华为防火墙简介及其工作原理

防火墙作为一种安全设备被广泛使用于各种网络环境中，他在网络间起到了间隔作用。华为作为著名的网络设备厂商，2001年便发布了首款防火墙插卡，而后根据网络发展及技术需求，推出了一代又一代防护墙及安全系列产品。这篇博文主要介绍华为防火墙产品及其工作原理。博文大纲：
一、华为防火墙产品简介
1.USG2110
2.USG6600
3.USG9500
4.NGFW
二、防火墙的工作原理
1.防火墙的工作模式
（1）路由模式
（2）透明模式
（3）混合模式
2.华为防火墙的安全区域划分
3.防火墙Inbound和Outbound
4.状态化信息
5.安全策略USG2000、USG5000、USG6000和USG9500构成了华为防火墙的四大部分，分别适用于不同的网络需求。其中，USG2000和USG5000系列定位于UTM（统一威胁管理）产品，USG6000系列属于下一代防火墙产品，USG9500系列属于高端防火墙产品。接下来详细介绍一下各个版本系列防火墙的区别！USG2110系列是华为针对中小型企业及连锁机构等发布的防火墙设备，其功能包含防火墙、UTM、虚拟专用网、路由、无线等。USG2110系列防火墙具有性能高、可靠性高、配置方便等特性，且价格相对较低，支持多种虚拟专用网组网方式，为用户提供安全、灵活、便捷的一体化组网解决方案。如图：
USG6600系列是华为面向下一代网络环境防火墙产品，适用于大中型企业及数据中心等网络环境，具有访问控制精准、防护范围全面、安全管理简单、防护性能高等特点。可进行企业内网边界防护、互联网出口防护、云数据中心边界防护、虚拟专用网远程互联等组网应用。如图：
USG9500系列包含USG9520、USG9560、USG9580三种系列，适用于云服务提供商、大型数据中心、大型企业园区网络等。它拥有最精准的访问控制、最实用的NGFW特性、最领先的“NP+多核+分布式”结构即最丰富的虚拟化，被称为最稳定可靠的安全网关产品，可用于大型数据中心边界防护、广电和二级运营商网络出口安全防护、教育网出口安全防护等网络场景等。如图：
NGFW即下一代防火墙，更适用于新的网络环境。NGFW在功能方面不仅要具备标准的防火墙功能，如网络地址转换、状态检测、虚拟专用网和大企业需要的功能，而且要实现IPS和防火墙真正的一体化，而不是简单地基于模块。另外，NGFW还需要具备强大的应用程序感知和应用可视化能力，基于应用策略、日志统计、安全能力与应用识别深度融合，使用更多的外部信息协助改进安全策略，如用户身份识别等。传统的防火墙只能基于时间、IP和端口进行感知，而NGFW防火墙基于六个维度进行管理控制和防护，分别是应用、用户、内容、时间、威胁、位置。其中：在实际应用中，应用可能使用任意端口，而传统FW无法根据端口识别和控制应用。NGFW的进步在于更精细的访问控制。其最佳使用原则为“基于应用+白名单控制+最小授权”。目前，华为的NGFW产品主要是USG6000系列，覆盖从低端的固定化模块产品到高端的可插拔模块产品。华为下一代防火墙的应用识别能力范围领先同行业产品20%，超出国产品牌3~5倍。华为防火墙具有三种工作模式：路由模式、透明模式、混合模式。如果华为防火墙连接网络的接口配置IP地址，则认为防火墙工作在路由模式下。当华为防火墙位于内部网络与外部网络之间，需要将防火墙与内部网络、外部网络以及DMZ三个区域相连的接口分别布配置成不同网段的IP地址，所以需要重新规划原有的网络拓补，此时防火墙首先是一台路由器，然后提供其他防火墙功能。路由模式需要免费云主机域名对网络拓补进行修改，比较麻烦！如果华为防火墙通过第二层对外连接（接口无IP地址），则防火墙工作在透明模式下。如果华为防火墙采用透明模式进行工作，只需在网络中像连接交换机一样连接华为防火墙即可，其最大的优点是武侠修改任何已有的IP配置；此时防火墙就像一个交换机一样工作，内部网络和外部网络必须处于同一个子网。