部署安全防火墙

旧时模样 提交于 2020-03-16 11:44:51

1.防火墙的主要功能是实现网络隔离和访问控制

 

1).不受信区域:一般指internet

2).受信区域:一般指内网

3.)DMZ区域:放置公共服务器的区域,能接受外部访问,但不主动访问外部

 

Aspf:针对应用层的包过滤

 

2.Secpath 防火墙体系结构

型号:

Secblade: 防火墙插卡

Secpath  F100-C

Secpath  F100-S

Secpath  F100-M

Secpath  F100-A-S

Secpath  F100-A

Secpath  F100-E

Secpath  F1000-M

Secpath  F1000-S

Secpath  F1000-A

Secpath  F1000-E  100w并发连接,每秒新建5w连接  10G吞吐量

 

 

3.安全区域

 

   在H3C SecPath防火墙上,判断数据传输是出方向还是入方向,总是相对高级别的一侧而言,即由高级别区域向低级别区域的数据流动为出方向,由低级别区域向高级别区域数据流动为入方向。

 

安全区域基本配置包括

  1) 创建安全区域    

  2) 进入安全区域视图

  3) 进入区域间视图

  4) 为安全区域添加接口

  5) 设置安全区域的优先级

 

缺省情况系,所有接口不属于任何安全区域。     

 一个接口只能属于一个安全区域。将接口加入到一个安全区域中前,

这个接口不能已经属于其他的安全区域,否则需要先将此接口从其他区域中删

 

缺省情况下,Local区域的优先级别为100,Trust区域的优先级别为85,Untrust区域的优先级别为5,DMZ区域的优先级别为50。系统定义的这些区域的优先级别是不能被更改的。

 

 

  1. ACL

 

 基本访问控制列表:仅仅根据数据包的源地址对数据包进行区分

高级访问控制列表:高级访问控制列表可以使用数据包的源地址信息、目的地址信息、IP承载的协议类型、针对协议的特性,例如TCP的源端口,ICMP协议的类型、代码等内容定义规则

基于接口的访问控制列表:

基于MAC的访问控制列表:

 

5.包过滤技术

       所谓包过滤就是对防火墙需要转发的数据包,先获取包头信息,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃的动作

 

ACL存在的问题:

对于多通道的应用层协议(如FTP、H.323等),部分安全策略无法预知;

 

无法检测某些来自于应用层的攻击行为(如TCP SYN Java applet等)

 

 

Aspf(状态防火墙)

ASPF (Application Specific Packet Filter)是针对应用层及传输层的包过滤,既基于状态的报文过滤。  

ASPF能够实现的应用层协议检测包括:FTP HTTP SMP RTSP H.323(Q.931 H.245 RTP/RTCP),ASPF能够实现的传输层协议检测包括:通用TCP/UDP的检测

 

会话状态表:一个会话可以认为是一个tcp连接,会话状态表在检测到第一个外发报文时创建,即通过第一个syn包建立

临时访问控制表:

传输层协议检测的原理:

应用层协议检测优先于传输层协议检测,通用TCP/UDP检测要求流入接口的报文与之前流出接口的报文完全匹配,即源、目的地址及端口号恰好对应,否则返回的报文将被丢弃

易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!