01华为防火墙产品介绍
USG2000、USG5000、USG6000和USG9500构成了华为防火墙的四大部分,分别适用于不同环境的网络需求。其中,USG2000和USG5000系列定位为UTM(统一威胁管理)产品,USG6000系列属于下一代防火墙产品,USG9500系列属于高端防火墙产品。
USG2110
USG2110是华为发布的面向中小企业、连锁机构、SOHO企业等的防火墙设备。其功能涵盖了防火墙、UTM、虚拟专用网(请自行查看首字母,如果我写得简单,会被调和)、路由、无线等。USG2110具有高性能、高可靠性、配置方便等特点。,而且它的价格也比较低。它支持多种虚拟专用网络组网模式,为用户提供安全、灵活、便捷的综合组网解决方案。
USG6600
USG6600是华为面向下一代网络环境的防火墙产品,适用于大中型企业和数据中心等网络环境。具有访问控制精准、防护范围全面、安全管理简单、防护性能高等特点,可用于企业内网边界防护、互联网出口防护、云数据中心边界防护、虚拟专用网远程互联等联网应用。
USG9500
USG9500系列包括USG9520、USG9560和USG9580,适用于云服务提供商、大型数据中心和大型企业园区网。它拥有最精准的访问控制、最实用的NGFW特性、最先进的“NP多核分布式”架构和最丰富的虚拟化。被称为最稳定可靠的安全网关产品,可用于大型数据中心边界防护、广电及二级运营商网络出口安全防护、教育网络出口安全防护等网络场景。
NGFW
NGFW,全称下一代防火墙,即下一代防火墙,最早由Gartner提出。NGFW更适合新的网络环境。在功能上,NGFW不仅要具备标准的防火墙功能,如网络地址转换、状态检测、虚拟专用网和大型企业所需的功能,还要实现IPS和防火墙的真正融合,而不是简单的基于模块。此外,NGFW需要具备强大的应用感知和应用可视化能力。基于应用策略、日志统计、安全能力和应用识别的深度整合,NGFW需要利用更多的外部信息来帮助完善安全策略,比如用户识别。
传统防火墙和NGFW防火墙的区别
传统防火墙只能基于时间、IP、端口进行感知,而NGFW防火墙基于应用、用户、内容、时间、威胁、位置六个维度进行控制和防护。其中包括:
基于应用:利用各种手段精确识别web应用中6000多个应用层协议及其附属功能,从而进行精确的访问控制和业务加速。还包括移动应用,比如通过防火墙区分流量中的语音和文本,从而实现不同的控制策略。
基于用户:通过AD Active Directory、目录服务器或AAA服务器,基于用户进行访问控制、QoS管理和深度保护。
基于位置:结合全球位置信息,智能识别流量的始发位置,从而获取应用和gong~ hits的始发位置。根据位置信息实现不同区域接入流量的差异化控制,同时支持根据IP信息定制位置。
02防火墙的工作原理
防火墙的工作模式
华为防火墙有三种工作模式:路由模式、透明模式和混合模式。
1)路由模式
如果华为防火墙接入网络的接口配置了IP地址,则认为防火墙工作在路由模式。当华为防火墙位于内网和外网之间时,需要为连接内网、外网和DMZ的接口配置不同网段的IP地址,因此需要重新规划原有的网络拓扑。这时防火墙首先是路由器,然后提供其他防火墙功能。路由模式需要修改网络拓扑(内网用户需要更高的网关,路由器需要改变路由配置等。).
2)透明模式:
如果华为防火墙通过第二层与外界连接(接口没有IP地址),防火墙将工作在透明模式。如果华为的防火墙工作在透明模式,只需要像交换机一样连接网络中的华为防火墙设备。它最大的优点是不需要修改任何现有的IP配置。这时候防火墙就像交换机一样工作,内网和外网必须在同一个子网。在这种模式下,消息不仅在防火墙的第二层交换,而且在高层进行分析和处理。
3)混合模式:
如果华为防火墙有工作在路由模式的接口(有IP地址的接口)和工作在透明模式的接口(没有IP地址的接口),防火墙将工作在混合模式。这种工作模式基本上是透明模式和路由模式的混合。目前只在透明模式下提供双机热备份的特殊应用中使用,其他环境不推荐使用。
华为防火墙安全区域的划分
安全区域,简称区域。防火墙区域将安全网络与不安全网络区分开来。在华为的防火墙上,安全区域是一个或多个接口的集合,这是区分防火墙和路由器的主要特征。网络由防火墙安全区域划分,区域之间的消息传输基于这些区域进行控制。当数据消息在不同的安全区域之间传输时,将启动安全策略检查。
几个常见领域如下:
信任区:主要用于连接公司内部网络,优先级85,安全级别高。
DMZ区域:非军事区,军事术语,指严格控制的军事区域和公共区域之间的区域。它通常在防火墙中被定义为需要向外界提供服务的网络。其安全性介于信任区和不信任区之间,优先级为50,安全级别为中等。
Untrust zone:通常定义外部网络,优先级为5,安全级别较低。不可信区域是指不被信任的区域,互联网上的威胁很多,所以一般不安全的网络比如互联网都归入不可信区域。
本地:通常定义防火墙本身,优先级为100。除了在区域之间转发消息,防火墙还需要自己接收或发送流量,例如网络管理和运行动态路由协议。防火墙发起的消息被认为是从本地发送的,需要防火墙响应和处理(不穿越)的消息被认为是本地接收和处理的。
其他区域:用户自定义区域,默认最多定义16个区域。用户定义的区域没有默认优先级,因此需要手动指定。
防火墙的入站和出站
基于防火墙区域之间的流量,即使是防火墙本身发起的流量也属于本区域与其他区域之间的流量传输。当数据在安全区域之间流动时,会刺激华为防火墙检查安全策略,即华为防火墙的安全策略通常基于域间(如非信任区域和信任区域之间),不同区域之间可以设置不同的安全策略。域之间的数据流分为两个方向:
入站:数据从低级别安全区域传输到高级别安全区域的方向。
出站:数据从高安全级别区域传输到低安全级别区域的方向。
状态信息(防火墙实现安全保护的基础技术)
在防火墙技术中,两个方向的流量通常被区别对待。由于防火墙的状态检测机制,对于数据流,通常只处理第一条消息。一旦第一条消息被允许通过安全策略,就会形成一个会话表。如果后续消息和返回的消息与会话表匹配,则直接释放,不检查策略,提高了防火墙的转发效率。例如,当信任区域的客户端访问非信任区域的互联网时,它只需要应用从信任到非信任的出站方向的安全策略,而不需要执行从不信任到信任的安全策略。
防火墙可以唯一区分一个数据流,即源IP、目标IP、协议、源端口号和目标端口。防火墙将具有相同五元组内容的数据视为一个数据流,数据包必须同时匹配指定的五元组才能匹配该策略,否则继续匹配后续策略,其匹配规则与stop-and-match相同。
状态检测防火墙使用基于连接状态的检测机制,将通信双方交互的属于同一连接的所有消息作为一个整体数据流对待。在状态检测防火墙看来,同一数据流中的消息不再是孤立的个体,而是联系在一起的。如果为数据流中的第一条消息建立会话,数据流中的后续消息将根据会话进行转发,从而提高转发效率。