此模式下，报文在防火墙当中不仅进行二层的交换，还会对报文进行高层分析处理。如果华为防火墙既存在工作在路由模式的接口（接口具有IP地址），又存在工作在透明模式的接口（接口无IP地址），则防火墙工作在混合模式下。这种工作模式基本上是透明模式和路由模式的混合，目前只用于透明模式下提供双机热备的特殊应用中，别的环境下不建议使用！安全区域，简称区域。防火墙通过区域区分安全网络和不安全网络，在华为防火墙上安全区域是一个或多个接口的集合，是防火墙区分于路由器的主要特性。防火墙通过安全区域来划分网络，并基于这些区域控制区域间的报文传递。当数据报文在不同的安全区域之间传递时，将会触发安全策略进行检查。当给一个接口指定安全区域之后，该接口及身后的网络就被当做一个安全区域，一个安全区域可以包含一个或多个网段。安全区域是基于网络的信任区域程度或保护程度来划分的。将不同的接口划分相应的安全区域后，防火墙通过接口就可以把安全区域与网络关联到一起。当我们提到某个安全区域中的流量时，就会联想到这个安全区域下所管理的接口与网络的对应关系。华为防火墙默认有四个区域，分别是Trust、Untrust、DMZ和Local。不同的区域拥有不同的受信优先级，防火墙则根据这些区域的受信优先级来区分区域的保护级别。在华为防火墙上，每个安全区域都有唯一的安全级别，用数字1~100来表示，数字越大，则代表该区域内的网络越可信。对于默认的安全区域，他们的安全区域是固定的：Local区域的安全级别是100，Trust区域的安全级别是85，DMZ区域的安全级别是50，Untrust区域的安全级别是5。用户可以根据自己的实际情况，自行创建更多的安全区域，并为这些安全区域配置优先级，在配置优先级时需要注意安全级别之间的相互关系，如一个自定义网络的安全性比目前已经存在的DMZ区域要差，但是比互联网安全，那么优先级的取值应该是5~50范围内。华为防火墙常见的几种区域：注意：防火墙基于区域之间处理流量，即使由防火墙自身发起的流量也属于Local区域和其他区域之间的流量传递。当数据流在安全区域之间流动时，才会激发华为防火墙进行安全策略的检查，即华为防火墙的安全策略通常都是基于域间的，不同的区域之间可以设置不同的安全策略。域间的数据流分为两个方向：在防火墙技术中，通常把两个方向的流量区别来看待。因为防火墙的状态化检测机制，所以针对数据流通常只重点处理首个报文。

如图：内网计算机属于Trust区域，互联网计算机属于Untrust区域。当内网计算机访问互联网计算机时，属于正常的公司业务流量，请求包属于Outbound流量，而且是第一个包，所以防火墙需要基于策略处理该Outbound流量，而返回响应包时，流量属于Inbound流量，直接查询状态化信息放行流量。而外部Untrust区域的互联网计算机访问内网计算机可能是来自于外部的非法行为，此时流量风险较大，请求包属于Inbound流量，而且是第一个包，所以防火墙需要基于安全策略处理该Inbound流量。而返回响应包时，流量属于Outbound流量，直接查询状态化信息放行流量。所以首个包是Inbound的入站包的风险远远大于首个包的是Outbound的出站包。在指定防火墙策略时，也应该重点指定严格的Inbound域间策略和相对宽松的OUtbound域间策略。状态化检测防火墙使用的状态化检测和会话机制，目前已经成为防火墙产品的基本功能，也是防火墙实现安全防护的基础技术。防火墙对于数据流的处理，是针对首个报文在访问发起的方向检查安全策略，如果允许转发，同时将生成状态化信息——会话表。而后续的报文及返回的报文如果匹配到会话表，将直接转发而不经过策略的检查，进而提高转发效率，这也是状态化防火墙的典型特性。防火墙通过五元组来唯一地区分一个数据流，即源IP、目标IP、协议、源端口和目标端口。