USG防火墙基础

http://support.huawei.com/huaweiconnect/enterprise/thread-331003.html

华为防火墙产品线

安全区域

1.     默认防火墙区域

  • Trust区域,该区域内网络的受信任程度高,通常用来定义内部用户所在的网络。
  • DMZ区域,该区域内网络的受信任程度中等,通常用来定义内部服务器所在的网络。
  • Untrust区域,该区域代表的是不受信任的网络,通常用来定义Internet等不安全的网络。

特殊区域Local区域:(防火墙上提供了Local区域,代表防火墙本身)

  • 凡是由防火墙主动发出的报文均可认为是从Local区域中发出
  • 凡是需要防火墙响应并处理(而不是转发)的报文均可认为是由Local区域接收。

也就是说,报文通过接口去往某个网络时,目的安全区域是该接口所在的安全区域;报文通过接口到达防火墙本身时,目的安全区域是Local区域。

2.     安全级别

每个安全区域都有一个唯一的安全级别,用1~100的数字表示,数字越大,则代表该区域内的网络越可信。对于默认的安全区域,它们的安全级别是固定的:

  • Local区域的安全级别是100
  • Trust区域的安全级别是85
  • DMZ区域的安全级别是50
  • Untrust区域的安全级别是5。
  • inbound/outbound

报文从低级别的安全区域向高级别的安全区域流动时为入方向(Inbound),报文从由高级别的安全区域向低级别的安全区域流动时为出方向(Outbound)。

默认情况下,报文在不同的安全区域之间流动时,才会触发安全检查,在同一个安全区域中流动时,不会触发安全检查。同时,华为的防火墙也支持对同一个安全区域内经过防火墙的流量进行安全检查

3.     状态检测和会话机制

display firewall session table

Current Total Session:  1

http  VPN:public --> public 1.1.1.1:2049-->2.2.2.2:80

http表示协议,1.1.1.1表示源地址,2049表示源端口,2.2.2.2表示目的地址,80表示目的端口。

其实通过“-->”符号就可以直观区分源和目的,符号前面的是源,符号后面的是目的。

会话是动态生成的,但不是永远存在的。如果长时间没有报文匹配,则说明通信双方已经断开了连接,不再需要该条会话了。此时,为了节约系统资源,防火墙会在一段时间后删除会话,该时间称为会话的老化时间。

防火墙安全策略

1.     缺省策略:

  • 缺省情况下,所有域间的所有方向都禁止报文通过,可以根据需求配置允许哪些数据流通过防火墙的安全策略。
  • 对于路由、ARP等底层协议一般是不受安全策略控制的,直接允许通过。当然这和具体产品实现有关,产品间可能有差异。
  • 除了经过防火墙转发的数据流,设备本身与外界互访的数据流也同样受安全策略的控制!例如当登录设备、网管与设备对接时,需要配置登录PC/网管所在安全区域与Local域之间的安全策略。
  • 域内流量默认允许。可以通过配置对域内流量进行检测

2.     安全策略的应用方向

对于同一条数据流,在访问发起的方向上应用安全策略即可,反向报文不需要额外的策略。

这点和路由器、交换机包过滤不一样,主要原因就是防火墙是状态检测设备,对于同一条数据流只有首包匹配安全策略并建立会话,后续包都匹配会话转发。

Trust域的PC访问Untrust域的Server,只需要在Trust到Untrust的Outbound方向上应用安全策略允许PC访问Server即可,对于Server回应PC的应答报文会命中首包建立的会话而允许通过。

如果确实需要开放Server主动访问PC的权限,这时才需要在Inbound方向上也应用安全策略。

3.     安全策略的匹配

  • 防火墙将流量的属性与安全策略的条件进行匹配。如果所有条件都匹配,则此流量成功匹配安全策略。如果其中有一个条件不匹配,则未匹配安全策略。
  • 同一域间或域内应用多条安全策略,策略的优先级按照配置顺序进行排列,越先配置的策略优先级越高,越先匹配报文。如果报文匹配到一条策略就不再继续匹配剩下的策略,如果没有匹配到任何策略就按缺省包过滤处理。

