防火墙
防火墙设备通常用于两个网络之间有针对性的、逻辑意义上的隔离。既能阻断网络中的各种攻击又能保证正常的通信报文通过。主要用于保护一个网络区域免受来自另一个网络区域的网络攻击和网络入侵行为。一般部署在企业网络出口、大型网络内部子网隔离、数据中心边界等。
路由器与交换机的本质是转发,防火墙的本质是控制。
现在中低端路由器与防火墙有合一的趋势,二者相互功能兼具。
防火墙和路由器实现安全控制的区别
防火墙 | 路由器 | |
背景 | 产生于人们对安全性的需求 | 基于对网络数据包路由而产生的 |
目的 | 保证任何非允许的数据包“不通” | 保持网络和数据的“通” |
核心技术 | 基于状态包过滤的应用级信息流过滤 | 路由器核心的ACL列表是基于简单的包过滤 |
安全策略 | 默认配置即可以防止一些攻击 | 默认配置对安全性的考虑不够周全 |
对性能的影响 | 采用的是状态包过滤,规则条数,NAT的规则数对性能影响较小 | 进行包过滤会对路由器的CPU和内存产生很大的影响 |
防攻击能力 | 具有应用层防范功能 | 普通路由器不具有应用层的防范功能 |
华为的防火墙产品主要有USG2000/USG5000/USG6000/USG9500四大系列。
USG2000/USG5000系列定位于UTM产品,USG6000系列属于下一代防火墙产品,USG9500系列为高端防火墙产品。
USG2100是集防火墙、UTM、VPN、路由、无线等于一身的低端集合产品。
安全区域
防火墙通过安全区域(security zone)来划分网络、标识报文流动的“路线”。
通过把接口划分到不同的安全区域中,就可以在防火墙上划分不同的网络。
华为设备默认安全区域:Trust、DMZ和Untrust
trust区域,受信程度最高 个人网络85
DMZ区域,受信程度中等 局域网50
untrust区域,不受信任的网络 inter网5
Local区域,代表防火墙本身。受信程度最高100
Trust区域,该区域内网络的
DMZ区域,
配置安全区域
interface g 0/0/0
ip address 10.1.1.2 24
int g 0/0/1
ip address 1.1.1.2 24
firewall zone untrust
set priority 85
add interface g 0/0/0
firewall zone untrust
set priority 5
add interface g 0/0/1
配置安全策略
security-policy
rule name policy_sec_1
source-zone trust
destination-zone untrust
source-address 192.168.0.1 24
acrion permit
server-map表
firewall interzone trust dmz
detect ftp
display firewall server-map
display firewall session table
尽量使用图形界面的防火墙设置更直观。