防火墻原理與定義

防火墻原理與定義（一）

目錄

一、什么是防火墻

二、防火墻發(fā)展歷史

三、華為安全產(chǎn)品線

四、防火墻區(qū)域(Firewall zone)

驗證

防火墻原理與定義（一）

目錄

一、什么是防火墻

二、防火墻發(fā)展歷史

三、華為安全產(chǎn)品線

四、防火墻區(qū)域(Firewall zone)

驗證

一、什么是防火墻

1)官方定義:防火墻，用于保護一個網(wǎng)絡免受另一個網(wǎng)絡的攻擊和入侵行為，其本質是

控制

2)網(wǎng)絡安全市場，存在一種設備名為ISR,全稱叫集成多業(yè)務路由器Router

3)現(xiàn)在市面上的防火墻，主要以以下幾種形態(tài)存在 ：

①硬件防火墻(獨立)

②防火墻模塊(能夠集成到支持的設備中)

③虛擬化防火墻，(基于軟件層面實現(xiàn)的一種應用)

4)為何虛擬防火墻只是一個趨勢，沒有成為主流?

①虛擬防火墻性能和穩(wěn)定性上的限制，目前硬件防火墻在這兩點是優(yōu)于虛擬防火墻的

二、防火墻發(fā)展歷史

1)第一代，

包過濾防火墻

①訪問控制列表Access Control List

在Routing&Switching主要學習訪問控制列表有兩種

-標準訪問控制列表，簡單，高效，但是控制元素單一,只能基于IP

-擴展訪問控制列表，相對標準訪問控制列表復雜，但是挖制元素更為豐富，例如基于源目IP地址，源目端口號，協(xié)議

2)第二代，

代理防火墻

①類似于中間人(中介) ,能夠代替請求發(fā)起者，向被請求者發(fā)送數(shù)據(jù)包

②功能單一，性能有限，沒有成為防火墻市場主流

③目前，代理防火墻模型被用于SSL VPN中

3)第三代，

狀態(tài)檢測防火墻

①什么是初始化流量?

整個溝通開始的第-個數(shù)據(jù)包，就是初始化流量，或叫首包流量

②什么是狀態(tài)化表項?

當首包穿越防火墻時，防火墻會記錄該數(shù)據(jù)包的信息(例如源目IP地址、源目端口號、協(xié)議)

然后把以上信息存放到狀態(tài)化表項

③什么是狀態(tài)檢測技術?

此時，返回的流量，防火墻首先檢查是否存在匹配該流量的狀態(tài)化表項

如果有，則流量直接放行

如果沒有，檢查訪問控制策略，

若訪問控制策略放行，則流量可以轉發(fā)

若訪問控制策略沒有放行，則流量直接被丟棄

④狀態(tài)檢測防火墻是由哪一個安全廠商首推的概念?

CheckPoint,國際防火墻排名第一的安全廠商

4)

下一代防火墻

①現(xiàn)在安全廠商大力推薦的一個產(chǎn)品

②下一代防火墻特征:

一個數(shù)據(jù)包，一條策略，包含所有檢查項的執(zhí)行

趨勢:可視化

③下一代防火墻是由哪一個安全廠商首推的概念?

PaloAlto,國際防火墻排名第一的安全廠商

三、華為安全產(chǎn)品線

1)不同層次的防火墻，區(qū)別

在于性能，而不在于功能

2)判斷防火墻性能的優(yōu)劣，不能看

單純的吞吐量，推薦參看多協(xié)議多安全技術同時激活之后的吞吐量

3)大部分安全廠商的高端防火墻都是

模塊化防火墻

，例如華為的9500系列的USG/思科的9000系列的Firepower

4)生產(chǎn)環(huán)境里面，設備版本I0S,需要用

最穩(wěn)定的

，而不是最新的!

5）華為的防火墻，

業(yè)務日志功能并非默認，而是通過選配日志硬盤，安裝之后才支持日志功能

6)目前華為安全產(chǎn)品線主要有以下:

①低端系列6100

②中低端系列6300

③高端系列9500

擴展：關于虛擬化的一些有名的廠商平臺和技術

①VMware

-VM Workstation個人家庭

-VM vSphere企業(yè)版針對服務器

②微軟Hyper-v

擴展：光電復用模塊

①存在重復口序號的模塊

②相同序號的兩個接口只能使用其中一個

③常出現(xiàn)在廣電符合接口模塊

四、防火墻區(qū)域(Firewall zone)

1)公司需要依據(jù)“

網(wǎng)絡可信度

”來劃分區(qū)域

2)安全工程師基于不同的區(qū)域，可以通過防火墻部署不同的訪問控制策略

3)華為防火墻認為，

同一個安全區(qū)域的流量是不存在風險的，直接通

4)華為USG防火墻，默認情況下，存在四個區(qū)域:

①Untrus t外網(wǎng)

②Trust 內網(wǎng)

③DMZ 隔離區(qū)域/非軍事化區(qū)域

大部分情況下，DMz區(qū)域用于存放提供對外訪問設備

Untrust、Trust、 DMz三個區(qū)域工程師都能在防火墻執(zhí)行配置和修改

④Local 本地

Local區(qū)域無法執(zhí)行配置和修改，且默認情況下，防火墻的所有接口都屬于本地區(qū)域

默認情況下，所有抵達防火墻的流量都是被丟棄的，需要執(zhí)行策略放行

凡是防火墻主動發(fā)送的數(shù)據(jù)包，都認為從LOCAL區(qū)域發(fā)出

擴展:思科防火墻區(qū)域

1)思科ASA防火墻默認也存在四個區(qū)域

①Inside 內網(wǎng)

②Outside 外網(wǎng)

③DMZ 同華為

④Local 同華為

2)默認情況下，思科ASA防火墻的本地流量是通的，不需要放行，和華為規(guī)則相反

3)思科防火墻認為，

同一個安全區(qū)域的流量是存在風險的，默認不允許通，可以通過配置改為放行

驗證

默認情況下，所有抵達防火墻的流量都是被丟棄的，需要執(zhí)行策略放行

HUAWEI防火墻默認：所有到他的流量都是被丟棄的

執(zhí)行策略放行：管理口的ping包被permit

擴展:為何華為防火墻圖形化界面登錄的地址后面需要跟上8443端口號?

1)默認情況下，HTTPS使用TCP端口號443

2)因為華為防火墻出于兩個原因的考慮

①出于安全考慮，不使用默認的端口號，而是使用更改的端口號8443

②為了避免與其它功能使用的端口號沖突，例如SSLVPN使用的端口號就是443

5)對于華為USG防火墻而言，新建的安全策略，是否立刻生效?答案:是

6)如果安全策略需要管理內容安全(UTM) 的相關策略，則該策略必須要提交才能生效

7)使用Console連接防火墻，有哪些注意點?

1)新買的console線， 需要先把驅動給安裝好，避免到了現(xiàn)場沒有網(wǎng)絡無法正常使用

2)連接上設備后，前往計算機管理>設備管理器>端口，查找新顯示的COM口

3)在連接工具上新建連接，以secureCRT為例:

網(wǎng)絡 通用安全

版權聲明：本文內容由網(wǎng)絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實的內容，請聯(lián)系我們jiasou666@gmail.com 處理，核實后本網(wǎng)站將在24小時內刪除侵權內容。