一、防火墙
1、“防火墙”一词起源于建筑领域,用来隔离火灾,阻止火势从一个区域蔓延到另一个区域。引入到通信领域,防火墙这一具体设备通常用于两个网络之间有针对性的、逻辑意义上的隔离。当然,这种隔离是高明的,隔离的是“火”的蔓延,而又保证“人”的穿墙而过。这里的“火”是指网络中的各种攻击,而“人”是指正常的通信报文。
用通信语言来定义,防火墙主要用于保护一个网络区域免受来自另一个网络区域的网络攻击和网络入侵行为。因其隔离、防守的属性,灵活应用于网络边界、子网隔离等位置,具体如企业网络出口、大型网络内部子网隔离、数据中心边界等等。
2、防火墙、路由器、交换机三者区别
防火墙与路由器、交换机是有区别的。路由器用来连接不同的网络,通过路由协议保证互联互通,确保将报文转发到目的地;交换机则通常用来组建局域网,作为局域网通信的重要枢纽,通过二层/三层交换快速转发报文;而防火墙主要部署在网络边界,对进出网络的访问行为进行控制,安全防护是其核心特性。路由器与交换机的本质是转发,防火墙的本质是控制。现阶段中低端路由器与防火墙有合一趋势,主要也是因为二者互相功能兼具,变成all in one的目标,华为也发布了一系列中低端设备
3、华为防火墙产品简介
华为防火墙产品主要包括USG2000、USG5000、USG6000和USG9500四大系列,涵盖低、中、高端设备,型号齐全功能丰富,完全能够满足各种网络环境的需求。其中,USG2000和USG5000系列定位于UTM产品,USG6000系列属于下一代防火墙产品,USG9500系列属于高端防火墙产品。
USG2100集防火墙、UTM、VPN、路由、无线(WIFI/3G)等于一身,即插即用,配置方便,可以为为客户提供安全、灵活、便捷的一体化组网和接入解决方案。
USG6000作为华为面向下一代网络环境的防火墙产品,提供以应用层威胁防护为核心的下一代网络安全,让网络管理员重新掌控网络,看得更清、管得更细、用得更易。具有最精准的应用访问控制、6000+应用识别、多种用户认证技术、全面的未知威胁防护、最简单的安全管理、最高的全业务性能体验等优点。
USG9500是业界首款T级数据中心防火墙,成功通过了业界权威第三方安全测评机构美国NSS实验室的测试,获评为业界最快的防火墙。USG9500采用分布式软硬件设计,融合了多种行业领先的专业安全技术,将交换、路由、安全服务整合到统一的设备中,在大型数据中心、大型企业、教育、政府、广电等行业和典型场景得到广泛应用。
4、安全区域
为了在防火墙上区分不同的网络,引入了安全区域(security zone),简称为区域(zone)。区域是一个或多个接口的集合,是区别于路由器的主要特性。
华为防火墙默认提供三个安全区域:
Trust区域,该区域内网络受信任程度高,常用来定义用户所在的网络
DMZ区域,该区域受信任程度中等,常用来定义内部服务器所在网络
Untrust区域,该区域代表不受信任网络,常用来定义Internet等不安全的网络。
防火墙上提供了Local区域,代表防火墙本身。
在华为防火墙上,每个区域都有唯一的安全级别,用1~100的数字表示,数字越大,则该区域内的网络越可信。对于默认的安全区域,他们的安全级别是固定的。Local是100,Trust是85,DMZ是50,Untrust是5。
5、安全域间(interzone)
任意两个安全区域都构成一个安全域间,并具有单独的安全域间视图,大部分的安全策略都需要在安全域间视图下配置。安全域间用来描述流量的传输通道,是两个区域间的唯一道路,在道路上配置安全策略,从而控制信息的流动。我们规定,报文从低级别的安全区域向高级别的安全区域流动时为入方向(Inbound),反之为出方向&#x
最低0.47元/天 解锁文章
278
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
