文章插圖

01華為防火墻產(chǎn)品介紹
USG2000、USG5000、USG6000和USG9500構(gòu)成了華為防火墻的四大部分，分別適合于不同環(huán)境的網(wǎng)絡需求，其中，USG2000和USG5000系列定位于UTM（統(tǒng)一威脅管理）產(chǎn)品，USG6000系列屬于下一代防火墻產(chǎn)品，USG9500系列屬于高端防火墻產(chǎn)品 。
USG2110
USG2110為華為針對中小企業(yè)及連鎖機構(gòu)，SOHO企業(yè)等發(fā)布的防火墻設備，其功能涵蓋防火墻，UTM、Virtual Private Network（請自行看首字母，我寫簡寫的話就被和諧了）、路由、無線等 。USG2110其具有性能高、可靠性高、配置方便等特性，且價格相對較低，支持多種Virtual Private Network組網(wǎng)方式，為用戶提供安全、靈活、便捷的一體化組網(wǎng)解決方案 。
USG6600
USG6600是華為面向下一代網(wǎng)絡環(huán)境防火墻產(chǎn)品，適用于大中型企業(yè)及數(shù)據(jù)中心等網(wǎng)絡環(huán)境，具有訪問控制精準、防護范圍全面、安全管理簡單、防護性能高等特點，可進行企業(yè)內(nèi)網(wǎng)邊界防護、互聯(lián)網(wǎng)出口防護、云數(shù)據(jù)中心邊界防護、Virtual Private Network遠程互聯(lián)等組網(wǎng)應用 。
USG9500
USG9500系列包含USG9520、USG9560、USG9580三種系列，適用于云服務提供商、大型數(shù)據(jù)中心、大型企業(yè)園區(qū)網(wǎng)絡等 。它擁有最精準的訪問控制、最實用的NGFW特性、最領先的“NP 多核 分布式”架構(gòu)及最豐富的虛擬化，被稱為最穩(wěn)定可靠的安全網(wǎng)關(guān)產(chǎn)品，可用于大型 數(shù)據(jù)中心邊界防護、廣電和二級運營商網(wǎng)絡出口安全防護、教育網(wǎng)出口安全防護等網(wǎng)絡場景 。
NGFW
NGFW，全稱Next Generation Firewall，即下一代防火墻，最早由Gartner提出 。NGFW更適用于新的網(wǎng)絡環(huán)境 。NGFW在功能方面不僅要具備標準的防火墻功能，如網(wǎng)絡地址轉(zhuǎn)換、狀態(tài)檢測、Virtual Private Network和大企業(yè)需要的功能，而且要實現(xiàn)IPS和防火墻真正的一體化，而不是簡單地基于模塊 。另外，NGFW還需要具備強大的應用程序感知和應用可視化能力，基于應用策略、日志統(tǒng)計、安全能力與應用識別深度融合，使用更多的外部信息協(xié)助改進安全策略，如用戶身份識別等 。
傳統(tǒng)防火墻與NGFW防火墻的區(qū)別
傳統(tǒng)的防火墻只能基于時間、IP和端口進行感知，而NGFW防火墻基于六個維度進行管控和防護，分別是應用、用戶、內(nèi)容、時間、威脅、位置 。其中：
基于應用：運用多種手段精確識別web應用內(nèi)超過6000以上的應用層協(xié)議及其附屬功能，從而進行精準的訪問控制和業(yè)務加速 。其中也包含移動應用，如可以通過防火墻區(qū)分流量中的語音和文字，進而實現(xiàn)不同的控制策略 。
基于用戶：借助于AD活動目錄、目錄服務器或AAA服務器等，基于用戶進行訪問控制、QoS管理和深度防護 。
