华为防火墙区域配置要点
关于区域配置需要知道的几点:
1.安全区域的优先级必须是唯yi的;
2.一个接口只能加入一个安全区域,但一个安全区域可以有多个接口;
3.默认情况下,华为NGFW防火墙拒绝任何区域之间的流量,如需放行zhi定的流量,需要设置策略(华为传统的防火墙默认对高优先级区域到低优先级区域方向流量默认放行,但zui新的NGFW防火墙默认禁止一切流量)
华为防火墙的默认策略组合及方向
防火墙的默认策略组合
1.默认防火墙和内网区域允许进和出,即相互通信;
2.防火墙和外网区域之间,只能出,不能进。即防火墙可以ping通外网,外网无法ping通防火墙;
3.同样防火墙访问DMZ也是只能出,不能进。即防火墙可以ping通DMZ的server,但server无法ping通防火墙。
防火墙策略的方向
1.outbound:高优先级访问低优先级
2.inbound:低优先级访问高优先级
注意:“访问”仅指的是出包即主动发起的di一个报文,即建立会话(session)的过程。
默认高优先级可以访问低优先级,但是低优先级无法回包,相当于回执路由回不来。所以无法ping通。但是我的确是访问了,防火墙就会记录这一条信息。
华为防火墙的基本架构
防火墙的硬件体系结构曾经历过通用CPU架构、ASIC架构和网络处理器架构,他们各自的特点分别如下:
通用CPU架构
通用CPU架构常见的是基于Intel X86架构的防火墙,在百兆防火墙中Intel X86架构的硬件以其高灵活性和扩展性一直受到防火墙厂商的青睐;由于采用了PCI总线接口,Intel X86架构的硬件虽然理论上能达到2Gbps的吞吐量甚至更高,但是在实际应用中,尤其是在小包情况下,远远达不到标称性能,通用CPU的处理能力也很有限。
国内安全设备主要采用的就是基于X86的通用CPU架构。
ASIC架构
ASIC技术是国外网络设备几年前广泛采用的技术。由于采用了硬件转发模式、多总线技术、数据层面与控制层面分离等技术, ASIC架构防火墙解决了带宽容量和性能不足的问题,稳定性也得到了很好的保证。
ASIC技术的性能优势主要体现在网络层转发上,而对于需要强大计算能力的应用层数据的处理则不占优势,而且面对频繁变异的应用安全问题,其灵活性和扩展性也难以满足要求。
网络处理器架构
由于网络处理器所使用的微码编写有一定技术难度,难以实现产品的性能,因此网络处理器架构的防火墙产品难以占有大量的市场份额。
华为防火墙默认有4个区域,分别是local,trust、untrust、dmz。
华为防火墙默认有4个区域,分别是local,trust、untrust、dmz。不同的区域拥有不同的受信优先级。防火墙根据这些区域的受信优先级来区分区域的保护级别。安全级别由1~100的阿拉伯数字来表示,数字越大,则代表该区域内的网络越可信。
trust区域:主要用于连接公司的内部网络 默认安全级别为 85。
untrust区域:定义为外部网络,安全级别为5,安全级别很低。untrust区域表示不受信任的区域,互连网上威胁较多,所以把internet等不安全网络划入该区域。
Dmz区域:非军人化区域, 在防火墙中通常定义为需要对外提供服务的网络,其安全性介于trust区域和untrust区域之间,安全级别为50
local区域:通常定义防火墙本身安全级别为100
以上信息由专业从事华为下一代防火墙硬件设备的北京盈富迈胜于2024/6/29 12:17:27发布
转载请注明来源:http://m.tz1288.com/qynews/bjyfms-2777952978.html
上一条:结构加固施工承诺守信「多图」