华为防火墙技术

本文涉及的产品
云防火墙,500元 1000GB
简介: 华为防火墙技术

包过滤防火墙:基于五元组对每个数据包进行检测,根据安全策略进行转发或丢弃。通过ACL实施数据包的过滤。

状态检测防火墙:通过对连接的首个数据包检测而确定一条连接的状态。后续数据包根据所属连接的状态进行控制,转发或阻塞。

AI防火墙:结合AI算法或AI芯片,内置多种平台,如检测引擎CDE、诱捕Sensor、APT检测引擎和内置探针等。

防火墙基本概念

五元组:源目IP、源目区域、协议类型

安全区域:

一个安全区域是防火墙接口所连网络的集合,一个区域内的用户具有相同的属性。

防火墙共有4个默认区域:   不可删除、不可修改的

trust    ---85

untrust     ---5

local     ---100    默认都是local

DMZ     ---50

也可以自定义创建区域。

防火墙正常工作前提,必须要给接口配置安全区域。

防火墙的接口永远只属于local区域,而配置的安全区域是指,这个接口连接的网络为什么区域,而实质并非接口本身为什么区域。

在思科中,高优先级访问低优先级是不需要任何策略的,默认可以访问,但是华为需要定义策略。

安全策略

安全策略是控制防火墙对流量转发进行安全检测的策略。

防火墙收到流量之后,对流量的属性(五元组等等)进行识别,然后与安全策略进行匹配。匹配成功,被执行对应的动作。

安全策略默认有一条拒绝所有,在最后一条。

案例:

如图,在防火墙上配置了安全策略:trust-zhangsan区域的策略,那么PC1就可以访问PC2了。

但是有个疑问就是:为什么不用配置zhangsan-trust区域的策略?原因是因为在PC1访问PC2时,防火墙检查了策略是放行的,那么防火墙就会创建一个会话表,然后PC2给PC1回包的时候发现防火墙有会话表,查到了PC1去访问PC2的会话表,那么就可以防火墙就默认放行了PC2访问PC1的数据包。但是要注意:这仅仅是PC2回包给PC1,不代表PC2去直接pingPC1。实际上,PC2仍然ping不通PC1。

会话表

会话表是用来记录TCP、ICMP等协议连接状态的表项,是防火墙转发报文的重要依据。

会话表就是为了记录连接的状态而存在的。设备在转发TCP、UDP等报文时都需要查询会话表,来判断该报文采取什么样的措施。

多通道协议的问题

单通道协议:通信过程中只需占用一个端口的协议。如:WWW只需占用80端口。

多通道协议:通信过程中需占用两个或两个以上端口的协议。

FTP协议是一个典型的多通道协议,在其工作过程中,FTP Client和FTP Server之间将会建立两条连接:控制连接和数据连接。控制连接建立好之后,再根据数据连接的发起方式建立连接,FTP协议分为两种工作模式:主动模式(PORT模式)和被动模式(PASV模式)。模式在一般的FTP客户端中都是可以设置的,这里我们以主动模式为例。

FTP建立了控制连接之后,数据连接无法连接。这就有了ASPF(应用层包过滤功能),ASPF功能可以自动检测FTP控制连接中协商的数据连接端口信息,然后生成Server-map表。

Server-map表项包含了FTP控制通道中协商的数据通道的信息。防火墙为命中Server-map表的数据创建会话表。

相关文章
|
7月前
|
监控 网络协议 安全
华为配置防火墙直连路由器出口实验
华为配置防火墙直连路由器出口实验
295 6
|
传感器 运维 监控
《计算机系统与网络安全》 第十章 防火墙技术
《计算机系统与网络安全》 第十章 防火墙技术
111 0
|
安全 网络安全
华为防火墙原来是这样应对多个运营商接入互联网的,涨知识了
华为防火墙原来是这样应对多个运营商接入互联网的,涨知识了
629 0
|
24天前
|
存储 网络协议 安全
30 道初级网络工程师面试题,涵盖 OSI 模型、TCP/IP 协议栈、IP 地址、子网掩码、VLAN、STP、DHCP、DNS、防火墙、NAT、VPN 等基础知识和技术,帮助小白们充分准备面试,顺利踏入职场
本文精选了 30 道初级网络工程师面试题,涵盖 OSI 模型、TCP/IP 协议栈、IP 地址、子网掩码、VLAN、STP、DHCP、DNS、防火墙、NAT、VPN 等基础知识和技术,帮助小白们充分准备面试,顺利踏入职场。
68 2
|
1月前
|
SQL 负载均衡 安全
安全至上:Web应用防火墙技术深度剖析与实战
【10月更文挑战第29天】在数字化时代,Web应用防火墙(WAF)成为保护Web应用免受攻击的关键技术。本文深入解析WAF的工作原理和核心组件,如Envoy和Coraza,并提供实战指南,涵盖动态加载规则、集成威胁情报、高可用性配置等内容,帮助开发者和安全专家构建更安全的Web环境。
55 1
|
5月前
|
机器学习/深度学习 SQL 运维
网络安全中的入侵检测与防御系统技术探讨
【7月更文挑战第8天】 入侵检测与防御系统是网络安全的重要组成部分,它们通过实时监测和防御网络及系统中的恶意行为,为网络安全提供了重要保障。随着技术的不断发展,IDPS将在未来发挥更加重要的作用,为我们构建一个更加安全、可信的网络环境。
|
6月前
|
安全 网络协议 Linux
【内网安全】 隧道技术&SMB&ICMP&正反向连接&防火墙出入规则上线
【内网安全】 隧道技术&SMB&ICMP&正反向连接&防火墙出入规则上线
|
7月前
|
安全 网络安全 Python
【计算巢】防火墙技术:保护网络不受入侵的第一道防线
【5月更文挑战第31天】防火墙是网络安全的核心,防止未经授权的访问和攻击。它通过数据包过滤、状态检测和应用层网关等方式工作,阻止黑客入侵和病毒传播,限制内部网络对外部的不安全访问。然而,防火墙可能面临新型攻击的挑战,并不能完全防御内部威胁。Python 示例展示了数据包过滤规则的实现。有效的防火墙配置和管理至关重要,需随网络环境和安全需求变化而更新。防火墙需与其他安全技术结合,构建全面的网络安全体系。
84 0
|
安全 Unix 网络安全
《计算机系统与网络安全》第十一章 入侵检测与防御技术
《计算机系统与网络安全》第十一章 入侵检测与防御技术
118 0
|
7月前
|
安全 网络安全
网络安全攻防技术:防火墙的实践应用
网络安全攻防技术是当今社会中最重要的话题之一。为了保护我们的个人信息和企业数据,我们需要使用各种安全工具和技术来打击网络攻击。本文将介绍防火墙的实践应用,以帮助您更好地保护您的网络安全。