基于位置：結(jié)合全球位置信息，智能識別流量的發(fā)起位置，從而獲取應用和gong~擊的發(fā)起位置 。其根據(jù)位置信息實現(xiàn)對不同區(qū)域訪問流量的差異化控制，同時支持根據(jù)IP信息自定義位置 。
02防火墻的工作原理
防火墻的工作模式
華為防火墻具有三種工作模式：路由模式、透明模式、混合模式 。
1）路由模式
如果華為防火墻連接網(wǎng)絡的接口配置IP地址，則認為防火墻工作在路由模式下，當華為防火墻位于內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間時，需要將防火墻與內(nèi)部網(wǎng)絡、外部網(wǎng)絡以及DMZ三個區(qū)域相連的接口分別配置不同網(wǎng)段的IP地址，所以需要重新規(guī)劃原有網(wǎng)絡拓撲，此時防火墻首先是一臺路由器，然后提供其他防火墻功能 。路由模式需要對網(wǎng)絡拓撲進行修改（內(nèi)部網(wǎng)絡用戶需要更高網(wǎng)關(guān)、路由器需要更改路由配置等） 。
2）透明模式：
如果華為防火墻通過第二層對外連接（接口無IP地址），則防火墻工作在透明模式下 。如果華為防火墻采用透明模式進行工作，只需要在網(wǎng)絡中像連接交換機一樣連接華為防火墻設備即可，其最大的優(yōu)點是無須修改任何已有的IP配置；此時防火墻就像一個交換機一樣工作，內(nèi)部網(wǎng)絡和外部網(wǎng)絡必須處于同一個子網(wǎng) 。此模式下，報文在防火墻當中不僅進行二層的交換，還會對報文進行高層分析處理 。
3）混合模式：
如果華為防火墻存在工作在路由模式的接口（接口具有IP地址），又存在工作在透明模式的接口（接口無IP地址），則防火墻工作在混合模式下 。這種工作模式基本上是透明模式和路由模式的混合，目前只用于透明模式下提供雙機熱備份的特殊應用中，其他環(huán)境不太建議使用 。
華為防火墻的安全區(qū)域劃分
安全區(qū)域（Security Zone），簡稱為區(qū)域（Zone） 。防火墻通過區(qū)域區(qū)分安全網(wǎng)絡和不安全網(wǎng)絡，在華為防火墻上安全區(qū)域是一個或者多個接口的集合，是防火墻區(qū)分于路由器的主要特性 。防火墻通過安全區(qū)域來劃分網(wǎng)絡，并基于這些區(qū)域控制區(qū)域間的報文傳遞 。當數(shù)據(jù)報文在不同的安全區(qū)域之間傳遞時，將會出發(fā)安全策略檢查 。
幾種常見的區(qū)域如下：
Trust區(qū)域：主要用于連接公司內(nèi)部網(wǎng)絡，優(yōu)先級為85，安全等級較高 。
【如何打開防火墻 手機防火墻在哪打開】DMZ區(qū)域：非軍事化區(qū)域，是一個軍事用語，是介于嚴格的軍事管制區(qū)和公共區(qū)域之間的一種區(qū)域，在防火墻中通常定義為需要對外提供服務的網(wǎng)絡，其安全性介于Trust區(qū)域和Untrust區(qū)域之間，優(yōu)先級為50，安全等級中等 。
Untrust區(qū)域：通常定義外部網(wǎng)絡，優(yōu)先級為5，安全級別很低 。Untrust區(qū)域表示不受信任的區(qū)域，互聯(lián)網(wǎng)上威脅較多，所以一般把Internet等不安全網(wǎng)絡劃入Untrust區(qū)域 。
Local區(qū)域：通常定義定義防火墻本身，優(yōu)先級為100.防火墻除了轉(zhuǎn)發(fā)區(qū)域之間的報文之外，還需要自身接收或發(fā)送流量，如網(wǎng)絡管理、運行動態(tài)路由協(xié)議等 。由防火墻主動發(fā)起的報文被認為是從local區(qū)域傳出的，需要防火墻響應并處理（不是穿越）的報文被認為是由local區(qū)域接收并進行相應處理的 。
