华为防火墙简单介绍

已于 2022-04-08 20:48:42 修改
阅读量6.7k 收藏 19
点赞数
分类专栏: 资源 网络安全
于 2022-04-08 20:46:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53049621/article/details/124049904
版权

防火墙

防火墙分类

第一代防火墙:包过滤防火墙

属于第一代防火墙技术,在没有专用防火墙设备时,一般由路由器实现该功能。将网络上传送数据包的IP首部以及 TCP/UDP首部,获取发送源的 IP地址和端口号,以及目的地的IP地址和端口号,并将这些信息作为过滤条件,决定是否将该分组转发至目的地网络分组过滤的执行需要设置访问控制列表。访问控制列表也可以称为安全策略(简称策略)或安全规则(简称规则)。类似于进站检票的做法,符合要求(车票和身份证无误)才能进站,每个人都需要检查,多于进进出出,团队出行的情况非常不友好,效率低,安全性不高。

包过滤防火墙的缺点

  1. 随着ACL 复杂度和长度的增加,其过滤性能呈指数下降趋势;
  2. 静态的ACL 规则难以适应动态的安全要求;
  3. 包过滤不检查会话状态也不分析数据,这很容易让黑客蒙混过关。
    攻击者可以使用假冒地址进行欺骗,通过把自己主机IP地址设成一个合法主机IP地址,就能很轻易
    地通过报文过滤器。

第二代防火墙:代理防火墙

  1. 第二代防火墙,不再根据IP首部和 TCP首部进行过滤,而是在传输层上进行连接中继(第四层代理),具体通过 SOCKS协议实现。

原理是:代理检查来自用户的请求,用户通过安全策略检查后,该防火墙将代表外部用户与真正的服务器建立连接,转发外部用户请求,并将真正服务器返回的响应回送给外部用户。

代理防火墙能够完全控制网络信息的交换,控制会话过程,具有较高的安全性。其缺点主要表现在:软件实现限制了处理速度,易于遭受拒绝服务攻击;需要针对每一种协议开发应用层代理,开发周期长,而且升级很困难。

第三代防火墙:状态防火墙

1994年CheckPoint公司发布了第一台基于状态检测技术的防火墙,不再是单包检查,以会话为单位通过动态分析报文的状态来决定对报文采取的动作,不需要为每个应用程序都进行代理,处理速度快而且安全性高。状态检测防火墙被称为第三代防火墙。通信中的包实际上并不是孤立的,更多的情况下包是可以用会话来分类,比如访问百度,开始是三次握手,然后请求内容并回应,最后4次断开,这些包是有上下文联系的属于一个会话。

基本原理简述如下:

  1. 状态检测防火墙使用各种会话表来追踪激活的TCP(Transmission Control Protocol)会话和UDP(User Datagram Protocol)伪会话,由访问控制列表决定建立哪些会话,数据包只有与会话相关联时才会被转发。其中UDP伪会话是在处理UDP协议包时为该UDP数据流建立虚拟连接(UDP是面对无连接的协议),以对UDP 连接过程进行状态监控的会话。

  2. 状态检测防火墙在网络层截获数据包,然后从各应用层提取出安全策略所需要的状态信息,并保存到会话表中,通过分析这些会话表和与该数据包有关的后续连接请求来做出恰当决定。

检测TCP的连接状态阻挡来路不明的分组,使用状态分组检测能够有效抵抗下面这些类型的攻击:

  1. 伪装IP地址或者端口,发送附带TCP的 RST或 FIN标志位的分组,随意中止正常通信的攻击

  2. 在允许通信的范围内发送附带TCP 的 ACK标志位的分组,从而入侵内部网络

  3. 在FTP通信时,无论是否建立控制连接,都会创建数据连接进而入侵内部网络
    在这里插入图片描述

第四代防火墙:UTM防火墙

第三代防火墙出现之后网络安全迎来了百花齐放的时代,陆续出现了各种各样针对不同场景的安全设备:

