本文介绍了防⽕墙的发展历程,从最初的简单访问控制到现代的UTM和NGFW,强调了防火墙在网络安全中的关键作用,以及华为防⽕墙产品的系列和功能特点。最后,讲述了如何设置和管理防火墙以确保网络安全性。
什么是防⽕墙
路由器的本质是转发,防⽕墙的本质是控制。
“防⽕墙”⼀词起源于建筑领域,⽤来隔离⽕灾,阻⽌⽕势从⼀个区域蔓延到另⼀个区
域。
引⼊到通信领域,防⽕墙通常⽤于两个⽹络之间有针对性的、逻辑意义上的隔离。
防⽕墙主要⽤于保⼀个⽹络区域免受来⾃另⼀个⽹络区域的⽹络攻击和⽹络⼊侵⾏
为。
防⽕墙的发展历史
第⼀代防⽕墙是1989年产⽣的,仅能实现简单的访问控制。
第⼆代防⽕墙是代理防⽕墙,在应⽤层代理内部⽹络和外部⽹络之间的通信。代理防⽕墙的安全较⾼,但是处理速度较慢,⽽且对每⼀个应⽤都要开发⼀个代理服务很难 做到,因此只能对少量的应⽤提供代理⽀持。
第三代防⽕墙通过状态监测的机制将数据流视为⼀个整体,为数据流的第⼀个报⽂建⽴会话,数据流内的后续报⽂就会直接匹配会话转发,不需要再进⾏规则的检测,直接穿过防⽕墙,提⾼了转发效率和安全性。
第三代防⽕墙实现了状态监测,但是其功能⽐较单⼀,于是,⼈们给状态监测防⽕墙上集成了VPN、防病毒、邮件过滤关键字过滤等功能,⽬的是想实现对⽹络统⼀地、全⽅位地保护,渐渐形成了第四代防⽕墙:UTM(统⼀威胁管理)。
统⼀威胁管理防⽕墙的确实现了对⽹络全⽅位的保护,但是由于其多个防护功能⼀起运⾏,导致效率不⾼,⽽且统⼀威胁管理防⽕墙并没有集成深度报⽂检测功能,所以对数据包深度检测不⾜,于是⼜发展出了第五代防⽕墙:下⼀代防⽕墙。下⼀代防⽕墙就是⽬前最常⻅的防⽕墙,下⼀代防⽕墙解决了统⼀威胁管理防⽕墙效率不⾜和报⽂深度检测能⼒不⾜的弱点。
DPI(Deep Packet Inspection)是⼀种基于数据包的深度检测技术,针对不同的⽹络应⽤层载荷(例如HTTP、DNS等)进⾏深度检测,通过对报⽂的有效载荷检测决定其合法性。
华为防⽕墙产品介绍
USG2000、USG5000、USG6000和USG9500构成了华为防⽕墙的四⼤部分,分别适⽤于不同的环境需求
• USG2000和USG5000系列定位于UTM(统⼀威胁管理)产品
• USG6000系列属于下⼀代防⽕墙产品,NGFW
• USG9500系列属于⾼端防⽕墙产品
🤢各个系列的产品介绍如下(⽬前了解就好):
1、USG2110:USG2110是华为针对中⼩企业及连锁机构、SOHO企业等发布的防⽕墙设备,其功能涵盖防⽕墙、UTM、VPN、路由、⽆线等。USG2110其具有性能⾼、可靠性⾼、配置⽅便等特性,⽽且价格相⽐较低,⽀持多种VPN组⽹⽅式。
2、USG6600:是华为⾯向下⼀代⽹络环境防⽕墙产品适⽤于⼤中型企业及数据中⼼等⽹络环境,具有访问控制精准、防护范围全⾯、安全管理简单、防护性能⾼等特点,可进⾏企业⽹边界防护、互联⽹出⼝防护、云数据中⼼边界防护、VPN远程互联等组⽹应⽤。
3、USG9500:适⽤于云服务提供商、⼤型数据中⼼、⼤型企业园区⽹络等。它拥有最精准的访问控制、最实⽤的NGFW特性,最领先的“NP+多核+分布式”构架及最丰富的虚拟化,被称为最稳定可靠的安全⽹关产品,可⽤于⼤型数据中⼼边界防护、⼴电和⼆级运营商⽹络出⼝安全防护、教育⽹出⼝安全防护等⽹络场景。