防火墙把具有相同五元组内容的数据当做一个数据流。防火墙对于同一个数据流只对首个报文检查一次安全策略，同时创建会话表来匹配数据流中的后续报文及返回报文。该会话表无法匹配其他流量，所以防火墙的这种状态化机制保证了同一会话的数据流高效转发。但是对于其他流量，依然要经过防火墙的安全策略检查，防火墙的这种特性使每个数据流都至少一个包必须匹配安全策略，而非法的流量在执行安全策略时将会被丢弃。状态检测防火墙使用基于连接状态的检测机制，将通信双方交互的属于同一连接的所有报文都作为整体的数据流来对待。在状态检测防火墙看来，同一个数据流内的报文不再是孤立的个体，而是存在联系的，如果为数据流的第一个报文建立会话，数据流内的后续报文将直接根据会话进行转发，从而提高了效率。会话是通信双方的连接在防火墙上的具体体现，代表两者的连接状态，一条会话就表示通信双方的一个连接。防火墙上多余会话的集合就称为会话表。在华为防火墙上，执行以下命令可以查看当前的会话表：
重点介绍这个表中的关键字段：注意：会话时动态生成的，不可能会永久存在。如果长时间没有报文匹配，则说明通信双方已经断开了连接，不再需要该条会话。此时，为了节约资源，防火墙会在一段时间后删除会话，该时间成为会话老化时间。防火墙的基本作用是保护特定网络免受“不信任”网站的非法操作，但是同时还必须允许两个网络之间可以进行合法的通信。安全策略的作用就是对通过防火墙的数据流进行检验，符合安全策略的合法数据流才能通过防火墙。可以在不同的域间方向应用不同的安全策略进行不同的控制。随着网络的高速发展，应用的不断增加，大量基于Web的应用和基于移动的应用越来越多，网络安全对防火墙提出了新的挑战。传统的基于IP、端口及协议的访问控制已经不能满足当前的网络需求。华为针对当前的网络需求。提出了一体化的安全策略。目前USG6000系列防火墙的V100R001版本采用的是一体化安全策略。所谓一体化，可以体现在两个方面：华为新一代防火墙对报文的检测除了基于传统的五元组（源IP、目标IP、协议、源端口、目标端口）之外，还可以基于应用、内容、时间、用户、威胁及位置对流量进行深层检测，真正实现全方位立体化的检测能力及精准的访问控制和安全策略。如图：
一体化的安全策略由若干规则组成，而规则由条件、动作、配置文件和选项构成。如图：
其中配置文件的作用是对报文进行内容安全检测，其中包括反病毒、非法进入防御、URL过滤、文件过滤、内容过滤、应用行为及邮件过滤。一条规则可以引用一个或多个配置文件。不同类型的规则包含对应对应的默认配置文件，管理员也可以手动引用一个或多个配置文件。配置文件只有在动作允许时，才能被引用。条件是匹配某条规则的依据，如报文的源区域、目标地址、时间等。满足规则的所有条件才算匹配该条规则，如报文匹配规则1的源区域、源地址、用户、应用、服务。但是就是没有匹配时间，那么该报文也不能匹配第一条规则，而是应该继续往下继续匹配。一条规则中，不需要配置所有的条件，可以指定一个或多个条件。注意：条件中的各个元素之间是“并且”的关系，报文的属性与各个元素必须全部匹配，才认为该报文匹配这条规则；而条件中的同一元素的多个对象之间是“或者”的关系，报文的属性只要匹配其中的一个对象，就认为报文的属性匹配这个元素。区别于传统的安全策略，一体化的安全策略具有如下特点：防火墙对规则的处理顺序和ACL非常类似。从上往下依次匹配，找到即停，默认拒绝！默认情况下，华为防火墙的策略有如下特点：———————— 本文至此结束，感谢阅读 ————————

相关推荐: linux中无法使用ftp命令怎么解决

本篇内容主要讲解“linux中无法使用ftp命令怎么解决”，感兴趣的朋友不妨来看看。本文介绍的方法操作简单快捷，实用性强。下面就让小编来带大家学习“linux中无法使用ftp命令怎么解决”吧! 解决方法：1、Red Hat系统用“yum install ftp…