  • 入侵检测系统(IDS)
    根据部署位置监控到的流量进行攻击事件监控,属于一个事后呈现的系统,相当于网络上的监控摄像头,传统防火墙只能基于规则执行“是”或“否”的策略,IDS主要是为了帮助管理员清晰的了解到网络环境中发生了什么事情
  • 入侵防御系统(IPS)
    根据已知的安全威胁生成对应的过滤器(规则),对于识别为流量的阻断,对于未识别的放通。IDS只能对网络环境进行检测,但却无法进行防御,IPS主要是针对已知威胁进行防御。
  • 防病毒网关(AV)
    防止病毒文件通过外网络进入到内网环境
  • Web应用防火墙(WAF
    防止基于应用层的攻击影响Web应用系统以上的各种专用安全设备的出现极大的丰富了安全防御的手段,但是也造成了新的问题

第五代防火墙:下一代防火墙

2008年Palo Alto Networks 公司发布了下一代防火墙(Next-Generation Firewall),解决了多个功能同时运行时性能下降的问题。同时,下一代防火墙还可以基于用户、应用和内容来进行管控。2009年Gartner(一家IT咨询公司) 对下一代防火墙进行了定义,明确下一代防火墙应具备的功能特性。Gartner把NGFW看做不同信任级别的网络之间的一个线速(wire-speed)实时防护设备,能够对流量执行深度检测,并阻断攻击。Gartner认为,NGFW必须具备以下能力:
1. 传统防火墙的功能
NGFW是新环境下传统防火墙的替代产品,必须前向兼容传统防火墙的基本功能,包括包过滤、协议状
态检测、NAT、VPN等。
2. IPS 与防火墙的深度集成
NGFW要支持IPS功能,且实现与防火墙功能的深度融合,实现1+1>2的效果。Gartner特别强调IPS与防火墙的“集成”而不仅仅是“联动”。例如,防火墙应根据IPS检测到的恶意流量自动更新下发安全策略,而不需要管理员的介入。换言之,集成IPS的防火墙将更加智能。Gartner现,NGFW产品和独立IPS产品的市场正在融合,尤其是在企业边界的部署场景下,NGFW正在吸收独立IPS产品的市场。
3. 应用感知与全栈可视化
具备应用感知能力,并能够基于应用实施精细化的安全管控策略和层次化的带宽管理手段,是NGFW引进的最重要的能力。传统的状态检测防火墙工作在二到四层,不会对报文的载荷进行检查。NGFW能对七层检测,可以清楚地呈现网络中的具体业务,并实行管控。
4. 利用防火墙以外的信息,增强管控能力
防火墙能够利用其他IT系统提供的用户信息、位置信息、漏洞和网络资源信息等,帮助改进和优化安全策略。例如,通过集成用户认证系统,实现基于用户的安全策略,以应对移动办公场景下,IP地址变化带来的管控难题。防火墙的安全区域防火墙中有一个重要的概念安全区域,将防火墙上物理或者逻辑接口分配到不同的安全区域中,防火墙通过安全区域来划分网络,同一个区域内报文可以通信,但是跨区域的流量必须策略允许才行。

华为防火墙的默认区域
在这里插入图片描述

华为防火墙默认预定义了四个固定的安全区域,分别为:

  • Trust: 该区域内网络的受信任程度高,通常用来定义内部用户所在的网络。

  • Untrust: 该区域代表的是不受信任的网络,通常用来定义Internet 等不安全的网络。

  • DMZ(Demilitarized非军事区): 该区域内网络的受信任程度中等,通常用来定义内部服务器(公司OA系统,ERP系统等)所在的网络。

  • Local: 防火墙上提供了Local 区域,代表防火墙本身。比如防火墙主动发起的报文(我们在防火墙执行ping测试)以及抵达防火墙自身的报文(我们要网管防火墙telnet、ssh、http、https)。

注意:默认的安全区域无需创建,也不能删除,同时安全级别也不能重新配置。USG防火墙最多支持32个安全区域。

Local 区域中不能添加任何接口,但防火墙上所有接口本身都隐含属于Local 区域。也就是说,报文通过接口去往某个网络时,目的安全区域是该接口所在的安全区域;报文通过接口到达防火墙本身时,目的安全区域是Local 区域。

华为防火墙介绍

安全级别

在华为防火墙上,每个安全区域都有一个唯一的安全级别,用1~100的数字表示,数字越大,则代表该区域内的网络越可信。对于默认的安全区域,它们的安全级别是固定的:Local区域的安全级别是100,Trust区域的安全级别是85,DMZ区域的安全级别是50,Untrust区域的安全级别是5。
报文在安全区域之间流动的方向报文在两个安全区域之间流动时,我们规定:报文从低级别的安全区域向高级别的安全区域流动时为入方向(Inbound),报文从由高级别的安全区域向低级别的安全区域流动时为出方向(Outbound)。
报文在两个方向上流动时,将会触发不同的安全检查。下图标明了Local区域、Trust区域、DMZ区域和Untrust区域间的方向。