防火墙策略的发展

基於ACL的包過濾:

1.     基于ACL的包过滤的配置方式是先配置好包含多条数据流规则(rule)的ACL,其中每条rule包含数据流的匹配条件和permit/deny动作

2.     然后ACL再被域间包过滤引用。一个域间只能引用一个ACL。

发展中期的UTM设备安全策略:

将防火墙包过滤功能和内容安全功能进行了融合,不启用UTM功能时就是原始的包过滤;动作为permit的安全策略可以引用IPS、AV等UTM策略,对流量进一步进行UTM检测,通过检测的流量才能真正通过防火墙。

UTM更多的是体现功能集成,将传统防火墙、入侵防御设备、反病毒设备等集成到一个硬件。UTM设备的多个安全功能之间的紧密度不高,报文匹配安全策略的匹配条件后需要逐一进入各个UTM模块进行检测和处理,如果同时开启多个安全功能,设备性能往往大幅下降。

另外基于应用的管控需要配置额外的应用控制策略,不能直接将应用类型作为策略的匹配条件。例如需要禁止员工使用IM应用,此时要额外配置禁止IM应用的“应用控制策略”然后再在安全策略引用生效。也就是应用识别与管控需要进入另外一个模块处理。

NGFW的一体化安全策略 :

1.     NGFW之前的安全策略都是应用在域间的(安全区域必配),NGFW的安全策略应用在全局,安全区域与IP地址等一样只是作为可选的匹配条件。而且安全区域支持多选。

这样配置更灵活,可以不关注安全区域、域间方向,只需关注访问的源/目的。另外还可以实现跨多域的访问的一次性配置。

2.     缺省包过滤也是全局只有一条,不再区分域间

3.     增加应用作为匹配条件,对应用的阻断/允许直接在安全策略中配置。

4.     增加用户作为匹配条件,实现基于用户的管控,即使IP发生变化用户的权限也是不变的

5.     通过高性能的一体化检测引擎实现一次扫描、实时检测,即使开启所有内容安全功能,也不会造成设备性能的大幅下降。

时间: 2024-08-03 23:45:23

USG防火墙基础的相关文章

华为USG防火墙及NGFW高可用性的规划与实施详解

华为USG防火墙及NGFW高可用性的规划与实施详解 课程目标: 该课程程为卷B,它紧接卷A所描述的基础内容,开始进入防火墙的高可性的规划与实施,本课程卷B的核心目标是:一.从真正意义上去理解防火墙的双机热备的工作原理:二.让工程人员能够实施基于不同防火墙工作模式的双机热备并结合实践的环境进行故障排除:三.突破学员仅在安全认证学习过程中所理解的防火墙双机热备的内容,在实践的环境中防火墙的双机热备技术及可能引发的问题远不止安全认证学习中所描述的内容. 为USG防火墙及NGFW高可用性的规划与实施详解

华为USG防火墙基本配置

USG防火墙基本配置 学习目的 掌握登陆USG防火墙的方法 掌握修改防火墙设备名的方法 掌握对防火墙的时间.时区进行修改的方法 掌握修改防火墙登陆标语信息的方法 掌握修改防火墙登陆密码的方法 掌握查看.保存和删除防火墙配置的方法 掌握在防火墙上配置vlan.地址接口.测试基本连通性的方法 拓扑图 学习任务 步骤一.登陆缺省配置的防火墙并修改防火墙的名称 防火墙和路由器一样,有一个Console接口.使用console线缆将console接口和计算机的com口连接在一块.使用windows操作系统

华为USG防火墙恢复密码步骤

华为USG防火墙恢复密码步骤 本文档用于介绍在保留防火墙原有配置的前提下恢复密码,以USG 6330 V100R001C20SPC为例 重启防火墙,在出现"Press Ctrl+B to enter main menu..."的提示时候,按下Ctrl+B:系统会要求输入密码,密码默认为O&m15213 密码输入完成后,我们就进入主菜单:如果不需要保留防火墙配置,我们可以选择6恢复默认值,然后再按1 确认恢复,再按1启动系统,这样防火墙就直接重启并恢复默认值了. 但我们这次需要保

