华为防火墙好不好

华为防火墙好不好

01华为防火墙产品介绍

USG2000、USG5000、USG6000和USG9500构成了华为防火墙的四大部分,分别适合于不同环境的网络需求,其中,USG2000和USG5000qTGiPZ系列定位于UTM(统一威胁管理)产品,USG6000系列属于下一代防火墙产品,USG9500系列属于高端防火墙产品。

USG2110

USG2110为华为针对中小企业及连锁机构,SOHO企业等发布的防火墙设备,其功能涵盖防火墙,UTM、Virtual Private Network(请自行看首字母,我写简写的话就被和谐了)、路由、无线等。USG2110其具有性能高、可靠性高、配置方便等特性,且价格相对较低,支持多种Virtual Private Network组网方式,为用户提供安全、灵活、便捷的一体化组网解决方案。

USG6600

USG6600是华为面向下一代网络环境防火墙产品,适用于大中型企业及数据中心等网络环境,具有访问控制精准//www.58yuanyou.com、防护范围全面、安全管理简单、防护性能高等特点,可进行企业内网边界防护、互联网出口防护原由网、云数据中心边界防护、Virtual Private Network远程互联等组网应用。

USG9500

USG9500系列包含USG9520、USG9560、USG9580三种系列,适用于云服务提供商、大型数据中心、大型企业园区网络等。它拥有最精准的访问控制、最实用的NGFW特性、最领先的“NP+多核+分布式”架构及最丰富的虚拟化,被称为最稳定可靠的安全网关产品,可用于大型 数据中心边界防护、广电和二级运营商网络出口安全防护、教育网出口安全防护等网络场景。

NGFW

NGFW,全称Next Generation Firewall,即下一代防火墙,最早由Gartner提出。NGFW更适用于新的网络环境。NGFW在功能方面不仅要具备标准的防火墙功能,如网络地址转换、状态检测、Virtual Private Network和大企业需要的功能,而且要实现IPS和防火墙真正的一体化,而不是简单地基于模块。另外,NGFW还需要具备强大的应用程序感知和应用可视化能力,基于应用策略、日志统计、安全能力与应用识别深度融合,使用更多的外部信息协助改进安全策略,如用户身份识别等。

传统防火墙与NGFW防火墙的区别

传统的防火墙只能基于时间、IP和端口进行感知,而NGFW防火墙基于六个维度进行管控和防护,分别是应用、用户、内容、时间、威胁、位置。其中:

基于应用:运用多种手段精确识别web应用内超过6000以上的应用层协议及其附属功能,从而进行精准的访问控制和业务加速。其中也包含移动应用,如可以通过防火墙区分微信流量中的语音和文字,进而实现不同的控制策略。

基于用户:借助于AD活动目录、目录服务器或AAA服务器等,基于用户进行访问控制、QoS管理和深度防护。

基于位置:结合全球位置信息,智能识别流量的发起位置,从而获取应用和gong~击的发起位置。其根据位置信息实现对不同区域访问流量的差异化控制,同时支持根据IP信息自定义位置。

02防火墙的工作原理

防火墙的工作模式

华为防火墙具有三种工作模式:路由模式、透明模式、混合模式。

1)路由模式

如果华为防火墙连接网络的接口配置IP地址,则认为防火墙工作在路由模式下,当华为防火墙位于内部网络和外部网络之间时,需要将防火墙与内部网络、外部网络以及DMZ三个区域相连的接口分别配置不同网段的IP地址,所以需要重新规划原有网络拓扑,此时防火墙首先是一台路由器,然后提供其他防火墙功能。路由模式需要对网络拓扑进行修改(内部网络用户需要更高网关、路由器需要更改路由配置等)。

2)透明模式:

如果华为防火墙通过第二层对外连接(接口无IP地址),则防火墙工作在透明模式下。如果华为防火墙采用透明模式进行工作,只需要在网络中像连接交换机一样连接华为防火墙设备即可,其最大的优点是无须修改任何已有的IP配置;此时防火墙就像一个交换机一样工作,内部网络和外部网络必须处于同一个子网。此模式下,报文在防火墙当中不仅进行二层的交换,还会对报文进行高层分析处理。

