华为防火墙基本1

形态:软件防火墙和硬件防火墙

保护对象:单机防火墙和网络防火墙

访问控制方式:包过滤、代理和状态检测

其中包过滤方式无法检测数据的载荷部分,同时当防火墙的过滤条目过多后,对数据的转发也会变慢,且这是一种静态的过滤方式,对于端口的动态变化无法适应。

代理是工作在应用层,使用对应协议的应用层协议对其内容进行审核,只有当内容审核通过后,才能够被传入内部的信任区域,但是因为是工作在应用层的软件进行相关包内容的审核,所以速度较慢,而且升级困难,周期较长。

因为上述的方式都有一定的缺点,所以并没有被很好的广泛使用。

状态检测它是包过滤的拓展,也称为基于连接状态的包过滤,它会考虑包的前后文,它会对包的会话会进行相应的记录和维护。

防火墙的组网方式

1、防火墙可以以交换机的形式加入到拓扑当中,然后以一种透明的方式进行安全的防护

2、同时防火墙也可以以路由的方式去抵挡外部的一些流量,与上面的组网方式不同的就是,该方式是工作在三层架构,需要配置一些IP地址将网络设备进行互连,而上面的交换机架构,直接将防火墙放入拓扑中即可,工作在三层的防火墙的特路由特性不是很强,对于BGP,ISIS不支持,而且路由性能肯定也是比不上路由器的。

防火墙的安全区域

华为防火墙有四个默认区域:
local:默认优先级100,local指代自己

trust:默认优先级85

untrust:默认优先级5

dmz:默认优先级50

自定义区域:可以自定义区域的名字,以及优先级其取值范围为1-100,但是取值不能与上面的四个默认区域的优先级相同。

高优先级区域能够访问低优先级区域,但是低优先级区域不能访问高优先级区域。

firewall zone name xxx:创建一个对应的安全区域

区域视图下:set priority xxx:设置对应区域的优先级

区域视图下:add interface g0/0/1 :将接口添加到对应的区域中

注意:一个接口只能计入到一个区域中

你可能感兴趣的:(华为,华为)