标签:image 多选 服务器 额外 out wal img oca port
http://support.huawei.com/huaweiconnect/enterprise/thread-331003.html
1. 默认防火墙区域
特殊区域Local区域:(防火墙上提供了Local区域,代表防火墙本身)
也就是说,报文通过接口去往某个网络时,目的安全区域是该接口所在的安全区域;报文通过接口到达防火墙本身时,目的安全区域是Local区域。
2. 安全级别
每个安全区域都有一个唯一的安全级别,用1~100的数字表示,数字越大,则代表该区域内的网络越可信。对于默认的安全区域,它们的安全级别是固定的:
报文从低级别的安全区域向高级别的安全区域流动时为入方向(Inbound),报文从由高级别的安全区域向低级别的安全区域流动时为出方向(Outbound)。
默认情况下,报文在不同的安全区域之间流动时,才会触发安全检查,在同一个安全区域中流动时,不会触发安全检查。同时,华为的防火墙也支持对同一个安全区域内经过防火墙的流量进行安全检查
3. 状态检测和会话机制
display firewall session table
Current Total Session: 1
http VPN:public --> public 1.1.1.1:2049-->2.2.2.2:80
http表示协议,1.1.1.1表示源地址,2049表示源端口,2.2.2.2表示目的地址,80表示目的端口。
其实通过“-->”符号就可以直观区分源和目的,符号前面的是源,符号后面的是目的。
会话是动态生成的,但不是永远存在的。如果长时间没有报文匹配,则说明通信双方已经断开了连接,不再需要该条会话了。此时,为了节约系统资源,防火墙会在一段时间后删除会话,该时间称为会话的老化时间。
1. 缺省策略:
2. 安全策略的应用方向
对于同一条数据流,在访问发起的方向上应用安全策略即可,反向报文不需要额外的策略。
这点和路由器、交换机包过滤不一样,主要原因就是防火墙是状态检测设备,对于同一条数据流只有首包匹配安全策略并建立会话,后续包都匹配会话转发。
Trust域的PC访问Untrust域的Server,只需要在Trust到Untrust的Outbound方向上应用安全策略允许PC访问Server即可,对于Server回应PC的应答报文会命中首包建立的会话而允许通过。
如果确实需要开放Server主动访问PC的权限,这时才需要在Inbound方向上也应用安全策略。
3. 安全策略的匹配
基於ACL的包過濾:
1. 基于ACL的包过滤的配置方式是先配置好包含多条数据流规则(rule)的ACL,其中每条rule包含数据流的匹配条件和permit/deny动作
2. 然后ACL再被域间包过滤引用。一个域间只能引用一个ACL。
发展中期的UTM设备安全策略:
将防火墙包过滤功能和内容安全功能进行了融合,不启用UTM功能时就是原始的包过滤;动作为permit的安全策略可以引用IPS、AV等UTM策略,对流量进一步进行UTM检测,通过检测的流量才能真正通过防火墙。
UTM更多的是体现功能集成,将传统防火墙、入侵防御设备、反病毒设备等集成到一个硬件。UTM设备的多个安全功能之间的紧密度不高,报文匹配安全策略的匹配条件后需要逐一进入各个UTM模块进行检测和处理,如果同时开启多个安全功能,设备性能往往大幅下降。
另外基于应用的管控需要配置额外的应用控制策略,不能直接将应用类型作为策略的匹配条件。例如需要禁止员工使用IM应用,此时要额外配置禁止IM应用的“应用控制策略”然后再在安全策略引用生效。也就是应用识别与管控需要进入另外一个模块处理。
NGFW的一体化安全策略 :
1. NGFW之前的安全策略都是应用在域间的(安全区域必配),NGFW的安全策略应用在全局,安全区域与IP地址等一样只是作为可选的匹配条件。而且安全区域支持多选。
这样配置更灵活,可以不关注安全区域、域间方向,只需关注访问的源/目的。另外还可以实现跨多域的访问的一次性配置。
2. 缺省包过滤也是全局只有一条,不再区分域间
3. 增加应用作为匹配条件,对应用的阻断/允许直接在安全策略中配置。
4. 增加用户作为匹配条件,实现基于用户的管控,即使IP发生变化用户的权限也是不变的
5. 通过高性能的一体化检测引擎实现一次扫描、实时检测,即使开启所有内容安全功能,也不会造成设备性能的大幅下降。
标签:image 多选 服务器 额外 out wal img oca port
原文地址:http://www.cnblogs.com/onlybobby/p/7088149.html