3)混合模式:

如果华为防火墙存在工作在路由模式的接口(接口具有IP地址),又存在工作在透明模式的接口(接口无IP地址),则防火墙工作在混合模式下。这种工作模式基本上是透明模式和路由模式的混合,目前只用于透明模式下提供双机热备份的特殊应用中,其他环境不太建议使用。

华为防火墙的安全区域划分

安全区域(Security Zone),简称为区域(Zone)。防火墙通过区域区分安全网络和不安全网络,在华为防火墙上安全区域是一个或者多个接口的集合,是防火墙区分于路由器的主要特性。防火墙通过安全区域来划分网络,并基于这些区域控制区域间的报文传递。当数据报文在不同的安全区域之间传递时,将会出发安全策略检查。

几种常见的区域如下:

Trust区域:主要用于连接公司内部网络,优先级为85,安全等级较高。

DMZ区域:非军事化区域,是一个军事用语,是介于严格的军事管制区和公共区域之间的一种区域,在防火墙中通常定义为需要对外提供服务的网络,其安全性介于Trust区域和Untrust区域之间,优先级为50,安全等级中等。

Untrust区域:通常定义外部网络,优先级为5,安全级别很低。Untrust区域表示不受信任的区域,互联网上威胁较多,所以一般把Internet等不安全网络划入Untrust区域。

Local区域:通常定义定义防火墙本身,优先级为100.防火墙除了转发区域之间的报文之外,还需要自身接收或发送流量,如网络管理、运行动态路由协议等。由防火墙主动发起的报文被认为是从local区域传出的,需要防火墙响应并处理(不是穿越)的报文被认为是由local区域接收并进行相应处理的。

其他区域:用户自定义区域,默认最多自定义16个区域,自定义区域没有默认优先级,所以需要qTGiPZ手工指定。

防火墙的Inbound和Outbound

防火墙基于区域之间处理流量,即使由防火墙自身发起的流量也属于local区域和其他区域之间的流量传递。当数据流在安全区域之间流动时,才会激发华为防火墙进行安全策略的检查,即华为防火墙的安全策略通常都是基于域间(如Untrust区域和Trust区域之间)的,不同的区域之间可以设置不同的安全策略。域间的数据流分为两个方向:

入方向(Inbound):数据由低级别的安全区域向高级别的安全区域传输的方向。

出方向(Outbound):数据由高级别的安全区域向低级别的安全区域传输的方向。

状态化信息(防火墙实现安全防护的基础技术)

在防火墙技术中,通常把两个方原由网向的流量区别对待,因为防火墙的状态化检测机制,所以针对数据流通常只重点处理首个报文,安全策略一旦允许首个报文允许通过,那么将会形成一个会话表,后续报文和返回的报文如果匹配到会话表将会直接放行,而不再查看策略,从而提高防火墙的转发效率。如,Trust区域的客户端访问UNtrust区域的互联网,只需要在Trust到UNtrust的Outbound方向应用安全策略即可,不需要做UNtrust到Trust区域的安全策略。

防火墙通过五元组来唯一的区分一个数据流,即源IP、目标IP、协议、源端口号、目标端口。防火墙把具有相同五元组内容的数据当做一个数据流,数据包必须同时匹配指定的五元组才算匹配到这条策略,否则会继续匹配后续策略,它的匹配规则同样是匹配即停。

状态检测防火墙使用基于连接状态的检测机制,将通信双方交互的属于同一连接的所有报文都作为整体的数据流来对待。在状态检测防火墙看来,同一个数据流内的报文不再时孤立的个体,而是存在联系的。如为数据流的第一个报文建立会话,数据流内的后续报文将之间根据会话进行转发,从而提高了转发效率。

内容版权声明:除非注明原创否则皆为转载,再次转载请注明出处。

文章标题: 华为防火墙好不好

文章地址: www.58yuanyou.com/baike/202237.html

相关推荐