防火墙简单介绍

最新推荐文章于 2024-09-19 23:14:43 发布
最新推荐文章于 2024-09-19 23:14:43 发布
阅读量900 收藏 2
点赞数
文章标签: 计算机网络 网络 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lovelhg/article/details/129542941
版权
本文介绍了华为防火墙的功能,包括隔离LAN与WAN,实施安全策略,防止外部威胁,记录上网行为,并隐藏内部网络结构。防火墙的工作模式如路由、透明和混合模式,以及安全区域的概念被详细阐述。此外,ASPF和Server-map表在处理多通道协议中的作用,以及双机热备、VRRP、HSRP和VGMP等高可用性方案也得到了讨论。
摘要由CSDN通过智能技术生成

防火墙

华为防火墙

防火墙用于隔离LAN与WAN

所有进出内网的流量都要经过防火墙

强化安全策略

使用策略限制内外网互访

防止来自外部的威胁

记录用户的上网行为

隐藏内部站点或拓扑

防火墙和路由器实现安全控制的区别

防火墙发展历史

DPI系统

防火墙分类

防火墙对比

防火墙工作模式

  • 路由模式

  • 透明模式

  • 混合模式

安全区域划分

  • Trust 85

  • 用于连接内网区域,安全性高

  • Untrust 5

  • 连接外网区域,安全性低

  • DMZ 50

  • 用于连接需对外发布的服务器区安全性中等

  • Local 100

  • 用于连接防火墙本身网络,安全性最高

安全区域

安全级别

说明

Local

100

设备本身,包括设备的各接口本身。

Trust

85

通常用于定义内网终端用户所在区域。

DMZ

50

通常用于定义内网服务器所在区域。

Untrust

5

通常用于定义Internet等不安全的网络。

默认情况下华为防火墙拒绝任何区域之间的流量,如需放行指定的流量,需要管理员设置策略

状态检测和会话机制

1、

2、

防火墙收到客户的访问请求后会建立一个连接表,把目的地址和源地址进行对应

3、

4、

安全策略

  • 可以设置多条策略

  • 类似于ACL,每条策略都有匹配条件

  • 满足条件后执行的动作

  • 当动作为允许是,可以基于配置文件对应用层监控

  • 可以针对匹配规则情况记录日志

安全策略是按一定规则设备安全域间的流量进行转发和内容安全一体化检测的策略

规则的本质是包过滤

FW安全策略的处理流程

安全策略配置流程

ASPF与Server-map表

单通道协议:通信过程中只需占用一个端口的协议。如:WWW只需占用80端口。

多通道协议:通信过程中需占用两个或两个以上端口的协议。如FTP被动模式下需占用21号端口以及一个随机端口。

大部分多媒体应用协议(如H.323、SIP音视频传输)、FTP、netmeeting等协议使用约定的固定端口来初始化一个控制连接,再动态的选择端口用于数据传输。端口的选择是不可预测的,其中的某些应用甚至可能要同时用到多个端口。传统的包过滤防火墙可以通过配置ACL过滤规则匹配单通道协议的应用传输,保障内部网络不受攻击,但只能阻止一些使用固定端口的应用,无法匹配使用协商出随机端口传输数据的多通道协议应用

由于某些特殊应用会在通信过程中临时协商端口号等信息,所以需要设备通过检测报文的应用层数据,自动获取相关信息并创建相应的会话表项,以保证这些应用的正常通信。这个功能称为ASPF应用层报文过滤(Application Specific Packet Filter),所创建的会话表项叫做Server-map表。

Server-map表相当于在防火墙上开通了“隐形通道”,使得像FTP这样的特殊应用的报文可以正常转发。当然这个通道不是随意开的,是防火墙分析了报文的应用层信息之后,提前预测到后面报文的行为方式,所以才打开了这样的一个通道。

Server-map通常只是用检查首个报文,通道建立后的报文还是根据会话表来转发。

Server-map表在防火墙转发中非常重要,不只是ASPF会生成,NAT Server等特性也会生成Server-map表。

Server-map表与会话表的关系:

