虑配置为对象,对象可被多条规则调用。
华为防火墙区别与传统的安全策略,一体化策略具有以下特点
区别与传统的安全策略,一体化策略具有以下特点:
策略配置基于全局,不再基于区域间配置,安全区域只是条件的可选配置项,也可在一条规则中配置多个源区域或目标区域。
默认情况拒绝所有区域间的流量,包括Outbound流量。必须通过策略配置放行所需流量。
安全策略中的默认动作代替了默认过滤。传统的防火墙的过滤基于区域间的,只针对特定的区域间生效,而新一代防火墙的默认动作全局生效,且默认动作为拒绝,即拒绝一切流量,除非允许。
以上信息由专业从事华为防御系统价格的北京盈富迈胜于2024/5/7 11:29:15发布
转载请注明来源:http://www.zhizhuke.cn/qyzx/bjyfms-2748571215.html