华为防火墙的工作模式
华为防火墙具有三种工作模式:路由模式、透明模式、混合模式。
路由模式:如果华为防火墙链接网络的接口配置IP地址,则认为防火墙工作在路由模式下。如果防火墙位于内部网络和外部网络之间时,这时候需要从新规划自己内部网络的拓扑。
透明模式:如果华为防火墙通过二层对外链接(接口无IP地址),则防火墙工作在透明模式下。工作在透明模式的优点是:无须修改任何已有的IP配置,此时防火墙就像一个交换机一样工作。
混合模式:如果华为防火墙工作在路由模式的接口(接口具有IP地址),又工作在透明模式的接口(接口无IP地址),这时候防火墙则工作在混合模式下。目前这种模式只用于双机热备的特殊应用中,别的环境不建议使用。
华为防火墙的策略特点
1.任何两个安全区域的优先级不能相同。
2.本域内不同接口间的报文不过滤直接转发。
3.接口没有加入域之前不能转发报文。
4.在USG系列的防火墙上默认是没有安全策略的,也就是说,不管是什么区域之间相互访问,都必须要配置安全策略,除非是同一区域报文传递。
区别于传统的安全策略,一体化的安全策略具有如下特点:
1.策略配置基于全局,不再基于区域间配置,安全区域只是条件的可选配置项,也可在一条规则中配置多个源区域或目标区域。
2.默认情况拒绝所有区域间的流量,必须通过策略配置放行所需流量。
3.安全策略中的默认动作代替了默认bao过滤。传统的防火墙的bao过滤基于区域间的,只针对zhi定的区域间生效,而新一代防火墙的默认动作全局生效,目默认动作为拒绝,即拒绝一切流量,除非允许。
华为防火墙的网络安全
监控网络存取和访问
如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生嫌疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。
防止内部信息的外泄
通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。Finger显示了主机的所有用户的注册名、真名,登录时间和使用shell类型等。但是Finger显示的信息非常容易让攻击者所获悉。攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息,这样一台主机的域名和IP地址就不会被外界所了解。
防火墙inbound和outbound不同区域之间可以设置不同的安全策略,域间的数据流分两个方向
入方向(Inbound):数据由低级别的安全区域向更高一层级别的安全区域传输的方向。
出方向(Outbound):数据由更高一层级别的安全区域向低级别的安全区域传输的方向。
因为防火墙的状态化检测机制,所以针对数据流通常只重点处理首报文,安全策略一旦允许首报文允许通过,那么将会形成一个会话表,后续报文和返回的报文如果匹配到会话表将会直接放行,而不再查看策略,从而提升防火墙的转发效率。如,Trust区域的客户端访问UNtrust区域的互联网,只需要在Trust到UNtrust的Outbound方向应用安全策略即可,不需要做UNtrust到Trust区域的安全策略。
以上信息由专业从事华为防御系统设备的北京盈富迈胜于2024/5/13 12:11:12发布
转载请注明来源:http://www.zhizhuke.cn/qyzx/bjyfms-2752019583.html
