华为防火墙的安全区域划分
安全区域(Security Zone):简称为区域Zone。防火墙通过区域分安全网络和不安全网络,在华为防火墙上安全网络区域是一个多接口的集合,是防火墙区分于路由器的主要特性。
华为防火墙默认有四个区域,分别是Trust、Untrust、DMZ和local。
不同区域拥有不同的受信任优先级,防火墙则根据这些区域的优先级来区分区域的保护
Trust区域:主要用于连接公司内部网络,优先级为85,安全等级较高。
DMZ区域:非jun事化区域,一般公司的web网站和ftp服务器都放在这个区域,其安全性介于Trust区域和Untrue区域之间,优先级为50,安全级别中等。
Untrust区域:通常定义外部网络,优先级5,安全等级很低。Untrust区域表示不受信任的区域。
Local区域:通常定义防火墙本身,优先级为100.防火墙除了转发区域之间的报文之外,还需要自身接收和发送流量,如网络管理,运行动态路由协议等。
其他区域:用户可以自定义区域,默认zui多定义16个区域,自定义区域没有默认优先级,所以需要手动。
华为防火墙的默认策略组合及方向
防火墙的默认策略组合
1.默认防火墙和内网区域允许进和出,即相互通信;
2.防火墙和外网区域之间,只能出,不能进。即防火墙可以ping通外网,外网无法ping通防火墙;
3.同样防火墙访问DMZ也是只能出,不能进。即防火墙可以ping通DMZ的server,但server无法ping通防火墙。
防火墙策略的方向
1.outbound:高优先级访问低优先级
2.inbound:低优先级访问高优先级
注意:“访问”仅指的是出包即主动发起的di一个报文,即建立会话(session)的过程。
默认高优先级可以访问低优先级,但是低优先级无法回包,相当于回执路由回不来。所以无法ping通。但是我的确是访问了,防火墙就会记录这一条信息。
华为防火墙的功能及作用
防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验。
防火墙具有很好的保护作用。侵入者必须首先穿越防火墙的安全防线,才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。级别高的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。
华为防火墙的网络安全
监控网络存取和访问
如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生嫌疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。
防止内部信息的外泄
通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。Finger显示了主机的所有用户的注册名、真名,登录时间和使用shell类型等。但是Finger显示的信息非常容易让攻击者所获悉。攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息,这样一台主机的域名和IP地址就不会被外界所了解。
版权所有©2024 天助网