看图学数通(六)安全相关知识之防火墙

举报
HZDX 发表于 2021/12/20 09:44:28 2021/12/20
【摘要】 防火墙相关知识:分类、会话表、安全区域、区域间、Inbound及Outbound、工作模式一网打尽!

上五篇博文,小编介绍了OSI七层模型、TCP/IP模型、路由相关知识、交换相关知识、安全相关知识之ACL、NAT,相信看了小编上五篇博文的人,应该对OSI七层模型、TCP/IP模型、路由相关知识、交换相关知识、安全相关知识之ACL、NAT有一定的了解,忘了的小伙伴可以点击下方链接再回顾下,本篇小编打算和小伙伴们一起回顾下安全相关知识之防火墙。

看图学数通(一)OSI七层模型

看图学数通(二)TCP/IP模型

看图学数通(三)路由相关知识

看图学数通(四)交换相关知识

看图学数通(五)安全相关知识之ACL、NAT

   防火墙概述   

防火墙的主要作用是划分网络安全边界,实现关键系统与外部环境的安全隔离,保护内部网络免受外部攻击。

与路由器相比防火墙提供了更丰富的安全防御策略,提高了安全策略下数据报转发速率。

由于防火墙用于安全边界,因此往往兼备NATVPN等功能。本篇涉及到的防火墙相关知识以华为公司Eudemon系列防火墙为例。


   防火墙分类   

图片6.png


   防火墙会话表   

会话是状态检测防火墙最重要的概念之一,是其基础,也是状态检测防火墙与包过滤防火墙以及路由器的主要区别。防火墙的数据转发是基于会话来进行的,每一个经过防火墙的连接需要在防火墙有会话,通常会话是由五元组组成(源地址、源端口、目的地址、目的端口、协议类型)

当数据经过防火墙时将动态建立会话,所以会话表规划是防火墙最重要的资源,为了防止会话资源被占用,每条会话都有老化时间。会话的老化时间可以被手工修改。


   防火墙相关基础知识点   

安全区域

安全区域(Security Zone),或者简称为区域(Zone),是一个安全概念,大部分的安全策略都基于安全区域实施。我们在防火墙上创建安全区域,并且定义该安全去区域的安全级别,然后将防火墙的接口关联到一个安全区域,那么该接口所连接的这个网络,就属于这个安全区域。属于同一个安全区域的用户具有相同的安全属性。

Eudemon认为在同一安全区域内部发生的数据流动是不存在安全风险的,不需要实施任何安全策略。只有当不同安全区域之间发生数据流动时,才会触发设备的安全检查,并实施相应的安全策略。

图片15.png

图片3.png

图片4.png

区域间

安全域间这个概念用来描述流量的传输通道。它是两个“区域”之间的唯一“道路”,如果希望对经过这条通道的流量进行控制,就必须在通道上设立“关卡”,也就是安全策略。但是对于不需要经过这条通道的流量,例如在同一个安全域间内转发的流量,在安全域间下发的安全策略是不起作用的。任何两个安全区域都构成一个安全域间(Interzone),并具有单独的安全域间视图,大部分的安全功能配置都在安全域间视图下配置。

Inbound及Outbound

安全域间的数据流动具有方向性,包括入方向(Inbound)和出方向(Outbound)。入方向(inbound):数据由低级别安全区域向高级别安全区域传输的方向;出方向(outbound):数据由高级别安全区域向低级别安全区域传输的方向。

防火墙的工作模式

图片5.png


   智能云网   

智能云网社区是华为专为开发者打造的“学习、开发、验证、交流”一站式支持与服务平台,该平台涵盖多领域知识。目前承载了云园区网络,云广域网络,数通网络开放可编程,超融合数据中心网络,数通网络设备开放社区共五个场景。为了响应广大开发者需求,还提供了开发者交流、API 体验中心、多媒体课件、SDK工具包、开发者工具以及远程实验室共六大工具,让开发者轻松开发。欢迎各位前来体验。

112059dpm5jry5hl51swgy.jpg

>>戳我了解更多<<


【版权声明】本文为华为云社区用户转载文章,如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。