发布单位:北京盈富迈胜科技发展有限公司 发布时间:2022-8-18
华为防火墙的策略有以下四点:
1.任何两个安全区域的优先级不能相同。
2.本域内不同接口的报文不过滤直接转发
3.接口没有加入域之前不能做转发
4.在usg6000系列的防火墙默认是没有安全策略的,也就是说,不管哪个区域都可以互相访问
华为防火墙常见的管理方式有:
通过控制台方式管理,属于带外管理,不占用用户带宽,适用于新设备。
通过telnet方式管理,属于带内管理,配置简单,安全性低。
通过web方式管理,属于带内管理,可以基于图形化管理,更适用于新手配置设备
通过ssh方式管理,属于带内管理,配置复杂,安全性高,资源占用少。
关于区域配置需要知道的几点:
1.安全区域的优先级必须是唯yi的;
2.一个接口只能加入一个安全区域,但一个安全区域可以有多个接口;
3.默认情况下,华为n---防火墙---任何区域之间的流量,如需放行zhi定的流量,需要设置策略(华为传统的防火墙默认对高优先级区域到低优先级区域方向流量默认放行,但zui新的n---防火墙默认禁止一切流量)
1.文件类型过滤:主要针对不同类型(扩展名不同)的文件过滤,usg防火墙可以识别数据包携带的应用层文件类型。其检查过程并非只查询文件的扩展名,而是基于文件内容进行识别,如果发送方将a---文件改为a.docx,防火墙根据内容将识别为exe文件。
2.内容过滤:基于http中发送博客内容、论坛发送帖子内容、smtp中的发送邮件主题及正文内容、ftp中上传和xia载文件的名称,文件共享服务中的文件名称等过滤,可以基于特定的文本过滤,也可以通过正则表达式过滤。
3.url过滤:主要针对用户访问的互联网页面url进行过滤,允许或---用户访问某些类型的url网站资源,以控制用户对互联网资源的使用。
华为防火墙默认有4个区域,分别是local,trust、untrust、dmz。不同的区域拥有不同的受信优先级。防火墙根据这些区域的受信优先级来区分区域的保护级别。安全级别由1~100的阿拉伯数字来表示,数字越大,则代表该区域内的网络越可信。
trust区域:主要用于连接公司的内部网络 默认安全级别为 85。
untrust区域:定义为外部网络,安全级别为5,安全级别很低。untrust区域表示不受---的区域,互连网上威胁较多,所以把internet等不安全网络划入该区域。
dmz区域:非---化区域, 在防火墙中通常定义为需要对外提供服务的网络,其安全性介于trust区域和untrust区域之间,安全级别为50
local区域:通常定义防火墙本身安全级别为100