操作

firewall zone trust                      #进入区域
set priority 80                          #设置区域的优先级
add interface GigabitEthernet0/0/0       #给区域添加接口
firewall zone name server                #自定义安全区域

安全策略

安全策略主要包含下列配置内容:
策略匹配条件:源安全域,目的安全域,源地址,目的地址,用户,服务,应 用,时间段。

策略动作:允许,禁止。

内容安全profile:(可选,策略动作为允许的时候执行)反病毒,入侵防御,URL过滤,文件过滤,内容过滤,应用行为控制,邮件过滤
在这里插入图片描述

防火墙的会话表

  1. 会话表项
    会话是状态检测防火墙的基础,每一个通过防火墙的数据流都会在防火墙上建立一个会话表项,以五元组(源/目的IP地址、源/目的端口、协议号)为Key值,通过建立动态的会话表提供域间转发数据流更高的安全性。

会话表包括五个元素:

  • 源IP地址
  • 源端口
  • 目的IP地址
  • 目的端口
  • 协议号
  1. 会话表与状态检测
    状态检测防火墙使用基于连接状态的检测机制,将通信双方之间交互的属于同一连接的所有报文都作为整体的数据流来对待。当防火墙安全策略允许报文通过时,将会建立如下的会话表传统包过滤防火墙中,为了使由内网PC主动访问外网资源的回应报文也顺利通过防火墙,还需要再配置一条反向规则。当使用状态检测防火墙时,报文成功被防火墙转发后,设备会生成一个五元组的会话表。让我们来了解一下会话表中包含了哪些内容。

在一个完整的会话表中,如果使用了verbose参数,将会看到更完整的信息:

