华为防火墙理论与管理

最新推荐文章于 2024-01-29 18:44:03 发布
置顶 最新推荐文章于 2024-01-29 18:44:03 发布
阅读量1k 收藏 7
点赞数 3
分类专栏: 华为 文章标签: 华为防火墙
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45724795/article/details/104261129
版权

前言:随着网络的发展,层出不穷的新应用虽然给人们的网络生活带来了更多的便利,但是同时也带来更多的安全风险,为了解决新网络带来的新威胁,华为防火墙(称叫 Next Generation Firewall 下一代防火墙)应运而生

文章目录

一、华为防火墙理论

1.特征

  • 通常要求下一代防火墙产品具有以下特征
    • 使用签名和特征,而不是端口号和协议来对应用进行定义,以识别报文的真实属性和所携带的不安全因素
    • 集成SA(Service Awareness,业务感知)功能,并且使用专业的硬件系统来检测报文的真实应用和内容
    • 集成IPS功能,性能更高,威胁的识别和阻断结合得更加紧密
    • 丰富而完善的可视化管理、审计、报表功能,使得网络管理员可以掌握全面真实的网络状况,以帮助管理员更好地做出防护措施
      在这里插入图片描述

2.防火墙外观结构

1)百兆防火墙USG6507

在这里插入图片描述
在这里插入图片描述

2)千兆防火墙USG6550

在这里插入图片描述

3.防火墙的工作模式

  • 路由模式
    • 当防火墙处于内部网路和外部网络中间时,需要将防火墙的内部网络、外部网络、DMZ三个区域分配不同地址段的时候
    • 这个时候防火墙首先是台路由器,人后在提供其他的防火墙功能
  • 透明模式
    • 华为防火墙通过二层和外相连接时候,则防火墙处于透明模式下
  • 混合模式
    • 既处于路由接口模式又处于透明模式下,则防火墙是混合模式
    • 目前只用于透明模式下的双机热备的特殊应用中。别的环境不用

4.华为防火墙的安全区域划分

  • 华为防火墙通常划分4个区域:trust、untrust、DMZ、Local
    • trust
      • 主要用户连接公司内部网络,优先级是85,安全等级较高
    • DMZ
      • 非军事化区域、是一个军事用语,是介于军事管事区和公共区域之间的一个区域,优先级50,安全等级中
    • UNtrust
      • 外部网络,优先级5,安全等级低
    • Local
      • 通常定义防火墙本身,优先级100,防火墙除了转发的流量外,其自己也有收发流量,如控制流量、动态路由协议等,这些报文通常都是从Local区域发送的。
  • 其他区域:用户自定义区域,默认最多16个区域,默认没有优先级,所以要自己配置优先级
    在这里插入图片描述

