华为防火墙区域配置要点
关于区域配置需要知道的几点:
1.安全区域的优先级必须是唯yi的;
2.一个接口只能加入一个安全区域,但一个安全区域可以有多个接口;
3.默认情况下,华为NGFW防火墙拒绝任何区域之间的流量,如需放行zhi定的流量,需要设置策略(华为传统的防火墙默认对高优先级区域到低优先级区域方向流量默认放行,但zui新的NGFW防火墙默认禁止一切流量)
华为防火墙安全策略的相关概念
防火墙的基本作用是保护特定网络免受“不信任”的网络的威胁,但是同时还必须允许两个网络之间可以进行合法的通信。安全策略的作用就是对通过防火墙的数据流进行检验,符合安全策略的合法流量才能通过防火墙。可以在不同的域间方向应用不同的安全策略进行不同的控制。
华为针对当前的网络需求,提出了一体化安全策略,目前USG6000系列防火墙的V100R001版本采用的是一体化安全策略。所谓一体化,华三H3C防御系统设备,可以体现在两个方面,其一是配置上的一体化,如反 病 毒,邮件过滤、内容过滤、应用行为过滤等安全检查通过在策略中引用配置文件实现,其二是业务上的一体化,一体化的策略只对报文进行一次检测,华为防御系统设备,多业务功能可以并行处理,从而提高处理效率。而传统的防火墙如UTM产品,采用串行方式,流量每经过一个模块便进行一次检测。
华为新一代防火墙对报文的检测除了基于传统的五元组(源IP、目的IP、源端口、目的端口、协议)之外,还可以基于应用、内容、时间、用户、威胁及位置对流量进行深层探测,真正实现quan方位立体化的检测能力及准确的访问控制等。
一体化的安全策略是多个规则组成,而规则由条件、动作、配置文件和选项构成,其中配置文件的作用是对报文进行内容安全检测,其中包括反 病 毒、URL过滤、文件过滤、内容过滤、应用行为控制及邮件过滤。一条规则可以引用一个或多个配置文件。配置文件只有在动作允许时,才能够被引用。
华为防火墙默认有4个区域,分别是local,trust、untrust、dmz。
华为防火墙默认有4个区域,分别是local,华为防御系统设备,trust、untrust、dmz。不同的区域拥有不同的受信优先级。防火墙根据这些区域的受信优先级来区分区域的保护级别。安全级别由1~100的阿拉伯数字来表示,数字越大,北京防御系统设备,则代表该区域内的网络越可信。
trust区域:主要用于连接公司的内部网络 默认安全级别为 85。
untrust区域:定义为外部网络,安全级别为5,安全级别很低。untrust区域表示不受信任的区域,互连网上威胁较多,所以把internet等不安全网络划入该区域。
Dmz区域:非军人化区域, 在防火墙中通常定义为需要对外提供服务的网络,其安全性介于trust区域和untrust区域之间,安全级别为50
local区域:通常定义防火墙本身安全级别为100
华三H3C防御系统设备-北京盈富迈胜(推荐商家)由北京盈富迈胜科技发展有限公司提供。北京盈富迈胜科技发展有限公司在交换机这一领域倾注了诸多的热忱和热情,北京盈富迈胜一直以客户为中心、为客户创造价值的理念、以品质、服务来赢得市场,衷心希望能与社会各界合作,共创成功,共创辉煌。相关业务欢迎垂询,联系人:田经理。