大家好,欢迎来到IT知识分享网。
一、什么是防火墙
二、防火墙的分类
1.包过滤防火墙
判断信息: 数据包的源 IP地址、目的IP地址、协议类型、源端口、目的端口(五元组)工作范围:网络层、传输层(3-4层)
1,很多安全风险集中在应用层的,所以,仅关注三四层的数据无法做到完全隔离安全风险
2,逐包进行包过滤检测,将导致防火墙的转发效率过低,成为网络中的瓶颈。
在ACL列表中,华为体系下,末尾是没有隐含规则的,即如果匹配不到ACL列表,则认为ACL列
表不存在,之前可以通过,则还可以通过;但是,在防火墙的安全策略中,为了保证安全,末
尾会隐含一条拒绝所有的规则,即只要没有放通的流量,都是不能通过的。
2.应用代理防火墙
1,很多安全风险集中在应用层的,所以,仅关注三四层的数据无法做到完全隔离安全风险
2,逐包进行包过滤检测,将导致防火墙的转发效率过低,成为网络中的瓶颈。
在ACL列表中,华为体系下,末尾是没有隐含规则的,即如果匹配不到ACL列表,则认为ACL列
表不存在,之前可以通过,则还可以通过;但是,在防火墙的安全策略中,为了保证安全,末
尾会隐含一条拒绝所有的规则,即只要没有放通的流量,都是不能通过的。
3.状态检测防火墙
判断信息:IP地址、端口号、TCP标记
4.入侵检测系统(IDS)
IDS侧重于风险管理的一种机制–滞后性
5.入侵防御系统(IPS)
6.防御病毒网关(AV)
7.Web应用防火墙
8.统一威胁管理(UTM)
9.下一代防火墙(NGFW)
三、防火墙的控制
带内管理
带外管理
华为防火墙的MGMT接口(G0/0/0)出厂时默认配置的有IP地址:192.168.0.1/24,并且
该接口默认开启了DHCP和web登录的功能,方便进行web管理。
admin/Admin@123 [USG6000V1-GigabitEthernet0/0/0]service-manage all permit四、防火墙的管理员
五、防火墙的安全区域
Trust — 一般企业内网会被规划在trust区域中
Untrust — 一般公网区域被规划在untrust区域中
我们将一个接口规划到某一个区域,则代表该接口所连接的所有网络都被规划到该区
域。
Local — 指设备本身。凡是由设备构造并主动发出的报文均可以认为是从local区域发出的,
凡是需要设备响应并处理的报文均可以认为是由Local区接受。我们无法修改local区的配置,
并且我们无法将接口划入该区域。接口本身属于该区域。
Dmz — 非军事化管理区域 — 这个区域主要是为内网的服务器所设定的区域。这些服务器本
身在内网,但是需要对外提供服务。他们相当于处于内网和外网之间的区域。所以,这个区域
就代表是严格管理和松散管理区域之间的部分管理区域。
优先级 — 1 – 100 — 越大越优 — 流量从优先级高的区域到优先级低的区域 — 出方向
(outbound)
流量从优先级低的区域到高的区域 — 入方向
(inbound)
六、防火墙的路由模式
1.透明模式
2.旁路模式
3.混合模式
七、防火墙的安全策略
传统的包过滤防
免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。 本文来自网络,若有侵权,请联系删除,如若转载,请注明出处:https://haidsoft.com/99697.html
