入方向(inbound):数据由低级别的安全区域向更高一层级别的安全区域传输的方向。
出方向(outbound):数据由更高一层级别的安全区域向低级别的安全区域传输的方向。
因为防火墙的状态化检测机制,所以针对数据流通常只重点处理首报文,安全策略一旦允许首报文允许通过,华三h3c下一代防火墙硬件设备,那么将会形成一个会话表,后续报文和返回的报文如果匹配到会话表将会直接放行,而不再查看策略,从而提升防火墙的转发效率。如,trust区域的---访问untrust区域的互联网,只需要在trust到untrust的outbound方向应用安全策略即可,华为下一代防火墙硬件设备,不需要做untrust到trust区域的安全策略。
防火墙的默认策略组合
1.默认防火墙和内网区域允许进和出,即相互通信;
2.防火墙和外网区域之间,只能出,不能进。即防火墙可以ping通外网,外网无法ping通防火墙;
3.同样防火墙访问dmz也是只能出,不能进。即防火墙可以ping通dmz的server,但server无法ping通防火墙。
防火墙策略的方向
1.outbound:高优先级访问低优先级
2.inbound:低优先级访问高优先级
注意:“访问”仅指的是出包即主动发起的di一个报文,即建立会话(session)的过程。
默认高优先级可以访问低优先级,但是低优先级无法回包,相当于回执路由回不来。所以无法ping通。但是我的确是访问了,防火墙就会记录这一条信息。
华为防火墙的策略有以下四点:
1.任何两个安全区域的优先级不能相同。
2.本域内不同接口的报文不过滤直接转发
3.接口没有加入域之前不能做转发
4.在usg6000系列的防火墙默认是没有安全策略的,也就是说,下一代防火墙硬件设备,不管哪个区域都可以互相访问
华为防火墙常见的管理方式有:
通过控制台方式管理,属于带外管理,不占用用户带宽,适用于新设备。
通过telnet方式管理,属于带内管理,配置简单,华为下一代防火墙硬件设备,安全性低。
通过web方式管理,属于带内管理,可以基于图形化管理,更适用于新手配置设备
通过ssh方式管理,属于带内管理,配置复杂,安全性高,资源占用少。
下一代防火墙硬件设备-北京盈富迈胜有限公司由北京盈富迈胜科技发展有限公司提供。“交换机,路由器,防火墙,无线ap,光模块”选择北京盈富迈胜科技发展有限公司,公司位于:北京市昌平区北清路1号珠江摩尔6号楼2单元1110,多年来,北京盈富迈胜坚持为客户提供好的服务,联系人:田经理。欢迎广大新老客户来电,来函,亲临指导,洽谈业务。北京盈富迈胜期待成为您的长期合作伙伴!
联系我们时请一定说明是在100招商网上看到的此信息,谢谢!
本文链接:https://tztz340201.zhaoshang100.com/zhaoshang/278831101.html
关键词:
滇公网安备 53011202000392号