华为防火墙的四个区域
1、域基本分为:非受信区(Untrust)、本地区域(Local)、非jun事化区(DMZ)、受信区(Trust),这四个是系统自带不能删除,除了这四个域之外,还可以自定义域;
2、这四个区域的等级为:local>trust>dmz>untrust,自定义的域的优先级是可以自己调节的;
3、域与域之间如果不做策略默认是deny的,华三H3C防火墙,即任何数据如果不做策略是通不过的,如果是在同一区域的就相当于二层交换机一样直接转发;
4、当域与域之间有inbound和outbound区分,华为定义了优先级地的域向优先级高的域方向就是inbound,反之就是outbound。
华为防火墙的基本架构
防火墙的硬件体系结构曾经历过通用CPU架构、ASIC架构和网络处理器架构,他们各自的特点分别如下:
通用CPU架构
通用CPU架构常见的是基于Intel X86架构的防火墙,在百兆防火墙中Intel X86架构的硬件以其高灵活性和扩展性一直受到防火墙厂商的青睐;由于采用了PCI总线接口,Intel X86架构的硬件虽然理论上能达到2Gbps的吞吐量甚至更高,但是在实际应用中,尤其是在小包情况下,远远达不到标称性能,通用CPU的处理能力也很有限。
国内安全设备主要采用的就是基于X86的通用CPU架构。
ASIC架构
ASIC技术是国外网络设备几年前广泛采用的技术。由于采用了硬件转发模式、多总线技术、数据层面与控制层面分离等技术, ASIC架构防火墙解决了带宽容量和性能不足的问题,稳定性也得到了很好的保证。
ASIC技术的性能优势主要体现在网络层转发上,而对于需要强大计算能力的应用层数据的处理则不占优势,而且面对频繁变异的应用安全问题,其灵活性和扩展性也难以满足要求。
网络处理器架构
由于网络处理器所使用的微码编写有一定技术难度,难以实现产品的性能,因此网络处理器架构的防火墙产品难以占有大量的市场份额。
防火墙inbound和outbound不同区域之间可以设置不同的安全策略,域间的数据流分两个方向
入方向(Inbound):数据由低级别的安全区域向更高一层级别的安全区域传输的方向。
出方向(Outbound):数据由更高一层级别的安全区域向低级别的安全区域传输的方向。
因为防火墙的状态化检测机制,所以针对数据流通常只重点处理首报文,华三H3C防火墙设备,安全策略一旦允许首报文允许通过,那么将会形成一个会话表,华三H3C防火墙公司,后续报文和返回的报文如果匹配到会话表将会直接放行,而不再查看策略,从而提升防火墙的转发效率。如,Trust区域的客户端访问UNtrust区域的互联网,只需要在Trust到UNtrust的Outbound方向应用安全策略即可,不需要做UNtrust到Trust区域的安全策略。
华三H3C防火墙设备-华三H3C防火墙-北京盈富迈胜科技公司由北京盈富迈胜科技发展有限公司提供。“交换机,路由器,防火墙,无线AP,光模块”选择北京盈富迈胜科技发展有限公司,公司位于:北京市昌平区北清路1号珠江摩尔6号楼2单元1110,多年来,北京盈富迈胜坚持为客户提供好的服务,联系人:田经理。欢迎广大新老客户来电,来函,亲临指导,洽谈业务。北京盈富迈胜期待成为您的长期合作伙伴!