华为防火墙技术

本文涉及的产品
云防火墙,500元 1000GB
简介: 华为防火墙技术

包过滤防火墙:基于五元组对每个数据包进行检测,根据安全策略进行转发或丢弃。通过ACL实施数据包的过滤。

状态检测防火墙:通过对连接的首个数据包检测而确定一条连接的状态。后续数据包根据所属连接的状态进行控制,转发或阻塞。

AI防火墙:结合AI算法或AI芯片,内置多种平台,如检测引擎CDE、诱捕Sensor、APT检测引擎和内置探针等。

防火墙基本概念

五元组:源目IP、源目区域、协议类型

安全区域:

一个安全区域是防火墙接口所连网络的集合,一个区域内的用户具有相同的属性。

防火墙共有4个默认区域:   不可删除、不可修改的

trust    ---85

untrust     ---5

local     ---100    默认都是local

DMZ     ---50

也可以自定义创建区域。

防火墙正常工作前提,必须要给接口配置安全区域。

防火墙的接口永远只属于local区域,而配置的安全区域是指,这个接口连接的网络为什么区域,而实质并非接口本身为什么区域。

在思科中,高优先级访问低优先级是不需要任何策略的,默认可以访问,但是华为需要定义策略。

安全策略

安全策略是控制防火墙对流量转发进行安全检测的策略。

防火墙收到流量之后,对流量的属性(五元组等等)进行识别,然后与安全策略进行匹配。匹配成功,被执行对应的动作。

安全策略默认有一条拒绝所有,在最后一条。

案例:

如图,在防火墙上配置了安全策略:trust-zhangsan区域的策略,那么PC1就可以访问PC2了。

但是有个疑问就是:为什么不用配置zhangsan-trust区域的策略?原因是因为在PC1访问PC2时,防火墙检查了策略是放行的,那么防火墙就会创建一个会话表,然后PC2给PC1回包的时候发现防火墙有会话表,查到了PC1去访问PC2的会话表,那么就可以防火墙就默认放行了PC2访问PC1的数据包。但是要注意:这仅仅是PC2回包给PC1,不代表PC2去直接pingPC1。实际上,PC2仍然ping不通PC1。

会话表

会话表是用来记录TCP、ICMP等协议连接状态的表项,是防火墙转发报文的重要依据。

会话表就是为了记录连接的状态而存在的。设备在转发TCP、UDP等报文时都需要查询会话表,来判断该报文采取什么样的措施。

多通道协议的问题

单通道协议:通信过程中只需占用一个端口的协议。如:WWW只需占用80端口。

多通道协议:通信过程中需占用两个或两个以上端口的协议。

FTP协议是一个典型的多通道协议,在其工作过程中,FTP Client和FTP Server之间将会建立两条连接:控制连接和数据连接。控制连接建立好之后,再根据数据连接的发起方式建立连接,FTP协议分为两种工作模式:主动模式(PORT模式)和被动模式(PASV模式)。模式在一般的FTP客户端中都是可以设置的,这里我们以主动模式为例。

FTP建立了控制连接之后,数据连接无法连接。这就有了ASPF(应用层包过滤功能),ASPF功能可以自动检测FTP控制连接中协商的数据连接端口信息,然后生成Server-map表。

Server-map表项包含了FTP控制通道中协商的数据通道的信息。防火墙为命中Server-map表的数据创建会话表。

目录
打赏
0
1
1
1
8
分享
相关文章
《计算机系统与网络安全》 第十章 防火墙技术
《计算机系统与网络安全》 第十章 防火墙技术
146 0
华为防火墙原来是这样应对多个运营商接入互联网的,涨知识了
华为防火墙原来是这样应对多个运营商接入互联网的,涨知识了
891 0
软考软件测评师——系统安全设计(防火墙技术)
本文详细解析了防火墙技术的核心概念与功能特性,涵盖网络安全基础防护体系、实时风险预警、流量监控及网络结构隐匿等内容。同时探讨了入侵检测系统(IDS)和网关级病毒防护的技术联动,以及DMZ安全区规划等网络架构设计要点。文章还分析了防火墙的局限性,如无法识别新型病毒变种和替代漏洞扫描工具等问题,并通过历年真题深入解读防火墙的功能特性与测试规范,为网络安全实践提供全面指导。
华为openEuler欧拉系统的防火墙常用设置方法
在有防火墙的系统中,比如我们部署了一个WEB项目,我们需要给该WEB项目所需的端口放行。本文介绍了防火墙常用设置方法。
649 81
30 道初级网络工程师面试题,涵盖 OSI 模型、TCP/IP 协议栈、IP 地址、子网掩码、VLAN、STP、DHCP、DNS、防火墙、NAT、VPN 等基础知识和技术,帮助小白们充分准备面试,顺利踏入职场
本文精选了 30 道初级网络工程师面试题,涵盖 OSI 模型、TCP/IP 协议栈、IP 地址、子网掩码、VLAN、STP、DHCP、DNS、防火墙、NAT、VPN 等基础知识和技术,帮助小白们充分准备面试,顺利踏入职场。
782 2
安全至上:Web应用防火墙技术深度剖析与实战
【10月更文挑战第29天】在数字化时代,Web应用防火墙(WAF)成为保护Web应用免受攻击的关键技术。本文深入解析WAF的工作原理和核心组件,如Envoy和Coraza,并提供实战指南,涵盖动态加载规则、集成威胁情报、高可用性配置等内容,帮助开发者和安全专家构建更安全的Web环境。
220 1
网络安全中的入侵检测与防御系统技术探讨
【7月更文挑战第8天】 入侵检测与防御系统是网络安全的重要组成部分,它们通过实时监测和防御网络及系统中的恶意行为,为网络安全提供了重要保障。随着技术的不断发展,IDPS将在未来发挥更加重要的作用,为我们构建一个更加安全、可信的网络环境。
《计算机系统与网络安全》第十一章 入侵检测与防御技术
《计算机系统与网络安全》第十一章 入侵检测与防御技术
169 0
【内网安全】 隧道技术&SMB&ICMP&正反向连接&防火墙出入规则上线
【内网安全】 隧道技术&SMB&ICMP&正反向连接&防火墙出入规则上线
149 0
AI助理

你好,我是AI助理

可以解答问题、推荐解决方案等