防火墙简单介绍

最新推荐文章于 2024-05-14 17:05:47 发布
最新推荐文章于 2024-05-14 17:05:47 发布
阅读量622 收藏 2
点赞数
文章标签: 计算机网络 网络 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lovelhg/article/details/129542941
版权

防火墙

华为防火墙

防火墙用于隔离LAN与WAN

所有进出内网的流量都要经过防火墙

强化安全策略

使用策略限制内外网互访

防止来自外部的威胁

记录用户的上网行为

隐藏内部站点或拓扑

防火墙和路由器实现安全控制的区别

防火墙发展历史

DPI系统

防火墙分类

防火墙对比

防火墙工作模式

  • 路由模式

  • 透明模式

  • 混合模式

安全区域划分

  • Trust 85

  • 用于连接内网区域,安全性高

  • Untrust 5

  • 连接外网区域,安全性低

  • DMZ 50

  • 用于连接需对外发布的服务器区安全性中等

  • Local 100

  • 用于连接防火墙本身网络,安全性最高

安全区域

安全级别

说明

Local

100

设备本身,包括设备的各接口本身。

Trust

85

通常用于定义内网终端用户所在区域。

DMZ

50

通常用于定义内网服务器所在区域。

Untrust

5

通常用于定义Internet等不安全的网络。

默认情况下华为防火墙拒绝任何区域之间的流量,如需放行指定的流量,需要管理员设置策略

状态检测和会话机制

1、

2、

防火墙收到客户的访问请求后会建立一个连接表,把目的地址和源地址进行对应

3、

4、

安全策略

  • 可以设置多条策略

  • 类似于ACL,每条策略都有匹配条件

  • 满足条件后执行的动作

  • 当动作为允许是,可以基于配置文件对应用层监控

  • 可以针对匹配规则情况记录日志

安全策略是按一定规则设备安全域间的流量进行转发和内容安全一体化检测的策略

规则的本质是包过滤

FW安全策略的处理流程

安全策略配置流程

ASPF与Server-map表

单通道协议:通信过程中只需占用一个端口的协议。如:WWW只需占用80端口。

多通道协议:通信过程中需占用两个或两个以上端口的协议。如FTP被动模式下需占用21号端口以及一个随机端口。

大部分多媒体应用协议(如H.323、SIP音视频传输)、FTP、netmeeting等协议使用约定的固定端口来初始化一个控制连接,再动态的选择端口用于数据传输。端口的选择是不可预测的,其中的某些应用甚至可能要同时用到多个端口。传统的包过滤防火墙可以通过配置ACL过滤规则匹配单通道协议的应用传输,保障内部网络不受攻击,但只能阻止一些使用固定端口的应用,无法匹配使用协商出随机端口传输数据的多通道协议应用

由于某些特殊应用会在通信过程中临时协商端口号等信息,所以需要设备通过检测报文的应用层数据,自动获取相关信息并创建相应的会话表项,以保证这些应用的正常通信。这个功能称为ASPF应用层报文过滤(Application Specific Packet Filter),所创建的会话表项叫做Server-map表。

Server-map表相当于在防火墙上开通了“隐形通道”,使得像FTP这样的特殊应用的报文可以正常转发。当然这个通道不是随意开的,是防火墙分析了报文的应用层信息之后,提前预测到后面报文的行为方式,所以才打开了这样的一个通道。

Server-map通常只是用检查首个报文,通道建立后的报文还是根据会话表来转发。

Server-map表在防火墙转发中非常重要,不只是ASPF会生成,NAT Server等特性也会生成Server-map表。

Server-map表与会话表的关系:

Server-map表记录了应用层数据中的关键信息,报文命中该表后,不再受安全策略的控制;

会话表是通信双方连接状态的具体体现;

Server-map表不是当前的连接信息,而是防火墙对当前连接分析后得到的即将到来报文的预测;

防火墙收到报文先检查是否命中会话表;

如果没有命中则检查是否命中Server-map表;

命中Server-map表的报文不受安全策略控制;

防火墙最后为命中Server-map表的数据创建会话表。

双机热备

双机热备要求:

两台防火墙用于心跳线的接口加入相同的安全区域

两台防火墙用于心跳线的接口的设备编号必须一致,如都是G1/0/1

建议用于双机热备的两台防火墙采用相同的型号、相同的VRP版本

双机热备:

同一时间只有一台防火墙转发数据包,其他防火墙不转发数据包,但是会同步会话表以及server-map表

负载均衡:

同一时间多台防火墙同时转发数据包,但每个防火墙又作为其他防火墙的备用设备,即每个防火墙既是主用设备也是备用设备。防火墙之间同步会话表以及server-map表

VRRP

热备模式

负载均匀模式

HSRP和VRRP

HSRP

VRRP

协议类型

专有协议

公有协议

虚拟IP

不可以是成员路由器IP

可以是成员路由器IP

虚拟MAC

00-00-0C-07-AC-组号

00-00-5e-00-01-VRID

工作状态

五个

三个

报文

三种(hello、政变、辞职)

一种(VRRP通告报文)

特性

支持接口跟踪

不支持接口跟踪

VGMP

概念

  • VRRP组管理协议

  • 实现对VRRP备份组的统一管理

  • 保证设备在各个备份组中的状态一致性

特点

  • VGMP组的状态决定了VRRP备份组的状态

  • VGMP组的状态通过比较优先级决定

  • 默认情况下,VGMP组的优先级为45000

  • 通过心跳线协商VGMP状态信息

  • 一旦检测到备份组的状态变成Initialize状态,VGMP组的优先级会自动减2

华为防火墙在默认情况下放行组播流量,禁止单播流量,所以如果配置了remote参数,还需要配置local区域和心跳接口所在安全区域之间安全策略

eNSP模拟器中,即使心跳接口之间相连,也必须配置remote参数,否则无法配置

CS@DN@LHG
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux 防火墙防火墙规则
LKmnbZ's Blog
01-21 2722
防火墙的分类 包过滤型防火墙 工作在OSI参考模型的网络层 它根据数据包头源地址、目的地址端口号和协议类型 等标志确定是否允许数据包通过 代理型防火墙 主要工作在OSI的应用层 代理服务在确认客户端连接请求有效后接管代理 代为向服 务器发出连接请求 代理型防火墙可以允许拒绝特定的应用程序或服务,还可以实施数据流监控、过滤、 记录和报告功能 代理服务器通常有高速缓存功能 代...
防火墙简单了解
a_sshead的博客
09-06 963
目录 1、定义 2、部署位置 3、基础作用 4、技术原理 5、策略 6、典型技术 1)静态包过滤防火墙 2)应用代理防火墙 3)状态检测防火墙(动态包过滤防火墙) 7、防火墙的局限性 1、定义 位于可信网络与不可信网络之间并对二者之间流动的数据包进行检查和筛选的一台、多台计算机和路由器。 2、部署位置 1)可信网络与不可信网络之间 2)不同安全级别网络之间 3)两个需要隔离的区域之间 3、基础作用 1)控制:在不同安全域的网络连接点上建立一个安全控制点,对进出...
Windows防火墙:“Windows允许应用或功能通过Windows Defender防火墙”与“入站规则、出站规则”优先级(注意:“出站规则”限制对象是“目标端口”而非“源端口”)明确拒绝优先原则
Dontla的博客
02-17 2589
入站规则控制外部源向您的计算机发送的数据包。它们决定了哪些服务或应用可以接收来自网络的连接请求。
防火墙流量管理
晚风挽着浮云的博客
06-03 1643
防火墙(英语:Firewall)技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验。
如何配置防火墙之了解防火墙基本机制
最新发布
abao6690的博客
05-14 914
如何配置防火墙之了解防火墙基本机制
2023-03-24 网工进阶(四十)华为防火墙技术---概述、基本概念(安全区域、安全策略、会话表)、ASPF、虚拟系统
x629242的博客
04-02 6497
在通信领域,防火墙是一种安全设备。它用于保护一个网络区域免受来自另一个网络区域的攻击和入侵,通常被应用于网络边界,例如企业互联网出口、企业内部业务边界、数据中心边界等。防火墙根据设备形态分为,框式防火墙、盒式防火墙和软件防火墙,支持在云上云下灵活部署。防火墙的转发流程比路由器复杂。以框式设备为例,硬件上除了接口、LPU(Line Processing Unit)、交换网板等外,防火墙还特有,用于实现防火墙的安全功能。
计算机防火墙知识点,防火墙防火墙的基本概念-信息安全工程师知识点
weixin_42117082的博客
06-20 1046
信息安全工程师知识点:防火墙防火墙的基本概念防火墙是一种较早使用、实用性很强的网络安全防御技术,它眶挡对网络的非法访问和不安全数据的传递,使得本地系统和网络免于受到许多网络安全威胁。本小节介绍防火墙的基本概念、实现技术、体系结构、配置与应用。·防火墙的基本概念防火墙(FireWall)一词源于早期欧式建筑中,是为了防止火灾的蔓延而在建筑物之间修建的矮墙,也类似于我国古代的护城河,可以阻挡敌人的进...
通过防火墙禁止访问指定网站(个人电脑,Windows系统)
AbaloneVH的博客
11-12 9931