  • Zone:表示报文在安全区域之间流动的方向,图中的信息表示报文是从Trust区域流向
    Untrust区域。
  • TTL:表示该条会话的老化时间,这个时间到期后,这条会话也将会被清除。Left:表示该条
    会话剩余的生存时间。
  • Output-interface:表示报文的出接口,报文从这个接口发出。
  • Nexthop:表示报文去往的下一跳的IP地址,本网络拓扑中是Web服务器的IP地址。
  • MAC:表示报文去往的下一跳的MAC地址,本网络拓扑中是Web服务器的MAC地址。
[USG6000]display firewall session table verbose
Current total sessions: 1
http VPN:public --> public
Zone: local--> trust Remote TTL: 00:00:20 Left: 00:00:08
Output-interface: GigabitEthernet0/0/2 Nexthop: 10.1.1.1 MAC: 00-e0-4c-88-3a-32
<-- packets:6 bytes:390 --> packets:8 bytes:340
10.1.1.1:43981-->10.1.1.10:43981
小时候不乖的
关注
  • 0
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
华为防火墙USG6000全图化Web典型配置案例(V4.0)
03-24
华为防火墙USG6000全图化Web典型配置案例(V4.0)
华为H3C防火墙教程
04-26
华为防火墙,H3C的VRP,里面包括手册2本,一个是WEB的,一个是命令行的,很全
华为防火墙基本原理工作方法总结(包含源进源出)
IT技术
11-07 1005
华为防火墙基本原理工作方法总结
华为防火墙技术
weixin_52654869的博客
05-17 639
⦁ FTP协议是一个典型的多通道协议,在其工作过程中,FTP Client和FTP Server之间将会建立两条连接:控制连接和数据连接。数据连接使用的端口号是在控制连接中临时协商的。因为这种设备虽然部署在内网,但是经常需要被外网访问,存在较大安全隐患,同时一般又不允许其主动访问外网,所以将其部署一个优先级比trust低,但是比untrust高的安全区域中。⦁ 由于local区域的特殊性,在很多需要设备本身进行报文收发的应用中,需要开放对端所在安全区域与local区域之间的安全策略。
华为防火墙产品介绍及工作原理
看清所以看轻
10-23 1万+
华为防火墙产品介绍 USG2000、USG5000、USG6000和USG9500构成了华为防火墙的四大部分,分别适用于不同的环境需求,其中,USG2000和USG5000系列定位于UTM(统一威胁管理)产品,USG6000系列属于下一代防火墙产品,USG9500系列属于高端防火墙产品。、 各个系列的产品介绍如下: 1、USG2110:USG2110是华为针对中小企业及连锁机构、SOHO企业等发...
华为防火墙介绍
GZ_TOGOGO的博客
07-15 626
因为服务器既为内网用户提供服务,也为外网用户提供服务,也就是内外网的PC都可以访问这个服务器,那么服务器就不可以部署在内网中,但是又需要为服务器提供一定的安全功能,所以就部署在非军事化区域。代理防火墙防火墙在网络中起到第三 方代理的作用,比如,主机和服务器要通信的话,就都需要先把报文提交给防火墙,之后由防火墙进行检查,检查通过后,再把报文转发出去。默认情况下,同一个安全区域的主机可以互相访问,而不同安全区域的主机互相隔离,如果不同区域的主机需要互相访问,就必须要配置安全策略,通过后才可以互相访问。
华为防火墙简单配置
weixin_42902697的博客
09-09 2884
华为防火墙简单配置
华为防火墙的学习
weixin_54111663的博客
03-12 1888
防火墙原理与基础配置,工作原理。以及trust,untrut,DMZ区域配置
华为防火墙IP分析小工具介绍
zsx0728的博客
12-11 369
文章目录问题背景使用准备原理验证 问题背景     防火墙黑名单功能很强大,但是黑名单数目是有限制的,达到上限就需要删除。为了能够将近期不再攻击的IP筛选出来,我撸了一个简易的小工具:IP分析工具 使用准备     使用这个小工具有个前提,需要定期备份防火墙黑名单,用来对比。 原理     没什么原理,没用到红黑树、图,没用到回溯算法、贪心算法,因为我不会。将原黑名单的IP和命中数与新黑名单的IP和命中数进行比较,如果一致,就记录下来。 验证     我试了一下,啪,很快啊,因为我是有bear来,所以比sh
华为防火墙IPSEC简单搭建
baidu_41701694的博客
09-05 3697
消息属于第一次交换(称为IKE_SA_INIT交换),以明文方式完成IKE SA的参数协商,包括协商加密和验证算法,交换临时随机数和DH交换。创建子SA交换包含两条消息,用于一个IKE SA创建多个IPSec SA或IKE的重协商,对应IKEv1的第二阶段。该交换必须在初始交换完成后进行,交换消息由初始交换协商的密钥进行保护。该交换的发起者可以是初始交换的协商发起方,也可以是初始交换的协商响应方。2-设置ike peer,主要设置协商用的密码,应用ike-proposal 和设置对端IP。
华为防火墙vsys高级用法
IT技术
04-22 1348
华为防火墙vsys高级用法
华为防火墙的NAT介绍及配置详解
热门推荐
看清所以看轻
10-27 2万+