5.防火墙的inbound和outbound

  • 防火墙的访问规则和策略(如ACL)不是应用在端口上,而是在区域间之间࿰
最低0.47元/天 解锁文章
changz丶
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
华为防火墙基础理论与连接的四种方式
CN_TangZheng的博客
02-10 4081
通过AAA认证管理管理方式有四种,Console线连接,Telnet远程连接,Web网页连接,SSH连接 生产环境中,我们使用Console线连接和他Telnet连接的方式,web连接和ssh连接有漏洞,我们不采用
华为USG6550的ipsec ***配置
weixin_33874713的博客
06-17 497
两年了,没有再这里写点东西了哈,人都变赖了!配置的环境,总部USG6550 ,分厂USG63XX分厂需要访问总部,两个厂都要自己的IP地址分厂配置:#acl number 3000rule 5 permit ip source 10.50.0.0 0.0.255.255 destination 10.10.0.0 0.0.255.255#ike proposal 1au...
华为防火墙基本理论
weixin_34255055的博客
10-23 514
分类:包过滤防火墙---基于数据包的代理防火墙状态检测防火墙:由内部向外部的访问生成状态会话表项(源目端口,源目IP,协议号 五元组),当外部访问内部时默认是拒绝的,但是如果存在状态表项的话可以放行,对于外部主动访问内部的时候是拒绝的。-----五元组去匹配,基于数据流USG6600]display firewall session table USG6600]di...
华为防火墙介绍和原理,配置详细解析
外游者
12-27 3240
在出向外网的流量中,我们使用默认路由来指定默认的出口,并且使用nat地址转换,而在外网中,我们使用ISIS协议来进行路由的学习和更新,让外网可以访问到dmz非军事化区域的server1服务器。并进行NAT转换,实现了内部IP地址和外部IP地址之间的映射,以便内部网络可以与外部网络进行通信。网络地址转换(NAT):防火墙可实现网络地址转换,将内部私有IP地址转换成公共IP地址,以隐藏网络拓扑结构,增加网络安全性。确定安全需求:根据企业的安全需求和策略,确定防火墙的配置目标和规则。
2-华为防火墙:安全策略分类
weixin_34309435的博客
07-07 600
一、实验拓扑:二、实验要求:ASA中只能定义个主机或者一个范围,SRG可以同时定义主机、范围;从虚拟防火墙的到物理防火墙也是Inbound,华为管理类型防火墙就是思科的管理防火墙;三、命令部署:1、R1、R2、R3地址省略,部署默认路由到USG:[R1]ip route-static 0.0.0.0 0.0.0.0 202.100.1.10[R2]ip route-static 0.0.0.0...
华为USG6507 NAT说明
04-20
华为USG6000防火墙的NAT简介,NAT、策略的处理顺序说明。
H3C交换机ACL的单向访问解决方案
热门推荐
跑偏的网络工程师
04-09 1万+
写下此文的目的只是为了记录遇到的问题,以防下次再遇到此类问题可以备查。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 一、需求 公司要求为开发部门提供一个SIT集成测试环境: 1、能上外网 2、按需开放要访问的业务 3、除以上外,默认禁止访问其他 4、其他所有业务网段可访问此网段 二、环境现状 文中的设备及ip都是使用H3C模拟器HCLv2.1...
华为防火墙双机热备(VGMP+HRP)理论+实操!
CN_TangZheng的博客
02-14 6553
- 平常多个VRRP备份组会存在状态不一致的问题,于是华为防火墙引入了VGMP来实现对VRRP备份组的统一管理,保证多个VRRP备份组状态的一致性。 - VGMP(VRRP Group Management Protocol)组管理协议:由于双机热备导致设备出问题时可能会来回路径不一致,因此,我们将防火墙上的所有VRRP备份组都加入到一个VGMP组中,由VGMP组来集中监控并管理所有的VRRP备份组状态。如果有一个VRRP备份组有状态变化,则全部VRRP备份组进行状态切换,保证各VRRP备份组状态的一致性
华为网络----防火墙理论+NAT策略理论与实验
weixin_45726050的博客
02-25 2380
文章目录前言:一、防火墙简介1.1 华为防火墙工作模式1.2 华为防火墙安全区域1.3 华为防火墙的inbound和outbound1.4 华为防火墙安全策略二、NAT概述2.1 NAT分类三、黑洞路由3.1 黑洞路由的产生3.2 黑洞路由应用场景3.3 黑洞路由配置命令四、Server-map表4.1 Server-map表简介4.2 Server-map和会话表的区别4.3 server-ma...
华为防火墙NAT策略
weixin_45724795的博客
02-13 3116
前言:NAT技术是用来解决当今IP地址资源枯竭的一种技术,同时也是IPv4到IPv6的过渡技术,绝大多数网络环境中在使用NAT技术 文章目录一、理论1.NAT分类1)NAT NO-PAT2)NAPT3)Easy-IP4)NAT Server5)Smart NAT6)三元组NAT2.黑洞路由1)如何解决源地址转换环境下的环路和无效ARP问题3.Sever-map表1)区别2 )配置4.NAT对报文的...
