定义名称怎么用(如何定义名称)
812
2022-05-29
防火墙原理与定义(一)
目录
一、什么是防火墙
二、防火墙发展历史
三、华为安全产品线
四、防火墙区域(Firewall zone)
验证
防火墙原理与定义(一)
目录
一、什么是防火墙
二、防火墙发展历史
三、华为安全产品线
四、防火墙区域(Firewall zone)
验证
一、什么是防火墙
1)官方定义:防火墙,用于保护一个网络免受另一个网络的攻击和入侵行为,其本质是
控制
2)网络安全市场,存在一种设备名为ISR,全称叫集成多业务路由器Router
3)现在市面上的防火墙,主要以以下几种形态存在 :
①硬件防火墙(独立)
②防火墙模块(能够集成到支持的设备中)
③虚拟化防火墙,(基于软件层面实现的一种应用)
4)为何虚拟防火墙只是一个趋势,没有成为主流?
①虚拟防火墙性能和稳定性上的限制,目前硬件防火墙在这两点是优于虚拟防火墙的
二、防火墙发展历史
1)第一代,
包过滤防火墙
①访问控制列表Access Control List
在Routing&Switching主要学习访问控制列表有两种
-标准访问控制列表,简单,高效,但是控制元素单一,只能基于IP
-扩展访问控制列表,相对标准访问控制列表复杂,但是挖制元素更为丰富,例如基于源目IP地址,源目端口号,协议
2)第二代,
代理防火墙
①类似于中间人(中介) ,能够代替请求发起者,向被请求者发送数据包
②功能单一,性能有限,没有成为防火墙市场主流
③目前,代理防火墙模型被用于SSL VPN中
3)第三代,
状态检测防火墙
①什么是初始化流量?
整个沟通开始的第-个数据包,就是初始化流量,或叫首包流量
②什么是状态化表项?
当首包穿越防火墙时,防火墙会记录该数据包的信息(例如源目IP地址、源目端口号、协议)
然后把以上信息存放到状态化表项
③什么是状态检测技术?
此时,返回的流量,防火墙首先检查是否存在匹配该流量的状态化表项
如果有,则流量直接放行
如果没有,检查访问控制策略,
若访问控制策略放行,则流量可以转发
若访问控制策略没有放行,则流量直接被丢弃
④状态检测防火墙是由哪一个安全厂商首推的概念?
CheckPoint,国际防火墙排名第一的安全厂商
4)
下一代防火墙
①现在安全厂商大力推荐的一个产品
②下一代防火墙特征:
一个数据包,一条策略,包含所有检查项的执行
趋势:可视化
③下一代防火墙是由哪一个安全厂商首推的概念?
PaloAlto,国际防火墙排名第一的安全厂商
三、华为安全产品线
1)不同层次的防火墙,区别
在于性能,而不在于功能
2)判断防火墙性能的优劣,不能看
单纯的吞吐量,推荐参看多协议多安全技术同时激活之后的吞吐量
3)大部分安全厂商的高端防火墙都是
模块化防火墙
,例如华为的9500系列的USG/思科的9000系列的Firepower
4)生产环境里面,设备版本I0S,需要用
最稳定的
,而不是最新的!
5)华为的防火墙,
业务日志功能并非默认,而是通过选配日志硬盘,安装之后才支持日志功能
6)目前华为安全产品线主要有以下:
①低端系列6100
②中低端系列6300
③高端系列9500
扩展:关于虚拟化的一些有名的厂商平台和技术
①VMware
-VM Workstation个人家庭
-VM vSphere企业版针对服务器
②微软Hyper-v
扩展:光电复用模块
①存在重复口序号的模块
②相同序号的两个接口只能使用其中一个
③常出现在广电符合接口模块
四、防火墙区域(Firewall zone)
1)公司需要依据“
网络可信度
”来划分区域
2)安全工程师基于不同的区域,可以通过防火墙部署不同的访问控制策略
3)华为防火墙认为,
同一个安全区域的流量是不存在风险的,直接通
4)华为USG防火墙,默认情况下,存在四个区域:
①Untrus t外网
②Trust 内网
③DMZ 隔离区域/非军事化区域
大部分情况下,DMz区域用于存放提供对外访问设备
Untrust、Trust、 DMz三个区域工程师都能在防火墙执行配置和修改
④Local 本地
Local区域无法执行配置和修改,且默认情况下,防火墙的所有接口都属于本地区域
默认情况下,所有抵达防火墙的流量都是被丢弃的,需要执行策略放行
凡是防火墙主动发送的数据包,都认为从LOCAL区域发出
扩展:思科防火墙区域
1)思科ASA防火墙默认也存在四个区域
①Inside 内网
②Outside 外网
③DMZ 同华为
④Local 同华为
2)默认情况下,思科ASA防火墙的本地流量是通的,不需要放行,和华为规则相反
3)思科防火墙认为,
同一个安全区域的流量是存在风险的,默认不允许通,可以通过配置改为放行
验证
默认情况下,所有抵达防火墙的流量都是被丢弃的,需要执行策略放行
HUAWEI防火墙默认:所有到他的流量都是被丢弃的
执行策略放行:管理口的ping包被permit
扩展:为何华为防火墙图形化界面登录的地址后面需要跟上8443端口号?
1)默认情况下,HTTPS使用TCP端口号443
2)因为华为防火墙出于两个原因的考虑
①出于安全考虑,不使用默认的端口号,而是使用更改的端口号8443
②为了避免与其它功能使用的端口号冲突,例如SSLVPN使用的端口号就是443
5)对于华为USG防火墙而言,新建的安全策略,是否立刻生效?答案:是
6)如果安全策略需要管理内容安全(UTM) 的相关策略,则该策略必须要提交才能生效
7)使用Console连接防火墙,有哪些注意点?
1)新买的console线, 需要先把驱动给安装好,避免到了现场没有网络无法正常使用
2)连接上设备后,前往计算机管理>设备管理器>端口,查找新显示的COM口
3)在连接工具上新建连接,以secureCRT为例:
网络 通用安全
版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。