Server-map表记录了应用层数据中的关键信息,报文命中该表后,不再受安全策略的控制;

会话表是通信双方连接状态的具体体现;

Server-map表不是当前的连接信息,而是防火墙对当前连接分析后得到的即将到来报文的预测;

防火墙收到报文先检查是否命中会话表;

如果没有命中则检查是否命中Server-map表;

命中Server-map表的报文不受安全策略控制;

防火墙最后为命中Server-map表的数据创建会话表。

双机热备

双机热备要求:

两台防火墙用于心跳线的接口加入相同的安全区域

两台防火墙用于心跳线的接口的设备编号必须一致,如都是G1/0/1

建议用于双机热备的两台防火墙采用相同的型号、相同的VRP版本

双机热备:

同一时间只有一台防火墙转发数据包,其他防火墙不转发数据包,但是会同步会话表以及server-map表

负载均衡:

同一时间多台防火墙同时转发数据包,但每个防火墙又作为其他防火墙的备用设备,即每个防火墙既是主用设备也是备用设备。防火墙之间同步会话表以及server-map表

VRRP

热备模式

负载均匀模式

HSRP和VRRP

HSRP

VRRP

协议类型

专有协议

公有协议

虚拟IP

不可以是成员路由器IP

可以是成员路由器IP

虚拟MAC

00-00-0C-07-AC-组号

00-00-5e-00-01-VRID

工作状态

五个

三个

报文

三种(hello、政变、辞职)

一种(VRRP通告报文)