timeview未就绪_H3C SecBlade LB插卡 命令参考-6PW103
weixin_26808439的博客
01-14 1261
存储介质有多种类型,如CF卡、U盘等。本手册以CF卡为例进行描述。1.1.1 configure-user count【命令】configure-user countnumberundo configure-user count【视图】系统视图【缺省级别】2:系统级【参数】number:用户数,取值范围为1~55。【描述】configure-user count命令用来设置可以同时进入系统视图的...
网络安全(2)
最新发布
jiaoqingdong的博客
01-29 2090
接口对-·“透明网线”--可以将两个接口绑定成为接口对,如果流量从一个接口进入,则。--其实一个接口也可以做接口对,从该。防火墙的主要职责在于:控制和防护---安全策略---防火墙可以根据安全策略来抓取流量之后做出对应的动作。带内管理--通过网络环境对设备进行控制--telnet,,ssh,web--登录设备和被登。NAT类型--五元组NAT--针对源IP,目标P,源端口,目标端口,协议这五个参数识别出。安全策略--1,访问控制(允许和拒绝)2,内容检测--如果允许通过,则可以进行内容检测。
windows下ACS服务器的认证(h3c)【路由器、交换机】
weixin_33885253的博客
11-12 662
参考:windows下ACS服务器的认证 路由器配置: 示意图: telnet: [Router]display version Copyright Notice: All rights reserved (Aug 15 2006). Witho...
华为开启位置信息服务器,华为交换机telnet配置
weixin_29791447的博客
08-05 730
华为交换机s2300的telnet配置连接 console 口:切换视图:sys[Quidway]interface vlanif1进入到vlan1[Quidway-Vlanif1]ip address你的网段ip 你的掩码设置ip:我的例子:ip address 192.168.0.200 255.255.255.0上述设置很重要,搞不好绝对上不了!设完ip后,用xp的cmd telnet 1...
一文搞懂华为防火墙的原理和配置
lwljh134的博客
03-02 1507
这里的“火”是指网络中的各种攻击,而“人”是指正常的通信报文。某公司网络使用防火墙作为出口路由器,要求将公网设置为untrust区域,对外http服务器所在区域设置为dmz区域,内网的其他pc所在区域设置为trust区域。可以看到会话的安全区域放行为trust到untrust区域,该会话的老化时间(TTL)为20s,接收到报文的接口为G1/0/2,发送报文的接口为G1/0/1。纵观防火墙的发展历史,防火墙经历了从低级到高级、从功能简单到功能复杂的过程。图11-1:防火墙的发展历程。
超级详细的华为防火墙基础知识
weixin_46622350的博客
06-03 7412
文章整理自《华为防火墙技术漫谈》 1.1 什么是防火墙 防火墙,顾名思义,阻挡的是火,这一名词起源于建筑领域,其作用是隔离火灾,阻止火势从一个区域蔓延到另一个区域。 引入到通信领域,防火墙也形象化地体现了这一特点:防火墙这一具体的网络设备,通常用于两个网络之间的隔离。当然,这种隔离是高明的,隔离的是“火”的蔓延,而又保证“人”能穿墙而过。这里的“火”是指网络中的各种攻击,而“人”是指正常的通信报文。 那么,用通信语言来定义,防火墙主要用于保护一个网络免受来自另一个网络的攻击和入...
五元组和防火墙
系统运维
09-17 2348
目前大多数防火墙还是传统的基于五元组的防火墙,我觉得这太差劲了,我认为只有第七层防火墙才是真正的防火墙,五元组不能标示一个应用,正如tcp的80端口并不总是代表http一样,想要标示一个应用,你必须去分析第七层的协议头,而不是联合第三层,第四层的协议头,毕竟我们需要匹配一个第七层的应用,那就要需要第七层的协议头!然而第七层解析的问题何在?我觉得这有两方面,第一方面是谁提供了匹配的内容,也就是协议头...
华为防火墙产品介绍及工作原理
看清所以看轻
10-23 1万+
华为防火墙产品介绍 USG2000、USG5000、USG6000和USG9500构成了华为防火墙的四大部分,分别适用于不同的环境需求,其中,USG2000和USG5000系列定位于UTM(统一威胁管理)产品,USG6000系列属于下一代防火墙产品,USG9500系列属于高端防火墙产品。、 各个系列的产品介绍如下: 1、USG2110:USG2110是华为针对中小企业及连锁机构、SOHO企业等发...
华为USG6000v防火墙详尽配置教程与故障排除
华为防火墙USG6000v配置详细教程 本资源是一份针对华为ensp模拟软件环境下的USG6000v防火墙配置指南,由经验丰富的肖哥整理。这份文档主要目的是为了帮助学习者通过模拟实验深入理解防火墙的配置过程和技术要点。在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值