看图学数通(六)安全相关知识之防火墙
上五篇博文,小编介绍了OSI七层模型、TCP/IP模型、路由相关知识、交换相关知识、安全相关知识之ACL、NAT,相信看了小编上五篇博文的人,应该对OSI七层模型、TCP/IP模型、路由相关知识、交换相关知识、安全相关知识之ACL、NAT有一定的了解,忘了的小伙伴可以点击下方链接再回顾下,本篇小编打算和小伙伴们一起回顾下安全相关知识之防火墙。
防火墙概述
防火墙的主要作用是划分网络安全边界,实现关键系统与外部环境的安全隔离,保护内部网络免受外部攻击。
与路由器相比防火墙提供了更丰富的安全防御策略,提高了安全策略下数据报转发速率。
由于防火墙用于安全边界,因此往往兼备NAT、VPN等功能。本篇涉及到的防火墙相关知识以华为公司Eudemon系列防火墙为例。
防火墙分类
防火墙会话表
会话是状态检测防火墙最重要的概念之一,是其基础,也是状态检测防火墙与包过滤防火墙以及路由器的主要区别。防火墙的数据转发是基于会话来进行的,每一个经过防火墙的连接需要在防火墙有会话,通常会话是由五元组组成(源地址、源端口、目的地址、目的端口、协议类型)
当数据经过防火墙时将动态建立会话,所以会话表规划是防火墙最重要的资源,为了防止会话资源被占用,每条会话都有老化时间。会话的老化时间可以被手工修改。
防火墙相关基础知识点
安全区域
安全区域(Security Zone),或者简称为区域(Zone),是一个安全概念,大部分的安全策略都基于安全区域实施。我们在防火墙上创建安全区域,并且定义该安全去区域的安全级别,然后将防火墙的接口关联到一个安全区域,那么该接口所连接的这个网络,就属于这个安全区域。属于同一个安全区域的用户具有相同的安全属性。
Eudemon认为在同一安全区域内部发生的数据流动是不存在安全风险的,不需要实施任何安全策略。只有当不同安全区域之间发生数据流动时,才会触发设备的安全检查,并实施相应的安全策略。
区域间
安全域间这个概念用来描述流量的传输通道。它是两个“区域”之间的唯一“道路”,如果希望对经过这条通道的流量进行控制,就必须在通道上设立“关卡”,也就是安全策略。但是对于不需要经过这条通道的流量,例如在同一个安全域间内转发的流量,在安全域间下发的安全策略是不起作用的。任何两个安全区域都构成一个安全域间(Interzone),并具有单独的安全域间视图,大部分的安全功能配置都在安全域间视图下配置。
Inbound及Outbound
安全域间的数据流动具有方向性,包括入方向(Inbound)和出方向(Outbound)。入方向(inbound):数据由低级别安全区域向高级别安全区域传输的方向;出方向(outbound):数据由高级别安全区域向低级别安全区域传输的方向。
防火墙的工作模式
智能云网
智能云网社区是华为专为开发者打造的“学习、开发、验证、交流”一站式支持与服务平台,该平台涵盖多领域知识。目前承载了云园区网络,云广域网络,数通网络开放可编程,超融合数据中心网络,数通网络设备开放社区共五个场景。为了响应广大开发者需求,还提供了开发者交流、API 体验中心、多媒体课件、SDK工具包、开发者工具以及远程实验室共六大工具,让开发者轻松开发。欢迎各位前来体验。
- 点赞
- 收藏
- 关注作者
评论(0)