特性

支持接口跟踪

不支持接口跟踪

VGMP

概念

  • VRRP组管理协议

  • 实现对VRRP备份组的统一管理

  • 保证设备在各个备份组中的状态一致性

特点

  • VGMP组的状态决定了VRRP备份组的状态

  • VGMP组的状态通过比较优先级决定

  • 默认情况下,VGMP组的优先级为45000

  • 通过心跳线协商VGMP状态信息

  • 一旦检测到备份组的状态变成Initialize状态,VGMP组的优先级会自动减2

华为防火墙在默认情况下放行组播流量,禁止单播流量,所以如果配置了remote参数,还需要配置local区域和心跳接口所在安全区域之间安全策略

eNSP模拟器中,即使心跳接口之间相连,也必须配置remote参数,否则无法配置

CS@DN@LHG
关注
linux防火墙简单介绍(iptables、iptables.service、firewalld)
紫薯的博客
10-02 919
对于第一次学习linux防火墙的同学来说,各种名词可能会把自己脑袋搞晕,不清楚各个名词之前的关系,我就是如此。网上的资料有很多但是很杂很乱,新出来的ChatGPT比百度好用多了,我在这里进行归纳整理,帮助初学者更好的理解,以下演示环境为centos7。 防火墙主要分为硬件防火墙和软件防火墙,硬件防护墙是专门设计的一台主机,其中的操作系统主要以提供数据包数据的过滤机制为主,将其他不必要的功能拿掉,因此数据包过滤的效率最佳。本文讲解软件防火墙,硬件防护墙这里不讨论。
防火墙介绍
weixin_49472648的博客
09-08 4380
防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障,用来隔离非授权用户并过滤网络中有害的流量或数据包。防火墙其实是一种隔离技术。在计算机中,防火墙是基于预定安全规则来监视和控制传入和传出网络流量网络安全系统。该计算机流入流出的所有网络通信均要经过此防火墙防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以。
360流量防火墙_2.2.8.1001(单文件版)
06-10
360流量防火墙_2.2.8.1001(单文件版)
再谈防火墙流量控制
cxw06023273的博客
01-10 2872
本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严禁用于任何商业用途。 msn: yfydz_no1@hotmail.com 来源:http://yfydz.cublog.cn [code="java"]1. 前言 流量控制是几乎任何防火墙都具备的功能,但各种防火墙流量控制的实现各种各样,能实现的控制能力也各有千秋,本文介...
华为ENSP、华为eNSP配置防火墙命令的放行实验
最新发布
小吴的博客
09-19 1395
本次实验按照拓扑的要求完成了dmz和trust区域可以主动互访、untrust区域只能主动互访dmz和trust可以主动访问dmz和untrust。这篇文章只是按照作者自己的思维来配置,若其他小伙伴有其他的想法欢迎与作者交流!!!以上就是今天实验的内容,本文仅仅简单介绍了ensp中的防火墙的使用。
防火墙流量管理
晚风挽着浮云的博客
06-03 1799
防火墙(英语:Firewall)技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验。
android+流量防火墙,流量防火墙APP
weixin_36149538的博客
05-30 1212
流量防火墙APP是一款非常不错的手机网络防火墙软件,很多小伙伴都在疑惑自己的流量用的很快,流量防火墙APP可以帮助解决这个问题,精准的控制自己的网络使用情况,在线查看使用情况,限制不需要用网络的软件持续耗费网络,推荐下载!软件简介网络卫士-流量防火墙时一款不需要root的流量防火墙。手机不需要root,就能够控制您的每个应用是否可以通过移动数据网络和wifi访问互联网,让偷跑流量应用无处可藏。网络...
超级好用的流量防火墙
04-11
超级好用的流量防火墙超级好用,源于个人使用习惯,这个工具小又好用
飞塔防火墙产品介绍
04-19
飞塔防火墙 产品介绍 ,实验拓扑 简单的命令 用户界面
Linux下防火墙简单配置与插入规则介绍
01-10
查看当前的防火墙设置 iptables -L INPUT -n --line-numbers 删除一条策略,例如第4行策略 iptables -D INPUT 4 -A:在尾部插入 -I (insert)在指定链中插入一条新...以上所述是小编给大家介绍的Linux下防火墙的简
360流量防火墙 提取版
11-15
360流量防火墙 提取版,绿色版 运行 360\netmon\360netman.exe
Linux 防火墙防火墙规则
LKmnbZ's Blog
01-21 2811
防火墙的分类 包过滤型防火墙 工作在OSI参考模型的网络层 它根据数据包头源地址、目的地址端口号和协议类型 等标志确定是否允许数据包通过 代理型防火墙 主要工作在OSI的应用层 代理服务在确认客户端连接请求有效后接管代理 代为向服 务器发出连接请求 代理型防火墙可以允许拒绝特定的应用程序或服务,还可以实施数据流监控、过滤、 记录和报告功能 代理服务器通常有高速缓存功能 代...
天融信下一代防火墙(NGFW)常用命令示例
weixin_42048685的博客
03-11 7082