Linux防火墙基础知识及配置

Linux防火墙基础知识 Linux的防火墙正确的来说并不算是防火墙,只是一种防火墙的功能体现.我们现在来讲解下Linux的这个防火墙功能的详细解释. Linux的防火墙是由iptables与netfilter两个程序组成的,而iptables是一个单独的程序,netfilter是集成到内核中的一个程序,两个程序合作才能拥有完整的防火墙功能. Iptables的功能是向netfiler提供规则,netfilter则是将规则执行起来. Linux防火墙还分为主机防火墙与网络防火墙. 主机防火墙:工

防火墙基础(一)

防火墙基础 防火墙:一套安全隔离工具: 工作在网络边缘,对经过防火墙的数据报文,根据预先定义的匹配规则进行检测,如果能匹配,用预先定义好的处理机制进行处理, 如果不匹配,则用默认的处理机制进行处理的一套安全组件: 防火墙分为两种: 1)软件防火墙: 应用软件处理逻辑利用硬件实现的安全隔离: 2)硬件防火墙: 利用硬件实现安全隔离: 根据服务范围,防火墙分为两种: 1)主机防火墙: 工作在当前主机 2)网络防火墙 工作在当前局域网 Linux中防火墙的实现依赖:iptables/netfilter

Linux防火墙基础与编写防火墙规则

Iptables采用了表和链的分层结构,每个规则表相当于内核空间的一个容器,根据规则集的不同用途划分为默认的四个表,raw表,mangle表,nat表,filter表,每个表容器内包括不同的规则链,根据处理数据包的不同时机划分为五种链,而决定是否过滤或处理数据包的各种规则,按先后顺序存放在各规则链中. 1.防火墙:内核中具有包过滤体系 内核态:netfilter 用户态:iptables  管理工具 工作在网络层:可以对ip地址.端口.协议等信息进行处理 2.规则链:规则的集合 五种链:(必须大

Yeslab 华为安全HCIE七门之-防火墙基础(12篇)

Yeslab 全套华为安全HCIE七门之第二门防火墙基础(12篇),第一门课论坛很早就有了,可自行下载,后面的陆续分享给大家. 华为安全HCIE-第二门-防火墙基础(12篇)\1_网络安全简述.avi华为安全HCIE-第二门-防火墙基础(12篇)\2_华为安全认证体系及相关产品介绍.avi华为安全HCIE-第二门-防火墙基础(12篇)\3_防火墙互联技术.avi华为安全HCIE-第二门-防火墙基础(12篇)\4_防火墙初始化配置.avi华为安全HCIE-第二门-防火墙基础(12篇)\5_安全策略

Fiewalld防火墙基础(一)

Fiewalld防火墙基础 1.Fiewalld概述 2.Fiewalld和iptables的关系 3.Fiewalld网络区域 4.Fiewalld防火墙的配置方法 5.Fiewalld-config图形工具 6.Fiewalld防火墙案例 Fiewalld概述 Fiewalld简介 1.支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具 2.支持IPv4.IPv6防火墙设置以及以太网桥 3.支持服务或应用程序直接添加防火墙规则接口 4.拥有两种配置模式:运行时配置.永久配置 基

Centos 7防火墙基础——理论篇

Centos 7防火墙基础--理论篇 理论结构: Firewalld概述 Firewalld和iptables的关系 Firewalld网络区域 Firewalld防火墙的配置方法 Firewalld概述 支持网络区域所定义的网络连接以及接口安全等级的动态防火墙管理工具 支持IPV4.IPV6防火墙设置以及以太网桥 支持服务或应用程序直接添加防火墙规则接口 拥有两种不同的配置模式 运行时配置 永久配置 Firewalld和iptables的关系 netfilter ? 位于Linux内核的过滤的