华为防火墙区别与传统的安全策略,一体化策略具有以下特点
区别与传统的安全策略,一体化策略具有以下特点:
策略配置基于全局,华为下一代防火墙设备,不再基于区域间配置,安全区域只是条件的可选配置项,也可在一条规则中配置多个源区域或目标区域。
默认情况拒绝所有区域间的流量,华三H3C下一代防火墙设备,包括Outbound流量。必须通过策略配置放行所需流量。
安全策略中的默认动作代替了默认过滤。传统的防火墙的过滤基于区域间的,只针对特定的区域间生效,而新一代防火墙的默认动作全局生效,且默认动作为拒绝,即拒绝一切流量,除非允许。
华为防火墙路由模式
路由模式
如果华为防火墙连接网络的接口配置IP地址,则认为防火墙工作在路由模式下,当华为防火墙位于内部网络和外部网络之间时,需要将防火墙与内部网络、外部网络以及DMZ三个区域相连的接口分别配置不同网段的IP地址,所以需要重新规划原有网络拓扑,此时防火墙首先是一台路由器,然后提供其他防火墙功能。路由模式需要对网络拓扑进行修改(内部网络用户需要更高网关、路由器需要更改路由配置等)。
防火墙inbound和outbound不同区域之间可以设置不同的安全策略,域间的数据流分两个方向
入方向(Inbound):数据由低级别的安全区域向更高一层级别的安全区域传输的方向。
出方向(Outbound):数据由更高一层级别的安全区域向低级别的安全区域传输的方向。
因为防火墙的状态化检测机制,所以针对数据流通常只重点处理首报文,安全策略一旦允许首报文允许通过,江苏下一代防火墙设备,那么将会形成一个会话表,后续报文和返回的报文如果匹配到会话表将会直接放行,而不再查看策略,从而提升防火墙的转发效率。如,Trust区域的客户端访问UNtrust区域的互联网,只需要在Trust到UNtrust的Outbound方向应用安全策略即可,不需要做UNtrust到Trust区域的安全策略。
华三H3C下一代防火墙设备-北京盈富迈胜由北京盈富迈胜科技发展有限公司提供。“交换机,路由器,防火墙,无线AP,光模块”选择北京盈富迈胜科技发展有限公司,公司位于:北京市昌平区北清路1号珠江摩尔6号楼2单元1110,多年来,北京盈富迈胜坚持为客户提供好的服务,联系人:田经理。欢迎广大新老客户来电,来函,亲临指导,洽谈业务。北京盈富迈胜期待成为您的长期合作伙伴!