define host add name oa服务器 ipaddr 192.168.1.1 #添加名称为“oa服务器”的主机对象,ip为192.168.1.1#define host add name oa服务器 ipaddr ‘192.168.1.1 192.168.1.2 192.168.1.3’ #添加名称为“oa服务器”的主机对象,ip为192.168.1.1、192.168.1.2以及192.168.1.3三个ip。
华为防火墙NAT与NATserver情况下server-map生成情景与解释
qq_47529104的博客
03-15 3800
PAT 这种情况下的NAT地址转换是不会生成对应的server-map表项的,其主要原因是因为PAT的nat地址转换会不断地进行端口的复用,在不断的地址转换的过程中内网主机可能在一次通信的过程中源端口就在不断动态的变化,这就使得即便我们想要强行地记录对应的server-map表项也显得那么的多余,因为可能上一秒使用了该端口,下一秒就变成了其他的端口。 no-PAT 这种情况下会生成对应的server-map表项,因为这种地址转换是和内网主机进行一对一的地址变换,所以防火墙能够准确的知道内网主机和公
网络流量控制:防火墙、云安全组与NAT/路由器设置
chen的博客
05-30 462
例如,如果您需要从外部访问服务器上的某个服务(如Web服务器),您可能需要在防火墙中开放对应的端口(如HTTP服务的80端口)。这包括服务器本地的防火墙规则、云服务的安全组设置以及网络层面的NAT/路由器端口转发规则。如果您的服务器位于NAT后面,您需要在路由器上设置端口转发规则,将公网上的流量转发到内部服务器的特定端口。,如果云安全组没有相应地开放端口,或者NAT/路由器没有正确设置端口转发,外部流量仍然无法到达您的服务器。如果您的服务器托管在云平台上,您需要在安全组中设置规则允许端口
防火墙规则设置不当,导致合法流量被错误阻断
ZOMO的博客
01-21 958
*防火墙(Firewall)是一种安全系统,能够监控进出内部网络的通信并控制外部与内部的访问权限。其基本功能如下所述:*** 控制进出内部系统的网络数据包;* 对连接到内部系统和外部世界的连接进行管理以实现安全的通信;* 通过限制外部用户和恶意软件的访问达到保护整个网络和应用程序的目的.由于防火墙的设置直接影响到内外部数据的传输,因此在配置时需要仔细考虑不同场景的适用性以确保网络安全性和稳定性。
华为防火墙STUN server-map
qq_47529104的博客
04-29 1474
概述 一开始我学到这里的时候,我是不太理解的,现在看来其实也很简单,STUN是英文simple traversal of UDP network ,翻译过来就是UDP网络简单穿越。那么为什么会出现这个东西?其本质原因就是有些协议像TFTP ...
华为防火墙NAT概述和基础配置
qq2353177176的博客
11-13 3865
华为防火墙NAT概述和基础配置。
Keepalived时主备负载均衡器都有VIP的问题:VRRP协议问题
lyl_zsu的博客
01-19 1951
    通过不停的查找问题,我发现,只需要关闭备用负载均衡器的防火墙,那么主备服务器都有VIP的情况就会得以解决。由此可以肯定,问题就是出现在了防火墙这里。   首先用tcpdump查看一下vrrp的组播情况,这个随便在同网络的任意一台服务器抓包即可:     tcpdump vrrp -n    # -n:不把主机的网络地址转换成名字    查看下抓包的结果: tcpdump...
详细介绍一下防火墙的各种类
06-13
好的,下面我会详细介绍一下防火墙的各种分类: 1. 按照部署位置: - 网络防火墙:位于网络边界,通过对数据包的源地址、目的地址协议类型等进行检查,过滤掉不符合规则的数据包,保护网络不受外部攻击。 - 主机防火墙:位于主机上,主要针对主机本身的安全问题,如限制进出主机的网络连接、阻止恶意程序的运行等。 - 个人防火墙:是主机防火墙的一种,一般运行在个人电脑上,用于保护个人计算机的安全。 2. 按照功能特点: - 包过滤型防火墙:根据预设规则对数据包进行简单的过滤,只检查数据包的源地址、目的地址协议类型、端口号等基本信息。 - 状态检测型防火墙:除了检查数据包的基本信息外,还可以跟踪会话状态,判断数据包是否是合法的会话数据包。 - 代理型防火墙:在客户端和服务器之间建立代理,处理客户端和服务器之间的通信,过滤掉不符合规则的数据包,可以实现更精细的控制。 - 应用层网关型防火墙:在传输层以上进行数据包检查,可以深度解析数据包,对应用层协议进行过滤。 3. 按照技术实现: - 基于路由器的防火墙:通过在路由器上配置访问控制列表(ACL)来实现基本的包过滤功能。 - 基于包过滤器的防火墙:通过对数据包的源地址、目的地址协议类型、端口号等信息进行过滤,来保护网络安全。 - 基于应用层网关的防火墙:通过对应用层协议进行分析和过滤,来提供更细粒度的防护。 4. 按照安全策略: - 入侵检测防火墙:通过检测网络中的异常流量和行为,来判断是否有入侵事件发生。 - 反病毒防火墙:通过对网络中的流量进行扫描,来检测病毒和恶意软件,防止其感染网络。 - 内容过滤防火墙:通过对网络中的内容进行过滤,来防止敏感信息的泄露和不良内容的传播。 5. 按照管理方式: - 集中管理型防火墙:使用集中的管理平台对多个防火墙进行管理和控制。 - 分布式管理型防火墙:每个防火墙都有独立的管理控制台,可以单独对每个防火墙进行管理和控制。 - 云防火墙:基于云计算技术,将防火墙部署在云端,通过云平台提供的统一管理接口来管理和控制防火墙
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值