一、华为防火墙NAT的六个分类 二、解决NAT转换时的环路及无效ARP 在特定的NAT转换时,可能会产生环路及无效ARP,关于其如何产生,大概就是,在有些NAT的转换方式中,是为了解决内网连接Internet,而映射出了一个公有IP,那么,若此时有人通过internet来访问这个映射出来的公有IP,就会产生这两种情况。若要详细说起来,又是很麻烦,但是解决这两个问题很简单,就是配置黑洞路由(将i...
HUAWEI防火墙登录方式
12-25
本文档描述了HUAWEI防火墙几种登录方式 1、Console口登录 2、Web登录 3、远程登录 能够学习到什么? 通过本文档,可以让读者了解HUAWEI防火墙USG系列的登录方式,以及学习到如何通过Console口实现本地登录,通过...
华为USG6600下一代防火墙详版彩页.pdf
06-24
华为USG6600下一代防火墙详版彩页智能手机、iPad等终端已经普及,移动应用程序、Web2.0、社交网络应用于企业运营的 方方面面。企业网络边界变得模糊,信息安全问题日益复杂。通过IP和端口进行访问控制的传统 的防护...
防火墙期末设计大作业(ensp)
08-09
企业网可通过IPsec VPN在公网上为三个甚至三个异地私有网络提供安全通信通道,通过加密通道保证连接的安全性,此时内部的服务器仅对认可的用户开放服务,大大的提高了网络的扩展性、便捷性与安全性。...
mpu6050陀螺仪使用方法开发教程文档.docx
最新发布
07-30
mpu6050陀螺仪使用方法
【SCI顶级】龙格库塔算法RUN-CNN-LSTM-Multihead-Attention温度预测【含源码 5747期】.zip
07-30
CSDN海神之光上传的全部代码均可运行,亲测可用,直接替换数据即可,适合小白; 1、代码压缩包内容 主函数:Main .m; 数据; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,可私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开除Main.m的其他m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博主博客文章底部QQ名片; 4.1 CSDN博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作 智能优化算法-CNN-LSTM-Mutilhead-Attention回归预测系列程序定制或科研合作方向: 4.4.1 遗传算法GA/蚁群算法ACO-CNN-LSTM-Mutilhead-Attention回归预测 4.4.2 粒子群算法PSO/蛙跳算法SFLA-CNN-LSTM-Mutilhead-Attention回归预测 4.4.3 灰狼算法GWO/狼群算法WPA-CNN-LSTM-Mutilhead-Attention回归预测 4.4.4 鲸鱼算法WOA/麻雀算法SSA-CNN-LSTM-Mutilhead-Attention回归预测 4.4.5 萤火虫算法FA/差分算法DE-CNN-LSTM-Mutilhead-Attention回归预测
大模型的数学之魂:统计学习理论精要
07-30
大型机器学习模型,通常简称为“大模型”,是指具有数十亿甚至数千亿参数的深度神经网络模型。这些模型因为其庞大的参数量和复杂的计算结构,能够处理非常复杂的任务和数据,展现出强大的表达能力和预测性能。大模型在自然语言处理、计算机视觉、语音识别和推荐系统等多个领域都有广泛的应用。 大模型的设计目的是通过训练海量数据来学习复杂的模式和特征,从而具备强大的泛化能力,能够对未见过的数据做出准确的预测。与参数较少、层数较浅的小模型相比,大模型虽然需要更多的计算资源和时间来训练和推理,但它们展现出了一种被称为“涌现能力”的特性,即从原始训练数据中自动学习并发现新的、更高层次的特征和模式。 大模型的发展历程可以分为几个阶段,从早期的卷积神经网络模型发展到以Transformer为代表的全新神经网络模型,再到当前以GPT为代表的预训练大模型阶段。Transformer架构因其自注意力机制而成为大模型的核心技术,它使得模型能够更好地理解和处理文本数据中的长距离依赖关系。 大模型的分类主要包括语言大模型(NLP)、视觉大模型(CV)和多模态大模型。语言大模型专注于处理文本数据和理解自然语言,而视觉大模型用
华为防火墙ipsec对接华三防火墙
11-01
华为防火墙与华三防火墙之间的IPSec对接,是指通过IPSec协议实现两个防火墙之间的安全通信和数据传输。下面是一个简单的说明步骤: 1. 配置华为防火墙:首先,在华为防火墙上配置与华三防火墙对接的IPSec通道。配置包括选择合适的IPSec策略、安全参数和加密算法等,确保与对端的配置一致。 2. 配置华三防火墙:在华三防火墙上同样配置与华为防火墙对接的IPSec通道,确保配置参数与华为防火墙相匹配。 3. 建立IPSec连接:在配置完成后,华为防火墙和华三防火墙会自动尝试建立IPSec连接。在此过程中,会进行握手协商、密钥交换等安全认证步骤,确保连接的安全性。 4. 验证连接:在建立连接后,需要验证IPSec连接是否成功。可以通过查看连接状态、查看日志等方式进行验证。 5. 配置安全策略和访问控制:建立了IPSec连接后,可以根据实际需求配置安全策略和访问控制,确保通过该连接的数据传输符合安全要求。 需要注意的是,IPSec连接的建立需要确保两端的配置一致,包括加密算法、认证方法、密钥长度等,否则将无法建立可靠的连接。同时,还需要保证防火墙的固件版本和硬件性能满足IPSec对接的要求。 通过IPSec对接,华为防火墙和华三防火墙可以实现安全可靠的通信和数据传输,提高网络的安全性和稳定性,确保企业的信息安全。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小时候不乖的

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值