华为防火墙状态化信息的含义
在防火墙技术中,通常把两个方向的流量区别对待,因为防火墙的状态化检测机制,所以针对数据流通常只重点处理首ge报文,安全策略一旦允许首ge报文允许通过,那么将会形成一个会话表,后续报文和返回的报文如果匹配到会话表将会直接放行,而不再查看策略,从而提高了防火墙的转发效率。如,Trust区域的客户端访问UNtrust区域的互联网,只需要在Trust到UNtrust的Outbound方向应用安全策略即可,不需要做UNtrust到Trust区域的安全策略。
防火墙通过五元组来唯yi的区分一个数据流,即源IP、目标IP、协议、源端口号、目标端口。防火墙把具有相同五元组内容的数据当做一个数据流,数据包必须同时匹配zhi定的五元组才算匹配到这条策略,否则会继续匹配后续策略,它的匹配规则同样是匹配即停。
前面说到,在防火墙上,首ge报文通过后会创建一个会话表,该会话表只能匹配元组相同的流量,无法匹配其他流量(可能目标IP不同,可能目标端口不同),这也正保证了同一会话的数据流gao效转发及严格的安全策略检查。需要注意的是,会话表是动态生成的,但不是长久存在的,如果长时间没有报文匹配该会话,则证明通信双方已经断开了连接,不再需要这条会话,为了节约系统资源,会在一定时间后删除该会话,这个时间被称为会话的老化时间。一般不会太久,记得Cisco防火墙上的会话表默认老化时间好像是300s。
华为防火墙的网络层防火墙
网络层防火墙可视为一种 IP 封包的过滤器(允许或拒绝封包资料通过的软硬结合装置),运作在底层的 TCP/IP 协议堆栈上。我们可以以枚举的方式,只允许符合特定规则的封包通过,其余的一概禁止穿越防火墙(病毒除外,防火墙不能防止病毒侵入)。这些规则通常可以经由管理员定义或修改,不过某些防火墙设备可能只能套用内置的规则。
我们也能以另一种较宽松的角度来制定防火墙规则,只要封包不符合任何一项“否定规则”就予以放行。现在的操作系统及网络设备大多已内置防火墙功能。
较新的防火墙能利用封包的多样属性来进行过滤,例如:来源 IP 地址、来源端口号、目的 IP 地址或端口号、服务类型(如 WWW 或是 FTP)。也能经由通信协议、TTL 值、来源的网域名称或网段...等属性来进行过滤。
华为防火墙的主要优点
(1)华为防火墙能强化安全策略。
(2)华为防火墙能有效地记录Internet上的活动。
(3)华为防火墙限制暴露用户点。防火墙能够用来隔开网络中一个网段与另一个网段。这样,能够防止影响一个网段的问题通过整个网络传播。
(4)华为防火墙是一个安全策略的检查站。所有进出的信息都必须通过防火墙,防火墙便成为安全问题的检查点,使嫌疑的访问被拒绝于门外。
传统防火墙与华为防火墙的区别
传统防火墙与华为防火墙的区别:
传统的防火墙只能基于时间、IP和端口进行感知,而NGFW防火墙基于六个维度进行管控和防护,分别是应用、用户、内容、时间、威胁、位置。其中:
基于应用:运用多种手段正确识别web应用内超过6000以上的应用层协议及其附属功能,从而进行准确的访问控制和业务加速。其中也包含移动应用,如可以通过防火墙区分微信流量中的语音和文字,进而实现不同的控制策略。
基于用户:借助于AD活动目录、目录服务器或AAA服务器等,基于用户进行访问控制、QoS管理和深度防护。
以上信息由专业从事华为防御系统价格的北京盈富迈胜于2024/5/20 12:01:07发布
转载请注明来源:http://m.herostart.com/qynews/bjyfms-2755952628.html