背景:近年沉迷B站视频不能自拔,使用了诸多手段禁用,都很容易破戒。为了彻底杜绝B站的使用,决定手动进行设置。
防火墙-简单了解
FlyFlywin-L的博客
12-01 250
最重要的是四表五链 windows和linux安全等级都属于c2 防火墙分类: 基础类防火墙:根据数据报文特征进行数据包过滤模块 IDS 类防火墙:入侵检测系统 IPS 类防火墙:入侵防御系统 主动安全类防火墙 ​ waf:外网{防御http协议} ​ daf:数据库应用防火墙 基础类防火墙:iptables,firewalld ​ 软件 ​ iptables ​ firewalld ​ 硬件:大厂一般都有{惠普,联想} ​ 性能主要看吞吐量:每秒能过滤多大的数据流量 防火墙:工作在主机边缘处或者网络
飞塔防火墙产品介绍
04-19
飞塔防火墙 产品介绍 ,实验拓扑 简单的命令 用户界面
Linux下防火墙简单配置与插入规则介绍
09-15
主要介绍了Linux下防火墙简单配置与插入规则介绍的相关资料,需要的朋友可以参考下
Ubuntu20.04防火墙设置简易教程(小白)
09-14
主要介绍了Ubuntu20.04防火墙设置简易教程(小白),文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
海蜘蛛V9防火墙,软件防火墙
08-25
海蜘蛛V9防火墙镜像,完全可以使用 功能介绍: http://www.hi-spider.com/index.php/zh/article/hai-zhi-zhu-Vshang-xian-xin-jia-gou-xin-nei-he-huan-ying-zi-xun-74 Hi-Spider Router是针对中小型企业/网吧用户...
防火墙
Romanticn_chu的博客
08-24 167
1、Linux 系统结构,在X86平台的CPU,是如何执行内核程序和用户程序的 ring0:(执行与硬件相关或者硬件寄存器相关或者总线控制相关的程序) ring1-2:(驱动程序或者与虚拟化相关的程序) ring3:(执行用户态的程序) 2、防火墙基础 从逻辑上分类: 网络防火墙:针对网络入口进行防护。 主机防火墙:针对单个主机进行防护。 从物理上分类: 硬件防火墙:在硬件级别实现部分防火墙功能。...
如何配置天融信NGFW4000防火墙基于长连接的访问策略
weixin_33670786的博客
01-20 2195
a.假设你已经通过串口初始化了防火墙4000(配置接口IP、GUI 登录权限等),并按照以上拓扑图连接好网络、创建了相关网络对象(如有疑问请参看“防火墙4000 管理配置”和“防火墙4000属性配置”相关文档或DEMO演示);b.要求:创建一条用户访问策略,允许内网区域中的lihua能够通过防火墙4000 使用ftp 与外网区域中Server服务器进行数据...
防火墙安全策略
w17791476027的博客
03-16 3420
防火墙的首包机制以及在ensp的图形化界面做防火墙安全策略
防火墙技术之安全策略
大河之犬的博客
09-21 8776
安全策略基于安全区域的域间关系来呈现,其内容包括两个组成部分。条件。检查报文的依据,防火墙将报文中携带的信息与条件逐一对比,以此来判断报文是否匹配。动作。对匹配了条件的报文执行的动作,包括允许通过(permit)或拒绝通过(deny),一条策略中只能有一个动作。安全策略之间是存在顺序的,防火墙在两个安全区域之间转发报文时,会按照从上到下的顺序逐条查找域间存在的安全策略。如果报文命中了某一条安全策略,就会执行该安全策略中的动作,或允许通过或拒绝通过,不会再继续向下查找;
iptables
wenqing_ruyu的博客
06-22 1399
iptables简介 配置防火墙 (iptables+netfilter) nat: 网络地址转换 filter: 过滤 SNAT: 实现内网的主机上网 DNAT: 对外发布服务
Linux学习--11
qq_42428721的博客
09-13 460
使用iptables与firewalld防火墙 一、防火墙管理工具 在公网与企业内网之间充当保护屏障的防火墙虽然有软件或硬件之分,但主要功能都是依据策略对穿越防火墙自身的流量进行过滤。防火墙策略可以基于流量的源目地址端口号、协议、应用等信息来定制,然后防火墙使用预先定制的策略规则监控出入的流量,若流量与某一条策略规则相匹配,则执行相应的处理,反之则丢弃。这样一来,就能够保证仅有合法的流量在企业内网和外部公网之间流动了。 从RHEL 7系统开始,firewalld防火墙正式取代了iptables防火墙
详细介绍一下防火墙的各种类
06-13
好的,下面我会详细介绍一下防火墙的各种分类: 1. 按照部署位置: - 网络防火墙:位于网络边界,通过对数据包的源地址、目的地址协议类型等进行检查,过滤掉不符合规则的数据包,保护网络不受外部攻击。 - ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值