什么是华为防火墙
防火墙,顾名思义,阻挡的是火,这一名词起源于建筑领域,其作用是隔离火灾,阻止火势从一个区域蔓延到另一个区域。
引入到通信领域,防火墙也形象化地体现了这一特点:防火墙这一具体的网络设备,通常用于两个网络之间的隔离。当然,这种隔离是高明的,隔离的是“火”的蔓延,而又保证“人”能穿墙而过。这里的“火”是指网络中的各种攻击,而“人”是指正常的通信报文。
那么,用通信语言来定义,防火墙主要用于保护一个网络免受来自另一个网络的攻击和ru侵行为。因其隔离、防守的属性,防火墙灵活应用于网络边界、子网隔离等位置,如企业网络出口、大型网络内部子网隔离、数据中心边界等。
防火墙inbound和outbound不同区域之间可以设置不同的安全策略,域间的数据流分两个方向
入方向(Inbound):数据由低级别的安全区域向更高一层级别的安全区域传输的方向。
出方向(Outbound):数据由更高一层级别的安全区域向低级别的安全区域传输的方向。
因为防火墙的状态化检测机制,所以针对数据流通常只重点处理首报文,安全策略一旦允许首报文允许通过,那么将会形成一个会话表,后续报文和返回的报文如果匹配到会话表将会直接放行,而不再查看策略,从而提升防火墙的转发效率。如,Trust区域的客户端访问UNtrust区域的互联网,只需要在Trust到UNtrust的Outbound方向应用安全策略即可,不需要做UNtrust到Trust区域的安全策略。
华为防火墙对于数据流的处理
状态化信息防火墙对于数据流的处理,是针对首报文在访问发起的方向检查安全策略,如果允许转发。同时将生成状态化信息-会话表,而后续的报文及返回的报文如果匹配到该会话表,将直接转发而不经过策略的检查,进而提高转发效率。
防火墙通过五元组来区分一个数据流,即源IP、目标IP、协议、源端口号、目标端口。防火墙把具有相同五元组内容的数据当做一个数据流。
如果长时间没有报文匹配,则说明双方已经断开链接,不需要该会话了。此时防火墙会在一定时间后删除该会话。
华为防火墙安全策略
华为防火墙一条规则中,不需要配置所有的条件,可以一个或少数几个条件。如果配置规则的条件为源区域为Trust,目标区域为Untrust,而不配置其他条件,那就意味着其他条件为any,即源区域为Trust,目标区域为Untrust,用户任意、应用任意、服务任意、时间段任意的报文可以匹配该规则
条件中的各个元素如果在多条规则中重复调用,或者该元素本身包含多个相关内容,可以考虑配置为对象,对象可被多条规则调用。
以上信息由专业从事华为下一代防火墙硬件设备的北京盈富迈胜于2024/4/27 10:42:31发布
转载请注明来源:http://beijing.mf1288.com/bjyfms-2742832718.html