其他區(qū)域：用戶自定義區(qū)域，默認最多自定義16個區(qū)域，自定義區(qū)域沒有默認優(yōu)先級，所以需要手工指定 。
防火墻的Inbound和Outbound
防火墻基于區(qū)域之間處理流量，即使由防火墻自身發(fā)起的流量也屬于local區(qū)域和其他區(qū)域之間的流量傳遞 。當數(shù)據(jù)流在安全區(qū)域之間流動時，才會激發(fā)華為防火墻進行安全策略的檢查，即華為防火墻的安全策略通常都是基于域間（如Untrust區(qū)域和Trust區(qū)域之間）的，不同的區(qū)域之間可以設置不同的安全策略 。域間的數(shù)據(jù)流分為兩個方向：
入方向（Inbound）：數(shù)據(jù)由低級別的安全區(qū)域向高級別的安全區(qū)域傳輸?shù)姆较?。
出方向（Outbound）：數(shù)據(jù)由高級別的安全區(qū)域向低級別的安全區(qū)域傳輸?shù)姆较?。
狀態(tài)化信息（防火墻實現(xiàn)安全防護的基礎技術(shù)）
在防火墻技術(shù)中，通常把兩個方向的流量區(qū)別對待，因為防火墻的狀態(tài)化檢測機制，所以針對數(shù)據(jù)流通常只重點處理首個報文，安全策略一旦允許首個報文允許通過，那么將會形成一個會話表，后續(xù)報文和返回的報文如果匹配到會話表將會直接放行，而不再查看策略，從而提高防火墻的轉(zhuǎn)發(fā)效率 。如，Trust區(qū)域的客戶端訪問UNtrust區(qū)域的互聯(lián)網(wǎng)，只需要在Trust到UNtrust的Outbound方向應用安全策略即可，不需要做UNtrust到Trust區(qū)域的安全策略 。
防火墻通過五元組來唯一的區(qū)分一個數(shù)據(jù)流，即源IP、目標IP、協(xié)議、源端口號、目標端口 。防火墻把具有相同五元組內(nèi)容的數(shù)據(jù)當做一個數(shù)據(jù)流，數(shù)據(jù)包必須同時匹配指定的五元組才算匹配到這條策略，否則會繼續(xù)匹配后續(xù)策略，它的匹配規(guī)則同樣是匹配即停 。
狀態(tài)檢測防火墻使用基于連接狀態(tài)的檢測機制，將通信雙方交互的屬于同一連接的所有報文都作為整體的數(shù)據(jù)流來對待 。在狀態(tài)檢測防火墻看來，同一個數(shù)據(jù)流內(nèi)的報文不再時孤立的個體，而是存在聯(lián)系的 。如為數(shù)據(jù)流的第一個報文建立會話，數(shù)據(jù)流內(nèi)的后續(xù)報文將之間根據(jù)會話進行轉(zhuǎn)發(fā)，從而提高了轉(zhuǎn)發(fā)效率 。

以上關(guān)于本文的內(nèi)容，僅作參考！溫馨提示：如遇健康、疾病相關(guān)的問題，請您及時就醫(yī)或請專業(yè)人士給予相關(guān)指導!

「愛刨根生活網(wǎng)」www.malaban59.cn小編還為您精選了以下內(nèi)容，希望對您有所幫助：

• 如何使用GoldWave剪裁音樂制作個性鈴聲
• 如何在Photoshop中清除文檔中所選畫板參考線
• 如何在WPS文檔中插入折線圖
• 如何打造一個整潔有序的電腦桌面
• 如何下載和安裝方正仿宋簡體字體
• 如何批量在Excel中添加標題
• 如何在WORD文檔中插入多行多列的表格
• 如何在WPS文字中加入一個對話框
• 如何在PS中制作更生動的光線投射效果
• 如何在Win7中建立WiFi熱點，讓手機共享上網(wǎng)