NGFW:全称就是下⼀代防⽕墙,NGFW更适⽤于新的⽹络环境。NGFW在功能⽅⾯不仅要具备标准的防⽕墙功能,如⽹络地址转换、状态检测、VPN和⼤企业需要的功能,⽽且要实现IPS(Invasion 防御系统)和防⽕墙真正的⼀体化,⽽不是简单的基于模块。另外,NGFW还需要具备强⼤的应⽤程序感知和应⽤可视化能⼒,基于应⽤策略、⽇志统计、安全能⼒与应⽤深度融合,使⽤更多的外部信息协助改进安全策略,如身份识别等。
传统防⽕墙与NGFW防⽕墙的区别:传统的防⽕墙只能基于时间、IP和端⼝进⾏感知,⽽NGFW防⽕墙基于六个维度进⾏管控和防护,分别是应⽤、⽤户、内容、时间、威胁、位置。
基于应⽤:运⽤多种⼿段精确识别web应⽤内超过6000以上的应⽤层协议及其附属功能,从⽽进⾏精准的访问控制和业务加速。其中也包含移动应⽤,如可以通过防⽕墙区分微信流量中的语⾳和⽂字,进⽽实现不同的控制策略。基于⽤户:借助于AD活动⽬录、⽬录服务器或AAA服务器等,基于⽤户进⾏访问控制、QoS管理和深度防护。
基于位置:结合全球位置信息,智能识别流量的发起位置,从⽽获取应⽤和***的发起位置。其根据位置信息实现对不同区域访问流量的差异化控制,同时⽀持根据IP信息⾃定义位置。在实际应⽤中,应⽤可能使⽤任意端⼝,⽽传统防⽕墙⽆法根据端⼝识别和控制应⽤。NGFW的进步在于更精细的访问控制。其最佳使⽤原则为基于应⽤+⽩名单控制+最⼩授权。
介绍完毕,进入正文:
1、开启防⽕墙时会提示导⼊设备包,点击【浏览】
2、选择环境中的【vfw_usg.vdi】,点击【打开】
3、点击【导⼊】
4、然后开启防⽕墙,双击进⼊,等待输⼊密码。
5、输⼊两次相同的密码(我这⾥使⽤的是admin@123),然后会进⼊防⽕墙界⾯
6、查看接⼝的IP地址,G0/0/0⼝默认带⼀个管理IP,⽤来进⾏Web界⾯的登录管理
7、将VMware的虚拟⽹络编辑器的VMnet1的⽹段设置成与防⽕墙管理地址相同⽹段,便于登录管理。
8、修改物理机的VMnet1⽹卡的IP地址设置成⾮0.1的⽹址,否则会与防⽕墙管理地址 冲突
9、配置⽹云,连接防⽕墙和VMnet1
10、查看连接VMnet1的Kali机的IP地址是否与防⽕墙同⽹段,然后测试是否能够ping 通。
11、打开⽕狐浏览器
12、在地址栏输⼊【https://192.168.0.18443】,然后点击【advanced】,【Accept the Risk and Continue】
13、进⼊到防⽕墙登录界⾯,输⼊默认⽤户名【admin】和密码【Admin@123】
14、提示修改密码,我们这⾥把默认密码【Admin@123】修改为【admin@123】
15、然后在登录界⾯输⼊刚才设置的密码,点击【登录】
16、成功进⼊防⽕墙的Web的管理界⾯
需要注意的是,在登录防火墙时,一定要确保登录账号和密码的安全性,不要随意将登录信息泄露给他人。此外,还需要时刻关注防火墙的运行状况,及时进行维护和更新,以确保网络的安全性。
9671
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
